Vous êtes sur la page 1sur 696

Planification, implmentation

et maintenance d'une
infrastructure Active Directory
Microsoft Windows
Server 2003

Guide pdagogique
Cours n : 2194A

Rf. n : X09-84841
dit en : 05/2003

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Cours n : 2194A
Rf. n : X09-84841
dit le : 05/2003

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

iii

Table des matires


Introduction
Introduction .............................................................................................................1
Documents de cours ................................................................................................2
Conditions pralables ..............................................................................................4
Plan du cours ...........................................................................................................5
Configuration...........................................................................................................7
Programme MOC ....................................................................................................9
Programme MCP ...................................................................................................11
Logistique ..............................................................................................................14

Module 1 : Introduction l'infrastructure Active Directory


Vue d'ensemble........................................................................................................1
Leon : Architecture d'Active Directory..................................................................2
Leon : Fonctionnement d'Active Directory..........................................................11
Leon : Analyse d'Active Directory ......................................................................21
Leon : Processus de conception, de planification et d'implmentation
d'Active Directory .................................................................................................32

Module 2 : Implmentation d'une structure de fort et de domaine


Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'une structure de fort et de domaine .........................................2
Leon : Analyse du systme DNS intgr Active Directory...............................23
Leon : Augmentation des niveaux fonctionnels de la fort et du domaine ..........38
Leon : Cration de relations d'approbation ..........................................................44
Atelier A : Implmentation d'Active Directory .....................................................57

Module 3 : Implmentation de la structure d'une unit d'organisation


Vue d'ensemble........................................................................................................1
Leon : Cration et gestion d'units d'organisation .................................................2
Leon : Dlgation du contrle administratif des units d'organisation ................14
Leon : Planification d'une stratgie d'unit d'organisation...................................25
Atelier A : Implmentation de la structure d'une unit d'organisation...................36

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et


d'ordinateurs
Vue d'ensemble........................................................................................................1
Leon : Prsentation des comptes............................................................................2
Leon : Cration et gestion de plusieurs comptes..................................................11
Leon : Implmentation des suffixes UPN............................................................24
Leon : Dplacement d'objets dans Active Directory............................................35
Leon : Planification d'une stratgie de compte d'utilisateur, de groupe et
d'ordinateur............................................................................................................45
Leon : Planification d'une stratgie d'audit Active Directory ..............................59
Atelier A : Implmentation d'une stratgie de compte et d'audit...........................65

iv

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Module 5 : Implmentation d'une stratgie de groupe


Vue d'ensemble........................................................................................................1
Leon : Cration et configuration d'objets Stratgie de groupe ...............................2
Leon : Configuration des frquences d'actualisation et des paramtres de
stratgie de groupe.................................................................................................19
Leon : Gestion des objets Stratgie de groupe .....................................................32
Leon : Vrification et rsolution des problmes lis la stratgie de groupe......47
Leon : Dlgation du contrle administratif de la stratgie de groupe ................56
Leon : Planification d'une stratgie de groupe pour l'entreprise ..........................66
Atelier A : Implmentation d'une stratgie de groupe ...........................................74

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie


de groupe
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la gestion du dploiement de logiciels ..............................2
Leon : Dploiement de logiciels ............................................................................7
Leon : Configuration du dploiement des logiciels .............................................19
Leon : Maintenance des logiciels dploys..........................................................28
Leon : Rsolution des problmes lis au dploiement de logiciels......................37
Leon : Planification d'une stratgie de dploiement de logiciels .........................45
Atelier A : Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe ...............................................................................................................53

Module 7 : Implmentation de sites pour grer la rplication


Active Directory
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la rplication Active Directory ..........................................2
Leon : Cration et configuration de sites .............................................................15
Leon : Gestion de la topologie de site..................................................................30
Leon : Rsolution des checs de rplication ........................................................38
Leon : Planification d'un site................................................................................51
Atelier A : Implmentation de sites pour grer la rplication Active Directory ....63

Module 8 : Implmentation du placement des contrleurs de domaine


Vue d'ensemble........................................................................................................1
Leon : Implmentation du catalogue global dans Active Directory.......................2
Leon : Dtermination du placement de contrleurs de domaine dans Active
Directory................................................................................................................14
Leon : Planification du placement des contrleurs de domaine...........................24
Atelier A : Implmentation du placement des contrleurs de domaine .................34

Module 9 : Gestion des matres d'oprations


Vue d'ensemble........................................................................................................1
Leon : Prsentation des rles de matre d'oprations .............................................2
Leon : Transfert et prise de rles de matres d'oprations....................................11
Leon : Planification du placement des matres d'opration..................................24
Atelier A : Gestion des matres d'oprations .........................................................36

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Module 10 : Maintenance d'Active Directory


Vue d'ensemble........................................................................................................1
Leon : Prsentation de la maintenance d'Active Directory ....................................2
Leon : Dplacement et dfragmentation de la base de donnes
Active Directory ......................................................................................................6
Leon : Sauvegarde d'Active Directory.................................................................13
Leon : Restauration d'Active Directory ...............................................................19
Leon : Planification du contrle d'Active Directory ............................................30
Atelier A : Maintenance d'Active Directory..........................................................38

Module 11 : Planification et implmentation d'une infrastructure


Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................2
Atelier A : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................7
Leon : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................23
Atelier B : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................24

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

vii

propos de ce cours
Cette section dcrit brivement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances pralables requises.
Description

Ce cours anim par un instructeur et rparti sur cinq journes comporte des
lments individualiss et des composants facilits par la prsence de
l'instructeur. Il fournit aux stagiaires les comptences et les connaissances
requises pour planifier, implmenter et dpanner une infrastructure de service
d'annuaire Active Directory dans Microsoft Windows Server 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de fort, le systme DNS
(Domain Name System), la topologie de site et la rplication, la structure
d'unit d'organisation et la dlgation de l'administration, la stratgie de groupe
ainsi que les stratgies de comptes d'utilisateurs, de groupes et d'ordinateurs.

Profil des stagiaires

Ce cours s'adresse aux personnes employes ou recherchant un emploi comme


ingnieur systme dans une organisation d'entreprise, de moyenne ou de grande
envergure.
Les stagiaires doivent rpondre l'un des critres suivants :
!

Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de


stagiaires englobe les personnes sans connaissances techniques, exerant
actuellement une fonction sans rapport avec l'informatique et qui souhaitent
obtenir et valider des connaissances techniques au niveau ingnierie dans
l'optique d'un changement de carrire.

Avancs : Personnes exprimentes occupant actuellement un poste


d'informaticien de base et pour qui les fonctions d'ingnierie serveur
Windows sont tout fait nouvelles. Ce groupe comprend les administrateurs
systme de niveau 2 ou les personnes charges du support technique sous
Windows, UNIX ou Novell NetWare et qui ne disposent pas des
connaissances et des comptences requises pour implmenter et dpanner
un rseau s'appuyant sur Windows Server 2003 Server Active Directory.

Les professionnels prparant l'examen 70-294 du programme MCP


(Microsoft Certified Professional), Planification, implmentation et
maintenance d'une infrastructure Active Directory sous Microsoft Windows
Server 2003, qui constitue l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).

Au terme de ce cours, les stagiaires disposeront des connaissances techniques


ncessaires pour effectuer les tches lies Active Directory dcrites dans ce
cours.
Remarque Le cours 2194A ne s'adresse pas aux personnes suivantes :
ingnieurs systme, dveloppeurs et programmeurs Windows NT,
Windows 2000, UNIX/Linux ou Novell NetWare expriments, utilisateurs
finaux professionnels et particuliers.

viii

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Connaissances
pralables

Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
2189A, Planification et maintenance d'une infrastructure rseau Microsoft
Windows Server 2003, ou disposer de connaissances et comptences quivalentes.
Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).

Objectifs

la fin de ce cours, les stagiaires seront mme d'effectuer les tches


suivantes :
!

dcrire les composants logiques et physiques d'Active Directory ;

crer et configurer une structure fort et domaine l'aide de la conception


d'infrastructure d'Active Directory ;

planifier et implmenter une structure d'unit d'organisation ;

planifier et implmenter des comptes d'utilisateurs, de groupes et


d'ordinateurs dans Active Directory ;

planifier et implmenter une stratgie de groupe pour grer de faon


centralise des utilisateurs et les ordinateurs dans une entreprise ;

dployer, grer et dpanner les logiciels mis en uvre l'aide d'une stratgie
de groupe ;

implmenter des sites pour grer et contrler la rplication Active


Directory ;

planifier et implmenter le placement des contrleurs de domaine, des


serveurs de catalogue global et des serveurs DNS intgrs Active
Directory ;

planifier et grer les matres d'oprations ;

sauvegarder, restaurer et assurer la maintenance d'Active Directory ;

planifier et implmenter une infrastructure Active Directory base sur une


conception de service d'annuaire fournie par un architecte d'entreprise.

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

ix

Calendrier du cours
Voici une estimation horaire du droulement du cours. Il est possible que vos
horaires soient diffrents de ceux indiqus dans le tableau suivant :

Premier jour
Dbut

Fin

Module

9:00

9:30

Introduction

9:30

10:30

Module 1 : Introduction l'infrastructure Active Directory

10:30

10:45

Pause

10:45

11:15

Module 1 : Introduction l'infrastructure Active Directory (suite)

11:15

12:00

Module 2 : Implmentation d'une structure de fort et de domaine


Active Directory

12:00

1:00

Djeuner

1:00

2:15

Module 2 : Implmentation d'une structure de fort et de domaine


Active Directory (suite)

2:15

2:30

Pause

2:30

3:30

Atelier 2 : Implmentation d'Active Directory

3:30

5:00

Module 3 : Implmentation de la structure d'une unit


d'organisation

Deuxime jour
Dbut

Fin

Module

9:00

9:30

Contrle des acquis du premier jour

9:30

10:15

Atelier 3 : Implmentation de la structure d'une unit


d'organisation

10:15

10:30

Pause

10:30

12:00

Module 4 : Implmentation de comptes d'utilisateurs, de groupes


et d'ordinateurs

12:00

1:00

Djeuner

1:00

1:30

Module 4 : Implmentation de comptes d'utilisateurs, de groupes


et d'ordinateurs (suite)

1:30

2:30

Atelier 4 : Implmentation d'une stratgie de compte et d'audit

2:30

2:45

Pause

2:45

4:45

Module 5 : Implmentation d'une stratgie de groupe

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Troisime jour
Dbut

Fin

Module

9:00

9:30

Contrle des acquis du deuxime jour

9:30

10:30

Module 5 : Implmentation d'une stratgie de groupe (suite)

10:30

10:45

Pause

10:45

12:00

Atelier : 5 : Implmentation d'une stratgie de groupe

12:00

1:00

Djeuner

1:00

3:00

Module 6 : Dploiement et gestion des logiciels l'aide d'une


stratgie de groupe

3:00

3:15

Pause

3:15

4:15

Atelier 6 : Dploiement et gestion des logiciels l'aide d'une


stratgie de groupe

Quatrime jour
Dbut

Fin

Module

9:00

9:30

Contrle des acquis du troisime jour

9:30

10:45

Module 7 : Implmentation de sites pour grer la rplication


Active Directory

10:45

11:00

Pause

11:00

12:00

Module 7 : Implmentation de sites pour grer la rplication


Active Directory (suite)

12:00

1:00

Djeuner

1:00

1:30

Module 7 : Implmentation de sites pour grer la rplication


Active Directory (suite)

1:30

2:00

Atelier 7 : Implmentation de sites pour grer la rplication


Active Directory

2:00

2:15

Pause

2:15

3:30

Module 8 : Implmentation du placement des contrleurs de


domaine

3:30

4:00

Atelier 8 : Implmentation du placement des contrleurs de


domaine

4:00

5:00

Module 9 : Gestion des matres d'oprations

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

xi

Cinquime jour
Dbut

Fin

Module

9:00

9:30

Contrle des acquis du quatrime jour

9:30

10:00

Atelier 9 : Gestion des matres d'oprations

10:00

11:00

Module 10 : Maintenance d'Active Directory

11:00

11:15

Pause

11:15

11:45

Module 10 : Maintenance d'ActiveDirectory (suite)

11:45

12:00

Atelier 10 : Maintenance d'Active Directory

12:00

1:00

Djeuner

1:00

1:30

Atelier 10 : Maintenance d'ActiveDirectory (suite)

1:30

1:45

Module 11 : Planification et implmentation d'une infrastructure


Active Directory

1:45

2:30

Atelier 11A : Cration d'un plan d'implmentation d'Active


Directory pour Tailspin Toys

2:30

2:45

Pause

2:45

3:00

Module 11 : Planification et implmentation d'une infrastructure


Active Directory (suite)

3:00

5:00

Atelier 11B : Implmentation de l'infrastructure Active Directory


pour Tailspin Toys

xii

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Contenu du CD-ROM de l'instructeur


Le CD-ROM de l'instructeur contient les fichiers et dossiers dcrits ci-dessous :
!

Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous


double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM et vous
permet de parcourir le CD-ROM du stagiaire ou de l'instructeur.

Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance


Autorun.exe.

Default.htm. Ce fichier ouvre les pages Web destines l'instructeur.

Readme.txt. Ce fichier dcrit l'installation des logiciels permettant d'afficher


le CD-ROM de l'instructeur et son contenu. Il explique galement comment
ouvrir les pages Web destines l'instructeur.

2194A_ms.doc. Ce fichier contient le Guide de configuration manuelle de la


classe. Il contient les tapes excuter pour configurer manuellement les
ordinateurs de la classe.

2194A_sg.doc. Ce fichier contient le Guide de configuration automatise de


la classe. Il fournit une description de la configuration de la classe et des
conditions requises, des instructions relatives l'utilisation des scripts de
configuration automatise de la classe et la liste de vrification de la
configuration de la classe.

Errorlog. Ce dossier peut contenir un journal des erreurs.

Powerpnt. Ce dossier contient les diapositives Microsoft PowerPoint


utilises dans ce cours.

Pptview. Ce dossier contient la visionneuse Microsoft PowerPoint 97 que


vous pouvez utiliser pour afficher les diapositives PowerPoint si vous ne
disposez pas de PowerPoint 2002. N'utilisez pas cette version en classe.

Setup. Ce dossier contient les fichiers ncessaires pour installer le cours et


les logiciels associs sur les ordinateurs de la classe.

Student. Ce dossier contient les pages Web destines aux stagiaires.


Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions du contrle des acquis et des ateliers, les fichiers des ateliers, les
prsentations multimdias et les sites Web se rapportant au cours.

Tools. Ce dossier contient les fichiers et les utilitaires employs pour


achever la configuration de l'ordinateur de l'instructeur.

Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

xiii

Contenu du CD-ROM du stagiaire


Le CD-ROM du stagiaire contient les fichiers et dossiers dcrits ci-dessous :
!

Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous


double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM du stagiaire et
vous permet de le parcourir.

Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance


Autorun.exe.

Default.htm. Ce fichier ouvre la page Web destine aux stagiaires.


Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions de contrle des acquis et des ateliers, les fichiers des ateliers, des
prsentations multimdias et des sites Web se rapportant au cours.

Readme.txt. Ce fichier explique comment installer le logiciel permettant


d'afficher le CD-ROM du stagiaire et son contenu, et comment ouvrir la
page Web destine au stagiaire.

Addread. Ce dossier contient des lectures complmentaires ayant un rapport


avec ce cours.

Appendix. Ce dossier contient les annexes de ce cours.

Flash. Ce dossier contient le programme d'installation du plug-in


Macromedia Flash 6.0.

Fonts. Ce dossier contient les polices ventuellement requises pour afficher


les documents Microsoft Word inclus dans ce cours.

Labfiles. Ce dossier contient les fichiers utiliss dans les ateliers. Certains de
ces fichiers peuvent aussi tre employs pour prparer les ordinateurs des
stagiaires en vue des ateliers.

Media. Ce dossier contient les fichiers utiliss dans les prsentations


multimdias de ce cours.

Mplayer. Ce dossier contient le fichier d'installation du lecteur multimdia


Microsoft Windows Media.

Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.

Wordview. Ce dossier contient la visionneuse Word, utilise pour afficher


tous les fichiers Word (.doc) situs sur le CD-ROM.

xiv

Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Conventions typographiques
Les conventions suivantes sont utilises dans les documents du cours afin de
distinguer les diffrents lments de texte :
Convention

Utilisation

Gras

Reprsente des commandes, options de commande et lments


de syntaxe qui doivent tre taps tels qu'ils sont prsents. Cette
mise en forme de caractres dsigne galement les commandes
de menu et les boutons, les titres et options de bote de dialogue
ainsi que les noms de menu.

Italique

Dans les syntaxes ou le texte descriptif, reprsente les noms


d'argument ou les espaces rservs aux variables. Cette mise en
forme de caractres est galement utilise pour introduire des
termes nouveaux, citer des titres d'ouvrage et mettre en valeur
des lments du texte.

Majuscules initiales

Reprsentent les noms de domaine, d'utilisateur, d'ordinateur, de


rpertoire, de dossier et de fichier (sauf lorsqu'il s'agit de noms
avec respect de la casse). Sauf indication contraire, vous pouvez
taper les noms de rpertoire ou de fichier en minuscules dans les
botes de dialogue ou l'invite.

MAJUSCULES

Reprsentent les noms de touche ainsi que les squences et les


combinaisons de touches, par exemple, ALT+ESPACE.

espacement
fixe

Reprsente les exemples de code ou les exemples de texte


affichs l'cran.

[]

Dans les syntaxes, dlimitent les lments facultatifs. Par


exemple, [fichier] dans la syntaxe d'une commande indique que
vous pouvez taper un nom de fichier dans la commande. Tapez
uniquement les informations indiques entre crochets, et non les
crochets proprement dits.

{}

Dans les syntaxes, dlimitent les lments obligatoires. Tapez


uniquement les informations indiques entre accolades, et non
les accolades proprement dites.

Dans les syntaxes, spare les lments mutuellement exclusifs


d'un choix.

Reprsente une procdure compose d'tapes squentielles.

...

Dans les syntaxes, indiquent que l'lment prcdent peut tre


rpt.

.
.
.

Reprsente une partie omise dans un exemple de code.

Introduction

Table des matires


Introduction

Documents de cours

Conditions pralables

Plan du cours

Configuration

Programme MOC

Programme MCP

11

Logistique

14

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Introduction

Notes de l'instructeur
Prsentation :
30 minutes

Ce module donne aux stagiaires une vue d'ensemble du contenu du cours, des
documents et de l'organisation du cours 2194A : Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.

Documents de cours

Pour animer ce cours, vous devez disposer des lments suivants :

Prparation

Guide pdagogique

CD-ROM de l'instructeur

Pour prparer ce cours, vous devez raliser les diffrentes tapes dcrites dans
la Liste de prparation au cours fournie avec les documents de cours de
l'instructeur.

iii

iv

Introduction

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Introduction

Accueillez les stagiaires et prsentez-vous. Donnez un bref aperu


de vos acquis afin d'tablir votre crdibilit en tant qu'instructeur.
Invitez les stagiaires se prsenter en indiquant leur exprience,
leur connaissance du produit et leurs attentes concernant ce cours.
Notez sur un tableau blanc ou feuilles mobiles les attentes des stagiaires afin
de pouvoir vous y rfrer pendant le cours.

Documents de cours

Signalez aux stagiaires que tout ce dont ils ont besoin pour ce cours leur est
fourni leur arrive.
Demandez aux stagiaires d'inscrire leur nom de chaque ct de la fiche.
Dcrivez le contenu du manuel de travail et du CD-ROM des stagiaires.
Indiquez aux stagiaires o ils peuvent envoyer leurs commentaires et
impressions sur le cours.
Montrez comment ouvrir la page Web fournie sur le CD-ROM des stagiaires en
double-cliquant sur Autorun.exe ou Default.htm dans le dossier Student du
CD-ROM de l'instructeur.

Conditions pralables

Dcrivez les connaissances pralables requises pour suivre ce cours. De cette


faon, vous pourrez identifier les stagiaires qui n'ont pas l'exprience ou les
acquis suffisants pour assister ce cours.

Plan du cours

Dcrivez brivement chacun des modules en soulignant ce que les stagiaires


apprendront. Ne soyez pas trop prcis, car le cours est prsent en dtail dans
le module 1.
Montrez de quelle manire ce cours rpondra aux attentes des stagiaires,
en faisant le lien avec le contenu des diffrents modules.
Orientez les stagiaires vers la prsentation multimdia Rles dans les systmes
d'information. Pour commencer la prsentation, ouvrez la page Web sur le
CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le titre de la
prsentation.

Configuration

Prsentez toutes les informations de configuration requises pour ce cours,


y compris les fichiers de cours et la configuration de la classe.
Pour visualiser les simulations de ce cours, cliquez sur l'icne Lancement
multimdia. En haut de la fentre de simulation, cliquez avec le bouton droit
sur la barre d'outils. Vrifiez que la fonction Masquer automatiquement est
active, puis appuyez deux fois sur F11.
Pour visualiser les animations de ce cours, cliquez sur l'icne Lancement
multimdia. Aprs avoir ouvert l'animation, appuyez sur F11 pour la visualiser
en mode plein cran.

Introduction

Programme MOC

Expliquez ce qu'est le programme MOC (Microsoft Official Curriculum) et


prsentez la liste des cours supplmentaires recommands.
Renvoyez les stagiaires la page Web Microsoft Official Curriculum l'adresse
http://www.eu.microsoft.com/france/formation/ pour plus d'informations sur
les cours.

Programme MCP

Donnez aux stagiaires des informations sur le programme MCP (Microsoft


Certified Professional), les examens de certification relatifs ce cours et les
diffrentes certifications possibles.

Logistique

Dcrivez l'organisation du cours : heures de cours, prolongation des horaires


d'ouverture du btiment pour les ateliers, stationnement, toilettes, repas,
tlphone, bote aux lettres ou messagerie et zones fumeurs.
Indiquez aux stagiaires si vos locaux disposent d'un accs Internet qu'ils
pourront utiliser aux heures de pause.
Assurez-vous galement que les stagiaires sont informs des ventuelles
dispositions concernant le recyclage papier.

Introduction

Introduction

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Introduction

Documents de cours

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Votre kit de cours contient les documents dtaills cidessous.
!

Fiche. Inscrivez votre nom des deux cts de la fiche.

Manuel de travail du stagiaire. Ce manuel contient les sujets traits dans


le cours, ainsi que les exercices raliss pendant les ateliers pratiques.

CD-ROM du stagiaire. Ce CD-ROM contient la page Web destine aux


stagiaires. Cette page comporte des liens renvoyant des ressources ayant
un rapport avec ce cours, notamment des lectures complmentaires, les
rponses aux questions de contrle des acquis et des ateliers, les fichiers
des ateliers, les prsentations multimdias et les sites Web se rapportant
au cours.
Remarque Pour ouvrir la page Web du stagiaire, insrez le CD-ROM du
stagiaire dans le lecteur, puis double-cliquez la racine sur Autorun.exe ou
Default.htm.

Objectifs. Ce cours inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour
aider les stagiaires identifier les difficults ou en conclusion pour valider
leurs connaissances.

valuation du cours. Pour nous donner vos impressions sur le cours, le


centre de formation ou l'instructeur, vous aurez la possibilit de remplir un
formulaire d'valuation en ligne la fin du cours.

Logiciel d'valuation. Une copie d'valuation du logiciel Microsoft


Windows Server 2003 est fournie pour votre usage personnel uniquement.
Pour envoyer des commentaires supplmentaires ou obtenir des
informations sur le programme MCP (Microsoft Certified Professional),
envoyez un message lectronique l'adresse mcphelp@microsoft.com.

Introduction

Documentation supplmentaire dans Microsoft Press

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Les ouvrages de Microsoft Press sur Microsoft Windows Server 2003 peuvent
vous aider dans votre travail, de la planification et de l'valuation au
dploiement et la prise en charge existante. Ils vous fournissent des
informations techniques prcises qui vous permettront de tirer parti des
fonctionnalits et amliorations cls de Windows Server 2003. Les ouvrages
suivants reprsentent un complment aux connaissances fournies dans ce cours.
Titre

ISBN

Microsoft Windows Server 2003


Administrator's Pocket Consultant
(en anglais)

0-7356-1354-0

Active Directory Services for Microsoft


Windows Server 2003 Technical
Reference (en anglais)

0-7356-1577-2

Microsoft Windows Server 2003


Administrator's Companion (en anglais)

0-7356-1367-2

Microsoft Windows Server 2003


Deployment Kit (en anglais)

0-7356-1486-5

Migrating from Microsoft


Windows NT Server 4.0 to Microsoft
Windows Server 2003 (en anglais)

0-7356-1940-9

Microsoft Windows Server 2003 Security


Administrator's Companion (en anglais)

0-7356-1574-8

Introduction

Conditions pralables

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Pour tirer pleinement parti de ce cours, vous devez avoir suivi le cours 2189A,
Planification et maintenance d'une infrastructure rseau Microsoft Windows
Server 2003, ou possder des connaissances quivalentes.
Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).

Introduction

Plan du cours

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Le module 1, Introduction l'infrastructure Active Directory , prsente aux
stagiaires l'infrastructure du service d'annuaire Active Directory, sa structure
physique et logique, ainsi que sa fonction de service d'annuaire. Le module
prsente galement les composants logiciels enfichables MMC (Microsoft
Management Console) et les outils de ligne de commande vous permettant
d'analyser les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
Le module 2, Implmentation d'une structure de fort et de domaine Active
Directory , prsente les conditions requises pour installer Active Directory,
le processus de cration d'une fort et d'une structure de domaine l'aide de
l'Assistant Installation de Active Directory, ainsi que les tches effectuer
aprs l'installation. Il explique galement comment configurer le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine, et crer des relations
d'approbation.
Le module 3, Implmentation d'une structure d'unit d'organisation , fournit
aux stagiaires les connaissances et les comptences ncessaires pour crer des
units d'organisation, dlguer les tches d'administration courantes,
personnaliser la dlgation des tches d'administration d'une unit
d'organisation et planifier l'implmentation de la structure d'une unit
d'organisation.
Le module 4, Implmentation des comptes d'utilisateur, de groupe et
d'ordinateur , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter des comptes d'utilisateurs, de
groupes et d'ordinateurs Active Directory. Ce module explique comment crer
et grer plusieurs comptes d'utilisateurs et d'ordinateurs. Il fournit galement la
procdure d'implmentation des suffixes de nom principal d'utilisateur (UPN,
User Principal Name).

Introduction

Le module 5, Implmentation d'une stratgie de groupe , fournit aux


stagiaires les connaissances et les comptences ncessaires pour planifier et
implmenter une stratgie de groupe afin de grer de faon centralise les
utilisateurs et les ordinateurs d'une entreprise.
Le module 6, Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe , explique comment dployer et grer le logiciel l'aide d'une
stratgie de groupe. Ce module met l'accent sur les concepts de base relatifs
au dploiement, la configuration, la gestion de logiciels, la rsolution des
problmes lis au logiciel dploy, ainsi qu' la planification du dploiement de
logiciels.
Le module 7, Implmentation de sites pour grer la rplication Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour implmenter des sites qui vous permettront de grer et
d'analyser la rplication dans Active Directory. Ce module prsente les
concepts de base de la rplication et des sites dans Active Directory, et plus
prcisment : la cration, la configuration et la gestion de sites ; l'analyse et la
rsolution des checs de rplication ; la planification d'une stratgie de site.
Le module 8, Implmentation du placement des contrleurs de domaine ,
prsente aux stagiaires les emplacements des contrleurs de domaine. Ce
module met l'accent sur la planification du placement des contrleurs de
domaine, ce qui inclut les serveurs de catalogue global et les serveurs DNS
intgrs Active Directory. Il prsente galement les instructions de mise en
cache, pour un site, des informations relatives l'appartenance au groupe
universel.
Le module 9, Gestion des matres d'oprations , prsente aux stagiaires la
gestion des matres d'oprations dans Active Directory. Il dcrit la fonction de
chacun des cinq types de matres d'oprations, comment transfrer et prendre le
rle de matre des oprations et comment planifier une stratgie de placement
des matres d'oprations.
Le module 10, Maintenance d'Active Directory , explique les concepts de
bases relatifs la gestion de la disponibilit d'Active Directory, notamment
comment dfragmenter, dplacer, sauvegarder, restaurer et analyser une base de
donnes Active Directory.
Le module 11, Planification et implmentation d'une infrastructure Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter une infrastructure de service Active
Directory partir des besoins d'une entreprise fictive.

Introduction

Configuration

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Fichiers de cours

Les fichiers de ce cours qui sont associs aux ateliers se trouvent dans le
dossier \MOC\2194\Labfiles sur les ordinateurs des stagiaires. Les fichiers de
distribution de Windows Server 2003 se trouvent dans le rpertoire partag
\\London\OS.

Configuration
de la classe

La configuration de la classe est une configuration de fort unique comportant


deux domaines, comme l'illustre la diapositive.
Chaque ordinateur de stagiaire excute Windows Server 2003 en tant que
serveur membre du domaine nwtraders.msft. Chaque ordinateur de stagiaire
possde l'une des adresses TCP/IP suivantes : de 192.168.x.1 192.168.x.24,
de gauche droite sur la diapositive, x tant le numro de rseau de la classe.
L'ordinateur principal de l'instructeur, London, est un contrleur de domaine
pour le domaine racine de la fort, nwtraders.msft. Son adresse TCP/IP est
192.168.x.200 et il excute le service WINS (Windows Internet Name Service),
le protocole DHCP (Dynamic Host Configuration Protocol) et les services DNS
pour l'environnement de la classe. Il contient galement les diapositives
Microsoft PowerPoint et les dossiers partags des fichiers des ateliers.
L'ordinateur supplmentaire de l'instructeur a pour nom Glasgow. Son adresse
TCP/IP est 192.168.x.201. Il s'agit d'un contrleur de domaine pour le domaine
enfant corp.nwtraders.msft. Il assure essentiellement la prise en charge des
dmonstrations et des ateliers de l'instructeur.
Les outils d'administration et de support sont installs sur les deux ordinateurs
de l'instructeur. Seuls les outils de support sont installs sur les ordinateurs des
stagiaires. Les stagiaires installeront les outils d'administration sur leurs postes
lors du Module 1.

Introduction

La structure de domaine est modifie au cours du Module 2, la diffrence


de la structure dcrite prcdemment, la nouvelle structure possde des forts
distinctes pour chaque paire d'ordinateurs stagiaire. Chaque paire correspondra
un domaine racine de fort et un domaine enfant. La structure de domaine
sera de nouveau modifie au cours du Module 7, afin que les ordinateurs de
chaque paire deviennent des contrleurs de domaine d'un mme domaine. Ces
changements sont ncessaires pour complter et renforcer les exercices des
ateliers.

Introduction

Programme MOC

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Microsoft Formations et Certifications dveloppe le programme MOC,


y compris MSDN Training, pour les professionnels de l'informatique qui
conoivent, dveloppent, prennent en charge, implmentent ou grent des
solutions en utilisant des produits et des technologies Microsoft. Ces cours,
dispenss par un instructeur et disponibles en ligne, offrent une formation
complte base sur les comptences.

Autres cours
recommands

Chaque cours se rfre d'une certaine manire un autre cours. Celui-ci


peut tre une comptence requise, un cours complmentaire d'une srie
recommande ou un cours permettant d'acqurir une formation supplmentaire.
Nous vous conseillons d'assister aux cours suivants dans l'ordre de leur
classement :
!

Cours 2144A, Administration d'un environnement Microsoft Windows


Server 2003

Cours 2149A, Maintenance d'un environnement Microsoft Windows


Server 2003

Cours 2177A, Implmentation d'une infrastructure rseau Microsoft


Windows Server 2003 : htes rseau

10

Introduction

Programme MOC (suite)

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


!

Cours 2182A, Implmentation, administration et maintenance d'une


infrastructure rseau Microsoft Windows Server 2003 : services rseau

Cours 2189A, Planification et maintenance d'une infrastructure rseau


Microsoft Windows Server 2003

Cours 2194A, Planification, implmentation et maintenance d'une


infrastructure Active Directory Microsoft Windows Server 2003

Il se peut que d'autres cours traitant de ces sujets soient disponibles l'avenir.
Par consquent, si vous souhaitez des informations mises jour propos des
formations recommandes, consultez le site Web Formations et Certifications.
Informations Microsoft
Formations et
Certifications

Pour plus d'informations, consultez le site Web Microsoft Formations et


Certifications l'adresse http://www.eu.microsoft.com/france/formation.

Introduction

11

Programme MCP

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Microsoft Formations et Certifications propose diverses certifications pour les


dveloppeurs et les professionnels de l'informatique. Le programme MCP est
un programme de certification renomm qui valide votre exprience et vos
connaissances pour assurer votre comptitivit sur un march de l'emploi en
pleine volution.

Examen de certification

Ce cours aide les stagiaires prparer l'examen 70-294 : Planification,


implmentation et maintenance d'une infrastructure Active Directory sous
Microsoft Windows Server 2003.
L'examen 70-294 reprsente l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).

Certifications MCP

Le programme MCP comprend les certifications ci-dessous.


!

MCSA sur Microsoft Windows Server 2003


La certification MCSA (Microsoft Certified Systems Administrator) est
destine aux professionnels qui implmentent, grent et rsolvent les
problmes des environnements rseau et systme existants fonds sur des
plates-formes Microsoft Windows 2000, y compris la famille Windows
Server 2003. Leurs tches d'implmentation comprennent l'installation et la
configuration d'au moins une partie de ces systmes. En matire de gestion,
leurs responsabilits englobent l'administration et le support technique de
ces systmes.

MCSE sur Microsoft Windows Server 2003


La certification MCSE est la principale certification pour les professionnels
dont le rle consiste analyser les besoins des entreprises pour ensuite
concevoir et implmenter des infrastructures de solutions d'entreprise
fondes sur la plate-forme Microsoft Windows 2000 et les logiciels serveurs
de Microsoft, dont la famille des serveurs Windows Server 2003. Leurs
tches d'implmentation comprennent l'installation, la configuration et la
rsolution des problmes de systmes rseau.

12

Introduction
!

MCAD
La certification MCAD (Microsoft Certified Application Developer) pour
Microsoft .NET est destine aux professionnels qui utilisent les technologies
Microsoft pour dvelopper et maintenir, au niveau de leur service, des
applications, des composants, des clients Web ou de bureau, ou des services
principaux de donnes. Cette certification est galement destine ceux
qui travaillent dans des quipes de dveloppement d'applications
professionnelles. Elle couvre des tches allant du dveloppement et
du dploiement la maintenance de ces solutions.

MCSD
La certification MCSD (Microsoft Certified Solution Developer) est
la principale certification pour les professionnels qui conoivent et
dveloppent des solutions d'entreprise de pointe l'aide d'outils de
dveloppement, de technologies, de plates-formes Microsoft et de
l'architecture Microsoft Windows DNA. Parmi les types d'applications que
les titulaires d'une certification MCSD sont susceptibles de dvelopper,
citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les
tches qu'ils assument vont de l'analyse des besoins de l'entreprise la
maintenance des solutions mises en uvre.

MCDBA sur Microsoft SQL Server 2000


La certification MCDBA (Microsoft Certified Database Administrator) est
la principale certification l'intention des professionnels chargs de
l'implmentation et de l'administration de bases de donnes Microsoft
SQL Server. Cette certification valide les comptences dans les domaines
suivants : mise jour d'anciens modles de bases de donnes physiques,
dveloppement de modles de donnes logiques, cration de bases de
donnes physiques, cration de services de donnes au moyen de TransactSQL, gestion et maintenance des bases de donnes, configuration et gestion
de la scurit, surveillance et optimisation des bases de donnes, et
installation et configuration de SQL Server.

MCP
La certification MCP (Microsoft Certified Professional) s'adresse aux
individus qui possdent les comptences ncessaires pour implmenter un
produit ou une technologie Microsoft au sein d'une solution d'entreprise
dans une organisation. Il est ncessaire de bnficier d'une exprience
pratique du produit pour obtenir cette certification.

MCT
La certification MCT (Microsoft Certified Trainer) valide les comptences
pdagogiques et techniques des personnes qui dispensent des cours MOC
dans les centres de formation technique agrs Microsoft CTEC (Certified
Technical Education Center).

Introduction

Conditions requises
pour l'obtention des
certifications

13

Les critres retenus varient en fonction des certifications. Ils dpendent des
produits et des responsabilits professionnelles auxquels s'applique chacune de
ces certifications. Pour devenir MCP, vous devez tre reu des examens de
certification rigoureux qui permettent d'valuer de manires prcise et fiable
vos comptences et vos connaissances techniques.
Pour plus d'informations Consultez le site Web Formations et Certifications
de Microsoft France l'adresse http://www.microsoft.com/france/formation/
cert/mcp/default.asp.
Vous pouvez aussi envoyer un courrier lectronique l'adresse
mcphelp@microsoft.com pour toute question concernant les certifications.

Acquisition des
comptences valides
par un examen MCP

Les cours MOC et MSDN Training peuvent vous aider dvelopper les
comptences ncessaires pour assumer vos fonctions. Ils renforcent galement
l'exprience que vous avez acquise lors de l'utilisation des produits et
technologies Microsoft. Cependant, il n'existe pas de correspondance directe
entre les cours de formation MOC et MSDN, et les examens MCP. Le seul suivi
des cours ne garantit pas ncessairement la russite aux examens MCP : de
l'exprience et des connaissances pratiques sont galement ncessaires.
Pour prparer les examens MCP, vous pouvez utiliser les guides de prparation
disponibles pour chaque examen. Chaque guide de prparation contient des
informations spcifiques un examen, telles que la liste des sujets sur lesquels
vous serez interrog. Ces guides sont disponibles sur le site Web Formations et
Certifications de Microsoft France l'adresse http://www.microsoft.com/
france/formation/cert/mcp/default.asp.

14

Introduction

Logistique

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************

Module 1 : Introduction
l'infrastructure Active
Directory
Table des matires
Vue d'ensemble

Leon : Architecture d'Active Directory

Leon : Fonctionnement d'Active


Directory

11

Leon : Analyse d'Active Directory

21

Leon : Processus de conception, de


planification et d'implmentation
d'Active Directory

32

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 1 : Introduction l'infrastructure Active Directory

iii

Notes de l'instructeur
Prsentation :
90 minutes
Atelier :
0 minute

Ce module prsente aux stagiaires l'infrastructure du service d'annuaire Active


Directory, sa structure physique et logique, et sa fonction d'annuaire. Le
module prsente galement les composants logiciels enfichables MMC, les
outils de ligne de commande et l'environnement d'excution de scripts
Windows (Windows Script Host) vous permettant d'analyser les composants
Active Directory, ainsi que ses processus de conception, de planification et
d'implmentation.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :

Documents de cours

dcrire l'architecture d'Active Directory ;

dcrire le fonctionnement d'Active Directory ;

utiliser des composants logiciels enfichables MMC d'administration pour


analyser les composants d'Active Directory ;

dcrire les processus de conception, de planification et d'implmentation


d'Active Directory.

Pour animer ce module, vous devez disposer des lments suivants :


!

Fichier Microsoft PowerPoint 2194A_01.ppt

Fichier Macromedia Flash 2194A_2279a_01_a_logical.swf

Fichier Macromedia Flash 2194A_2279a_01_a_physical.swf

Fichier Macromedia Flash 2194A_2279a_1_a_SSO.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.
Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

visionner les prsentations multimdias ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.

iv

Module 1 : Introduction l'infrastructure Active Directory

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider les connaissances la fin de la
journe. Vous pouvez aussi les traiter en dbut de journe pour passer en
revue les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer leurs rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications pratiques
et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Module 1 : Introduction l'infrastructure Active Directory

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, chaque atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
permettant d'effectuer la tche (par exemple : partir de la console Utilisateurs
et ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Architecture d'Active Directory


Cette section dcrit les mthodes pdagogiques mettre en uvre pour cette
leon. Cette leon dcrit la fonction d'Active Directory, sa structure physique et
logique, ainsi que les rles de matre d'oprations.
Lorsque vous prsentez la rubrique Rle d'Active Directory, dcrivez la
fonction d'Active Directory dans Microsoft Windows Server 2003, ainsi que
sa fonction en tant que service d'annuaire rseau ; dcrivez galement comment
il aide les administrateurs grer les ressources prsentes sur un rseau.
Utilisez l'animation Structure logique d'Active Directory pour prsenter la
structure logique d'Active Directory. Prsentez l'animation toute la classe ou,
si les stagiaires disposent d'un casque, demandez-leur de la visionner
individuellement. Les stagiaires peuvent effectuer l'exercice la fin de
l'animation en groupe ou individuellement. Utilisez l'exercice comme point de
dpart de discussion sur le contenu de l'animation. Aprs l'introduction, vous
pouvez utiliser les boutons de navigation pour accder une autre rubrique de
l'animation.
Utilisez l'animation Structure physique d'Active Directory pour prsenter la
structure physique d'Active Directory, et montrer comment les structures
logique et physique fonctionnent conjointement pour rpondre aux impratifs
organisationnels. Lorsque les stagiaires auront fini de visionner l'animation
multimdia, rsumez-en les points cls. Assurez-vous que les stagiaires ont
compris les points ci-dessous.
!

Le concept de sites en tant qu'objets physiquement distincts. Faites


remarquer comment les sites optimisent le trafic de connexions et de
rplications.

Le concept de contrleurs de domaine comme objets physiquement


distincts, diffrents des domaines.

vi

Module 1 : Introduction l'infrastructure Active Directory

Lorsque vous prsentez la rubrique Dfinition des matres d'oprations, ne


dcrivez que la fonction de chaque rle. Lorsque vous dcrivez le rle de matre
du schma, ne consacrez pas trop de temps dcrire le schma. Celui-ci sera
dcrit plus loin dans le module. Les dtails sur la gestion des contrleurs
de domaine qui grent ces rles sont dcrits dans le Module 9, Gestion
des matres d'oprations , du cours 2194, Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Application pratique

Cette leon ne comporte pas d'application pratique.

Leon : Fonctionnement d'Active Directory


Cette leon dcrit la fonction d'Active Directory en tant que service d'annuaire.
Elle prsente galement les comptences et les connaissances requises pour
que les stagiaires comprennent comment Active Directory peut les aider
administrer les ressources et rsoudre les problmes susceptibles de survenir
lorsqu'ils tentent d'accder ces ressources.
Expliquez la fonction d'Active Directory en tant que service d'annuaire. Prenez
l'exemple d'un annuaire tlphonique pour dcrire la fonctionnalit d'un service
d'annuaire. De mme qu'un annuaire tlphonique permet de retrouver un
numro de tlphone en fonction d'un nom, Active Directory permet de
localiser des ressources en fonction des attributs qui la dcrivent.
Lorsque vous expliquez le rle du catalogue global, assurez-vous que les
stagiaires comprennent que celui-ci s'tend au niveau de la fort, et qu'il ne
contient qu'un sous-ensemble des attributs de chaque objet stock dans Active
Directory. Les attributs de chaque objet stock dans le catalogue global sont
suffisants pour permettre Active Directory de localiser la ressource que
l'objet reprsente.
Lorsque vous dcrivez le schma Active Directory, assurez-vous que les
stagiaires qui ont travaill avec Active Directory dans Microsoft
Windows 2000 comprennent l'importance de dsactiver les modifications de
schma. Il s'agit d'une nouvelle fonctionnalit dans Windows Server 2003.
Lorsque vous prsentez la rubrique Dfinition d'un nom unique et d'un nom
unique relatif, insistez sur la faon d'utiliser le protocole LDAP (Lightweight
Directory Access Protocol) pour communiquer avec Active Directory. Vrifiez
galement que les stagiaires savent crer une chane de requte LDAP.
Utilisez l'animation Ouverture de session unique avec Active Directory pour
montrer aux stagiaires comment les valeurs d'attributs, le catalogue global et le
protocole LDAP fonctionnent conjointement pour permettre d'accder aux
ressources et d'autres fonctions Active Directory.
Application pratique

Cette leon ne comporte pas d'application pratique.

Module 1 : Introduction l'infrastructure Active Directory

vii

Leon : Analyse d'Active Directory


Cette leon prsente les composants logiciels enfichables MMC et les outils
de ligne de commande permettant aux stagiaires de grer Active Directory et
d'analyser les objets Active Directory qui sont prsents dans la leon
Architecture d'Active Directory.
Les stagiaires doivent tre dj familiariss avec les modles d'administration
centraliss et dcentraliss dans Active Directory. Utilisez la rubrique Gestion
d'Active Directory pour rviser ces modles.
Utilisez la rubrique Outils et composants logiciels enfichables d'administration
d'Active Directory pour dcrire les composants logiciels enfichables MMC les
plus frquents, utiliss pour grer Active Directory. Ne consacrez pas trop de
temps aux fonctionnalits de chaque outil.
Les stagiaires doivent galement tre familiariss avec les composants logiciels
enfichables d'administration de l'interface graphique utilisateur (GUI, Graphical
User Interface). N'utilisez la rubrique Comment analyser Active Directory que
pour rviser leur utilisation. Indiquez aux stagiaires les annexes consulter pour
plus d'informations sur l'utilisation de ADSI Edit.
Application pratique

la fin de la leon, les stagiaires devront analyser la structure Active Directory


de la fort de la classe l'aide des composants Utilisateurs et ordinateurs Active
Directory, Domaines et approbations Active Directory et Sites et services
Active Directory.

Leon : Processus de conception, de planification et


d'implmentation d'Active Directory
Cette leon donne une vue d'ensemble des processus de conception, de
planification et d'implmentation d'Active Directory. Assurez-vous que
les stagiaires comprennent la diffrence entre conception, planification et
implmentation.
Application pratique

Cette leon ne comporte pas d'application pratique.

Module 1 : Introduction l'infrastructure Active Directory

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Objectifs

Ce module prsente la structure physique et logique du service d'annuaire


Active Directory, et sa fonction en tant qu'annuaire. Le module prsente
galement les composants logiciels enfichables, les outils de ligne de
commande et l'environnement d'excution de scripts Windows vous permettant
de grer les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
la fin de ce module, vous serez mme d'effectuer les tches suivantes :
dcrire l'architecture d'Active Directory ;

!
!

dcrire le fonctionnement d'Active Directory ;

utiliser des composants logiciels enfichables d'administration pour analyser


Active Directory ;

dcrire les processus de conception, de planification et d'implmentation


d'Active Directory.

Module 1 : Introduction l'infrastructure Active Directory

Leon : Architecture d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Active Directory inclut des composants qui constituent sa structure logique et


physique. Vous devez planifier les structures logique et physique d'Active
Directory pour rpondre vos impratifs organisationnels. Pour grer Active
Directory, vous devez comprendre le rle de ces composants et comment
les utiliser.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire la fonction d'Active Directory ;

dcrire la structure logique d'Active Directory ;

dcrire la structure physique d'Active Directory ;

dcrire les rles de matre d'oprations.

Module 1 : Introduction l'infrastructure Active Directory

Rle d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Active Directory stocke des informations sur les utilisateurs, les ordinateurs et
les ressources du rseau, afin de permettre aux utilisateurs et aux applications
d'accder ces ressources. Il constitue un moyen cohrent de nommer, de
dcrire, de localiser, d'accder, de grer et de scuriser les informations
concernant ces ressources.

Fonction d'Active
Directory

Active Directory fournit les fonctions ci-dessous :


!

Centralisation du contrle des ressources du rseau. La centralisation du


contrle des ressources, comme les serveurs, les fichiers partags et les
imprimantes, permet aux seuls utilisateurs autoriss d'accder aux
ressources dans Active Directory.

Centralisation et dcentralisation de la gestion des ressources. Les


administrateurs peuvent grer des ordinateurs clients distribus, des services
rseau et des applications partir d'un emplacement centralis l'aide d'une
interface de gestion cohrente, ou distribuer des tches d'administration en
dlguant le contrle des ressources d'autres administrateurs.

Stockage des objets de manire scurise dans une structure logique. Active
Directory stocke toutes les ressources sous forme d'objets dans une structure
logique hirarchique scurise.

Optimisation du trafic rseau. La structure physique d'Active Directory


vous permet d'utiliser plus efficacement la bande passante du rseau. Il
garantit, par exemple, que lorsque des utilisateurs se connectent au rseau,
ils sont authentifis par l'autorit d'authentification la plus proche de
l'utilisateur, rduisant d'autant la quantit de trafic rseau.

Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Structure logique d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Structure logique d'Active Directory, ouvrez


la page Web sur le CD-ROM du stagiaire, cliquez sur Multimdia, puis sur
le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit
par l'instructeur.

Objectifs

la fin de cette prsentation, vous serez mme d'effectuer les tches


suivantes :

Points cls

dfinir les lments de la structure logique d'Active Directory ;

discuter du rle de ces lments.

Active Directory offre un stockage scuris pour les informations concernant


les objets dans sa structure logique hirarchique. Les objets Active Directory
reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d'autres. Lorsque vous aurez
compris le rle et la fonction de ces objets, vous pourrez effectuer des tches
diverses, comme l'installation, la configuration, la gestion et le dpannage
d'Active Directory.
La structure logique d'Active Directory inclut les composants suivants :
!

Les objets. Il s'agit des composants les plus lmentaires de la structure


logique. Les classes d'objets sont des modles pour les types d'objets que
vous pouvez crer dans Active Directory. Chaque classe d'objet est dfinie
par une liste d'attributs, qui dfinit les valeurs possibles que vous pouvez
associer un objet. Chaque objet possde une combinaison unique de
valeurs d'attributs.

Les units d'organisation (OU, Organizational Unit). Vous utilisez ces


objets conteneurs pour organiser d'autres objets de telle manire qu'ils
prennent en compte vos objectifs administratifs. La disposition de ces objets
par unit d'organisation simplifie la recherche et la gestion des objets. Vous
pouvez galement dlguer l'autorit de gestion d'une unit d'organisation.
Les units d'organisation peuvent tre imbriques les unes dans les autres,
ce qui simplifie d'autant la gestion d'objets.

Module 1 : Introduction l'infrastructure Active Directory


!

Les domaines. Units fonctionnelles centrales dans la structure logique


d'Active Directory, les domaines sont un ensemble d'objets dfinis
administrativement qui partagent une base de donnes d'annuaire commune,
des stratgies de scurit et des relations d'approbation avec d'autres
domaines. Les domaines disposent des trois fonctions suivantes :
Une limite d'administration pour objets
Une mthode de gestion de la scurit pour les ressources partages
Une unit de rplication pour les objets

Les arborescences de domaines. Les domaines regroups en structures


hirarchiques sont appels arborescences de domaines. Lorsque vous
ajoutez un second domaine une arborescence, il devient enfant du domaine
racine de l'arborescence. Le domaine auquel un domaine enfant est attach
est appel domaine parent. Un domaine enfant peut son tour avoir son
propre domaine enfant.
Le nom d'un domaine enfant est associ celui de son domaine parent
pour former son nom DNS (Domain Name System) unique, par exemple
corp.nwtraders.msft. De cette manire, une arborescence a un espace de
noms contigu.

Les forts. Une fort est une instance complte d'Active Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique
deux niveaux, qui est recommande pour la plupart des organisations, tous
les domaines enfants sont des enfants du domaine racine de la fort afin de
former une arborescence contigu.
Le premier domaine de la fort est appel le domaine racine de la fort.
Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft.
Par dfaut, les informations dans Active Directory ne sont partages qu'
l'intrieur de la fort. Ainsi, la fort est une limite de scurit pour les
informations contenues dans l'instance d'Active Directory.

Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Structure physique d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Structure physique d'Active Directory, ouvrez


la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.

Objectifs

la fin de cette prsentation, vous serez mme d'effectuer les tches


suivantes :

Points cls

dfinir les lments de la structure physique d'Active Directory ;

discuter du rle de ces lments.

Contrairement la structure logique, qui modlise des exigences


administratives, la structure physique d'Active Directory optimise le trafic
rseau en dterminant o et quand se produit un trafic de connexions et de
rplications. Pour optimiser l'utilisation par Active Directory de la bande
passante du rseau, vous devez en comprendre la structure physique. Les
lments de la structure physique d'Active Directory sont :
!

Les contrleurs de domaine. Ces ordinateurs excutent Microsoft


Windows Server 2003 ou Windows 2000 Server et Active Directory.
Chaque contrleur de domaine excute des fonctions de stockage et de
rplication. Un contrleur de domaine ne peut grer qu'un seul domaine.
Pour assurer une disponibilit permanente d'Active Directory, chaque
domaine doit disposer de plusieurs contrleurs de domaine.

Module 1 : Introduction l'infrastructure Active Directory


!

Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein d'un mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication l'intrieur du site ; autrement dit, le temps requis pour qu'une
modification effectue sur un contrleur de domaine soit rplique sur
d'autres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser l'utilisation de la bande passante entre des contrleurs de
domaines situs des emplacements diffrents.
Remarque Pour plus d'informations sur les sites Active Directory, reportezvous au Module 7, Implmentation de sites pour grer la rplication
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.

Partitions Active Directory. Chaque contrleur de domaine contient les


partitions Active Directory suivantes :
La partition de domaine contient les rplicas de tous les objets de ce
domaine. La partition de domaine n'est rplique que dans d'autres
contrleurs appartenant au mme domaine.
La partition de configuration contient la topologie de la fort. La
topologie est un enregistrement de tous les contrleurs de domaine et des
connexions entre eux dans une fort.
La partition de schma contient le schma tendu au niveau de la fort.
Chaque fort comporte un schma de sorte que la dfinition de chaque
classe d'objet est cohrente. Les partitions de configuration et de schma
sont rpliques dans chaque contrleur de domaine dans la fort.
Les partitions d'applications facultatives contiennent des objets non lis
la scurit et utiliss par une ou plusieurs applications. Les partitions
d'applications sont rpliques dans des contrleurs de domaine spcifis
dans la fort.
Remarque Pour plus d'informations sur les partitions Active Directory,
reportez-vous au Module 7, Implmentation de sites pour grer la
rplication Active Directory , du cours 2194, Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.

Module 1 : Introduction l'infrastructure Active Directory

Dfinition des matres d'oprations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsqu'un domaine est modifi, la modification est rplique sur tous les
contrleurs du domaine. Certaines modifications, telles que celles apportes au
schma, sont rpliques dans tous les domaines de la fort. Cette rplication est
appele rplication multimatre.

Oprations de matre
unique

Lors d'une rplication multimatre, un conflit de rplication peut se produire si


des mises jour d'origine sont effectues simultanment sur le mme attribut
d'un objet sur de deux contrleurs de domaine. Pour viter des conflits de
rplication, vous utiliserez une rplication matre unique, qui dsigne un
contrleur de domaine comme tant le seul sur lequel certaines modifications
de l'annuaire peuvent tre effectues. Ainsi, des modifications ne peuvent
intervenir simultanment sur diffrents endroits du rseau. Active Directory
utilise une rplication matre unique pour des modifications importantes,
comme l'ajout d'un nouveau domaine ou une modification dans le schma au
niveau de la fort.

Rles de matre
d'oprations

Les oprations utilisant une rplication matre unique sont regroupes dans
des rles spcifiques dans une fort ou un domaine. Ces rles sont appels
rles de matre d'oprations. Pour chaque rle de matre d'oprations, seul le
contrleur de domaine possdant ce rle peut effectuer les modifications dans
l'annuaire correspondant. Le contrleur de domaine responsable d'un rle
particulier est appel matre d'oprations pour ce rle. Active Directory
stocke les informations concernant le contrleur de domaine qui joue un
rle spcifique.

Module 1 : Introduction l'infrastructure Active Directory

Active Directory dfinit cinq rles de matre d'oprations, chacun possdant un


emplacement par dfaut. Les rles de matre d'oprations s'tendent au niveau
d'une fort ou d'un domaine.
!

Rles tendus au niveau d'une fort. Particuliers une fort, les rles
tendus au niveau d'une fort sont :
Le contrleur de schma. Il contrle toutes les mises jour du schma.
Le schma contient la liste principale des classes et des attributs d'objets
utiliss pour crer tous les objets Active Directory, comme les
utilisateurs, les ordinateurs et les imprimantes.
Le matre d'attribution des noms de domaine. Il contrle l'ajout ou la
suppression de domaines dans la fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
d'attribution des noms de domaine peut ajouter le nouveau domaine.
L'ensemble de la fort ne contient qu'un seul contrleur de schma et qu'un
seul matre d'attribution des noms de domaine.

Rles tendus au niveau d'un domaine. Particuliers chaque domaine dans


une fort, les rles couvrant un domaine sont :
L'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrleur principal de domaine
Windows NT pour la prise en charge de tout contrleur secondaire de
domaine (BDC, Backup Domain Controller) excutant Microsoft
Windows NT au sein d'un domaine en mode mixte. Ce type de domaine
possde des contrleurs de domaine excutant Windows NT 4.0.
L'mulateur PDC est le premier contrleur de domaine que vous crez
dans un nouveau domaine.
Le matre des identificateurs relatifs (matre RID). Lorsqu'un nouvel
objet est cr, le contrleur de domaine cre une nouvelle entit de
scurit qui reprsente l'objet et auquel elle affecte un identificateur de
scurit (SID, Security IDentifier) unique. Cet identificateur consiste en
un identificateur de scurit de domaine, qui est le mme pour toutes les
entits de scurit cres dans le domaine, et en un identificateur relatif
(RID, Relative IDentifier) qui est unique pour chaque entit de scurit
cre dans le domaine. Le matre RID alloue des blocs d'identificateurs
relatifs chaque contrleur de domaine du domaine. Le contrleur de
domaine affecte ensuite un matre RID aux objets crs partir de son
bloc de matres RID allous.

10

Module 1 : Introduction l'infrastructure Active Directory

Le matre d'infrastructure. Lorsque des objets sont dplacs d'un


domaine vers un autre, le matre d'infrastructure met jour dans son
domaine les rfrences d'objets qui pointent sur l'objet dans l'autre
domaine. La rfrence d'objet contient l'identificateur global unique
(GUID, Globally Unique IDentifier) de l'objet, son nom unique, et un
identificateur de scurit. Active Directory met rgulirement jour le
nom unique et l'identificateur de scurit sur la rfrence d'objet afin de
reflter les modifications apportes l'objet rel, par exemple des
dplacements l'intrieur d'un domaine et entre domaines, et la
suppression de l'objet.
Dans une fort, chaque domaine possde ses propres mulateur PDC, matre
RID et matre d'infrastructure.
Remarque Pour plus d'informations sur les rles de matre d'oprations,
reportez-vous au Module 9, Gestion des matres d'oprations , du
cours 2194, Planification, implmentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.

Module 1 : Introduction l'infrastructure Active Directory

11

Leon : Fonctionnement d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon prsente la fonction d'Active Directory en tant que service


d'annuaire. Comprendre le fonctionnement d'Active Directory vous aidera
grer les ressources et rsoudre les problmes d'accs ces ressources.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire la fonction d'Active Directory en tant que service d'annuaire ;

dfinir le rle du schma Active Directory et son utilisation ;

dfinir le rle du catalogue global ;

dterminer le nom unique et le nom unique relatif d'un objet


Active Directory ;

dcrire comment Active Directory active l'ouverture de session unique.

12

Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un service d'annuaire

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans de grands rseaux, les ressources sont partages par de nombreux


utilisateurs et applications. Pour permettre aux utilisateurs et aux applications
d'accder ces ressources et aux informations les concernant, une mthode
cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et
scuriser les informations concernant ces ressources. Un service d'annuaire
remplit cette fonction.

Dfinition d'un service


d'annuaire

Un service d'annuaire est un rfrentiel d'informations structur concernant


les personnes et les ressources d'une organisation. Dans un rseau
Windows Server 2003, le service d'annuaire s'appelle Active Directory.

Fonctionnalits
d'Active Directory

Active Directory dispose des fonctionnalits suivantes :


!

Accs pour les utilisateurs et les applications aux informations concernant


des objets. Ces informations sont stockes sous forme de valeurs d'attributs.
Vous pouvez rechercher des objets selon leur classe d'objet, leurs attributs,
leurs valeurs d'attributs et leur emplacement au sein de la structure Active
Directory ou selon toute combinaison de ces valeurs.

Transparence des protocoles et de la topologie physique du rseau. Un


utilisateur sur un rseau peut accder toute ressource, une imprimante par
exemple, sans savoir o celle-ci se trouve ou comment elle est connecte
physiquement au rseau.

Module 1 : Introduction l'infrastructure Active Directory

13

Possibilit de stockage d'un trs grand nombre d'objets. Comme il est


organis en partitions, Active Directory peut rpondre aux besoins issus de
la croissance d'une organisation. Par exemple, un annuaire peut ainsi passer
d'un serveur unique contenant quelques centaines d'objets des milliers de
serveurs contenant des millions d'objets.

Possibilit d'excution en tant que service indpendant du systme


d'exploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalit de Microsoft Active Directory permettant de
rsoudre certains scnarios de dploiement lis des applications utilisant
un annuaire. AD/AM s'excute comme un service indpendant du systme
d'exploitation qui, en tant que tel, ne ncessite pas de dploiement sur un
contrleur de domaine. L'excution en tant que service indpendant du
systme d'exploitation signifie que plusieurs instances AD/AM peuvent
s'excuter simultanment sur un serveur unique, chaque instance tant
configurable de manire indpendante.

Remarque Pour plus d'informations sur AD/AM, reportez-vous la page


Introduction to Windows Server 2003 Active Directory in Application
Mode l'adresse suivante :
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
(en anglais).

14

Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un schma

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le schma Active Directory dfinit les genres d'objets, les types d'informations
concernant ces objets, et la configuration de scurit par dfaut pour les objets
pouvant tre stocks dans Active Directory.

Dfinition du schma
Active Directory

Le schma Active Directory contient les dfinitions de tous les objets,


comme les utilisateurs, les ordinateurs et les imprimantes stocks dans
Active Directory. Les contrleurs de domaine excutant Windows Server 2003
ne comportent qu'un seul schma pour toute une fort. Ainsi, tous les objets
crs dans Active Directory se conforment aux mmes rgles.
Le schma possde deux types de dfinitions : les classes d'objets et les
attributs. Les classes d'objets comme utilisateur, ordinateur et imprimante
dcrivent les objets d'annuaire possibles que vous pouvez crer. Chaque
classe d'objet est un ensemble d'attributs.
Les attributs sont dfinis sparment des classes d'objets. Chaque attribut n'est
dfini qu'une seule fois et peut tre utilis dans plusieurs classes d'objets. Par
exemple, l'attribut Description est utilis dans de nombreuses classes d'objets,
mais il n'est dfini qu'une seule fois dans le schma afin de prserver la
cohrence.

Schma Active Directory


et extensibilit

Vous pouvez crer de nouveaux types d'objets dans Active Directory en


dveloppant le schma. Par exemple, pour une application de serveur de
messagerie, vous pouvez dvelopper la classe d'utilisateur dans Active
Directory en lui ajoutant de nouveaux attributs stockant des informations
supplmentaires, telles que les adresses de messagerie des utilisateurs.
Remarque Pour plus d'informations sur le dveloppement du schma Active
Directory, consultez l'article en ligne Extending the Schema (en anglais)
dans la bibliothque MSDN.

Module 1 : Introduction l'infrastructure Active Directory

Modifications et
dsactivation de schma

15

Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des
modifications apportes un schma en les dsactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalits d'extensibilit d'Active
Directory.
Vous pouvez galement redfinir une classe ou un attribut de schma. Vous
pourriez, par exemple, modifier la syntaxe de la chane Unicode d'un attribut
appel SalesManager pour en faire un nom unique.

16

Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un catalogue global

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans Active Directory, les ressources peuvent tre partages parmi des
domaines et des forts. Le catalogue global d'Active Directory permet de
rechercher des ressources parmi des domaines et des forts de manire
transparente pour l'utilisateur. Par exemple, si vous recherchez toutes les
imprimantes prsentes dans une fort, un serveur de catalogue global traite la
requte dans le catalogue global, puis renvoie les rsultats. En l'absence de
serveur de catalogue global, cette requte exigerait une recherche dans chaque
domaine de la fort.

Dfinition du catalogue
global

Le catalogue global est un rfrentiel d'informations qui contient un sousensemble des attributs de tous les objets d'Active Directory. Les membres du
groupe Administrateurs du schma peuvent modifier les attributs stocks dans
le catalogue global, en fonction des impratifs d'une organisation. Le catalogue
global contient :

Dfinition d'un serveur


de catalogue global

les attributs les plus frquemment utiliss dans les requtes, comme les nom
et prnom d'un utilisateur, et son nom d'ouverture de session ;

les informations requises pour dterminer l'emplacement de tout objet dans


l'annuaire ;

un sous-ensemble d'attributs par dfaut pour chaque type d'objet ;

les autorisations d'accs pour chaque objet et attribut stock dans le


catalogue global. Si vous recherchez un objet pour lequel vous ne possdez
pas les autorisations de visualisation requises, cet objet n'apparatra pas dans
les rsultats de la recherche. Les autorisations d'accs garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un
droit d'accs.

Un serveur de catalogue global est un contrleur de domaine qui traite


efficacement les requtes intraforts dans le catalogue global. Le premier
contrleur de domaine que vous crez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer
des serveurs de catalogue global supplmentaires pour quilibrer le trafic
li aux authentifications de connexion et aux requtes.

Module 1 : Introduction l'infrastructure Active Directory

Fonctions du catalogue
global

Le catalogue global permet aux utilisateurs d'excuter deux fonctions


importantes :
!

trouver les informations Active Directory en tout point de la fort,


indpendamment de l'emplacement des donnes ;

utiliser les informations d'appartenance au groupe universel pour se


connecter au rseau.

Remarque Pour plus d'informations sur le catalogue global, reportez-vous au


Module 8, Implmentation de l'emplacement des contrleurs de domaine ,
du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.

17

18

Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un nom unique et d'un nom unique relatif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier


des objets dans une base de donnes Active Directory. Le protocole LDAP est
un sous-ensemble de la norme ISO X.500 relative aux services d'annuaire. Il
utilise les informations portant sur la structure d'un annuaire pour trouver des
objets individuels possdant chacun un nom unique.

Dfinition

Le protocole LDAP utilise un nom reprsentant un objet Active Directory par


une srie de composants concernant la structure logique. Cette reprsentation,
appele nom unique de l'objet, identifie le domaine dans lequel se trouve l'objet
ainsi que le chemin complet permettant d'accder celui-ci. Un nom de ce type
ne peut tre qu'unique dans une fort Active Directory.
Le nom unique relatif d'un objet identifie l'objet de manire unique dans son
conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le
mme nom. Le nom unique relatif est toujours le premier composant du nom
unique, mais il n'est pas toujours un nom usuel.

Module 1 : Introduction l'infrastructure Active Directory

Exemple de nom unique

19

Chaque lment de la structure logique de l'utilisatrice Laura Bartoli de l'unit


d'organisation Sales (Ventes) du domaine Contoso.msft est reprsent dans le
nom unique suivant :
CN=Laura Bartoli,OU=Sales,DC=contoso,DC=msft
!

CN (Common Name) est le nom usuel de l'objet dans son conteneur.

OU (Organizational Unit) est l'unit d'organisation qui contient


l'objet.Plusieurs valeurs d'OU peuvent exister si l'objet se trouve dans une
unit d'organisation imbrique.

DC (Domain Component) est un composant de domaine, tel que com


ou msft . Il existe toujours au moins deux composants de domaine, voire
davantage si le domaine est un domaine enfant.

Les composants de domaine du nom unique sont bass sur le DNS (Domain
Name System).
Exemple de nom
unique relatif

Dans l'exemple suivant, Sales est le nom unique relatif d'une unit
d'organisation reprsente par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft

20

Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Ouverture de session unique avec


Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Ouverture de session unique avec Active


Directory, ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur
Multimdia, puis sur le titre de la prsentation. N'ouvrez pas cette prsentation
avant d'y tre invit par l'instructeur.

Objectifs

la fin de cette prsentation, vous serez mme d'effectuer les tches


suivantes :

Points cls

dcrire la procdure utilise par Active Directory pour activer une ouverture
de session unique ;

discuter de l'importance d'une ouverture de session unique.

L'activation d'une ouverture de session unique permet Active Directory de


rendre transparents pour l'utilisateur les processus complexes d'authentification
et d'autorisation. Les utilisateurs n'ont pas besoin de grer plusieurs ensembles
d'autorisations.
Une ouverture de session unique consiste en :
!

une authentification, qui vrifie les autorisations de la tentative de connexion ;

une autorisation, qui vrifie que la demande de connexion est autorise.

En tant qu'ingnieur systme, vous devez comprendre le fonctionnement de ces


processus afin d'optimiser et de dpanner votre structure Active Directory.

Module 1 : Introduction l'infrastructure Active Directory

21

Leon : Analyse d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Sous Windows Server 2003, les administrateurs disposent de composants


logiciels enfichables et d'outils de ligne de commande pour grer Active
Directory. Cette leon prsente ces composants et outils, et explique comment
les utiliser pour analyser la structure logique et physique d'Active Directory.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer comment Active Directory est conu pour permettre une gestion
centralise et dcentralise ;

dcrire les composants logiciels enfichables d'administration d'Active


Directory et les outils de ligne de commande courants ;

analyser la structure logique et physique d'Active Directory.

22

Module 1 : Introduction l'infrastructure Active Directory

Gestion d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

L'utilisation d'Active Directory vous permet de grer un grand nombre


d'utilisateurs, d'ordinateurs, d'imprimantes et de ressources rseau partir
d'un emplacement centralis, l'aide des outils et des composants logiciels
enfichables d'administration de Windows Server 2003. Active Directory prend
galement en charge l'administration dcentralise. Un administrateur possdant
l'autorit requise peut dlguer un ensemble slectionn de privilges
administratifs d'autres utilisateurs ou groupes dans une organisation.

Prise en charge par


Active Directory de la
gestion centralise

Active Directory inclut plusieurs fonctionnalits de prise en charge de la gestion


centralise :
!

Informations concernant tous les objets et leurs attributs. Les attributs


contiennent des donnes qui dcrivent la ressource que l'objet identifie ;
comme les informations concernant toutes les ressources du rseau sont
stockes dans Active Directory, un administrateur peut grer et administrer
ces ressources de faon centralise.

Vous pouvez interroger Active Directory l'aide de protocoles tels que


LDAP. Vous pouvez aisment localiser des informations concernant des
objets en recherchant des attributs slectionns de l'objet, l'aide d'outils
prenant en charge le protocole LDAP.

Vous pouvez grouper en units d'organisation des objets possdant des


exigences similaires en termes d'administration et de scurit. Les units
d'organisation offrent plusieurs niveaux d'autorit administrative, de sorte
que vous pouvez appliquer des paramtres de stratgie de groupe et dlguer
le contrle administratif. Cette dlgation simplifie le travail de gestion de
ces objets et vous permet de structurer Active Directory en fonction des
impratifs de votre organisation.

Vous pouvez spcifier des paramtres de stratgie de groupe pour un site,


un domaine, ou une unit d'organisation. Active Directory applique ensuite
ces paramtres de stratgie de groupe tous les utilisateurs et ordinateurs
l'intrieur du conteneur.

Module 1 : Introduction l'infrastructure Active Directory

Prise en charge par


Active Directory de la
gestion dcentralise

23

Active Directory prend galement en charge la gestion dcentralise. Vous


pouvez affecter des autorisations et accorder des droits aux utilisateurs de
manire trs spcifique. Vous pouvez, par exemple, dlguer des privilges
administratifs sur certains objets aux quipes de ventes et de marketing d'une
organisation.
Vous pouvez dlguer l'affectation des autorisations :
!

pour des units d'organisation spcifiques diffrents groupes de Domaine


local ; par exemple, dlgation de l'autorisation Contrle total pour l'unit
d'organisation Sales ;

pour modifier des attributs spcifiques d'un objet dans une unit
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numro de tlphone d'un utilisateur et de rinitialiser les
mots de passe sur l'objet compte d'utilisateur ;

pour excuter la mme tche, par exemple rinitialiser les mots de passe,
dans toutes les units d'organisation d'un domaine.

24

Module 1 : Introduction l'infrastructure Active Directory

Outils et composants logiciels enfichables d'administration


d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Windows Server 2003 comporte plusieurs composants logiciels enfichables


et outils de ligne de commande permettant de grer Active Directory.
Vous pouvez galement grer Active Directory l'aide d'objets ADSI
(Active Directory Service Interfaces) partir de l'environnement d'excution
de scripts Windows. ADSI est une interface simple mais nanmoins puissante
d'Active Directory permettant de crer des scripts rutilisables pour la gestion
d'Active Directory.

Composants logiciels
enfichables
d'administration

Le tableau suivant dcrit quelques composants logiciels enfichables


d'administration courants permettant de grer Active Directory.

Composant
logiciel enfichable

Description

Utilisateurs et ordinateurs
Active Directory

Cette console MMC (Microsoft Management Console) est utilise pour la gestion et
la publication d'informations dans Active Directory. Vous pouvez grer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs un
domaine, grer des stratgies de compte ainsi que des droits d'utilisateur, et procder
l'audit de la stratgie.

Domaines et approbations
Active Directory

Cette console MMC est utilise pour grer des approbations de domaines et de forts,
ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forts.

Sites et services Active


Directory

Cette console MMC vous permet de grer la rplication de donnes d'annuaire.

Schma Active Directory

Cette console MMC vous permet de grer le schma. Il n'est pas disponible par
dfaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.

Module 1 : Introduction l'infrastructure Active Directory

25

Remarque Vous pouvez utiliser galement l'diteur ADSI Edit pour visualiser,
crer, modifier et supprimer des objets dans Active Directory. L'diteur ADSI
Edit n'est pas install par dfaut. Pour en bnficier, installez les outils de
support de Windows Server 2003 partir du dossier \Support\Tools sur le
CD-ROM du produit.
Vous pouvez personnaliser les consoles d'administration afin qu'elles
correspondent aux tches d'administration que vous dlguez d'autres
administrateurs. Vous pouvez galement regrouper dans une mme console
toutes les consoles requises pour chaque fonction d'administration.
Outils de ligne de
commande
d'administration

Le tableau suivant dcrit quelques outils courants de ligne de commande,


utilisables lorsque vous grez Active Directory.

Outil

Description

Dsadd

Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des units d'organisation et des contacts.

Dsmod

Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des units d'organisation et des contacts.

Dsquery

Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units d'organisation et des partitions.

Dsmove

Dplace un objet unique, l'intrieur d'un domaine, vers un nouvel emplacement


dans Active Directory ou renomme un objet unique sans le dplacer.
Supprime un objet dans Active Directory.

Dsrm
Dsget

Affiche des attributs slectionns d'un ordinateur, d'un contact, d'un groupe, d'une
unit d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.

Csvde

Importe et exporte des donnes Active Directory l'aide d'un format de sparation
par virgule.

Ldifde

Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des donnes
d'autres services d'annuaire.

Remarque Pour plus d'informations sur les outils de ligne de commande


fournis par Windows Server 2003, reportez-vous la section Gestion
d'Active Directory partir de la ligne de commande dans Aide et Support.

26

Module 1 : Introduction l'infrastructure Active Directory

Environnement
d'excution de scripts
Windows

Bien que Windows Server 2003 fournisse plusieurs composants logiciels


enfichables et outils de ligne de commande pour grer Active Directory, ceux-ci
ne sont pas adapts pour des oprations de commandes destines effectuer des
modifications dans Active Directory impliquant des conditions complexes. En
pareils cas, vous pouvez procder plus rapidement des modifications l'aide
de scripts. Vous pouvez, par exemple, remplacer le premier chiffre de
l'extension tlphonique de tous les employs transfrs dans le btiment 5,
en remplaant alors les chiffres 3 et 4 par le chiffre 5.
Vous pouvez crer des scripts partir de l'environnement d'excution de scripts
Windows utilisant ADSI pour excuter les tches suivantes :
!

extraire les informations concernant les objets Active Directory ;

ajouter des objets dans Active Directory ;

modifier les valeurs d'attributs pour les objets Active Directory ;

supprimer des objets dans Active Directory ;

tendre le schma Active Directory.

ADSI utilise le protocole LDAP pour communiquer avec Active Directory.

Module 1 : Introduction l'infrastructure Active Directory

27

Comment analyser Active Directory ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez visualiser la structure logique et physique d'Active Directory


l'aide des composants Utilisateurs et ordinateurs Active Directory, Sites et
services Active Directory et Domaines et approbations Active Directory.

Procdure

Procdez comme suit pour visualiser la structure logique et physique d'Active


Directory :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory et visualisez
les units d'organisation dans Active Directory. Pour ce faire, procdez
comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
b. Dans l'arborescence de la console, dveloppez Utilisateurs et
ordinateurs Active Directory.
c. Dans l'arborescence de la console, dveloppez le domaine dont vous
dsirez visualiser les units d'organisation.
d. Affichez la page Proprits pour chaque conteneur figurant dans
l'arborescence de la console.
e. Dterminez le type d'objet en utilisant les informations de classe d'objet
sous l'onglet Objet. La classe d'objet pour units d'organisation est
Unit d'organisation.
2. Ouvrez Domaines et approbations Active Directory pour visualiser la
structure logique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Domaines et approbations
Active Directory.
b. Dans le volet gauche, dveloppez le nud qui reprsente le domaine
racine de la fort pour visualiser les domaines qui constituent la structure
logique d'Active Directory.

28

Module 1 : Introduction l'infrastructure Active Directory

3. Ouvrez Sites et services Active Directory pour visualiser la structure


physique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis
sur Outils d'administration, puis cliquez sur Sites et services
Active Directory.
b. Dans l'arborescence de la console, dveloppez Sites, puis le dossier
reprsentant le site dont vous dsirez visualiser la liste de serveurs.
c. Cliquez sur Servers pour visualiser la liste de serveurs dans le
volet droit.
Remarque Pour plus d'informations, reportez-vous la section Comment
analyser Active Directory du Module 1 situe en annexe sur le CD-ROM
du stagiaire.

Module 1 : Introduction l'infrastructure Active Directory

29

Application pratique : Analyse de la structure d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Vous allez analyser dans cette application pratique la structure logique et


physique d'Active Directory.

Scnario

Vous commencez aujourd'hui travailler comme ingnieur systme chez


Northwind Traders. Votre responsable vous a demand d'tudier la structure
logique et physique d'Active Directory chez Northwind Traders.

Application pratique

! Analyser la structure par dfaut des objets Active Directory l'aide de


la console Utilisateurs et ordinateurs Active Directory

1. Ouvrez une session sous le nom nwtraders\Nom_OrdinateurUser avec le


mot de passe P@ssw0rd.
2. Installez le jeu d'outils d'administration Windows Server 2003. Pour ce
faire, procdez comme suit :
a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez nwtraders\administrateur comme nom
d'utilisateur, puis le mot de passe P@ssw0rd et cliquez sur OK.
c. l'invite de commande, tapez \\London\OS\i386\Adminpak.msi et
appuyez sur ENTRE.
d. Dans la bote de dialogue Tlchargement de fichier, cliquez sur
Ouvrir, puis terminez l'installation.
e. Fermez la fentre d'invite de commande.
3. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
4. Activez les fonctionnalits avances.

30

Module 1 : Introduction l'infrastructure Active Directory

5. Dveloppez nwtraders.msft, et trouvez l'objet Locations. Quel est le type


de l'objet ?
L'objet Locations est une unit d'organisation.
____________________________________________________________
____________________________________________________________
6. Dveloppez Locations. Quels sont les types d'objets dans le dossier ?
L'unit d'organisation Locations contient 25 units d'organisation, dont
chacune porte le nom d'une ville diffrente.
____________________________________________________________
____________________________________________________________
7. Les objets du dossier Locations reprsentent des emplacements
gographiques dans une organisation. Chaque emplacement contient trois
objets. Quel est le rle de ces objets ?
Chaque unit d'organisation nom_ville contient trois units
d'organisation appeles Users, Computers et Groups. Ces units
d'organisation sont conues pour recevoir respectivement des objets
utilisateurs, ordinateurs et groupes.
____________________________________________________________
____________________________________________________________
8. Ouvrez l'un des conteneurs reprsentant un emplacement, puis ouvrez le
conteneur Users.
Que remarquez-vous propos des objets qui se trouvent dans ce conteneur ?
Tous les objets utilisateur sont dsactivs.
____________________________________________________________

! Analyser la structure par dfaut d'Active Directory l'aide du


composant Sites et services Active Directory

1. Ouvrez la console Site et services Active Directory.


2. Dveloppez Sites, cliquez avec le bouton droit sur Premier-Site-pardefaut, puis cliquez sur Proprits.

Module 1 : Introduction l'infrastructure Active Directory

31

3. Sous l'onglet Scurit, affichez les autorisations correspondant au groupe


Admins du domaine. Quelles sont les autorisations ?
Le groupe Admins du domaine possde les autorisations Lire, crire,
Crer tous les objets enfants, Ouvrir la file d'attente de connecteurs et
Autorisations spciales sur le site Premier-Site-par-defaut.
____________________________________________________________
____________________________________________________________
4. Visualisez les autorisations affectes au groupe Admins du domaine pour
l'objet Premier-Site-par-defaut\Servers\London. Que remarquez-vous ?
Admins du domaine possde les autorisations Contrle total sur l'objet
serveur London, mais pas pour le site Premier-Site-par-defaut.
____________________________________________________________
____________________________________________________________

! Analyser la structure par dfaut d'Active Directory l'aide de


Domaines et approbations Active Directory

1. Ouvrez la console Domaines et approbations Active Directory.


2. Dveloppez nwtraders.msft, puis visualisez les proprits pour
nwtraders.msft.
Que remarquez-vous ?
Cette tape indique les approbations en place pour le domaine.
____________________________________________________________
3. Choisissez de grer le domaine corp.nwtraders.msft. Remarquez ce qui se
produit.
Cette tape vous amne Utilisateurs et ordinateurs Active Directory.
____________________________________________________________

32

Module 1 : Introduction l'infrastructure Active Directory

Leon : Processus de conception, de planification et


d'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon fournit une vue d'ensemble des processus de conception, de


planification et d'implmentation d'Active Directory.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

faire la distinction entre la conception, la planification et l'implmentation


d'Active Directory ;

dcrire les phases du processus de conception d'Active Directory ;

dcrire les phases du processus de planification d'Active Directory ;

dcrire les phases du processus d'implmentation d'Active Directory.

Module 1 : Introduction l'infrastructure Active Directory

33

Vue d'ensemble de la conception, de la planification et de


l'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

L'implmentation d'Active Directory commence par la cration de sa


conception, autrement dit, de son architecture. Cette conception vous permet
ensuite de planifier Active Directory avant son implmentation.

Conception d'Active
Directory

Un ou plusieurs architectes de systmes crent la conception d'Active


Directory, en se basant sur les besoins d'une entreprise. Ces besoins
dterminent les spcifications fonctionnelles pour la conception.

Plan d'implmentation
d'Active Directory

Le plan d'implmentation d'Active Directory dtermine la mise en uvre de


la conception d'Active Directory en fonction de l'infrastructure matrielle de
l'organisation.Par exemple, la conception d'Active Directory peut spcifier le
nombre de contrleurs de domaine pour chaque domaine sur la base de la
configuration d'un serveur spcifique.Cependant, si cette configuration n'est pas
disponible, lors de la phase de planification vous pouvez dcider de modifier le
nombre de serveurs afin de rpondre aux besoins de l'entreprise.
Aprs avoir implment Active Directory, vous devez grer et assurer
la maintenance d'Active Directory afin de garantir disponibilit, fiabilit
et scurit du rseau. Ce cours dcrit les phases de planification et
d'implmentation. La conception dtaille d'Active Directory dpasse
le cadre de ce cours.

Implmentation
d'Active Directory

Durant le dploiement d'Active Directory, les ingnieurs systme :


!

crent la structure du domaine et de la fort, et dploient les serveurs ;

crent la structure de l'unit d'organisation ;

crent les comptes d'utilisateur et d'ordinateur ;

crent les groupes de scurit et de distribution ;

crent les objets Stratgie de groupe (GPO, Group Policy Object) qu'ils
appliquent aux domaines, aux sites et aux units d'organisation ;

crent les stratgies de distribution de logiciels.

34

Module 1 : Introduction l'infrastructure Active Directory

Processus de conception d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Une conception d'Active Directory inclut plusieurs tches. Chacune dfinit les
besoins fonctionnels pour un composant de l'implmentation d'Active Directory.

Tches incluses
dans le processus
de conception
d'Active Directory

Le processus de conception d'Active Directory inclut les tches suivantes :


!

Collecte d'informations sur l'organisation. Cette premire tche dfinit les


besoins en service d'annuaire et les besoins de l'entreprise concernant le
projet. Les informations sur l'organisation incluent notamment un profil
organisationnel de haut niveau, les implantations gographiques de
l'organisation, l'infrastructure technique et du rseau, et les plans lis
aux modifications apporter dans l'organisation.

Analyse des informations sur l'organisation. Vous devez analyser les


informations collectes pour valuer leur pertinence et leur valeur par
rapport au processus de conception. Vous devez ensuite dterminer quelles
sont les informations les plus importantes et quels composants de la
conception d'Active Directory ces informations affecteront. Soyez prt
appliquer ces informations dans l'ensemble du processus de conception.

Analyse des options de conception. Lorsque vous analysez des besoins


d'entreprise spcifiques, plusieurs options de conception peuvent y
rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais
d'une conception de domaine ou d'une structure d'unit d'organisation.
Comme chaque choix que vous faites affecte les autres composants de la
conception, restez flexible dans votre approche de la conception durant tout
le processus.

Module 1 : Introduction l'infrastructure Active Directory

Rsultat du processus
de conception d'Active
Directory

Slection d'une conception. Dveloppez plusieurs conceptions d'Active


Directory, puis comparez leurs points forts et leurs points faibles. Lorsque
vous slectionnez une conception, analysez les besoins d'entreprise qui
entrent en conflit et tenez compte de leurs effets sur les choix de vos
conceptions. Il se peut qu'aucune des conceptions soumises ne fasse
l'unanimit. Choisissez la conception qui rpond le mieux vos besoins
d'entreprise et qui reprsente globalement le meilleur choix.

Affinage de la conception. La premire version de votre plan de conception


est susceptible d'tre modifie avant la phase pilote de l'implmentation.
Le processus de conception est itratif parce que vous devez tenir compte
de nombreuses variables lorsque vous concevez une infrastructure Active
Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre
conception pour prendre en compte tous les besoins d'entreprise.

35

Le rsultat de la phase de conception d'Active Directory inclut les lments


ci dessous.
!

La conception du domaine et de la fort. La conception de la fort inclut des


informations comme le nombre de forts requis, les consignes de cration
des approbations et le nom de domaine pleinement qualifi (FQDN, Fully
Qualified Domain Name) pour le domaine racine de chaque fort. La
conception inclut galement la stratgie de contrle des modifications de
la fort, qui identifie les processus de proprit et d'approbation pour les
modifications de la configuration prsentant un impact sur toute la fort.
Identifiez la personne charge de dterminer la stratgie de contrle des
modifications de chaque fort dans l'organisation. Si votre plan de
conception comporte plusieurs forts, vous pouvez valuer si des
approbations de forts sont requises pour rpartir les ressources du
rseau parmi les forts.
La conception du domaine indique le nombre de domaines requis dans
chaque fort, le domaine qui sera le domaine racine pour chaque fort et la
hirarchie des domaines si la conception comporte plusieurs domaines. La
conception du domaine inclut galement le nom DNS pour chaque domaine
et les relations d'approbation entre domaines.

La conception de l'unit d'organisation. Elle indique comment vous crerez


les units d'organisation pour chaque domaine dans la fort. Incluez une
description de l'autorit d'administration qui sera applique chaque unit
d'organisation, et qui cette mme autorit sera dlgue. Pour finir, incluez
la stratgie utilise pour appliquer la stratgie de groupe la structure de
l'unit d'organisation.

La conception du site. Elle spcifie le nombre et l'emplacement des


sites dans l'organisation, les liens requis pour relier les sites et le cot
de ces liens.

36

Module 1 : Introduction l'infrastructure Active Directory

Processus de planification d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le rsultat du processus de planification est le plan d'implmentation d'Active


Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les
besoins fonctionnels pour un composant spcifique de l'implmentation
d'Active Directory.

Composant d'un plan


Active Directory

Un plan Active Directory inclut les composants suivants :


!

Stratgie de compte. Elle inclut des informations comme les consignes


d'attribution de nom aux comptes et la stratgie de verrouillage, la
stratgie en matire de mots de passe et les consignes portant sur la
scurit des objets.

Stratgie d'audit. Elle dtermine comment suivre les modifications


apportes aux objets Active Directory.

Plan d'implmentation d'unit d'organisation. Il dfinit quelles units


d'organisation crer et comment. Par exemple, si la conception d'unit
d'organisation spcifie que ces units seront cres gographiquement et
organises par division l'intrieur de chaque zone gographique, le plan
d'implmentation des units d'organisation dfinit les units implmenter,
telles que celles des ventes, des ressources humaines et de production. Le
plan fournit galement des consignes portant sur la dlgation d'autorit.

Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets
de stratgie de groupe, et comment cette stratgie sera implmente.

Plan d'implmentation du site. Il spcifie les sites, les liens qui les relient,
et les liaisons de sites planifies. Il spcifie galement la planification et
l'intervalle de rplication ainsi que les consignes en matire de scurisation
et de configuration de la rplication entre sites.

Module 1 : Introduction l'infrastructure Active Directory

37

Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la


stratgie de groupe pour dployer de nouveaux logiciels et des mises
niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de
logiciels sont obligatoires ou facultatives.

Plan de placement des serveurs. Il spcifie le placement des contrleurs de


domaine, des serveurs de catalogue global, des serveurs DNS intgrs
Active Directory et des matres d'oprations. Il spcifie galement si vous
activerez la mise en cache des appartenances un groupe universel pour les
sites ne possdant pas de serveur de catalogue global.

Lorsque tous les plans de composant sont termins, vous devez les combiner
pour former le plan complet d'implmentation d'Active Directory.

38

Module 1 : Introduction l'infrastructure Active Directory

Processus d'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Une fois le plan d'implmentation d'Active Directory en place, vous pouvez


commencer implmenter Active Directory conformment votre plan de
conception.

Processus
d'implmentation

Vous devez excuter les tches ci-dessous pour implmenter Active Directory.
!

Implmentation de la fort, du domaine et de la structure DNS. Crez le


domaine racine de la fort, les arborescences de domaines et tout autre
domaine enfant constituant la fort et la hirarchie des domaines.

Cration des units d'organisation et des groupes de scurit. Crez la


structure d'unit d'organisation pour chaque domaine dans chaque fort,
crez des groupes de scurit et dlguez l'autorit administrative des
groupes administratifs dans chaque unit d'organisation.

Cration des comptes d'utilisateur et d'ordinateur. Importez les comptes


d'utilisateur dans Active Directory.

Cration des objets Stratgie de groupe. Crez des objets Stratgie de


groupe bass sur la stratgie de groupe, puis reliez-les des sites, des
domaines ou des units d'organisation.

Implmentation des sites. Crez des sites en fonction du plan des sites,
crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et
dployez sur les sites des contrleurs de domaine, des serveurs de catalogue
global, des serveurs DNS et des matres d'oprations.

Table des matires

Module 2 : Implmentation
d'une structure de fort
et de domaine Active
Directory

Vue d'ensemble

Leon : Cration d'une structure de fort


et de domaine

Leon : Analyse du systme DNS intgr


Active Directory

23

Leon : Augmentation des niveaux


fonctionnels de la fort et du domaine

38

Leon : Cration de relations


d'approbation

44

Atelier A : Implmentation
d'Active Directory

57

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

iii

Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes

Objectifs

Documents de cours

Ce module dcrit la configuration requise du service d'annuaire Active


Directory, explique comment crer une structure de fort et de domaine grce
l'Assistant Installation de Active Directory et prsente les tches que vous
devez effectuer aprs l'installation. Il explique galement la manire d'analyser
le systme DNS (Domain Name System) dans un environnement Active
Directory, d'augmenter les niveaux fonctionnels de la fort et du domaine et de
crer des relations d'approbation.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
!

crer une structure de fort et de domaine ;

analyser le systme DNS intgr Active Directory ;

augmenter le niveau fonctionnel d'une fort et d'un domaine ;

crer des relations d'approbation entre des domaines et des forts.

Pour animer ce module, vous devez disposer des lments suivants :


!

fichier Microsoft PowerPoint 2194A_02.ppt

fichier Macromedia Flash 2194A_2279a_02_a_dns.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.
Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module, anticiper les questions
que les stagiaires sont susceptibles de poser et prparer des rponses
appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;

lire le kit de dploiement Windows Server 2003 Deployment Kit (en


anglais) et le kit de ressources techniques Windows Server 2003 pour vous
familiariser avec les procdures d'installation d'Active Directory et les
mthodes conseilles.

iv

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications pratiques
et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire. Ils
peuvent galement se reporter aux applications pratiques et aux procdures du
module.

Leon : Cration d'une structure de fort et de domaine


Cette section dcrit les mthodes pdagogiques mettre en uvre pour
cette leon.
Cette leon apporte aux stagiaires les comptences et connaissances ncessaires
pour crer des structures de fort et de domaine. Elle explique comment
s'assurer qu'Active Directory a t install correctement, et comment identifier
et rsoudre certains problmes courants qui peuvent survenir lors d'une
l'installation d'Active Directory.
Dans la rubrique Conditions requises pour installer Active Directory,
n'expliquez pas la configuration DNS requise en dtail. Les stagiaires ont
simplement besoin de comprendre que seuls les serveurs DNS rpondant
certaines conditions sont intgrs Active Directory. L'intgration du systme
DNS Active Directory est explique dans la leon Analyse du systme DNS
intgr Active Directory.
Utilisez la rubrique Processus d'installation d'Active Directory pour expliquer
les modifications apportes un serveur sur lequel est install Microsoft
Windows Server 2003 lorsqu'il est converti en contrleur de domaine. Utilisez
cette rubrique conjointement avec la rubrique suivante Comment crer une
structure de fort et de domaine. Lorsque vous expliquez la procdure
effectuer pour crer la structure de fort et de domaine Active Directory, faites
le point sur les modifications apportes suite chaque tape, telles qu'elles sont
rpertories dans la rubrique Processus d'installation d'Active Directory.
Assurez-vous que les stagiaires ont bien compris que les contrleurs de
domaine rpliqus sont indispensables dans un domaine pour assurer une
tolrance de pannes avant de prsenter la rubrique Comment ajouter un
contrleur de domaine rpliqu.

vi

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Windows Server 2003 propose une nouvelle fonctionnalit permettant de


renommer un contrleur de domaine. Lors de la prsentation de la rubrique
Comment renommer un contrleur de domaine, assurez-vous que les stagiaires
ont bien compris que lorsque vous renommez un contrleur de domaine et que
vous modifiez son suffixe DNS principal, vous n'avez pas dplac le contrleur
de domaine vers un nouveau domaine Active Directory.
Remarque Montrez la procdure permettant de renommer un contrleur de
domaine, mais n'effectuez pas la tche. Si vous dcidez toutefois d'effectuer
cette tche, assurez-vous de redonner l'ordinateur son nom d'origine.
Lors de la prsentation de la rubrique Comment supprimer un contrleur
de domaine d'Active Directory, commentez les oprations effectues par
l'Assistant Installation de Active Directory lors de la suppression d'Active
Directory. Indiquez aux stagiaires que certaines oprations sont communes
tous les contrleurs de domaine, tandis que d'autres dpendent du type de
contrleur de domaine supprim. Insistez sur le fait que lorsque l'on supprime
un contrleur de domaine qui excute un rle spcialis (un serveur de
catalogue global ou un matre d'oprations, par exemple), vous devez
pralablement prendre ou transfrer le rle vers un autre contrleur de domaine
avant de supprimer ce dernier.
Important Ne supprimez pas Active Directory du contrleur de domaine
London.
L'objectif de la rubrique Comment vrifier l'installation d'Active Directory est
de prsenter aux stagiaires la procdure permettant d'analyser les modifications
apportes un serveur Windows Server 2003 aprs avoir install Active
Directory. Soulignez que le processus d'installation d'Active Directory modifie
galement la base de donnes DNS, et que ces modifications sont dcrites dans
la leon Analyse du systme DNS intgr Active Directory de ce module.
Prsentez les options de dpannage permettant de rsoudre les problmes
susceptibles de survenir lors de l'installation d'Active Directory grce la
rubrique Comment rsoudre les problmes lis l'installation d'Active
Directory. Prsentez les problmes courants se produisant lors de l'installation
d'Active Directory et proposez des stratgies permettant de les rsoudre.
Application pratique

A la fin de la leon, demandez aux stagiaires de crer un domaine enfant


l'intrieur du domaine nwtraders.msft. Attribuez un nom de domaine enfant
corpx chaque stagiaire, o x est le dernier numro de l'adresse IP de
l'ordinateur du stagiaire. Lorsque les stagiaires ont renseign la dernire page
de l'Assistant Installation de Active Directory, commencez la leon suivante
pendant l'installation d'Active Directory.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

vii

Leon : Analyse du systme DNS intgr Active Directory


Cette leon dcrit le format des enregistrements de ressources SRV (Service
Resource Record), qui sont les enregistrements DNS que les contrleurs de
domaine enregistrent. Elle explique galement utiliser les enregistrements SRV
pour trouver les fournisseurs de ressources. Lorsque les stagiaires ont bien
compris comment le systme DNS est intgr Active Directory, ils sont en
mesure de rsoudre les problmes lis au DNS (problmes d'ouverture de
session du client, par exemple).
Dans la rubrique Espaces de noms DNS et Active Directory, dcrivez comment
le systme DNS est intgr Active Directory. Prsentez les fonctions
principales que fournit le systme DNS dans un rseau qui utilise Active
Directory. Expliquez les relations entre l'espace de noms DNS et l'espace de
noms Active Directory. Soulignez la manire dont vous pouvez utiliser le
systme DNS pour trouver les ordinateurs qui excutent des rles particuliers
dans un domaine Active Directory en intgrant les espaces de noms DNS et
Active Directory. Expliquez que le nom d'hte DNS d'un ordinateur est
identique celui du compte d'ordinateur stock dans Active Directory.
Avant de prsenter la rubrique Dfinition des zones intgres Active
Directory, passez brivement en revue les zones DNS et le modle de matre
unique que fournit le systme DNS. Bien que ces connaissances soient une
condition pralable pour suivre ce cours, le fait de les rviser aidera les
stagiaires comprendre les avantages de l'utilisation d'un systme DNS intgr
Active Directory. Demandez aux stagiaires de se reporter aux annexes pour
obtenir des informations relatives la rplication DNS et aux options de
rplication de zone dont ils disposent.
Les rubriques Dfinition des enregistrements de ressources SRV et
Enregistrements SRV enregistrs par les contrleurs de domaine permettent de
s'assurer que les stagiaires sont capables d'identifier les services fournis par un
contrleur de domaine partir des enregistrements SRV enregistrs dans Active
Directory. Ces rubriques apportent les connaissances fondamentales pour que
les stagiaires comprennent comment les ordinateurs clients utilisent le systme
DNS pour trouver les contrleurs et services de domaine. Ces informations sont
prsentes dans l'animation intitule Comment les ordinateurs clients utilisent
le systme DNS pour localiser des contrleurs et services de domaine . Aprs
avoir visualis la prsentation multimdia, rsumez les points cls. Demandez
aux stagiaires de se reporter aux annexes pour obtenir des informations relatives
au recouvrement de site et la configuration des valeurs de priorit et de poids
dans les enregistrements SRV.
Application pratique

A la fin de la leon, demandez aux stagiaires d'analyser les enregistrements


SRV enregistrs dans leur contrleur de domaine.

viii

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Augmentation des niveaux fonctionnels de la fort et du


domaine
Cette leon prsente les fonctionnalits actives selon la fonctionnalit de la
fort et du domaine, ainsi que la manire d'augmenter la fonctionnalit d'une
fort et d'un domaine.
Dans la rubrique Dfinition des fonctionnalits des forts et des domaines,
dcrivez certaines fonctionnalits qui sont actives chaque niveau fonctionnel
des forts et des domaines. Les fonctionnalits rpertories dans les notes du
stagiaire sont incompltes. Une liste exhaustive de ces fonctionnalits est
disponible dans Aide et Support de Windows Server 2003. Les fonctionnalits
rpertories dans le manuel de travail sont expliques ultrieurement dans ce
module ou dans des modules suivants. Ne passez pas trop de temps expliquer
le niveau fonctionnel de Windows Server 2003 version prliminaire. En effet,
ce cours ne porte pas sur la migration partir de Microsoft Windows NT 4.0.
Important Assurez-vous que les stagiaires ont bien compris que le niveau
fonctionnel d'un domaine ou d'une fort ne peut plus tre diminu aprs avoir
t augment.
Dans la rubrique Conditions requises pour activer les nouvelles fonctionnalits
de Windows Server 2003, assurez-vous que les stagiaires ont bien compris
qu'ils doivent augmenter le niveau fonctionnel de chaque domaine avant
d'augmenter celui de la fort.
Application pratique

A la fin de la leon, demandez aux stagiaires d'augmenter le niveau fonctionnel


du domaine au niveau de Windows Server 2003. Pendant qu'ils effectuent cette
application pratique, augmentez les niveaux fonctionnels de nwtraders.msft et
corp.nwtraders.msft au niveau de Windows Server 2003.

Leon : Cration de relations d'approbation


Cette leon prsente les types d'approbations, leur fonctionnement et la
mthode de cration, de vrification et d'annulation des relations d'approbation.
Dans la rubrique Types d'approbations, expliquez en premier lieu la transitivit
de l'approbation. Expliquez ensuite les approbations sortantes, entrantes et
bidirectionnelles. Expliquez enfin les diffrents types d'approbations
(raccourcies, de fort, externes et de domaine [realm]).

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

ix

Si une fort n'utilise que les approbations transitives entre les domaines parents
et enfants, expliquez qu'il peut tre ncessaire de rechercher la ressource dans
toute la hirarchie, en fonction de son emplacement dans la hirarchie de la
fort. Les approbations raccourcies aident surmonter ce problme. Lorsque
vous expliquez le fonctionnement des approbations au sein d'une fort, assurezvous que les stagiaires comprennent bien l'utilit des approbations raccourcies
pour rduire le temps ncessaire la recherche des ressources.
La rubrique Comment fonctionnent les approbations entre les forts comporte
une diapositive anime. Lorsque vous expliquerez le fonctionnement des
approbations dans une fort, soulignez qu'une fort est une limite de scurit
dans Windows Server 2003. Insistez sur le rle du protocole d'authentification
Kerberos version 5 dans l'authentification de l'utilisateur. Indiquez aux
stagiaires les annexes consulter pour plus d'informations sur le filtrage des
identificateurs de scurit (SID, Security IDentifier).
Application pratique

A la fin de la leon, demandez aux stagiaires de crer une approbation


raccourcie entre leur domaine et un autre domaine dans leur fort
nwtraders.msft. Cette application pratique ncessite de crer des groupes
d'au moins deux stagiaires chacun.

Atelier A : Implmentation d'Active Directory


L'atelier de ce module va permettre aux stagiaires d'installer Active Directory et
de crer une structure de fort et de domaine. Ils vont prparer leurs contrleurs
de domaine pour l'installation en supprimant d'Active Directory un domaine
enfant pralablement install. Les stagiaires travailleront par deux. L'un
installera le domaine racine de la fort tandis que l'autre installera un domaine
enfant. Les stagiaires vont ensuite augmenter les niveaux fonctionnels de la
fort et du domaine pour prparer la cration d'une approbation de fort. Puis,
ils creront une approbation de fort.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

La configuration de la classe requiert que vous utilisiez le tableau suivant pour


attribuer des noms de domaine aux stagiaires.
Nom de l'ordinateur

Domaine racine de la fort

Vancouver

Nwtraders1.msft

Denver
Perth

Corp1.Nwtraders1.msft
Nwtraders2.msft

Brisbane
Lisbon

Corp2.Nwtraders2.msft
Nwtraders3.msft

Bonn
Lima

Corp3.Nwtraders3.msft
Nwtraders4.msft

Santiago
Bangalore

Corp4.Nwtraders4.msft
Nwtraders5.msft

Singapore
Casablanca

Corp5.Nwtraders5.msft
Nwtraders6.msft

Tunis
Acapulco

Corp6.Nwtraders6.msft
Nwtraders7.msft

Miami
Auckland

Corp7.Nwtraders7.msft
Nwtraders8.msft

Suva
Stockholm

Corp8.Nwtraders8.msft
Nwtraders9.msft

Moscow
Caracas

Corp9.Nwtraders9.msft
Nwtraders10.msft

Montevideo
Manila

Corp10.Ntraders10.msft.
Nwtraders11.msft

Tokyo
Khartoum
Nairobi

Domaine enfant

Corp11. Nwtraders11.msft
Nwtraders12.msft
Corp12. Nwtraders12.msft

Important Si la rplication ne se produit pas entre un domaine racine de la fort


et un domaine enfant, utilisez Sites et services Active Directory pour vrifier la
topologie de la rplication. La vrification de la topologie de la rplication va
lancer le KCC, qui, d'une manire gnrale, rsout les problmes lis la
rplication.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

xi

Informations sur la personnalisation


Cette section identifie la configuration requise pour l'atelier de ce module et les
changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).
Dans cet atelier, les stagiaires vont crer un contrleur du domaine racine de la
fort pour un nouveau domaine rpertori dans le tableau ci-dessus. Ils vont
installer le systme DNS sur ce contrleur lors de ce processus. Le cas chant,
assurez-vous que les ordinateurs des stagiaires qui sont les contrleurs du
domaine racine de la fort pointent vers eux-mmes pour la rsolution de noms
DNS. Si ce n'est pas le cas, les stagiaires risquent d'avoir des problmes pour
raliser la rplication.

Configuration de l'atelier
Les conditions de configuration ci-aprs s'appliquent l'atelier de ce module.
Configuration requise 1

Pour l'atelier de ce module, l'instructeur doit crer une dlgation de domaine


DNS conformment aux instructions du Guide de configuration manuelle de la
classe pour configurer le service DNS sur l'ordinateur London. Si cette tape est
omise, les stagiaires ne peuvent pas rsoudre les noms hors de leur fort.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Chaque paire d'ordinateurs stagiaire existera dans une fort distincte.

Chaque fort du stagiaire disposera d'une approbation de fort


bidirectionnelle avec la fort de la classe, nwtraders.msft.

Chaque domaine et fort sera lev au niveau fonctionnel de


Windows Server 2003.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Ce module prsente la configuration requise du service d'annuaire Active


Directory et explique comment crer une structure de fort et de domaine
l'aide de l'Assistant Installation de Active Directory. Il fournit galement les
connaissances et comptences ncessaires pour analyser le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine et crer des relations
d'approbation.

Objectifs

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

crer une structure de fort et de domaine ;

analyser le systme DNS intgr Active Directory ;

augmenter le niveau fonctionnel d'une fort et d'un domaine ;

crer des relations d'approbation entre des domaines.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Cration d'une structure de fort et de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon fournit les comptences et connaissances ncessaires pour crer une
structure de fort et de domaine. Vous allez apprendre vrifier qu'Active
Directory a t install correctement, identifier et rsoudre les problmes
courants qui peuvent survenir lors de l'installation d'Active Directory.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

identifier les conditions requises pour installer Active Directory ;

dcrire le processus d'installation d'Active Directory ;

crer une structure de fort et de domaine ;

ajouter un contrleur de domaine rpliqu un domaine ;

renommer un contrleur de domaine ;

supprimer un contrleur de domaine d'Active Directory ;

vrifier une installation d'Active Directory ;

rsoudre les problmes lis l'installation d'Active Directory ;

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Conditions requises pour installer Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Avant d'installer Active Directory, vous devez vous assurer que l'ordinateur
devant tre configur comme contrleur de domaine satisfait certaines
conditions de configuration relatives au matriel et au systme d'exploitation.
De plus, le contrleur de domaine doit tre en mesure d'accder un serveur
DNS satisfaisant certaines conditions de configuration pour prendre en charge
l'intgration Active Directory.

Configuration requise
pour les contrleurs de
domaine

La liste ci-dessous identifie la configuration requise pour une installation


d'Active Directory.
!

Un ordinateur quip de Microsoft Windows Server 2003 Standard


Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003,
Web Edition, ne prend pas en charge Active Directory.

250 mgaoctets (Mo) d'espace disque disponible au minimum 200 Mo


pour la base de donnes Active Directory et 50 Mo pour les fichiers
journaux des transactions de la base de donnes Active Directory. La taille
des fichiers journaux et des fichiers de la base de donnes Active Directory
dpend du nombre d'objets dans le domaine et de leur type ; un espace
disque supplmentaire est ncessaire si le contrleur de domaine est
galement un serveur de catalogue global.

Une partition ou un volume format avec le systme de fichiers NTFS. La


partition NTFS est ncessaire pour le dossier SYSVOL.

Les privilges administratifs ncessaires pour la cration, le cas chant,


d'un domaine dans un rseau Windows Server 2003 existant.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory


!

Protocole TCP/IP install et configur pour utiliser le systme DNS.

Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge
les conditions requises rpertories dans le tableau ci-dessous.

Condition requise

Description

Enregistrements de ressources
SRV (obligatoires)

Les enregistrements de ressources SRV sont des enregistrements DNS qui


identifient les ordinateurs qui hbergent des services spcifiques dans un rseau
Windows Server 2003. Le serveur DNS qui prend en charge le dploiement
d'Active Directory doit galement prendre en charge les enregistrements de
ressources SRV. Si ce n'est pas le cas, vous devez configurer le systme DNS
localement lors du processus d'installation d'Active Directory ou le configurer
manuellement aprs l'installation d'Active Directory.

Mises jour dynamiques


(facultatives)

Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent
en charge les mises jour dynamiques. Le protocole de mise jour dynamique
permet aux serveurs et aux clients voluant dans un environnement DNS d'ajouter
et de modifier automatiquement des enregistrements dans la base de donnes DNS,
ce qui permet de rduire les tches administratives. Si vous utilisez un logiciel DNS
qui prend en charge des enregistrements de ressources SRV mais pas le protocole
de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV
manuellement dans la base de donnes DNS.

Transferts de zone
incrmentiels (facultatif)

Dans un transfert de zone incrmentiel, les modifications apportes une zone d'un
serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires pour
cette zone. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois
recommands car ils permettent d'conomiser de la bande passante rseau en
permettant uniquement aux enregistrements de ressources nouveaux ou modifis
d'tre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier de base de
donnes de zone entier.

Remarque Pour plus d'informations sur les enregistrements de ressources


SRV, sur les mises jour dynamiques et les transferts de zone
incrmentiels, reportez-vous la section Windows 2000 DNS de la
rubrique Documentation supplmentaire sur le CD-ROM du stagiaire.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Processus d'installation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour dmarrer le processus d'installation d'Active Directory, lancez l'Assistant


Installation de Active Directory. Lors de l'installation, un certain nombre de
modifications sont apportes au serveur Windows Server 2003 sur lequel est
install Active Directory. La connaissance de ces modifications va vous
permettre de rsoudre les problmes susceptibles de survenir aprs l'installation.

Processus d'installation

Le processus d'installation excute les tches suivantes :


!

Dmarrage du protocole d'authentification Kerberos version 5

Dfinition de la stratgie de l'autorit de scurit locale (LSA, Local


Security Authority). Le paramtre indique que ce serveur est un contrleur
de domaine.

Cration de partitions Active Directory. Une partition de rpertoire est une


partie de l'espace de noms du rpertoire. Chaque partition du rpertoire
contient une hirarchie, ou une sous-arborescence, des objets d'annuaire de
l'arborescence de rpertoire. Lors de l'installation, les partitions ci-dessous
sont cres sur le premier contrleur de domaine d'une fort :
partition d'annuaire de schma
partition d'annuaire de configuration
partition d'annuaire de domaine
zone DNS de la fort
partition de la zone DNS du domaine
Les partitions sont alors mises jour par l'intermdiaire de la rplication sur
chaque contrleur de domaine subsquent cr dans la fort.
Remarque Pour plus d'informations sur les partitions d'annuaire, reportezvous au module 7, Implmentation de sites pour grer la rplication Active
Directory , du cours 2194, Planification, implmentation et maintenance
d'une infrastructure Active Directory Microsoft Windows Server 2003.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory


!

Cration de la base de donnes Active Directory et des fichiers journaux.


L'emplacement par dfaut de la base de donnes et des fichiers journaux est
systemroot\Ntds.
Remarque Pour amliorer les performances, placez la base de donnes et
les fichiers journaux sur des disques durs distincts. De cette manire, les
oprations de lecture et d'criture ralises dans la base de donnes et dans
les fichiers journaux n'entrent pas en concurrence pour les ressources en
entre et en sortie.

Cration du domaine racine de la fort. Si le serveur est le premier


contrleur de domaine du rseau, le processus d'installation cre le domaine
racine de la fort, puis attribue les rles de matre d'oprations au contrleur
de domaine, notamment :
l'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller)
le matre d'oprations des identificateurs relatifs (RID, Relative
IDentifier)
le matre de nommage de domaine
le contrleur de schma
le matre d'infrastructure
Remarque Vous pouvez attribuer les rles de matre d'oprations un autre
contrleur de domaine lorsque vous ajoutez des contrleurs de domaine
rpliqus au domaine.

Cration du dossier volume systme partag. Cette structure de dossiers est


hberge sur tous les contrleurs de domaine Windows Server 2003 et
contient les dossiers suivants :
le dossier partag SYSVOL, qui contient des informations relatives la
stratgie de groupe ;
le dossier partag Net Logon, qui contient les scripts de connexion des
ordinateurs qui ne sont pas quips de Windows Server 2003.

Configuration de l'appartenance du contrleur de domaine sur un site


appropri. Si l'adresse IP du serveur que vous souhaitez promouvoir
contrleur de domaine se trouve dans la plage d'adresses d'un sous-rseau
donn dfini dans Active Directory, l'Assistant configure l'appartenance du
contrleur de domaine dans le site associ au sous-rseau.
Si aucun objet de sous-rseau n'est dfini ou si l'adresse IP du serveur ne se
trouve pas dans la plage des objets de sous-rseau prsents dans Active
Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier
site configur automatiquement lorsque vous crez le premier contrleur de
domaine dans une fort).

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

L'Assistant Installation de Active Directory cre un objet serveur pour le


contrleur de domaine dans le site appropri. L'objet serveur contient les
informations ncessaires pour la rplication. Cet objet serveur contient une
rfrence l'objet ordinateur de l'unit d'organisation Domain Controllers
qui reprsente le contrleur de domaine en cours de cration.
Remarque Si un objet serveur pour ce domaine existe dj dans le
conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine,
l'Assistant le supprime, puis le cre nouveau car il suppose que vous
rinstallez Active Directory.
!

Activation de la scurit sur le service d'annuaire et sur les dossiers de


rplication de fichier. Ceci vous permet de contrler l'accs des utilisateurs
aux objets Active Directory.
Application du mot de passe fournit par l'utilisateur au compte
administrateur. Vous utilisez ce compte pour lancer le contrleur de
domaine en mode Restauration des services d'annuaire.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment crer une structure de fort et de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous utilisez l'Assistant Installation de Active Directory pour crer une


structure de fort et de domaine. Lorsque vous installez Active Directory dans
un rseau pour la premire fois, vous devez crer un domaine racine de la fort.
Aprs avoir cr le domaine racine de la fort, utilisez l'Assistant pour crer une
arborescence et des domaines enfants supplmentaires.

Procdure de cration
du domaine racine de la
fort

L'Assistant Installation de Active Directory vous accompagne tout au long du


processus d'installation et vous donne des informations, qui diffrent en
fonction des options que vous slectionnez.
Pour crer un domaine racine de la fort, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom
du programme.
L'Assistant vrifie les points suivants :
l'utilisateur actuellement connect est un membre du groupe local
Administrateurs ;
l'ordinateur est quip d'un systme d'exploitation prenant en charge
Active Directory ;
une installation prcdente ou une suppression d'Active Directory n'a pas
eu lieu sans un redmarrage de l'ordinateur ; une installation ou une
suppression d'Active Directory n'est pas en cours.
Si l'un des ces quatre points ne se vrifie pas, un message d'erreur s'affiche
et vous quittez l'Assistant.
2. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

3. Dans la page Compatibilit du systme d'exploitation, cliquez sur


Suivant.
Attention La page Compatibilit du systme d'exploitation contient des
informations relatives la compatibilit des systmes d'exploitation
Windows antrieurs. Windows Server 2003 implmente un niveau de
scurit plus lev que celui de Windows 2000. Vous devez installer le
client Active Directory sous Windows 95 et Microsoft Windows NT (avec
Service Pack 3) afin d'activer l'authentification par un contrleur de
domaine Windows Server 2003.
4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une
nouvelle fort, puis sur Suivant.
6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du
nouveau domaine, puis cliquez sur Suivant.
7. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS, puis
cliquez sur Suivant.
Le nom NetBIOS permet d'identifier le domaine sur les ordinateurs clients
quips de versions antrieures de Windows et Windows NT. L'Assistant
identifie que le nom de domaine NetBIOS est unique. Si ce n'est pas le cas,
il vous invite modifier le nom.
8. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, puis cliquez sur Suivant.
9. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement. Cliquez ensuite sur Suivant.
10. Dans la page Diagnostics des inscriptions DNS, assurez-vous qu'un
serveur DNS existant va faire autorit pour cette fort ou, le cas chant,
cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et
dfinir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS
de prfrence. Cliquez ensuite sur Suivant.
11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les
autorisations par dfaut des objets utilisateur et groupe compatibles avec
des serveurs quips de versions antrieures de Windows ou Windows NT,
ou seulement avec des serveurs quips de Windows Server 2003.
12. A l'invite, indiquez le mot de passe pour le mode Restauration des services
d'annuaire.
Les contrleurs de domaine Windows Server 2003 grent une petite version
de la base de donnes des comptes de Microsoft Windows NT 4.0. Le seul
compte de cette base de donnes est le compte Administrateur. Il est requis
pour l'authentification au dmarrage de l'ordinateur en mode Restauration
des services d'annuaire, tant donn qu'Active Directory n'est pas dmarr
dans ce mode.

10

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Remarque Pour obtenir de plus amples informations relatives la manire


de modifier le mot de passe du mode Restauration des services d'annuaire,
reportez-vous Ntdsutil : rfrence de la ligne de commande dans Aide
et Support de Windows Server 2003.
13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
14. A l'invite, redmarrez l'ordinateur.
Procdure de cration
d'un domaine enfant

La procdure de cration d'un domaine enfant l'aide de l'Assistant Installation


de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.

Page de l'Assistant Installation


de Active Directory

Nouvelle tape raliser

Crer un nouveau domaine

Cliquez sur Domaine enfant dans une arborescence de domaine


existante.

Informations d'identification rseau

Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du


compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.

Installation d'un domaine enfant

Vrifiez le domaine parent, puis tapez le nom du nouveau domaine


enfant.

Lorsque vous utilisez l'Assistant Installation de Active Directory pour crer ou


supprimer un domaine enfant, il contacte le matre de nommage de domaine
pour demander l'ajout ou la suppression. Le matre de nommage de domaine
doit imprativement s'assurer que les noms de domaine sont uniques. Si le
matre de nommage de domaine est indisponible, vous n'avez pas la possibilit
d'ajouter ni de supprimer des domaines.
Procdure de cration
d'une arborescence

La procdure de cration d'une arborescence l'aide de l'Assistant Installation


de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.

Page de l'Assistant Installation


de Active Directory

Nouvelle tape raliser

Crer un nouveau domaine

Cliquez sur Arborescence de domaine dans une fort existante.

Informations d'identification rseau

Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du


compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.

Nouvelle arborescence de domaine

Tapez le nom DNS complet du nouveau domaine.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

11

Comment ajouter un contrleur de domaine rpliqu

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour activer la tolrance de pannes au cas o le contrleur de domaine se


dconnecte de manire inattendue, vous devez disposer d'au moins deux
contrleurs de domaine dans un seul domaine. Etant donn que tous les
contrleurs de domaine d'un domaine rpliquent les donnes spcifiques au
domaine de l'un vers un autre, l'installation de plusieurs contrleurs de domaine
dans le domaine active automatiquement la tolrance de pannes pour les
donnes enregistres dans Active Directory. Si un contrleur de domaine
tombe en panne, les contrleurs de domaine restants fournissent les services
d'authentification et assurent l'accs aux objets d'Active Directory, de telle sorte
que le domaine, puisse continuer fonctionner.

Procdure

Avant de commencer l'installation, dterminez si vous allez effectuer la


rplication initiale d'Active Directory par le biais du rseau partir d'un
contrleur de domaine proximit ou d'un support sauvegard.
Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur
de domaine rpliqu va tre install :
!

sur un site sur lequel un autre contrleur de domaine existe ;

sur un nouveau site connect un site existant par un rseau grande


vitesse.

Choisissez de rpliquer Active Directory partir d'un support de sauvegarde si


vous souhaitez installer le premier contrleur de domaine sur un site distant
pour un domaine existant.
Lorsque vous copiez des informations relatives au domaine partir de fichiers
de sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur
l'tat du systme d'un contrleur de domaine excutant Windows Server 2003
partir du domaine dans lequel ce serveur membre va devenir un contrleur de
domaine supplmentaire. Ensuite, vous devez restaurer la sauvegarde de l'tat
du systme sur le serveur sur lequel vous installez Active Directory.

12

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Important Si un contrleur de domaine qui a t sauvegard contient une


partition d'annuaire de l'application, cette partition ne sera pas restaure sur le
nouveau contrleur de domaine. Si le contrleur de domaine partir duquel
vous avez restaur les donnes sur l'tat du systme tait un serveur de
catalogue global, vous aurez la possibilit de faire de ce nouveau contrleur de
domaine un serveur de catalogue global.
Pour installer un contrleur de domaine rpliqu, procdez comme suit :
1. Excutez dcpromo. Pour installer un contrleur de domaine supplmentaire
partir des fichiers de sauvegarde, excutez dcpromo avec l'option /adv.
2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de
domaine supplmentaire pour un domaine existant.
Sinon, si vous lancez l'Assistant Installation de Active Directory avec
l'option /adv, choisissez l'une des options suivantes sur la page Copie des
informations du domaine en cours :
Via le rseau.
partir des fichiers de restauration de cette sauvegarde, puis
indiquez l'emplacement des fichiers de sauvegarde restaurs.
3. Sur la page Informations d'identification rseau, tapez le nom
d'utilisateur, le mot de passe et le domaine utilisateur du compte d'utilisateur
que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe Admins du domaine
pour le domaine cible.
4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de
domaine pour lequel ce serveur deviendra un contrleur de domaine
supplmentaire.
5. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, ou cliquez sur Parcourir pour choisir un
emplacement.
6. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement.
7. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe du mode de restauration des
services d'annuaire, puis cliquez sur Suivant.
8. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
9. Lorsque le systme vous y invite, redmarrez l'ordinateur.
Remarque Pour plus d'informations sur la sauvegarde et la restauration
d'Active Directory, consultez le Module 10, Maintenance d'Active
Directory , du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

13

Comment renommer un contrleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans Windows Server 2003, vous avez la possibilit de renommer un


contrleur de domaine aprs l'avoir install. Pour ce faire, vous devez disposer
des droits Administrateurs du domaine. Lorsque vous renommez un contrleur
de domaine, vous devez ajouter le nouveau nom du contrleur de domaine et
supprimer l'ancien des bases de donnes DNS et Active Directory. Vous pouvez
renommer un contrleur de domaine uniquement si le niveau fonctionnel du
domaine est dfini sur Windows Server 2003.

Procdure

Pour renommer un contrleur de domaine, procdez comme suit :


1. Dans le Panneau de configuration, double-cliquez sur l'icne Systme.
2. Dans la bote de dialogue Proprits Systme, sous l'onglet Nom de
l'ordinateur, cliquez sur Modifier.
3. Losrque vous y tes invit, confirmez que vous souhaitez renommer le
contrleur de domaine.
4. Entrez le nom complet de l'ordinateur (notamment le suffixe DNS
principal), puis cliquez sur OK.
Remarque Le fait de renommer ce contrleur de domaine risque de le rendre
provisoirement indisponible aux utilisateurs et aux ordinateurs.
Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son
suffixe DNS principal. Toutefois, cette modification ne permet pas de dplacer
le contrleur de domaine vers un nouveau domaine Active Directory. Par
exemple, si vous renommez le serveur dc2.nwtraders.msft en dc1.contoso.msft,
l'ordinateur reste un contrleur de domaine pour le domaine nwtraders.msft,
mme si le suffixe DNS principal est contoso.msft. Pour dplacer un contrleur
de domaine vers un autre domaine, vous devez pralablement rtrograder le
contrleur de domaine, puis le promouvoir au titre de contrleur de domaine
dans le nouveau domaine.

14

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment supprimer un contrleur de domaine d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans Windows Server 2003, vous avez la possibilit de supprimer un


contrleur de domaine qui n'est plus ncessaire ou qui a t endommag par une
catastrophe naturelle. S'il s'agit du dernier contrleur de domaine, le domaine va
tre supprim de la fort lors du retrait du contrleur de domaine. Si ce domaine
est le dernier de la fort, le retrait du contrleur de domaine va supprimer la
fort.

Procdure de
suppression d'un
contrleur de domaine
qui est en ligne

Pour supprimer un contrleur de domaine qui est en ligne et qui n'est plus
ncessaire, procdez comme suit :
1. Ouvrez l'Assistant Installation de Active Directory.
2. Dans la page Supprimer Active Directory, s'il s'agit du dernier contrleur
de domaine du domaine, cochez la case Ce serveur est le dernier
contrleur de domaine du domaine, puis cliquez sur Suivant.
3. Dans la page Mot de passe administrateur, tapez le nouveau mot de passe
administrateur dans les botes de dialogue Nouveau mot de passe
administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
4. Dans la page Rsum, passez en revue le rsum, puis cliquez sur Suivant.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Procdure de
suppression d'un
contrleur de domaine
endommag

15

Pour supprimer un contrleur de domaine endommag et qui ne peut pas tre


dmarr partir d'Active Directory, redmarrez le contrleur de domaine en
Mode restauration Active Directory (contrleurs de domaine Windows), puis
excutez la commande ntdsutil l'aide de l'option de nettoyage des
mtadonnes. Pour ce faire, procdez comme suit :
1. l'invite, tapez la commande suivante et appuyez sur ENTRE.
Ntdsutil.exe: metadata cleanup

2. A l'invite Metadata cleanup, tapez la commande suivante et appuyez sur


ENTRE.
metadata cleanup: connections

3. A l'invite Server connections, tapez la squence de commandes suivante


pour vous connecter au contrleur de domaine du domaine qui contient le
contrleur de domaine endommag :
Server connections: Connect to server Nom_Serveur FQDN
Server connections: quit

4. A l'invite Metadata cleanup, slectionnez la cible des oprations en entrant


la commande suivante :
metadata cleanup: select operation target

5. A l'invite Select operation target, tapez la squence de commandes suivante


afin d'identifier et de slectionner le contrleur de domaine endommag :
select
select
select
select
select

operation
operation
operation
operation
operation

target:
target:
target:
target:
target:

list sites
select site numro
list servers in site
select server numro
quit

6. A l'invite Metadata cleanup, tapez la commande suivante pour supprimer le


contrleur de domaine endommag d'Active Directory :
metadata cleanup: remove selected server
metadata cleanup: quit

Important Lorsque vous supprimez un contrleur de domaine qui est serveur


de catalogue global, assurez-vous que les utilisateurs peuvent disposer d'un
autre catalogue global avant de supprimer le contrleur de domaine. De mme,
si le contrleur de domaine dtient un rle de matre d'oprations, vous devez
transfrer ce rle vers un autre contrleur de domaine avant de le supprimer.
Pour obtenir des informations relatives au transfert d'un rle de matre
d'oprations vers un autre contrleur de domaine, reportez-vous au Module 9,
Gestion des matres d'oprations , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory Microsoft
Windows Server 2003.

16

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment vrifier l'installation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le processus d'installation d'Active Directory cre un certain nombre d'objets


par dfaut dans la base de donnes Active Directory. Il cre galement le
dossier systme partag ainsi que la base de donnes et les fichiers journaux.
Vrifiez l'installation d'Active Directory lorsque l'Assistant a termin
l'installation et que le nouveau contrleur de domaine redmarre.
Remarque Si vous avez modifi l'emplacement de la base de donnes et des
fichiers journaux de l'annuaire lors de l'installation, remplacez %systemroot%
par l'emplacement correct. Par exemple, pour la classe, l'emplacement est
C:\WINNT.

Vrification de la
cration de la structure
de dossiers SYSVOL et
de ses dossiers
partags

Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers
partags ncessaires ont t crs. Si le dossier SYSVOL n'a pas t cr
correctement, les donnes du dossier SYSVOL (Stratgie de groupe et scripts,
par exemple) ne seront pas rpliques entre les contrleurs de domaine.
Pour vrifier que la structure de dossiers a t cre, excutez la procdure
suivante :
!

Cliquez sur Dmarrer, puis sur Excuter, tapez %systemroot%\sysvol et


cliquez sur OK.
L'Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit
contenir les sous dossiers domain, staging, staging areas et sysvol.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

17

Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
!

l'invite de commande, tapez net share et appuyez sur ENTRE.

La liste suivante des dossiers partags doit s'afficher sur l'ordinateur.


Nom du
partage

Vrification de la
cration de la base de
donnes et des fichiers
journaux d'Active
Directory

Enregistrements

Remarque

NETLOGON

%systemroot%\SYSVOL\sysvol\domaine\
SCRIPTS

Partage de serveur
d'accs

SYSVOL

%systemroot%\SYSVOL\sysvol

Partage de serveur
d'accs

Pour vrifier que la base de donnes et les fichiers journaux d'Active Directory
ont t crs, excutez la procdure suivante :
!

Cliquez sur Dmarrer, sur Excuter, tapez %systemroot%\ntds et cliquez


sur OK.

L'Explorateur Windows affiche le contenu du dossier Ntds, qui doit comporter


les fichiers suivants :
!

Ntds.dit. Il s'agit du fichier de la base de donnes de l'annuaire.

Edb.*. Il s'agit des fichiers journaux des transactions et de points de


vrification.

Res*.log. Il s'agit des fichiers journaux rservs.

18

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Vrification de la
cration de la structure
Active Directory par
dfaut

Lors de l'installation d'Active Directory sur le premier contrleur de domaine


d'un nouveau domaine, plusieurs objets par dfaut sont crs. Ces objets
peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des
units d'organisation.
Affichez ces objets par dfaut l'aide du composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory. Le tableau suivant prsente
l'objectif de certains de ces objets par dfaut.

Analyse des journaux


des vnements pour
voir les erreurs

Objet

Description

Builtin

Dtient les groupes de scurit intgrs par dfaut.

Computers

Emplacement par dfaut des comptes d'ordinateurs.

Domain Controllers

Unit d'organisation et emplacement par dfaut des


comptes d'ordinateurs du contrleur de domaine.

ForeignSecurityPrincipals

Dtient les identificateurs de scurit (SID, Security


IDentifier) des domaines externes approuvs.

Users

Emplacement par dfaut des comptes d'utilisateurs et de


groupes.

LostAndFound

Conteneur par dfaut des objets orphelins.

NTDS Quotas

Enregistre les spcifications relatives au quota. Les objets


Quota dterminent le nombre d'objets d'annuaire qu'une
entit de scurit peut dtenir dans Active Directory.

Program Data

Emplacement de stockage par dfaut des donnes


d'application.

System

Enregistre les paramtre systme intgrs.

Aprs avoir install Active Directory, jetez un oeil dans les journaux des
vnements pour prendre connaissance des ventuelles erreurs qui se sont
produites lors du processus d'installation. Les messages d'erreur gnrs lors de
l'installation sont enregistrs dans les journaux Systme, Service d'annuaire,
Serveur DNS et Service de rplication de fichier.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

19

Comment rsoudre les problmes lis l'installation d'Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lors de l'installation d'Active Directory, vous risquez de rencontrer certains


problmes. Ces problmes peuvent tre le rsultat d'informations
d'identification de scurit invalides, de l'utilisation de noms qui ne sont pas
uniques, d'un rseau qui n'est pas fiable ou de ressources insuffisantes.

Problmes courants
lis l'installation

Le tableau suivant dcrit certains problmes courants que vous tes susceptible
de rencontrer lors de l'installation d'Active Directory, ainsi que les stratgies
permettant de les rsoudre.

Problme

Solution

Accs refus lors de


l'installation ou de l'ajout de
contrleurs de domaine

Fermez la session, puis ouvrez-l de nouveau l'aide d'un compte appartenant au


groupe Administrateurs local.

Les noms de domaine DNS


ou NetBIOS ne sont pas
uniques

Modifiez le nom de sorte qu'il soit unique.

Fournissez les informations d'identification d'un compte d'utilisateur membre des


groupes Admins du domaine et Administrateurs de l'entreprise.

20

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

(suite)
Problme

Solution

Le domaine ne peut pas tre


contact

Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez
promouvoir au titre de contrleur de domaine et au moins l'un des contrleurs de
domaine du domaine. Utilisez la commande ping partir de l'invite de commande
pour tester la connexion avec un contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur
du domaine en vous connectant un contrleur de domaine l'aide de
son nom DNS. Pour ce faire, l'invite de commande, tapez le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de
domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter
au contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t configur
correctement en vrifiant les enregistrements A que les contrleurs de domaine
enregistrent dans la base de donnes DNS.

Espace disque insuffisant

Augmentez la taille de la partition ou installez la base de donnes et les fichiers


journaux Active Directory sur des partitions distinctes.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

21

Application pratique : Cration d'un domaine enfant

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez installer Active Directory et crer un
domaine enfant dans le domaine racine de la fort nwtraders.msft. Aprs
l'installation d'Active Directory, vous allez vrifier la cration du dossier de
volume de systme partag, ainsi que celle de la base de donnes et des fichiers
journaux.

Scnario

La socit Northwind Traders ouvre des bureaux de nouveaux emplacements.


Vous devez crer de nouveaux domaines dans le domaine nwtraders.msft pour
chaque nouveau bureau.

Application pratique

! Installer Active Directory et crer le domaine enfant


1. Connectez-vous en tant que Nwtraders\Nom_OrdinateurUser avec le mot
de passe P@ssw0rd (o Nom_Ordinateur est le nom de l'ordinateur sur
lequel vous travaillez).
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
4. l'invite de commandes, tapez dcpromo et appuyez sur ENTRE.
5. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.
6. Dans la page Compatibilit du systme d'exploitation, cliquez sur
Suivant.
7. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
8. Dans la page Crer un nouveau domaine, cliquez sur Domaine enfant
dans une arborescence de domaine existante, puis sur Suivant.

22

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

9. Dans la page Informations d'identification rseau, tapez Administrateur


comme nom d'utilisateur, P@ssw0rd comme mot de passe, assurez-vous
que nwtraders.msft est le domaine, puis cliquez sur Suivant.
10. Sur la page Installation d'un domaine enfant, assurez-vous que le
domaine parent est nwtraders.msft, tapez le nom de domaine enfant corpx
o x est le dernier numro de votre adresse IP, puis cliquez sur Suivant.
11. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS corpx,
puis cliquez sur Suivant.
12. Dans la page Dossier de la base de donnes et du journal, acceptez la
slection par dfaut, puis cliquez sur Suivant.
13. Dans la page Volume systme partag, acceptez l'emplacement par dfaut
d'installation du dossier SYSVOL, puis cliquez sur Suivant.
14. Dans la page Diagnostics des inscriptions DNS, assurez-vous que les
paramtres de configuration DNS sont exacts, puis cliquez sur Suivant.
15. Dans la page Autorisations, cliquez sur Autorisations compatibles
uniquement avec les systmes d'exploitation Windows 2000 ou
Windows Server 2003, puis cliquez sur Suivant.
16. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe P@ssw0rd et cliquez sur
Suivant.
17. Passez en revue la page Rsum, cliquez sur Suivant pour commencer
l'installation, puis sur Terminer.
18. Lorsque vous y tes invit, redmarrez l'ordinateur.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

23

Leon : Analyse du systme DNS intgr Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Windows Server 2003 exige qu'une infrastructure DNS soit en place avant
d'installer Active Directory. Il est important de comprendre comment DNS et
Active Directory sont intgrs et comment les ordinateurs clients utilisent le
systme DNS lors de l'ouverture de session afin de rsoudre les problmes lis
au systme DNS (problmes d'ouverture de session client, par exemple).
Cette leon dcrit le format des enregistrements de ressources SRV
(enregistrements DNS que les contrleurs de domaine enregistrent) et explique
comment Active Directory utilise ces enregistrements pour rechercher les
fournisseurs de ressources.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les relations entre les espaces de noms du systme DNS et d'Active
Directory ;

expliquer la finalit des zones intgres Active Directory ;

dcrire la finalit des enregistrements SRV ;

dcrire les enregistrements SRV enregistrs par les contrleurs de domaine ;

analyser les enregistrements DNS enregistrs par un contrleur de domaine ;

dcrire comment les ordinateurs clients utilisent le systme DNS pour


rechercher des contrleurs et des services de domaine.

24

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Espaces de noms DNS et Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les domaines DNS et Active Directory utilisent des noms de domaine


identiques pour diffrents espaces de noms. En utilisant des noms de domaine
identiques, les ordinateurs d'un rseau Windows Server 2003 peuvent utiliser le
systme DNS pour rechercher des contrleurs de domaine et d'autres
ordinateurs qui fournissent des services Active Directory.

Relations entre l'espace


de noms DNS et
l'espace de noms
Active Directory

Les domaines et les ordinateurs sont reprsents par des enregistrements de


ressources dans l'espace de noms DNS et par des objets Active Directory dans
l'espace de noms Active Directory.
Le nom d'hte DNS d'un ordinateur est identique celui du compte d'ordinateur
stock dans Active Directory. Le nom de domaine DNS (galement appel
suffixe DNS principal) et le domaine Active Directory auquel appartient
l'ordinateur ont le mme nom. Par exemple, un ordinateur appel Computer1
appartenant au domaine Active Directory appel training.microsoft.msft ont le
nom FQDN suivant :
computer1.training.microsoft.msft

Intgration du systme
DNS et d'Active
Directory

L'intgration du systme DNS et d'Active Directory est essentielle car un


ordinateur client d'un rseau Windows Server 2003 doit pouvoir rechercher un
contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session
sur un domaine ou utiliser les services proposs par Active Directory. Les
clients recherchent les contrleurs de domaine et les services grce aux
enregistrements de ressources A et aux enregistrements SRV. L'enregistrement
de ressources A contient le nom FQDN et l'adresse IP du contrleur de
domaine. L'enregistrement SRV contient le nom FQDN du contrleur de
domaine et le nom du service que fournit le contrleur de domaine.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

25

Dfinition des zones intgres Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

L'intgration DNS et Active Directory offre la possibilit d'intgrer des


zones DNS dans une base de donnes Active Directory. Une zone est une
partie de l'espace de noms de domaine possdant un groupement logique
d'enregistrements de ressources, qui permet de transfrer des zones de ces
enregistrements pour fonctionner en tant qu'unit unique.

Zones intgres Active


Directory

Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre
des noms d'hte en adresses IP, et inversement, dans un fichier de base de
donnes suivi de l'extension .dns pour chaque zone.
Les zones intgres Active Directory sont des zones DNS principales et de
stub stockes en tant qu'objets dans la base de donnes Active Directory.
Vous pouvez stocker des objets de zone dans une partition d'application Active
Directory ou dans une partition de domaine Active Directory. Si les objets de
zone sont stocks dans une partition d'application Active Directory, seuls les
contrleurs de domaine qui souscrivent la partition d'application participent
sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de
domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine
du domaine.

26

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Avantages des zones


intgres Active
Directory

Les zones intgres Active Directory offrent les avantages suivants :


!

Rplication multimatre. Lorsque vous configurez les zones intgres


Active Directory, des mises jour dynamiques du systme sur le systme
DNS sont menes en fonction d'un modle de mise jour multimatre. Dans
ce modle, les serveurs DNS qui font autorit (un contrleur de domaine
excutant un serveur DNS, par exemple) sont conus en tant que source
principale pour la zone. Etant donn que la copie principale de la zone est
gre dans la base de donnes Active Directory, qui est intgralement
rplique sur tous les contrleurs de domaine, la zone peut tre mise jour
par les serveurs DNS fonctionnant sur un contrleur de domaine pour le
domaine.
Dans le modle de mise jour multimatre d'Active Directory, tout serveur
principal de la zone intgre d'annuaire peut traiter des requtes mises par
les clients DNS pour mettre jour la zone, aussi longtemps qu'un contrleur
de domaine est disponible sur le rseau.

Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations d'accs aux enregistrements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs autoriss.

Transferts de zone standard vers d'autres serveurs DNS. Effectue des


transferts de zone standard vers des serveurs DNS qui ne sont pas
configurs en tant que contrleur de domaine. Cela permet galement
d'effectuer des transferts de zone standard vers des serveurs DNS qui se
trouvent dans d'autres domaines. Il s'agit de la mthode requise pour
rpliquer des zones vers des serveurs DNS dans d'autres domaines.

Remarque Pour plus d'informations sur les zones intgres Active Directory
et la rplication DNS, reportez-vous la rubrique Dfinition des zones
intgres Active Directory de la page des annexes du module 2 sur le
CD-ROM du stagiaire.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

27

Dfinition des enregistrements de ressources SRV

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour qu'Active Directory fonctionne correctement, les ordinateurs clients


doivent tre en mesure de localiser les serveurs qui fournissent des services
spcifiques tels que l'authentification des demandes d'ouverture de session et la
recherche d'informations dans Active Directory. Active Directory stocke les
informations relatives l'emplacement des ordinateurs qui fournissent ces
services dans des enregistrements DNS connus sous le nom d'enregistrements
de ressources SRV.

Finalit des
enregistrements SRV

Les enregistrements de ressources SRV tablissent un lien entre un service et le


nom d'ordinateur DNS de l'ordinateur qui offre le service. Par exemple, un
enregistrement SRV peut contenir des informations permettant aux clients de
localiser un contrleur de domaine dans un domaine ou une fort spcifique.
Lorsqu'un contrleur de domaine dmarre, il enregistre les enregistrements
SRV et un enregistrement de ressources A, qui contiennent son nom
d'ordinateur DNS et son adresse IP. Un ordinateur client DNS utilise
ultrieurement ces informations combines afin de localiser le service requis
sur le contrleur de domaine appropri.

28

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Format des
enregistrements SRV

Tous les enregistrements SRV utilisent un format standard compos de champs


contenant les informations qu'Active Directory utilise afin de mapper un service
l'ordinateur qui fournit le service. Les enregistrements SRV utilisent le format
suivant :
_ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible
Le tableau ci-dessous prsente chaque champ d'un enregistrement SRV.
Champ

Description

_Service

Spcifie le nom du service, (LDAP [Lightweight Directory Access


Protocol] ou Kerberos, par exemple) fourni par le serveur qui
enregistre cet enregistrement SRV.

_Protocole

Spcifie le type de protocole de transport, tel que TCP ou UDP (User


Datagram Protocol).

Nom

Spcifie le nom de domaine auquel fait rfrence l'enregistrement de


ressources.

Ttl

Spcifie la dure de vie (TTL, Time To Live) en secondes. C'est un


champ standard des enregistrements de ressources DNS prcisant la
dure pendant laquelle l'enregistrement est considr valide.

Classe

Spcifie la valeur de la classe de l'enregistrement de ressources DNS,


qui est presque toujours IN pour le systme Internet . Il s'agit de la
seule classe prise en charge par le systme DNS de
Windows Server 2003.

Priorit

Spcifie la priorit du serveur. Les clients tentent de contacter l'hte


dont la priorit est la plus faible.

Poids

Indique un mcanisme d'quilibre de charge que les clients utilisent


lors de la slection d'un hte cible. Lorsque le champ de priorit est
identique pour deux ou trois enregistrements d'un mme domaine, les
clients choisissent de manire alatoire des enregistrements SRV dont
le poids est suprieur.

Port

Spcifie le port sur lequel le serveur coute ce service.

Cible

Spcifie le nom FQDN, galement appel nom de domaine complet,


de l'ordinateur qui fournit le service.

Remarque Pour plus d'informations sur la priorit et le poids (notamment sur


la manire de les configurer), reportez-vous la rubrique Dfinition des
enregistrements de ressources SRV de la page d'annexe du module 2 sur le
CD-ROM du stagiaire.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exemple

L'exemple suivant illustre un enregistrement SRV d'un ordinateur :


_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft
L'enregistrement SRV indique que l'ordinateur possde les services ou les
caractristiques suivantes :
!

Fournit le service LDAP

Fournit le service LDAP grce au protocole de transport TCP

Enregistre l'enregistrement SRV dans le domaine DNS contoso.msft

Dispose d'une dure de vie (TTL, Time To Live) de 600 secondes ou de


10 minutes

Possde un nom FQDN de london.contoso.msft

29

30

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Enregistrements SRV enregistrs par les contrleurs de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les enregistrements de ressources SRV sont enregistrs par les ordinateurs qui
fournissent un service Active Directory. Dans Windows Server 2003, les
contrleurs de domaine et les serveurs de catalogue global enregistrent les
services avec le systme DNS.

Comment les services


sont enregistrs avec le
systme DNS

Lorsqu'un contrleur de domaine dmarre, le service Ouverture de session


rseau install sur le contrleur de domaine utilise les mises jour dynamiques
pour enregistrer les enregistrement de ressources SRV dans la base de donnes
DNS. Les enregistrements de ressources SRV mappent le nom du service que le
contrleur de domaine fournit sur le nom d'ordinateur DNS de ce contrleur de
domaine.

Services enregistrs
avec le systme DNS

Pour permettre un ordinateur de localiser un contrleur de domaine, les


contrleurs de domaine excutant Windows Server 2003 enregistrent les
enregistrements de ressources SRV en utilisant le format suivant :
_Service._Protocole.DcType._msdcs.Nom_Domaine_Dns ou
Nom_Fort_Dns
Le composant _msdcs indique un sous-domaine dans l'espace de noms DNS
spcifique Microsoft, qui permet aux ordinateurs de localiser les contrleurs
de domaine ayant des fonctions dans le domaine ou la fort de
Windows Server 2003.
Les valeurs possibles pour le composant DCType, qui est un prfixe du sousdomaine _msdcs, spcifie les types de rles du serveur suivants :
!

dc pour le contrleur de domaine

gc pour le serveur de catalogue global

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

31

La prsence du sous-domaine _msdcs signifie que les contrleurs de domaine


excutant Windows Server 2003 enregistrent galement les enregistrements de
ressources SRV suivants :
_ldap._tcp.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.gc._msdcs.Nom_Fort_Dns
_ldap._tcp.Nom_Site._sites.gc._msdcs.Nom_Fort_Dns
_kerberos._tcp.dc._msdcs.Nom_Domaine_Dns
_kerberos._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
Le tableau suivant rpertorie certains enregistrements de ressources SRV
enregistrs par les contrleurs de domaine et dfinit les critres de recherche
pris en charge par chaque enregistrement.
Enregistrement SRV

Permet un ordinateur de rechercher

_ldap._tcp.Nom_Domaine_Dns

Un serveur LDAP dans le domaine spcifi par


Nom_Domaine_Dns.
Tous les contrleurs de domaine enregistrent cet
enregistrement.

_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_
Dns

Un contrleur de domaine dans le domaine spcifi par


Nom_Domaine_Dns et dans le site appel Nom_Site.
Nom_Site est le nom unique relatif de l'objet Site qui est
enregistr dans Active Directory.
Tous les contrleurs de domaine enregistrent cet
enregistrement.

_gc._tcp.Nom_Fort_Dns

Un serveur de catalogue global dans la fort appele par


Nom_Fort_Dns. Nom_Fort_Dns est le nom de
domaine du domaine racine de la fort.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.

_gc._tcp.Nom_Site._sites. Nom_Fort_Dns

Un serveur de catalogue global de la fort appele


Nom_Fort_Dns et dans le site spcifi par Nom_Site.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.

_kerberos._tcp.Nom_Domaine_Dns

Un serveur KDC (Key Distribution Center) pour le


domaine spcifi par Nom_Domaine_Dns.
Tous les contrleurs de domaine excutant le protocole
d'authentification Kerberos version 5 procdent cet
enregistrement.

_kerberos._tcp.Nom_Site. sites.Nom_Domaine_Dns

Un serveur KDC pour le domaine spcifi par


Nom_Domaine_Dns dans le site spcifi par Nom_Site.
Tous les contrleurs de domaine excutant le protocole
Kerberos version 5 procdent cet enregistrement.

32

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment analyser les enregistrements enregistrs par un


contrleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez utiliser la console DNS ou l'utilitaire Nslookup pour afficher les
enregistrements de ressources SRV que les contrleurs de domaine enregistrent.

Procdure d'affichage
des enregistrements
SRV grce la console
DNS

Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la


console DNS, suivez la procdure suivante :
1. Ouvrez DNS partir du menu Outils d'administration.
2. Double cliquez sur Serveur (o Serveur est le nom de votre serveur DNS),
sur Zones de recherche directes, puis sur domaine (o domaine est le nom
de domaine).
3. Ouvrez les dossiers suivants dans le dossier domaine pour afficher les
enregistrements de ressources enregistrs :
_msdcs
_sites
_tcp
_udp

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Procdure d'affichage
des enregistrements
SRV grce Nslookup

33

Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la


commande Nslookup, excutez la procdure suivante :
1. Ouvrez une fentre d'invite de commande, puis excutez l'utilitaire
Nslookup.
2. Tapez ls t SRV domaine (o domaine est le nom de domaine) et appuyez
sur ENTRE.
Les enregistrements de ressources SRV enregistrs sont rpertoris.
Pour enregistrer les rsultats de cette liste dans un fichier, tapez ls t SRV
domaine > nom_fichier (o nom_fichier est le nom que vous attribuez au
fichier).
Remarque Si aucune zone de recherche inverse n'est configure, Nslookup
affiche des erreurs de dpassement de dlai lorsque vous excutez l'utilitaire
pour la premire fois. En effet, Nslookup gnre une recherche inverse afin de
dterminer le nom d'hte du serveur DNS en fonction de son adresse IP. La
commande ls t procde un transfert de zone. Assurez-vous que les transferts
de zone sont activs avant d'excuter la commande.

34

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Prsentation multimdia : Utilisation de DNS par les ordinateurs


clients pour trouver un contleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Utilisation de DNS par les ordinateurs clients


pour trouver un contleur de domaine, ouvrez la page Web sur le CD-ROM des
stagiaires, cliquez sur Multimdia, puis sur le titre de la prsentation. N'ouvrez
pas cette prsentation avant d'y tre invit par l'instructeur.

Objectifs

A la fin de cette prsentation, vous serez mme d'expliquer comment des


ordinateurs clients utilisent le systme DNS pour localiser des contrleurs et
des services de domaine.

Processus d'utilisation
du systme DNS pour
localiser un contrleur
de domaine

La procdure ci-dessous explique comme un client utilise le systme DNS pour


localiser un contrleur de domaine :
1. Un service sur l'ordinateur client collecte les informations sur le client et le
service requis.
2. Le service client envoie les informations collectes un serveur DNS sous
forme de requte DNS.
3. Le serveur DNS renvoie une liste d'enregistrements SRV pour les
contrleurs de domaine qui fournissent le service requis dans le domaine et
le site spcifis.
4. Le service client parcourt les enregistrements SRV et en slectionne un en
fonction de la priorit et du poids affects dans l'enregistrement SRV.
5. Le service client envoie une seconde requte DNS pour demander
l'adresse IP du contrleur de domaine spcifique.
6. Le serveur DNS retourne l'enregistrement hte pour ce contrleur de
domaine, qui contient l'adresse IP du contrleur de domaine.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

35

7. Le client utilise l'adresse IP pour contacter le contrleur de domaine et


lancer une communication avec le service requis.
Si le client ne parvient pas contacter le contrleur de domaine, il
slectionne un autre enregistrement parmi les enregistrements SRV
retourns pour trouver un contrleur de domaine alternatif.
8. Le service client place ensuite en mmoire cache le nom du contrleur de
domaine et les informations relatives aux services qu'il offre. Les requtes
suivantes du client utilisent les informations places dans la mmoire cache.
Remarque Pour plus d'informations sur le recouvrement de site, reportez-vous
la rubrique Comment les ordinateurs clients utilisent le systme DNS pour
localiser des contrleurs et services de domaine de la page d'annexe du
module 2 sur le CD-ROM du stagiaire.

36

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Application pratique : Vrification des enregistrements SRV

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez analyser les enregistrements SRV
enregistrs par votre contrleur de domaine l'aide de la console DNS.

Scnario

Vous venez de crer un domaine enfant sur votre rseau. Vous souhaitez
vrifier que votre contrleur de domaine a enregistr ses enregistrements de
ressources SRV avec Active Directory.

Application pratique

! Afficher les enregistrements de ressources SRV enregistrs par votre


contrleur de domaine

1. Ouvrez une session en tant que Corpx\Administrateur avec le mot de


passe P@ssw0rd
2. Cliquez sur Ne pas afficher cette page lors de l'ouverture de la session,
puis fermez la page Grer votre serveur.
3. Cliquez sur Dmarrer, slectionnez Outils d'administration, puis cliquez
sur Stratgie de scurit du contrleur de domaine.
4. Dans l'arborescence de la console, dveloppez Stratgies locales, puis
cliquez sur Attributions des droits utilisateurs.
5. Dans le volet de dtails, double-cliquez sur Permettre l'ouverture d'une
session locale.
6. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur Ajouter un utilisateur ou un groupe.
7. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, tapez
Nwtraders\Nom_OrdinateurUser (o Nom_Ordinateur est le nom de
l'ordinateur sur lequel vous travaillez), puis cliquez sur OK.
8. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur OK.
9. Cliquez sur Dmarrer, sur Excuter, tapez gpupdate et cliquez sur OK.
10. Fermez la session, puis ouvrez-la en tant que
Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

37

11. Dans le menu Outil d'administration, pointez sur DNS, appuyez sur la
touche Maj et maintenez-la enfonce, cliquez avec le bouton droit, puis
cliquez sur Excuter en tant que.
12. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
13. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur
L'ordinateur suivant, tapez LONDON et cliquez sur OK.
14. Dveloppez London, dveloppez Zones de recherche directes, dveloppez
nwtraders.msft, puis ouvrez les dossiers suivants dans le dossier corpx
pour afficher les enregistrements de ressources SRV qui ont t enregistrs :
_msdcs
_sites
_tcp
_udp
15. Fermez la console DNS.

38

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Augmentation des niveaux fonctionnels de la


fort et du domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les fonctionnalits des forts et des domaines dterminent quelles sont les
fonctionnalits actives d'Active Directory. Cette leon prsente ces
fonctionnalits et explique comment augmenter les fonctionnalits des forts ou
des domaines.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les fonctionnalits des forts et des domaines ;

dcrire les conditions requises pour augmenter les niveaux fonctionnels des
forts et des domaines ;

augmenter le niveau fonctionnel des forts et des domaines.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

39

Dfinition des fonctionnalits des forts et des domaines

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Sous Windows Server 2003, les fonctionnalits des forts et des domaines
offrent un moyen d'activer les fonctionnalits Active Directory tendues
l'chelle de la fort ou du domaine dans votre environnement rseau. Selon
votre environnement, diffrents niveaux de fonctionnalit de fort et de
fonctionnalit de domaine sont disponibles.

Dfinition de la
fonctionnalit de
domaine

La fonctionnalit de domaine active des fonctionnalits qui auront un impact


sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux
fonctionnels de domaine sont disponibles :
!

Windows 2000 mixte. Il s'agit du niveau fonctionnel par dfaut. Vous


pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000
mode natif ou Windows Server 2003. Les domaines en mode mixte peuvent
contenir des contrleurs secondaires de domaine Windows NT 4.0 mais ne
peuvent pas utiliser les fonctionnalits de groupes de scurit universels,
d'imbrication de groupes ni d'historique SID (Security IDentifier).

Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le


domaine contient uniquement des contrleurs de domaine Windows 2000
et Windows Server 2003. Bien que les contrleurs de domaine excutant
Windows 2000 Server ne connaissent pas la fonctionnalit de domaine, les
fonctionnalits Active Directory (groupes de scurit universels, imbrication
des groupes et d'historique SID, par exemple) sont disponibles.

Windows 2003 Server. Il s'agit du niveau fonctionnel le plus lev pour un


domaine. Vous pouvez l'utiliser uniquement si tous les contrleurs de
domaine du domaine excutent Windows Server 2003. Toutes les
fonctionnalits Active Directory pour le domaine sont disponibles.

Windows 2003 version prliminaire. Il s'agit d'un niveau fonctionnel


particulier qui prend en charge les contrleurs de domaine Windows NT 4.0
et Windows 2003 Server.

40

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Dfinition de la
fonctionnalit de fort

La fonctionnalit de fort active les fonctionnalits travers tous les domaines


de votre fort. Deux niveaux fonctionnels de fort sont disponibles :
Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au
niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel
de la fort vers Windows Server 2003 afin d'activer des fonctionnalits qui ne
sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
!

Les approbations de fort

Une rplication accrue

Remarque Pour obtenir une liste exhaustive des fonctionnalits actives pour
chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la
rubrique Fonctionnalit des domaines et des forts , en ligne, dans Aide et
Support.
Important Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de
la fort aprs l'avoir augment.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

41

Conditions requises pour activer les nouvelles fonctionnalits de


Windows Server 2003

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Outre les fonctionnalits de base d'Active Directory sur les contrleurs de


domaine individuels, de nouvelles fonctionnalits Active Directory tendues
la fort et au domaine sont disponibles lorsque certaines conditions sont
satisfaites.

Conditions requises pour


activer de nouvelles
fonctionnalits tendues
au domaine

Pour activer les nouvelles fonctionnalits tendues au domaine, tous les


contrleurs de domaine du domaine doivent excuter Windows Server 2003,
et le niveau fonctionnel du domaine doit tre lev au niveau Windows
Server 2003. Pour ce faire, vous devez tre un administrateur de domaine.

Conditions requises pour


activer de nouvelles
fonctionnalits tendues
la fort

Pour activer les nouvelles fonctionnalits tendues la fort, tous les


contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le
niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003.
Pour ce faire, vous devez tre un administrateur d'entreprise.

42

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment augmenter le niveau fonctionnel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

En augmentant les fonctionnalits de la fort et du domaine vers


Windows Server 2003, vous activez certaines fonctionnalits (approbations de
fort, par exemple) qui ne sont pas disponibles d'autres niveaux fonctionnels.
Vous pouvez augmenter les fonctionnalits de la fort ou du domaine en
utilisant Domaines et approbations Active Directory.

Procdure
d'augmentation du
niveau fonctionnel
du domaine

Pour augmenter le niveau fonctionnel du domaine, procdez comme suit :


1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine dont vous souhaitez augmenter le niveau fonctionnel, puis
cliquez sur Augmenter le niveau fonctionnel du domaine.
3. Dans la bote de dialogue Slectionner un niveau fonctionnel du domaine
disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.

Procdure
d'augmentation du
niveau fonctionnel
de la fort

Pour augmenter le niveau fonctionnel de la fort, procdez comme suit :


1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur Domaine et approbations Active
Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort.
2. Dans la bote de dialogue Slectionner un niveau fonctionnel de la fort
disponible, slectionnez Windows Server 2003, puis cliquez sur
Augmenter.
Remarque Vous devez augmenter le niveau fonctionnel de tous les domaines
d'une fort vers Windows 2000 natif ou suprieur avant de pouvoir augmenter
celui de la fort.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

43

Application pratique : Augmentation du niveau fonctionnel du


domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez augmenter le niveau fonctionnel du


domaine de Windows 2000 mixte vers Windows Server 2003.

Scnario

Vous venez de crer un domaine enfant en installant Active Directory sur votre
ordinateur Windows Server 2003. Vous allez prparer les approbations entre
forts en augmentant le niveau fonctionnel de votre domaine.

Application pratique

! Augmenter le niveau fonctionnel de votre contrleur de domaine de


Windows 2000 mixte vers Windows Server 2003

1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le


mot de passe P@ssw0rd.
2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Analysez le niveau fonctionnel de votre domaine, puis augmentez-le au
niveau Windows Server 2003.
4. Fermez Domaines et approbations Active Directory.

44

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Cration de relations d'approbation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Active Directory propose une scurit travers plusieurs domaines et forts en


utilisant des approbations de domaine et de fort. Cette leon explique les types
d'approbations, leur fonctionnement et la mthode de cration, de vrification et
d'annulation des relations d'approbation.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les types d'approbations que vous pouvez tablir entre les domaines ;

expliquer la finalit des objets Domaine approuv ;

dcrire le fonctionnement des approbations dans une fort ;

dcrire le fonctionnement des approbations entre les forts ;

crer une approbation ;

vrifier et refuser une approbation.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

45

Types d'approbations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les approbations sont des mcanismes qui permettent un utilisateur


authentifi dans son propre domaine d'accder aux ressources de tous les
domaines approuvs. Dans Windows Server 2003, il existe deux types
d'approbations : transitives et non transitives.

Approbations
transitives/non
transitives

Dans une approbation transitive, la relation d'approbation tendue un domaine


est automatiquement tendue tous les autres domaines qui approuvent ce
domaine. Par exemple, le domaine D approuve directement le domaine E, qui
approuve directement le domaine F. Etant donn que les deux approbations sont
transitives, le domaine D approuve indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant
est un bon exemple d'approbation. Les approbations non transitives ne sont pas
automatiques et peuvent tre configures. Par exemple, une approbation non
transitive peut tre externe, comme l'approbation entre deux domaines de deux
forts distinctes.

Direction de
l'approbation

Dans Windows Server 2003, il existe trois directions d'approbation :


unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un
domaine B, vous avez configur une approbation unidirectionnelle entrante
entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent tre
authentifis dans le domaine Q. Si vous avez configur une approbation
unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs
du domaine Q peuvent tre authentifis dans le domaine B. Dans une
approbation bidirectionnelle, les deux domaines peuvent authentifier les
utilisateurs de l'autre domaine.

46

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Types d'approbations

Windows Server 2003 prend en charge les types d'approbation suivants, dans
les catgories transitives et non transitives.
Type

Transitivit

A utiliser si vous souhaitez

Raccourcie

Partiellement
transitive

Rduire les sauts de l'authentification Kerberos.

Fort

Partiellement
transitive

Activer l'authentification entre les forts.

Externe

Non transitive

Configurer une relation d'approbation entre un


domaine d'une fort et un domaine d'une autre
fort.

Domaine

Transitive ou non
transitive, au
choix de
l'utilisateur

Approuver un domaine Kerberos externe.

Le type d'approbation domaine ( realm , en anglais) reprsente un ensemble


de principes de scurit dans un environnement non-Windows faisant l'objet
d'une authentification Kerberos.
Remarque Pour plus d'informations sur les domaines Kerberos, reportez-vous
la rubrique Interfonctionnement avec les implmentations RFC-1510
Kerberos en ligne, dans Aide et Support.
Les approbations raccourcies sont partiellement transitives car la transitivit de
l'approbation est uniquement tendue vers le bas de la hirarchie partir du
domaine approuv, et non vers le haut de la hirarchie. Par exemple, s'il existe
une approbation raccourcie entre le domaine E et le domaine A, Active
Directory tend l'approbation vers le domaine enfant (le domaine C), mais pas
vers le haut de la hirarchie vers le domaine racine de la fort. Les utilisateurs
du domaine E ne peuvent accder qu'aux ressources du domaine racine de la
fort par l'intermdiaire de l'approbation parent/enfant avec le domaine D et de
l'approbation arborescence/racine que le domaine D entretient avec le domaine
racine de la fort.
Les approbations de fort ne sont galement que partiellement transitives car
elles peuvent uniquement tre cres entre deux forts et ne peuvent pas tre
implicitement tendues une troisime fort. Par exemple, si la fort 1 approuve
la fort 2, et que la fort 2 approuve la fort 3, les domaines des forts 1 et 2
approuvent respectivement de manire transitive les domaines des forts 2 et 3.
Toutefois, la fort 1 n'approuve pas de manire transitive la fort 3.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

47

Dfinition des objets du domaine approuv

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque vous configurez des approbations entre domaines de la mme fort,


entre des forts ou avec un domaine externe, les informations relatives ces
approbations sont stockes dans Active Directory de sorte qu'elles, puissent tre
extraites au moment voulu.

Objets du domaine
approuv

Chaque relation d'approbation d'un domaine est reprsente par un objet connu
sous le nom d'objet Domaine approuv (TDO, Trusted Domain Object). Le
TDO stocke des informations relatives l'approbation, comme sa transitivit ou
son type. A chaque cration d'une approbation, un TDO est cr et stock dans
le conteneur System du domaine de l'approbation.
Les TDO d'approbation de fort stockent des informations supplmentaires
permettant d'identifier la totalit des espaces de noms approuvs partir de la
fort de son partenaire. Lorsque vous crez une approbation de fort, chaque fort
rassemble tous les espaces de noms approuvs dans la fort de son partenaire et
stocke les informations dans un TDO. Ces informations contiennent :
!

les noms d'arborescence de domaine ;

les suffixes du nom principal du service (SPN, Service, Principal Name) ;

les espaces de noms de l'identificateur de scurit (SID) ;

Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est
excut un service.
Lorsqu'un poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.

48

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment fonctionnent les approbations dans une fort

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Comment les
approbations permettent
aux utilisateurs
d'accder aux
ressources d'une fort

Les approbations permettent aux utilisateurs d'un domaine d'accder aux


ressources d'un autre domaine. Les relations d'approbation peuvent tre
transitives ou non transitives.
Lorsqu'un utilisateur tente d'accder une ressource d'un autre domaine, le
protocole d'authentification Kerberos version 5 doit dterminer si le domaine
approuver (c'est--dire le domaine qui contient la ressource laquelle tente
d'accder l'utilisateur) possde une relation d'approbation avec le domaine
approuv (c'est--dire le domaine dans lequel l'utilisateur tente d'ouvrir une
session).
Pour dterminer cette relation, le protocole Kerberos version 5 suit le chemin
d'approbation en utilisant le TDO afin d'obtenir une rfrence au contrleur de
domaine du domaine cible. Le contrleur de domaine cible met un ticket de
service pour le service demand. Le chemin d'approbation est le chemin d'accs
le plus court dans la hirarchie d'approbation.
Lorsqu'un utilisateur du domaine approuv tente d'accder aux ressources d'un
autre domaine, son ordinateur contacte d'abord le contrleur de domaine de son
domaine afin d'obtenir l'authentification pour la ressource. Si la ressource ne se
trouve pas dans le domaine de l'utilisateur, le contrleur de domaine utilise la
relation d'approbation avec son parent et renvoie l'ordinateur de l'utilisateur vers
un contrleur de domaine de son domaine parent.
Cette tentative de localisation de la ressource se poursuit jusqu'au sommet de
la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la
hirarchie tant qu'un contact n'est pas tablit avec un contrleur de domaine du
domaine dans lequel se trouve la ressource.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

49

Comment fonctionnent les approbations entre les forts

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Windows Server 2003 prend en charge les approbations entre forts, qui
permettent aux utilisateurs d'accder aux ressources d'une autre fort.
Lorsqu'un utilisateur tente d'accder aux ressources d'une fort approuve,
Active Directory doit pralablement rechercher les ressources. Une fois que les
ressources ont t localises, l'utilisateur peut tre authentifi et autoris
accder aux ressources. Si vous comprenez bien le fonctionnement de ce
processus, vous serez mme de rsoudre les problmes susceptibles de
survenir avec les approbations entre forts.

Comment s'effectue
l'accs une ressource

Ci-dessous une description de la manire dont un ordinateur client


Windows 2000 Professional ou Windows XP Professional recherche et accde
aux ressources d'une autre fort dote de serveurs Windows 2000 Server ou
Windows Server 2003.
1. Un utilisateur qui a ouvert une session sur le domaine
vancouver.nwtraders.msft tente d'accder un dossier partag de la fort
contoso.msft. L'ordinateur de l'utilisateur contacte le KDC d'un contrleur
de domaine de vancouver.nwtraders.msft et demande un ticket de service en
utilisant le SPN de l'ordinateur sur lequel rsident les ressources. Un SPN
peut tre le nom DNS d'un hte ou d'un domaine, ou le nom unique d'un
objet point de connexion de service.
2. Les ressources ne sont pas localises dans vancouver.nwtraders.msft, le
contrleur de domaine de vancouver.nwtraders.msft demande donc au
catalogue global de voir si elles se trouvent dans un autre domaine de la
fort.
Etant donn qu'un catalogue global ne contient que des informations
relatives sa propre fort, il ne trouve pas le SPN. Il recherche alors dans sa
base de donnes les informations relatives des approbations de fort qui
ont t tablies avec sa fort. S'il en trouve une, il compare les suffixes de
noms rpertoris dans le TDO de l'approbation de fort par rapport au
suffixe du SPN cible. S'il trouve une correspondance, le catalogue global
fournit les informations de routage relatives la manire de localiser les
ressources au contrleur de domaine de vancouver.nwtraders.msft.

50

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

3. Le contrleur de domaine de vancouver.nwtraders.msft envoie une


rfrence son domaine parent, nwtraders.msft, l'ordinateur de
l'utilisateur.
4. L'ordinateur de l'utilisateur contacte un contrleur de domaine de
nwtraders.msft pour obtenir une rfrence un contrleur de domaine
du domaine racine de la fort contoso.msft.
5. Grce la rfrence renvoye par le contrleur de domaine de
nwtraders.msft, l'ordinateur de l'utilisateur contacte un contrleur de
domaine de la fort contoso.msft pour obtenir un ticket de service pour le
service demand.
6. Les ressources ne se trouvent pas dans le domaine racine de la fort
contoso.msft, le contrleur de domaine contacte donc son catalogue global
pour trouver le SPN. Le catalogue global trouve une correspondance pour le
SPN et l'envoie au contrleur de domaine.
7. Le contrleur de domaine envoie une rfrence seattle.contoso.msft
l'ordinateur de l'utilisateur.
8. L'ordinateur de l'utilisateur contacte le KDC sur le contrleur de domaine de
seattle.contoso.msft et ngocie un ticket pour l'utilisateur afin de pouvoir
accder aux ressources du domaine seattle.contoso.msft.
9. L'ordinateur de l'utilisateur envoie le ticket de service l'ordinateur sur
lequel se trouvent les ressources partages, qui lit les informations
d'identification de scurit et cre un jeton d'accs permettant l'utilisateur
d'accder aux ressources.
Remarque Les approbations entre forts permettent aux utilisateurs d'une fort
d'accder aux ressources d'une autre fort. Active Directory protge les
approbations entre forts grce au filtrage SID. Pour obtenir des informations
relatives au filtrage SID, reportez-vous la rubrique Comment fonctionnent
les approbations entre les forts de la page d'annexe du module 2 sur le
CD-ROM du stagiaire.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

51

Comment crer des approbations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez utiliser Domaines et approbations Active Directory pour crer des
relations d'approbation entre des forts ou entre des domaines de la mme fort.
Vous pouvez galement l'utiliser pour crer des approbations raccourcies.
Avant de crer une relation de fort, vous devez crer une zone secondaire de
recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le
serveur DNS d'une autre fort. La cration de zones secondaires de recherche
inverse garantit que le contrleur de domaine de la fort dans laquelle vous
crez une approbation de fort est mme de localiser un contrleur de
domaine de l'autre fort et de dfinir une relation d'approbation.

Procdure

Pour crer une approbation, procdez comme suit :


1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, suivez l'une des tapes ci-dessous.
Pour crer une approbation de fort, cliquez avec le bouton droit sur le
nud de domaine du domaine racine de la fort, puis cliquez sur
Proprits.
Pour crer une approbation raccourcie, cliquez avec le bouton droit sur
le nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation raccourcie, puis cliquez sur Proprits.
Pour crer une approbation externe, cliquez avec le bouton droit sur le
nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation, puis cliquez sur Proprits.
Pour crer une approbation de domaine, cliquez avec le bouton droit sur
le nud de domaine du domaine que vous souhaitez administrer, puis
cliquez sur Proprits.
3. Dans l'onglet Approbation, cliquez sur Nouvelle approbation, puis sur
Suivant.
4. Dans la page d'accueil de l'Assistant Nouvelle approbation, cliquez sur
Suivant.

52

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

5. Sur la page Nom d'approbation, suivez l'une des tapes ci-dessous.


Si vous crez une approbation de fort, tapez le nom DNS de la
deuxime fort, puis cliquez sur Suivant.
Si vous crez une approbation raccourcie, tapez le nom DNS du
domaine, tapez et confirmez le mot de passe de l'approbation, puis
cliquez sur Suivant.
Si vous crez une approbation externe, tapez le nom DNS du domaine,
puis cliquez sur Suivant.
Si vous crez une approbation de domaine, tapez le nom DNS du
domaine cible, puis cliquez sur Suivant.
6. Sur la page Type d'approbation, suivez l'une des tapes suivantes :
Si vous crez une approbation de fort, cliquez sur Approbation de
fort, puis sur Suivant.
Si vous crez une approbation raccourcie, passez l'tape 7.
Si vous crez une approbation externe, cliquez sur Approbation
externe, puis sur Suivant.
Si vous crez une approbation de domaine, cliquez sur Approbation de
domaine, puis sur Suivant. Sur la page Transitivit de l'approbation,
suivez l'une des tapes suivantes :
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Non transitif, puis sur Suivant.
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Transitif, puis sur Suivant.
7. Dans la page Direction de l'approbation, suivez l'une des tapes
ci-dessous.
Pour crer une approbation bidirectionnelle, cliquez sur Bidirectionnel,
puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle entrante, cliquez sur
Sens unique : en entre, puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle sortante, cliquez sur
Sens unique : en sortie, puis suivez les instructions de l'Assistant.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

53

Comment vrifier et rvoquer une approbation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque vous crez des approbations non transitives, vous devez parfois
vrifier et rvoquer les chemins d'approbation que vous avez crs. Vous
vrifiez une approbation afin de vous assurer qu'elle peut valider les demandes
d'authentification provenant d'autres domaines. Vous rvoquez une approbation
pour viter que le chemin d'authentification ne soit utilis lors d'une
authentification. Vous pouvez utiliser Domaines et approbations Active Directory
ou la commande netdom pour vrifier et rvoquer les chemins d'approbation.

Procdure de
vrification des
approbations

Pour vrifier une approbation l'aide de Domaines et approbations Active


Directory, excutez la procdure suivante :
1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez vrifier, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
vrifier, puis sur Proprits.
3. Cliquez sur Valider, puis sur Non, ne pas valider l'approbation entrante.
4. Reprenez les tapes 1 3 afin de vrifier l'approbation de l'autre domaine de
la relation.
Pour vrifier une approbation l'aide de la commande netdom, conformezvous l'tape ci-dessous :
!

A l'invite, tapez la commande suivante et appuyez sur ENTRE.


NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Verify

54

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Procdure de rvocation
des approbations

Pour rvoquer une approbation l'aide de Domaines et approbations Active


Directory, excutez la procdure suivante :
1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez refuser, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
refuser, puis sur Supprimer.
3. Reprenez les tapes 1 et 2 afin de rvoquer l'approbation de l'autre domaine
de la relation d'approbation.
Pour rvoquer une approbation l'aide de la commande netdom, conformezvous l'tape ci-dessous :
!

A l'invite, tapez la commande suivante et appuyez sur ENTRE.


NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Remove

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

55

Application pratique : Cration d'une approbation raccourcie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez crer et valider une approbation
raccourcie entre votre domaine et un autre domaine de votre fort.

Scnario

Vous avez cr un domaine enfant dans la fort nwtraders.msft. Les


responsables des ventes d'un autre domaine doivent accder aux ressources
commerciales de votre domaine, et inversement. Vous devez dfinir une
approbation raccourcie bidirectionnelle entre les domaines.

Instructions

Vous allez travailler avec un partenaire que va vous attribuer votre instructeur.
Vous allez crer l'approbation raccourcie entre votre domaine et celui de votre
partenaire.

Application pratique :
Cration de
l'approbation raccourcie

! Crer l'approbation raccourcie


1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd
2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Crez une approbation bidirectionnelle vers le domaine de votre partenaire.
Utilisez le mot de passe P@ssw0rd de l'approbation et acceptez les
slections par dfaut.

56

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Application pratique :
Validation de
l'approbation raccourcie

! Valider l'approbation raccourcie


1. Dans l'onglet Approbation de la page Proprits, cliquez sur l'approbation
que vous avez cre avec le domaine de votre partenaire, puis cliquez sur
Proprits.
2. Sur la page Proprits, cliquez sur Valider.
3. Cliquez sur Non, ne pas valider l'approbation entrante, puis sur OK.
Si l'approbation est valide, un message de validation s'affiche. Si vous
procdez un test de validation avant que votre partenaire ait dfini une
approbation raccourcie bidirectionnelle avec votre domaine, vous allez
recevoir un message.
4. Fermez toutes les botes de dialogue, puis fermez Domaines et approbations
Active Directory.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

57

Atelier A : Implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Connaissances
pralables

Scnario

Dure approximative
de cet atelier :
60 minutes

la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
!

supprimer un domaine enfant d'Active Directory ;

crer un domaine racine de la fort ;

vrifier les niveaux fonctionnels de la fort et du domaine ;

augmenter le niveau fonctionnel d'un domaine et d'une fort ;

crer un domaine enfant dans une fort existante ;

crer et vrifier des approbations de fort.

Avant de commencer cet atelier, vous devez avoir :


!

des connaissances relatives aux composants qui constituent la structure


logique et physique d'Active Directory ;

des connaissances relatives au fonctionnement des zones intgres Active


Directory et au systme DNS ;

des connaissances relatives aux niveaux fonctionnels de la fort ;

des connaissances relatives aux approbations de fort.

Vous tes un ingnieur systme de la socit Northwind Traders. Suite une


srie de fusions avec plusieurs socits de plus petite taille, Northwind Traders
a dcid de consolider son infrastructure Active Directory. Les organisations
individuelles doivent grer leur structure Active Directory, et tre cependant en
mesure de communiquer avec toutes les filiales. Vous allez fournir
l'infrastructure ncessaire la prise en charge de ces objectifs grce plusieurs
forts et approbations, le cas chant, entre elles.

58

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exercice 1
Suppression d'un domaine enfant d'Active Directory
Dans cet exercice, vous allez supprimer Active Directory de votre contrleur de domaine afin de
prparer la cration d'une structure de fort et de domaine Active Directory.

Scnario
Northwind Traders doit implmenter Active Directory diffrents emplacements. L'quipe de
gestion informatique (IT) a demand aux ingnieurs d'implmenter Active Directory en utilisant des
forts spares. Vous allez travailler de manire indpendante en tant qu'administrateur local du
bureau auquel vous avez t affect. Vous allez crer un domaine racine de la fort et un domaine
enfant Active Directory grce aux serveurs prsents sur votre site. Mais en premier lieu, vous devez
rtrograder votre contrleur de domaine.

Tches
1.

2.

Instructions spcifiques

Supprimer Active Directory


de votre contrleur de
domaine.

a.

Vrifier qu'Active Directory


a t supprim de votre
serveur.

a.

Ouvrez une session an tant que Nwtraders\Nom_OrdinateurUser.

b. Utilisez Excuter en tant que pour lancer une invite de commande et

excutez dcpromo en tant que Nwtraders\Administrateur.


Ouvrez une session en tant qu'Administrateur avec le mot de passe
P@ssw0rd.

b. Vrifiez que les partages NETLOGON et SYSVOL n'existent plus.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exercice 2
Cration d'un domaine racine de la fort Active Directory
Dans cet exercice, vous allez travailler avec un partenaire afin de crer votre fort Active Directory.
L'un de vous deux va crer le domaine racine de la fort et l'autre un domaine enfant.

Scnario
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un environnement
administratif polyvalent. En tant que filiale rgionale de Northwind Traders, vous devez coordonner
vos efforts avec la filiale de votre pays. L'une des filiales va crer le domaine racine de la fort et
l'autre un domaine enfant dans la nouvelle fort. Le domaine racine de la fort doit tre cr avant
que le domaine enfant, puisse rejoindre la fort. Vous devez coordonner vos efforts avec l'autre
filiale pour tre sr que la procdure approprie est ralise au moment opportun.
Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.
Nom de l'ordinateur

Domaine racine de la fort

Vancouver

Nwtraders1.msft

Denver
Perth

Corp1.Nwtraders1.msft
Nwtraders2.msft

Brisbane
Lisbon

Corp2.Nwtraders2.msft
Nwtraders3.msft

Bonn
Lima

Corp3.Nwtraders3.msft
Nwtraders4.msft

Santiago
Bangalore

Corp4.Nwtraders4.msft
Nwtraders5.msft

Singapore
Casablanca

Corp5.Nwtraders5.msft
Nwtraders6.msft

Tunis
Acapulco

Corp6.Nwtraders6.msft
Nwtraders7.msft

Miami
Auckland

Corp7.Nwtraders7.msft
Nwtraders8.msft

Suva
Stockholm

Corp8.Nwtraders8.msft
Nwtraders9.msft

Moscow
Caracas

Corp9.Nwtraders9.msft
Nwtraders10.msft

Montevideo
Manila

Corp10.Ntraders10.msft.
Nwtraders11.msft

Tokyo
Khartoum
Nairobi

Domaine enfant

Corp11. Nwtraders11.msft
Nwtraders12.msft
Corp12. Nwtraders12.msft

59

60

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Tches
1.

Crer un domaine racine de


la fort.

Instructions spcifiques
a.

Reportez-vous au tableau pour vos attributions de domaine.

b. Ouvrez une session sur votre serveur en tant qu'Administrateur avec

le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.


Vous devez installer le systme DNS en utilisant l'Assistant
Installation de Active Directory. Le service de rsolution DNS du
contrleur de domaine racine doit pointer sur London.
2.

Crer deux comptes


d'utilisateurs des fins
de connexion.

3.

Vrifier la cration de
la nouvelle fort.

"

Crez Nom_OrdinateurUser pour chaque ordinateur de la fort.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

61

Exercice 3
Cration d'un domaine enfant Active Directory
Dans cet exercice, vous allez terminer la cration de la fort Active Directory en crant un domaine
enfant l'intrieur de la racine de la fort.

Scnario
En tant qu'entreprise sur de la racine de la fort nouvellement cre, vous allez terminer la fort
en crant le premier domaine enfant. Ne suivez pas cette procdure tant que vous n'avez pas vrifi,
avec votre partenaire, que le domaine racine de la fort a t configur et qu'il fonctionne.

Tches
1.

Crer un domaine enfant.

Instructions spcifiques

"

Ouvrez une session sur votre ordinateur local en tant


qu'Administrateur avec le mot de passe P@ssw0rd
Le service de rsolution DNS du contrleur du domaine enfant
doit pointer sur le contrleur du domaine racine de la fort.

2.

Vrifier l'installation du
nouveau domaine enfant.

62

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exercice 4
Augmentation du niveau fonctionnel du domaine et de la fort
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Windows Server 2003.

Scnario
Northwind Traders prpare son environnement d'approbations entre forts, que l'quipe
informatique va implmenter ultrieurement. Avant d'implmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit d'approbation de fort.

Tches

Instructions spcifiques

1.

Augmenter le niveau
fonctionnel du domaine.

"

Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


(o x est le numro du domaine que votre instructeur vous a attribu)
avec le mot de passe P@ssw0rd.

2.

Augmenter le niveau
fonctionnel de la fort.

"

Vous devez augmenter le niveau en utilisant uniquement un membre de


la fort.

Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

63

Exercice 5
Cration d'une approbation de fort
Dans cette exercice, vous allez crer une approbation de fort bidirectionnelle avec les forts
nwtraders.msft.

Scnario
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
l'augmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer l'approbation requise avec laquelle
activer les communications et l'accs aux ressources entre votre fort et la fort de la socit.

Tches

Instructions spcifiques

1.

Configurer la redirection
DNS.

"

Effectuez cette tche sur le contrleur du domaine racine de la fort.

2.

Crer une approbation entre


la fort de la classe et la
vtre, puis vrifier que
l'approbation a t cre.

"

Effectuez cette tche sur le contrleur du domaine enfant.

THIS PAGE INTENTIONALLY LEFT BLANK

Module 3 : Implmentation
de la structure d'une unit
d'organisation
Table des matires
Vue d'ensemble

Leon : Cration et gestion d'units


d'organisation

Leon : Dlgation du contrle


administratif des units d'organisation

14

Leon : Planification d'une stratgie


d'unit d'organisation

25

Atelier A : Implmentation de la
structure d'une unit d'organisation

36

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 3 : Implmentation de la structure d'une unit d'organisation

iii

Notes de l'instructeur
Prsentation :
90 minutes
Atelier :
45 minutes
Objectifs

Documents de cours

Ce module explique comment crer et grer des units d'organisation, dlguer


des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.

la fin de ce module, les stagiaires seront mme d'effectuer les tches


suivantes :
!

crer et grer des units d'organisation ;

dlguer le contrle d'une unit d'organisation ;

planifier la stratgie d'une unit d'organisation.

Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint


2194A_03.ppt.
Important Il est recommand d'utiliser PowerPoint 2002 ou une version
ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;

lire les rubriques dans Aide et Support de Microsoft


Windows Server 2003 : propos des outils de ligne de commande
du service d'annuaire, y compris Dsadd, Dsmod, Dsrm et Ldifde.

iv

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications
pratiques et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Module 3 : Implmentation de la structure d'une unit d'organisation

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Cration et gestion d'units d'organisation


Cette leon traite des connaissances et des comptences requises pour crer et
grer des units d'organisation.
La rubrique Mthodes de cration et de gestion des units d'organisation dcrit
plusieurs outils de ligne de commande prsents dans le Module 1. Comparez
les outils lorsque vous prsentez la rubrique.
Aprs avoir montr comment utiliser Dsadd, Dsmod et Dsrm, indiquez
aux stagiaires qu'ils trouveront en annexe des exemples supplmentaires
d'utilisation des outils de service d'annuaire pour grer des units d'organisation.
Lorsque vous prsentez la rubrique Comment crer et grer des units
d'organisation l'aide de l'outil Ldifde, montrez comment crer un fichier
d'entre que vous utiliserez ensuite pour crer une unit d'organisation.
Application pratique

la fin de la leon, demandez aux stagiaires de crer des units d'organisation


dans le domaine que leur ordinateur hberge.

Leon : Dlgation du contrle administratif des units


d'organisation
Cette leon traite des connaissances et des comptences requises pour dlguer
des tches d'administration dans Active Directory.
Les rubriques Qu'est-ce que la dlgation de privilges administratifs ? et
Tches d'administration pour units d'organisation contiennent des informations
gnrales. Utilisez ces rubriques pour rvision.
Lorsque vous prsenterez les rubriques Comment dlguer le contrle
administratif, Comment personnaliser le contrle administratif dlgu et
Comment vrifier la dlgation d'un contrle administratif, montrez comment
effectuer ces tches. Indiquez aux stagiaires les annexes consulter pour plus
d'informations sur l'utilisation des quotas.
Application pratique

la fin de la leon, demandez aux stagiaires de dlguer le contrle de tches


d'administration courantes pour diverses units d'organisation.

vi

Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Planification d'une stratgie d'unit d'organisation


Cette leon traite des connaissances et des comptences requises pour planifier
la stratgie d'une unit d'organisation en fonction des besoins d'une
organisation.
Lorsque vous prsentez la rubrique Processus de planification d'une unit
d'organisation, ne donnez pas de dtails sur la manire de documenter la
structure d'une organisation. Il s'agit d'une tche complexe et il suffit que les
stagiaires aient conscience que cette tche doit tre effectue.
Application pratique

la fin de la leon, demandez aux stagiaires de planifier la structure d'une unit


d'organisation pour Northwind Traders. Les stagiaires travailleront par deux.
Affectez un numro chacun des groupes ainsi forms. Ils implmenteront
cette structure dans le cadre de l'atelier.

Atelier A : Implmentation de la structure d'une unit d'organisation


Avant de commencer l'atelier, vrifiez que les stagiaires ont termin
l'application pratique Planification de la structure d'une unit d'organisation.
Ils implmenteront cette structure dans le cadre de l'atelier. Les stagiaires qui
n'ont pas termin l'application pratique de planification pourraient prouver des
difficults raliser le travail en atelier.
la fin de l'atelier, indiquez aux stagiaires combien il est important de
documenter l'excution d'une administration Active Directory avant de planifier
la structure d'une unit d'organisation. Faites remarquer que bien qu'il soit facile
de planifier la structure d'une unit d'organisation en se basant uniquement
sur des considrations gographiques ou la structure de l'entreprise, il faut
davantage de temps et d'efforts pour planifier une structure organisationnelle
qui simplifie l'administration d'Active Directory.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1

Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit


configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, effectuez les
ateliers du Module 2, Implmentation d'une structure de fort et de domaine
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft
Windows Server 2003.

Module 3 : Implmentation de la structure d'une unit d'organisation

vii

En outre, cet atelier requiert la structure d'unit d'organisation suivante :


!

Nom_Ordinateur
IT
Sales
HR
Remarque Sur l'ordinateur de chaque stagiaire, remplacez Nom_Ordinateur
par le nom de l'ordinateur de stagiaire sur lequel les units d'organisation
sont cres.

Pour prparer les ordinateurs des stagiaires remplir cette condition, vrifiez
que les stagiaires ont effectu l'application pratique Cration d'units
d'organisation de ce module.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Elle cre les units d'organisation suivantes dans le domaine de chaque


stagiaire :
Nom_Ordinateur
Accounting
Research

Elle cre les groupes suivants dans l'unit d'organisation relative au service
informatique IT (Information Technology) :
DL AccountingAdmins
DL ResearchAdmins

Chaque groupe rpertori ci-dessus se voit dlguer le contrle de l'unit


d'organisation associe au groupe.

Module 3 : Implmentation de la structure d'une unit d'organisation

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Ce module explique comment crer et grer des units d'organisation, dlguer


des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.

Objectifs

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

crer et grer des units d'organisation ;

dlguer le contrle d'une unit d'organisation ;

planifier la stratgie d'une unit d'organisation.

Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Cration et gestion d'units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon prsente les outils de ligne de commande et les composants


logiciels enfichables MMC (Microsoft Management Console) permettant la
cration et la gestion d'units d'organisation. Elle apporte galement les
comptences requises pour crer, modifier et supprimer des units
d'organisation.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire le cycle de vie d'units d'organisation ;

dcrire les mthodes de cration d'units d'organisation ;

grer des units d'organisation l'aide d'outils de ligne de commande de


services d'annuaire ;

grer des units d'organisation l'aide de l'outil de ligne de commande


Ldifde ;

crer des units d'organisation partir de l'environnement d'excution de


scripts Windows.

Module 3 : Implmentation de la structure d'une unit d'organisation

Prsentation de la gestion des units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les units d'organisation sont les conteneurs du service d'annuaire Active


Directory que vous utilisez pour placer des utilisateurs, des groupes, des
ordinateurs et d'autres units d'organisation. L'utilisation d'units d'organisation
vous permet de crer des conteneurs dans un domaine reprsentant les
structures hirarchique et logique de votre organisation. Vous pouvez ensuite
grer la configuration et l'utilisation de comptes et de ressources en fonction
de votre modle d'organisation. Vous pouvez, par exemple, utiliser les units
d'organisation pour appliquer automatiquement des stratgies de groupe
dfinissant des paramtres par dfaut pour les comptes d'ordinateurs et
d'utilisateurs dans Active Directory.

Cycle de vie d'units


d'organisation

Le cycle de vie des units d'organisation inclut quatre phases :


!

Planification. Vous planifiez au cours de cette phase la structure des units


d'organisation. Vous dterminez quelles units d'organisation vous allez
crer et comment vous en dlguerez le contrle administratif.

Dploiement. Vous crez au cours de cette phase la structure des units


d'organisation en fonction de leur plan.

Maintenance. Aprs avoir cr la structure des units d'organisation dans


Active Directory, vous pouvez renommer, dplacer ou modifier les units
cres en fonction des besoins permanents de l'organisation.

Suppression. Dans Active Directory, tous les objets, y compris les units
d'organisation, occupent de l'espace dans le contrleur de domaine qui
hberge Active Directory. Lorsque des units d'organisation ne sont plus
requises, vous devez les supprimer.

Remarque Pour plus d'informations sur les units d'organisation, reportez-vous


au Module 7, Administration des accs aux objets dans les units
d'organisation du cours 2144, Administration d'un environnement
Microsoft Windows Server 2003.

Module 3 : Implmentation de la structure d'une unit d'organisation

Mthodes de cration et de gestion des units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Microsoft Windows Server 2003 fournit plusieurs composants logiciels


enfichables et outils de ligne de commande vous permettant de crer des units
d'organisation et de grer la configuration et l'utilisation de comptes et de
ressources dans le modle de votre organisation. Vous pouvez galement
utiliser l'environnement d'excution de scripts pour les plates-formes
Microsoft Windows, afin de grer des units d'organisation.

Mthodes de cration et
de gestion des units
d'organisation

La liste suivante dcrit quelques composants logiciels enfichables et outils


de ligne de commande vous permettant de crer et de grer des units
d'organisation :
!

Utilisateurs et ordinateurs Active Directory. Ce composant logiciel


enfichable MMC permet de crer, modifier et supprimer des units
d'organisation. Utilisez ce composant logiciel enfichable lorsque vous
n'avez que quelques units d'organisation grer, ou lorsque vous
souhaitez grer des units de manire interactive.

Outils de service d'annuaire. Cet ensemble d'outils de ligne de commande


permet de grer des objets et d'effectuer des requtes d'informations dans
Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod
et Dsrm. L'utilisation de ces outils avec le paramtre ou vous permet
d'ajouter, de modifier et de supprimer des units d'organisation dans
Active Directory. Vous pouvez galement utiliser des scripts et des
fichiers de commandes avec ces outils pour grer des services d'annuaire.

Module 3 : Implmentation de la structure d'une unit d'organisation


!

Ldifde (Lightweight Directory Access Protocol Data Interchange Format


Directory Exchange). Cet outil de ligne de commande permet de crer des
units d'organisation et d'autres objets Active Directory. Ldifde utilise un
fichier d'entre contenant des informations sur les objets ajouter, modifier
ou supprimer. Ces informations sont stockes sous la forme d'une srie
d'enregistrements, spars par une ligne vide dans un fichier d'entre.

Environnement d'excution de scripts Windows. Vous pouvez crer des


units d'organisation l'aide d'applications Windows, ou l'aide de
scripts Windows avec les composants fournis par les interfaces ADSI
(Active Directory Service Interfaces). L'utilisation de scripts vous permet
de crer des units d'organisation dans le cadre d'une configuration
d'application, le cas chant.

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer et grer des units d'organisation l'aide d'outils


de service d'annuaire

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les outils de ligne de commande Dsadd, Dsmod et Dsrm du service d'annuaire


vous permettent de crer et de grer des units d'organisation partir de l'invite
de commande. Vous pouvez galement utiliser ces commandes dans des scripts
et des fichiers de commandes.

Procdure de cration
d'une unit
d'organisation

Pour crer une unit d'organisation, excutez la commande Dsadd suivante


partir de l'invite de commande :
dsadd ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe

O :
!

NU_Unit_Organisation spcifie le nom unique de l'unit d'organisation


que vous dsirez ajouter. Par exemple, pour ajouter l'unit
SupportTechnique au domaine nwtraders.msft, le nom unique serait
ou=supporttechnique,dc=nwtraders,dc=msft.

Description spcifie la description de l'unit d'organisation que vous dsirez


ajouter.

Domaine spcifie le domaine auquel se connecter. Par dfaut, l'ordinateur


est connect au contrleur de domaine du domaine sur lequel il a ouvert
une session.

Module 3 : Implmentation de la structure d'une unit d'organisation


!

Nom_Utilisateur spcifie le nom d'utilisateur permettant de se connecter


un serveur distant. Par dfaut, le nom de l'utilisateur connect est utilis.
Vous pouvez spcifier un nom d'utilisateur selon l'un des formats suivants :
nom d'utilisateur (par exemple, Linda)
domaine\nom d'utilisateur (par exemple, widgets\Linda)
nom d'utilisateur principal (UPN, User Principal Name) (par exemple,
Linda@widgets.microsoft.com)

Procdure de
modification d'une unit
d'organisation

Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur
un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera
demand.

Pour modifier la description d'une unit d'organisation, excutez la commande


suivante :
dsmod ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe

Les paramtres qui sont transmis la commande dsmod sont les mmes que
ceux de la commande dsadd. La nouvelle description doit tre transmise
comme paramtre desc.
Procdure de
suppression d'une unit
d'organisation

Vous devez supprimer d'Active Directory les units d'organisation qui ne sont
plus utilises. Pour supprimer une unit d'organisation, excutez la commande
suivante :
dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur -p
Mot_de_passe

Les paramtres qui sont transmis la commande dsrm sont les mmes que
ceux de la commande dsadd. Vous pouvez utiliser les paramtres
supplmentaires suivants avec dsrm :
!

subtree. Spcifie de supprimer l'objet ainsi que tous les objets contenus dans
la sous-arborescence situe sous cet objet.

Exclude. Spcifie de ne pas supprimer l'objet de base fourni par


NU_Unit_Organisation lorsque vous supprimez la sous-arborescence
situe au-dessous. Par dfaut, seul l'objet de base spcifi est supprim.
Le paramtre Exclude ne peut tre spcifi qu'avec le paramtre subtree.

Remarque Pour plus d'informations sur l'utilisation des outils de ligne de


commande Dsadd, Dsmod et Dsrm, reportez-vous au Centre d'aide et de
support de Windows Server 2003. Pour obtenir des exemples supplmentaires
d'utilisation de ces outils de ligne de commande du service d'annuaire, reportezvous la rubrique Comment crer et grer des units d'organisation l'aide
d'outils de service d'annuaire du Module 3, dans la page des annexes sur le
CD-ROM du stagiaire.

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer et grer des units d'organisation l'aide de


l'outil Ldifde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

L'outil de ligne de commande Ldifde vous permet de crer des units


d'organisation en mode Batch et de dfinir des hirarchies d'units
d'organisation. Vous pouvez galement utiliser Ldifde pour modifier et
supprimer des units d'organisation.

Procdure

La premire tape excuter pour utiliser cet outil consiste crer le fichier
d'entre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la
commande Ldifde.
Procdez comme suit pour crer des units d'organisation l'aide de l'outil de
ligne de commande Ldifde :
1. Crez un fichier d'entre. L'exemple suivant montre le format du fichier :
dn: OU=ExempleOU,DC=nwtraders,DC=msft
changetype: add
objectClass: organizationalUnit

Changetype dtermine le type d'opration effectue sur l'objet Active


Directory. ObjectClass spcifie la classe de l'objet Active Directory. Dans
l'exemple prcdent, Ldifde ajoute un objet d'unit d'organisation appel
ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs
units d'organisation en ajoutant d'autres entres comme celle ci-dessus.
Chaque entre dn doit tre prcde d'une ligne vide, sauf la premire.

Module 3 : Implmentation de la structure d'une unit d'organisation

2. Excutez Ldifde pour crer, modifier ou supprimer des units d'organisation


en entrant la commande suivante :
C:\>ldifde -i k -f OUList.ldf -b Nom_Utilisateur Domaine
Mot_de_Passe

O :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode
par dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom du fichier d'importation ou d'exportation.
OUList.ldf est le fichier d'entre.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe
associs au compte d'utilisateur qui sera utilis pour excuter l'opration
d'importation ou d'exportation.
Remarque Pour plus d'informations sur Ldifde, reportez-vous Aide et
support de Windows Server 2003.

10

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer des units d'organisation l'aide de


l'environnement d'excution de scripts Windows

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

ADSI est une interface de programmation d'applications (API, Application


Programming Interface) que vous utilisez partir de l'environnement
d'excution de scripts Windows pour automatiser l'administration d'Active
Directory. ADSI utilise le protocole LDAP (Lightweight Directory Access
Protocol) pour communiquer avec Active Directory. Toutes les oprations
ADSI que vous effectuez sur Active Directory respectent la mme procdure.
Vous devez tout d'abord vous connecter Active Directory. Vous pouvez
ensuite effectuer des tches, comme extraire des informations concernant des
objets, et ajouter, modifier ou supprimer des objets. Si vous apportez des
modifications Active Directory, vous devez les enregistrer dans la base de
donnes Active Directory afin qu'elles soient conserves.

Procdure

Procdez comme suit pour crer une unit d'organisation l'aide de


l'environnement d'excution de scripts Windows :
1. l'aide du Bloc-notes, crez un fichier texte portant l'extension .vbs.
Insrez dans ce fichier les commandes figurant ci-aprs sous les points a, b
et c, puis enregistrez le fichier.
a. Commencez par vous connecter au domaine dans lequel vous souhaitez
crer l'unit d'organisation, comme indiqu dans l'exemple suivant :
Set objDom = GetObject("LDAP://dc=nwtraders,dc=msft")

Important Dans l'exemple ci-dessus, LDAP doit tre en majuscules, sinon la


commande chouera.
Dans cet exemple, nwtraders.msft est le domaine dans lequel vous crez
l'unit d'organisation.

Module 3 : Implmentation de la structure d'une unit d'organisation

11

b. Crez ensuite l'unit d'organisation en spcifiant OrganizationalUnit


comme type d'objet Active Directory crer et le nom de l'unit
d'organisation, comme indiqu dans l'exemple suivant :
Set objOU = objDom.Create("OrganizationalUnit",
"ou=NouvelleOU")

Dans cet exemple, NouvelleOU est le nom de l'unit d'organisation que


vous crez.
c. Pour terminer, enregistrez ces informations dans la base de donnes
Active Directory, comme indiqu dans l'exemple suivant :
objOU.SetInfo

2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant
l'invite de commande :
wscript nom_fichier_script.vbs

Remarque Pour plus d'informations sur la cration de scripts d'administration


l'aide de l'environnement d'excution de scripts Windows, consultez le site
Microsoft Technet Script Center l'adresse suivante :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/default.asp
Consultez galement le cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais)

12

Module 3 : Implmentation de la structure d'une unit d'organisation

Application pratique : Cration d'units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif

Dans cette application pratique, vous allez crer des units d'organisation dans
le domaine hberg par votre ordinateur de stagiaire, l'aide de l'outil de ligne
de commande Ldifde.

Scnario

Northwind Traders possde plusieurs succursales. La vtre contient trois


services : Informatique, Ventes (Sales) et Ressources humaines (HR, Human
Resources). En tant qu'administrateur du rseau de votre bureau, vous devez
crer trois units d'organisation pour ces services.

Module 3 : Implmentation de la structure d'une unit d'organisation

Application pratique

13

! Pour crer des units d'organisation l'aide de l'outil de ligne de


commande Ldifde

1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le


mot de passe P@ssw0rd.
2. Utilisez le Bloc-notes pour crer un fichier d'entre pour les units
d'organisation reprsentes dans l'illustration suivante.

votre_ville

IT

Sales

HR

Exemple de fichier Bloc-notes pour l'exemple (sample.txt).


dn: OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
dn: OU=IT,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
dn: OU=Sales,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
dn: OU=HR,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
3. Crez les nouvelles units d'organisation l'aide de l'outil de ligne de
commande Ldifde.

14

Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Dlgation du contrle administratif des units


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon explique le rle de la dlgation de privilges administratifs, les


tches d'administration que vous pouvez dlguer, comment les dlguer et
comment vrifier que vous avez dlgu les privilges requis pour effectuer
ces tches.

Objectifs de la leon

la fin de cette leon, les stagiaires seront mme d'effectuer les tches
suivantes :
!

dcrire les conditions sous lesquelles le contrle administratif d'une unit


d'organisation peut tre dlgu ;

dcrire des tches d'administration courantes lies aux units


d'organisation ;

dlguer le contrle administratif d'une unit d'organisation l'aide de


l'Assistant Dlgation de Contrle ;

personnaliser le contrle administratif dlgu en crant une tche


personnalise dlguer ;

vrifier les privilges administratifs qui ont t dlgus.

Module 3 : Implmentation de la structure d'une unit d'organisation

15

Qu'est-ce que la dlgation de privilges administratifs ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La raison majeure motivant la cration d'units d'organisation est de distribuer


les tches d'administration dans toute l'organisation en dlguant le contrle
administratif diffrents administrateurs. La dlgation est particulirement
importante lorsque vous dveloppez un modle d'administration dcentralis.

Qu'est-ce que la
dlgation de
l'administration ?

La dlgation de l'administration est le processus de dcentralisation de la


responsabilit de la gestion d'units d'organisation d'un administrateur central
vers d'autres administrateurs. La capacit tablir l'accs des units
d'organisation individuelles est une fonctionnalit de scurit importante dans
Active Directory ; vous pouvez contrler l'accs jusqu'au niveau le plus bas
d'une organisation sans devoir crer de nombreux domaines Active Directory.
L'autorit dlgue au niveau du site couvrira probablement plusieurs domaines
ou, l'inverse, peut ne pas inclure de cibles dans le domaine. L'autorit
dlgue au niveau du domaine affectera tous les objets qui s'y trouvent.
L'autorit dlgue au niveau de l'unit d'organisation peut affecter cet objet
et tous ses objets enfants, ou uniquement l'objet lui-mme.

Pourquoi dlguer
l'administration ?

Vous dlguez le contrle administratif afin de permettre l'autonomie


administrative des organisations au niveau des services et des donnes ou, au
contraire, pour isoler les services ou les donnes dans une organisation. Vous
pouvez liminer le besoin de disposer de plusieurs comptes administrateur
ayant une autorit tendue, sur un domaine entier par exemple, mais nanmoins
utiliser le groupe prdfini Admins du domaine pour grer tout le domaine.
L'autonomie correspond la possibilit qu'ont les administrateurs d'une
organisation de prendre en charge de manire indpendante :
!

tout ou partie de la gestion des services (autonomie de la gestion des


services) ;

tout ou partie de la gestion des donnes de la base de donnes Active


Directory ou des ordinateurs membres rattachs l'annuaire (autonomie
de la gestion des donnes).

16

Module 3 : Implmentation de la structure d'une unit d'organisation

L'autonomie administrative :
!

minimise le nombre d'administrateurs devant possder des droits d'accs de


haut niveau ;

limite l'impact d'une erreur administrative une zone d'administration plus


rduite.

L'isolation correspond la possibilit qu'ont les administrateurs d'une


organisation d'empcher les autres administrateurs de :
!

contrler ou d'interfrer avec la gestion des services (isolation de la gestion


des services) ;

contrler ou visualiser un sous-ensemble de donnes dans l'annuaire ou sur


les ordinateurs membres rattachs l'annuaire (isolation de la gestion des
donnes).

Windows Server 2003 comporte des autorisations et des droits utilisateur


spcifiques qui vous permettent de dlguer le contrle administratif. En
utilisant une combinaison d'units d'organisation, de groupes et d'autorisations,
vous pouvez confrer des droits d'administration un utilisateur particulier de
telle sorte que celui-ci dispose d'un niveau appropri d'administration sur tout
un domaine, sur toutes les units d'organisation dans un domaine ou sur une
seule unit d'organisation.

Module 3 : Implmentation de la structure d'une unit d'organisation

17

Tches d'administration pour units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Utilisez des units d'organisation pour regrouper des objets Active Directory
par type (par exemple, par utilisateurs, groupes et ordinateurs) afin de pouvoir
les grer de manire efficace.

Tches d'administration
courantes

Les administrateurs excutent rgulirement les tches suivantes dans


Active Directory :
!

Modification des proprits sur un conteneur particulier. Par exemple,


lorsqu'un nouvel ensemble de logiciels est disponible, les administrateurs
peuvent crer une stratgie de groupe qui contrle leur distribution.

Cration et suppression d'objets d'un type particulier. Dans une unit


d'organisation, ces types spcifiques peuvent tre les utilisateurs, les groupes
et les imprimantes. Lorsqu'un nouvel employ rejoint l'organisation, par
exemple, vous crez un compte d'utilisateur pour l'employ, puis vous
ajoutez cet employ dans l'unit ou le groupe d'organisation appropri.

Mise jour de proprits spcifiques sur des objets d'un type donn dans
une unit d'organisation. Il se peut que la tche d'administration la plus
courante que vous effectuiez, concernant la mise jour de proprits, inclut
des tches comme la rinitialisation des mots de passe et la modification
des informations personnelles d'un employ, telles que son adresse et son
numro de tlphone en cas de dmnagement, par exemple.

18

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment dlguer le contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez utiliser l'Assistant Dlgation de Contrle pour dlguer le


contrle administratif des objets Active Directory, comme les units
d'organisation. L'utilisation de l'Assistant vous permet de dlguer des tches
d'administration courantes, telles que la cration, la suppression et la gestion
des comptes d'utilisateurs.

Procdure

Excutez la procdure ci-dessous pour dlguer des tches d'administration


courantes pour une unit d'organisation.
1. Procdez comme suit pour dmarrer l'Assistant Dlgation de contrle :
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, double-cliquez sur le nud du
domaine.
c. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, cliquez ensuite sur Dlguer le contrle, puis sur
Suivant.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration courantes. Pour ce faire, procdez
comme suit :
a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
b. Dans la bote de dialogue Slectionner des utilisateurs, des
ordinateurs ou des groupes, tapez les noms des utilisateurs et des
groupes auxquels vous souhaitez dlguer le contrle de l'unit
d'organisation, cliquez ensuite sur OK, puis sur Suivant.

Module 3 : Implmentation de la structure d'une unit d'organisation

19

3. Affectez des tches courantes dlguer. Pour ce faire, procdez


comme suit :
a. Dans la page Tches dlguer, cliquez sur Dlguer les tches
courantes suivantes.
b. Dans la page Tches dlguer, slectionnez les tches que vous
souhaitez dlguer, puis cliquez sur Suivant.
4. Cliquez sur Terminer.
Lorsque vous dlguez le contrle de la cration d'objets dans Active Directory
un utilisateur ou un groupe, ces derniers peuvent crer un nombre d'objets
illimit. Dans Windows Server 2003, vous pouvez limiter le nombre d'objets
qu'une entit de scurit peut possder dans une partition d'annuaire, en
implmentant un quota pour cette entit.
Remarque Pour plus d'informations sur l'utilisation des quotas, reportez-vous
la rubrique Comment dlguer le contrle administratif du Module 3, dans
la page des annexes sur le CD-ROM du stagiaire.

20

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment personnaliser le contrle administratif dlgu

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Outre l'utilisation de l'Assistant Dlgation de contrle pour dlguer un


ensemble personnalis de tches d'administration, telles que la cration, la
suppression et la gestion des comptes d'utilisateurs, vous pouvez utiliser
l'Assistant pour slectionner un ensemble de tches personnalises et ne
dlguer le contrle que de ces tches.
Vous pouvez, par exemple, dlguer le contrle de tous les objets existants dans
une unit d'organisation et de tous les objets qui sont ajouts. Mais vous pouvez
galement slectionner dans l'unit d'organisation les objets dont vous souhaitez
dlguer le contrle administratif, par exemple les objets utilisateur d'une unit
d'organisation. Vous pouvez par ailleurs spcifier que vous ne souhaitez
dlguer que la cration de l'objet slectionn, ou sa suppression, ou les deux.

Procdure

Procdez comme suit pour dlguer des tches d'administration personnalises


dans le cadre d'une unit d'organisation :
1. Dmarrez l'Assistant Dlgation de contrle.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration.

Module 3 : Implmentation de la structure d'une unit d'organisation

21

3. Affectez les tches personnalises dlguer. Pour ce faire, procdez


comme suit :
a. Dans la page Tches dlguer, cliquez sur Crer une tche
personnalise dlguer, puis cliquez sur Suivant.
b. Dans la page Type d'objet Active Directory, effectuez l'une des
oprations suivantes :
i. Cliquez sur De ce dossier et des objets qui s'y trouvent. Dlguer
aussi la cration de nouveaux objets dans ce dossier, puis cliquez
sur Suivant.
ii. Cliquez sur Seulement des objets suivants dans le dossier,
slectionnez le type d'objet Active Directory dont vous souhaitez
dlguer le contrle, puis cliquez sur Suivant.
c. Slectionnez les autorisations que vous souhaitez dlguer, puis cliquez
sur Suivant.
Remarque Pour obtenir la liste des autorisations que vous pouvez dlguer
pour les objets slectionns, ou pour dlguer la cration et la suppression
d'objets enfants parmi les objets slectionns, activez la case cocher
Spcifique aux proprits.
4. Cliquez sur Terminer.

22

Module 3 : Implmentation de la structure d'une unit d'organisation

Comment vrifier la dlgation du contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Utilisez Utilisateurs et Ordinateurs Active Directory pour vrifier que


l'Assistant Dlgation de contrle a correctement dlgu l'autorit d'effectuer
les tches.

Procdure

Procdez comme suit pour vrifier la dlgation du contrle :


1. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez dans le
menu Affichage sur Fonctionnalits avances.
2. Dans l'arborescence de la console, double-cliquez sur le nud du domaine.
3. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, puis cliquez sur Proprits.
4. Sous l'onglet Scurit, cliquez sur Paramtres avancs.
5. Sous l'onglet Autorisations, sous Entres d'autorisations, visualisez les
autorisations affectes.

Module 3 : Implmentation de la structure d'une unit d'organisation

23

Application pratique : Dlgation des tches d'administration d'une


unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif

Dans cette application pratique, vous allez dlguer des tches d'administration
courantes d'units d'organisation dans le domaine hberg par votre ordinateur
de stagiaire.

Scnario

Vous tes l'administrateur du rseau pour Northwind Traders. Compte tenu


de la taille de votre socit, vous n'avez pas le temps d'excuter les tches
d'administration de routine pour chaque unit d'organisation. Vous souhaitez
dlguer le contrle des units d'organisation au personnel du Support
technique et aux responsables de chaque service.

Application pratique

! Dlguer les tches d'administration courantes pour les units

d'organisation du domaine hberg par votre ordinateur de stagiaire

1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le


mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis
cliquez sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
puis le mot de passe P@ssw0rd et cliquez sur OK.
4. Crez pour le domaine un groupe de scurit local appel
DL Nom_OrdinateurAdmins dans l'unit d'organisation Nom_Ordinateur
dans votre domaine (Nom_Ordinateur tant le nom de l'ordinateur sur lequel
vous travaillez).

24

Module 3 : Implmentation de la structure d'une unit d'organisation

5. Ajoutez le groupe global Nwtraders\G Nom_OrdinateurAdmins comme


membre du groupe local de domaine DL Nom_OrdinateurAdmins.
6. Dlguez le droit de crer, supprimer et grer des comptes d'utilisateurs
dans l'unit d'organisation Nom_Ordinateur au groupe DL
Nom_OrdinateurAdmins.
7. Vrifiez que le contrle a t dlgu pour ces tches en visualisant les
autorisations affectes au groupe local de domaine pour l'unit
d'organisation Nom_Ordinateur.

Module 3 : Implmentation de la structure d'une unit d'organisation

25

Leon : Planification d'une stratgie d'unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les units d'organisation sont des conteneurs dans chaque domaine Active
Directory reprsentant les structures hirarchiques dans une organisation. Pour
crer la structure d'une unit d'organisation reprsentant au mieux la structure
de l'organisation, vous devez comprendre les facteurs qui affectent dans votre
organisation la cration d'units d'organisation. Cette leon vous apporte les
connaissances et comptences ncessaires pour planifier une stratgie d'unit
d'organisation.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire le processus de planification d'une unit d'organisation ;

dcrire les facteurs organisationnels qui affectent la planification d'une unit


d'organisation ;

expliquer les conditions de dtermination de la structure d'une unit


d'organisation ;

expliquer les principes utiliss pour dterminer comment dlguer le


contrle administratif une unit d'organisation.

26

Module 3 : Implmentation de la structure d'une unit d'organisation

Processus de planification d'unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La structure des units d'organisation dans Active Directory est base sur la
structure administrative de l'organisation. La premire tape de planification
d'une structure d'unit d'organisation consiste documenter la structure de
l'organisation.

Processus de
planification d'unit
d'organisation

Procdez comme suit pour planifier la stratgie d'unit d'organisation pour votre
organisation :
!

Documentez la structure existante de l'organisation. Lors de la


documentation de la structure existante de l'organisation, une stratgie
consiste diviser les tches d'administration en catgories, puis
documenter les administrateurs qui sont responsables de chacune d'elles.

Identifiez les domaines amliorer. Travaillez avec l'quipe de planification


pour identifier les domaines amliorer. Par exemple, il peut tre plus
rentable de combiner plusieurs quipes IT provenant de diffrentes
divisions. Vous pouvez identifier le personnel non informatique susceptible
de vous aider dans le processus d'administration et rduire la charge de
travail du personnel informatique. Les administrateurs peuvent ainsi se
concentrer sur les domaines o leur expertise est requise.

Module 3 : Implmentation de la structure d'une unit d'organisation

Utilisez ensuite les points suivants comme consignes pour votre plan de
dlgation :
!

Dterminez le niveau d'administration. Dcidez ce que chaque groupe


contrlera et quel niveau vous dlguerez l'administration dans la
hirarchie administrative. Lorsque vous crez le plan, identifiez quels
groupes :
auront un contrle intgral sur les objets d'une classe particulire ; ces
groupes peuvent crer et supprimer des objets dans une classe spcifie
et modifier tous les attributs des objets dans la classe spcifie.
seront autoriss crer des objets d'une classe particulire ; par dfaut,
les utilisateurs ont le contrle intgral des objets qu'ils crent ;
seront autoriss ne modifier que des attributs spcifiques d'objets
existants d'une classe particulire.

Identifiez chaque administrateur et compte d'utilisateur dans votre


organisation ainsi que les ressources qu'ils administrent. Ces informations
vous aideront dterminer la proprit et les autorisations affectes aux
units d'organisation que vous crez pour prendre en charge le plan de
dlgation.

27

28

Module 3 : Implmentation de la structure d'une unit d'organisation

Facteurs organisationnels dterminant la structure d'une unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Les facteurs qui affectent la structure d'une unit d'organisation sont : le type et
la structure du modle d'administration informatique. La comprhension de ces
facteurs vous aidera crer la structure d'une unit d'organisation la mieux
adapte vos impratifs organisationnels.

Types de modles
d'administration
informatique

Les organisations informatiques les plus courantes sont les suivantes :


!

Informatique centralise. Dans ce modle, l'organisation informatique ne


rend de comptes qu' une seule personne et est gnralement le groupe
responsable pour tous les services d'information et de rseau, bien que
certaines tches de routine puissent tre dlgues certains groupes
ou services.

Informatique centralise avec gestion dcentralise. Dans ce modle, une


quipe informatique principale centralise est responsable des principaux
services d'infrastructure, mais elle dlgue la plupart des oprations
quotidiennes aux groupes informatiques situs dans des succursales,
lesquels assurent un support administratif local leurs utilisateurs.

Module 3 : Implmentation de la structure d'une unit d'organisation

Structure d'un modle


d'administration
informatique

29

Informatique dcentralise. Ce type d'organisation permet diverses units


commerciales de slectionner un modle informatique appropri pour
rpondre leurs besoins. Une organisation de ce type peut comporter
plusieurs groupes informatiques avec des objectifs et des besoins divers.
Pour chaque initiative technologique affectant toute l'organisation, comme
la mise niveau d'une application de messagerie, les groupes informatiques
doivent travailler ensemble pour implmenter les modifications.

Informatique externalise. Certaines organisations sous-traitent la gestion


de tout ou partie de leur organisation informatique. Lorsque seuls quelques
lments de l'organisation informatique sont externaliss, il devient
impratif d'implmenter un modle de dlgation en bonne et due forme.
Ainsi, le groupe informatique interne conserve le contrle de l'organisation
sans compromettre les accords de niveau de service que le sous-traitant s'est
engag fournir.

La structure du modle d'administration reflte la faon dont une organisation


gre ses ressources informatiques, comme les utilisateurs, les ordinateurs, les
groupes, les imprimantes et les fichiers partags.
Les diffrentes manires selon lesquelles les modles d'administration sont
structurs incluent :
!

Administration base sur l'emplacement gographique. L'organisation


informatique est centralise, par exemple au sige, mais l'administration
du rseau est distribue gographiquement (par exemple, chaque succursale
possde son propre groupe d'administration qui gre les ressources sur
place).

Administration base sur l'organisation. Dans cette structure, l'organisation


informatique est divise en services ou en units commerciales, chacun
possdant son propre groupe informatique.

Administration base sur une fonction business. Une organisation


informatique dcentralise base souvent son modle d'administration sur
des fonctions business dans l'organisation.

Administration hybride. Cette structure associe les points forts de plusieurs


modles pour rpondre aux besoins d'administration de l'organisation.

30

Module 3 : Implmentation de la structure d'une unit d'organisation

Consignes de planification d'une structure d'unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La conception d'units d'organisation est base sur le modle d'administration


informatique d'une organisation.

Instructions

Utilisez les consignes suivantes pour vous aider planifier la structure d'unit
d'organisation d'une organisation. La structure peut tre base sur :
!

L'emplacement gographique. Si le modle d'administration est distribu


gographiquement et si des administrateurs sont prsents dans chaque
emplacement, organisez la structure d'Active Directory par emplacement.

L'organisation. Si l'administration informatique est base par service ou


par division, concevez Active Directory en fonction de la structure de
l'organisation. Vrifiez que vous respectez bien la structure d'administration,
plutt que l'organigramme, lorsque vous vous basez sur l'organisation. Il se
peut que l'organigramme ne corresponde pas aux besoins d'administration
d'une organisation.

Les fonctions business. Si l'administration informatique est dcentralise,


concevez la structure d'Active Directory en vous basant sur les fonctions de
l'organisation. Ne choisissez cette approche que si la fonction informatique
n'est pas base sur l'emplacement ou l'organisation. Cette structure est idale
(c'est la mieux approprie) pour de petites organisations avec des
responsabilits professionnelles couvrant plusieurs services.

Le modle hybride. Dans le cas d'une organisation fortement distribue avec


une fonction informatique centralise et une forte sparation de services ou
divisionnaire, concevez les units ou les domaines de niveau suprieur par
emplacement et les niveaux infrieurs par organisation. Comme les niveaux
les plus levs sont bass sur l'emplacement, ce modle est moins
susceptible d'tre modifi et, par consquent, moins susceptible d'exiger un
effort important lors d'une rorganisation.

Module 3 : Implmentation de la structure d'une unit d'organisation

31

Utilisez le diagramme suivant comme arborescence de dcision pour dterminer


la structure d'unit d'organisation approprie pour une organisation.

Fonction
Informatique
centralise ?

Oui

Non

Sparation
de services ou
divisionnaire ?

Administration
distribue ?

Oui

Non

Distribue
gographiquement ?

Oui

Oui

Distribue
gographiquement ?

Groupe unique
central

Non

Oui

Non

quipes
couvrant plusieurs
services ?

Non

Oui

Non

Non

Sparation
de services ou
divisionnaire ?

Sparation
de services ou
divisionnaire ?

Oui

Location then
organization

Non

Emplacement

Oui

Organisation

Organisation puis
emplacement

Organisation

Fonction

Groupe unique
central

32

Module 3 : Implmentation de la structure d'une unit d'organisation

Consignes pour la dlgation du contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dlguez autant que possible le droit d'octroyer des autorisations afin de limiter
les cots et les difficults d'administration et, par consquent, rduire le cot
total de possession. Avant d'affecter des autorisations aux utilisateurs dans une
organisation, vous devez dterminer qui peut et ne peut pas accder un objet
et son contenu, ainsi que le type d'accs dont une personne peut ou non
disposer.

Instructions

Tenez compte des consignes suivantes lorsque vous planifiez la dlgation du


contrle administratif dans votre organisation :
!

Affectez le contrle au niveau le plus lev possible d'unit d'organisation et


utilisez la fonction d'hritage. Vous pouvez ensuite grer les autorisations
de manire plus efficace. Cela cre un journal d'audit plus simple et rduit
les risques d'incident si un administrateur commet une erreur alors qu'il a
ouvert une session avec un compte administrateur.
Remarque Les membres du groupe Admins du domaine peuvent toujours
s'approprier un objet dans le domaine, puis en modifier les autorisations
raison de plus pour limiter le nombre d'utilisateurs dans le groupe Admins
du domaine. Lorsqu'un membre du groupe Administrateurs cre un objet ou
se l'approprie, ce groupe devient propritaire de l'objet. Pour des besoins de
suivi, Windows Server 2003 liste le nom de ce membre.

Module 3 : Implmentation de la structure d'une unit d'organisation


!

33

vitez d'affecter des autorisations au niveau proprit ou tche afin de


simplifier l'administration. Envisagez de placer des objets dans des units
d'organisation spares selon la manire dont ils seront grs, plutt que
de grer les proprits l'aide de listes de contrle d'accs discrtionnaire
(DACL, Discretionary Access Control List) distinctes pour objets dans une
unit d'organisation unique.
Lors de l'affectation d'autorisations, excutez les tches ci-dessous.
Dlguez des utilisateurs ou des groupes d'utilisateurs le droit
d'affecter des autorisations de contrle d'accs des objets. En d'autres
termes, dlguez le droit de dlguer.
Affectez des autorisations courantes ou spciales sur des objets.
Utilisez la fonction d'hritage pour permette le transfert des autorisations
de contrle d'accs aux objets enfants. Parfois, cependant, vous devrez
bloquer l'hritage pour viter qu'un objet enfant n'hrite des autorisations
dfinies sur l'objet parent. Le blocage de l'hritage rend difficile la
documentation et le dpannage des autorisations sur un objet. Par
consquent, vitez d'y avoir recours.

Affectez des autorisations d'accs des groupes, plutt qu' des individus.
Les autorisations de groupe simplifient l'actualisation des DACL sur les
rseaux comportant de nombreux utilisateurs et objets. Par ailleurs,
l'affectation d'autorisations des groupes est une puissante fonctionnalit
car elle vous permet d'imbriquer des groupes, ce qui rduit le nombre total
d'objets grer.
Important Dlguez le contrle administratif aux groupes locaux de
domaine lorsque vous affectez des autorisations des objets dans un
domaine. Dlguez le contrle administratif des groupes globaux ou
universels lorsque vous affectez des autorisations des objets dans la
partition de configuration ou pour des attributs qui sont publis dans le
catalogue global.

Minimisez le nombre d'administrateurs de domaine. Le groupe Admins du


domaine possde des droits spciaux dans un domaine, comme celui de
s'approprier tout objet et de dfinir des stratgies de scurit pour tout le
domaine. Lorsque vous souhaitez contrler troitement les privilges de
l'administrateur de domaine, accordez des droits d'administration aux
utilisateurs pour les diverses units d'organisation et limitez l'appartenance
dans le groupe Admins du domaine.

Remarque Pour plus d'informations sur la dlgation du contrle,


consultez le Guide de planification et de dploiement Windows Server 2003
l'adresse http://www.microsoft.com/reskit.
Consultez galement Active Directory Service Interfaces
Overview l'adresse
http://www.microsoft.com/windows2000/techinfo/howitworks/
activedirectory/adsilinks.asp (en anglais).

34

Module 3 : Implmentation de la structure d'une unit d'organisation

Application pratique : Planification d'une structure d'unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif

Dans cette application pratique, vous allez travailler avec votre partenaire sur la
planification d'une structure d'unit d'organisation pour Northwind Traders.

Scnario

Northwind Traders se prpare installer Windows Server 2003 sur ses sites
de Sacramento, (Californie) et Portland (Oregon). L'quipe de conception
d'Active Directory utilisera un domaine racine vide, nwtradersx.msft, et un
sous-domaine, corpx.nwtradersx.msft, x tant un numro que votre instructeur
vous affectera.
Tous les comptes d'utilisateurs et d'ordinateurs sont dans le domaine corpx.
Northwind Traders a 1500 utilisateurs rpartis dans six services sur ces
deux sites.
Portland compte 600 utilisateurs dans les services suivants :
!

Comptabilit (Accounting)

Informatique

Achats (Purchasing)

Livraison (Shipping)

Sacramento compte 900 utilisateurs dans les services suivants :


!

Comptabilit

Ressouces humaines

Informatique

Achats

Ventes

Module 3 : Implmentation de la structure d'une unit d'organisation

Dans chaque service, un administrateur local gre les comptes d'utilisateurs


et les paramtres de stratgie de groupe. Le service Informatique souhaite
dlguer le droit de grer tous les utilisateurs d'un service spcifique, ou d'un
service situ un emplacement spcifique.
Procdure

Travaillez avec votre partenaire pour planifier une structure d'unit


d'organisation. Utilisez le graphique suivant pour documenter votre plan
de structure d'unit d'organisation.

La rponse suivante est une solution possible l'exercice de


l'application pratique :
Domaine Corp
Accounting
Portland
Sacramento
HR
IT
Portland
Sacramento
Purchasing
Portland
Sacramento
Sales
Shipping

35

36

Module 3 : Implmentation de la structure d'une unit d'organisation

Atelier A : Implmentation de la structure d'une unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Connaissances
pralables

Scnario

la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!

crer une unit d'organisation ;

dlguer le contrle d'une unit d'organisation.

Avant de travailler sur cet atelier, vous devez :


!

savoir comment crer un groupe l'aide de la console Utilisateurs et


ordinateurs Active Directory ;

possder les connaissances et les comptences requises pour crer des units
d'organisation.

Northwind Traders embauche du personnel comptable et de recherche


(Research) dans tous ses sites. De nouvelles units d'organisation doivent tre
cres sur chaque site pour les services correspondants. Chaque service possde
un administrateur local qui gre les comptes d'utilisateurs.
Vous devez crer une unit d'organisation Accounting et une autre nomme
Research dans l'unit d'organisation Nom_Ordinateur, dans votre domaine.
Vous devez, en outre, crer un groupe local de domaine DL AccountingAdmins
et DL ResearchAdmins, puis dlguer des autorisations chaque groupe afin
de grer l'unit d'organisation approprie. Vous crerez les nouveaux groupes
locaux de domaine dans l'unit d'organisation Nom_Ordinateur\IT, dans votre
domaine.
Remarque Chaque fois que corpx ou nwtradersx apparat dans l'atelier,
remplacez x par le numro affect votre domaine.

Dure approximative
de cet atelier :
45 minutes

Module 3 : Implmentation de la structure d'une unit d'organisation

37

Exercice 1
Cration d'units d'organisation
Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour crer les units
d'organisation dans votre domaine.

Tches
1.

Utiliser l'outil de ligne de


commande Dsadd pour crer
les units d'organisation
Accounting et Research
dans l'unit d'organisation
Nom_Ordinateur, dans votre
domaine.

Instructions spcifiques

"

Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

38

Module 3 : Implmentation de la structure d'une unit d'organisation

Exercice 2
Dlgation du contrle administratif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes que
vous crez, puis dlguer le contrle de chaque unit d'organisation au groupe appropri. Pour
terminer, vous vrifierez la dlgation du contrle.

Tches
1.

Crer les groupes locaux de


domaine suivants dans
l'unit d'organisation
Nom_Ordinateur\IT :

DL AccountingAdmins

DL ResearchAdmins

2.

Ajouter le groupe global


G Nom_OrdinateurAdmins
partir du domaine
Nwtraders.msft aux groupes
locaux de domaine
DL AccountingAdmins
et DL ResearchAdmins
dans votre domaine.

3.

Utiliser l'Assistant
Dlgation de Contrle pour
dlguer le droit de crer,
supprimer et grer des
comptes d'utilisateurs dans
les units d'organisation
Accounting et Research aux
les groupes locaux de
domaine appropris que
vous avez crs.

Instructions spcifiques
a.

Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et

Ordinateurs Active Directory sous votre_domaine\Administrateur


avec le mot de passe P@ssw0rd.

Module 3 : Implmentation de la structure d'une unit d'organisation

39

Exercice 3
Vrification de la dlgation du contrle
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL AccountingAdmins
et DL ResearchAdmins dans les units d'organisation Accounting et Research.

Tches
1.

2.

Activer la vue Fonctions


avances dans Utilisateurs
et ordinateurs Active
Directory.

Instructions spcifiques
a.

Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et

ordinateurs Active Directory sous votre_domaine\Administrateur


avec le mot de passe P@ssw0rd.

Visualiser les autorisations


affectes aux groupes
locaux de domaine
DL AccountingAdmins et
DL ResearchAdmins dans
votre domaine pour les
units d'organisation
Accounting et Research.
Quelles autorisations sont affectes au groupe DL AccountingAdmins ? quels objets les autorisations
s'appliquent-elles ?

Quelles autorisations sont affectes au groupe DL ResearchAdmins ? quels objets les autorisations
s'appliquent-elles ?

THIS PAGE INTENTIONALLY LEFT BLANK

Module 4 : Implmentation
de comptes d'utilisateurs,
de groupes et d'ordinateurs
Table des matires
Vue d'ensemble

Leon : Prsentation des comptes

Leon : Cration et gestion de


plusieurs comptes

11

Leon : Implmentation des


suffixes UPN

24

Leon : Dplacement d'objets dans


Active Directory

35

Leon : Planification d'une stratgie de


compte d'utilisateur, de groupe et
d'ordinateur

45

Leon : Planification d'une stratgie


d'audit Active Directory

59

Atelier A : Implmentation d'une


stratgie de compte et d'audit

65

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

iii

Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes

Ce module fournit aux stagiaires les connaissances et les comptences


ncessaires la planification de comptes d'utilisateurs, de groupes et
d'ordinateurs dans le service d'annuaire Active Directory dans Microsoft
Windows Server 2003. Ce module explique comment crer plusieurs comptes
d'utilisateurs et d'ordinateurs l'aide des outils de ligne de commande tels que
Csvde et Ldifde, et comment grer des comptes l'aide de l'environnement
d'excution de scripts Windows. Ce module explique galement comment
implmenter des suffixes de nom d'utilisateur principal (UPN, User
Principal Name).
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :

Documents de cours

dcrire les types de comptes et de groupes Active Directory ;

crer plusieurs comptes d'utilisateurs et d'ordinateurs ;

implmenter des suffixes UPN ;

dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;

planifier une stratgie pour des comptes d'utilisateurs, de groupes et


d'ordinateurs ;

planifier une stratgie d'audit Active Directory.

Pour animer ce module, vous devez disposer des lments suivants :


!

Prparation

Configuration
de la classe

Fichier Microsoft PowerPoint 2194A_04.ppt

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.

Cette section contient les instructions suivre pour prparer l'ordinateur de


l'instructeur ou configurer la classe en vue de raliser l'atelier.

! Prparer l'atelier
Excutez le fichier de l'environnement d'excution de scripts Windows
UpnSuffixes.vbs sur le serveur London avant que les stagiaires commencent
l'atelier de ce module. Ce fichier se trouve dans le dossier
\Student\Labfiles\Setup sur le CD-ROM de l'instructeur.

iv

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications pratiques
et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Prsentation des comptes


Cette section dcrit les mthodes pdagogiques mettre en uvre pour chaque
point de cette leon.
Les informations contenues dans cette leon constituent des connaissances
pralables ce cours. Appuyez-vous sur les informations de la rubrique Types
de comptes.
Lors de la prsentation de la rubrique Types de groupes, concentrez-vous sur les
groupes de scurit. Il suffit que les stagiaires comprennent la finalit des
groupes de distribution.
Lors de la prsentation des rubriques Dfinition des groupes locaux de
domaine, Dfinition des groupes globaux et Dfinition des groupes universels,
vrifiez que les stagiaires comprennent quel moment ils doivent utiliser ces
diffrents types de groupes.
Application pratique

Cette leon ne comporte pas d'application pratique.

Leon : Cration et gestion de plusieurs comptes


Lors de la prsentation de la rubrique Outils permettant de crer et grer
plusieurs comptes, vrifiez que les stagiaires ont conscience que lorsqu'ils
utilisent Csvde pour crer des comptes, ceux-ci auront des mots de passe vides.
Prsentez les procdures de cration des comptes l'aide des outils de ligne de
commande Csvde et Ldifde. Dites aux stagiaires de consulter les annexes pour
obtenir la liste des options courantes utilises avec Csvde. Crez un exemple de
script d'environnement d'excution de scripts Windows qui ajoute un compte
d'utilisateur Active Directory. Dites aux stagiaires de consulter les annexes
pour obtenir l'exemple d'un script qui cre un compte d'utilisateur.
Application pratique

la fin de cette leon, les stagiaires creront un fichier de script contenant


des commandes pour crer trois comptes d'utilisateurs. Ils excuteront ensuite
ce fichier de script et utiliseront la console Utilisateurs et ordinateurs
Active Directory pour vrifier que les utilisateurs ont t crs.

vi

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Implmentation des suffixes UPN


Lors de la prsentation de la rubrique Dfinition d'un nom d'utilisateur
principal, vrifiez que les stagiaires comprennent les avantages lis
l'utilisation des UPN et les rgles d'unicit des noms d'ouverture de session
utilisateur.
Aprs avoir prsent la prsentation multimdia Fonctionnement du routage
des suffixes de noms, rsumez les points cls.
Montrez comment crer et supprimer un suffixe UPN. Montrez galement
comment activer et dsactiver le routage des suffixes de noms dans les
approbations.
Application pratique

la fin de cette leon, les stagiaires creront un suffixe de nom pour un


domaine de second niveau et activeront le routage des suffixes de noms sur
deux forts.

Leon : Dplacement d'objets dans Active Directory


La procdure de dplacement d'objets Active Directory, tels qu'un compte
d'utilisateur, a de srieuses ramifications. Par exemple, lorsqu'un compte
d'utilisateur est dplac, l'utilisateur peut perdre tous ses messages
lectroniques. Lors de la prsentation de la rubrique Implications du
dplacement d'objets, vrifiez que les stagiaires comprennent ces implications.
Lors de la prsentation des rubriques Comment dplacer des objets au sein d'un
domaine ? et Comment dplacer des objets entre domaines ?, montrez comment
dplacer des objets dans un domaine et entre domaines.
Montrez galement comment utiliser LDP.exe pour afficher les proprits des
objets dplacs.
Application pratique

la fin de cette leon, les stagiaires dplaceront un compte d'utilisateur d'un


domaine vers un autre, puis afficheront les proprits des identificateurs de
scurit (SID, Security IDentifier), de l'historique SID et de l'identificateur
unique global (GUID, Globally Unique IDentifier) pour vrifier qu'elles ont t
modifies.

Leon : Planification d'une stratgie de compte d'utilisateur, de


groupe et d'ordinateur
Cette leon prsente des instructions pour affecter un nom aux comptes, crer
une stratgie de mot de passe et dvelopper des stratgies pour des groupes
ainsi que pour l'authentification, l'autorisation et l'administration d'un compte.
Encouragez une discussion de groupe sur ces rubriques. Guidez ces discussions
afin que les stagiaires ne s'loignent pas du sujet et ne passent pas trop de temps
sur cette rubrique.
Application pratique

la fin de cette leon, partir d'un scnario fictif, les stagiaires planifieront des
stratgies d'attribution de nom de compte, de mot de passe, d'authentification,
d'autorisation et d'administration ainsi qu'une stratgie de groupe pour une fort.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

vii

Leon : Planification d'une stratgie d'audit Active Directory


Cette leon prsente les instructions pour effectuer un audit des modifications
apportes Active Directory.
Lors de la prsentation des rubriques de cette leon, utilisez votre exprience
personnelle dans la planification d'une stratgie d'audit pour renforcer les
informations des diffrentes rubriques.
Application pratique

la fin de cette leon, les stagiaires planifieront une stratgie d'audit d'aprs un
scnario donn.

Atelier A : Implmentation d'une stratgie de compte et d'audit


Dans cet atelier, les stagiaires planifieront et implmenteront une stratgie de
compte. Ils creront plusieurs comptes d'utilisateurs l'aide de l'outil de ligne
de commande Csvde. Les stagiaires creront galement un suffixe UPN, puis
rsoudront un conflit de routage de suffixe UPN entre deux forts. Enfin, en
travaillant par paire, les stagiaires dplaceront un groupe d'utilisateurs entre
leurs domaines respectifs et afficheront les modifications apportes aux
proprits des identificateurs SID et de l'historique SID des comptes dplacs.

Informations sur la personnalisation


Cette section identifie la configuration requise pour l'atelier de ce module et
les changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).
Important L'atelier de ce module dpend galement de la configuration de la
classe qui est spcifie dans la section Informations sur la personnalisation la
fin du Guide de configuration automatise de la classe pour le cours 2194A,
Planification, implmentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1

Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit


configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, excutez les
instructions des guides de configuration automatise et manuelle de ce cours,
puis effectuez les ateliers du Module 2, Implmentation d'une structure
de fort et de domaine Active Directory , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
Microsoft Windows Server 2003.

viii

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Elle cre les units d'organisation suivantes dans le domaine de chaque


stagiaire :
IT Admin
IT Users
IT Groups
NWTraders Groups
Domain Local
Global
Universal
IT Test
IT Test Move

Un groupe global G IT Admins est cr dans le domaine de chaque


stagiaire.

26 groupes locaux de domaine nomms DL Nom_Ordinateur OU


Administrateurs sont crs.

Un groupe local de domaine nomm DL IT OU Administrateurs est cr.

26 utilisateurs nomms Nom_OrdinateurAdmin sont crs.

Deux suffixes UPN Nom_Ordinateur sont ajouts la fort de chaque


stagiaire, un par ordinateur de la fort.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans ce module, vous allez apprendre planifier et implmenter des comptes


d'utilisateurs, de groupes et d'ordinateurs dans le service d'annuaire Active
Directory. Vous apprendrez galement crer plusieurs comptes d'utilisateurs
et d'ordinateurs et implmenter des suffixes UPN (User Principal Name).

Objectifs de la leon

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

dcrire les types de comptes et de groupes Active Directory ;

crer plusieurs comptes d'utilisateurs et d'ordinateurs ;

implmenter des suffixes UPN ;

dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;

planifier une stratgie pour des comptes d'utilisateurs, de groupes et


d'ordinateurs ;

planifier une stratgie d'audit Active Directory.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Prsentation des comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon dcrit les types de comptes et de groupes que vous pouvez
crer dans Microsoft Windows Server 2003. Elle dcrit galement le
comportement des groupes globaux, des groupes locaux de domaine et
des groupes universels.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les types de comptes que vous pouvez crer dans


Windows Server 2003 ;

dcrire les types de groupes que vous pouvez crer dans


Windows Server 2003 ;

dcrire le comportement des groupes locaux de domaine ;

dcrire le comportement des groupes globaux ;

dcrire le comportement des groupes universels.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Types de comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez crer trois types de comptes dans Active Directory : comptes
d'utilisateurs, de groupes et d'ordinateurs. Les comptes d'utilisateurs et
d'ordinateurs Active Directory reprsentent une entit physique, telle qu'un
ordinateur ou une personne. Vous pouvez galement utiliser les comptes
d'utilisateurs comme comptes de services ddis pour certaines applications.

Comptes d'utilisateurs

Un compte d'utilisateur est un objet stock dans Active Directory qui permet
une ouverture de session unique, autrement dit un utilisateur entre son mot de
passe une seule fois lors de l'ouverture de session sur une station de travail pour
obtenir un accs authentifi aux ressources rseau.
Il existe trois types de comptes d'utilisateurs, chacun ayant une fonction
spcifique :
!

Un compte d'utilisateur local permet un utilisateur d'ouvrir une session sur


un ordinateur spcifique pour accder aux ressources sur cet ordinateur.

Un compte d'utilisateur de domaine permet un utilisateur de se connecter


au domaine pour accder aux ressources rseau, ou un ordinateur
individuel pour accder aux ressources sur cet ordinateur.

Un compte d'utilisateur intgr permet un utilisateur d'effectuer des tches


d'administration ou d'accder temporairement aux ressources rseau.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comptes d'ordinateurs

Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou


Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un
domaine possde un compte d'ordinateur. l'image des comptes d'utilisateurs,
les comptes d'ordinateurs permettent d'authentifier et d'auditer l'accs d'un
ordinateur aux ressources rseau et du domaine. Chaque compte d'ordinateur
doit tre unique.

Comptes de groupes

Un compte de groupe est un ensemble d'utilisateurs, d'ordinateurs ou de


groupes. Vous pouvez utiliser des groupes pour grer efficacement l'accs aux
ressources du domaine, et ainsi simplifier l'administration. Lorsque vous
utilisez des groupes, vous affectez en une fois des autorisations pour des
ressources partages, telles que des dossiers et des imprimantes, des
utilisateurs individuels.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Types de groupes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Il existe deux types de groupes dans Active Directory, les groupes de


distribution et les groupes de scurit. Tous deux possdent un attribut
d'tendue, qui dtermine qui peut tre membre du groupe et quel endroit vous
pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir tout moment
un groupe de scurit en un groupe de distribution et inversement, mais
uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000
natif ou ultrieur.

Groupes de distribution

Vous pouvez utiliser des groupes de distribution uniquement avec des


applications de messagerie, telles que Microsoft Exchange, pour envoyer des
messages un ensemble d'utilisateurs. La scurit n'est pas active sur les
groupes de distribution, ce qui signifie qu'ils ne peuvent pas tre rpertoris
dans des listes de contrle d'accs discrtionnaire (DACL, Discretionary Access
Control List). Pour contrler l'accs aux ressources partages, crez un groupe
de scurit.

Groupes de scurit

Vous utilisez des groupes de scurit pour affecter des droits et des
autorisations aux groupes d'utilisateurs et d'ordinateurs. Les droits dterminent
les fonctions que les membres d'un groupe de scurit peuvent effectuer dans un
domaine ou une fort. Les autorisations dterminent quelles ressources sont
accessibles un membre d'un groupe sur le rseau.
Une mthode d'utilisation efficace des groupes de scurit consiste utiliser
l'imbrication, c'est dire, ajouter un groupe un autre groupe. Le groupe
imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie
l'affectation en une fois des autorisations plusieurs groupes, et rduit le trafic
que peut engendrer la rplication de l'appartenance un groupe. Dans un
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant
la mme tendue de groupe.
Les groupes de distribution et de scurit prennent en charge l'une des trois
tendues de groupe suivantes : locale de domaine, globale ou universelle. Le
niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez
crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de
scurit universels.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes locaux de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Un groupe local de domaine est un groupe de scurit ou de distribution qui


peut contenir des groupes universels, des groupes globaux ou d'autres groupes
locaux de domaine issus de ses propres domaines et comptes dans la fort. Dans
les groupes de scurit locaux de domaine, vous pouvez accorder des droits et
autorisations sur des ressources qui rsident uniquement dans le mme domaine
que celui o se trouve le groupe local de domaine.
Par exemple, vous pouvez crer un groupe de scurit local de domaine nomm
Setup et accorder des autorisations de groupe un partage nomm Setup sur
l'un des serveurs membres du domaine. Vous pouvez ajouter des groupes
globaux ou universels en tant que membres du groupe local de domaine Setup.
Les membres auront alors l'autorisation d'accder au dossier partag Setup.

Appartenance au groupe
local de domaine,
tendue et autorisations

Les rgles suivantes s'appliquent l'appartenance au groupe local de domaine,


ainsi qu' l'tendue et aux autorisations du groupe local de domaine :
!

Appartenance. En mode Windows 2000 mixte, les groupes locaux de


domaine peuvent contenir des comptes d'utilisateurs et des groupes globaux
de n'importe quel domaine. En mode Windows 2000 natif, les groupes
locaux de domaine peuvent contenir des comptes d'utilisateurs, des groupes
globaux, des groupes universels de n'importe quel domaine approuv et des
groupes locaux de domaine issus du mme domaine.

Peut tre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas tre membre de n'importe quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut tre membre de
groupes locaux de domaine issus du mme domaine.

tendue. Un groupe local de domaine est visible uniquement dans son


propre domaine.

Autorisation. Vous pouvez affecter une autorisation qui s'applique au


domaine dans lequel le groupe local de domaine existe.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

quel moment utiliser


des groupes locaux de
domaine

Utilisez un groupe local de domaine lorsque vous souhaitez affecter des


autorisations d'accs des ressources qui se situent dans le mme domaine que
celui dans lequel vous crez le groupe local de domaine. Vous pouvez ajouter
des groupes globaux partageant les mmes ressources au groupe local de
domaine appropri.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes globaux

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Un groupe global est un groupe de scurit ou de distribution qui peut contenir


des utilisateurs, des groupes et des ordinateurs comme membres de son propre
domaine. Vous pouvez accorder des droits et autorisations des groupes de
scurit globaux pour des ressources situes dans n'importe quel domaine de
la fort.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les
mmes tches professionnelles et ont des conditions d'accs rseau similaires,
tels que tous les comptables du service comptabilit d'une organisation.

Appartenance au groupe
global, tendue et
autorisations

Les rgles suivantes s'appliquent l'appartenance au groupe global, ainsi qu'


l'tendue et aux autorisations du groupe global :
!

Appartenance. En mode Windows 2000 mixte, un groupe global peut


contenir des comptes d'utilisateurs du mme domaine. En mode
Windows 2000 natif et en mode Windows Server 2003, des groupes
globaux peuvent contenir des comptes d'utilisateurs et des groupes
globaux issus du mme domaine.

Peut tre membre de. En mode Windows 2000 mixte, un groupe global
peut tre membre des groupes locaux de domaine dans n'importe
quel groupe approuv. En mode Windows 2000 mixte et en mode
Windows Server 2003, un groupe global peut tre membre de groupes
universels et de groupes locaux de domaine dans n'importe quel domaine
et tre galement membres de groupes globaux dans le mme domaine.

tendue. Un groupe global est visible dans son domaine et tous les
domaines approuvs, ce qui inclut tous les domaines de la fort.

Autorisations. Vous pouvez affecter une autorisation un groupe global qui


s'applique tous les domaines approuvs.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

quel moment utiliser


des groupes globaux

Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le
but de permettre aux utilisateurs d'accder des ressources spcifiques un
domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des
groupes d'utilisateurs. Un groupe local de domaine est plus appropri pour
contrler l'accs d'un utilisateur aux ressources situes dans un domaine unique.

10

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes universels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Un groupe universel est un groupe de scurit ou de distribution qui peut


contenir des utilisateurs, des groupes et des ordinateurs comme membres d'un
domaine de sa fort. Les groupes de scurit universels peuvent bnficier de
droits et autorisations sur des ressources situes dans n'importe quel domaine de
la fort.

Appartenance au groupe
universel, tendue et
autorisations

Les rgles suivantes s'appliquent l'appartenance au groupe universel, ainsi


qu' l'tendue et aux autorisations du groupe universel :

quel moment utiliser


des groupes universels

Appartenance. Vous ne pouvez pas crer de groupes de scurit universels


en mode Windows 2000 mixte. En mode Windows 2000 natif et en mode
Windows Server 2003, des groupes universels peuvent contenir des comptes
d'utilisateurs, des groupes globaux et d'autres groupes universels de
n'importe quel domaine de la fort.

Peut tre membre de. Le groupe universel ne s'applique pas au mode


Windows 2000 mixte. En mode Windows 2000 natif, un groupe universel
peut tre membre de groupes locaux de domaine et de groupes universels
de n'importe quel domaine.

tendue. Les groupes universels sont visibles dans tous les domaines de
la fort.

Autorisations. Vous pouvez affecter une autorisation un groupe universel


qui s'applique tous les domaines de la fort.

Utilisez les groupes universels lorsque vous souhaitez imbriquer des


groupes globaux. De cette manire, vous pouvez affecter des autorisations
aux ressources connexes dans plusieurs domaines. Un domaine
Windows Server 2003 doit tre en mode Windows 2000 natif ou en mode
Windows Server 2003 pour utiliser des groupes de scurit universels. Vous
pouvez utiliser des groupes de distribution universels dans un domaine
Windows Server 2003 en mode Windows 2000 mixte ou ultrieur.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

11

Leon : Cration et gestion de plusieurs comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon dcrit les diffrents outils de ligne de commande que vous pouvez
utiliser pour crer et grer plusieurs comptes d'utilisateurs.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les outils permettant de crer et grer plusieurs comptes ;

utiliser l'outil de ligne de commande Csvde pour crer des comptes ;

utiliser l'outil de ligne de commande Ldifde pour crer et grer des


comptes ;

crer et grer des comptes l'aide de l'environnement d'excution de


scripts Windows.

12

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Outils permettant de crer et grer plusieurs comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Windows Server 2003 procure de nombreux outils et composants logiciels


enfichables MMC (Microsoft Management Console) pour crer
automatiquement plusieurs comptes d'utilisateurs dans Active Directory.
Certains de ces outils ncessitent l'utilisation d'un fichier texte qui contient
des informations sur les comptes d'utilisateurs que vous souhaitez crer.
Vous pouvez galement crer des scripts pour ajouter ou modifier des objets
dans Active Directory.

Utilisateurs et
ordinateurs Active
Directory

La console Utilisateurs et ordinateurs Active Directory est un composant


logiciel enfichable MMC que vous pouvez utiliser pour grer des comptes
d'utilisateurs, d'ordinateurs et de groupes. Il convient de l'utiliser lorsque vous
grez un petit nombre de comptes.

Outils de service
d'annuaire

Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod
et Dsrm pour grer des comptes d'utilisateurs, d'ordinateurs et de groupes dans
Active Directory. Vous devez spcifier le type d'objet que vous souhaitez crer,
modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour
crer un compte d'utilisateur. Utilisez la commande dsrm group pour
supprimer un compte de groupe. Bien que les outils Directory Service
permettent de crer un seul objet Active Directory la fois, vous pouvez
les utiliser dans des fichiers de commandes et des scripts.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Outil Csvde

13

L'outil de ligne de commande Csvde utilise un fichier texte spar par des
virgules, galement appel format valeurs spares par des virgules (format
Csvde), comme entre pour crer plusieurs comptes dans Active Directory.
Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et
d'autres types d'objets Active Directory. Vous ne pouvez pas utiliser le format
Csvde pour supprimer ou modifier des objets dans Active Directory. Avant
d'importer un fichier Csvde, assurez-vous que le fichier est correctement
format. Le fichier d'entre :
!

doit inclure le chemin d'accs au compte d'utilisateur dans Active Directory,


le type d'objet, qui est le compte d'utilisateur, et le nom d'ouverture de
session de l'utilisateur (pour Microsoft Windows NT 4.0 et ultrieur) ;

doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte


d'utilisateur est activ ou non. Si vous ne spcifiez aucune valeur, le compte
est dsactiv ;

peut inclure des informations personnelles, par exemple des numros de


tlphone ou des adresses personnelles. Incluez autant d'informations sur le
compte d'utilisateur que possible afin que les utilisateurs puissent effectuer
des recherches dans Active Directory ;

ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot
de passe vide pour les comptes d'utilisateur. tant donn qu'un mot de passe
vide permet une personne non autorise d'accder au rseau grce au seul
nom d'ouverture de session de l'utilisateur, dsactivez les comptes
d'utilisateurs jusqu' ce que les utilisateurs commencent se connecter.

Pour modifier et formater le fichier texte d'entre, utilisez une application qui
possde de bonnes capacits d'dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des
virgules. Vous pouvez exporter des donnes d'Active Directory vers une
feuille de calcul Excel ou importer des donnes d'une feuille de calcul vers
Active Directory.
Outil Ldifde

L'outil de ligne de commande Ldifde utilise un format valeurs spares par


des lignes pour crer, modifier et supprimer des objets dans Active Directory.
Un fichier d'entre Ldifde se compose d'une srie d'enregistrements spars par
une ligne vierge. Un enregistrement dcrit un objet annuaire unique ou un
ensemble de modifications apportes aux attributs d'un objet existant, et se
compose d'une ou plusieurs lignes dans le fichier. La plupart des applications de
base de donnes peuvent crer des fichiers que vous pouvez importer dans l'un
de ces formats. Les conditions requises pour le fichier d'entre sont identiques
celles de l'outil de ligne de commande Csvde.

Environnement
d'excution de scripts
Windows

Vous pouvez crer des scripts d'environnement d'excution de scripts Windows


qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour
crer, modifier et supprimer des objets Active Directory. Utilisez des scripts
lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets
Active Directory, ou lorsque les critres de slection de ces objets sont
complexes.

14

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment crer des comptes l'aide de l'outil Csvde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez utiliser l'outil de ligne de commande Csvde pour crer plusieurs
comptes dans Active Directory. Vous pouvez utiliser l'outil Csvde uniquement
pour crer des comptes, en aucun cas pour les modifier.

Procdure

Pour crer des comptes l'aide de l'outil de ligne de commande Csvde,


effectuez les tches suivantes :
1. Crez le fichier Csvde importer. Formatez le fichier de sorte qu'il
contienne les informations suivantes :
La ligne d'attribut. Il s'agit de la premire ligne du fichier. Elle prcise le
nom de chaque attribut que vous souhaitez dfinir pour les nouveaux
comptes d'utilisateurs. Vous pouvez placer les attributs dans n'importe
quel ordre, ils doivent tre spars par des virgules. Le code suivant est
un exemple de ligne d'attribut :
DN,objectClass,sAMAccountName,userPrincipalName,
displayName,userAccountControl

Lignes de comptes d'utilisateurs. Pour chaque compte d'utilisateur que


vous crez, le fichier d'importation contient une ligne qui prcise la
valeur de chaque attribut de la ligne d'attribut. Les rgles suivantes
s'appliquent aux valeurs contenues dans une ligne de compte
d'utilisateur :
les valeurs doivent suivre l'ordre de la ligne d'attribut ;
s'il manque une valeur pour un attribut, laissez-la vierge, mais
insrez toutes les virgules ;
si une valeur contient des virgules, mettez-la entre guillemets.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

15

Le code suivant est un exemple de ligne du compte d'utilisateur :


"cn=Laura Bartoli,ou=Human Resources,
dc=asia,dc=contoso,dc=msft",user,laurab,
laurab@contoso.msft, Laura Bartoli,514

Ce tableau fournit les attributs et valeurs de l'exemple prcdent.


Attribut

Valeur

DN (nom unique)

cn=Laura Bartoli,ou=Human Resources, dc=asia,dc=contoso,dc=msft


(Cela spcifie le chemin d'accs l'unit d'organisation qui contient le compte
d'utilisateur.)

objectClass

user

sAMAccountName

laurab

userPrincipalName

laurab@contoso.msft

displayName

Laura Bartoli

userAccountControl

514 (La valeur 514 dsactive le compte d'utilisateur, tandis que la valeur 512
l'active.)

Les attributs de ce tableau sont les attributs minimaux requis pour


excuter csvde.
Important Vous ne pouvez pas utiliser Csvde pour crer des comptes
d'utilisateurs activs si la stratgie du mot de passe du domaine exige une
longueur minimale ou des mots de passe complexes. Dans ce cas, utilisez une
valeur de 514 pour l'attribut userAccountControl, qui dsactive le compte
d'utilisateur, puis activez le compte l'aide de l'environnement d'excution de
scripts Windows ou de la console Utilisateurs et ordinateurs Active Directory.
2. Excutez la commande csvde en tapant la commande suivante l'invite de
commandes :
csvde i f nom_fichier b Nom_Utilisateur Domaine
Mot_de_Passe

o :
-i indique que vous importez un fichier dans Active Directory
-f indique que le paramtre qui suit est le nom du fichier que vous importez
b dfinit la commande excuter comme nom_utilisateur, domaine et
mot_de_passe.

16

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

La commande csvde procure des informations sur l'tat de la russite ou de


l'chec du processus. Elle rpertorie galement le nom du fichier afficher pour
obtenir des informations dtailles sur l'erreur. Mme si les informations sur
l'tat indiquent que le processus a russi, utilisez la console Utilisateurs et
ordinateurs Active Directory pour vrifiez certains comptes d'utilisateurs que
vous avez crs afin de vous assurer qu'ils contiennent toutes les informations
que vous avez fournies.
Remarque Pour obtenir des informations sur les options courantes avec l'outil
de ligne de commande Csvde, consultez la rubrique Comment crer des
comptes l'aide de l'outil Csvde du Module 4 dans la page des annexes
sur le CD-ROM du stagiaire. Consultez galement Aide et Support
Windows Server 2003.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

17

Comment crer et grer des comptes l'aide de l'outil Ldifde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez utiliser l'outil de ligne de commande Ldifde pour crer et modifier
plusieurs comptes.

Procdure

Pour crer des comptes l'aide de l'outil de ligne de commande Ldifde,


procdez comme suit :
1. Prparez le fichier Ldifde importer.
Formatez le fichier Ldifde afin qu'il contienne un enregistrement qui se
compose d'une suite de lignes qui dcrivent une entre pour un compte
d'utilisateur ou un ensemble de modifications sur un compte d'utilisateur
dans Active Directory. L'entre du compte d'utilisateur prcise le nom
de chaque attribut que vous souhaitez dfinir pour le nouveau compte
d'utilisateur. Le schma Active Directory dfinit le nom des attributs. Pour
chaque compte d'utilisateur que vous crez, le fichier contient une ligne qui
prcise la valeur de chaque attribut de la ligne d'attribut. Les rgles
suivantes s'appliquent aux valeurs de chaque attribut :
toute ligne qui commence par un signe dise (#) est une ligne de
commentaire et est ignore lorsque vous excutez le fichier Ldifde ;
s'il manque une valeur pour un attribut, elle doit tre reprsente comme
Description_Attribut : FILL SEP.
Le code suivant est un exemple d'entre dans un fichier d'importation
Ldifde :
# Crer Laura Bartoli
dn: cn=Laura Bartoli,ou= Human Resources,
dc=asia,dc=contoso,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: laurab
userPrincipalName: laurab@contoso.msft
displayName: Laura Bartoli
userAccountControl: 514

18

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Le tableau suivant fournit les attributs et valeurs de l'exemple prcdent.


Attribut

Valeur de l'attribut

Crer Laura Bartoli (Le caractre # indique que cette ligne est un
commentaire.)

DN

cn=Laura Bartoli, ou=Human Resources, dc=asia,dc=contoso,dc=msft


(Cette valeur spcifie le chemin d'accs au conteneur de l'objet.)

Changetype

Add

objectClass

user

sAMAccountName

laurab

userPrincipalName

laurab@contoso.msft

displayName

Laura Bartoli

userAccountControl

512

2. Excutez la commande ldifde pour importer le fichier et crer plusieurs


comptes d'utilisateurs dans Active Directory.
l'invite de commandes, tapez la commande suivante :
ldifde i k f nom_fichier -b Nom_Utilisateur Domaine
Mot_de_Passe

o :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom de fichier d'importation ou d'exportation.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe du
compte d'utilisateur qui seront utiliss pour effectuer l'opration
d'importation ou d'exportation.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

19

Comment crer et grer des comptes l'aide de l'environnement


d'excution de scripts Windows

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous pouvez crer des objets Active Directory partir de scripts


d'environnement d'excution de scripts Windows l'aide d'une interface ADSI.
Le processus de cration d'un objet Active Directory compte quatre tapes,
comme l'indique la procdure suivante.

Procdure de cration
d'un objet Active
Directory

Pour crer un objet Active Directory, tel qu'un compte d'utilisateur dans un
domaine, procdez comme suit :
1. Utilisez le Bloc-notes pour crer un fichier texte avec une extension .vbs.
Placez les commandes suivantes dans le fichier, puis enregistrez-le.
a. Connectez-vous au conteneur dans lequel vous souhaitez crer l'objet
Active Directory en spcifiant la requte LDAP (Lightweight Directory
Access Protocol).
Set objOU =
GetObject("LDAP://ou=management,dc=fabrikam,dc=com")

Important Dans l'exemple prcdent, LDAP doit tre inscrit en lettres


majuscules, sans quoi la commande choue.
b. Crez l'objet Active Directory et spcifiez la classe et le nom de l'objet.
Set objUser = objOU.Create("User", "cn=MyerKen")

c. Dfinissez les proprits de l'objet Active Directory.


objUser.Put "sAMAccountName", "myerken"

d. Inscrivez les informations dans la base de donnes Active Directory.


objUser.SetInfo

20

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Les proprits de certains objets Active Directory ne peuvent pas tre


dfinies lors de leur cration. Par exemple, lorsque vous crez un compte
d'utilisateur, vous ne pouvez pas activer le compte ni dfinir son mot de
passe. Vous ne pouvez dfinir ces proprits qu'aprs avoir cr l'objet,
comme illustr dans l'exemple de code suivant :
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo

e. Enregistrez le fichier avec l'extension .vbs.


2. Excutez le script en tapant la commande suivante l'invite de commandes :
Wscript.exe nom_fichier

o nom_fichier est le nom du fichier de script que vous avez cr l'tape


prcdente.
Remarque Pour qu'un exemple de script cre un compte d'utilisateur, consultez
la rubrique Comment crer et grer des comptes l'aide de l'environnement
d'excution de scripts Windows du Module 4 dans la page des annexes sur le
CD-ROM du stagiaire.
Procdure de
modification de la valeur
d'une proprit

Pour modifier la valeur d'une proprit d'un objet Active Directory, tel que le
numro de tlphone d'un utilisateur, ouvrez le Bloc-notes pour crer un fichier
texte, ajoutez les commandes suivantes au fichier, puis excutez le fichier de
script en le dmarrant l'invite de commandes.
1. Connectez-vous l'objet dont la proprit sera modifie.
Set objUser = GetObject _
("LDAP://cn=myerken,ou=TestOU,dc=nwtraders,dc=msft")

2. Dfinissez la nouvelle valeur de la proprit, par exemple le nouveau


numro de bureau d'un employ qui a t mut.
objUser.Put "physicalDeliveryOfficeName", "Room 4358"

3. Inscrivez la modification dans Active Directory.


objUser.SetInfo

4. Enregistrez le fichier avec l'extension .vbs.


5. l'aide d'une invite de commandes, excutez le script en tapant la
commande suivante :
wscript.exe nom_fichier

o nom_fichier est le nom du fichier de script que vous avez cr l'tape


prcdente.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

21

Remarque Pour plus d'informations sur la cration de scripts d'administration


l'aide de l'environnement d'excution de scripts Windows, consultez le site Web
de Microsoft TechNet Script Center l'adresse suivante :
www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/
default.asp (en anglais).
Consultez galement le Cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais).

22

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique : Cration de comptes d'utilisateurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez crer et excuter un fichier de script
qui contient des commandes pour crer un compte d'utilisateur, puis vous
vrifierez que le compte d'utilisateur a t cr.

Scnario

La socit Northwind Traders a engag un nouveau commercial, Suzanne


Duprez. Vous devez lui crer un nom d'ouverture de session utilisateur. La
norme actuelle chez Northwind Traders consiste utiliser le prnom de
l'utilisateur et les trois premires lettres de son nom de famille. Vous utiliserez
un environnement d'excution de scripts Windows pour crer ce compte
d'utilisateur dans l'unit d'organisation Votre_Ordinateur\Sales.

Application pratique

Pour crer le compte d'utilisateur, procdez comme suit :


1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez le Bloc-notes pour crer un fichier de script qui contient des
commandes pour crer le nouveau compte d'utilisateur.
a. Ouvrez le Bloc-notes.
b. Tapez le script pour crer le compte d'utilisateur.
c. Dans le menu Fichier, cliquez sur Enregistrer sous.
d. Dans la zone Nom de fichier, tapez createusers.vbs
e. Dans la zone Types de fichiers, slectionnez Tous les fichiers.
f. Cliquez sur Enregistrer.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

23

3. Excutez le fichier de script.


a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez Votre_Domaine\Administrateur comme
nom d'utilisateur avec le mot de passe P@ssw0rd, puis cliquez sur OK.
c. Changez le rpertoire pour le dossier dans lequel vous avez enregistr le
fichier createusers.vbs.
d. l'invite de commandes, tapez wscript.exe createusers.vbs.
4. Utilisez la console Utilisateurs et ordinateurs Active Directory pour vrifier
que l'utilisateur a t cr.
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, cliquez sur Sales.
c. Dans le volet d'informations, observez les comptes d'utilisateurs
rpertoris.
Voici un exemple de fichier de rponse.
Set objOU =
GetObject("LDAP://OU=Sales,OU=Vancouver,dc=nwtraders1,dc=msft"
)
Set objUser = objOU.Create("User", "cn=SuzanneDup")
objUser.Put "sAMAccountName", "SuzanneDup"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "P@ssw0rd"
objUser.Put "userPrincipalName", "SuzanneDup@nwtraders1.msft"
objUser.SetInfo

24

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Implmentation des suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon dcrit le rle des suffixes UPN (User Principal Names). Elle
explique comment un suffixe UPN est achemin dans un environnement
approuv et comment crer, supprimer, activer, dsactiver et exclure le routage
des suffixes de noms dans des approbations entre forts.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire le rle d'un UPN ;

expliquer le routage d'un suffixe UPN dans un environnement approuv ;

expliquer comment les conflits de suffixes de noms sont dtects et rsolus ;

crer et supprimer un suffixe UPN ;

activer, dsactiver et exclure le routage des suffixes de noms dans des


approbations entre forts.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

25

Dfinition d'un nom d'utilisateur principal

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans un rseau Windows Server 2003, un utilisateur peut ouvrir une session
l'aide d'un nom d'utilisateur principal ou d'un nom d'ouverture de session
d'utilisateur (Windows NT 4.0 et ultrieur). Les contrleurs de domaine peuvent
utiliser le nom d'utilisateur principal ou le nom d'ouverture de session de
l'utilisateur pour authentifier la requte d'ouverture de session.

Dfinition d'un nom


d'utilisateur principal

Un nom d'utilisateur principal est un nom d'ouverture de session qui est utilis
uniquement pour ouvrir une session sur un rseau Windows Server 2003.
Ce nom est galement appel nom d'ouverture de session de l'utilisateur.
Le nom d'utilisateur principal se compose de deux parties spares par le
signe @, par exemple laurab@contoso.msft :

Avantages lis
l'utilisation du nom
d'utilisateur principal

le prfixe du nom d'utilisateur principal qui, dans cet exemple, est laurab ;

le suffixe du nom d'utilisateur principal qui, dans cet exemple, est


contoso.msft. Par dfaut, le suffixe est le nom du domaine dans lequel le
compte d'utilisateur a t cr. Vous pouvez utiliser les autres domaines du
rseau ou des suffixes supplmentaires que vous avez crs pour configurer
d'autres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer
un suffixe pour crer des noms d'ouverture de session utilisateur qui
correspondent l'adresse lectronique de l'utilisateur.

L'utilisation du nom d'utilisateur principal offre les avantages suivants :


!

Il ne change pas lorsque vous dplacez un compte d'utilisateur vers un


domaine diffrent car le nom est unique dans la fort Active Directory.

Il peut tre identique l'adresse lectronique de l'utilisateur car il a le mme


format qu'une adresse de messagerie standard.

26

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Rgles d'unicit des


noms d'ouverture de
session utilisateur

Les noms d'ouverture de session utilisateur pour des comptes d'utilisateurs de


domaine doivent respecter les rgles d'unicit suivantes dans Active Directory :
!

le nom complet doit tre unique dans le conteneur dans lequel vous crez le
compte d'utilisateur ; le nom complet est utilis comme nom unique ;

le nom d'utilisateur principal doit tre unique dans la fort.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

27

Prsentation multimdia : Fonctionnement du routage des suffixes


de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Fonctionnement du routage des suffixes


de noms, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur
Multimdia, puis sur le titre de la prsentation. N'ouvrez pas cette prsentation
avant d'y tre invit par l'instructeur.

Objectifs

la fin de cette prsentation, vous serez mme d'expliquer le fonctionnement


du routage des suffixes de noms dans Active Directory.

Points cls

Le routage des suffixes de noms est un mcanisme fournissant une rsolution


de noms entre forts. Celles-ci peuvent contenir plusieurs suffixes de noms.
Lorsque deux forts Windows Server 2003 sont connectes par une approbation
de fort, les suffixes des noms de domaines qui existent dans les deux
forts routent les requtes d'authentification. C'est pourquoi, toute requte
d'authentification mise de la Fort A vers un suffixe qui rside dans la Fort
B est route avec succs vers sa ressource cible.
Les suffixes de noms qui n'existent pas dans une fort peuvent tre routs vers
une deuxime fort. Lorsqu'un nouveau domaine enfant (par exemple,
enfant.contoso.com) est ajout un suffixe de domaine de second niveau (par
exemple, contoso.com), le domaine enfant hrite de la configuration de routage
du domaine de second niveau auquel il appartient.
Tout nouveau suffixe de nom de second niveau que vous crez aprs avoir
tabli une approbation de fort est visible dans la bote de dialogue Proprits
pour cette approbation. Cependant, le routage des suffixes pour les
arborescences de domaine que vous crez aprs l'tablissement de l'approbation
est dsactiv par dfaut. Vous devez activer manuellement le routage pour ces
suffixes. Lorsque Active Directory dtecte un suffixe de nom dupliqu, le
routage du suffixe le plus rcent est dsactiv par dfaut. Vous pouvez utiliser
la bote de dialogue Proprits pour activer ou dsactiver manuellement le
routage des suffixes de noms individuels.

28

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dtection et rsolution des conflits de suffixes de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque deux forts Windows Server 2003 sont relies par une approbation de
fort, un suffixe de nom de second niveau ou un suffixe UPN qui existe dans l'une
des forts peut entrer en collision avec un suffixe de nom similaire dans la
deuxime fort. Grce la dtection de collisions, l'Assistant Nouvelle
approbation garantit qu'une seule fort fait autorit pour un suffixe de nom donn.

Dtection des collisions

L'Assistant Nouvelle approbation dtecte les conflits de suffixes de noms


lorsque l'une des situations suivante se produit :
!

le mme nom DNS (Domain Name System) est dj utilis ;

le mme nom NetBIOS est dj utilis ;

un ID de scurit du domaine (SID) est en conflit avec le SID d'un autre


suffixe de nom.

Supposons, par exemple, que vous souhaitiez tablir une approbation de fort
bidirectionnelle entre les forts contoso.com et fabrikam.com. Les forts
contoso.com et fabrikam.com ont le mme suffixe UPN : nwtraders.msft.
Lorsque vous crez l'approbation de fort bidirectionnelle, l'Assistant Nouvelle
approbation dtecte et affiche le conflit entre les deux suffixes de noms UPN.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Rsolution des conflits

29

L'Assistant Nouvelle approbation dsactive automatiquement un suffixe de nom


de domaine de second niveau si un suffixe identique existe dans une deuxime
fort. Par exemple, un conflit survient si l'une des forts s'appelle fabrikam.com
et l'autre s'appelle ventes.fabrikam.com.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il refuse l'accs ce domaine depuis l'extrieur de la fort. Cependant,
l'accs au domaine depuis l'intrieur de la fort fonctionne normalement.
Par exemple, si le domaine fabrikam.com existe dans les forts contoso.com et
nwtraders.msft, les utilisateurs de la fort contoso.com peuvent accder aux
ressources prsentes dans le domaine fabrikam.com qui rside dans la fort
contoso.com. Cependant, les utilisateurs de la fort contoso.com n'ont pas accs
aux ressources prsentes dans le domaine fabrikam.com qui est situ dans la
fort nwtraders.msft.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il vous invite enregistrer un fichier journal du conflit. Il rpertorie
ensuite les conflits dans la bote de dialogue Proprits Nom d'approbation de
fort sous l'onglet Routage des suffixes de noms, dans la colonne Routage.

30

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment crer et supprimer un suffixe UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque vous utilisez un suffixe de nom d'utilisateur principal, vous simplifiez


les processus d'administration et d'ouverture de session utilisateur en procurant
un suffixe UPN pour tous les utilisateurs. Lors de la cration d'un compte
d'utilisateur, vous pouvez slectionner un suffixe UPN. Si ce suffixe n'existe
pas, vous pouvez l'ajouter l'aide de la console Domaines et approbations
Active Directory, condition que vous soyez membre du groupe prdfini
Administrateurs de l'entreprise.

Procdure d'ajout d'un


suffixe UPN

Pour ajouter un suffixe UPN, procdez comme suit :


1. Ouvrez la console Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Proprits.
3. Sous l'onglet Suffixes UPN, tapez un autre suffixe UPN, puis cliquez sur
Ajouter.
Remarque Si vous crez un compte d'utilisateur l'aide de l'environnement
d'excution de scripts Windows ou autrement qu'avec la console Utilisateurs et
ordinateurs Active Directory, vous n'tes pas limit par les suffixes UPN qui
sont stocks dans Active Directory. Vous pouvez affecter un suffixe lors de la
cration du compte. Cependant, les suffixes que vous crez de cette faon ne
sont pas automatiquement routs sur les approbations de forts.

Procdure de
suppression d'un
suffixe UPN

Pour supprimer un suffixe UPN, procdez comme suit :


1. Dans l'arborescence de la console Domaines et approbation Active
Directory, cliquez avec le bouton droit sur Domaines et approbations
Active Directory, puis cliquez sur Proprits.
2. Sous l'onglet Suffixes UPN, slectionnez le suffixe UPN que vous souhaitez
supprimer, puis cliquez sur Supprimer.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

31

Comment activer et dsactiver le routage des suffixes de noms


dans des approbations de forts

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous devez utilisez la console Domaines et approbations Active Directory pour


activer et dsactiver le routage d'un suffixe de nom.

Procdure

Pour activer ou dsactiver le routage d'un suffixe de nom de second niveau,


procdez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe pour lequel vous souhaitez
activer ou dsactiver le routage, puis cliquez sur Activer ou Dsactiver.
Important Lorsque vous dsactivez le routage d'un suffixe de domaine de
second niveau, vous dsactivez galement le routage de tous les suffixes de son
domaine enfant.

32

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Pour modifier l'tat du routage d'un suffixe de nom de troisime niveau ou de


niveau suprieur, procdez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe parent du suffixe dont vous
souhaitez modifier l'tat du routage, puis cliquez sur Modifier.
4. Sous Suffixes de noms prsents dans <nom de la fort>, cliquez sur le
suffixe que vous souhaitez modifier, puis sur Activer ou Dsactiver.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

33

Application pratique : Cration de suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez crer un suffixe de nom pour un
domaine de second niveau, puis vous activerez le routage du suffixe de nom
entre deux forts.

Scnario

La socit Northwind Traders possde une fort de plusieurs domaines.


La socit a choisi un nouveau nom de domaine, qui sera utilis pour le nom
du site Web et de l'adresse lectronique de la socit. Vous devez ajouter le
nouveau suffixe puis activer le routage.

Application pratique

! Crer un suffixe de nom et activer le routage du suffixe


1. Crez un nouveau suffixe de nom pour un domaine de second niveau
nomm Votre_Prnom.msft.
a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec
le mot de passe P@ssw0rd.
b. Utilisez Excuter en tant que pour dmarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec
le mot de passe P@ssw0rd.
c. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur
Proprits.
d. Sous l'onglet Suffixes UPN, tapez le suffixe UPN Votre_Prnom.msft,
cliquez sur Ajouter, puis sur OK.

34

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans
la fort nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
b. Dans la bote de dialogue Se connecter au contrleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Proprits.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Proprits, puis sur l'onglet Routage des suffixes de noms.
f. Dans la bote de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la fort nwtradersx, cliquez sur Votre_Prnom.msft, sur Activer,
puis cliquez deux fois sur OK.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

35

Leon : Dplacement d'objets dans Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon traite de l'historique SID et de l'implication du dplacement des


objets Active Directory. Elle explique galement comment dplacer un objet
Active Directory entre deux conteneurs d'un mme domaine, et entre deux
domaines d'une mme fort.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire le rle d'un historique SID ;

expliquer l'implication du dplacement d'objets dans Active Directory ;

dplacer des objets dans un domaine ;

dplacer des objets entre domaines ;

afficher les proprits des objets dplacs.

36

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition de l'historique SID

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque vous dplacez un objet Active Directory, tel qu'un compte d'utilisateur,
les principes de scurit associs cet objet sont galement dplacs. Active
Directory assure un suivi de ces principes de scurit dans une liste intitule
Historique SID.

Rle d'un historique SID

Un historique SID fournit un utilisateur migr une continuit d'accs aux


ressources. Lors de la migration d'un compte d'utilisateur vers un autre
domaine, Active Directory lui affecte un nouveau SID. L'historique SID
conserve le SID du prcdent compte d'utilisateur migr. Lorsque vous migrez
plusieurs reprises un compte d'utilisateur, l'historique SID stocke une liste de
tous les identificateurs SID affects l'utilisateur. Il met ensuite jour les
groupes et les listes de contrle d'accs ncessaires avec le SID du nouveau
compte. Les appartenances aux groupes bases sur le SID de l'ancien compte
n'existent plus.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

37

Implications du dplacement d'objets

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour que l'historique SID soit activ, le niveau fonctionnel du domaine doit tre
dfini sur Windows 2000 natif ou Windows Server 2003. L'historique SID est
dsactiv si le niveau fonctionnel est dfini sur Windows 2000 mixte. Lorsqu'un
objet est dplac au sein d'un domaine, le SID ou l'identificateur unique global
(GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous dplacez un objet sur plusieurs domaines d'une mme fort, Active
Directory affecte un nouveau SID l'objet mais conserve son GUID.

Implications sur la
scurit d'un
historique SID

Un historique SID permet des utilisateurs migrs d'accder aux ressources


situes dans leurs anciens domaines. Cependant, il permet galement aux
utilisateurs de tromper l'accs aux autres domaines, c'est dire donner l'illusion
qu'une transmission provient d'un utilisateur autoris, en plaant des SID
d'autres domaines dans l'historique SID de leurs comptes d'utilisateurs.
Vous pouvez vous protger de tels comportements en appliquant un filtrage
des identificateurs SID aux relations approuves.
Attention Le filtrage des identificateurs SID est conu pour tre utilis sur des
approbations entre forts ou sur des approbations externes. Son utilisation entre
domaines d'une mme fort reprsente une application errone du filtrage des
identificateurs SID. Si vous mettez un domaine en quarantaine au sein d'une
mme fort, le filtrage des identificateurs SID supprimera les identificateurs
SID ncessaires la rplication Active Directory. Le filtrage des identificateurs
SID peut galement faire chouer l'authentification des utilisateurs issus de
domaines approuvs de faon transitive dans le domaine mis en quarantaine.
Pour empcher qu'un compte d'utilisateur qui a t dplac entre domaines
accde des ressources avec des autorisations qui sont associes l'attribut de
l'historique SID du compte, supprimez les informations relatives l'historique
SID du compte d'utilisateur.

38

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Remarque Pour plus d'informations sur la suppression d'un historique SID,


consultez l'article 295798 Procdure d'utilisation de Visual Basic Script
pour effacer l'historique SID dans la Base de connaissances Microsoft
l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758
(en anglais).
Autres implications du
dplacement d'objets

Le dplacement d'objets dans Active Directory a galement les implications


suivantes :
!

les comptes d'utilisateurs qui ont des privilges administratifs pour l'unit
d'organisation vers laquelle le compte est dplac peuvent grer les
proprits du compte d'utilisateur dplac ;

les restrictions lies la stratgie de groupe de l'unit d'organisation, du


domaine ou du site depuis lequel le compte d'utilisateur a t dplac ne
s'appliquent plus au compte d'utilisateur ;

les paramtres Stratgie de groupe du nouvel emplacement s'appliquent au


compte d'utilisateur.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

39

Comment dplacer des objets au sein d'un domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour


dplacer des objets dans un domaine.

Procdure

Pour dplacer un objet dans un domaine, procdez comme suit :


!

Dans le volet d'informations de la console Utilisateurs et ordinateurs Active


Directory, faites glissez l'objet sur le nouveau conteneur.

40

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment dplacer des objets entre domaines

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Utilisez l'outil de migration Active Directory dans Windows Server 2003 pour
dplacer des objets entre domaines d'une mme fort ou entre domaines situs
dans des forts diffrentes.

Procdure

Pour migrer des utilisateurs ou des groupes d'un domaine vers un autre,
procdez comme suit :
1. Excutez l'outil de migration Active Directory.
Remarque L'outil de migration Active Directory n'est pas install par
dfaut. Vous pouvez l'installer partir du dossier \i386\ADMT sur le
CD-ROM Windows Server 2003.
2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
slectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour dplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procdant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramtres de migration et effectuer celle-ci ultrieurement, puis
cliquez sur Suivant.
b. Dans la page Slection du domaine, slectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Slection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Slection de l'unit d'organisation, cliquez sur Parcourir,
slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

41

e. Dans la page Options de l'utilisateur, dfinissez les options de


l'utilisateur, puis cliquez sur Suivant.
Ces options dterminent la migration de l'appartenance au groupe, des
profils et des paramtres de scurit.
f. Si une bote de dialogue d'avertissement apparat, cliquez sur OK.
g. Dans la page Conflits de nommage, slectionnez les options
appropries pour spcifier les actions qui seront prises en cas de conflit
de noms, puis cliquez sur Suivant.
h. Dans la page Fin de l'Assistant Migration des comptes d'utilisateurs,
cliquez sur Terminer.
i. Dans la bote de dialogue Avances de la Migration, cliquez sur
Afficher le journal pour afficher le journal des erreurs.
5. Effectuez une migration relle en rptant les tapes 2 4.l. l'tape 4.a,
slectionnez Effectuer la migration maintenant la place de Tester les
paramtres de migration et effectuer celle-ci ultrieurement.

42

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment utiliser LDP pour afficher les proprits des objets


dplacs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Aprs avoir dplac un utilisateur, un groupe ou un autre objet, vrifiez que ses
proprits ont t correctement mises jour. Par exemple, vrifiez les proprits
SID et Historique SID de l'objet. Pour afficher ces informations, utilisez
Ldp.exe. Vous devez installer les outils de support de Windows depuis le
dossier \Support\Tools sur le CD-ROM Windows Server 2003 avant de pouvoir
utiliser Ldp.exe.

Procdure

Pour afficher les proprits d'un objet dplac, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, tapez ldp et cliquez sur OK.
2. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez sur
Connect.
3. Dans la bote de dialogue Connect, dans la zone Server, tapez le nom de
votre serveur, puis cliquez sur OK.
4. Dans la fentre Ldap, dans le menu Connection, cliquez sur Bind.
5. Dans la bote de dialogue Bind, tapez le nom d'utilisateur Administrateur,
le mot de passe de l'administrateur et le nom du domaine que vous souhaitez
examiner, puis cliquez sur OK.
6. Dans le menu View, cliquez sur Tree.
7. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez le
nom de domaine appropri dans la liste, puis cliquez sur OK.
8. Dans l'arborescence de la console, double-cliquez sur l'objet dont vous
souhaitez afficher les proprits.
9. Dans le volet d'informations, observez les proprits de l'objet.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

43

Application pratique : Dplacement d'objets

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez effectuer les tches suivantes :
!

utiliser Ldp.exe pour examiner l'identificateur SID, l'historique SID et


l'identificateur GUID d'un objet utilisateur ;

dplacer un objet utilisateur vers une autre unit d'organisation du mme


domaine ;

utiliser Ldp.exe pour afficher les modifications apportes l'identificateur


SID, l'historique SID et l'identificateur GUID de l'objet utilisateur.

Scnario

Votre organisation compte 2000 utilisateurs. Suzanne Duprez, une utilisatrice


de votre domaine, occupe un nouveau poste au sein de la socit. Vous devez
dplacer son objet compte utilisateur pour qu'il corresponde son nouveau rle.

Application pratique

! Dplacer un compte d'utilisateur et afficher les modifications


conscutives au dplacement

1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le


mot de passe P@ssw0rd.
2. Utilisez Ldp.exe pour examiner l'identificateur SID, l'historique SID et
l'identificateur GUID de l'objet utilisateur de Suzanne Duprez dans l'unit
d'organisation Votre_Ordinateur\Sales situe dans le domaine hberg par
votre ordinateur stagiaire.
a. Cliquez sur Dmarrer, sur Invite de commandes, tapez ldp et appuyez
sur ENTRE.
b. Dans la bote de dialogue Ldp, dans le menu Connection, cliquez sur
Connect.
c. Dans la bote de dialogue Connection, dans la zone Server, tapez le
nom de votre serveur, puis cliquez sur OK.
d. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez
sur Bind.

44

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

e. Dans la bote de dialogue Bind, tapez le nom d'utilisateur


Administrateur, le mot de passe P@ssw0rd et le nom du domaine
hberg par votre serveur, puis cliquez sur OK.
f. Dans le menu View, cliquez sur Tree.
g. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez
votre nom de domaine, puis cliquez sur OK.
h. Dans l'arborescence de la console, dveloppez votre domaine, doublecliquez sur Votre_Ordinateur, sur l'objet de l'unit d'organisation Sales,
puis sur l'objet utilisateur de Suzanne Duprez.
i. Dans le volet d'informations, affichez les proprits de l'objet.
i. Quel est l'attribut objectGUID de ce compte ?
Les rponses varient.
_______________________________________________________
ii. Quel est l'attribut objectSid de ce compte ?
Les rponses varient.
_______________________________________________________
iii. Existe-t-il une entre SIDHistory pour ce compte d'utilisateur ? Si
oui, quels sont les identificateurs SID rpertoris ?
Il n'existe aucune entre SIDHistory pour ce compte.
_______________________________________________________
3. Dplacez l'objet utilisateur de Suzanne Duprez dans l'unit d'organisation
Votre_Ordinateur\HR de votre domaine.
a. Utilisez Excuter en tant que pour dmarrer la console Utilisateurs et
ordinateurs Active Directory en tant que
Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
b. Dans le volet d'informations, faites glissez l'objet utilisateur
SuzanneDup de l'unit d'organisation Votre_Ordinateur\Sales vers
l'unit d'organisation Votre_Ordinateur\HR.
4. Utilisez Ldp.exe pour afficher les modifications apportes l'identificateur
SID, l'historique SID et l'identificateur GUID de l'objet utilisateur de
Suzanne Duprez.
a. Dans l'arborescence de la console, double-cliquez sur HR, puis sur
l'objet utilisateur de Suzanne Duprez.
b. Dans le volet d'informations, affichez les proprits de l'objet.
Des modifications ont-elles t apportes l'identificateur SID,
l'historique SID ou l'identificateur GUID de ce compte ? Si oui,
lesquelles ?
Aucune modification n'a t apporte l'identificateur SID,
l'historique SID ou l'identificateur GUID du compte d'utilisateur
suite ce dplacement.
__________________________________________________________
__________________________________________________________

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

45

Leon : Planification d'une stratgie de compte


d'utilisateur, de groupe et d'ordinateur

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Cette leon prsente des instructions pour planifier une stratgie de compte
d'utilisateur et d'ordinateur. Une stratgie de compte bien planifie permet
d'empcher une violation de la scurit dans votre rseau.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer les instructions permettant de dfinir une convention d'attribution


de nom de compte ;

expliquer les instructions permettant de dfinir une stratgie de mot


de passe ;

expliquer les instructions lies l'authentification, l'autorisation et


l'administration des comptes d'utilisateurs ;

expliquer les instructions permettant de planifier une stratgie de compte


de groupe.

46

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instruction d'attribution des noms de comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lors de la cration d'une stratgie de compte pour les forts et les domaines
situs dans le rseau de votre organisation, vous devez dfinir des conventions
d'attribution de noms de comptes.

Instructions

Les instructions suivantes s'appliquent l'attribution de noms de comptes


d'utilisateurs, d'ordinateurs et de groupes dans un rseau Windows Server 2003.
!

Dfinissez une convention d'attribution de nom de compte d'utilisateur pour


votre organisation, qui facilite l'identification par les autres utilisateurs
et vous permette de grer les conflits de noms d'utilisateurs pour les
utilisateurs ayant des noms similaires. La convention d'attribution de nom
doit inclure :
le prnom, les trois premiers caractres du prnom ou l'initiale du
prnom de l'utilisateur. Par exemple, utilisez Suzanne pour l'utilisatrice
Suzanne Duprez ;
l'initiale, les premires lettres du nom de famille de l'utilisateur ou son
nom complet. Par exemple, utilisez SuzanneDuprez pour l'utilisatrice
Suzanne Duprez ;
des caractres supplmentaires de prnom ou de nom de famille, ou
encore l'initiale du deuxime prnom pour rsoudre les conflits de noms.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Envisagez d'utiliser :
des prfixes ou suffixes pour identifier des comptes d'utilisateurs
spciaux, tels que des fournisseurs, du personnel temps partiel et des
comptes de services ;
un autre nom de domaine pour que le suffixe UPN augmente la scurit
des sessions et simplifie les noms d'ouverture de session.
Par exemple, si votre organisation possde une arborescence de
domaine profonde qui est organise par dpartement et rgion, les
noms de domaines peuvent tre assez longs. Le suffixe UPN par
dfaut pour un utilisateur dans ce domaine peut donc tre
ventes.exemple.nwtraders.msft. Le nom d'ouverture de session d'une
utilisatrice nomme Suzanne Duprez dans ce domaine peut alors tre
SDuprez@ventes.exemple.nwtraders.msft. Cependant, si vous crez le
suffixe nwtraders ou nwtraders.msft, un utilisateur peut ouvrir une
session en ajoutant le nom d'ouverture de session le plus simple
SDuprez@nwtraders ou SDuprez@nwtraders.msft. Il n'est pas
ncessaire que ces autres suffixes UPN soient un nom DNS valide.
!

Dfinissez une convention d'attribution de nom de compte d'ordinateur qui


identifie le propritaire de l'ordinateur, son emplacement et le type
d'ordinateur. Incluez les informations suivantes dans la convention
d'attribution de nom :
Convention d'attribution de nom

Exemple

Nom d'utilisateur du propritaire

SuzanneD1

Emplacement ou abrviation

RED ou Redmond

Type d'ordinateur ou abrviation

SVR ou serveur

Dfinissez une convention d'attribution de nom de groupe qui identifie le


type de groupe, son emplacement et son rle. Incluez les informations
suivantes dans la convention d'attribution de nom :
Convention d'attribution de nom

Exemple

Type de groupe

G pour groupe global, UN pour groupe


universel, LD pour groupe local de
domaine

Emplacement du groupe

Red pour Redmond

Rle du groupe

Admins pour administrateurs

47

48

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instructions de dfinition d'une stratgie de mot de passe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le rle des mots de passe dans la scurit du rseau d'une organisation est bien
souvent sous-estim et nglig. Les mots de passe constituent la premire ligne
de dfense en cas d'accs non autoris votre organisation.
La famille Windows Server 2003 inclut une nouvelle fonctionnalit qui vrifie
la complexit du mot de passe pour le compte Administrateur. Si le mot de
passe est vide ou ne rpond pas aux conditions de complexit, la bote de
dialogue Installation de Windows apparat et vous informe des dangers lis
la non-utilisation d'un mot de passe fort pour le compte Administrateur. Si vous
ne renseignez pas de mot de passe, le compte est inaccessible sur le rseau.

Instructions

Une stratgie de mot de passe assure que chaque utilisateur respecte les
instructions de mot de passe que vous dterminez comme approprie pour votre
organisation. Dfinissez les lments suivants d'une stratgie de mot de passe :
!

Dfinissez le paramtre de stratgie Conserver l'historique des mots de


passe pour mmoriser au moins les 24 mots de passe prcdents. De cette
manire, les utilisateurs ne peuvent pas utiliser le mme mot de passe
l'expiration de leur mot de passe actuel.

Dfinissez le paramtre de stratgie Dure de vie maximale du mot de


passe afin que les mots de passe expirent aussi souvent que ncessaire pour
votre environnement et le niveau d'accs des utilisateurs. Ce paramtre de
stratgie empche quiconque forant un mot de passe d'accder au rseau
jusqu' expiration du mot de passe. Pour les utilisateurs qui ont un accs
Administrateur de domaine, dfinissez une dure de vie maximale du mot
de passe plus courte que pour les utilisateurs normaux.

Dfinissez le paramtre de stratgie Dure de vie minimale du mot de


passe de sorte que les utilisateurs ne puissent pas modifier leur mot de
passe avant un certain nombre de jours. Le fait de dfinir une dure de
vie minimale du mot de passe empche les utilisateurs de modifier
continuellement leur mot de passe pour viter le paramtre de stratgie
Conserver l'historique des mots de passe puis rutiliser leur mot de
passe d'origine.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

49

Dfinissez un paramtre de stratgie Longueur minimale du mot de passe


de sorte que les mots de passe contiennent un nombre minimum de
caractres. Les longs mots de passe, comportant au minimum huit
caractres, sont gnralement plus forts que les mots de passe courts.
Ce paramtre de stratgie empche galement les utilisateurs d'utiliser
des mots de passe vides.

Activez le paramtre de stratgie Le mot de passe doit respecter des


exigences de complexit. Ce paramtre vrifie tous les nouveaux mots de
passe pour s'assurer qu'ils rpondent aux exigences de base d'un mot de
passe fort.
Un mot de passe fort prsente les caractristiques suivantes :
comporte au moins huit caractres ;
ne contient aucun nom d'utilisateur, nom rel ou nom de socit ;
ne contient aucun mot complet du dictionnaire ;
est significativement diffrent des prcdents mots de passe. Les mots de
passe incrmentiels (Mot_de_Passe1, Mot_de_Passe2,
Mot_de_Passe3...) sont faibles ;
contient des caractres en majuscules/minuscules, des valeurs
numriques et des symboles ;
contient des caractres ASCII tendus. Ces caractres incluent les
marques d'accentuation et les symboles spciaux utiliss pour crer des
images.
H!elZl2o et J*p2leO4>F sont des exemples de mots de passe forts.
Attention Tout intrus potentiel peut trouver des caractres ASCII tendus
dans la Table des caractres. N'utilisez pas de caractre tendu si aucune
squence de touches n'est dfinie dans le coin infrieur droit de la table des
caractres. Avant d'utiliser des caractres ASCII tendus dans votre mot de
passe, testez-les pour vrifier que les mots de passe qui contiennent des
caractres ASCII tendus sont compatibles avec les applications utilises
par votre organisation. Soyez particulirement prudent lors de l'utilisation de
caractres ASCII tendus si votre organisation utilise plusieurs systmes
d'exploitation.

50

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Le tableau suivant prsente les paramtres de stratgie minimaux recommands


pour des environnements rseau scuriss.
Paramtre

Valeur

Conserver l'historique des mots de passe

24 mots de passe mmoriss

Dure de vie maximale du mot de passe

42 jours

Dure de vie minimale du mot de passe

2 jours

Longueur minimale du mot de passe

8 caractres

Le mot de passe doit respecter des exigences


de complexit

Activ

Enregistrer les mots de passe en utilisant un


cryptage rversible

Dsactiv

Conseil Si vous crez un domaine racine dans votre fort dans le but de placer
des comptes administrateur, envisagez d'exiger des paramtres de stratgie de
mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.
Par exemple, envisagez d'exiger une dure de vie maximale du mot de passe de
30 jours, une dure de vie minimale du mot de passe de 7 jours et une longueur
minimale de 14 caractres.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

51

Instructions d'authentification, d'autorisation et d'administration


des comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La planification d'une stratgie d'authentification, d'autorisation et


d'administration aidera protger le rseau de votre organisation. Par exemple,
implmentez une stratgie de verrouillage du compte pour prvenir toute
attaque de votre organisation. Soyez toutefois prudent lors de la cration
d'un verrouillage de compte afin de ne pas verrouiller par inadvertance des
utilisateurs autoriss.

Instructions

Utilisez les instructions suivantes pour authentifier, autoriser et administrer des


comptes dans votre organisation :
!

Attribuez une valeur leve au paramtre de stratgie seuil de verrouillage


de compte. Ainsi, les comptes des utilisateurs autoriss ne sont pas
verrouills en cas de saisie errone d'un mot de passe.
Windows peut verrouiller des utilisateurs autoriss s'ils modifient leur mot
de passe sur un ordinateur mais pas sur un autre. L'ordinateur qui utilise
l'ancien mot de passe tente constamment d'authentifier l'utilisateur avec le
mot de passe incorrect. Finalement, l'ordinateur verrouille le compte de
l'utilisateur jusqu' ce qu'il soit restaur. Ce problme n'existe pas dans les
organisations qui utilisent uniquement des contrleurs de domaine membres
de la famille Windows Server 2003.

vitez d'utiliser des comptes administrateur pour rpondre aux besoins


informatiques de routine. Aussi, devez-vous penser limiter le nombre
d'administrateurs et viter d'accorder aux utilisateurs un accs
administratif. Exigez que les administrateurs ouvrent une session l'aide
d'un compte d'utilisateur normal et qu'ils utilisent la commande runas pour
effecteur toutes les tches d'administration.

Utilisez une authentification multifactorielle. Par exemple, exigez des cartes


puce pour des comptes administrateur et l'accs distant afin de confirmer
l'identit de l'utilisateur.

52

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs


!

Utilisez des groupes de scurit bass sur la stratgie C-G-U-LD-A (A-GU-DL-P, en anglais). Cette stratgie procure une souplesse maximale tout
en rduisant la complexit de l'affectation des autorisations d'accs au
rseau. Implmentez galement un modle de scurit bas sur le rle pour
accorder les autorisations. Dans le domaine de la stratgie C-G-U-LD-A :
les comptes d'utilisateurs (C) sont ajouts aux groupes globaux (G) ;
les groupes globaux sont ajouts aux groupes universels (U) ;
les groupes universels sont ajouts aux groupes locaux de
domaine (LD) ;
les autorisations sur les ressources (A) sont affectes aux groupes locaux
de domaine.

Dsactivez le compte Administrateur et affectez aux utilisateurs et


administrateurs le moindre privilge ncessaire pour effecteur leurs tches
professionnelles.
Vous ne pouvez jamais supprimer ou retirer le compte Administrateur du
groupe intgr Administrateurs. Cependant, il est conseill de le dsactiver.
Mme lorsqu'un compte Administrateur est dsactiv, un intrus ou un
utilisateur non autoris peut utiliser un mode scuris pour accder un
contrleur de domaine. Le seul moyen de prvenir ce problme consiste
vrifier que les serveurs sont physiquement scuriss.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

53

Instructions de planification d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La planification d'une stratgie de groupe implique la planification de


l'utilisation des groupes globaux, groupes locaux de domaine et groupes
universels pour simplifier les tches d'administration.

Instructions

Utilisez les instructions suivantes pour planifier une stratgie de groupe :


!

Affectez les utilisateurs aux responsabilits professionnelles communes aux


groupes globaux. Identifiez les groupes d'aprs les tches que les membres
effectuent. Crez des groupes globaux pour ces utilisateurs, et ajoutez-y des
utilisateurs qui ont des responsabilits communes.

Crez un groupe local de domaine pour partager les ressources. Identifiez


les ressources partages, telles que les imprimantes, fichiers et dossiers.
Crez ensuite un groupe local de domaine pour chaque ressource, et ajoutez
des utilisateurs qui ont besoin d'accder ces ressources.

Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un
accs aux ressources. Lorsque vous souhaitez partager une ressource sur un
domaine entre plusieurs groupes globaux, ajoutez ces groupes globaux au
groupe local de domaine qui accorde l'accs la ressource partage.

Utilisez des groupes universels pour accorder l'accs aux ressources situes
dans plusieurs domaines. Si des comptes d'utilisateurs exigent d'accder
aux partages de fichier situs dans un domaine diffrent des comptes
d'utilisateurs, crez un groupe universel pour ces utilisateurs et accordez
l'accs au groupe universel pour ces partages de fichiers.

Utilisez des groupes universels lorsque l'appartenance est statique. Les


groupes universels fonctionnent mieux lorsque vous ajoutez des utilisateurs
qui ne sont pas susceptibles d'tre supprims frquemment du groupe
universel. Active Directory rplique chaque modification d'appartenance
dans un groupe universel, ce qui augmente le trafic rseau.

54

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Remarque Si le niveau fonctionnel de la fort est dfini sur Windows 2000


natif et qu'une modification est apporte l'appartenance d'un groupe universel,
Active Directory rplique la totalit de la liste d'appartenance sur tous les autres
serveurs de catalogue global. Si le niveau fonctionnel de la fort est dfini sur
Windows Server 2003, seules les modifications sont rpliques sur les autres
serveurs de catalogue global. En d'autres termes, des modifications plus
frquentes de l'appartenance un groupe universel ont moins d'effet sur le
rseau que dans un niveau fonctionnel de fort Windows 2000.
Planification des
comptes de groupes

Utilisez le tableau suivant pour planifier des comptes de groupes : Il contient


des exemples d'informations pour un groupe universel nomm U RedAccts, qui
est cr dans le domaine Redmond. Ses membres incluent des groupes globaux
des domaines London, Vancouver et Denver.
Groupe

Description

Emplacement

Type

Membres

U RedAccts

Comptables

Domaine
Redmond

Groupe
universel

G LonAccts
G VanAccts
G DenAccts

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

55

Application pratique : Planification d'une stratgie de compte

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Scnario

Dans cette application pratique, vous allez effectuer les tches suivantes :
!

dterminer la stratgie d'attribution de nom de compte ;

dterminer la stratgie de mot de passe ;

dterminer la stratgie d'authentification, d'autorisation et d'administration ;

dterminer la stratgie de groupe pour votre fort.

Votre socit se trouve dans un environnement d'entreprise hautement


concurrentiel. Le maintien de la scurit des informations et des secrets
commerciaux est vital. Votre organisation compte 1000 utilisateurs dans une
fort Active Directory. La fort se compose d'un domaine racine vide nomm
nwtraders.msft, d'un domaine enfant nomm corp.nwtraders.msft qui contient
tous vos groupes de comptes et d'utilisateurs. Tous les contrleurs de domaines
de votre fort excutent Windows Server 2003. Le domaine racine contient
uniquement des comptes administrateur que vous utilisez pour effectuer des
tches d'administration l'chelle de la fort.

56

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique

! Planifier une stratgie de compte


1. Quelle stratgie d'attribution de nom de compte allez-vous utiliser dans le
domaine corp ?
Les rponses varient. Une stratgie d'attribution de nom possible
consiste utiliser le prnom et l'initiale du nom de famille de
l'utilisateur. En cas de conflits de noms, rsolvez-les en utilisant au
moins deux caractres du nom de famille de l'utilisateur pour crer un
nom d'utilisateur unique.
____________________________________________________________
____________________________________________________________
2. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le
domaine corp ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :
Conserver l'historique des
mots de passe

24 mots de passe
mmoriss

Dure de vie maximale du mot de pass

42 jours

Dure de vie minimale du mot de passe

2 jours

Longueur minimale du mot de passe

8 caractres

Le mot de passe doit respecter des


exigences de complexit

Activ

Enregistrer les mots de passe en utilisant un


cryptage rversible

Dsactiv

____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

57

3. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le


domaine racine ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :

Conserver l'historique des


mots de passe

24 mots de passe
mmoriss

Dure de vie maximale du mot de passe

30 jours

Dure de vie minimale du mot de passe

7 jours

Longueur minimale du mot de passe

14 caractres

Le mot de passe doit respecter des exigences


de complexit

Activ

Enregistrer les mots de passe en utilisant un


cryptage rversible

Dsactiv

____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
4. Que comprendra votre stratgie d'authentification, d'autorisation et
d'administration ?
Votre stratgie devra se conformer aux indications suivantes :
Dfinissez une stratgie de verrouillage de compte qui verrouille les
comptes d'utilisateurs pendant 30 minutes aprs sept tentatives
d'ouverture de session infructueuses.
Exigez que les administrateurs ouvrent une session l'aide d'un
compte d'utilisateur normal et qu'ils effectuent toutes les tches
d'administration l'aide de la commande runas.
Exigez une authentification par carte puce pour tout accs distant
votre rseau.
Renommez et dsactivez le compte Administrateur dans chaque
domaine.
Implmentez un modle de scurit bas sur le rle lors de la
planification des groupes.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________

58

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

5. Que comprendra votre stratgie de groupe ?


Votre stratgie devra se conformer aux indications suivantes :
Affectez les utilisateurs aux responsabilits professionnelles
communes aux groupes globaux.
Crez un groupe local de domaine pour les ressources partages.
Ajoutez aux groupes locaux de domaine des groupes globaux qui
exigent un accs aux ressources.
N'utilisez pas des groupes universels ( l'exception des groupes
Administrateurs de l'entreprise et Administrateurs du schma dans
le domaine racine) car tous les comptes d'utilisateurs, comptes de
groupes et ressources non administratifs seront situs dans le
domaine corp.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

59

Leon : Planification d'une stratgie d'audit Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

la fin de cette leon, vous comprendrez pourquoi il est important d'auditer


l'accs des utilisateurs Active Directory et de savoir planifier une stratgie
d'audit Active Directory.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer la ncessit d'auditer un accs Active Directory ;

expliquer les instructions d'analyse des modifications apportes


Active Directory.

60

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Pourquoi auditer l'accs Active Directory ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous devez utiliser la fonctionnalit d'audit pour assurer un suivi des


activits lies la scurit sur un systme. tant donn qu'Active Directory
stocke des informations sur tous les objets qui existent dans un rseau
Windows Server 2003, vous devez assurer un suivi des modifications apportes
ces objets et leurs attributs. Par exemple, vous devrez peut-tre auditer des
modifications apportes l'appartenance un groupe ou des composants de
l'infrastructure Active Directory, tels qu'aux objets du site ou au schma
Active Directory.

Rle de l'audit
d'Active Directory

Lors de l'audit d'Active Directory, vous enregistrez les modifications apportes


Active Directory et les tentatives de modification infructueuses d'Active
Directory afin d'effectuer les oprations suivantes :
!

enregistrer toutes les modifications apportes Active Directory.


L'enregistrement des modifications russies assure que le personnel autoris
ne procde pas des modifications non autorises sur des objets Active
Directory. Il est galement utile pour rparer des modifications incorrectes
d'Active Directory. Par exemple, si des autorisations ont t appliques au
mauvais groupe, ce qui a permis un groupe de personnes erron d'accder
aux ressources, vous pouvez utiliser le journal d'audit pour identifier quel
moment la modification a t faite et par qui ;

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

61

assurer un suivi de l'accs une ressources ou par un compte spcifique.


Le suivi de l'accs vous aide comprendre des vnements qui se produisent
sur votre rseau. Par exemple, si une application utilise un compte de service
pour accder aux ressources et que l'application ne fonctionne pas
correctement, le journal d'audit peut vous aider identifier le problme ;

dtecter et enregistrer les tentatives d'accs infructueuses. L'enregistrement


des tentatives infructueuses d'accs aux ressources ou de modifications
d'Active Directory vous aide identifier les risques de scurit externes
et externes.

Pour auditer des modifications apportes, avec succs ou non, des objets ou
attributs Active Directory, vous devez activer l'audit des services d'annuaire sur
tous les contrleurs de domaine et configurer une liste SACL (System Access
Control List) pour chaque objet ou attribut que vous souhaitez auditer.

62

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instructions d'analyse des modifications apportes


Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Des audits russis gnrent une entre d'audit lorsqu'un vnement de gestion
des comptes s'excute avec succs. Mme si les vnements de gestion des
comptes russis sont gnralement inoffensifs, ils fournissent un enregistrement
inestimable d'activits pouvant compromettre la scurit d'un rseau.

Instructions

Utilisez les instructions suivantes lors de la cration d'une stratgie d'audit :


!

Activez l'audit des vnements de gestion des comptes. Auditez les


modifications russies suivantes :
la cration, la modification ou la suppression des comptes de groupes
ou d'utilisateurs ;
l'activation, la dsactivation ou le changement de nom des comptes
d'utilisateurs ;
la modification des mots de passe ou de la stratgie de scurit de
l'ordinateur.

Activez l'audit des succs des modifications de stratgie. Si l'audit de ces


modifications et des modifications de stratgie de gestion des comptes n'est
pas activ, un intrus peut potentiellement corrompre la scurit d'un rseau
sans journal d'audit.
Par exemple, si un administrateur a fait du compte d'utilisateur Sandy un
membre du groupe Oprateurs de sauvegarde, l'audit enregistrera un
vnement de gestion des comptes. Cependant, si le mme administrateur
a accord au compte Sandy le droit d'utilisateur avanc Sauvegarde des
fichiers et dossier, l'audit n'enregistrera pas d'vnement de gestion
des comptes.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs


!

63

Activez l'audit des checs des vnements systme. Ce paramtre de scurit


gnre un vnement lorsqu'un utilisateur tente en vain de redmarrer ou de
fermer un ordinateur ou encore de modifier la scurit du systme ou le
journal de scurit. Activez ce paramtre de stratgie d'audit pour tout
le domaine.
Des vnements d'chec dans la catgorie d'vnements systme peuvent
dtecter une activit inhabituelle, comme celle d'un intrus qui tente
d'accder votre rseau ou votre ordinateur. Le nombre d'audits gnr
lorsque ce paramtre est activ tend tre relativement faible, tandis que la
qualit des informations obtenues de ces vnements tend tre
relativement leve.

Activez l'audit des checs des vnements de modification de stratgie et des


vnements de gestion des comptes uniquement lorsque cela est ncessaire.
Le nombre d'audit gnr lorsque ces paramtres sont activs peut tre trs
lev. Veillez alors ne les activer que lorsque cela est ncessaire.

Attention L'activation des audits des checs pour ces vnements peut
reprsenter un risque pour votre organisation. Si des utilisateurs tentent
d'accder une ressource pour laquelle ils n'ont pas d'autorisation, ils peuvent
crer tant d'audits des checs que le journal de scurit devient rapidement
plein. L'ordinateur ne peut alors plus collecter d'audits. Si le paramtre de
stratgie Audit : arrter immdiatement le systme s'il n'est pas possible
de se connecter aux audits de scurit est activ, les serveurs se fermeront
lorsque le journal sera plein. Si tel est le cas, des intrus peuvent lancer une
attaque de refus de service en utilisant votre stratgie d'audit.
Remarque Pour plus d'informations sur l'activation d'un audit, consultez le
Module 10, Implmentation de modles d'administration et d'une stratgie
d'audit , du cours 2144, Administration d'un environnement Microsoft
Windows Server 2003.

64

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique : Planification d'une stratgie d'audit

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez dterminer les stratgies d'audit
activer pour Active Directory.

Scnario

Vous devez planifier une stratgie d'audit pour Northwind Traders, qui compte
1000 utilisateurs dans une fort Active Directory. Votre fort se compose d'un
domaine racine vide nomm nwtraders.msft et d'un domaine enfant nomm
corp.nwtraders.msft qui contient tous vos groupes de comptes et d'utilisateurs.

Application pratique

! Planifier une stratgie d'audit


Pour quels vnements allez-vous activer l'audit ?
____________________________________________________________
____________________________________________________________
Les rponses varient. La stratgie recommande consiste activer
l'audit des succs pour le systme, la modification de stratgie et la
gestion des comptes. Elle consiste aussi activer l'audit des checs pour
les vnements systme. Il n'est pas recommand d'activer l'audit des
checs pour d'autres vnements moins que vous auditiez
spcifiquement en vue de dtecter des intrusions.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

65

Atelier A : Implmentation d'une stratgie de compte


et d'audit

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Connaissances
pralables

Scnario

Dure approximative
de cet atelier :
60 minutes

la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!

planifier une stratgie pour des comptes d'utilisateurs, de groupes et


d'ordinateurs ;

planifier une stratgie d'audit Active Directory ;

crer plusieurs comptes d'utilisateurs et d'ordinateurs ;

implmenter des suffixes UPN ;

dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort.

Avant de travailler sur cet atelier, vous devez :


!

connatre les instructions de planification d'une stratgie de compte ;

connatre les instructions de planification d'une stratgie d'audit.

La socit Northwind Traders implmente Windows Server 2003 sur son


rseau. Elle prvoie d'utiliser une fort avec deux domaines, savoir un
domaine racine vide et un domaine d'entreprise. Le domaine d'entreprise
contiendra les comptes d'utilisateurs, de groupes et d'ordinateurs.

66

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 1
Planification d'une stratgie de compte et d'audit
Dans cet exercice, vous allez planifier une stratgie d'attribution de nom de compte pour la nouvelle
fort de Northwind Traders. Utilisez les instructions fournies par l'quipe d'ingnierie et de
conception.

Scnario
La nouvelle fort se composera d'un domaine racine vide nomm nwtraders.msft et d'un domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La socit possde
des bureaux dans sept villes.
Votre stratgie de compte et d'audit devra tenir compte des conditions suivantes :
!

La stratgie d'attribution de nom des comptes d'utilisateurs doit permettre aux employs qui ne
connaissent que le prnom et le nom de famille d'un autre utilisateur de dterminer facilement
l'adresse lectronique de celui-ci.

La stratgie d'attribution de nom des comptes d'ordinateurs doit permettre aux employs
d'identifier facilement l'emplacement et le rle d'un ordinateur.

Tous les employs doivent possder une adresse lectronique de type


Nom_Utilisateur@nwtraders.msft.

La stratgie d'audit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises d'Active Directory.

Tches
1.

Planifier une stratgie d'attribution de nom de compte d'utilisateur pour la fort nwtraders.msft.
De quoi se composeront les noms de compte d'utilisateur ?

Quelle stratgie allez-vous utiliser pour rsoudre des conflits de noms de comptes d'utilisateurs ?

Qu'allez-vous utiliser comme suffixe UPN pour les comptes d'utilisateurs ?

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Tches
2.

Planifier une stratgie d'attribution de nom de compte d'ordinateur pour la fort nwtraders.msft.
Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ?

Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ?

3.

Planifier une stratgie de mot de passe pour la fort nwtraders.msft.


Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine nwtraders.msft ?

Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine corp.nwtraders.msft ?

4.

Planifier une stratgie d'audit pour la fort nwtraders.msft.


Quels paramtres d'audit des succs allez-vous inclure votre plan ?

Quels paramtres d'audit des checs allez-vous inclure votre plan ?

67

68

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 2
Cration de comptes l'aide de l'outil Csvde
Dans cet exercice, vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir d'un fichier d'importation .csv cr pour vous l'aide de
Microsoft Excel.

Scnario
En tant qu'administrateur chez Northwind Traders, vous recevez quotidiennement des requtes pour
de nouveaux comptes d'utilisateurs. Un membre de l'quipe entre les requtes dans une feuille de
calcul, qui est enregistre dans un format valeurs spares par des virgules, galement appel
format .csv (Comma Separated Value). Au dbut de chaque journe de travail, vous tes charg
d'importer ce fichier dans Active Directory pour crer les comptes d'utilisateurs.
Tches
1.

Utiliser l'outil de ligne de


commande Csvde pour
importer le fichier .csv dans
Active Directory.

2.

Utiliser la console
Utilisateurs et ordinateurs
Active Directory pour
dterminer les units
d'organisation, utilisateurs et
groupes nouvellement crs.

Instructions spcifiques

"

Le nom du fichier .csv est le mme que celui du domaine hberg par
votre ordinateur. Ce fichier se trouve dans le dossier <dossier
d'installation>MOC\2194\Labfiles\Lab4 sur votre ordinateur.

Quelles sont les units d'organisation nouvellement cres ?

Parmi les nouvelles units d'organisation, lesquelles contiennent des comptes d'utilisateurs et de groupes ?

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

69

Exercice 3
Cration d'un suffixe UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.

Scnario
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
l'aide d'un suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous allez
crer ce suffixe UPN dans votre fort pour votre ville.

Tches
1.

Crer un nouveau suffixe


UPN dans votre fort
nomm Votre_Ville.

Instructions spcifiques
a.

Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utilisez Excuter en tant que pour dmarrer la console Domaines et

approbations Active en tant que Votre_Domaine\Administrateur avec


le mot de passe P@ssw0rd.
2.

Activer le routage du
nouveau suffixe UPN vers
la fort nwtraders.msft.
Quel est l'tat du suffixe UPN Votre_Ville aprs l'avoir activ ?

Que pouvez-vous faire pour rsoudre ce conflit de routage du suffixe UPN ?

70

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 4
Dplacement d'un groupe d'utilisateurs
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier partag sur
votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit d'organisation
situe dans l'autre domaine de votre fort. Enfin, vous allez vrifier que le groupe dplac possde
encore les autorisations sur le dossier partag sur votre serveur.

Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe d'utilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
d'utilisateurs doivent tre dplacs vers un autre emplacement de la fort. Il faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.

Tches
1.

2.

Crer et partager un dossier


sur votre serveur nomm
ITAdmin, puis accorder au
groupe global G IT Admins
des autorisations NTFS
Contrle total sur le dossier
et des autorisations Contrle
total sur le partage.

Instructions spcifiques
a.

Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utilisez la commande Excuter en tant que pour dmarrer la console

Gestion de l'ordinateur en tant que Votre_Domaine\Administrateur


avec le mot de passe P@ssw0rd.

Utiliser Ldp.exe pour


examiner l'identificateur
SID, l'historique SID et
l'identificateur GUID de
l'objet groupe global G IT
Admins situ dans l'unit
d'organisation Admin\IT
Groups du domaine hberg
par votre ordinateur
stagiaire.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?

3.

Installer l'outil de migration


Active Directory sur votre
ordinateur.

a.

Utilisez la commande Excuter en tant que pour dmarrer une invite


de commandes en tant que Votre_Domaine\Administrateur avec le
mot de passe P@ssw0rd.

b. l'invite de commandes, dmarrez l'installation en tapant

\\London\OS\ADMT\ADM_0001.MSI puis appuyez sur ENTRE


pour dmarrer l'installation.

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

71

Tches
4.

5.

Utiliser l'outil de migration


Active Directory pour
dplacer le groupe global G
IT Admins et ses membres
dans l'unit d'organisation
IT Test\IT Test Move situe
dans l'autre domaine de
votre fort.
Utiliser Ldp.exe pour
examiner l'identificateur
SID, l'historique SID et
l'identificateur GUID de
l'objet groupe global G IT
Admins de l'unit
d'organisation IT Test\IT
Test Move situe dans le
domaine de dplacement.

"

Utilisez la commande Excuter en tant que pour ouvrir l'outil de


migration Active Directory en tant que nwtradersx\Administrator
avec le mot de passe P@ssw0rd.
Remarque : la bote de dialogue Avance de la Migration peut
indiquer la prsence d'erreurs. Ces erreurs ont t gnres lorsque
vous avez renomm les utilisateurs et le groupe avec l'extension
dplace. Ignorez ces messages d'erreur.
Remarque : le groupe G IT Admins peut avoir t renomm
G IT Adminsdplacs dans le cadre du processus de dplacement.

"

Aprs avoir rpondu la question ci-dessous, dans le menu Connexion,


cliquez sur Quitter.

Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?

L'une des entres objectGUID, ObjectSID ou sIDHistory a-t-elle t modifie suite au dplacement ?

6.

Utiliser l'Explorateur
Windows pour afficher les
autorisations affectes au
dossier ITAdmin que vous
avez cr et partag
l'tape 1.
Est-ce que le groupe auquel vous avez accord les autorisations pour ce dossier l'tape 1 possde toujours
des autorisations Contrle total sur le dossier ? Expliquez pourquoi.

THIS PAGE INTENTIONALLY LEFT BLANK

Module 5 :
Implmentation d'une
stratgie de groupe
Table des matires
Vue d'ensemble

Leon : Cration et configuration d'objets


Stratgie de groupe

Leon : Configuration des frquences


d'actualisation et des paramtres de
stratgie de groupe

19

Leon : Gestion des objets Stratgie de


groupe

32

Leon : Vrification et rsolution des


problmes lis la stratgie de groupe

47

Leon : Dlgation du contrle


administratif de la stratgie de groupe

56

Leon : Planification d'une stratgie


de groupe pour l'entreprise

66

Atelier A : Implmentation d'une


stratgie de groupe

74

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 5 : Implmentation d'une stratgie de groupe

iii

Notes de l'instructeur
Prsentation :
180 minutes
Atelier :
75 minutes

Documents de cours

Ce module fournit aux stagiaires les connaissances et les comptences


ncessaires pour planifier et implmenter une stratgie de groupe afin de grer
de faon centralise les utilisateurs et les ordinateurs d'une entreprise.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
!

crer et configurer des objets Stratgie de groupe (GPO, Group Policy


Object) ;

configurer les frquences d'actualisation de la stratgie de groupe et les


paramtres de stratgie de groupe ;

grer les objets Stratgie de groupe ;

vrifier et rsoudre les problmes lis la stratgie de groupe ;

dlguer le contrle administratif de la stratgie de groupe ;

planifier une stratgie de groupe pour l'entreprise.

Pour animer ce module, vous devez disposer des lments suivants :


!

Fichier Microsoft PowerPoint 2194A_05.ppt

Fichier Macromedia Flash 2144A_2274_6_A_IntroGP.swf

Fichier Macromedia Flash 2144A_2274_6_I_GP.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.
Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;

lire le module 8, Implmentation d'une stratgie de groupe , du


cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003 ;

lire le module 9, Administration de l'environnement utilisateur au moyen


de la stratgie de groupe , du cours 2144A, Administration d'un
environnement Microsoft Windows Server 2003 ;

lire l'article, Enterprise Management with the Group Policy Management


Console (en anglais) l'adresse :
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.

iv

Module 5 : Implmentation d'une stratgie de groupe

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications
pratiques et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche.
Les stagiaires n'effectuent pas les tches en mme temps que vous. Ils se
servent des tapes dcrites pour effectuer l'application pratique la fin de
chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).

Module 5 : Implmentation d'une stratgie de groupe

Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Cration et configuration d'objets Stratgie de groupe


Dans cette leon, les stagiaires passent en revue les concepts de base de
l'implmentation d'une stratgie de groupe, notamment comment spcifier un
contrleur de domaine pour la gestion des objets Stratgie de groupe (GPO,
Group Policy Object), comment filtrer les paramtres de stratgie de groupe
l'aide des filtres WMI (Windows Management Instrumentation), ou encore
comment configurer le mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur.
La leon dbute par une prsentation multimdia expliquant les concepts de
base de la stratgie de groupe. Comme ces concepts sont dcrits en dtail
dans le cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003, l'animation rsume simplement les tches. Si certains stagiaires ne
connaissent pas les concepts de base de la stratgie de groupe, orientez-les vers
le module 8, Implmentation d'une stratgie de groupe , du cours 2144A.
Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
conteneurs de Stratgies de groupe.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour crer et configurer des
objets Stratgie de groupe.

Leon : Configuration des frquences d'actualisation et des


paramtres de stratgie de groupe
Dans cette leon, les stagiaires vont apprendre comment contrler le traitement
de la stratgie de groupe et comment la stratgie de groupe dtermine une
liaison lente. Indiquez l'ordre dans lequel Microsoft Windows Server 2003
traite les paramtres de stratgie de groupe pour les ordinateurs et les
utilisateurs, puis montrez les procdures de configuration du traitement de la
stratgie de groupe.
Pour plus d'informations sur le traitement des stratgies de groupe, orientez
les stagiaires vers les annexes, dans lesquelles figurent un exemple de script
d'ouverture de session et l'algorithme utilis par la stratgie de groupe pour
dtecter les liaisons lentes.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour configurer le traitement
de la stratgie de groupe.

vi

Module 5 : Implmentation d'une stratgie de groupe

Leon : Gestion des objets Stratgie de groupe


Dans cette leon, les stagiaires apprennent grer des objets Stratgie de
groupe l'aide de la nouvelle fonctionnalit de gestion de stratgie de groupe
de Windows Server 2003. Rappelez aux stagiaires que lorsqu'ils installent la
console Gestion de stratgie de groupe (GPMC, Group Policy Management
Console), celle-ci remplace l'onglet Stratgie de groupe du composant
Utilisateurs et ordinateurs Active Directory.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour grer des objets Stratgie
de groupe.

Leon : Vrification et rsolution des problmes lis la stratgie


de groupe
Cette leon dcrit les diffrents utilitaires et outils de ligne de commande
utiliss pour identifier les problmes courants lis l'implmentation d'une
stratgie de groupe, ainsi que les stratgies de rsolution de ces problmes.
Orientez les stagiaires vers la page d'annexe pour plus d'informations sur
l'utilisation de l'outil de ligne de commande Gpresult.exe pour la vrification
des paramtres de stratgie de groupe, et sur l'activation de l'enregistrement
des diagnostics et de l'enregistrement des commentaires pour le contrle de la
stratgie de groupe.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour vrifier et rsoudre les
problmes lis la stratgie de groupe.

Leon : Dlgation du contrle administratif de la stratgie de


groupe
Dans cette leon, les stagiaires apprennent dlguer le contrle administratif
d'un objet Stratgie de groupe des utilisateurs qui ont besoin de ce contrle
mais ne disposent pas de privilges administratifs pour le conteneur auquel
l'objet est li.
Expliquez comment la console Gestion de stratgie de groupe a simplifi
la dlgation de stratgie de groupe. Indiquez aux stagiaires les annexes
consulter pour plus d'informations sur la dlgation du contrle administratif.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour dlguer le contrle
administratif de la stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

vii

Leon : Planification d'une stratgie de groupe pour l'entreprise


Cette leon fournit les instructions ncessaires pour planifier une stratgie de
groupe. Discutez des instructions permettant de dterminer l'hritage des objets
Stratgie de groupe, la stratgie de groupe pour des sites, domaines et units
d'organisation (OU, Organizational Unit), l'administration et le dploiement des
objets Stratgie de groupe.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour planifier une stratgie de
groupe pour l'entreprise.

Atelier A : Implmentation d'une stratgie de groupe


Dans cet atelier, les stagiaires crent et configurent des objets Stratgie
de groupe, lient des objets Stratgie de groupe et vrifient les paramtres
de stratgie de groupe. Les stagiaires travaillent de manire autonome.
Assurez-vous que la console Gestion de stratgie de groupe est installe
avant qu'ils ne dbutent l'atelier.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1

L'atelier de ce module requiert l'installation de la console Gestion de stratgie


de groupe. Avant de prparer les ordinateurs des stagiaires, assurez-vous qu'ils
ont termin l'application pratique intitule Cration et configuration d'objets
Stratgie de groupe.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Elle cre des units d'organisation Accounting (comptabilit), Accounts


Receivable (Crances) et Accounts Payable (Dettes) ;

Elle cre des objets Stratgie de groupe Accounting, Accounts Receivable et


Accounts Payable.

Module 5 : Implmentation d'une stratgie de groupe

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

L'utilisation de la stratgie de groupe dans le service d'annuaire Active


Directory permet de grer de faon centralise les utilisateurs et les
ordinateurs d'une entreprise. Vous pouvez centraliser les stratgies en
dfinissant une stratgie de groupe pour toute une organisation au niveau du
domaine du site ou au niveau d'une unit d'organisation (OU, Organizational
Unit). Ou bien, vous pouvez dcentraliser les paramtres de stratgie de groupe
en dfinissant une stratgie de groupe pour chaque service au niveau d'une unit
d'organisation.
Vous pouvez vous assurer que chaque utilisateur dispose de l'environnement
utilisateur dont il a besoin pour travailler, tout en appliquant les stratgies de
l'organisation, notamment les rgles, les objectifs et les besoins en matire
de scurit. Par ailleurs, vous pouvez abaisser le cot total de possession en
contrlant les environnements utilisateur et ordinateur, et en rduisant de ce
fait le niveau de support technique ncessaire aux utilisateurs et la perte de
productivit lie aux erreurs des utilisateurs.

Objectifs

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

crer et configurer des objets Stratgie de groupe (GPO, Group Policy


Object) ;

configurer les frquences d'actualisation de la stratgie de groupe et les


paramtres de stratgie de groupe ;

grer les objets Stratgie de groupe ;

vrifier et rsoudre les problmes lis la stratgie de groupe ;

dlguer le contrle administratif de la stratgie de groupe ;

planifier une stratgie de groupe pour l'entreprise.

Module 5 : Implmentation d'une stratgie de groupe

Leon : Cration et configuration d'objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La stratgie de groupe vous donne le contrle administratif sur les utilisateurs


et les ordinateurs de votre rseau. L'utilisation d'une stratgie de groupe vous
permet de dfinir une seule fois l'tat de l'environnement de travail d'un
utilisateur, puis de laisser Microsoft Windows Server 2003 appliquer les
paramtres de stratgie de groupe que vous avez dfinis. Vous pouvez appliquer
des paramtres de stratgie de groupe une organisation entire ou des
groupes spcifiques d'utilisateurs et d'ordinateurs.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer la finalit de la stratgie de groupe et son traitement dans Active


Directory ;

dcrire les composants d'un objet Stratgie de groupe ;

expliquer la finalit de la spcification d'un contrleur de domaine pour


la gestion des objets Stratgie de groupe ;

spcifier un contrleur de domaine pour la gestion des objets Stratgie


de groupe ;

expliquer le rle des filtres WMI (Windows Management Instrumentation) ;

filtrer les paramtres de stratgie de groupe l'aide de filtres WMI ;

expliquer la finalit du traitement par boucle de rappel ;

configurer le mode de traitement par boucle de rappel de la stratgie de


groupe utilisateur.

Module 5 : Implmentation d'une stratgie de groupe

Prsentation multimdia : Introduction aux stratgies de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Emplacement de fichier

Pour commencer la prsentation Introduction aux stratgies de groupe, ouvrez


la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.

Objectifs

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :

Types de paramtres

dcrire les types de paramtres que vous pouvez dfinir dans une stratgie
de groupe ;

dcrire la faon dont Windows Server 2003 applique des objets Stratgie de
groupe.

Vous pouvez configurer des paramtres de stratgie de groupe pour dfinir les
stratgies affectant les utilisateurs et les ordinateurs. Le tableau suivant prsente
les types de paramtres que vous pouvez configurer.
Type de paramtre

Description

Modles d'administration

Paramtres bass sur le Registre permettant de configurer


les paramtres d'application et les environnements de
station de travail utilisateur.

Scripts

Paramtres permettant de spcifier quel moment


Windows Server 2003 excute des scripts spcifiques.

Services d'installation
distance

Paramtres qui contrlent les options dont disposent les


utilisateurs lorsqu'ils excutent l'Assistant Installation de
clients utilis par les services d'installation distance
(RIS, Remote Installation Services).

Maintenance Internet
Explorer

Paramtres permettant d'administrer et de personnaliser


Microsoft Internet Explorer sur des ordinateurs excutant
Windows Server 2003.

Module 5 : Implmentation d'une stratgie de groupe


(suite)
Type de paramtre

Description

Redirection de dossiers

Paramtres permettant de stocker des dossiers de profils


d'utilisateurs spcifiques sur un serveur rseau.

Scurit

Paramtres permettant de configurer la scurit des


ordinateurs locaux, du domaine et du rseau.

Installation de logiciels

Paramtres permettant de centraliser la gestion des


installations, des mises jour et des suppressions de
logiciels.

Flux d'hritage

Les objets Stratgie de groupe sont lis des sites, domaines et units
d'organisation. Vous pouvez dfinir des stratgies centralises qui vont affecter
l'organisation entire et des stratgies dcentralises qui affecteront un service
particulier. Il n'existe pas de hirarchie de domaines comme pour les units
d'organisation, avec les units parent-enfant.

Ordre de traitement
des objets Stratgie
de groupe

L'ordre dans lequel Windows Server 2003 applique des objets Stratgie de
groupe est fonction du conteneur Active Directory auquel les objets Stratgie de
groupe sont lis. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux units d'organisation des domaines.

Paramtres des objets


Stratgie de groupe
valeurs multiples

Certains paramtres des objets Stratgie de groupe sont valeurs multiples.


Ces paramtres sont traits comme des paramtres valeur simple. En d'autres
termes, si le paramtre est dfini dans plusieurs objets Stratgie de groupe,
seuls les paramtres de l'un des objets Stratgie de groupe observant les rgles
d'hritage seront appliqus.

Blocage de l'hritage

Vous pouvez empcher un conteneur enfant d'hriter de tous les objets Stratgie
de groupe de ses conteneurs parents en activant le blocage de l'hritage pour
le conteneur enfant. Le blocage de l'hritage peut s'avrer utile lorsqu'un
conteneur Active Directory requiert des paramtres de stratgie de groupe
uniques.

Option Appliqu

L'option Appliqu (appele Ne pas passer outre si la console Gestion de


stratgie de groupe n'est pas installe) est un attribut de la liaison, et non de
l'objet Stratgie de groupe. Si le mme objet Stratgie de groupe est li ailleurs,
l'option Appliqu ne s'applique pas cette liaison, sauf si vous modifiez
galement la liaison. Si un objet Stratgie de groupe est li plusieurs
conteneurs, vous pouvez configurer l'option Appliqu individuellement pour
chaque conteneur. Lorsque plusieurs liaisons sont dfinies sur Appliqu, les
objets Stratgie de groupe lis sont appliqus un conteneur commun. S'ils
comportent des paramtres en conflit, l'objet Stratgie de groupe le plus haut
dans la hirarchie Active Directory est prioritaire.

Filtrer des objets


Stratgie de groupe

Vous pouvez avoir besoin de lier des objets Stratgie de groupe associs
d'autres objets d'annuaire. En dfinissant les autorisations appropries pour les
groupes de scurit, vous pouvez filtrer la stratgie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spcifis.

Module 5 : Implmentation d'une stratgie de groupe

Console Gestion de
stratgie de groupe

La console Gestion de stratgie de groupe est compose d'un ensemble


d'interfaces programmables destines la gestion des stratgies de groupe et
d'un composant logiciel enfichable MMC (Microsoft Management Console)
bas sur ces interfaces programmables. Ensemble, les composants de la console
Gestion de stratgie de groupe unifient la gestion des stratgies de groupe dans
l'entreprise.
Remarque Pour plus d'informations sur la cration et la liaison d'objets
Stratgie de groupe et l'hritage des stratgies de groupe, reportez-vous au
module 8 Implmentation d'une stratgie de groupe du cours 2144A,
Administration d'un environnement Microsoft Windows Server 2003.

Module 5 : Implmentation d'une stratgie de groupe

Composants d'un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Windows Server 2003 applique les paramtres de stratgie de groupe contenus


dans l'objet Stratgie de groupe aux objets utilisateur et ordinateur du site, du
domaine ou de l'unit d'organisation associ l'objet Stratgie de groupe. Le
contenu d'un objet Stratgie de groupe est stock deux emplacements : dans
le conteneur Stratgie de groupe (GPC, Group Policy Container) et dans le
modle Stratgie de groupe (GPT, Group Policy Template).

Conteneur Stratgie
de groupe

Le conteneur Stratgie de groupe est un objet Active Directory qui contient


l'tat de l'objet Stratgie de groupe, les informations de version, les
informations de filtre WMI et une liste des composants dont les paramtres se
trouvent dans l'objet Stratgie de groupe. Les ordinateurs peuvent accder au
conteneur Stratgie de groupe pour localiser des modles Stratgie de groupe,
et les contrleurs de domaine peuvent y accder pour obtenir des informations
de version. Si le contrleur de domaine ne possde pas la dernire version de
l'objet Stratgie de groupe, la rplication a lieu.

Modle Stratgie
de groupe

Le modle Stratgie de groupe est une arborescence de dossiers situe dans le


dossier SYSVOL d'un contrleur de domaine. Lorsque vous crez un objet
Stratgie de groupe, Windows Server 2003 cre le modle Stratgie de groupe
correspondant qui contient tous les paramtres et informations de stratgie de
groupe, y compris les modles d'administration, la scurit, l'installation de
logiciel, les scripts et les paramtres de redirection de dossiers. Les ordinateurs
se connectent au dossier SYSVOL pour obtenir les paramtres.

Module 5 : Implmentation d'une stratgie de groupe

Le nom du dossier du modle Stratgie de groupe est l'identificateur unique


global (GUID, Globally Unique IDentifier) de l'objet Stratgie de groupe que
vous avez cr. Il est identique au GUID utilis par Active Directory pour
identifier l'objet Stratgie de groupe dans le conteneur Stratgie de groupe.
Le chemin d'accs au modle Stratgie de groupe d'un contrleur de domaine
est racine_systme\SYSVOL\sysvol.
Remarque Pour plus d'informations sur le modle Stratgie de groupe,
reportez-vous la section Composants d'un objet Stratgie de groupe
du module 5, la page Annexes du CD-ROM des stagiaires.

Module 5 : Implmentation d'une stratgie de groupe

Pourquoi spcifier un contrleur de domaine pour la gestion des


objets Stratgie de groupe ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La console Gestion de stratgie de groupe utilise l'mulateur de contrleur


principal de domaine (PDC, Primary Domain Controller) de chaque domaine
comme contrleur de domaine par dfaut.

Pourquoi slectionner
un contrleur de
domaine particulier ?

Afin d'viter les conflits de rplication, envisagez de slectionner un contrleur


de domaine, d'autant plus que les donnes de l'objet Stratgie de groupe rsident
la fois dans Active Directory et dans le dossier SYSVOL. Active Directory
utilise deux mcanismes de rplication indpendants pour rpliquer les donnes
des objets Stratgie de groupe sur les diffrents contrleurs de domaine du
domaine. Si deux administrateurs modifient simultanment un mme objet
Stratgie de groupe sur des contrleurs de domaine diffrents, les modifications
de l'un des administrateurs risquent de remplacer celles de l'autre, en fonction
de la latence de rplication.

mulateur PDC

Par dfaut, la console Gestion de stratgie de groupe utilise l'mulateur PDC de


chaque domaine pour garantir que tous les administrateurs utilisent le mme
contrleur de domaine. Il peut cependant arriver que vous ne souhaitiez pas
utiliser l'mulateur PDC. Par exemple, si vous vous trouvez sur un site distant,
ou si la majorit des utilisateurs ou des ordinateurs cibls par l'objet Stratgie
de groupe se trouve dans un emplacement distant, vous pouvez cibler un
contrleur de domaine cet emplacement.
Important Si plusieurs administrateurs grent un objet Stratgie de groupe
commun, il est recommand qu'ils utilisent tous le mme contrleur de domaine
pour modifier un objet Stratgie de groupe particulier, et ce, afin d'viter les
collisions au niveau des services de rplication de fichiers (FRS, File
Replication Services).

Module 5 : Implmentation d'une stratgie de groupe

Options de slection
d'un contrleur de
domaine

Vous pouvez spcifier un contrleur de domaine pour la gestion des objets


Stratgie de groupe en slectionnant l'une des options suivantes :
!

Le contrleur de domaine avec le jeton de matre d'oprations pour


l'mulateur PDC. Il s'agit de l'option par dfaut, utiliser de prfrence.

Tout contrleur de domaine disponible. Lorsque vous utilisez cette


option, vous allez probablement slectionner un contrleur de domaine du
site local.

Tout contrleur de domaine excutant Windows Server 2003 ou version


ultrieur. Cette option n'est pas disponible dans les environnements
comportant la fois des serveurs Windows Server 2003 et Windows 2000.

Ce contrleur de domaine. Lorsque vous utilisez cette option, vous


slectionnez le contrleur de domaine actuel.

10

Module 5 : Implmentation d'une stratgie de groupe

Comment spcifier un contrleur de domaine pour la gestion des


objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Utilisez la console Gestion de stratgie de groupe pour spcifier un contrleur


de domaine pour des domaines ou des sites.

Procdure

Pour spcifier un contrleur de domaine, procdez comme suit :


1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort,
dveloppez Domaines, puis utilisez l'une des mthodes suivantes :
Pour spcifier un contrleur de domaine utiliser pour des oprations du
domaine, cliquez avec le bouton droit sur le domaine requis, puis cliquez
sur Modifier le contrleur de domaine.
Pour spcifier un contrleur de domaine utiliser pour des oprations
sur sites, cliquez avec le bouton droit sur Sites, puis cliquez sur
Modifier le contrleur de domaine.
2. Dans la bote de dialogue Modifier le contrleur de domaine, sous
Remplacer par, cliquez sur Ce contrleur de domaine, puis sur OK.

Module 5 : Implmentation d'une stratgie de groupe

11

Dfinition des filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Utilisez des filtres WMI pour dterminer de faon dynamique l'tendue des
objets Stratgie de groupe partir des attributs de l'utilisateur ou de l'ordinateur.
De cette faon, vous pouvez tendre les capacits de filtrage des objets Stratgie
de groupe au-del des mcanismes de filtrage des groupes de scurit qui
taient prcdemment disponibles.

Comment fonctionne
un filtre WMI ?

Un filtre WMI est li un objet Stratgie de groupe. Lorsque vous appliquez un


objet Stratgie de groupe l'ordinateur de destination, Active Directory value
le filtre sur l'ordinateur de destination. Un filtre WMI se compose d'une ou de
plusieurs requtes values par Active Directory en fonction de l'espace de
stockage WMI de l'ordinateur de destination. Si la valeur totale des requtes
est faux (false), Active Directory n'applique pas l'objet Stratgie de groupe.
Si toutes les requtes sont vraies (true), Active Directory applique l'objet
Stratgie de groupe. Vous crivez la requte l'aide du langage WQL (WMI
Query Language), qui est un langage similaire SQL pour interroger l'espace
de stockage WMI.
Chaque objet Stratgie de groupe ne peut comporter qu'un seul filtre WMI.
Vous pouvez en revanche lier un mme filtre WMI plusieurs objets Stratgie
de groupe. Tout comme les objets Stratgie de groupe, les filtres WMI sont
appliqus un seul objet du domaine la fois.

Utilisations des
filtres WMI

Vous pouvez utiliser des filtres WMI pour cibler des stratgies bases sur
diffrents objets du rseau. La liste ci-dessous fournit quelques exemples
d'utilisations de filtres WMI.
!

Services. Ordinateurs sur lesquels DHCP est install et en cours d'excution.

Inventaire matriel. Ordinateurs quips d'un processeur Pentium III et d'au


moins 128 mgaoctets (Mo) de mmoire vive.

Configuration logicielle. Ordinateurs sur lesquels la multidiffusion est active.

12

Module 5 : Implmentation d'une stratgie de groupe

Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratgie de groupe.
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la
section Dfinition des filtres WMI de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.

Module 5 : Implmentation d'une stratgie de groupe

13

Comment filtrer des paramtres de stratgie de groupe l'aide de


filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez crer de nouveaux filtres WMI partir du conteneur Filtres WMI
de la console Gestion de stratgie de groupe. Vous pouvez galement importer
un filtre qui a t prcdemment export.

Procdure

Pour crer un filtre WMI et le lier un objet Stratgie de groupe, procdez


comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez successivement
la fort contenant l'objet Stratgie de groupe auquel ajouter un filtre WMI,
Domaines, le domaine contenant l'objet Stratgie de groupe, Filtres WMI,
cliquez avec le bouton droit sur Filtres WMI, puis sur Nouveau.
2. Dans la bote de dialogue Nouveau filtre WMI, dans la zone Nom,
entrez un nom pour la requte.
3. Dans la zone Description, entrez une description pour la requte.
4. Cliquez sur Ajouter.
5. Dans la bote de dialogue Requte WMI, dans la zone Espace de noms,
entrez le chemin d'accs l'espace de nom de la requte ou cliquez sur
Parcourir pour afficher la liste des espaces de noms disponibles.
Pour chaque requte, vous devez spcifier l'espace de noms WMI o la
requte doit tre excute. L'espace de noms par dfaut, racine\CIMv2,
devrait convenir la plupart des scnarios.
6. Dans la zone Requte, entrez une instruction de requte WQL, puis cliquez
sur OK.
7. Dans la bote de dialogue Nouveau filtre WMI, cliquez sur Enregistrer.
8. Dveloppez Objets de stratgie de groupe, puis faites glisser le filtre WMI
vers un objet Stratgie de groupe.

14

Module 5 : Implmentation d'une stratgie de groupe

Exemple de
requte WQL

Par exemple, pour cibler les ordinateurs disposant de plus de 10 Mo d'espace


disponible sur le lecteur C, D ou E, les partitions doivent se trouver sur un ou
plusieurs disques durs et excuter le systme de fichiers NTFS. Tapez la requte
WMI suivante :
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"

Dans cet exemple, la valeur 3 de DriveType correspond un disque dur. Les


units FreeSpace sont exprimes en octets (10 Mo = 10 485 760 octets).
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la
section Comment filtrer des paramtres de stratgie de groupe l'aide de
filtres WMI de la page d'annexe du module 5 sur le CD-ROM du stagiaire.

Module 5 : Implmentation d'une stratgie de groupe

15

Dfinition du traitement par boucle de rappel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Par dfaut, les objets Stratgie de groupe d'un utilisateur dterminent les
paramtres appliquer lorsque l'utilisateur ouvre une session sur un ordinateur.
En revanche, le traitement par boucle de rappel applique l'ensemble des objets
Stratgie de groupe de l'ordinateur tout utilisateur qui ouvre une session sur
l'ordinateur affect par ce paramtre. Le traitement par boucle de rappel est
destin des ordinateurs usage spcial, tels que ceux des endroits publics,
des laboratoires et des classes, o il faut modifier le paramtre utilisateur en
fonction de l'ordinateur utilis.

Exemple

Par exemple, l'utilisateur dont l'objet utilisateur se trouve dans l'unit


d'organisation Sales (ventes) ouvre une session sur un ordinateur. L'objet
ordinateur se trouve dans l'unit d'organisation Servers (serveurs). Les paramtres
de stratgie de groupe appliqus l'utilisateur sont bass sur les objets Stratgie
de groupe lis l'unit d'organisation Sales ou tout conteneur parent. Les
paramtres appliqus l'ordinateur sont bass sur les objets Stratgie de groupe
lis l'unit d'organisation Servers ou tout conteneur parent.
Toutefois, ce comportement par dfaut peut ne pas tre adapt certains
serveurs ou ordinateurs ddis une tche particulire. Ainsi, des applications
affectes un utilisateur ne doivent pas tre automatiquement disponibles sur
un serveur.

Modes de traitement
par boucle de rappel

Le traitement par boucle de rappel peut tre excut selon deux modes :
!

Mode de remplacement. Ce mode remplace les paramtres utilisateur


dfinis dans les objets Stratgie de groupe de l'ordinateur par les paramtres
utilisateur habituellement appliqus l'utilisateur.

Mode de fusion. Ce mode combine les paramtres utilisateur dfinis dans


les objets Stratgie de groupe de l'ordinateur avec les paramtres utilisateur
habituellement appliqus l'utilisateur. En cas de paramtres en conflit, les
paramtres utilisateur des objets Stratgie de groupe de l'ordinateur sont
prioritaires sur les paramtres habituels de l'utilisateur.

16

Module 5 : Implmentation d'une stratgie de groupe

Comment configurer le mode de traitement par boucle de rappel de


la stratgie de groupe utilisateur

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour activer le traitement par boucle de rappel, slectionnez l'option Mode de


traitement par boucle de rappel de la stratgie de groupe utilisateur dans la
console Gestion de stratgie de groupe.

Procdure

Pour configurer le mode de traitement par boucle de rappel de la stratgie de


groupe utilisateur, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort, Domaines, votre domaine, puis cliquez sur
Objets de stratgie de groupe.
2. Dans le volet de dtails, cliquez avec le bouton droit sur l'objet Stratgie de
groupe, puis cliquez sur Modifier.
3. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration de l'ordinateur, Modles d'administration, Systme, puis
cliquez sur Stratgie de groupe.
4. Double-cliquez sur Mode de traitement par boucle de rappel de la
stratgie de groupe utilisateur, s'il n'est pas dj slectionn, puis cliquez
sur Activ.
5. Sous Mode, cliquez sur Remplacer ou Fusionner, puis cliquez sur OK.

Module 5 : Implmentation d'une stratgie de groupe

17

Application pratique : Cration et configuration d'objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez installer la console Gestion de


stratgie de groupe, puis crer et configurer des objets Stratgie de groupe pour
votre domaine.

Scnario

En tant qu'ingnieur systme chez Northwind Traders, vous tes responsable de


l'implmentation de la stratgie de groupe de l'organisation. Vous allez installer
la console Gestion de stratgie de groupe et crer des objets Stratgie de groupe
pour faire appliquer l'environnement de Bureau. Vous allez supprimer l'option
de menu Excuter pour tous les utilisateurs, puis supprimer la commande
Arrter du menu. Vous pourrez galement appliquer cette stratgie aux seuls
ordinateurs dont le lecteur C contient au moins 10 Mo d'espace disque
disponible et qui sont configurs avec le systme de fichiers NTFS.

Application pratique :
Installation de la
console Gestion de
stratgie de groupe

! Installer la console Gestion de stratgie de groupe


1. Ouvrez une session dans votre domaine en tant que Nom_OrdinateurUser
(Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. l'invite de commands, tapez \\LONDON\SETUP\GPMC.MSI et
appuyez sur ENTRE.
5. Dans la bote de dialogue Tlchargement de fichier, cliquez sur Ouvrir.
6. Dans la page Assistant Installation du logiciel Console de gestion de la
stratgie de groupe Microsoft , cliquez sur Suivant.
7. Dans la page Contrat de licence, cliquez sur J'accepte, puis sur Suivant.

18

Module 5 : Implmentation d'une stratgie de groupe

8. Dans la page Fin de l'excution de l'Assistant Installation du logiciel


Console de gestion de la stratgie de groupe Microsoft , cliquez sur
Terminer.
9. Fermez l'invite de commande.
Application
pratique : Cration et
configuration d'objets
Stratgie de groupe

! Crer et configurer des objets Stratgie de groupe


1. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Gestion de stratgie de groupe, puis cliquez sur
Excuter en tant que.
2. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
3. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe, puis cliquez sur Nouveau.
4. Donnez le nom de GPO_pratique votre objet Stratgie de groupe, puis
cliquez sur OK.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur Lier
un objet Stratgie de groupe existant, cliquez sur GPO_pratique, puis
cliquez sur OK.
6. Cliquez avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
7. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration utilisateur, Modles d'administration, puis cliquez sur
Menu Dmarrer et Barre de tches.
8. Dans le volet de dtails, double-cliquez sur Supprimer le menu Excuter
du menu Dmarrer, cliquez sur Activ, puis sur OK.
9. Dans le volet de dtails, double-cliquez sur Supprimer et empcher l'accs
la commande Arrter, cliquez sur Activ, puis sur OK.
10. Fermez l'diteur d'objets de stratgie de groupe.
11. Dans la console Gestion de stratgie de groupe, dveloppez et cliquez avec
le bouton droit sur Filtres WMI, puis cliquez sur Nouveau.
12. Donnez le nom de Filtre_pratique au filtre WMI, cliquez sur Ajouter,
entrez la requte approprie pour extraire les informations requises, cliquez
sur OK, puis cliquez sur Enregistrer.
13. Dans l'arborescence de la console, dans la liste sous Objets de stratgie de
groupe, cliquez sur GPO_pratique.
14. Dans le volet de dtails, slectionnez Filtre_pratique dans la zone Cet
objet Stratgie de groupe est li au filtre WMI suivant.
15. Dans la bote de dialogue Gestion des stratgies de groupe, cliquez
sur Oui.
16. Fermez la console Gestion de stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

Leon : Configuration des frquences d'actualisation et


des paramtres de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Windows Server 2003 excute les paramtres et les stratgies d'ordinateur et


d'utilisateur selon un ordre spcifique. Comprendre le traitement des stratgies
de groupe et leur ordre d'excution vous permettra de crer les scripts
appropris et de configurer les frquences d'actualisation.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer le processus d'application de la stratgie de groupe ;

affecter des paramtres de scripts de stratgie de groupe ;

configurer les frquences d'actualisation des composants de la stratgie


de groupe ;

configurer les frquences d'actualisation des contrleurs de domaine et


des ordinateurs ;

actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un


utilisateur l'aide de Gpupdate.exe.

19

20

Module 5 : Implmentation d'une stratgie de groupe

quel moment la stratgie de groupe est-elle applique ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session,


Windows Server 2003 traite d'abord les paramtres de l'ordinateur, puis ceux
de l'utilisateur.

Ordre d'application de
la stratgie de groupe

Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session, les actions


suivantes se dclenchent :
1. Le rseau dmarre. Le service RPCSS (Remote Procedure Call System
Service) et le MUP (Multiple Universal Naming Convention Provider)
dmarrent.
2. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'ordinateur. Cette liste dpend des facteurs suivants :
L'ordinateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
L'emplacement de l'ordinateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
3. Windows Server 2003 applique la stratgie de l'ordinateur. Il s'agit des
paramtres se trouvant sous Configuration de l'ordinateur dans la liste des
objets Stratgie de groupe obtenue. Cette liste est synchrone par dfaut, et
s'affiche dans l'ordre suivant : local, domaine, unit d'organisation, unit
d'organisation enfant. Aucune interface utilisateur n'apparat lors du
traitement des stratgies de l'ordinateur.

Module 5 : Implmentation d'une stratgie de groupe

21

4. Les scripts de dmarrage s'excutent. Par dfaut, les scripts sont masqus et
synchrones. Chaque script doit se terminer ou son dlai d'excution doit tre
coul pour que le suivant puisse dmarrer. Le dlai d'attente par dfaut est
de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe
pour modifier la valeur de ce paramtre.
Remarque Vous pouvez rgler la valeur du dlai d'attente en configurant le
temps d'attente dans Dlai d'attente maximal pour les scripts de stratgie
de groupe sous Configuration de l'ordinateur\Modles d'administration\
Systme\Scripts\. Ce paramtre affecte tous les scripts qui s'excutent.
5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour
ouvrir une session.
6. Une fois que Windows Server 2003 a valid l'utilisateur, il charge le profil
utilisateur, lequel est contrl par les paramtres de stratgie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'utilisateur. Cette liste dpend des facteurs suivants :
L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
Le traitement par boucle de rappel est-il activ ? Quel est l'tat du
paramtre de stratgie de bouclage ?
L'emplacement de l'utilisateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
8. Windows Server 2003 applique la stratgie de l'utilisateur, laquelle inclut les
paramtres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramtres sont synchrones par dfaut, et s'affichent dans l'ordre
suivant : local, domaine, unit d'organisation, unit d'organisation enfant.
Aucune interface utilisateur n'apparat lors du traitement des stratgies de
l'utilisateur.
9. Les scripts d'ouverture de session s'excutent. Par dfaut, ces scripts bass
sur la stratgie de groupe sont masqus et asynchrones.
10. L'interface utilisateur du systme d'exploitation prescrite par la stratgie de
groupe s'affiche.
Intervalle d'actualisation
utilisateur ou ordinateur

Les ordinateurs excutant Windows Server 2003 actualisent ou rappliquent


les paramtres de stratgie de groupe intervalles dfinis. L'actualisation des
paramtres permet de s'assurer que les paramtres de stratgie de groupe sont
appliqus aux ordinateurs et aux utilisateurs mme si ces derniers ne
redmarrent jamais leur ordinateur ou ne ferment jamais leur session.
Remarque Pour savoir quand la stratgie de groupe est applique et obtenir un
exemple de script d'ouverture de session, reportez-vous la section quel
moment la stratgie de groupe est-elle applique ? de la page d'annexe du
module 5 sur le CD-ROM du stagiaire.

22

Module 5 : Implmentation d'une stratgie de groupe

Comment affecter des paramtres de script de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous implmentez un script, vous utilisez la stratgie de groupe pour


ajouter le script au paramtre appropri du modle Stratgie de groupe afin qu'il
s'excute au dmarrage, l'arrt, l'ouverture ou la fermeture de session.

Procdure de copie
d'un script

Pour copier un script dans le modle Stratgie de groupe appropri, procdez


comme suit :
1. Utilisez l'Explorateur Windows pour rechercher le script sur votre
disque dur.
2. Modifiez l'objet Stratgie de groupe appropri dans la console Gestion de
stratgie de groupe, dveloppez Configuration ordinateur (pour les scripts
de dmarrage et d'arrt) ou Configuration utilisateur (pour les scripts
d'ouverture et de fermeture de session), dveloppez Paramtres Windows,
puis cliquez sur Scripts.
3. Double-cliquez sur le type de script appropri (Dmarrage, Arrter le
sytme, Ouverture de session ou Fermer la session), puis cliquez sur
Afficher les fichiers.
4. Copiez le fichier de script depuis l'Explorateur Windows dans la fentre qui
s'affiche, puis fermez la fentre.
Important Vous ne pouvez pas effectuer cette tche l'aide de la
commande Excuter en tant que : vous devez avoir ouvert une session
en tant qu'Administrateur.

Procdure d'ajout
du script

Pour ajouter un script un objet Stratgie de groupe, procdez comme suit :


1. Dans la bote de dialogue Proprits du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, slectionnez un script, puis cliquez sur Ouvrir.

Module 5 : Implmentation d'une stratgie de groupe

3. Ajoutez les paramtres de script ncessaires, puis cliquez sur OK.


Remarque Pour plus d'informations sur la cration d'un script en langage
Microsoft Visual Basic, Scripting Edition (VBScript), reportez-vous aux
cours 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows
Script Host Essentials (en anglais) et 2439, WMI Scripting (en anglais).

23

24

Module 5 : Implmentation d'une stratgie de groupe

Comment configurer les frquences d'actualisation des


composants de la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur


pour signaler la liaison aux extensions ct client. Ces dernires peuvent alors
dterminer s'il est ncessaire de traiter les paramtres de stratgie de groupe
applicables.

Stratgie de groupe
et liaisons lentes

La stratgie de groupe compare la vitesse de connexion de la liaison au taux de


500 kilobits par seconde (kbits/s) vitesse considre comme lente ou au
seuil de votre choix. La stratgie de groupe utilise un algorithme afin de
dterminer si une liaison est ou non considre comme lente.

Paramtres par dfaut

Le tableau suivant rpertorie les paramtres par dfaut pour le traitement des
liaisons lentes.
Traitement des
liaisons lentes

Actualis

Modification
possible ?

Traitement de la stratgie du
Registre

Actif

Actif

Non

Traitement de la stratgie de
maintenance Internet Explorer

Inactif

Actif

Oui

Traitement de la stratgie
d~installation de logiciels

Inactif

N/A

Oui

Traitement de la stratgie de
redirection de dossiers

Inactif

N/A

Oui

Traitement de la stratgie de scripts

Inactif

Actif

Oui

Traitement de la stratgie de
scurit

Actif

Actif

Non

Extension ct client

Module 5 : Implmentation d'une stratgie de groupe

25

(suite)
Traitement des
liaisons lentes

Actualis

Modification
possible ?

Traitement de la stratgie de
scurit IP

Inactif

Actif

Oui

Traitement de la stratgie sans fil

Inactif

Actif

Oui

Traitement de la stratgie de
rcupration ESF

Actif

Actif

Oui

Traitement de la stratgie de quota


de disque

Inactif

Actif

Oui

Extension ct client

Procdure

Pour configurer les composants de la stratgie de groupe qui sont actualiss et


peuvent tre modifis, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration ordinateur, Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis cliquez
sur chaque lment du tableau prcdent.
2. Cliquez sur Activ.
3. Cliquez sur Ne pas appliquer lors des traitements en tche de fond
priodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion rseau lente, puis cliquez sur OK.
Remarque Pour plus d'informations sur l'algorithme utilis par la stratgie de
groupe pour dtecter les liaisons lentes, reportez-vous la section Comment
configurer les frquences d'actualisation des composants de la stratgie de
groupe de la page d'annexe du module 5 sur le CD-ROM du stagiaire.

26

Module 5 : Implmentation d'une stratgie de groupe

Comment configurer les frquences d'actualisation des contrleurs


de domaine et des ordinateurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez modifier les frquences d'actualisation par dfaut en modifiant les
paramtres de modle d'administration pour une configuration utilisateur ou
ordinateur.

Intervalles
d'actualisation
par dfaut

Le tableau suivant rpertorie les intervalles par dfaut de l'actualisation de la


stratgie de groupe.
Type d'ordinateur

Intervalle d'actualisation

Ordinateurs excutant
Windows XP Professionnel et
serveurs membres d'un
domaine excutant Windows
Server 2003

Toutes les 90 minutes. Actualisation galement en


fonction d'un dcalage alatoire de 30 minutes, ce
qui permet d'appliquer l'quilibrage de charges au
traitement des applications de stratgie de groupe et
permet de s'assurer que plusieurs ordinateurs ne
contactent pas un contrleur de domaine au mme
moment.

Contrleurs de domaine

Toutes les cinq minutes. De cette faon, les


nouveaux paramtres de stratgie de groupe
critiques, tels que les paramtres de scurit, sont
appliqus au moins toutes les cinq minutes une fois
le paramtre par dfaut modifi.

Module 5 : Implmentation d'une stratgie de groupe

Procdure

27

Pour configurer les frquences d'actualisation, procdez comme suit :


1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration utilisateur ou Configuration
ordinateur (selon l'objet Stratgie de groupe modifier), Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis
double-cliquez sur l'un des paramtres suivants :
Intervalle d'actualisation de la stratgie de groupe pour les
utilisateurs
Intervalle d'actualisation de la stratgie de groupe pour les
ordinateurs
Intervalle d'actualisation de la stratgie de groupe pour les
contrleurs de domaine
2. Slectionnez Activ.
3. Dfinissez l'intervalle d'actualisation en minutes.
4. Dfinissez le dcalage alatoire, puis cliquez sur OK.
Remarque Si vous avez dsactiv ces paramtres, la stratgie de groupe est
mise jour par dfaut toutes les 90 minutes. Pour spcifier que la stratgie
de groupe ne doit jamais tre mise jour lorsque l'ordinateur est en cours
d'utilisation, slectionnez l'option Dsactiver l'actualisation en tche de fond
des stratgies de groupe.

28

Module 5 : Implmentation d'une stratgie de groupe

Comment actualiser les paramtres de stratgie de groupe sur


l'ordinateur d'un utilisateur l'aide de Gpupdate.exe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez actualiser un objet Stratgie de groupe l'aide de la commande


gpupdate.

Procdure

Pour actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un


utilisateur l'aide de la commande gpupdate, procdez comme suit :
1. Dans la bote de dialogue Excuter, tapez cmd et appuyez sur ENTRE.
2. Tapez
gpupdate [/target:{ordinateur|utilisateur}] [/force]
[/wait:valeur] [/logoff] [/boot]

Le tableau suivant dcrit chacun des paramtres de la syntaxe de gpupdate.


Paramtre

Description

/target:{ordinateur|
utilisateur}

Traite les paramtres de l'ordinateur ou les paramtres de l'utilisateur en cours,


selon la destination spcifie. Si vous ne spcifiez pas ce paramtre, les paramtres
ordinateur et utilisateur sont traits par dfaut.

/force

Rapplique l'ensemble des paramtres et ignore le traitement des optimisations.

/wait:valeur

Spcifie le dlai d'attente (en secondes) avant que la stratgie ne se termine. La valeur
par dfaut est de 600 secondes. La valeur 0 signifie aucune attente ; -1 correspond
une attente indfinie.

/logoff

Ferme la session une fois l'actualisation de la stratgie termine. Ce paramtre est


obligatoire pour les extensions de stratgie de groupe ct client qui ne sont pas
excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes
lorsque l'utilisateur ouvre une session. Cette option est sans effet si aucune des
extensions appeles ne ncessite la dconnexion de l'utilisateur.

Module 5 : Implmentation d'une stratgie de groupe


(suite)
Paramtre

Description

/boot

Redmarre l'ordinateur une fois l'actualisation de la stratgie termine. Le redmarrage de


l'ordinateur est obligatoire pour les extensions de stratgie de groupe ct client qui ne sont
pas excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes au
dmarrage de l'ordinateur. Cette option est sans effet si aucune des extensions appeles ne
ncessite le redmarrage de l'ordinateur.

29

30

Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Configuration des frquences d'actualisation


de la stratgie de groupe et des paramtres de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez configurer l'intervalle d'actualisation


de la stratgie de groupe pour des ordinateurs clients, puis configurer les
paramtres de stratgie de groupe pour la synchronisation des fichiers hors
connexion.

Scnario

Northwind Traders repose largement sur la stratgie de groupe pour grer


les ordinateurs clients et conserver sa flexibilit l'organisation. En raison
du nombre lev d'objets Stratgie de groupe que vous devez modifier
quotidiennement, vous souhaitez diminuer le trafic rseau en rduisant de
180 minutes l'intervalle d'actualisation des ordinateurs clients et en utilisant
un dcalage alatoire de 60 minutes.
Les membres de votre organisation voyagent frquemment et utilisent des
connexions lentes d'accs distance. Ils se rendent galement souvent dans des
agences lointaines raccordes au rseau d'entreprise via des connexions haut
dbit. Ils ont besoin d'avoir accs des fichiers habituellement disponibles
uniquement via une connexion rseau un serveur de fichiers. Ces fichiers
doivent tre jour ds que l'utilisateur se connecte au rseau d'entreprise.
Vous devez configurer la disponibilit et la synchronisation des fichiers hors
connexion dans la stratgie de groupe des utilisateurs qui ont besoin de cette
fonctionnalit.

Application pratique

! Configurer les paramtres de stratgie de groupe


1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez sur Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.

Module 5 : Implmentation d'une stratgie de groupe

3. Dans l'diteur d'objets de stratgie de groupe, sous Configuration


ordinateur, dveloppez successivement Modles d'administration,
Systme, puis cliquez sur Stratgie de groupe.
4. Double-cliquez sur Intervalle d'actualisation de la stratgie de groupe
pour les ordinateurs, cliquez sur Activ, entrez l'intervalle de temps
appropri, puis cliquez sur OK.
5. Dans l'diteur d'objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez successivement Modles d'administration,
Rseau, puis cliquez sur fichiers hors connexion.
6. Double-cliquez sur Synchroniser tous les fichiers hors connexion
l'ouverture de session, cliquez sur Activ, puis sur OK.
7. Fermez l'diteur d'objets de stratgie de groupe, puis fermez la console
Gestion de stratgie de groupe.

31

32

Module 5 : Implmentation d'une stratgie de groupe

Leon : Gestion des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous utilisez la console Gestion de stratgie de groupe pour grer les objets
Stratgie de groupe, savoir pour copier un objet Stratgie de groupe un autre
emplacement, sauvegarder un objet Stratgie de groupe, restaurer un objet
Stratgie de groupe partir de la sauvegarde, ou encore importer dans un objet
Stratgie de groupe les paramtres d'un autre objet Stratgie de groupe.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer la finalit de la copie d'un objet Stratgie de groupe ;

copier un objet Stratgie de groupe l'aide de la console Gestion de


stratgie de groupe ;

expliquer la finalit de la sauvegarde d'un objet Stratgie de groupe ;

sauvegarder un objet Stratgie de groupe l'aide de la console Gestion de


stratgie de groupe ;

expliquer la finalit de la restauration d'un objet Stratgie de groupe ;

restaurer un objet Stratgie de groupe l'aide de la console Gestion de


stratgie de groupe ;

expliquer la finalit de l'importation de paramtres dans un objet Stratgie


de groupe ;

importer des paramtres dans un objet Stratgie de groupe l'aide de la


console Gestion de stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une opration de copie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La copie d'un objet Stratgie de groupe transfert uniquement les paramtres


de l'objet Stratgie de groupe. L'objet Stratgie de groupe nouvellement cr
est dot d'un nouvel identificateur unique global (GUID, Globally Unique
IDentifier) et de la liste de contrle d'accs discrtionnaire (DACL,
Discretionary Access Control List) de l'objet Stratgie de groupe. Le nouvel
objet Stratgie de groupe cr est non li, car les liaisons sont une proprit de
l'objet ayant dfini l'objet Stratgie de groupe plutt qu'une proprit de l'objet
Stratgie de groupe.

Comportement de
mappage d'une
opration de copie

Lorsque vous copiez un objet Stratgie de groupe d'un domaine vers un autre,
vous devez spcifier le comportement du mappage des entits de scurit pour
l'opration de copie. La console Gestion de stratgie de groupe offre deux
techniques de mappage pour la copie des objets Stratgie de groupe :
!

Copie identique partir de la source

Utilisation d'une table de migration pour mapper de nouvelles valeurs dans


le nouvel objet Stratgie de groupe

Pour utiliser l'une ou l'autre de ces mthodes, des rfrences aux entits de
scurit et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratgie de groupe source.
Dfinition du mappage
des entits de scurit

Lorsque vous copiez des objets Stratgie de groupe dans des domaines ou des
forts, la console Gestion de stratgie de groupe peut effectuer un mappage
des entits de scurit. C'est--dire qu'elle peut modifier les paramtres se
rapportant aux entits de scurit en convertissant les valeurs de ces entits
en fonction du nouvel objet Stratgie de groupe.

33

34

Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une table


de migration

Si vous avez besoin d'une personnalisation supplmentaire, vous pouvez utiliser


des scripts pour implmenter une table de migration, c'est--dire un fichier texte
XML (eXtensible Markup Language) spcifiant le mappage personnalis des
entits de scurit depuis le domaine source vers le domaine de destination. La
table de migration comporte une section de mappage des entits de scurit et
une section de mappage des chemins d'accs. Utilisez ces sections pour dfinir
des rgles de mappage spcifiques.

Module 5 : Implmentation d'une stratgie de groupe

35

Comment copier un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour copier un objet Stratgie de groupe, vous devez avoir l'autorisation


de crer des objets Stratgie de groupe dans le domaine de destination.

Procdure

Pour copier un objet Stratgie de groupe, procdez comme suit :


1. Ouvrez la console Gestion de stratgie de groupe, dveloppez Objets de
stratgie de groupe dans la fort et le domaine contenant l'objet Stratgie
de groupe copier, cliquez avec le bouton droit sur cet objet, puis cliquez
sur Copier.
2. Effectuez l'une des oprations suivantes :
Pour placer la copie de l'objet Stratgie de groupe dans le mme
domaine que l'objet source, cliquez avec le bouton droit sur Objets
de stratgie de groupe, puis cliquez sur Coller.
i. Dans la bote de dialogue Copier l'objet GPO, slectionnez Utiliser
les autorisations par dfaut pour les nouveaux objets GPO ou
Conserver les autorisations existantes, puis cliquez sur OK.
ii. Lorsque le processus de copie est termin, cliquez sur OK.
Pour placer la copie de l'objet dans un autre domaine, qu'il s'agisse de
la mme fort ou d'une autre, dveloppez le domaine de destination,
cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Coller.
i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant.
ii. Dans la page Spcification des autorisations en cours, slectionnez
Utiliser les autorisations par dfaut pour les nouveaux objets
GPO ou Prserver ou effectuer la migration des autorisations
partir des objets GPO originaux, puis cliquez sur Suivant.

36

Module 5 : Implmentation d'une stratgie de groupe

iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux
entits de scurit et aux chemins UNC, vous verrez s'afficher la
fentre mentionne l'tape suivante. Sinon, passez l'tape v.
iv. Dans la page Migration des rfrences, slectionnez Effectuant
une copie identique partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratgie de groupe
cible, slectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opration de copie termine, cliquez sur OK.
Remarque Certaines de ces tapes peuvent ne pas s'afficher si vous copiez
un objet Stratgie de groupe dans le mme domaine.

Module 5 : Implmentation d'une stratgie de groupe

37

Dfinition d'une opration de sauvegarde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque la console Gestion de stratgie de groupe sauvegarde un objet Stratgie


de groupe, elle exporte les donnes dans le fichier de votre choix et enregistre
tous les fichiers de modle Stratgie de groupe. Vous pouvez placer l'objet
Stratgie de groupe sauvegard dans un dossier par une opration de restauration
ou d'importation. L'opration d'importation vous permet uniquement de restaurer
un objet Stratgie de groupe sauvegard dans un autre domaine.

Comment stocker
une sauvegarde

Vous pouvez stocker plusieurs objets Stratgie de groupe sauvegards, y


compris plusieurs versions du mme objet, dans un dossier de fichiers unique.
Quel que soit le nombre d'objets Stratgie de groupe stocks dans un dossier,
vous pouvez identifier chaque objet Stratgie de groupe l'aide de l'un des
critres suivants :
!

Nom complet de l'objet Stratgie de groupe

Identificateur GUID de l'objet Stratgie de groupe

Description de la sauvegarde

Date et horodatage de la sauvegarde

Nom de domaine

Vous pouvez sauvegarder un ou plusieurs objets Stratgie de groupe dans un


emplacement de sauvegarde qui a t prcdemment spcifi, ou bien spcifier
un nouvel emplacement.
Remarque Assurez-vous que le rpertoire de sauvegarde se trouve un
emplacement scuris du systme de fichiers.

38

Module 5 : Implmentation d'une stratgie de groupe

Comment sauvegarder un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour sauvegarder un objet Stratgie de groupe, vous devez disposer des


autorisations en lecture sur l'objet Stratgie de groupe et des autorisations
crire sur l'emplacement du systme de fichiers o vous souhaitez stocker
l'objet Stratgie de groupe sauvegard.

Procdure

Pour sauvegarder un objet Stratgie de groupe, procdez comme suit :


1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe sauvegarder, dveloppez
successivement Domaines, le domaine contenant l'objet Stratgie de groupe,
Objets de stratgie de groupe, puis effectuez l'une des oprations suivantes :
Pour sauvegarder un seul objet Stratgie de groupe, cliquez avec le
bouton droit sur cet objet, puis cliquez sur Sauvegarder.
Pour sauvegarder tous les objets Stratgie de groupe, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur
Sauvegarder tout.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez le chemin
d'accs l'emplacement o vous souhaitez stocker l'objet Stratgie de
groupe sauvegard.
3. Entrez une description pour l'objet Stratgie de groupe sauvegarder,
puis cliquez sur Sauvegarder.
4. Une fois l'opration de sauvegarde termine, cliquez sur OK.

Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une opration de restauration

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

L'opration de restauration rtablit le contenu de l'objet Stratgie de groupe


dans l'tat dans lequel il tait au moment de la sauvegarde. Cette opration est
valide uniquement dans le domaine o l'objet Stratgie de groupe a t cr.

Quels objets Stratgie


de groupe peuvent tre
restaurs ?

Vous pouvez restaurer un objet Stratgie de groupe existant ou un objet


supprim qui a t sauvegard. Les autorisations requises pour restaurer un
objet Stratgie de groupe varient selon que l'objet existe ou non dans Active
Directory lorsque vous le restaurez.

39

40

Module 5 : Implmentation d'une stratgie de groupe

Comment restaurer un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour restaurer un objet Stratgie de groupe existant l'aide de la console


Gestion de stratgie de groupe, vous devez disposer des autorisations Modifier
les paramtres, supprimer, modifier la scurit sur cet objet. Vous devez
galement disposer de l'autorisation en lecture sur le dossier qui contient l'objet
Stratgie de groupe sauvegard.
Pour restaurer un objet Stratgie de groupe supprim qui avait t sauvegard,
vous devez disposer d'autorisations pour crer des objets Stratgie de groupe
dans le domaine, ainsi que de l'autorisation en lecture sur l'emplacement du
systme de fichiers de l'objet sauvegard.

Procdure de
restauration d'une
version antrieure
d'un objet Stratgie
de groupe

Pour restaurer une version antrieure d'un objet Stratgie de groupe existant,
procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe restaurer, dveloppez successivement
Domaines, le domaine contenant l'objet Stratgie de groupe, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe puis cliquez sur Grer les sauvegardes.
2. Dans la bote de dialogue Gestion des sauvegardes, slectionnez l'objet
Stratgie de groupe sauvegard restaurer, puis cliquez sur Restaurer.
3. Lorsque vous tes invit restaurer la sauvegarde slectionne, cliquez
sur OK.
4. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la
restauration termine.
5. Dans la bote de dialogue Gestion des sauvegardes, slectionnez un autre
objet Stratgie de groupe restaurer ou cliquez sur Fermer pour terminer
l'opration de restauration.

Module 5 : Implmentation d'une stratgie de groupe

Procdure de
restauration d'un objet
Stratgie de groupe
supprim

41

Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste
des Objets Stratgie de groupe, effectuez l'une des oprations suivantes :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe restaurer,
Domaines, puis le domaine contenant l'objet Stratgie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systme de fichiers contenant l'objet Stratgie de groupe
supprim, slectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opration de restauration.

42

Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une opration d'importation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Une opration d'importation copie l'ensemble des paramtres de stratgie de


groupe depuis l'objet Stratgie de groupe source vers l'objet Stratgie de groupe
de destination.

Pourquoi spcifier une


table de migration ?

Spcifiez une table de migration afin d'tre certain que le chemin UNC de
l'objet Stratgie de groupe est correctement mapp sur le chemin UNC de l'objet
Stratgie de groupe de destination. Indiquez le chemin d'accs la table de
migration approprie lorsque vous importez des paramtres de stratgie de
groupe d'un domaine dans un autre. Si vous spcifiez une table de migration,
vous devez spcifier le comportement de mappage du chemin UNC.
Si vous n'activez pas la case cocher Utiliser exclusivement la table de
migration, vous devez spcifier le comportement de mappage pour les entits
de scurit qui ne figurent pas dans la table de migration.
Si vous ne spcifiez pas de table de migration, toutes les entits de scurit sont
mappes en fonction du comportement que vous spcifiez.

Module 5 : Implmentation d'une stratgie de groupe

43

Comment importer des paramtres dans un objet Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour importer des paramtres dans un objet Stratgie de groupe, vous devez
disposer des autorisations de modification de cet objet.

Procdure

Pour importer des paramtres dans un objet Stratgie de groupe, procdez


comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe dans lequel
importer des paramtres, Domaines, le domaine contenant l'objet Stratgie
de groupe, Objets de stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Importer des paramtres.
2. Dans la page Assistant Importation des paramtres, cliquez sur Suivant.
3. Dans la page Objet de stratgie de groupe de sauvegarde, cliquez sur
Sauvegarder.
4. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez un
emplacement et une description pour la sauvegarde de l'objet Stratgie
de groupe, puis cliquez sur Sauvegarder.
5. Une fois l'opration de sauvegarde termine, cliquez sur OK puis sur
Suivant.
6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour
rechercher le dossier de sauvegarde partir duquel vous voulez importer
des paramtres, puis cliquez sur Suivant.

44

Module 5 : Implmentation d'une stratgie de groupe

7. Dans la page Objet stratgie de groupe (GPO) source, slectionnez l'objet


Stratgie de groupe partir duquel vous voulez importer des paramtres,
puis cliquez sur Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux entits
de scurit et des chemins UNC, la bote de dialogue Migration des
rfrences s'affiche. Choisissez le mode de migration des entits de scurit
et des chemins UNC en slectionnant Effectuant une copie identique
partir de la source ou Utilisant cette table de migration pour le
mappage dans l'objet de stratgie de groupe cible, puis slectionnez
une table de migration.
8. Cliquez sur Suivant.
9. Dans la page Fin de l'Assistant Importation des paramtres, cliquez
sur Terminer.
10. Une fois l'opration d'importation termine, cliquez sur OK.

Module 5 : Implmentation d'une stratgie de groupe

45

Application pratique : Gestion des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez copier un objet Stratgie de groupe,
crer une sauvegarde de cet objet, supprimer la copie sauvegarde, puis la
restaurer.

Scnario

Vous tes responsable de l'implmentation des normes de Bureau de l'entreprise


l'aide de la stratgie de groupe de votre domaine. Bien que la plupart des
groupes du domaine puissent utiliser la mme configuration de Bureau
d'entreprise, certains services ncessitent une configuration lgrement
diffrente. Vous allez crer un objet Stratgie de groupe de base, le copier
dans les diffrentes applications, puis en modifier les paramtres.
Parce que vous voulez tre certain que la sauvegarde et la restauration des
objets Stratgie de groupe fonctionnent correctement, vous souhaitez tester les
fonctionnalits de restauration et simuler le plan d'implmentation dans votre
environnement de test.

Application pratique :
Copie d'un objet
Stratgie de groupe

! Copier un objet Stratgie de groupe


1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dans votre domaine, dveloppez Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, cliquez sur Copier, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur Coller.
3. Dans la bote de dialogue Copier l'objet GPO, cliquez sur OK.
4. Une fois le processus de copie termin, cliquez sur OK.

46

Module 5 : Implmentation d'une stratgie de groupe

Application pratique :
Sauvegarde d'un objet
Stratgie de groupe

! Sauvegarder un objet Stratgie de groupe


1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, puis cliquez sur Sauvegarder.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, tapez C:\ dans la
zone Emplacement, puis cliquez sur Sauvegarder.
3. Une fois l'opration termine, cliquez sur OK.

Application pratique :
Restauration d'un objet
Stratgie de groupe

! Supprimer et restaurer un objet Stratgie de groupe


1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, cliquez sur Supprimer, puis sur OK.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, slectionnez Copie de
GPO_pratique, puis cliquez sur Restaurer.
4. Lorsque vous tes invit restaurer la sauvegarde, cliquez sur OK.
5. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la sauvegarde
restaure.
6. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Fermer.
7. Vrifiez que l'objet Stratgie de groupe a bien t restaur.
8. Fermez la console Gestion de stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

47

Leon : Vrification et rsolution des problmes lis la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Il est possible que vous rencontriez des problmes lors de l'implmentation de


la stratgie de groupe. Lorsque vous rsolvez des problmes lis la stratgie
de groupe, veillez prendre en compte les dpendances entre les composants.
Par exemple, la stratgie de groupe dpend de Active Directory, lequel se fie
une configuration correcte des services du rseau.
Windows Server 2003 est dot de deux nouvelles fonctionnalits de gestion des
stratgies de groupe qui vous permettent de dterminer les effets des paramtres
de stratgie de groupe d'un utilisateur ou d'un ordinateur particulier. Il s'agit de
l'Assistant Modlisation de stratgie de groupe et des Rsultats de stratgie de
groupe.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

identifier les problmes courants lis l'implmentation de la stratgie de


groupe ;

vrifier les paramtres de stratgie de groupe l'aide de l'Assistant


Modlisation de stratgie de groupe ;

vrifier les paramtres de stratgie de groupe l'aide des Rsultats de


stratgie de groupe.

48

Module 5 : Implmentation d'une stratgie de groupe

Problmes courants lis l'implmentation de la stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La premire tape de la rsolution des problmes lis la stratgie de groupe


consiste identifier les symptmes et les causes possibles.

Comment vrifier si les


paramtres de stratgie
de groupe corrects sont
appliqus

Dans la plupart des cas, un paramtre de stratgie de groupe n'est pas appliqu
comme prvu parce qu'un autre objet Stratgie de groupe contient une valeur
conflictuelle pour le mme paramtre. L'objet Stratgie de groupe est prioritaire
en raison du filtrage, Blocage de l'hritage, Appliqu ou de l'ordre d'application.
Utilisez l'Assistant Modlisation de stratgie de groupe ou l'Assistant Rsultats
de stratgie de groupe pour dterminer l'objet Stratgie de groupe utilis pour le
paramtre.

Symptmes, cause
et rsolution

Le tableau suivant rpertorie certains des symptmes courants, ainsi que les
mthodes de rsolution possibles.

Symptme

Rsolution

Vous ne parvenez pas ouvrir un objet Stratgie de


groupe, mme avec l'autorisation en lecture.

Devenez membre d'un groupe de scurit avec


les autorisations Lire et crire pour l'objet.

Lorsque vous essayez de modifier un objet Stratgie de


groupe, le message signalant qu'il est impossible d'ouvrir
l'objet Stratgie de groupe s'affiche.

Assurez-vous que le systme DNS fonctionne


correctement.

La stratgie de groupe n'est pas applique aux utilisateurs


et ordinateurs d'un groupe de scurit qui les contient,
alors qu'un objet Stratgie de groupe est li une unit
d'organisation contenant le groupe de scurit.

Liez les objets Stratgie de groupe uniquement


des sites, domaines et units d'organisation.

Module 5 : Implmentation d'une stratgie de groupe

49

(suite)
Symptme

Rsolution

La stratgie de groupe n'affecte pas les utilisateurs et


ordinateurs d'un conteneur Active Directory.

Liez un objet Stratgie de groupe une unit


d'organisation qui est parente du conteneur Active
Directory. Ces paramtres sont alors appliqus par dfaut
aux utilisateurs et ordinateurs du conteneur via l'hritage.

La stratgie de groupe n'est pas applique sur


l'ordinateur client.

Dterminez quels objets Stratgie de groupe sont


appliqus via Active Directory et si ces objets possdent
des paramtres en conflit avec les paramtres locaux.

50

Module 5 : Implmentation d'une stratgie de groupe

Comment vrifier les paramtres de stratgie de groupe l'aide de


l'Assistant Modlisation de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous avez la possibilit de simuler un dploiement de stratgie pour les


utilisateurs et les ordinateurs avant de rellement appliquer les stratgies.
Cette fonctionnalit de la console Gestion de stratgie de groupe est appele
Jeu de stratgies rsultant (RSoP, Resultant Set of Policies) Mode de
planification. Elle requiert un contrleur de domaine excutant
Windows Server 2003 dans la fort. Pour vrifier les paramtres de stratgie de
groupe l'aide de l'Assistant Modlisation de stratgie de groupe, vous devez
d'abord crer une requte de modlisation de stratgie de groupe et afficher
cette requte.

Procdure de cration
d'une requte de
modlisation de
stratgie de groupe

Pour crer une nouvelle requte de modlisation de stratgie de groupe,


procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, naviguez jusqu' la fort
dans laquelle vous souhaitez crer une requte de modlisation de stratgie
de groupe, cliquez avec le bouton droit de la souris sur Modlisation de
stratgie de groupe, puis sur Assistant Modlisation de stratgie de groupe.
2. Sur la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant, entrez les informations requises dans les pages de l'Assistant, puis
cliquez sur Terminer.

Module 5 : Implmentation d'une stratgie de groupe

Procdure d'affichage
de la requte de
modlisation de
stratgie de groupe

51

Pour afficher la requte de modlisation de stratgie de groupe, procdez


comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie de
groupe afficher, dveloppez Modlisation de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.
Remarque Pour plus d'informations sur la vrification des paramtres
de stratgie de groupe l'aide de Gpresult.exe, reportez-vous la section
Comment vrifier les paramtres de stratgie de groupe l'aide des Rsultats
de stratgie de groupe de la page d'annexe du module 5 sur le CD-ROM du
stagiaire.

52

Module 5 : Implmentation d'une stratgie de groupe

Comment vrifier les paramtres de stratgie de groupe l'aide des


Rsultats de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de


stratgie qui sont appliqus un ordinateur, ainsi que l'utilisateur qui a ouvert
une session sur cet ordinateur. Bien que ces donnes soient similaires celles
de la modlisation de stratgie de groupe, elles sont obtenues partir de
l'ordinateur client au lieu d'tre simules sur le contrleur de domaine. Pour
obtenir des donnes l'aide des Rsultats de stratgie de groupe, l'ordinateur
client doit excuter Windows XP ou Windows Server 2003.

Procdure de cration
d'une requte Rsultats
de stratgie de groupe

Pour crer une requte Rsultats de stratgie de groupe, procdez comme suit :
1. Dans la console Gestion de stratgie de groupe, accdez Rsultats de
stratgie de groupe, cliquez avec le bouton droit sur Rsultats de stratgie
de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Assistant Rsultats de stratgie de groupe, cliquez sur
Suivant.
3. Dans la page Slection des ordinateurs, slectionnez l'ordinateur actuel ou
cliquez sur Parcourir pour slectionner un autre ordinateur, puis cliquez sur
Suivant.
4. Dans la page Slection de l'utilisateur, slectionnez l'utilisateur actuel ou
spcifiez un utilisateur, puis cliquez sur Suivant.
5. Dans la page Aperu des slections, vrifiez les slections effectues, puis
cliquez sur Suivant.
6. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez
sur Terminer.

Module 5 : Implmentation d'une stratgie de groupe

Procdure d'affichage
de la requte des
Rsultats de stratgie
de groupe

53

Pour afficher la requte des Rsultats de stratgie de groupe, procdez


comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie
de groupe afficher, dveloppez Rsultats de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.
Remarque Vous pouvez contrler la stratgie de groupe en activant
l'enregistrement des diagnostics et l'enregistrement des commentaires. Pour plus
d'informations sur l'enregistrement de stratgie de groupe, reportez-vous la
section Comment vrifier les paramtres de stratgie de groupe l'aide des
Rsultats de stratgie de groupe de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.

54

Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Vrification et rsolution des problmes lis


la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez vrifier les paramtres de stratgie
de groupe l'aide de l'Assistant Modlisation de stratgie de groupe.

Scnario

Vous souhaitez vrifier que les paramtres de stratgie de groupe que vous
prvoyez de dployer chez Northwind Traders (y compris les paramtres
utilisateur et ordinateur de votre domaine) seront appliqus et fiables. Vous
dcidez d'utiliser la console Gestion de stratgie de groupe pour vrifier les
paramtres.

Application pratique

! Vrifier les paramtres utilisateur et ordinateur pour votre domaine


1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Cliquez avec le bouton droit sur Modlisation de stratgie de groupe,
puis cliquez sur Assistant Modlisation de stratgie de groupe.
3. Dans la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant.
4. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.
5. Dans la page Slection d'ordinateurs et d'utilisateurs, dans les sections
Informations sur l'utilisateur et Informations sur l'ordinateur, cliquez
sur Parcourir, slectionnez votre domaine pour chaque section, puis cliquez
sur Suivant.
6. Dans chacune des pages suivantes de l'Assistant, cliquez sur Suivant pour
accepter les valeurs par dfaut.
7. Dans la page Fin de l'Assistant Modlisation de stratgie de groupe,
cliquez sur Terminer.

Module 5 : Implmentation d'une stratgie de groupe

55

8. Si une bote de dialogue Internet Explorer s'affiche, cliquez sur Ajouter,


dans la bote de dialogue Sites approuvs, cliquez sur Ajouter, puis cliquez
sur Fermer.
9. Affichez le rapport dans le volet de dtails, puis fermez la console Gestion
de stratgie de groupe.

56

Module 5 : Implmentation d'une stratgie de groupe

Leon : Dlgation du contrle administratif de la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez utiliser la stratgie de groupe pour dlguer certaines tches


d'autres administrateurs. Par exemple, la cration, la liaison et la modification
des objets Stratgie de groupe correspondent des autorisations distinctes que
vous pouvez dlguer sparment. La console Gestion de stratgie de groupe
simplifie la gestion des autorisations en combinant les autorisations de bas
niveau sur un objet et en les grant comme une seule unit. Utilisez la console
Gestion de stratgie de groupe pour dlguer le contrle administratif des objets
Stratgie de groupe, la stratgie de groupe pour un site, un domaine ou une
unit d'organisation, les filtres WMI.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer le fonctionnement de la dlgation des objets Stratgie de groupe ;

expliquer le fonctionnement de la dlgation de la stratgie de groupe pour


un site, un domaine ou une unit d'organisation ;

expliquer le fonctionnement de la dlgation des filtres WMI ;

dlguer le contrle administratif pour la gestion des liaisons de stratgie de


groupe ;

dlguer le contrle administratif pour la cration et la modification des


objets Stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

57

Dlgation des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez dlguer la capacit de crer des objets Stratgie de groupe dans
un domaine et d'affecter des autorisations sur un objet Stratgie de groupe
individuel l'aide de la console Gestion de stratgie de groupe.

Dlguer la capacit
de crer des objets
Stratgie de groupe

Par dfaut, la capacit de crer des objets Stratgie de groupe est attribue au
groupe Propritaires crateurs de la stratgie de groupe. Vous pouvez cependant
dlguer ce pouvoir tout groupe ou utilisateur de deux faons diffrentes :

quel moment utiliser


le groupe Propritaires
crateurs de la stratgie
de groupe

Ajouter le groupe ou l'utilisateur au groupe Propritaires crateurs de la


stratgie de groupe. Il s'agit de la premire mthode, disponible avant la
console Gestion de stratgie de groupe.

Attribuer explicitement au groupe ou l'utilisateur l'autorisation de crer


des objets Stratgie de groupe. Cette mthode est disponible uniquement via
la console Gestion de stratgie de groupe.

Dans le cas d'utilisateurs et de groupes du domaine, utilisez le groupe


Propritaires crateurs de la stratgie de groupe pour affecter des autorisations
de cration d'un objet Stratgie de groupe. Ce groupe tant un groupe global du
domaine, il ne peut pas contenir de membres extrieurs au domaine. Si des
utilisateurs externes au domaine ont besoin de pouvoir crer des objets Stratgie
de groupe, procdez comme suit :
1. Crez un nouveau groupe local du domaine dans le domaine.
2. Affectez ce groupe l'autorisation de crer des objets Stratgie de groupe
dans le domaine.
3. Ajoutez ce groupe des utilisateurs de domaine externes.

58

Module 5 : Implmentation d'une stratgie de groupe

Comparaison des deux


mthodes de dlgation

Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe


Propritaires crateurs de la stratgie de groupe ou que vous affectiez les
autorisations utilisateur pour la cration d'objets Stratgie de groupe
directement l'aide de la console Gestion de stratgie de groupe. Les
utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et
disposer d'un contrle total sur ces objets, mais ils n'ont pas d'autorisation sur
les objets Stratgie de groupe crs par d'autres utilisateurs.
Accorder un utilisateur la possibilit de crer des objets Stratgie de groupe
dans le domaine ne signifie pas qu'il peut lier ces objets un site, un domaine
ou une unit d'organisation.

Dlguer des
autorisations sur un
objet Stratgie de
groupe individuel

Vous pouvez galement grer les autorisations sur l'objet Stratgie de groupe au
niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser
sur un objet Stratgie de groupe.
!

Lecture

Modifier les paramtres

Modifier les paramtres, supprimer, modifier la scurit

Lire ( partir du filtrage de scurit)

Paramtres personnaliss

Remarque Pour plus d'informations sur la dlgation du contrle administratif


de la stratgie de groupe, reportez-vous la rubrique Dlgation des objets
Stratgie de groupe de la page d'annexe du module 5sur le CD-ROM du
stagiaire.

Module 5 : Implmentation d'une stratgie de groupe

59

Dlgation de la stratgie de groupe pour un site, un domaine ou


une unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La dlgation de la stratgie de groupe pour un site, un domaine ou une unit


d'organisation inclut la dlgation de la capacit lier des objets Stratgie de
groupe et la dlgation des autorisations pour la Modlisation de stratgie de
groupe et les Rsultats de stratgie de groupe.

Dlguer la capacit de
lier des objets Stratgie
de groupe

La console Gestion de stratgie de groupe utilise une autorisation unique,


appele Lier les objets GPO, pour grer les attributs gPLink et gPOptions. Vous
appliquez les paramtres d'un objet Stratgie de groupe des utilisateurs et des
ordinateurs en liant l'objet Stratgie de groupe (qu'il s'agisse d'un enfant direct
ou indirectement par hritage) un site, un domaine ou une unit d'organisation
qui contient les objets utilisateur ou ordinateur.
L'autorisation Lier les objets GPO est spcifique ce site, ce domaine ou une
unit d'organisation. L'autorisation quivaut des autorisations Lire et crire sur
les attributs gPLink et gPOptions du site, du domaine ou de l'unit d'organisation.

Dlguer des
autorisations pour
la Modlisation de
stratgie de groupe

Vous pouvez utiliser la Modlisation de stratgie de groupe pour simuler


un ensemble de stratgies pour des objets d'un domaine ou d'une unit
d'organisation, ou bien vous pouvez la dlguer d'autres utilisateurs ou
groupes. Cette dlgation affecte l'utilisateur ou au groupe l'autorisation
Gnrer Jeu de stratgie rsultant (Planification), laquelle est disponible dans
toute fort dote du schma Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation de tout domaine ou
unit d'organisation. L'administrateur peut slectionner Lancer des analyses de
modlisation de stratgie de groupe, puis slectionner les proprits Nom,
S'applique , Paramtre et Hrit pour les dlgations.

60

Module 5 : Implmentation d'une stratgie de groupe

Dlguer des
autorisations pour les
Rsultats de stratgie
de groupe

Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes
d'enregistrement RSoP pour des objets du domaine ou de l'unit d'organisation.
Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer
cette autorisation d'autres utilisateurs ou groupes. Les autorisations sont
dlgues sur un domaine ou une unit d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les donnes des Rsultats de stratgie de
groupe pour tout objet de ce conteneur. Cette dlgation affecte galement
l'utilisateur ou au groupe l'autorisation Gnrer Jeu de stratgie rsultant
(Enregistrement), laquelle est disponible dans toute fort dote du schma
Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation du domaine ou de
l'unit d'organisation. L'administrateur peut slectionner Lire les donnes du
rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels
accorder cette autorisation.

Module 5 : Implmentation d'une stratgie de groupe

61

Dlgation de filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez dlguer la capacit de crer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.

Dlguer la capacit de
crer des filtres WMI

Vous crez des filtres WMI dans le conteneur Filtres WMI de la console
Gestion de stratgie de groupe. Lorsque vous crez un nouveau filtre WMI,
Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur
System du domaine. Les autorisations sur le conteneur WMIPolicy dterminent
les autorisations d'un utilisateur pour crer, modifier et supprimer des
filtres WMI.
Il existe deux autorisations de cration de filtres WMI :

Dlguer des
autorisations sur
un filtre WMI

Propritaire crateur : permet l'utilisateur de crer de nouveaux filtres


WMI dans le domaine. N'affecte pas l'utilisateur des autorisations sur les
filtres WMI crs par d'autres utilisateurs.

Contrle total : permet l'utilisateur de crer des filtres WMI et d'affecter


un contrle total sur tous les filtres WMI du domaine, y compris les
nouveaux filtres crs par l'utilisateur aprs que l'autorisation a t accorde.

Vous pouvez utiliser la console Gestion de stratgie de groupe pour dlguer


des autorisations sur un filtre WMI particulier. Vous pouvez affecter deux
autorisations diffrentes un utilisateur ou un groupe :
!

Modifier : autorise l'utilisateur ou le groupe modifier le filtre WMI.

Contrle total : autorise l'utilisateur ou le groupe modifier, supprimer et


modifier la scurit sur le filtre WMI.

62

Module 5 : Implmentation d'une stratgie de groupe

Comment dlguer le contrle administratif de la gestion des


liaisons de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez dlguer la capacit de grer les liaisons de stratgie de groupe en


slectionnant Grer les liaisons de stratgie de groupe dans l'Assistant
Dlgation de contrle, afin de permettre un utilisateur de lier ou de
dsactiver des liaisons d'objets Stratgie de groupe.

Procdure

Pour dlguer le contrle administratif de la gestion des liaisons de stratgie de


groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort et au domaine o vous voulez dlguer le contrle
administratif de la gestion des liaisons de stratgie de groupe, puis cliquez
sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
Remarque Si vous prfrez la flexibilit de la bote de dialogue Proprits,
celle-ci est toujours disponible dans la console Gestion de stratgie de groupe :
cliquez sur Avances sous l'onglet Dlgation.

Module 5 : Implmentation d'une stratgie de groupe

63

Comment dlguer le contrle administratif pour la cration et la


modification d'objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Utilisez l'Assistant Dlgation de contrle pour dlguer le contrle


administratif pour la cration et la modification d'objets Stratgie de groupe.

Procdure de dlgation
du contrle administratif
pour la cration d'objets
Stratgie de groupe

Pour dlguer le contrle administratif pour la cration d'objets Stratgie de


groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la cration d'objets Stratgie de groupe, puis
cliquez su Objets de stratgie de groupe.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.

Procdure de dlgation
du contrle administratif
pour la modification
d'objets Stratgie de
groupe

Pour dlguer le contrle administratif pour la modification d'objets Stratgie


de groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la modification d'objets Stratgie de groupe, puis
cliquez sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.

64

Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Dlgation du contrle administratif de la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez ajouter le compte de l'administrateur


adjoint au groupe Propritaires crateurs de la stratgie de groupe, puis lui
dlguer la capacit de grer les liaisons de stratgie de groupe.

Scnario

Vous avez dcid de dlguer un administrateur adjoint l'administration de


la stratgie de groupe pour les units d'organisation Accounting, Accounts
Payable (crances) et Accounts Receivable (dettes). Cette personne sera
responsable de la cration et de la suppression de liaisons d'objets Stratgie
de groupe, de la cration de nouveaux objets Stratgie de groupe et de la
modification des objets Stratgie de groupe existants. Elle grera galement
les autres objets des units d'organisation.

Application pratique

! Dlguer un utilisateur le contrle administratif de la stratgie


de groupe

1. Ouvrez la console Gestion de stratgie de groupe en tant que


Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dveloppez successivement Fort, Domaines, Votre_Domaine, Objets de
stratgie de groupe, puis cliquez sur GPO_pratique.
3. Sous l'onglet Dlgation, ajoutez Nwtradersx\Nom_OrdinateurUser la
liste avec les autorisations Modifier les paramtres, supprimer modifier
la scurit, puis cliquez sur OK.
4. Dans la console Gestion de stratgie de groupe, cliquez sur Votre_Domaine,
puis dans le volet de dtails, cliquez sur la liaison GPO_pratique.
5. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
6. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner, entrez
Nwtradersx\Nom_OrdinateurUser, cliquez sur Vrifier les noms, puis
sur OK.

Module 5 : Implmentation d'une stratgie de groupe

7. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la


zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
8. Fermez la console Gestion de stratgie de groupe.

65

66

Module 5 : Implmentation d'une stratgie de groupe

Leon : Planification d'une stratgie de groupe pour


l'entreprise

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous planifiez une structure Active Directory, crez un plan pour
l'hritage des objets Stratgie de groupe, l'administration et le dploiement qui
offre la gestion de stratgie de groupe la plus efficace possible pour votre
organisation.
Envisagez galement la faon dont vous allez implmenter la stratgie de
groupe pour l'organisation. Afin que votre plan offre simplicit d'utilisation et
d'administration, veillez prendre en considration la dlgation d'autorisation,
la sparation des tches d'administration, le choix d'une administration
centralise ou dcentralise, ainsi que la flexibilit de conception.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer les instructions de planification des objets Stratgie de groupe ;

expliquer les instructions de dtermination de l'hritage des objets Stratgie


de groupe ;

expliquer les instructions de dtermination d'une stratgie de groupe pour


les sites ;

expliquer les instructions de planification de l'administration des objets


Stratgie de groupe ;

expliquer les instructions de dploiement des objets Stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

67

Instructions de planification des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Crez des objets Stratgie de groupe de faon offrir une simplicit d'utilisation
et de gestion optimale, notamment via l'utilisation de l'hritage et des liaisons
multiples.

Instructions

Appliquez les instructions suivantes pour planifier les objets Stratgie de


groupe :
!

Appliquez les paramtres de stratgie de groupe au plus haut niveau. De


cette faon, vous bnficiez de l'hritage de stratgie de groupe. Dterminez
les paramtres communs des objets Stratgie de groupe pour le plus grand
conteneur, en commenant par le domaine, puis en liant l'objet Stratgie de
groupe de ce conteneur.

Diminuez le nombre des objets Stratgie de groupe. Rduisez ce nombre en


utilisant plusieurs liaisons au lieu de crer plusieurs objets Stratgie de
groupe identiques. Essayez de lier un objet Stratgie de groupe au plus
grand conteneur possible, afin d'viter de crer plusieurs liaisons du mme
objet un niveau plus bas.

Crez des objets Stratgie de groupe spcialiss. Utilisez ces objets


Stratgie de groupe pour appliquer des paramtres uniques si ncessaire.
Les objets Stratgie de groupe un niveau suprieur n'appliqueront pas les
paramtres de ces objets Stratgie de groupe spcialiss.

Dsactivez les paramtres de configuration de l'ordinateur ou de


l'utilisateur. Lorsque vous crez un objet Stratgie de groupe destin
contenir les paramtres de l'un de ces deux niveaux (utilisateur ou
ordinateur), dsactivez l'autre zone. Cela permet d'amliorer les
performances d'application des objets Stratgie de groupe lors de la
connexion de l'utilisateur et empche l'application accidentelle des
paramtres l'autre zone.

68

Module 5 : Implmentation d'une stratgie de groupe

Instructions pour dterminer l'hritage des objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

L'hritage des objets Stratgie de groupe tient une place importante dans
l'implmentation de la stratgie de groupe d'une entreprise. C'est pourquoi vous
devez dcider l'avance d'appliquer la stratgie de groupe tout ou partie des
utilisateurs et ordinateurs.

Instructions

Appliquez les instructions suivantes pour dterminer l'hritage des objets


Stratgie de groupe.
!

Utilisez l'option Appliqu (Ne pas passer outre) uniquement lorsqu'elle est
requise. Utilisez cette option uniquement pour les objets Stratgie de groupe
que vous voulez absolument appliquer, par exemple les paramtres de
scurit exigs par l'entreprise. Assurez-vous que ces objets Stratgie de
groupe contiendront uniquement ces paramtres importants.

Utilisez l'option Blocage de l'hritage avec modration. Ce paramtre


complique la rsolution des problmes et l'administration des objets
Stratgie de groupe.

Utilisez le filtrage de scurit en cas de besoin uniquement. Utilisez le


filtrage de scurit lorsque des paramtres s'appliquent uniquement un
groupe de scurit particulier dans un conteneur. Limitez le nombre de
filtres de scurit en crant et en liant des objets Stratgie de groupe au
niveau appropri.

Module 5 : Implmentation d'une stratgie de groupe

69

Instructions pour dterminer une stratgie de groupe pour les sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer
des paramtres l'ensemble des ordinateurs et utilisateurs se trouvant
physiquement sur ce site. Lorsque la stratgie de groupe est dfinie au niveau
du site, elle n'affecte pas les utilisateurs itinrants sur ce site s'ils ont accs au
rseau partir d'un autre site.

Instructions

Appliquez les instructions suivantes pour dterminer une stratgie de groupe


pour des sites :
!

Appliquez un objet Stratgie de groupe un site uniquement si les


paramtres sont spcifiques au site et non au domaine. La rsolution des
problmes de paramtres de stratgie de groupe lis au site peut s'avrer
complique.

Crez des objets Stratgie de groupe dans le domaine qui comporte le plus
grand nombre de contrleurs de domaine sur ce site. Un contrleur de
domaine du domaine contenant l'objet Stratgie de groupe li au site est
contact avant l'application de l'objet, quel que soit le domaine auquel
appartient l'utilisateur ou l'ordinateur.

70

Module 5 : Implmentation d'une stratgie de groupe

Instructions de planification de l'administration des objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Veillez documenter les lments suivants relatifs votre stratgie de gestion


des objets Stratgie de groupe dans votre organisation.

Instructions

Appliquez les instructions suivantes pour planifier l'administration des objets


Stratgie de groupe :
!

Identifiez votre stratgie d'administration pour la gestion des objets


Stratgie de groupe. Dterminez quelles personnes vont crer et lier des
objets Stratgie de groupe dans votre organisation, et quelles personnes vont
mais ne pourront pas les crer. Dterminez galement la personne qui va
grer les objets Stratgie de groupe.

Organisez les objets Stratgie de groupe en fonction de la maintenance


administrative. De cette faon, vous pourrez dlguer le contrle des objets
Stratgie de groupe au groupe appropri et rduire le risque potentiel
qu'un administrateur remplace les modifications apportes par un autre
administrateur un objet Stratgie de groupe donn. Vous pouvez, par
exemple, organiser la stratgie de groupe en fonction des catgories
d'administration suivantes :
Gestion de la configuration des utilisateurs
Gestion des donnes
Distribution des logiciels

Planifiez l'audit des objets Stratgie de groupe. Votre organisation peut


vous demander d'enregistrer les modifications apportes aux objets Stratgie
de groupe ainsi que leur utilisation, afin que vous puissiez vrifier que
Active Directory applique correctement les paramtres.

Module 5 : Implmentation d'une stratgie de groupe

71

Instructions de dploiement des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous planifiez l'implmentation de la stratgie de groupe, veillez


tester et documenter votre stratgie de groupe.

Instructions

Appliquez les instructions suivantes pour dployer des objets Stratgie


de groupe :
!

Testez les paramtres de stratgie de groupe. Testez les rsultats des


objets Stratgie de groupe dans diffrentes situations. Bon nombre des
organisations de moyenne et grande taille crent une version miniature de
leur environnement de production pour l'utiliser comme banc d'essai .
Dans les petites entreprises, qui ne disposent pas des mmes ressources,
implmentez la stratgie de groupe dans l'environnement de production en
dehors des heures de pointe, et mettez en place une stratgie de rgression
afin de corriger tout problme qui surviendrait. Les stratgies de test
incluent :
L'ouverture de session en tant qu'utilisateur reprsentatif sur des stations
de travail reprsentatives, afin de vrifier que les paramtres de stratgie
de groupe prvus ont bien t appliqus et qu'aucun conflit d'hritage ne
se produit. Vous pouvez utiliser l'Assistant Modlisation de stratgie de
groupe et l'Assistant Rsultats de stratgie de groupe pour dterminer
quels paramtres de stratgie de groupe ont t appliqus et partir de
quels objets Stratgie de groupe.
L'ouverture de session dans toutes les conditions envisageables, afin de
vous assurer que les paramtres de stratgie de groupe sont appliqus de
faon homogne.
Le test des ordinateurs portables en les connectant au rseau depuis les
diffrents sites sur lesquels les utilisateurs sont susceptibles d'ouvrir une
session.

72

Module 5 : Implmentation d'une stratgie de groupe


!

Documentez le plan de stratgie de groupe. Conservez toujours la liste


dtaille de tous les objets Stratgie de groupe, afin de facilement rsoudre
les problmes et grer la stratgie de groupe. Pensez inclure les
informations suivantes dans votre liste :
Le nom et la fonction de chaque objet Stratgie de groupe.
Les paramtres de stratgie de groupe de chaque objet Stratgie de
groupe.
Les liaisons d'objets Stratgie de groupe un site, un domaine ou une
unit d'organisation.
Tout paramtre spcial appliqu l'objet Stratgie de groupe (Appliqu,
dsactivation partielle ou totale, par exemple).

Module 5 : Implmentation d'une stratgie de groupe

73

Application pratique : Implmentation d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Emplacement de fichier

Pour commencer la prsentation Implmentation d'une stratgie de groupe,


ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia,
puis sur le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre
invit par l'instructeur.

Objectif

Dans cette application pratique, vous allez dterminer les effets de l'application
de certains paramtres de stratgie de groupe et de l'hritage des objets Stratgie
de groupe.

Instructions

La prsentation Implmentation d'une stratgie de groupe inclut des exercices


de type QCM et glisser-dplacer destins tester vos connaissances. Lisez les
instructions et commencez la prsentation sous l'onglet Effets des paramtres
Stratgie de groupe.

74

Module 5 : Implmentation d'une stratgie de groupe

Atelier A : Implmentation d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Conditions pralables

Dure approximative
de cet atelier :
75 minutes

la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!

crer et configurer des objets Stratgie de groupe ;

lier des objets Stratgie de groupe ;

vrifier les paramtres de stratgie de groupe.

Avant de travailler sur cet atelier, vous devez :


!

connatre la console Gestion de stratgie de groupe ;

connatre l'diteur d'objets de stratgie de groupe et l'Assistant Modlisation


de stratgie de groupe.

Module 5 : Implmentation d'une stratgie de groupe

75

Exercice 1
Cration et configuration d'objets Stratgie de groupe
Dans cet exercice, vous allez crer une unit d'organisation pour le service Comptabilit et sparer
les units d'organisation pour les groupes Crances et Dettes au sein du service Comptabilit. Vous
allez ensuite crer et configurer des objets Stratgie de groupe pour les groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.

Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de l'objet Stratgie de
groupe de l'entreprise. Vous allez crer un objet Stratgie de groupe standard Accounting pour
supprimer la commande Excuter du menu Dmarrer et supprimer la commande Arrter des
utilisateurs et ordinateurs. Les rgles de l'entreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et qu'ils comportent au moins huit caractres. Chaque mot de passe
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de l'organisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.

Tches
1.

Crer la structure trois


units d'organisation.

Instructions spcifiques
a.

Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


(Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd, si vous n'tes pas dj
connect.

b. Utilisez la commande Excuter en tant que pour ouvrir la

console Utilisateurs et ordinateurs Active Directory. Utilisez


Votre_Domaine\Administrateur comme nom d'utilisateur et le mot
de passe P@ssw0rd, puis crez les units d'organisation suivantes :

2.

Crer l'objet Stratgie de


groupe Accounting et
vrifier que les paramtres
cls sont propags
l'ensemble des utilisateurs
dans Accounting.

a.

Accounting

Accounts Receivable

Accounts Payable

Crez un nouvel objet Stratgie de groupe.

b. Liez l'objet Stratgie de groupe l'unit d'organisation Accounting.


c.

Configurez les paramtres de stratgie de groupe suivants :

Supprimer le menu Excuter du menu Dmarrer

Supprimer et empcher l'accs la commande Arrter

Appliqu

76

Module 5 : Implmentation d'une stratgie de groupe

Tches
3.

4.

5.

6.

Instructions spcifiques

Copier l'objet Stratgie de


groupe Accounting et lui
donner le nom de Accounts
Receivable.

a.

Configurer l'objet Stratgie


de groupe Accounts
Receivable.

"

Copier l'objet Stratgie de


groupe Accounting et lui
donnez le nom de Accounts
Payable.

a.

Configurez l'objet Stratgie


de groupe Accounts
Payable.

"

Copiez l'objet Stratgie de groupe Accounting.

b. Donnez le nom de Accounts Receivable la copie.

Modifiez l'objet Stratgie de groupe Accounts Receivable pour dfinir


les stratgies sur la valeur suivante :

Supprimer l'application Ajouter ou supprimer des


programmes

Copiez l'objet Stratgie de groupe Accounting.

b. Donnez le nom de Accounts Payable la copie.

Modifiez l'objet Stratgie de groupe Accounts Payable pour dfinir les


stratgies sur la valeur suivante :

Dsactiver le verrouillage de l'ordinateur (le chemin


d'accs cette option est Configuration utilisateur\Modles
d'administration\Systme\Options Ctrl+Alt+Suppr).

Module 5 : Implmentation d'une stratgie de groupe

Exercice 2
Liaison d'objets Stratgie de groupe
Dans cet exercice, vous allez lier des objets Stratgie de groupe l'unit d'organisation approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.
Tches

Instructions spcifiques

"

"

Lier les objets Stratgie de


groupe Accounts Receivable
et Accounts Payable l'unit
d'organisation approprie.

Dans la console Gestion de stratgie de groupe, liez les units


d'organisation suivantes l'objet Stratgie de groupe appropri :

Accounts Receivable

Accounts Payable

77

78

Module 5 : Implmentation d'une stratgie de groupe

Exercice 3
Vrification des paramtres de stratgie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour vrifier
les paramtres de stratgie de groupe que vous avez configurs dans les exercices prcdents.

Tches
1.

2.

Instructions spcifiques

Utiliser l'Assistant
Modlisation de stratgie
de groupe pour vrifier les
objets Stratgie de groupe
Accounting.

a.

Passer en revue les rsultats


de l'Assistant Modlisation
de stratgie de groupe pour
vrifier les paramtres de
stratgie de groupe.

a.

Dans la console Gestion de stratgie de groupe, ouvrez l'Assistant


Modlisation de stratgie de groupe.

b. Acceptez les valeurs par dfaut pour chaque unit d'organisation

Accounting.
Affichez les trois rsultats de modlisation que vous avez crs
l'tape prcdente.

b. Passez les paramtres en revue pour vous assurer de leur homognit.

Module 6 : Dploiement et
gestion des logiciels l'aide
d'une stratgie de groupe
Table des matires
Vue d'ensemble

Leon : Prsentation de la gestion du


dploiement de logiciels

Leon : Dploiement de logiciels

Leon : Configuration du dploiement


des logiciels

19

Leon : Maintenance des logiciels


dploys

28

Leon : Rsolution des problmes lis


au dploiement de logiciels

37

Leon : Planification d'une stratgie de


dploiement de logiciels

45

Atelier A : Dploiement et gestion


des logiciels l'aide d'une stratgie
de groupe

53

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

iii

Notes de l'instructeur
Prsentation :
120 minutes
Atelier :
60 minutes

Ce module fournit aux stagiaires des informations sur le dploiement et la


gestion des logiciels l'aide de la stratgie de groupe dans Microsoft Windows
Server 2003. Le module met l'accent sur les concepts de base du dploiement
de logiciels ; sur la configuration, la maintenance et le dpannage des logiciels
dploys, et sur la planification du dploiement de logiciels.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :

Documents de cours

expliquer les concepts de base du dploiement de logiciels l'aide de la


stratgie de groupe ;

dployer des logiciels l'aide de la stratgie de groupe ;

configurer le dploiement de logiciels l'aide de la stratgie de groupe ;

assurer la maintenance des logiciels dploys l'aide de la stratgie de


groupe ;

rsoudre quelques problmes courants lis au dploiement des logiciels ;

planifier une stratgie de dploiement de logiciels.

Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint


2194A_06.ppt.
Important Il est recommand d'utiliser PowerPoint 2002 ou une version
ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;

lire l'Annexe B Publication des packages d'Installateur non-Windows sur


le CD-ROM du stagiaire ;

lire l'Annexe C Utilisation de DFS sur le CD-ROM du stagiaire ;

lire le livre blanc Windows Installer Service Overview (en anglais) sous
Documentation supplmentaire sur la page Web du CD-ROM du
stagiaire ;

lire le livre blanc Windows 2000 Server Software Installation and


Maintenance (en anglais) sous Documentation supplmentaire sur la page
Web du CD-ROM du stagiaire.

iv

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications pratiques
et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent
des tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Prsentation de la gestion du dploiement de logiciels


Les informations de cette leon prsentent les connaissances de base requises
pour permettre aux stagiaires de grer le dploiement de logiciels. Prsentez la
gestion du dploiement de logiciels en dcrivant brivement chaque phase
d'installation logicielle, en vitant de trop entrer dans les dtails de chaque phase.
Prsentez Microsoft Windows Installer et dcrivez son rle dans l'installation
et la maintenance des logiciels. Analysez quelques-uns des problmes courants
auxquels les administrateurs sont confronts lors du dploiement et de la
gestion de logiciel au sein d'une organisation.
Il se peut que les stagiaires aient des questions portant sur des packages autres
que Windows Installer. Lisez l'Annexe B Publication des packages
d'Installateur non-Windows sur le CD-ROM du stagiaire pour plus
d'informations sur l'utilisation de packages autres que Windows installer.
Application pratique

Cette leon ne comporte pas d'application pratique.

Leon : Dploiement de logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de dployer des logiciels. Prsentez le
processus de dploiement des logiciels. Dcrivez le processus de cration d'un
point de distribution de logiciels. Discutez des consignes de cration d'un point
de distribution de logiciels dans la leon sur la planification. Discutez des
avantages lis la publication des logiciels plutt qu' leur installation.
Expliquez la distinction entre affecter un logiciel un utilisateur et l'affecter
un ordinateur. Expliquez quand il peut tre plus appropri d'affecter un logiciel
un utilisateur ou des ordinateurs. Montrez comment les utilisateurs peuvent
utiliser Ajouter ou supprimer des programmes du Panneau de configuration
pour installer des logiciels. Expliquez le processus utilis lorsqu'un utilisateur
clique double-clique sur un type de fichier inconnu. Illustrez la procdure
d'utilisation de la stratgie de groupe pour l'affectation et la publication du
package de logiciels. Montrez comment modifier les options de dploiement
pour une application.
Expliquez aux stagiaires qu'ils peuvent configurer les options par dfaut
d'installation logicielle pour les objets Stratgie de groupe courants (GPO,
Group Policy Object) lorsqu'ils ajoutent simultanment plusieurs applications
un objet Stratgie de groupe et qu'ils veulent utiliser les mmes options pour
elles par dfaut. Bien que les stagiaires aient peut-tre dfini globalement les
paramtres par dfaut pour de nouveaux packages dans l'objet Stratgie de
groupe, ils peuvent ultrieurement modifier certains de ces mmes paramtres
en ditant les proprits du package.

vi

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
options relatives aux logiciels dploys.
Application pratique

Au cours de l'application pratique et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour dployer des logiciels
l'aide de la stratgie de groupe.

Leon : Configuration du dploiement des logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de configurer le dploiement de logiciels.
Prsentez la configuration du dploiement de logiciels. Expliquez comment
vous utilisez des catgories de logiciels pour classer des applications dans
Ajouter ou supprimer des programmes. Expliquez le concept de gestion des
extensions de noms de fichiers l'aide du composant Installation de logiciel de
la stratgie de groupe. Prcisez qu'une liste des extensions de noms de fichiers
et des applications qui leur sont associes sont stockes dans le service
d'annuaire Active Directory. Illustrez le concept d'ajout de modifications un
package de logiciels. Indiquez aux stagiaires l'onglet Modifications de la bote
de dialogue des proprits pour une application publie, et dcrivez comment
ajouter un fichier de transformation.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise lorsqu'ils configurent le
dploiement de logiciels.

Leon : Maintenance des logiciels dploys


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires d'assurer la maintenance des logiciels
dploys. Prsentez le concept de maintenance des logiciels dploys. Illustrez
la procdure utilise pour le dploiement d'une mise niveau obligatoire ou
facultative. Montrez comment redployer des logiciels. Insistez sur le fait qu'un
redploiement exige que vous obteniez les fichiers d'application mis jour ainsi
qu'un nouveau fichier de package Windows Installer. Expliquez le processus
utilis pour la suppression de logiciels dploys. Illustrez la procdure utilise
pour la suppression de logiciels dploys. Prcisez que lorsque vous configurez
un objet Stratgie de groupe, le logiciel est automatiquement supprim.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise pour assurer la maintenance
des logiciels dploys.

Leon : Rsolution des problmes lis au dploiement de logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de rsoudre des problmes courants lis
au dploiement des logiciels. Indiquez aux stagiaires qu'ils peuvent tre
confronts des problmes lors du dploiement de logiciels l'aide de la
stratgie de groupe. Prsentez quelques-uns problmes les plus courants
auxquels ils pourraient tre confronts, ainsi que les stratgies suggres
pour les rsoudre.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Application pratique

vii

Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires


de se reporter au scnario d'entreprise lorsqu'ils procdent au dpannage d'un
dploiement de logiciels.

Leon : Planification d'une stratgie de dploiement de logiciels


Les informations de cette leon prsentent les comptences et les connaissances
requises pour que les stagiaires puissent planifier une stratgie de dploiement de
logiciels en appliquant les instruction de planification des points de distribution
de logiciels, les objets Stratgie de groupe et la maintenance des logiciels. La
section de ce cours relative la planification suppose que l'ingnieur systme a
reu une conception d'Active Directory mais qu'il doit dvelopper une stratgie
pour le dploiement de logiciels l'aide de la stratgie de groupe.
Il est important de comprendre le systme de fichiers DFS (DFS, Distributed
File System) pour la planification des points de distribution de logiciels. Ce
cours n'enseigne pas le concept de DFS. En consquence, lisez l'Annexe C
Utilisation de DFS sur le CD-ROM du stagiaire et encouragez les stagiaires
faire de mme.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires


de se reporter au scnario d'entreprise lorsqu'ils planifient une stratgie de
dploiement de logiciels. Expliquez le scnario avec les stagiaires et dites-leur
qui sera leur partenaire de domaine. Dterminez les paramtres requis pour que
les stagiaires remplissent les objectifs du scnario. Demandez aux stagiaires de
se tenir prts argumenter leurs dcisions.

Atelier A : Dploiement et gestion des logiciels l'aide d'une


stratgie de groupe
L'atelier de ce module donne aux stagiaires l'occasion de dployer et de grer
des logiciels l'aide de la stratgie de groupe. Les stagiaires prpareront leur
contrleur de domaine destin hberger les logiciels installs l'aide de la
stratgie de groupe, puis ils vrifieront les paramtres d'affectation des logiciels.
En travaillant sur le contrleur de domaine qui leur est affect, les stagiaires
vrifieront les paramtres d'installation logicielle en se connectant en tant
qu'utilisateur recevant des paramtres pour l'objet Stratgie de groupe cr
dans le cadre de la tche prcdente. Les stagiaires testeront les paramtres
en examinant les nouveaux logiciels installs pour cet utilisateur.
Pour prparer la publication des logiciels, les stagiaires supprimeront le package
qu'ils avaient affect dans l'exercice prcdent, puis utiliseront ce mme
package pour comparer les diffrences. Aprs suppression du package affect,
les stagiaires diteront la stratgie de groupe pour publier une application et
vrifieront les paramtres de publication des logiciels. Ils supprimeront ensuite
les logiciels dploys prcdemment en ditant la stratgie de groupe.
Pour finir, les stagiaires mettront niveau les logiciels qu'ils ont dploys.
Lorsque la mise niveau sera termine, les stagiaires vrifieront que celle-ci
a bien install la nouvelle application.

viii

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise

L'atelier de ce module exige que la console Gestion des stratgies de groupe


(GPMC, Group Policy Management Console), un composant logiciel
enfichable MMC (Microsoft Management Console), soit installe. Pour
prparer les ordinateurs des stagiaires remplir cette condition, vrifiez que les
stagiaires ont effectu l'application pratique Cration et configuration d'objets
Stratgie de groupe du Module 5. S'ils ne l'ont pas ralise, ils doivent installer
la console Gestion des stratgies de groupe partir de \\LONDON\Setup.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Elle cre l'objet Stratgie de groupe de dploiement de logiciels de l'atelier.

Elle affectation l'application Cosmo 1.

Elle publie l'application Cosmo 1.

Elle met niveau l'application Cosmo 1 l'aide de l'application Cosmo 2.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Microsoft Windows Server 2003 comporte une fonctionnalit appele


Installation et maintenance du logiciel qui utilise le service d'annuaire Active
Directory, la stratgie de groupe et Microsoft Windows Installer pour installer,
grer et supprimer des logiciels sur les ordinateurs dans votre organisation.
L'utilisation d'une mthode de gestion de dploiement de logiciels base sur une
stratgie garantit que les applications dont les utilisateurs ont besoin pour faire
leur travail sont disponibles o et quand elles sont requises.

Objectifs

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

expliquer les concepts de base du dploiement de logiciels l'aide de la


stratgie de groupe ;

dployer des logiciels l'aide de la stratgie de groupe ;

configurer le dploiement de logiciels l'aide de la stratgie de groupe ;

assurer la maintenance des logiciels dploys l'aide de la stratgie de


groupe ;

rsoudre quelques problmes courants lis au dploiement des logiciels ;

planifier une stratgie de dploiement de logiciels.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Leon : Prsentation de la gestion du dploiement


de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous grez des logiciels l'aide de l'extension Installation de logiciel


de la stratgie de groupe, les utilisateurs ont un accs immdiat au logiciel dont
ils ont besoin pour faire leur travail, et ils travaillent de manire transparente
avec le logiciel pendant toute sa dure de vie. Le cycle de vie des logiciels
est compos de quatre phases : prparation, dploiement, maintenance et
suppression. La stratgie de groupe Installation de logiciels utilise la
technologie Microsoft Windows Installer pour grer le processus d'installation.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire chaque phase du processus d'installation et de maintenance du


logiciel de dploiement de logiciels ;

expliquer comment vous utilisez Windows Installer pour installer les


logiciels et assurer leur maintenance.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Processus d'installation et de maintenance de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Windows Server 2003 vous permet d'utiliser la stratgie de groupe pour grer le
processus de dploiement de logiciels de manire centralise ou partir d'un
emplacement. Vous pouvez appliquer des paramtres de stratgie de groupe
des utilisateurs ou des ordinateurs dans un site, un domaine ou une unit
d'organisation pour automatiser l'installation, la mise niveau ou la suppression
de logiciels. L'application de paramtres de stratgie de groupe des logiciels
vous permet de grer les diverses phases du dploiement de logiciels sans
dployer ceux-ci individuellement sur chaque ordinateur.

Processus

La liste suivante dcrit chaque phase du processus d'installation et de


maintenance du logiciel :
1. Prparation. Vous devez dterminer tout d'abord si vous pouvez dployer
le logiciel l'aide de la structure des objets Stratgie de groupe courante.
Vous devez galement identifier les risques lis l'utilisation de
l'infrastructure courante susceptibles d'empcher l'installation logicielle.
Prparez les fichiers permettant le dploiement d'une application l'aide de
la stratgie de groupe en copiant les fichiers de package Windows Installer
pour une application dans un point de distribution de logiciels, qui peut
tre un dossier partag sur un serveur. Vous pouvez acqurir un fichier
de package Windows Installer auprs du fournisseur de l'application, ou
en crer un l'aide d'un utilitaire tiers.
2. Dploiement. Vous crez un objet Stratgie de groupe qui installe le logiciel
sur l'ordinateur et relie l'objet Stratgie de groupe un conteneur Active
Directory appropri. Le logiciel est install au dmarrage de l'ordinateur
ou lorsqu'un utilisateur dmarre l'application.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

3. Maintenance. Vous procdez la mise niveau d'un logiciel avec une


nouvelle version, ou vous redployez un logiciel avec un Service Pack
ou une mise niveau du logiciel. Le logiciel est alors mis niveau ou
redploy automatiquement au dmarrage de l'ordinateur ou lorsqu'un
utilisateur dmarre l'application.
4. Suppression. Pour liminer un logiciel qui n'est plus requis, supprimez
les paramtres du package de logiciels dans l'objet Stratgie de groupe
l'origine de son dploiement. Le logiciel est automatiquement supprim au
dmarrage de l'ordinateur ou lorsqu'un utilisateur ouvre une session.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Dfinition de Windows Installer

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Windows Server 2003 utilise Windows Installer pour permettre la stratgie


de groupe de dployer et de grer des logiciels. Ce composant automatise
l'installation et la suppression d'applications en appliquant durant le processus
d'installation un jeu de rgles de configuration dfinies de faon centralise.

Composants de
Windows Installer

Windows Installer contient deux composants :


!

Le service Windows Installer. Ce service ct client automatise intgralement


le processus d'installation et de configuration logicielle. Le service Windows
Installer peut galement modifier ou rparer une application installe
existante. Il installe une application directement partir du CD-ROM ou
l'aide de la stratgie de groupe. Pour installer une application, le service
Windows Installer a besoin d'un package Windows Installer.

Le package Windows Installer. Ce fichier de package contient toutes les


informations dont le service Windows Installer a besoin pour installer ou
dsinstaller des logiciels. Un fichier de package contient :
Un fichier Windows Installer portant une extension .msi.
Tout fichier source externe requis pour installer ou dsinstaller
le logiciel.
Un rsum des informations standard concernant le logiciel et
le package.
Les fichiers du produit ou une rfrence un point d'installation o
ces fichiers se trouvent.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Avantages

Les avantages de l'utilisation de la technologie Windows Installer sont


les suivants :
!

Installations personnalises. Des fonctionnalits optionnelles dans une


application, telles que des images clipart ou un thsaurus, peuvent tre
visibles dans un programme sans que la fonctionnalit ne soit installe.
Bien que les commandes du menu soient accessibles, la fonctionnalit n'est
pas installe avant que l'utilisateur n'accde la commande dans le menu.
Cette mthode d'installation contribue rduire la fois la complexit
de l'application et la quantit d'espace qu'elle occupe sur le disque dur.

Applications tolrantes aux pannes. Si un fichier critique est supprim ou


endommag, l'application rcupre automatiquement une nouvelle copie
du fichier partir de la source d'installation, sans que l'utilisateur n'ait
intervenir.

Suppression propre. Windows Installer dsinstalle des applications sans


laisser de fichiers orphelins ni endommager une autre application par
inadvertance par exemple, lorsqu'un utilisateur supprime un fichier
partag dont une autre application a besoin. De plus, Windows Installer
supprime tous les paramtres de registre lis l'application et stocke dans
une base de donnes les transactions d'installation et les fichiers journaux
qui en dcoulent.

Remarque Lorsqu'il n'est pas plausible d'utiliser un logiciel de


reconditionnement pour reconditionner une application, ou lorsqu'un fichier
de package Windows Installer n'est pas disponible, utilisez des fichiers .zap
(packages autres que Windows Installer) pour publier les applications.
Pour obtenir des informations sur les packages autres que Windows Installer,
reportez-vous l'annexe B Publication des packages d'Installateur nonWindows sur le CD-ROM du stagiaire. Consultez galement le livre blanc
Windows Installer Service Overview (en anglais) sous Documentation
supplmentaire sur la page Web du CD-ROM du stagiaire.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Leon : Dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Le dploiement de logiciels garantit que les applications requises sont


disponibles partir de chaque ordinateur auquel l'utilisateur se connecte.
Du point de vue de l'utilisateur, les logiciels sont toujours disponibles et
fonctionnels. Les administrateurs peuvent installer l'avance les logiciels pour
les utilisateurs ou permettre ceux-ci d'installer au coup par coup les logiciels
dont ils ont besoin.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer le processus du dploiement de logiciels l'aide de la stratgie


de groupe ;

expliquer le rle de l'affectation et de la publication de logiciels ;

crer un point de distribution de logiciels pour dployer ces derniers ;

crer un objet Stratgie de groupe pour affecter des logiciels ou les publier ;

dcrire les options par dfaut d'installation de logiciels ;

modifier les options d'installation de logiciels.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Vue d'ensemble du processus de dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lors du dploiement de logiciels, vous spcifiez comment les applications sont


installes et gres dans votre organisation.

Processus

Excutez les tches suivantes pour utiliser la stratgie de groupe pour le


dploiement de nouveaux logiciels :
1. Crez un point de distribution de logiciels. Ce dossier partag sur votre
serveur contient les fichiers de package et de logiciels permettant le
dploiement de logiciels. Lorsque des logiciels sont installs sur un
ordinateur local, Windows Installer copie des fichiers partir de ce point
de distribution. Le fait de rassembler les fichiers en un mme endroit pour
chaque application simplifie l'administration.
2. Utilisez un objet Stratgie de groupe pour le dploiement des logiciels.
Vous devez crer ou modifier en consquence un objet Stratgie de groupe
pour le conteneur dans lequel vous souhaitez dployer l'application.
Vous pouvez configurer l'objet Stratgie de groupe pour le dploiement de
logiciels pour un compte d'utilisateur ou d'ordinateur. Cette tche inclut
la slection du type de dploiement dont vous avez besoin.
3. Modifiez les proprits de dploiement des logiciels. En fonction de vos
besoins, vous pouvez modifier les proprits qui avaient t dfinies durant
le dploiement initial des logiciels.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Affectation de logiciels et publication de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

L'affectation de logiciels et la publication de logiciels constituent les deux types


de dploiement.

Pourquoi affecter
un logiciel ?

L'affectation des logiciels vous permet de vous assurer que l'utilisateur peut en
disposer en permanence. Des raccourcis dans le menu Dmarrer et des icnes
sur le Bureau correspondant aux logiciels apparaissant lorsque l'utilisateur
ouvre une session. Par exemple, si l'utilisateur ouvre un fichier qui utilise
Microsoft Excel sur un ordinateur qui ne comporte pas Excel, mais que ce
logiciel a t affect l'utilisateur, Windows Installer installe Excel sur cet
ordinateur lorsque l'utilisateur ouvre le fichier concern.
En outre, l'affectation de logiciels fait que ceux-ci sont tolrants aux pannes.
Si, pour une raison quelconque, l'utilisateur supprime un logiciel, Windows
Installer le rinstalle lorsque l'utilisateur se reconnecte et dmarre l'application.

Pourquoi publier
un logiciel ?

La publication des logiciels vous permet de vous assurer qu'ils sont disponibles
aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows
Installer n'ajoute pas de raccourcis sur le Bureau de l'utilisateur ou dans le menu
Dmarrer, et aucune entre n'est enregistre dans le registre local. Comme les
utilisateurs doivent installer des logiciels publis, vous ne pouvez publier des
logiciels qu'auprs d'utilisateurs, pas auprs d'ordinateurs.

10

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Mthodes d'affectation
et de publication de
logiciels
Mthode de
dploiement

Vous pouvez affecter et publier des logiciels l'aide de l'une des mthodes du
tableau suivant.

Mthode 1

Mthode 2

Affectation

Durant la configuration de l'utilisateur.


Lorsque vous affectez un logiciel un
utilisateur, le logiciel est publi sur le Bureau
de l'utilisateur lorsque celui-ci se connecte.
L'installation ne commence pas tant que
l'utilisateur ne double-clique pas sur l'icne
de l'application ou sur un fichier qui lui est
associ ; cette mthode est appele Activation
de document. Si l'utilisateur n'active pas
l'application, le logiciel n'est pas install,
ce qui conomise de l'espace sur le disque
dur et permet de gagner du temps.

Durant la configuration de l'ordinateur.


Lorsque vous affectez un logiciel un
ordinateur, aucune publication n'a lieu.
Le logiciel est install automatiquement
au dmarrage de l'ordinateur. L'affectation
d'un logiciel un ordinateur garantit la
disponibilit de certaines applications sur
cet ordinateur, quelle que soit la personne
qui l'utilise. Vous ne pouvez pas affecter
de logiciel un ordinateur servant de
contrleur de domaine.

Publication

l'aide d'Ajouter ou supprimer des


programmes. L'utilisateur peut ouvrir le
Panneau de configuration et double-cliquer sur
Ajouter ou supprimer des programmes pour
afficher les applications disponibles.
L'utilisateur peut slectionner une application
puis cliquer sur Ajouter.

l'aide de l'activation de document.


Lorsque vous publiez une application dans
Active Directory, les extensions de noms
de fichiers des documents qu'elle prend en
charge sont enregistres dans Active
Directory. Si un utilisateur double-clique
sur un type de fichier inconnu, l'ordinateur
envoie une requte Active Directory
pour dterminer si l'une des applications
est associe l'extension. Si Active
Directory contient l'application requise,
l'ordinateur l'installe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Cration d'un point de distribution de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour dployer des logiciels pour des utilisateurs ou en assurer la disponibilit


pour que ceux-ci les installent quand ils en ont besoin, crez un ou plusieurs
points de distribution de logiciels dans lesquels vous copierez les logiciels
concerns.

Procdure

Pour crer un point de distribution de logiciels, procdez comme suit :


1. Crez un dossier partag.
2. Crez les dossiers d'applications appropris dans le dossier partag.
3. Dfinissez l'autorisation approprie pour le dossier partag. Affectez aux
utilisateurs l'autorisation en lecture (Read) sur le systme de fichier NTFS
afin qu'ils puissent accder aux fichiers d'installation logicielle requis dans
le point de distribution de logiciels.
4. Copiez dans les dossiers appropris les packages Windows Installer ainsi
que les fichiers connexes.

11

12

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Utilisation d'un objet Stratgie de groupe pour le dploiement de


logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Aprs avoir cr un point de distribution de logiciels, crez un objet Stratgie


de groupe qui dploie ces applications, puis reliez l'objet Stratgie de groupe au
conteneur qui contient les utilisateurs ou les ordinateurs auprs desquels vous
souhaitez dployer des logiciels.
Important N'affectez ni ne publiez plusieurs fois un package Windows Installer
dans un mme objet Stratgie de groupe. Par exemple, si vous affectez
Microsoft Office XP aux ordinateurs affects par un objet Stratgie de groupe,
ne l'affectez ni ne le publiez aux utilisateurs affects par ce mme objet
Stratgie de groupe.

Procdure

Pour utiliser un objet Stratgie de groupe pour le dploiement de logiciels,


procdez comme suit :
1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, pointez sur Nouveau, puis
cliquez sur Package.
3. Dans la bote de dialogue Ouvrir un fichier, naviguez jusqu'au point
de distribution de logiciels l'aide du nom UNC (Universal Naming
Convention) par exemple, \\Nom_Serveur\Nom_Partage
slectionnez le fichier de package, puis cliquez sur Ouvrir.
4. Dans la bote de dialogue Dploiement du logiciel, slectionnez une
mthode de dploiement, puis cliquez sur OK.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

13

Options par dfaut pour installation logicielle

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez configurer les options par dfaut d'installation logicielle


pour l'objet Stratgie de groupe courant lorsque vous souhaitez ajouter
simultanment plusieurs applications un objet Stratgie de groupe ou utiliser
les mmes options pour elles par dfaut.

Options

Le tableau suivant rpertorie les options par dfaut d'installation logicielle.


Option

Description

Emplacement des
packages par
dfaut

Emplacement du point de distribution de logiciels qui


contient les fichiers de package .msi Vous pouvez spcifier
tout emplacement contenant le package de logiciels, mais
assurez-vous que le point de distribution est un chemin UNC
plutt qu'une unit locale.
Utilisez l'option Afficher la boite de dialogue de dploiement
de logiciel pour afficher une bote de dialogue pour chaque
fichier de package que vous ajoutez l'objet Stratgie de
groupe. Cette bote de dialogue vous invite publier ou
affecter le nouveau fichier de package.

Lors de l'ajout de
nouveaux packages
dans les paramtres
utilisateur

Utilisez l'option Publier pour publier automatiquement par


dfaut un nouveau fichier de package d'installation sous
Configuration utilisateur (cette option n'apparat pas sous
Configuration ordinateur). Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre publies.
Utilisez l'option Attribuer pour affecter automatiquement un
nouveau fichier de package. Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre affectes.
Utilisez l'option Avanc pour obtenir un meilleur contrle sur
une base par package par exemple, lorsque vous utilisez des
transformations.

14

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe


(suite)
Option

Description

Options de
l'interface
utilisateur de
l'installation

Les packages de Windows Installer sont souvent fournis avec


deux interfaces de configuration. L'interface De base installe
les logiciels en utilisant des valeurs par dfaut. L'interface
Toutes invite l'utilisateur entrer des valeurs. Vous pouvez
choisir quelle interface afficher pour les utilisateurs durant la
configuration.

Remarque Pour plus d'informations sur les options des logiciels dploys,
reportez-vous la rubrique Options par dfaut pour installation logicielle
de la page d'annexe du Module 6 sur le CD-ROM du stagiaire.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

15

Modification des options d'installation logicielle

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Un objet Stratgie de groupe peut contenir plusieurs paramtres qui affectent la


manire dont une application est installe, gre et supprime. Vous pouvez
dfinir globalement dans l'objet Stratgie de groupe les paramtres par dfaut
pour les nouveaux packages. Vous pouvez modifier ultrieurement certains de
ces paramtres en ditant les proprits du package dans l'extension Installation
de logiciel.
Aprs avoir dploy un package de logiciels, vous pouvez modifier les
proprits qui avaient t dfinies durant le dploiement initial des logiciels.
Vous pouvez, par exemple, empcher que les utilisateurs n'installent un package
de logiciels l'aide de l'activation de document.

Procdure de
configuration des
options par dfaut
d'installation logicielle

Pour configurer les options par dfaut d'installation logicielle, procdez


comme suit :
1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, puis cliquez sur Proprits.
3. Dans l'onglet Gnral, configurez les options suivantes d'installation
logicielle :
Emplacement par dfaut du package
Lors de l'ajout de nouveaux packages aux paramtres utilisateur
Options de l'interface utilisateur de l'installation
4. Dans l'onglet Avances, slectionnez l'option Dsinstaller les applications
lorsqu'elles se trouvent en dehors de l'tendue de la gestion.

16

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Procdure de
modification des options
relatives aux packages
de logiciels dploys

Pour modifier les proprits de dploiement de logiciels d'un package de


logiciels, procdez comme suit :
1. Dans Installation logicielle, cliquez avec le bouton droit sur le package
dploy, puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits de l'application, dans l'onglet
Dploiement, modifiez les options suivantes du package de logiciels
dploy :
Type de dploiement
Options de dploiement
Options de l'interface utilisateur de l'installation

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

17

Application pratique : Dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez crer un objet Stratgie de groupe
l'aide d'un package .msi pour publier une application.

Scnario

Northwind Traders veut s'assurer que tout le personnel informatique peut grer
le dploiement de logiciels dans toute l'organisation. Avant que l'quipe
informatique ne dploie des logiciels dans toute l'organisation, vous devez
garantir un environnement scuris. Vous utiliserez le package des outils
de support de Windows comme application de test. Vous devez dployer
correctement cette application dans l'environnement de test avant de la
diffuser dans l'environnement de production.

Application pratique

! Dploiement de logiciels
1. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser
(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous travaillez).
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Gestion des stratgies de groupe, puis cliquez sur
Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK.
4. Dans Gestion des stratgies de groupe, dveloppez Fort, puis Domaines,
dveloppez votre_domaine, puis dveloppez et cliquez ensuite sur Objets
de stratgie de groupe.
5. Cliquez avec le bouton droit sur Objets de stratgie de groupe, cliquez sur
Nouveau, tapez Practice Software Deployment puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Practice Software Deployment, puis
cliquez sur Editer.
7. Dans l'diteur des objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez Paramtres du logiciel, puis cliquez sur
Installation logicielle.

18

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

8. Cliquez avec le bouton droit sur Installation logicielle, pointez sur


Nouveau, puis cliquez sur Package.
9. Dans la bote de dialogue Ouvrir, naviguez jusqu' \\London\Labfiles\
Lab6\COSMO1, cliquez sur COSMO1.MSI, puis cliquez sur Ouvrir.
10. Dans la bote de dialogue Dploiement du logiciel, cliquez sur OK.
11. Fermez l'diteur des objets de stratgie de groupe.
12. Dans Gestion des stratgies de groupe, dveloppez l'unit d'organisation
Nom_Ordinateur, cliquez avec le bouton droit sur l'unit d'organisation
Recherche, cliquez sur Link an Existing GPO, puis sur Practice Software
Deployment, puis cliquez sur OK.
13. Fermez Gestion des stratgies de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

19

Leon : Configuration du dploiement des logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Installation de logiciel dans la stratgie de groupe inclut des options de


configuration de logiciels dploys. Vous pouvez dployer plusieurs
configurations diffrentes d'une application et contrler comment cette
application est affecte ou publie chaque fois que les fonctions d'un utilisateur
changent. Vous pouvez galement simplifier la tche de dploiement de
logiciels en catgorisant les programmes rpertoris dans Ajouter ou
supprimer des programmes, en associant des extensions de noms de fichiers
avec des applications, et en ajoutant des modifications aux logiciels dploys.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer le rle des catgories de logiciels ;

crer des catgories de logiciels pour classer des applications dans Ajouter
ou supprimer des programmes ;

expliquer pourquoi il est utile d'associer des extensions de noms de fichiers


des packages de logiciels ;

associer des extensions de noms de fichiers des applications l'aide de


Installation de logiciel ;

expliquer le rle de l'ajout de modifications aux logiciels ;

ajouter des modifications un package de logiciels afin de permettre


diffrents groupes dans une organisation d'utiliser ce package de logiciels
de diffrentes manires.

20

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Dfinition des catgories de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous utilisez des catgories de logiciels pour organiser des logiciels affects et
publis en groupes logiques, afin que les utilisateurs puissent trouver aisment
les applications dans Ajouter ou supprimer des programmes du Panneau de
configuration. Windows Server 2003 est fourni sans catgories de logiciels
prdfinies.

Pourquoi crer des


catgories de logiciels

Vous pouvez crer des catgories de logiciels pour regrouper diffrentes


applications sous un en-tte spcifique. Au lieu de vous en remettre une liste
alphabtique des applications disponibles par dfaut, vous pouvez organiser les
logiciels en catgories, telles que Graphiques, Microsoft Office et Comptabilit.
Les utilisateurs peuvent alors choisir dans les catgories quelles applications
installer dans Ajouter ou supprimer des programmes.

tendue et conditions
requises

Les catgories de logiciels recouvrent plusieurs domaines. Vous les dfinissez


une seule fois pour toute une fort. Vous pouvez utiliser la mme liste de
catgories de logiciels dans toutes les stratgies dans la fort.
La catgorisation des applications exige tout d'abord la cration d'une catgorie,
puis l'affectation des applications la catgorie. Vous pouvez rpertorier des
packages sous plusieurs catgories.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

21

Cration de catgories de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

La catgorisation des logiciels exige tout d'abord la cration d'une catgorie de


logiciels, puis l'affectation de logiciels la catgorie.

Procdure de cration
d'une catgorie

Pour crer une catgorie, procdez comme suit :


1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, puis cliquez sur Package.
3. Dans l'onglet Catgories, cliquez sur Ajouter pour entrer une nouvelle
catgorie.
4. Dans la zone Catgorie, tapez le nom de la catgorie puis cliquez deux fois
sur OK.

Procdure d'affectation
d'un package de
logiciels une catgorie

Pour affecter un package de logiciels une catgorie, procdez comme suit :


1. Crez ou ditez un objet Stratgie de groupe contenant le package de
logiciels catgoriser.
2. Dans l'arborescence de la console, dveloppez Paramtres du logiciel,
puis cliquez sur Installation logicielle.
3. Dans le volet de dtails, cliquez avec le bouton droit sur le package de
logiciels, puis cliquez sur Proprits.
4. Dans l'onglet Catgories, affectez une ou plusieurs catgories au package
de logiciels en cliquant sur la catgorie dans la liste Catgories disponibles,
cliquez ensuite sur Slectionner, puis sur OK.

22

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Dfinition de l'association de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Pour dterminer quels logiciels les utilisateurs installent lorsqu'ils slectionnent


un fichier, vous pouvez choisir une extension de nom de fichier et configurer
une priorit d'installation des applications associes l'extension.

Pourquoi associer des


extensions aux
applications ?

Un ordinateur client gre une liste des extensions et des applications


enregistres qui utilisent ces extensions. Lorsqu'un utilisateur double-clique sur
un type de fichier inconnu, Windows Installer utilise cette liste pour installer
une application. Les administrateurs ne peuvent contrler le contenu de cette
liste, mais ils peuvent dterminer la priorit d'installation ou de dmarrage des
applications lors d'une activation de document.

Exemple

Par exemple, il se peut que votre organisation ait besoin d'utiliser la fois
Microsoft Word 2000 et Word 2002. Chaque traitement de texte peut tre
utilis dans un dpartement diffrent, mais ces deux applications utilisent
l'extension de fichier .doc. Vous devez ajuster les priorits de l'extension
pour chaque dpartement de sorte que le traitement de texte prfr est
install lorsque l'utilisateur active un document.

tendue

Vous grez des associations d'application en fonction de chaque objet Stratgie


de groupe. La modification de l'ordre de priorit dans un objet Stratgie de
groupe n'affecte que les utilisateurs auxquels l'objet Stratgie de groupe
s'applique. Ainsi, si vous dfinissez Word 2002 comme l'application par dfaut
pour un objet Stratgie de groupe, ce ne sera le cas que pour les utilisateurs
dans cet objet Stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

23

Comment associer les extensions de noms de fichiers des


applications

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous dployez des logiciels l'aide de la stratgie de groupe, Active


Directory cre une liste des extensions de noms de fichiers qui sont associs
l'application. Lorsque vous dfinissez des ordres de priorit d'applications pour
les extensions, Windows Installer interroge Active Directory concernant cette
association.
Important Vous ne pouvez pas crer de nouvelles associations de noms de
fichier dans Installation de logiciel. En fonction des associations intgres des
applications dployes, vous ne pouvez dfinir un ordre de priorit que pour les
applications auxquelles plusieurs extensions sont associes.

Procdure

Pour modifier l'ordre de priorit pour une application, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe que vous avez utilis pour dployer
l'application.
2. Dveloppez Configuration utilisateur, puis Paramtres du logiciel,
cliquez avec le bouton droit sur Installation de logiciel, puis cliquez sur
Proprits.
3. Dans la bote de dialogue Proprits de installation de logiciel, dans
l'onglet Extensions de fichiers, slectionnez une extension dans la liste
droulante.

24

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

4. Sous Priorit de l'application, cliquez sur Monter ou Descendre pour


dfinir l'ordre de priorit pour l'extension que vous avez slectionne.
La premire application rpertorie dans Windows Installer est celle qu'il
installe si un document portant l'extension slectionne est appel avant que
l'application n'ait t installe.
Remarque Vous ne pouvez associer des types de document qu'avec des
applications que vous avez dployes l'aide de la stratgie de groupe.
Par exemple, vous ne pouvez pas associer l'extension .doc Word 2002
moins d'avoir dploy Word 2002 l'aide de la stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

25

Dfinition de la modification de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Des modifications sont associes au package Windows Installer au moment


du dploiement plutt que lorsque Windows Installer utilise le package pour
installer ou modifier l'application.

Pourquoi ajouter des


modifications ?

Le dploiement de plusieurs configurations d'une application permet


diffrents groupes dans votre organisation d'utiliser un package de logiciels de
diffrentes manires. Vous pouvez utiliser des modifications de logiciels, ou
fichiers .mst (appels aussi fichiers de transformation), pour dployer plusieurs
configurations d'une application. Un fichier .mst est un package de logiciels
personnaliss qui modifie la manire dont Windows Installer installe le package
.msi associ.
Windows Installer applique des modifications aux packages selon l'ordre que
vous spcifiez. Pour enregistrer les modifications dans un fichier .mst, excutez
l'Assistant d'installation personnalise, puis choisissez le fichier .msi sur lequel
baser les transformations. Vous devez dterminer l'ordre d'application des
fichiers de transformation avant d'affecter ou de publier l'application.

Exemple

Supposons qu'une grande entreprise souhaite dployer Microsoft Office XP,


mais que les besoins des divers dpartements pour la suite Office varient
considrablement dans l'organisation. Plutt que de configurer manuellement
l'installation de chaque dpartement, vous pouvez utiliser diffrents objets
Stratgie de groupe et fichiers .mst en combinaison avec les fichiers .msi par
dfaut pour chaque dpartement, afin de dployer plusieurs configurations
d'Office XP. Dans cet exemple, vous excuteriez l'Assistant d'installation
personnalise d'Office XP partir du Kit de ressources techniques d'Office
pour crer le fichier de transformation.

26

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Comment ajouter des modifications un package de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous ne pouvez ajouter et supprimer de modifications que lors du dploiement


initial d'un package de logiciels. Le fichier de transformation doit exister avant
que vous ne tentiez d'ajouter une modification un package que vous dployez.

Procdure

Pour ajouter des modifications un package de logiciels, procdez comme suit :


1. Ouvrez la bote de dialogue Proprits pour le package de l'application.
2. Dans l'onglet Modifications, cliquez sur Ajouter.
3. Dans la bote de dialogue Ouvrir, slectionnez le chemin et le nom du
fichier de modification (.mst), cliquez sur Ouvrir, puis sur OK.
Important Ne cliquez pas sur OK avant d'avoir termin la configuration
des modifications. Lorsque vous cliquez sur OK, vous affectez ou publiez
immdiatement le package. Si vous ne configurez pas correctement les
modifications, vous devez dsinstaller le package ou le mettre niveau avec
une version correctement configure.
Vous pouvez galement ajouter plusieurs modifications. Windows Installer
applique les modifications en fonction de l'ordre que vous spcifiez dans la liste
Modifications. Pour modifier la liste, cliquez sur une modification, puis cliquez
sur Monter ou Descendre.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

27

Application pratique : Configuration du dploiement des logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez crer une catgorie de logiciels, puis
affecter un objet Stratgie de groupe de logiciels cette catgorie.

Scnario

Northwind Traders dploie un grand nombre d'applications spcifiques au


groupe Comptabilit. Vous avez dcid de crer une catgorie de logiciel
appele Accounting (Comptabilit), afin que le personnel comptable puisse
trouver rapidement les applications dont il a besoin. Comme tout le personnel
comptable n'a pas besoin de toutes les applications comptables, vous avez
dcid de publier les applications plutt que de les affecter.

Application pratique

! Configuration du dploiement des logiciels


1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de groupe
Practice Software Deployment pour crer une catgorie de logiciels
appele Comptabilit.
4. Slectionnez la catgorie Comptabilit pour le logiciel COSMO1 que vous
avez publi dans l'objet Stratgie de groupe Practice Software Deployment.

28

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Leon : Maintenance des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Aprs avoir dploy des logiciels, il peut tre ncessaire de les modifier afin
d'assurer la maintenance ou la mise niveau des logiciels des utilisateurs pour
que ceux-ci disposent de la version la plus jour. Windows Server 2003
comporte trois options pour la maintenance de logiciels : mise niveau des
versions des logiciels, redploiement de logiciel et suppression de logiciel.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire les options de mise niveau des logiciels dploys ;

mettre niveau des logiciels dploys l'aide de la stratgie de groupe ;

dcrire les options de redploiement de logiciels ;

redployer des logiciels l'aide de la stratgie de groupe ;

dcrire les options de suppression des logiciels dploys ;

supprimer des logiciels dploys l'aide de la stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

29

Types de mises niveau de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Les tches dans une organisation sont varies et peuvent changer. Vous pouvez
utiliser la stratgie de groupe pour dployer et grer des mises niveau de
logiciels afin de rpondre aux besoins des divers dpartements dans votre
organisation. Les mises niveau entranent gnralement des modifications
importantes des logiciels et possdent de nouveaux numros de version.
Gnralement, de nombreux fichiers changent dans le cadre d'une mise niveau.

Objectif des mises


niveau

Plusieurs vnements dans le cycle de vie d'une application peuvent imposer


une mise niveau, citons pour exemple :

Mthodes de mise
niveau

Une nouvelle version du logiciel vient de sortir comportant des nouvelles


fonctionnalits amliores.

Des correctifs et des amliorations fonctionnelles ou lies la scurit ont


t apports depuis la dernire version du logiciel.

Une organisation dcide d'utiliser le logiciel d'un autre fournisseur.

Il existe trois types de mises niveau :


!

Mises niveau obligatoires. Ces mises niveau remplacent


automatiquement une version ancienne du logiciel par une version mise
niveau. Par exemple, si les utilisateurs se servent actuellement de la
version 1.0 du logiciel, cette version est supprime, et la version 2.0
du logiciel est installe lors du prochain dmarrage de l'ordinateur ou
d'ouverture de session par l'utilisateur.

30

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe


!

Mises niveau facultatives. Ces mises niveau permettent aux utilisateurs


de dcider quand mettre leur version niveau. Par exemple, les utilisateurs
peuvent dterminer s'ils veulent passer la version 2.0 du logiciel ou
continuer utiliser la version 1.0.

Mises niveau slectives. Si certains utilisateurs ont besoin d'une mise


niveau mais pas tous, vous pouvez crer plusieurs objets Stratgie de groupe
s'appliquant aux utilisateurs qui ont besoin de la mise niveau, et crer les
packages de logiciels appropris dans ces objets Stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

31

Mise niveau des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous utiliserez Installation de logiciel pour tablir la procdure de mise


niveau d'un logiciel existant vers la version actuelle.

Procdure

Pour dployer une mise niveau, procdez comme suit :


1. Dployez la nouvelle version du logiciel.
2. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur la nouvelle
version, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits, dans l'onglet Mises niveau, dans
la section Packages qui seront mis niveau par ce package, cliquez sur
Ajouter, puis slectionnez la version prcdente (en cours) de l'application.
Vous pouvez mettre une application niveau l'aide de l'objet Stratgie de
groupe en cours ou en slectionnant un objet Stratgie de groupe spcifique.
Si les deux versions du logiciel sont des packages Windows Installer natifs,
cette tape est excute automatiquement.
4. Cliquez sur le Package peut mettre niveau le package existant ou sur
Dsinstaller le package existant, puis installer le package de mise
niveau, puis cliquez sur OK.
5. Slectionnez le type de mise niveau :
Pour excuter une mise niveau obligatoire, cochez la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.
Pour excuter une mise niveau facultative, ne cochez pas la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.

32

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Fonctionnement du redploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Un Redploiement est l'application de Service Packs et de mises niveau de


logiciels des logiciels dploys. Vous pouvez redployer un package dploy
pour forcer une rinstallation du logiciel. Un redploiement peut tre ncessaire
si le package de logiciels dploy prcdemment est mis jour mais conserve la
mme version, ou en cas de problmes d'interoprabilit ou de virus qu'une
rinstallation du logiciel permettra de rsoudre.

Mthodes de
redploiement

Lorsque vous marquez un fichier package pour redploiement, le logiciel


est publi auprs de chaque personne ayant reu l'autorisation d'accder
l'application, par affectation ou par publication. Ensuite, en fonction de la
manire dont le package original avait t dploy, l'un des trois scnarios
suivants se produit :
!

Lorsque vous affectez des logiciels un utilisateur, le menu Dmarrer,


les raccourcis du Bureau et les paramtres de registre qui concernaient
les logiciels sont mis jour lors de la prochaine ouverture de session
par l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel,
le Service Pack ou la mise jour du logiciel est appliqu automatiquement.

Lorsque vous affectez un logiciel un ordinateur, le Service Pack ou la


mise niveau du logiciel est appliqu automatiquement lors du prochain
dmarrage de l'ordinateur.

Lorsque vous publiez et installez le logiciel, le menu Dmarrer, les


raccourcis du Bureau et les paramtres de registre qui concernaient le
logiciel sont mis jour lors de la prochaine ouverture de session par
l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel, le Service
Pack ou la mise niveau du logiciel est appliqu automatiquement.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

33

Comment redployer un logiciel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Utilisez Installation de logiciel pour tablir la procdure de redploiement d'un


package de logiciels. Avant le redploiement, vrifiez que le service inclut un
nouveau fichier de package Windows Installer (fichier .msi). Si ce n'est pas le
cas, vous ne pouvez pas redployer le logiciel, car seul le nouveau ficher de
package contient des instructions pour le dploiement des nouveaux fichiers
que contient le Service Pack ou la mise niveau du logiciel.

Procdure

Pour redployer un package de logiciels, procdez comme suit :


1. Procurez-vous le Service Pack ou la mise niveau du logiciel auprs
du fournisseur de l'application et placez les fichiers dans les dossiers
d'installation appropri.
2. Editez l'objet Stratgie de groupe qui avait dploy le logiciel l'origine.
3. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur le nom
du fichier de package, pointez sur Toutes les tches, puis cliquez sur
Redploiement des applications.
4. Dans la bote de dialogue, cliquez sur Oui.
Remarque Pour obtenir des informations sur comment procder la mise
niveau de logiciels stocks sur les serveurs du rseau, recherchez l'article
226936 : Corriger une installation de logiciel stocke sur un serveur rseau et
dploye l'aide de l'Installateur de logiciel Microsoft sur la page Support en
ligne du site Web de Microsoft l'adresse
http://support.microsoft.com/default.aspx?LN=FR&x=9&y=13.

34

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Mthodes de suppression de logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Il peut tre ncessaire de supprimer un logiciel si le support d'une version n'est


plus assur ou si les utilisateurs n'ont plus besoin du logiciel. Vous pouvez
forcer la suppression du logiciel concern ou laisser aux utilisateurs l'option
d'utiliser l'ancien logiciel.

Mthodes de
suppression

Il existe deux mthodes de suppression :


!

Suppression force. Vous pouvez forcer la suppression du logiciel, ce qui a


pour effet de le supprimer automatiquement d'un ordinateur lors du prochain
dmarrage de celui-ci ou lors de la prochaine ouverture de session d'un
utilisateur ce qui se produit dans le cas d'un paramtre de stratgie de
groupe d'un utilisateur. La suppression a lieu avant que le Bureau
n'apparaisse.

Suppression facultative. Vous pouvez supprimer le logiciel dans Installation


de logiciel sans forcer sa suppression physique. Le logiciel n'est pas
rellement supprim dans les ordinateurs. Le logiciel n'apparat plus dans
Ajouter ou supprimer des programmes, mais les utilisateurs peuvent
encore l'utiliser. Si les utilisateurs suppriment le logiciel manuellement, ils
ne peuvent pas le rinstaller.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Suppression de logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous utilisez la stratgie de groupe pour dployer des logiciels, vous
pouvez configurer un objet Stratgie de groupe pour supprimer un logiciel
arriv expiration ou qui n'est plus requis par votre organisation. Vous pouvez
galement supprimer un ancien logiciel en configurant l'objet Stratgie de
groupe pour permettre aux utilisateurs de procder une mise niveau
facultative vers un nouveau package de logiciels.

Procdure

Pour supprimer le logiciel dploy, procdez comme suit :


1. Ouvrez l'objet Stratgie de groupe utilis l'origine pour dployer
le logiciel.
2. Dans Installation de logiciel, cliquez avec le bouton droit sur le nom du
package, pointez sur Toutes les tches, puis cliquez sur Supprimer.
3. Dans la bote de dialogue Suppression de logiciel, cliquez sur l'une des
options suivantes, puis cliquez sur OK.
Dsinstaller immdiatement le logiciel des utilisateurs et des
ordinateurs.
Autoriser les utilisateurs continuer utiliser le logiciel, mais
interdire de nouvelles installations.
Remarque Vous devez vous assurer que les utilisateurs redmarrent leurs
ordinateurs si la modification affecte l'ordinateur ou qu'ils ouvrent une session
si la modification affecte l'utilisateur.

35

36

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Application pratique : Maintenance des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez mettre niveau le logiciel dploy
puis le supprimer.

Scnario

Vous testez la maintenance d'un logiciel dploy antrieurement. Vous devez


dterminer les tapes ncessaires au dploiement de la mise niveau d'une
application.

Application pratique

! Maintenance des logiciels dploys


1. Ouvrez une session sous Votre_Domaine\Administrateur.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de
groupe Practice Software Deployment pour crer un nouveau
package d'installation logicielle pour
\\London\Labfiles\Lab6\COSMO2\COSMO2.MSI.
4. Dfinissez les proprits du package Cosmo 2 pour mettre niveau le
package Cosmo 1.
5. Supprimez le logiciel dploy Cosmo 1 parce que sa dure d'valuation est
parvenue expiration.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

37

Leon : Rsolution des problmes lis au dploiement


de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Vous pouvez tre confront des problmes lorsque vous utilisez la stratgie de
groupe pour dployer des logiciels. Il existe plusieurs mthodes pour vous aider
identifier ces problmes et les rsoudre.
Un lment important de la rsolution des problmes de stratgie de groupe
est de tenir compte des dpendances entre composants. Par exemple, le
dploiement de logiciels fait appel la stratgie de groupe, laquelle fait appel
Active Directory. Active Directory fait appel la configuration correcte des
services de rseau. Lorsque vous tentez de rsoudre des problmes dans un
composant, vrifiez si les composants, les services et les ressources auxquels ce
composant fait appel fonctionnent correctement. Les journaux des vnements
peuvent vous aider identifier des problmes que ce type de dpendance
hirarchique peut entraner.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer certains des problmes courants susceptibles de se produire lors


de l'utilisation de la stratgie de groupe pour le dploiement de logiciels ;

dterminer la cause profonde d'un problme en excutant quelques tests ;

rsoudre des problmes d'installation logicielle lors de l'utilisation de la


stratgie de groupe.

38

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Problmes courants lis l'utilisation de la stratgie de groupe


pour dployer des logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Certains problmes courants peuvent survenir lorsque vous utilisez la stratgie de


groupe pour le dploiement de logiciels. L'identification des symptmes et des
causes possibles constitue la premire tape de la rsolution de ces problmes.

Les symptmes et leurs


causes possibles

Le tableau suivant rpertorie les symptmes et leurs causes possibles :

Symptme

Causes possibles

Les applications n'apparaissent pas


dans Ajouter ou supprimer des
programmes

L'application avait t affecte au lieu d'tre publie, elle n'avait jamais t


dploye ou elle l'avait t dans une unit d'organisation errone, ou bien
des conflits de stratgie de groupe peuvent interdire son dploiement. Il est
possible d'affecter un utilisateur une application un niveau d'Active
Directory (par exemple, au niveau domaine), puis d'en interdire l'accs
l'utilisateur un niveau infrieur (par exemple, au niveau unit
d'organisation).
L'application avait t affecte des ordinateurs et, dans la plupart des
cas, la stratgie d'ordinateur prend le pas sur la stratgie d'utilisateur. Par
exemple, si Word avait t affect un utilisateur, mais que Word a t
marqu pour suppression obligatoire dans un ordinateur, l'utilisateur ne
peut ouvrir Word lorsqu'il ouvre une session sur l'ordinateur.
L'objet Stratgie de groupe n'avait pas t appliqu. Les raisons possibles
sont les suivantes : L'objet Stratgie de groupe ne s'appliquait pas
l'utilisateur ou l'ordinateur par suite d'un conflit et de priorit d'objet
Stratgie de groupe, de filtrage de groupe de scurit, de filtrage WMI ;
parce que les options Appliqu et Blocage de l'hritage sont actives,
que l'objet Stratgie de groupe est reli un conteneur incorrect ou est
partiellement ou totalement dsactiv. Par exemple, l'utilisateur est membre
d'un groupe de scurit dont le filtrage lui permet d'viter les effets de cet
objet Stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

39

(suite)
Symptme

Causes possibles

Les applications n'apparaissent pas


dans le menu Dmarrer

L'application avait t publie au lieu d'tre affecte, n'avait jamais t


dploye, ou dploye dans une mauvaise unit d'organisation.
L'objet Stratgie de groupe n'avait pas t appliqu.

Les applications apparaissent


dans le menu Dmarrer ou
dans Ajouter ou supprimer des
programmes, mais ne peuvent
tre installes

Le point de distribution de logiciel est peut-tre inaccessible. Il est probable


que le point de distribution de logiciels est inaccessible sur le serveur hte
ou que les utilisateurs affects ne disposent pas des autorisations requises.
Vrifiez que les utilisateurs disposent au moins de l'autorisation en Lecture
de NTFS pour le point de distribution de logiciel.
Des applications installes antrieurement peuvent empcher l'installation
de nouvelles applications.

40

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Comment dterminer la cause du problme

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Aprs avoir identifi la cause possible d'un problme, l'tape suivante consiste
dterminer la cause principale. Pour ce faire, dterminez si le point de
distribution de logiciels est disponible, installez manuellement le package .msi,
dterminez l'objet Stratgie de groupe qui est appliqu l'aide du Jeu de
stratgies rsultant (RSoP, Resultant Set of Policies), et crez le fichier journal
Windows Installer.

Procdure de
vrification de
disponibilit du point de
distribution de logiciels

Avant d'utiliser cette procdure de diagnostic, vrifiez que le point de


distribution de logiciels est disponible pour excuter les tches suivantes :
1. Connexion au serveur l'aide du chemin UNC menant au point de
distribution de logiciels. Par exemple, net use *
\\Nom_Serveur\Nom_Partage
Une unit mappe sur le point de distribution de logiciels sur le serveur
destination apparat, ou bien un message apparat indiquant que le point de
distribution de logiciels n'est pas disponible.
2. Excutez l'une des tches suivantes :
Si le chemin du rseau n'est pas disponible, vrifiez que le point de
distribution de logiciels est accessible partir du serveur hbergeant le
dossier partag et essayez de relancer l'installation.
Si le point de distribution de logiciels est disponible, vous pouvez tester
une installation manuelle pour vrifier que le fichier du package
d'installation fonctionne comme prvu.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Procdure d'installation
manuelle du package
Windows Installer

41

Pour installer manuellement le package Windows Installer, procdez


comme suit :
1. l'invite de commande, tapez msiexec /I lecteur:\Package.msi
O lecteur reprsente le lecteur sur lequel rside le package d'installation,
package.msi est le fichier MSI du package d'installation pour l'application
que vous installez et le commutateur /I, l'option d'installation d'un package
bas sur le chemin qui suit ce commutateur.
2. Excutez l'une des tches suivantes :
Si l'installation manuelle russit, vrifiez le paramtre d'installation
logicielle de l'objet Stratgie de groupe pour vous assurer que
l'utilisateur peut installer cette application et qu'aucune autre stratgie
n'entre en conflit avec celle-ci.
Si l'installation manuelle choue, vrifiez les paramtres d'autorisation
pour le point de distribution de logiciels. L'utilisateur qui essaie
d'installer le logiciel a besoin au moins des autorisations Lire pour
installer l'application.
N'oubliez pas de supprimer manuellement l'application installe car il ne s'agit
pas d'une application gre.

Procdure pour
dterminer si l'objet
Stratgie de groupe
est appliqu

Vous pouvez utiliser les rsultats de la stratgie de groupe pour dterminer si


un objet Stratgie de groupe a t appliqu, ainsi que son emplacement. Pour
dterminer le jeu de stratgies rsultant, excutez les tches suivantes :
1. Crez un Jeu de stratgies rsultant l'aide de l'Assistant Rsultats de
stratgie de groupe puis, sous Configuration utilisateur, cliquez sur
Installation de logiciel.
L'origine de toutes les applications apparat par rapport l'objet Stratgie de
groupe partir duquel l'application avait t dploye.
2. l'aide de cette information, dterminez si les paramtres dans la chane
d'hritage de l'objet Stratgie de groupe entranent des problmes
d'installation de l'application.

Procdure d'activation
de journalisation et
cration du fichier
journal Windows
Installer

Lorsque vous activez la journalisation dans Windows Installer, celui-ci cre


par dfaut des entres dans le journal des vnements de Windows. Les
vnements que vous devez surveiller apparaissent sous les en-ttes Installation
de logiciel, MsiInstaller et Gestion des applications. Ces entres fournissent des
informations utiles concernant le problme que vous rencontrez dans le cadre
d'un dploiement de logiciel.
Pour activer la journalisation dans Windows Installer, procdez comme suit :
1. Ouvrez Gestion de la stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Editer.
2. Dans l'diteur de stratgie de groupe, sous Configuration ordinateur,
dveloppez Modles d'administration, dveloppez Composants
Windows, puis cliquez sur Windows Installer.
3. Cliquez avec le bouton droit sur Journalisation, puis cliquez sur
Proprits.

42

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Lors de l'excution d'une installation manuelle, vous pouvez dfinir divers


niveaux de journalisation pour vous aider dterminer tout problme affectant
l'installation logicielle.
Remarque Dans cette fentre, vous pouvez dfinir les options de journalisation
pour Windows Installer, configurer les installations utilisateur et activer ou
dsactiver les points de contrle de restauration du systme. Vous pouvez
utiliser les points de contrle pour restaurer les systmes des utilisateurs en
un tat antrieur en cas de problme avec l'installateur.
Pour crer un fichier journal, procdez comme suit :
!

Sur la ligne de commande, tapez msiexec /I <chemin_vers_le_package>


/l[x] <chemin_vers_le_fichier_journal> et appuyez sur ENTRE.
O x est le niveau de journalisation.

Remarque Pour plus d'informations sur les options disponibles pour la


commande msiexcec, reportez-vous au Centre d'aide et de support. Recherchez
l'article 223300 : Activation de l'enregistrement de Windows Installer sur
la page Support en ligne du site Web de Microsoft l'adresse
http://support.microsoft.com/default.aspx?LN=FR&x=9&y=13.
Avertissement Revenez l'tat normal de journalisation aprs avoir tabli le
diagnostic parce que la journalisation affecte considrablement les
performances de l'ordinateur client.
Le fichier journal est cr dans le dossier %windir% moins d'indication
contraire dans la ligne de commande. Vous pouvez ensuite consulter ce fichier
journal avec toute visionneuse de texte, tel que le Bloc-notes.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

43

Comment rsoudre les problmes d'installation logicielle lors de


l'utilisation de la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Aprs avoir identifi la cause principale d'un problme, la dernire tape


consiste remdier au problme ou, si possible, fournir une mthode
alternative.

Mthodes de rsolution

Pour rsoudre un problme d'installation logicielle lors de l'utilisation de la


stratgie de groupe :
!

Modifiez l'objet Stratgie de groupe pour qu'il effectue une affectation au


lieu d'une publication, et inversement si une application avait t dploye
de manire incorrecte.

Rsolvez tout ce qui empchait l'application de l'objet Stratgie de groupe.


Si l'objet Stratgie de groupe avait t appliqu un jeu d'utilisateurs erron,
une modification pourrait entraner la dsinstallation de l'application sur les
ordinateurs de ces anciens utilisateurs. Envoyez-leur un message pour les en
informer. Vous pouvez utiliser RSoP pour dterminer pourquoi l'objet
Stratgie de groupe n'avait pas t appliqu.

Modifiez les autorisations sur le dossier partag ou sur les fichiers NTFS
pour permettre un accs en lecture (Lire) aux utilisateurs ou aux ordinateurs
installant l'application.

Utilisez MSIZap.exe pour supprimer dans le registre les composants des


applications installes antrieurement qui empchent l'installation de
nouvelles applications.

44

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Application pratique : Rsolution des problmes lis au


dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez crer un fichier journal Windows
Installer.

Scnario

Northwind Traders est confront des problmes avec une application critique
dploye l'aide de la stratgie de groupe. Votre responsable vous a demand
de dterminer la cause des problmes.

Application pratique

! Crer un fichier journal Windows Installer


1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de groupe
Practice Software Deployment pour crer un fichier journal Windows
Installer pour cet objet Stratgie de groupe.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

45

Leon : Planification d'une stratgie de dploiement


de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Lorsque vous planifiez un dploiement de logiciel, examinez les besoins


logiciels de l'organisation pour toute la structure Active Directory et les objets
Stratgie de groupe existants. Dterminez les mthodes que vous utiliserez pour
dployer le logiciel. Vous devez disposer d'un plan de dploiement de logiciel
avant de commencer le dploiement.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer les instructions de planification des points de distribution de


logiciels ;

expliquer les instructions de planification d'un dploiement de logiciels


l'aide de la stratgie de groupe ;

expliquer les instructions de planification de la maintenance des logiciels.

46

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Instructions de planification des points de distribution de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Avant de crer des points de distribution de logiciels pour permettre aux


utilisateurs d'installer des logiciels, vous devez dcider si votre organisation
utilisera une approche centralise pour le dploiement de logiciels. En
implmentant une combinaison des instructions suivantes, vous minimiserez le
nombre de problmes et de mthodes de dpannage lorsque des problmes de
dploiement surviendront.

Instructions

Appliquez les instructions suivantes lorsque vous envisagez de crer des points
de distribution de logiciels :
!

Utilisez un systme de fichiers DFS (Distributed File System) bas sur un


domaine pour les points de distribution de logiciels. DFS fournit un point de
distribution de logiciels centralis pour toutes les applications, publies ou
affectes. Tirez profit des fonctionnalits de redondance et d'quilibrage de
charge de DFS. Crez dans chaque site un rplica de DFS pour le point de
distribution de logiciels, partir duquel de nombreux utilisateurs installeront
les applications. Les ordinateurs clients tenteront ensuite d'installer les
logiciels dploys partir d'un rplica de DFS dans leur propre site, ce qui
rduira le trafic rseau entre des liaisons de rseau tendu (WAN, Wide
Area Network) lentes.

Spcifiez un emplacement par dfaut pour les packages. Utilisez cet


emplacement pour pointer sur le point de distribution de logiciels unique
dans lequel se trouvent les fichiers de package. Un emplacement par dfaut
pour les packages vous permet de dployer de nouveaux packages vers un
point de distribution de logiciels. Par ailleurs, la maintenance d'une seule
source comme rfrentiel de logiciels vous permet de suivre les problmes
plus aisment.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

47

Organisez les applications par fonction. Une organisation fonctionnelle


simplifie la localisation des applications lorsque vous crez des stratgies de
logiciels. Crez, par exemple, un dossier Outils graphiques dans le dossier
partag Distribution de logiciels. Crez sous ce dossier Outils graphiques un
dossier pour chaque application graphique que vous envisagez de dployer.
Essayez d'utiliser des noms de dossiers qui soient cohrents avec les
catgories de logiciels pour les applications.

Configurez les autorisations NTFS. Utilisez l'autorisation Lecture seule pour


les utilisateurs et Contrle total pour les administrateurs de ces fichiers.

Utilisez un dossier partag cach. Par exemple, utilisez packages$ si vous


souhaitez rduire la probabilit d'installation manuelle du package par les
utilisateurs en utilisant le dossier partag.

Procdez l'audit d'accs aux objets pour les fichiers Windows Installer.
Vous pouvez vrifier les autorisations utilisateurs ou groupes d'accs ces
fichiers.

Remarque Pour plus d'informations sur DFS, reportez-vous l'annexe C,


Utilisation de DFS, sur le CD-ROM du stagiaire.

48

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Instructions de planification d'un dploiement de logiciels l'aide


de la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Tenez compte des instructions suivantes lorsque vous planifiez votre


dploiement de logiciels l'aide de la stratgie de groupe.

Instructions

Appliquez les instructions suivantes :


!

Dployez les fichiers package en plusieurs phases. Avant d'assurer tous les
utilisateurs la disponibilit des fichiers package, dployez-les en plusieurs
phases ou bien auprs d'un groupe d'utilisateurs pilotes. Un dploiement
graduel associ des tests vous aide identifier et rsoudre les problmes
lis aux packages avant de procder au dploiement gnralis d'une
application dans une organisation. Il contribue aussi rduire le trafic
rseau et la charge sur les serveurs des points de distribution de logiciels en
chelonnant les demandes d'installation manant des utilisateurs. N'oubliez
pas d'utiliser les commentaires des utilisateurs pilotes afin de rationaliser et
d'amliorer votre processus de dploiement.

Classez les applications pour votre organisation. Utilisez des catgories


permettant aux utilisateurs de trouver facilement une application dans
Ajouter ou supprimer des programmes. Crez, par exemple, les
catgories d'applications Ventes et Comptabilit. Vous pouvez placer
une application dans plusieurs catgories, selon les cas.

Utilisez autant que possible des fichiers de transformation pour les


packages. Dterminez si vous avez besoin de ces fichiers de modification de
logiciels. Avant de procder au dploiement du package gnrique dans
toute l'organisation, tablissez des options communes d'installation par
dfaut pour des groupes d'utilisateurs spcifiques et utilisez la modification
de logiciels pour fournir ces groupes une installation personnalise. La
cration anticipe d'options communes d'installation par dfaut rduit le
risque que les utilisateurs n'installent le package gnrique avant que le
fichier de transformation ne soit cr.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

49

Dterminez les conflits potentiels dans les extensions de noms de fichiers.


Ces conflits surviennent lorsque plusieurs applications tentent d'enregistrer
la mme extension. Dterminez les conflits parmi les applications que vous
avez installes l'aide de la stratgie de groupe et parmi celles installes
l'aide d'autres mthodes. Configurez en consquence l'ordre de priorit
des extensions. Il vaut mieux prendre cette dcision un niveau de
l'organisation permettant de garantir que le plan rpond tous les besoins
de l'organisation. Aprs qu'une dcision a t prise, n'oubliez pas de la
documenter afin de vous permettre de rsoudre rapidement les conflits
d'extensions ultrieurement.

Dployez les logiciels un niveau lev dans la hirarchie Active Directory.


Dterminez le conteneur de niveau le plus lev regroupant les utilisateurs
et les ordinateurs auprs desquels vous envisagez de dployer l'application.
Crez et reliez ce conteneur l'objet Stratgie de groupe qui dploie ce
package de logiciels. Comme les paramtres de stratgie de groupe
s'appliquent par dfaut aux conteneurs Active Directory enfants, il est
efficace d'affecter ou de publier des logiciels en reliant un objet Stratgie
de groupe un domaine ou une unit d'organisation parent.

50

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Instructions de planification de maintenance de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction

Tenez compte des instruction suivantes lorsque vous planifiez la maintenance


de logiciels l'aide de la stratgie de groupe.

Instructions

Appliquez les instructions suivantes :


!

Dterminez s'il est prfrable de dployer la mise jour graduellement, ou


rapidement vers tous les utilisateurs et ordinateurs. Envisagez d'excuter
un dploiement graduel lorsque la mise jour n'est pas critique et que
l'application est volumineuse et s'applique de nombreux utilisateurs et
ordinateurs. Cela rduit non seulement la charge sur les serveurs des points
de distribution de logiciels et sur le rseau, mais constitue galement un
systme d'alerte prcoce si un problme se produit durant la mise niveau,
alors que seul un sous-ensemble d'utilisateurs ou d'ordinateurs est affect.
Si l'application est petite, appliquez-la un petit nombre d'utilisateurs ou
d'ordinateurs. S'il s'agit d'une mise jour critique, appliquez-la
immdiatement tous les utilisateurs et ordinateurs.

Dterminez si la mise niveau sera obligatoire ou facultative. Si la mise


niveau est critique, rendez-la obligatoire. Dans le cas contraire, rendez-la
facultative, ce que les utilisateurs prfrent. Si vous ne souhaitez pas
prendre en charge plusieurs versions d'une application, dterminez une
priode de transition approprie pendant laquelle les deux versions sont
disponibles. Durant cette priode, utilisez la mise niveau facultative puis
rendez-la obligatoire la fin de la priode de transition. Ainsi, une mise
niveau graduelle est effectue sur la base du volontariat.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

51

Application pratique : Planification d'une stratgie de dploiement


de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Dans cette application pratique, vous allez dterminer un plan de dploiement


d'une application pour tous les utilisateurs et un plan de publication d'une
application.

Scnario

Votre organisation vient de dvelopper rcemment son march dans le secteur


graphique. Elle a acquis plusieurs applications graphiques et une licence de site
pour l'Application 1. Vous devez planifier une stratgie de dploiement de
logiciels afin de dployer les applications vers tous les utilisateurs.

Application pratique

! Planifier une stratgie de dploiement des logiciels


1. Qu'allez-vous inclure dans votre plan ?
Les rponses varient. Votre plan peut inclure :
Affectation de l'Application 1 un objet Stratgie de groupe au
niveau du domaine.
Pour le point de distribution de logiciels, affectation des
autorisations Lire aux utilisateurs authentifis, et Contrle total aux
administrateurs du domaine. Application des mmes autorisations
au dossier NTFS.
Application l'objet Stratgie de groupe afin d'authentifier les
utilisateurs et leur affecter l'objet Stratgie de groupe.
____________________________________________________________
____________________________________________________________

52

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

2. Une autre socit de graphisme, Fabrikam, Inc., vous a confi des fins de
tests dans votre entreprise des copies d'valuation de sa suite graphique,
dans l'espoir que vous achterez une licence de site. Afin d'viter toute
intrusion vis vis vos utilisateurs, comment envisagez-vous de publier
l'application ?
Les rponses varient. Votre plan peut inclure :
Cration d'un point de distribution de logiciels pour le stockage de
toutes les applications d'valuation.
Cration des objets Stratgie de groupe dans une unit d'organisation
ddie afin de les regrouper ensemble. Comme vous devrez peut-tre
supprimer ultrieurement le logiciel, utiliser l'option Dsinstaller si
cet objet Stratgie de groupe n'est plus applicable.
____________________________________________________________
____________________________________________________________

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Atelier A : Dploiement et gestion des logiciels l'aide


d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs

Conditions pralables

Dure approximative
de cet atelier :
60 minutes

la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!

affecter des logiciels des utilisateurs l'aide de la stratgie de groupe ;

publier des logiciels des utilisateurs l'aide de la stratgie de groupe ;

supprimer des logiciels dploys l'aide de la stratgie de groupe ;

mettre niveau des logiciels dploys l'aide de la stratgie de groupe.

Avant de travailler sur cet atelier, vous devez :


!

possder les connaissances et comptences requises pour crer des objets


Stratgie de groupe ;

tre familiaris avec l'utilisation des outils de ligne de commande ;

connatre le processus d'installation logicielle.

53

54

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Exercice 1
Affectation de logiciel
Dans cet exercice, vous prparerez votre contrleur de domaine hberger le logiciel que vous
installerez au moyen d'une stratgie de groupe. Vous utiliserez votre contrleur de domaine attitr
pour crer les objets Stratgie de groupe requis pour la prise en charge de l'installation du logiciel.

Scnario
Northwind Traders a dcid d'utiliser l'installation logicielle pour dployer l'application Cosmo 1
qu'elle vient d'acqurir. Votre tche consiste comparer les deux mthodes disponibles pour
l'installation de l'application : affectation de logiciel et publication de logiciel.

Tches
1.

Crer un objet Stratgie de


groupe pour affecter le
package d'installation du
logiciel Cosmo 1 l'unit
d'organisation Sales de votre
domaine

Instructions spcifiques
a.

Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utilisez Excuter en tant que pour dmarrer la gestion de la stratgie

de groupe sous Votre_Domaine\Administrateur avec le mot de passe


P@ssw0rd.
c.

Crez l'objet Stratgie de groupe Lab Software Deployment et


reliez-le l'unit d'organisation HR sous l'unit d'organisation
Nom_Ordinateur dans Votre_Domaine.

d. Utilisez le package Cosmo1.msi situ sur

\\LONDON\Labfiles\Lab6\COSMO1.
2.

Accorder Suzanne Duprez


le droit d'ouvrir une session
localement.

a.

Utilisez Excuter en tant que pour dmarrer la stratgie de scurit du


contrleur de domaine sous Votre_Domaine\Administrateur avec le
mot de passe P@ssw0rd.

b. Accordez Suzanne Duprez le droit d'ouvrir une session localement.


c.

Excutez gpupdate sous Votre_Domaine\Administrateur.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

55

Exercice 2
Vrification de l'affectation du logiciel
Dans cet exercice, vous devez vrifier que l'affectation de logiciel s'est droule normalement.
Vous ouvrirez une session en tant qu'utilisateur test et vrifierez si le logiciel attribu l'exercice
prcdent est install.

Tches
1.

Fermer la session, puis


ouvrir une nouvelle session
en tant que suzannedup
partir de votre domaine

Instructions spcifiques

"

Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.

Cosmo 1 apparat-il dans le menu Tous les programmes ? Expliquez pourquoi.

2.

Ouvrir le package de
logiciels partir de
l'lment du menu Tous
les programmes que vous
avez cr pour lui.
Que se passe-t-il lorsque vous tentez d'ouvrir le logiciel ?

56

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Exercice 3
Suppression d'un logiciel affect
Dans cet exercice, vous supprimerez le logiciel affect dans l'exercice prcdent. Vous avez men
bien le dploiement du logiciel en affectant un package des utilisateurs. Vous pouvez dsormais
valuer l'option de publication l'aide de ce mme package. Vous devez supprimer le logiciel pour
pouvoir crer un package en vue de publier l'application.

Tches

Instructions spcifiques

"

a.

Supprimer l'application
Cosmo 1

Ouvrez une session sous le nom Nwtradersx\Nom_ OrdinateurUser


avec le mot de passe P@ssw0rd.

b. Utilisez la commande Excuter en tant que pour dmarrer la

console Gestion des stratgies de groupe en tant que


Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
c.

Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.

d. Vrifiez que l'application a t supprime immdiatement pour les

utilisateurs et les ordinateurs.

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

57

Exercice 4
Publication de logiciel
Dans cet exercice, vous modifierez une stratgie de groupe pour publier une application. Vous
publierez un logiciel dans le but de mieux apprhender les diffrences entre la publication et
l'affectation d'un logiciel.

Tches
1.

Ouvrir Gestion des


stratgies de groupe.

Instructions spcifiques
a.

Utilisez Excutez en tant que.

b. Lorsque vous y serez invit, ouvrez une session avec le mot de passe

P@ssw0rd
2.

Naviguer jusqu' votre


stratgie de dploiement
de logiciel et dition de
la stratgie.

3.

Crer un package
d'installation logicielle pour
la publication du package
Cosmo 1.

"

Dans le point de distribution de logiciel de l'instructeur o se trouve le


package, cliquez sur Cosmo1.msi.

58

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Exercice 5
Vrification de la publication du logiciel
Dans cet exercice, vous vrifierez que le logiciel publi dans l'exercice prcdent est install et
fonctionne normalement. Vous ouvrirez une session en tant qu'utilisateur test et vrifierez les
paramtres de publication du logiciel dfinis l'exercice 4.

Tches

Instructions spcifiques

1.

Ouvrir une session sous le


nom Suzanne Duprez partir
de votre domaine.

"

Utilisez le mot de passe P@ssw0rd.

2.

Installer le logiciel publi.

"

Dans le Panneau de configuration, utilisez Ajouter ou supprimer


des programmes.

3.

Vrifier que le logiciel publi


a t install.

"

Dans le menu Tous les programmes, vrifiez l'installation de


Cosmo 1.

4.

Ouvrir une session sous


Votre_Domaine\
ComputerNameUser.
L'application est-elle installe pour cet utilisateur ? Expliquez pourquoi.

Cosmo 1 est-il list dans Ajouter ou supprimer des programmes ? Pourquoi (pas) ?

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

59

Exercice 6
Mise niveau d'un logiciel dploy
Dans cet exercice, vous mettrez niveau le logiciel dploy en modifiant la stratgie de groupe.
Northwind Traders a acquis une mise niveau pour l'application Cosmo. Tous les ordinateurs
doivent tre mis niveau vers la dernire version de ce logiciel. Vous tes responsable de la
stratgie de groupe en termes de rponse aux besoins de l'entreprise. Lorsque vous utiliserez la
stratgie de groupe, vous remarquerez qu'il n'est pas ncessaire de mettre manuellement niveau
chaque utilisateur ou ordinateur. La direction aimerait que vous pilotiez la mise niveau du logiciel
afin de s'assurer que vous pouvez rsoudre tout problme survenant durant le processus avant de
dployer le logiciel dans toute l'organisation.

Tches
1.

Mettre niveau de
Cosmo 1.

Instructions spcifiques
a.

Utilisez Excuter en tant que pour ouvrir Gestion des stratgies


de groupe.

b. Editez la stratgie de dploiement de logiciel pour crer un package

de mise niveau.
2.

Vrifier la mise niveau de


Cosmo 1.

a.

Vrifiez que l'application existante est supprime avant d'installer la


nouvelle application.

b. Vrifiez que Cosmo 2 a remplac Cosmo 1.

THIS PAGE INTENTIONALLY LEFT BLANK

Module 7 : Implmentation
de sites pour grer la
rplication Active Directory
Table des matires
Vue d'ensemble
Leon : Prsentation de la rplication
Active Directory

1
2

Leon : Cration et configuration de sites

15

Leon : Gestion de la topologie de site

30

Leon : Rsolution des checs de


rplication

38

Leon : Planification d'un site

51

Atelier A : Implmentation de sites pour


grer la rplication Active Directory

63

Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

iii

Notes de l'instructeur
Prsentation :
165 minutes
Atelier :
30 minutes

Ce module permet aux stagiaires d'acqurir les comptences et connaissances


requises pour implmenter des sites, puis grer et contrler la rplication
au sein du service d'annuaire Active Directory dans Microsoft
Windows Server 2003. Le module prsente les concepts de base de la
rplication et des sites dans Active Directory. Ces concepts sont les suivants :
la cration, la configuration et la gestion de sites ; le contrle et la rsolution
des checs de rplication ; la planification d'une stratgie de site.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :

Documents de cours

dcrire les composants et le processus de la rplication ;

crer et configurer des sites ;

grer une topologie de site Active Directory ;

contrler et rsoudre les checs de rplication Active Directory ;

planifier une stratgie de site.

Pour animer ce module, vous devez disposer des lments suivants :


!

Fichier Microsoft PowerPoint 2194A_07.ppt

Fichier Macromedia Flash 2194A_2279a_08_a_repwithin.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.
Prparation

Pour prparer ce module, vous devez effectuer les tches suivantes :


!

lire tous les documents de cours relatifs ce module ; tout au long du


module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;

raliser l'atelier ;

tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;

lire le chapitre 3, Designing the Site Topology (en anglais), du Kit de


ressources techniques de Windows Server 2003 ;

lire le livre blanc, Active Directory in Networks Segmented by Firewalls


(en anglais), sous Documentations supplmentaires sur la page Web du
CD ROM du stagiaire.

iv

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Par mesure de scurit, encouragez les stagiaires utiliser la commande
Excuter en tant que pour excuter les procdures de ce module.
Procdures,
applications pratiques
et ateliers

Expliquez aux stagiaires de quelle manire les procdures, les applications


pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Prsentation de la rplication Active Directory


Cette leon prsente les connaissances ncessaires aux stagiaires pour
comprendre comment la rplication amliore les performances d'Active
Directory dans un rseau. Elle introduit les concepts fondamentaux de la
rplication Active Directory. Utilisez l'animation multimdia pour dcrire les
composants et le processus de la rplication. Expliquez la diffrence entre les
mises jour d'origine et les mises jour rpliques. Prsentez le concept de
latence de rplication au cours d'une rplication normale et urgente. Insistez sur
le processus de notification de modification. Ensuite, abordez les conflits se
produisant au cours de la rplication, et expliquez comment les rsoudre. Pour
finir, expliquez comment la convergence permet d'optimiser la rplication.
Prsentez la topologie de rplication. Expliquez comment les partitions
d'annuaire autorisent la rplication entre les contrleurs de domaine durant la
rplication. Discutez de la finalit de la topologie de rplication. La diapositive
de cette rubrique est anime. La premire diapositive illustre la topologie de
rplication dans un seul domaine ; la seconde le fait dans plusieurs domaines.
Expliquez le rle des objets de connexion dans la rplication. Utilisez les
diapositives animes pour illustrer les modifications qui se produisent dans la
topologie de rplication lorsqu'un nouveau serveur de catalogue global est
ajout la fort. Utilisez la diapositive anime pour expliquer comment le
Vrificateur de cohrence de connaissances (KCC, Knowledge Consistency
Checker) permet la gnration automatique de la topologie de rplication.
Expliquez les diffrences entre le processus de rplication d'attributs valeurs
multiples lis et la rplication normale dans Active Directory.
Indiquez aux stagiaires les annexes du CD-ROM consulter pour plus
d'informations sur les numros de squence de mise jour (USN, Update
Sequence Number), l'ajustage de la rplication et la configuration des entres
dans Active Directory.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires d'analyser la configuration de rplication qui est en place dans
l'environnement de la classe.

vi

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Leon : Cration et configuration de sites


Dans cette leon, les stagiaires acquirent les comptences et les connaissances
ncessaires la comprhension des sites. La leon met l'accent sur la rplication
dans les sites. L'utilisation de sites en dehors de la rplication n'est pas traite
dans ce module. Prsentez les objets site et sous-rseau, puis expliquez
comment utiliser les sites pour optimiser la rplication Active Directory.
Expliquez ce que sont les sites. Les stagiaires connaissant dj les concepts
fondamentaux relatifs aux sites, faites-les participer ce dbat.
Utilisez la rubrique Rplication l'intrieur des sites et rplication entre les sites
pour rsumer les diffrences entre la rplication dans des sites et entre des sites.
Dmontrez comment crer des sites et des sous-rseaux, crer et configurer des
liens de sites et crer des ponts entre liens de sites. Expliquez pourquoi les
stagiaires doivent commencer par dsactiver le pontage par dfaut de tous les
liens de sites avant de crer des ponts entre liens de sites. Insistez sur le fait que
les liens de sites crs dans Sites et services Active Directory et les ponts entre
liens de sites fonctionnent indpendamment les uns des autres.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise lorsqu'ils crent et configurent
des sites.

Leon : Gestion de la topologie de site


Cette leon prsente les comptences et connaissances dont les stagiaires ont
besoin pour grer la topologie des sites Active Directory. Elle introduit le
concept d'un serveur de tte de pont, le gnrateur de topologie inter-sites
utilis dans la rplication Active Directory et comment imposer et actualiser la
rplication manuellement.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise lorsqu'ils grent la topologie
de site.

Leon : Rsolution des checs de rplication


Dans cette leon, les stagiaires acquirent les comptences et connaissances
ncessaires pour contrler et rsoudre les problmes courants de la rplication
Active Directory. Prsentez les utilitaires et les outils de ligne de commande qui
existent pour contrler et rsoudre les problmes lis la rplication Active
Directory. Dcrivez les problmes courants que les stagiaires risquent de
rencontrer en grant la rplication Active Directory et recommandez des
stratgies pour les rsoudre.
Application pratique

Au cours des applications pratiques et la fin de la leon, demandez aux


stagiaires de se reporter au scnario d'entreprise lorsqu'ils procdent la
rsolution des checs de rplication.
Faites remarquer que, dans l'application pratique, l'utilisation de l'outil de ligne
de commande Dcdiag gnrera une erreur lors du test inter-sites. Cette erreur
est parfaitement normale car les stagiaires ont cr leurs propres sites et les ont
relis des sous-rseaux crs dans une application pratique prcdente.
L'erreur se produit car les sous-rseaux n'existent pas.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Leon : Planification d'un site


Cette leon prsente les comptences et connaissances dont les stagiaires
ont besoin pour planifier une stratgie de site. Rappelez aux stagiaires les
diffrences entre la conception Active Directory et la stratgie de planification
Active Directory, qui est aborde dans la premire rubrique Vue d'ensemble
du processus de la planification des sites. Abordez les instructions que les
stagiaires peuvent utiliser pour dterminer la planification, l'intervalle et le
protocole des liens de sites, la ncessit d'utiliser des ponts entre liens de sites
et un serveur de tte de pont de rplication et la ncessit de scuriser la
rplication Active Directory.
Application pratique

Dans l'application pratique la fin de la leon, demandez aux stagiaires de se


rfrer au scnario d'entreprise lorsqu'ils planifient un site.

Atelier A : Implmentation de sites pour grer la rplication


Active Directory
Dans cet atelier, les stagiaires crent et configurent des sites, des liens de sites,
des ponts entre liens de sites et des planifications de rplication du contrleur
de domaines. Ils vont galement dpanner et vrifier la rplication entre sites.
la fin de l'atelier, demandez-leur s'ils ont des questions.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise

Pour cet atelier, les stagiaires doivent travailler par quipe de deux. Un
ordinateur est configur en tant que domaine racine de la fort et l'autre
en tant que domaine enfant. Avant de prparer les ordinateurs des stagiaires,
assurez-vous qu'ils ont termin l'atelier du Module 2.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!

Elle rtrograde le contrleur de domaine corpx.nwtradersx.msft.

Elle cre un contrleur de domaine rpliqu pour la fort nwtradersx.msft.

Elle cre un nouvel objet site.

Elle cre un nouvel objet sous-rseau.

Elle cre un nouvel objet lien de sites.

vii

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

L'excution d'une rplication dans le service d'annuaire Microsoft


Windows Server 2003 Active Directory implique le transfert et la
maintenance des donnes Active Directory entre les contrleurs de domaine
du rseau. Active Directory utilise un modle de rplication multimatre.
Multimatre signifie qu'il y a plusieurs contrleurs de domaine, galement
appels principaux, qui ont l'autorisation de modifier ou de contrler les mmes
donnes. Dans ce modle de rplication, toute modification des donnes d'un
contrleur de domaine doit tre rplique sur tous les autres. En comprenant le
fonctionnement du modle de rplication Active Directory, vous pouvez grer
le trafic rseau de la rplication et assurer la cohrence des donnes Active
Directory travers votre rseau.

Objectifs

la fin de ce module, vous serez mme d'effectuer les tches suivantes :


!

dcrire les composants et le processus de la rplication ;

crer et configurer des sites ;

grer une topologie de site Active Directory ;

contrler et rsoudre les checs de rplication Active Directory ;

planifier une stratgie de site.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Leon : Prsentation de la rplication Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsqu'un utilisateur ou un administrateur excute une action qui entrane


une mise jour d'Active Directory, un contrleur de domaine appropri est
automatiquement dsign pour excuter la mise jour. Cette modification
est effectue de manire transparente sur l'un des contrleurs de domaine.
Active Directory utilise la rplication multimatre avec cohrence relche
pour s'assurer que tous les contrleurs de domaine sont bien mis jour. En
connaissant le processus et la topologie de rplication, vous serez mme
de grer efficacement la rplication dans Active Directory.
La Rplication est le processus de mise jour des donnes contenues dans
Active Directory d'un contrleur de domaine vers les autres contrleurs de
domaine du rseau. Ce processus synchronise le dplacement des donnes
mises jour entre les contrleurs de domaine. La synchronisation garantit que
toutes les donnes contenues dans Active Directory sont accessibles par tous
les contrleurs de domaine et les ordinateurs clients d'un rseau.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

dcrire le fonctionnement de la rplication Active Directory ;

expliquer la finalit de la rplication d'attributs valeurs multiples lis ;

expliquez comment les partitions d'annuaire autorisent la rplication entre


les contrleurs de domaine durant la rplication ;

discutez de la finalit de la topologie de rplication ;

expliquer comment le KCC permet de gnrer automatiquement la topologie


de rplication ;

expliquer comment Active Directory modifie la topologie de rplication


lorsque vous ajoutez un nouveau serveur de catalogue global la fort.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Prsentation multimdia : Rplication l'intrieur de sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier

Pour commencer la prsentation Rplication l'intrieur de sites, ouvrez la


page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.

Objectifs

la fin de cette prsentation, vous serez mme d'effectuer les tches


suivantes :

Points cls

dfinir la rplication et prvoir quel moment elle a lieu ;

dcrire comment s'effectue la rplication ;

dcrire les conflits de rplication et comment ils sont rsolus.

Voici les points cls de la rplication Active Directory dans un site :


!

A quel moment la rplication se produit-elle ? Lorsque :


un objet est ajout Active Directory ;
une modification est apporte aux valeurs d'attribut d'un objet ;
une modification est apporte au nom d'un conteneur d'objet ;
un objet est supprim de l'annuaire.

Notification de modification. Lorsqu'une modification intervient sur un


contrleur de domaine, celui-ci notifie ses partenaires de rplication
l'intrieur du mme site. Ce processus est appel notification de modification.

Latence de rplication. Le dlai coul entre la modification et la mise


jour effective de tous les contrleurs de domaine d'un site. La latence de
rplication par dfaut est de 15 secondes.

Rplication urgente. Au lieu d'attendre ces 15 secondes, les mises jour


des attributs de scurit sensibles dclenchent une notification de
modification immdiate.

Module 7 : Implmentation de sites pour grer la rplication Active Directory


!

Convergence. Chaque mise jour dans Active Directory finit par tre
propage chaque contrleur de domaine dans le site qui hberge la
partition sur laquelle porte la mise jour effectue. Cette propagation
complte est appele convergence.

Blocage de propagation. Il s'agit d'un processus empchant les rplications


inutiles. Chaque contrleur de domaine affecte chaque attribut ou objet
modifi un numro de squence de mise jour (USN, Update Sequence
Number) pour viter une rplication inutile.

Conflits. Des conflits peuvent se produire lorsque des mises jour


simultanes se produisant sur deux rplicas matres distincts sont
incohrentes. Active Directory rsout trois types de conflits : les conflits
d'attributs, de conteneurs supprims et de noms uniques relatifs (RDN,
Relative Distinguished Name).

Horodatage global unique. Active Directory gre un horodatage qui


contient le numro de version, la date de dernire modification et un
identificateur GUID (Globally Unique Identifier) de serveur qu'Active
Directory a cr durant le dclenchement de la mise jour.

Remarque Pour plus d'informations sur les numros USN, consultez la


rubrique Rplication l'intrieur de sites de la page d'annexe du Module 7
sur le CD-ROM du stagiaire.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Rplication d'attributs valeurs multiples lis

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le processus de rplication d'attributs valeurs multiples lis est diffrent de


celui de la rplication normale dans Active Directory.

Attributs valeurs
multiples lis et niveaux
fonctionnels de la fort

Le processus qui rplique les attributs valeurs multiples lis varie en fonction
du niveau fonctionnel de la fort :
!

Lorsque le niveau fonctionnel de la fort est antrieur


Windows Server 2003, toute modification apporte l'appartenance de
groupe dclenche la rplication de toute la liste des membres. Dans ce cas,
l'attribut member valeurs multiples est considr comme un seul attribut
dans le cadre de la rplication. Cette rplication augmente les risques
d'crasement d'une modification d'appartenance excute par un autre
administrateur ou un autre contrleur de domaine avant la rplication de
la premire modification.

Lorsque le niveau fonctionnel de la fort est dfini sur


Windows Server 2003, une valeur individuelle rplique les modifications
aux attributs valeurs multiples lis. Cette amlioration rplique les
modifications uniquement aux informations d'appartenance et non toute
la liste des membres.

Remarque Pour plus d'informations sur le rglage de la rplication et la


configuration des entres dans Active Directory, consultez la rubrique
Rplication d'attributs valeurs multiples lis de la page d'annexe du
Module 7 sur le CD-ROM du stagiaire.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Dfinition des partitions d'annuaire

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La base de donnes Active Directory est divise de manire logique en


plusieurs partitions : d'annuaire, du schma, de la configuration, du domaine et
d'application. Chaque partition est une unit de rplication et possde sa propre
topologie de rplication. La rplication est excute entre les rplicas des
partitions d'annuaire. Tous les contrleurs de domaine de la mme fort ont
au moins deux partitions d'annuaire en commun : celles du schma et de la
configuration. De plus, tous les contrleurs de domaine partagent une partition
de domaine commune.

Dfinition d'une partition


de schma

Chaque fort possde une seule partition de schma. Cette partition de schma
est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient
les dfinitions de tous les objets et attributs crs dans l'annuaire, ainsi que les
rgles qui permettent de les crer et de les manipuler. Les donnes du schma
sont rpliques dans tous les contrleurs de domaine de la fort. C'est pourquoi
les objets doivent tre conformes aux dfinitions d'objet et d'attribut du schma.

Dfinition d'une partition


de configuration

Chaque fort possde une seule partition de configuration. Stocke dans tous les
contrleurs de domaine de la mme fort, la partition de configuration contient
les donnes sur la structure Active Directory de l'ensemble de la fort, dont les
domaines et les sites existants, les contrleurs de domaine existants dans chaque
fort et les services disponibles. Les donnes de la configuration sont rpliques
dans tous les contrleurs de domaine de la fort.

Dfinition d'une partition


de domaine

Chaque fort peut comporter plusieurs partitions de domaine. Les partitions de


domaine sont stockes dans chaque contrleur de domaine d'un domaine donn.
Une partition de domaine contient les donnes sur tous les objets propres au
domaine et crs dans ce domaine, dont les utilisateurs, les groupes, les
ordinateurs et les units d'organisation. La partition de domaine est rplique
dans tous les contrleurs de domaine de ce domaine. Tous les objets de chaque
partition de domaine d'une fort sont stocks dans le catalogue global avec un
seul sous-ensemble de leurs valeurs d'attribut.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Dfinition d'une partition


d'applications

Les partitions d'applications stockent les donnes sur les applications dans
Active Directory. Chaque application dtermine comment elle stocke, classe et
utilise ses propres donnes. Pour viter toute rplication inutile des partitions
d'applications, vous pouvez dsigner les contrleurs de domaine qui en
hbergent dans une fort. la diffrence d'une partition de domaine, une
partition d'applications ne peut pas stocker les principaux objets de scurit,
tels que les comptes d'utilisateurs. De plus, les donnes contenues dans une
partition d'applications ne sont pas stockes dans le catalogue global.
Comme exemple de partition d'applications, si vous utilisez un systme DNS
qui est intgr Active Directory, vous avez deux partitions d'applications pour
les zones DNS : ForestDNSZones et DomainDNSZones.
!

ForestDNSZones fait partie d'une fort. Tous les contrleurs de domaine et


les serveurs DNS d'une fort reoivent un rplica de cette partition. Une
partition d'applications d'une fort entire stocke les donnes de la zone
de la fort.

DomainDNSZones est unique pour chaque domaine. Tous les contrleurs de


domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de
cette partition. Les partitions d'applications stocke la zone DNS du domaine
dans la DomainDNSZones <nom_domaine>.

Chaque domaine possde une partition DomainDNSZones, mais il n'existe


qu'une partition ForestDNSZones. Aucune donne DNS n'est rplique sur
le serveur de catalogue global.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Dfinition de la topologie de rplication

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La topologie de rplication est l'itinraire suivi par les donnes de la rplication


travers un rseau. La rplication se produit entre deux contrleurs de domaine
la fois. Avec le temps, la rplication synchronise les donnes dans Active
Directory pour toute une fort de contrleurs de domaine. Pour crer une
topologie de rplication, Active Directory doit dterminer quels contrleurs
de domaine rpliquent les donnes avec les autres contrleurs de domaine.

Rplication de partitions

Active Directory cre une topologie de rplication base sur les donnes
stockes dans Active Directory. La topologie de rplication peut diffrer pour
les partitions de schma, de configuration, de domaines et d'applications.
Tous les contrleurs de domaine d'une mme fort partageant les partitions de
schma et de configuration, Active Directory rplique ces partitions de schma
et de configuration sur tous les contrleurs de domaine. Les contrleurs de
domaine du mme domaine rpliquent galement la partition du domaine.
De plus, les contrleurs de domaine qui hbergent une partition d'applications
rpliquent la partition d'applications.
Pour optimiser le trafic de la rplication, un contrleur de domaine peut avoir
plusieurs partenaires de rplication pour diffrentes partitions. Active Directory
rplique les mises jour d'annuaire dans tous les contrleurs de domaine qui
contiennent la partition mise jour dans la fort.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Objets de connexion

Les contrleurs de domaine qui sont lis par des objets de connexion sont
appels partenaires de rplication. Les liens qui relient les partenaires de
rplication sont appels objets de connexion. Les objets de connexion sont crs
dans chaque contrleur de domaine et pointent vers un autre contrleur de
domaine pour une source de donnes de rplication. Les objets de connexion
reprsentent un chemin de rplication sens unique entre deux objets serveur.
La topologie de rplication par dfaut d'un site est un anneau bidirectionnel,
compos de deux objets de connexion unidirectionnels complmentaires entre
deux contrleurs de domaine adjacents. Cette topologie amliore la tolrance
de pannes lorsque l'un des contrleurs de domaine est dconnect.
Si ncessaire, Active Directory cre des objets de connexion supplmentaires
pour limiter statistiquement un maximum de trois le nombre de tronons
emprunts pour rpliquer une mise jour provenant de tous les rplicas d'une
partition donne dans un anneau.

10

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Gnration automatique de la topologie de rplication

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Lorsque vous ajoutez des contrleurs de domaine un site, Active Directory


utilise le Vrificateur de cohrence de connaissances (KCC, Knowledge
Consistency Checker) pour tablir un chemin de rplication entre les
contrleurs de domaine.

Dfinition du KCC

KCC est un processus intgr qui s'excute sur chaque contrleur de domaine et
gnre la topologie de rplication pour toutes les partitions d'annuaire contenues
dans ce contrleur de domaine. Le vrificateur KCC s'excute intervalles
dfinis par dfaut toutes les 15 minutes et dsigne les itinraires de
rplication entre contrleurs de domaine les plus judicieux disponibles ce
moment-l.

Comment fonctionne le
vrificateur KCC

Pour gnrer automatiquement une topologie de rplication, le KCC value les


donnes de la partition de configuration des sites, le cot de l'envoi des donnes
entre ces sites (en fonction de la valeur relative des chemins de rplication), tout
objet de connexion existant et les protocoles de rplication qu'il peut utiliser
entre les sites. Ensuite, le KCC calcule les meilleures connexions pour envoyer
les partitions d'annuaire d'un contrleur de domaine vers les autres contrleurs.
Si la rplication devient impossible dans un site ou un point de dfaillance
unique, le KCC tablit automatiquement de nouveaux objets de connexion entre
les contrleurs de domaine pour maintenir la rplication Active Directory.

Comment sont crs les


objets de connexion
supplmentaires ?

Vous pouvez crer des objets de connexion manuellement ou automatiquement.


Lorsque vous excutez le KCC sur le contrleur de domaine de destination,vous
crez automatiquement des objets de connexion. Pour les crer manuellement,
utilisez Sites et services Active Directory.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

KCC et objets de
connexion

L'algorithme du KCC est conu pour associer des contrleurs de domaine


des partitions d'annuaire communes. Cette opration gnre des objets de
connexion complmentaires entre partenaires de rplication et cre deux
sources de contrleurs de domaine pour chaque contrleur lorsque c'est
possible. La rplication partir de n'importe quelle partition utilise un objet
de connexion.
Par exemple, pour rpliquer entirement les donnes d'annuaire entre le
contrleur de domaine A et le contrleur de domaine B, il faut deux objets
de connexion.
!

Un objet de connexion active la rplication du contrleur A vers le


contrleur B. Cet objet existe dans l'objet NTDS Settings du contrleur B.

Un second objet de connexion active la rplication du contrleur B vers le


contrleur A. Cet objet existe dans l'objet NTDS Settings du contrleur A.

11

12

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Catalogue global et rplication de partitions

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Un serveur de catalogue global est un contrleur de domaine qui stocke deux


partitions pour toute la fort les partitions de schma et de configuration
plus une copie en lecture/criture de la partition de son propre domaine et un
rplica partiel de toutes les autres partitions de domaine dans la fort. Ces
rplicas partiels contiennent un sous-ensemble en lecture seule des donnes
de chaque partition de domaine.

Comment la rplication
affecte-t-elle le serveur
de catalogue global ?

Lorsque vous ajoutez un nouveau domaine une fort, la partition de


configuration stocke les donnes sur ce nouveau domaine. Active Directory
rplique la partition de configuration sur tous les contrleurs de domaine, y
compris les serveurs de catalogue global, lors d'une rplication normale dans
toute la fort. Chaque serveur de catalogue global devient un rplica partiel du
nouveau domaine en contactant un contrleur de domaine pour ce domaine et
en obtenant les donnes du rplica partiel. La partition de configuration fournit
galement aux contrleurs de domaine la liste de tous les serveurs de catalogue
global de la fort.
Les serveurs de catalogue global enregistrent les enregistrements DNS
spciaux dans la zone DNS qui correspond au domaine racine de fort. Ces
enregistrements, crits uniquement dans la zone DNS racine de la fort, aident
les clients et les serveurs localiser les serveurs de catalogue global travers
la fort.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

13

Application pratique : Prsentation de la rplication


Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez analyser la configuration de la


rplication Active Directory.

Instructions

Vous travaillerez avec votre partenaire.

Scnario

Northwind Traders rencontre des problmes de conflits de rplication.


Vous devez trouver ce qui provoque les conflits de rplication et comment les
rsoudre.

Application pratique

! Analyser la rplication Active Directory


1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser (o
Nom_Ordinateur est le nom de l'ordinateur avec lequel vous travaillez)
avec le mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Sites et services Active Directory, puis cliquez sur
Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. Dveloppez Sites, puis Premier-Site-par-defaut, puis Servers, puis
Nom_Ordinateur, cliquez sur NTDS Settings, cliquez avec le bouton droit
sur NTDS Settings, puis cliquez sur Proprits.
5. Dans la bote de dialogue Proprits de NTDS Settings, dans l'onglet
Connexions, notez les partenaires de rplication de votre ordinateur, puis
cliquez sur Annuler.

14

Module 7 : Implmentation de sites pour grer la rplication Active Directory

6. Dans le volet de dtails, cliquez avec le bouton droit sur l'objet de


connexion list, puis cliquez sur Proprits.
7. Dans la bote de dialogue Proprits de <gnr automatiquement>,
cliquez sur Transport, notez les transports disponibles, puis cliquez
sur RPC.
8. Cliquez sur Modifier la planification, notez la planification des horaires de
rplication, puis cliquez sur Annuler deux fois.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

15

Leon : Cration et configuration de sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

La rplication garantit que toutes les donnes contenues dans Active Directory
sont jour dans tous les contrleurs de domaine et stations de travail d'un
rseau. De nombreux rseaux sont composs de plusieurs rseaux plus petits,
et les liens qui les connectent peuvent avoir des dbits varis.
Vous utilisez des sites dans Active Directory pour contrler la rplication et
d'autres types de trafic Active Directory travers les diffrentes liaisons du
rseau. Lorsque vous configurez la rplication entre les sites, vous pouvez
utiliser des objets sous-rseau, des liens de sites et des ponts entre les liens pour
faciliter le contrle de la topologie de rplication. La fiabilit et l'efficacit
d'une topologie de rplication dpendent de la configuration des liens et des
ponts entre les sites.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer la fonction des sites et des objets sous-rseau ;

expliquer la fonction des liens de sites et de leurs attributs ;

dcrire la diffrence entre la rplication entre sites et la rplication dans


les sites ;

crer et configurer des sites et des sous-rseaux ;

crer et configurer des liens de sites ;

expliquer l'objectif de la dsactivation du pontage par dfaut de tous les


liens de sites ;

crer un pont entre liens de sites.

16

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Dfinition des sites et des objets sous-rseau

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Vous utilisez des sites pour contrler le trafic de rplications, le trafic li aux
connexions et les requtes des clients sur le serveur de catalogue global.

Dfinition des sites

Dans Active Directory, les sites facilitent la dfinition de la structure physique


d'un rseau. Un ensemble de plages d'adresses de sous-rseaux TCP/IP
dfinissent un site, qui son tour dfinit un groupe de contrleurs de domaine
partageant les mmes dbits et cots. Les sites sont composs d'objets serveurs,
qui contiennent eux-mmes les objets de connexion autorisant la rplication.

Dfinition des objets


sous-rseau

Les objets sous-rseau identifient les adresses rseau utilises par mapper les
ordinateurs avec les sites. Un sous-rseau est un segment d'un rseau TCP/IP
auquel un ensemble d'adresses IP logiques est attribu. Les objets sous-rseau
se mappant au rseau physique, les sites font de mme. Par exemple, si trois
sous-rseaux sont situs dans trois campus universitaires de la mme ville et
que ces campus sont relis par des connexions haut dbit et disponibilit
leve, vous pouvez associer chacun de ces sous-rseaux un site.
Un site peut comporter un ou plusieurs sous-rseaux. Par exemple, pour un
rseau compos de trois sous-rseaux Redmond et deux Paris, vous pouvez
crer un site Redmond, un Paris et ajouter les sous-rseaux aux sites
respectifs.

Premier site par dfaut

Lorsque vous installez le premier contrleur de domaine d'une fort,


Active Directory cre un site par dfaut. Par dfaut, ce site est appel PremierSite-par-defaut. Vous pouvez le renommer de manire plus descriptive.
Lorsque vous crez votre premier domaine d'une fort, Active Directory le
place automatiquement dans le site par dfaut.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

17

Dfinition des liens de sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour que deux sites changent des donnes de rplication, ils doivent tre
connects par un lien de sites, avec un chemin logique que le vrificateur
KCC utilise pour tablir la rplication entre les sites.

Pourquoi crer un
lien de sites ?

Lorsque vous crez des sites supplmentaires, vous devez slectionner au moins
un lien de sites pour chaque site. Sans au moins un lien de sites, les connexions
ne peuvent tre tablies entre les ordinateurs des diffrents sites, et la
rplication entre sites ne peut donc pas avoir lieu. Les liens de sites
supplmentaires ne se crent pas automatiquement. Pour ce faire, vous devez
utiliser Sites et services Active Directory.

Lien de sites par dfaut

Lorsque vous crez le premier domaine d'une fort, Active Directory cre un
lien de sites par dfaut appel DEFAULTIPSITELINK. Il inclut le premier site
et est situ dans le conteneur IP d'Active Directory. Vous pouvez le renommer.

Attributs du lien de sites

Lorsque vous crez un lien de sites, vous devez slectionner le protocole de


transport qui sera utilis, lui donner un nom et lui ajouter plusieurs sites. Les
caractristiques du lien de sites sont dtermines par ses attributs, que vous
pouvez configurer dans le lien de sorte que tous les sites connects par un seul
lien utilisent le mme chemin de rplication et le mme protocole de transport.
La configuration des attributs des liens de sites fait partie de la configuration de
la rplication entre sites. Ces attributs dterminent les caractristiques de la
connexion, tels que le cot, la frquence de la rplication et les protocoles.

18

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Cot des liens de sites

Le cot des liens de sites est un nombre sans unit de mesure qui reprsente le
dbit relatif, la fiabilit et la prfrabilit du rseau sous-jacent. Plus le cot d'un
lien est bas, plus sa priorit est leve, ce qui en fait un chemin privilgi. Par
exemple, votre organisation a deux sites relis entre eux, un dans le Colorado et
un au Chili : une connexion haut dbit et une connexion distante de secours.
Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion.
La connexion haut dbit tant prfrable la connexion distante, configurez-la
avec un cot infrieur celui du lien de sites de la connexion distante. Lorsque le
lien de sites avec la connexion haut dbit a un cot infrieur, sa priorit est plus
leve. Il est donc utilis en priorit ds que possible.
En dfinissant le cot du lien de sites, vous pouvez dterminer la priorit
relative de chaque lien de sites. La valeur par dfaut du cot est de 100 et peut
s'chelonner de 1 99999.

Planification de la
rplication des liens
de sites

La planification des horaires de rplication est un autre attribut des liens de sites
que vous pouvez configurez. Lors de cette opration, vous spcifiez les horaires
de disponibilit du lien pour la rplication. Souvent, la disponibilit de
rplication est configure des heures o le trafic rseau est peu important :
par exemple entre 2h00 et 5h00 du matin.
Plus le nombre d'heures pendant lesquelles un lien est disponible pour la
rplication est restreint, plus le dlai de latence entre les sites connects par
ce lien est grand. C'est pourquoi il faut trouver l'quilibre entre le besoin de
rplication d'un lien pendant les heures faible charge de travail et le besoin
d'informations actualises dans chaque site connect par ce lien.

Frquence de rplication
des liens de sites

Lorsque vous configurez la frquence de rplication, vous spcifiez le nombre de


minutes que Active Directory doit attendre avant d'utiliser le lien pour vrifier si
des mises jour sont disponibles. La valeur par dfaut de la frquence de
rplication est de 180 minutes. Vous devez choisir une valeur comprise entre 15
minutes et une semaine. La frquence de rplication ne s'applique qu'aux heures
pendant lesquelles le lien est programm pour tre disponible.
Des intervalles plus longs entre les cycles de rplication rduisent le trafic
rseau et augmentent le dlai de latence entre les sites. Des intervalles plus
courts augmentent le trafic rseau et rduisent le dlai de latence. C'est
pourquoi il faut trouver l'quilibre entre le besoin de rduire le trafic rseau et
le besoin d'informations actualises dans chaque site connect par ce lien.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Protocoles de transport
des liens de sites

19

Un protocole de transport est un langage commun partag par les ordinateurs


pour communiquer entre eux pendant la rplication. Active Directory n'utilise
qu'un seul protocole pour la rplication dans un site. Lorsque vous crez un lien
de sites, vous devez en choisir un parmi les protocoles suivants :
!

RPC (Remote Procedure Call, Appel de procdure distante) sur IP. RPC
est le protocole par dfaut. Protocole standard de l'industrie pour les
communications clients/serveur, RPC sur IP fournit une connectivit fiable
et haut dbit entre les sites. Entre les sites, RPC sur IP permet une
rplication de toutes les partitions Active Directory. RPC sur IP est le
meilleur protocole de transport pour la rplication entre sites.

SMTP (Simple Mail Transfer Protocol). Le protocole SMTP prend en


charge la rplication du schma, de la configuration et du catalogue global
entre les sites et entre les domaines. Vous ne pouvez pas l'utiliser pour
la rplication de la partition de domaine, car certaines oprations de
domaine par exemple, la Stratgie de groupe requirent la prise en
charge du service de rplication de fichiers (FRS, File Replication Service),
qui n'est pas compatible avec le transport asynchrone de la rplication. Si
vous choisissez SMTP, vous devez installer et configurer une autorit de
certificat pour signer les messages SMTP et garantir l'authenticit des mises
jour de l'annuaire. De plus, SMTP ne fournit pas le mme niveau de
compression des donnes que RPC sur IP.

20

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Rplication l'intrieur des sites et rplication entre les sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Rplication l'intrieur
de sites

Rplication entre sites

Les principales caractristiques ou hypothses de la rplication l'intrieur des


sites sont les suivantes :
!

Les connexions rseau d'un site sont fiables et ont suffisamment de bande
passante disponible.

Le trafic de rplications l'intrieur d'un site n'est pas compress car un site
suppose la prsence de liaisons rseau rapides et trs fiables. Le fait de ne
pas compresser le trafic de rplications rduit la charge de traitement des
contrleurs de domaine. Cependant, le trafic non compress peut augmenter
la bande passante rseau ncessaire aux messages de rplication.

Un processus de notification de modification lance la rplication l'intrieur


d'un site.

Les principales caractristiques ou hypothses de la rplication entre sites sont


les suivantes :
!

La bande passante rserve aux liaisons rseau entre les sites est limite et
risque de ne pas tre fiable.

Le trafic de rplications entre les sites est conu pour optimiser la bande
passante en compressant tout le trafic de rplications entre les sites. Avant
d'tre transmis, ce trafic est compress de 10 15 pour cent par rapport
sa taille originale. Bien que la compression optimise la bande passante
du rseau, elle entrane une charge de traitement supplmentaire des
contrleurs de domaine lors de la compression et de la dcompression
des donnes de la rplication.

Module 7 : Implmentation de sites pour grer la rplication Active Directory


!

21

La rplication entre les sites se produit automatiquement ds que vous avez


dfini les valeurs configurables, telles que la planification et l'intervalle de
rplication. Vous pouvez planifier la rplication aux heures creuses ou
conomiques. Par dfaut, les modifications sont rpliques entre les sites
selon une planification que vous dfinissez manuellement et non pas en
fonction du moment auquel se produisent les modifications. La planification
dtermine le moment de la rplication. L'intervalle spcifie la manire dont
les contrleurs de domaine vont vrifier la prsence de modifications
pendant la priode de rplication planifie.

22

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Comment crer et configurer des sites et des sous-rseaux

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour grer la rplication entre sites l'aide de sites, vous devez crer des sites et
des sous-rseaux supplmentaires et dlguer le contrle des sites. La cration
d'un site implique de nommer ce nouveau site et de lui associer un lien de sites.
Pour crer des sites, vous devez vous connecter en tant que membre du groupe
Administrateurs de l'entreprise ou du groupe Admins du domaine dans le
domaine racine de la fort.

Procdure de cration
d'un site

Pour crer un site, excutez les oprations suivantes :


1. Ouvrez Sites et services Active Directory dans le menu Outils
d'administration.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sites,
puis cliquez sur Nouveau site.
3. Dans la zone Nom, nommez le nouveau site.
4. Cliquez sur un objet lien de sites, puis cliquez deux fois sur OK.

Procdure de cration
d'un objet sous-rseau

Aprs avoir cr des sites, vous crez des sous-rseaux et les associez avec
les sites.
Pour crer un objet sous-rseau, excutez les oprations suivantes :
1. Dans Sites et Services Active Directory, dans l'arborescence de la console,
double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis
cliquez sur Nouveau sous-rseau.
2. Dans la zone Adresse, entrez l'adresse IP du sous-rseau.
3. Dans la zone Masque, tapez le masque de sous-rseau qui dcrit la plage
d'adresses du sous-rseau.
4. Slectionnez le site associer ce sous-rseau, puis cliquez sur OK.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Procdure de
modification de
l'association d'un site
un sous-rseau

23

Pour associer un site un objet sous-rseau, excutez les oprations suivantes :


1. Dans Sites et services Active Directory, dveloppez Sites, puis Subnets, et
dans l'arborescence de la console, cliquez avec le bouton droit sur le sousrseau associer au site, puis cliquez sur Proprits.
2. Dans l'onglet Gnral, dans la zone Site, cliquez sur le site associer avec
ce sous-rseau, puis cliquez sur OK.

Procdure de
dplacement d'un
contrleur de domaine
vers un autre site

Pour dplacer un contrleur de domaine vers un autre site, excutez les


oprations suivantes :
1. Dans Sites et services Active Directory, dveloppez Sites, puis le site
contenant le contrleur de domaine, dveloppez Servers, et dans
l'arborescence de la console, cliquez avec le bouton droit sur le contrleur
de domaine, puis cliquez sur Dplacer.
2. Dans la bote de dialogue Dplacer un serveur, dans la liste Nom du site,
slectionnez le site qui doit contenir le contrleur de domaine, puis cliquez
sur OK.
Remarque Il peut s'avrer ncessaire de modifier l'adresse IP du contrleur de
domaine en adresse mappe sur le site qui doit le contenir.

Procdure de dlgation
du contrle des sites

Vous pouvez utiliser l'Assistant Dlgation de contrle dans Sites et services


Active Directory pour dlguer le contrle d'un site d'autres groupes. Pour
dlguer le contrle, excutez les oprations suivantes :
1. Ouvrez la console Site et services Active Directory.
2. Effectuez l'une des oprations suivantes :
Pour dlguer le contrle de tous les sites, liens de sites, ponts de liens
de sites et objets sous-rseau, cliquez avec le bouton droit sur Sites, puis
cliquez sur Dlgation de contrle.
Pour dlguer le contrle d'un site spcifique, dveloppez Sites, cliquez
avec le bouton droit sur le site, puis cliquez sur Dlguer le contrle.
3. Utilisez l'Assistant Dlgation de contrle pour excuter la dlgation.

24

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Comment crer et configurer des liens de sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Dans Active Directory, vous pouvez crer des liens de sites pour mapper des
connexions entre plusieurs sites. Lorsque vous configurez des liens de sites,
vous pouvez dfinir leurs proprits : le cot, l'intervalle de rplication, la
planification et les sites associs au lien.

Procdure de cration
de liens de sites

Pour crer un lien de sites, excutez les oprations suivantes :


1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole qu'utilisera le lien, puis cliquez sur Lien vers un nouveau site.
2. Dans la zone Nom, nommez le lien.
3. Cliquez sur les sites connecter, cliquez sur Ajouter, puis sur OK.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Procdure de
configuration des
liens de sites

25

Pour configurer les liens de sites, excutez les oprations suivantes :


1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez sur IP ou SMTP en fonction du protocole qui a t
configur pour le lien.
2. Cliquez avec le bouton droit sur le lien de sites, puis cliquez sur Proprits.
3. Dans l'onglet Gnral de la bote de dialogue Proprits, modifiez les
valeurs des associations de site (cot, intervalle de rplication et
planification), si ncessaire, puis cliquez sur OK.
4. Excutez l'une des oprations suivantes :
Dans la zone Sites absents de ce lien de sites, cliquez sur le site
ajouter, puis sur Ajouter.
Dans la zone Sites prsents dans ce lien de sites, cliquez sur le site
supprimer, puis sur Supprimer.
Dans la zone Cot, entrez une valeur pour le cot de la rplication.
Cliquez sur Modifier la planification, slectionnez le bloc d'heures que
vous souhaitez planifier, puis cliquez sur Rplication non disponible ou
sur Rplication disponible, puis sur OK.

26

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Pourquoi dsactiver le pontage par dfaut de tous les liens


de sites ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Un pont de lien de sites cre une chane de liens que les contrleurs de domaine
des diffrents sites de ces liens peuvent utiliser pour communiquer directement.
Le pontage s'avre pratique pour cantonner le vrificateur KCC dans les
chemins dsigns par la topologie des liens. Par dfaut, le pontage est activ et
tous les liens de sites sont considrs comme transitifs. C'est--dire que tous les
liens d'un transport donn appartiennent implicitement un seul pont de liens
pour ce transport. Ainsi, dans un rseau IP entirement rout, il est inutile de
configurer des ponts de liens de sites. Si votre rseau IP n'est pas entirement
rout, vous pouvez dsactiver le pontage pour inhiber la fonction de liens
transitifs du transport IP, puis configurer des ponts de liens pour former le
vritable acheminement de votre rseau.

Exemple

Un pont de liens de sites permet des liens qui partagent un site intermdiaire
commun d'acheminer les donnes via ce site et de produire un chemin transitif
qui reprsente le cumul des liens de sites individuels. Par exemple, lorsqu'un
pont de liens est dsactiv et qu'il y a un pont entre le site A et le site B et un
entre le site B et le site C, le vrificateur KCC peut en dduire un chemin
transitif rout entre le site A et le site C, pour un cot qui sera la somme des
cots des liens de sites. Dans cet exemple, le site B intermdiaire est considr
par le KCC uniquement pour le routage IP entre A et C. Le KCC ne se soucie
pas si le site B a une copie du domaine donn dont il tente de calculer la
topologie. Le pontage s'avre pratique pour cantonner le vrificateur KCC
dans les chemins dsigns par la topologie des liens.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

27

Comment crer un pont de liens de sites ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Avant de crer de nouveaux ponts de liens de sites, vous devez commencer par
dsactiver le pontage par dfaut de tous les liens pour permettre la cration de
nouveaux ponts.

Procdure permettant de
dsactiver le pontage
par dfaut de tous les
liens de sites

Pour dsactiver le pontage par dfaut de tous les liens de sites, excutez les
oprations suivantes :
1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole pour lequel vous souhaitez dsactiver le pontage de tous les liens,
puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits, dsactivez la case cocher Relier
tous les liens du site, puis cliquez sur OK.

Procdure de cration
d'un pont entre liens
de sites

Pour crer un pont de liens de sites, excutez les oprations suivantes :


1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole pour lequel vous souhaitez crer un pont de liens de sites, puis
cliquez sur Nouveau pont entre liens de sites.
2. Dans la zone Nom, nommez le pont entre liens de sites.
3. Cliquez sur tous les liens relier, cliquez sur Ajouter, puis sur OK.

28

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Application pratique : Cration et configuration de sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs

Dans cette application pratique, vous allez crer des objets sous-rseau et site IP
dans Active Directory et associer les sous-rseaux avec les sites. Ensuite, vous
dplacerez des objets serveur dans le site cr, vous crerez des liens IP entre
les sites et vous configurerez les valeurs de la rplication : cot, planification et
intervalle des liens.

Instructions

Vous travaillerez par quipes de deux organises par domaine. La configuration


de votre domaine possde deux contrleurs de domaine dans Premier-Site-pardefaut.

Scnario

Northwind Traders est rparti gographiquement avec de nombreux liens de


rseau tendu (WAN, Wide Area Network) qui relient ces rgions. La bande
passante des liens du rseau WAN est de faible capacit. Pour optimiser la
rplication et minimiser l'utilisation de la bande passante des liens WAN, vous
devez configurer Active Directory pour autoriser la cration de topologie en
fonction des connexions LAN (Local Area Network) et WAN.
Les objets sous-rseau et site IP d'Active Directory sont configurs en fonction
du rseau physique de Northwind Traders. Les sites du rseau d'entreprise ont
dj t configurs.

Application pratique :
Cration d'un objet
sous-rseau et site

! Crer un objet site et sous-rseau


1. Ouvrez une session en tant qu'utilisateur Nwtradersx\Nom_OrdinateurUser
avec le mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Sites et services Active Directory, puis cliquez sur
Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, puis
le mot de passe P@ssw0rd et cliquez sur OK.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

29

4. Dveloppez Sites, puis crez un objet site.


a. Crez un site nomm Nom_OrdinateurSite (o Nom_Ordinateur est le
nom d'hte de votre ordinateur).
b. Reliez-le au lien DEFAULTIPSITELINK.
5. Crez un objet sous-rseau IP, puis associez-le un site.
a. Crez un nouvel objet sous-rseau avec l'ID rseau 10.10.n.0 (o n est
votre numro de stagiaire) et le masque de sous-rseau 255.255.255.0.
b. Associez l'objet sous-rseau votre site Nom_OrdinateurSite.
6. Actualisez Sites et services Active Directory et vrifiez que la rplication a
eu lieu et que vous pouvez voir le sous-rseau cr par votre partenaire.
Application pratique :
Cration et
configuration des
liens entre sites

! Crer des liens de sites IP entre votre site et celui de votre partenaire
1. Crez un lien de sites IP appel Votre_Ordinateur-Ordinateur_Partenaire.
2. Ajoutez les sites Votre_OrdinateurSite et Ordinateur_PartenaireSite au
nouveau lien de sites.
3. Configurez les proprits du lien Votre_OrdinateurOrdinateur_PartenaireSite en dfinissant le cot de la rplication 50, une
frquence de 15 minutes et une planification quotidienne qui exclut toute
rplication entre 6h00 et 8h00 du matin.
4. Dplacez Votre_Ordinateur dans le site que vous avez cr.
Remarque L'intervalle de rplication entre les sites est dfini sur 15 minutes,
mais vous pouvez dclencher la rplication manuellement pour que les mises
jour se produisent quand elles sont ncessaires.

30

Module 7 : Implmentation de sites pour grer la rplication Active Directory

Leon : Gestion de la topologie de site

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Pour satisfaire les besoins en rplication d'une organisation, vous pouvez tre
amen excuter manuellement certaines tches de gestion de la topologie
de site. Ces tches comprennent l'identification des serveurs de tte de pont
privilgis, l'actualisation de la topologie de rplication et l'imposition de la
rplication.

Objectifs de la leon

la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!

expliquer le rle d'un serveur de tte de pont ;

expliquer le rle du gnrateur de topologie inter-sites ;

crer un serveur de tte de pont privilgi ;

actualiser la topologie de rplication en :


identifiant le contrleur de domaine qui joue le rle de gnrateur de
topologie inter-sites dans un site,
mettant jour la liste des serveurs de tte de pont ;

imposer la rplication sur une connexion.

Module 7 : Implmentation de sites pour grer la rplication Active Directory

31

Dfinition d'un serveur de tte de pont

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction

Le serveur de tte de pont est un contrleur de domaine que vous dsignez


pour envoyer et recevoir les donnes rpliques dans chaque site. Celui du site
d'origine collecte toutes les modifications de la rplication et les envoie celui
du site destinataire, qui rplique les modifications dans tous les contrleurs de
domaine du site.

Serveur de tte de pont


requis par partition

Vous devez dsigner un serveur de tte de pont pour chaque partition du site.
Par exemple, un contrleur de domaine peut tre serveur de tte de pont pour
les partitions de configuration et de schma de l'ensemble de la fort, ainsi que
pour la partition de domaine du domaine qu'il reprsente. Si le site contient
d'autres domaines, vous devez affecter un serveur de tte de pont chacun
d'eux.
Le serveur de tte de pont de chaque site est slectionn automatiquement, ou
vous pouvez dsigner une liste de serveurs de tte de pont privilgis. Pour
garantir la fiabilit des mises jour de l'annuaire, un serveur de tte de pont
privilgi doit bnficier d'une puissance de traitement et d'une largeur de
bande suffisantes pour compresser, envoyer, recevoir et dcompresser les
donnes de la rplication avec efficacit. Active Directory utilise un seul
serveur de tte de pont la fois. Si le premier serveur privilgi devient
indisponible, le prochain dans la liste des privilgis est utilis.
Si votre dploiement utilise un pare-feu pour protger un site, vous devez
dsigner le serveur proxy du pare-feu en tant q