Pi Mad 2003 Server

Planification, implmentation
et maintenance d'une
infrastructure Active Directory
Microsoft Windows
Server 2003
Guide pdagogique
Cours n : 2194A
Rf. n : X09-84841
dit en : 05/2003
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
2003 Microsoft Corporation. Tous droits rservs.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Cours n : 2194A
Rf. n : X09-84841
dit le : 05/2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
iii
Table des matires

Introduction
Introduction .............................................................................................................1
Documents de cours ................................................................................................2
Conditions pralables ..............................................................................................4
Plan du cours ...........................................................................................................5
Configuration...........................................................................................................7
Programme MOC ....................................................................................................9
Programme MCP ...................................................................................................11
Logistique ..............................................................................................................14
Module 1 : Introduction l'infrastructure Active Directory

Vue d'ensemble........................................................................................................1
Leon : Architecture d'Active Directory..................................................................2
Leon : Fonctionnement d'Active Directory..........................................................11
Leon : Analyse d'Active Directory ......................................................................21
Leon : Processus de conception, de planification et d'implmentation
d'Active Directory .................................................................................................32
Module 2 : Implmentation d'une structure de fort et de domaine

Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'une structure de fort et de domaine .........................................2
Leon : Analyse du systme DNS intgr Active Directory...............................23
Leon : Augmentation des niveaux fonctionnels de la fort et du domaine ..........38
Leon : Cration de relations d'approbation ..........................................................44
Atelier A : Implmentation d'Active Directory .....................................................57
Module 3 : Implmentation de la structure d'une unit d'organisation

Vue d'ensemble........................................................................................................1
Leon : Cration et gestion d'units d'organisation .................................................2
Leon : Dlgation du contrle administratif des units d'organisation ................14
Leon : Planification d'une stratgie d'unit d'organisation...................................25
Atelier A : Implmentation de la structure d'une unit d'organisation...................36
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et

d'ordinateurs
Vue d'ensemble........................................................................................................1
Leon : Prsentation des comptes............................................................................2
Leon : Cration et gestion de plusieurs comptes..................................................11
Leon : Implmentation des suffixes UPN............................................................24
Leon : Dplacement d'objets dans Active Directory............................................35
Leon : Planification d'une stratgie de compte d'utilisateur, de groupe et
d'ordinateur............................................................................................................45
Leon : Planification d'une stratgie d'audit Active Directory ..............................59
Atelier A : Implmentation d'une stratgie de compte et d'audit...........................65
iv
Module 5 : Implmentation d'une stratgie de groupe

Vue d'ensemble........................................................................................................1
Leon : Cration et configuration d'objets Stratgie de groupe ...............................2
Leon : Configuration des frquences d'actualisation et des paramtres de
stratgie de groupe.................................................................................................19
Leon : Gestion des objets Stratgie de groupe .....................................................32
Leon : Vrification et rsolution des problmes lis la stratgie de groupe......47
Leon : Dlgation du contrle administratif de la stratgie de groupe ................56
Leon : Planification d'une stratgie de groupe pour l'entreprise ..........................66
Atelier A : Implmentation d'une stratgie de groupe ...........................................74
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie

de groupe
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la gestion du dploiement de logiciels ..............................2
Leon : Dploiement de logiciels ............................................................................7
Leon : Configuration du dploiement des logiciels .............................................19
Leon : Maintenance des logiciels dploys..........................................................28
Leon : Rsolution des problmes lis au dploiement de logiciels......................37
Leon : Planification d'une stratgie de dploiement de logiciels .........................45
Atelier A : Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe ...............................................................................................................53
Module 7 : Implmentation de sites pour grer la rplication

Active Directory
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la rplication Active Directory ..........................................2
Leon : Cration et configuration de sites .............................................................15
Leon : Gestion de la topologie de site..................................................................30
Leon : Rsolution des checs de rplication ........................................................38
Leon : Planification d'un site................................................................................51
Atelier A : Implmentation de sites pour grer la rplication Active Directory ....63
Module 8 : Implmentation du placement des contrleurs de domaine

Vue d'ensemble........................................................................................................1
Leon : Implmentation du catalogue global dans Active Directory.......................2
Leon : Dtermination du placement de contrleurs de domaine dans Active
Directory................................................................................................................14
Leon : Planification du placement des contrleurs de domaine...........................24
Atelier A : Implmentation du placement des contrleurs de domaine .................34
Module 9 : Gestion des matres d'oprations

Vue d'ensemble........................................................................................................1
Leon : Prsentation des rles de matre d'oprations .............................................2
Leon : Transfert et prise de rles de matres d'oprations....................................11
Leon : Planification du placement des matres d'opration..................................24
Atelier A : Gestion des matres d'oprations .........................................................36
Module 10 : Maintenance d'Active Directory

Vue d'ensemble........................................................................................................1
Leon : Prsentation de la maintenance d'Active Directory ....................................2
Leon : Dplacement et dfragmentation de la base de donnes
Active Directory ......................................................................................................6
Leon : Sauvegarde d'Active Directory.................................................................13
Leon : Restauration d'Active Directory ...............................................................19
Leon : Planification du contrle d'Active Directory ............................................30
Atelier A : Maintenance d'Active Directory..........................................................38
Module 11 : Planification et implmentation d'une infrastructure

Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................2
Atelier A : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................7
Leon : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................23
Atelier B : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................24
vii
propos de ce cours
Cette section dcrit brivement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances pralables requises.
Description
Ce cours anim par un instructeur et rparti sur cinq journes comporte des
lments individualiss et des composants facilits par la prsence de
l'instructeur. Il fournit aux stagiaires les comptences et les connaissances
requises pour planifier, implmenter et dpanner une infrastructure de service
d'annuaire Active Directory dans Microsoft Windows Server 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de fort, le systme DNS
(Domain Name System), la topologie de site et la rplication, la structure
d'unit d'organisation et la dlgation de l'administration, la stratgie de groupe
ainsi que les stratgies de comptes d'utilisateurs, de groupes et d'ordinateurs.
Profil des stagiaires
Ce cours s'adresse aux personnes employes ou recherchant un emploi comme

ingnieur systme dans une organisation d'entreprise, de moyenne ou de grande
envergure.
Les stagiaires doivent rpondre l'un des critres suivants :
!
Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de

stagiaires englobe les personnes sans connaissances techniques, exerant
actuellement une fonction sans rapport avec l'informatique et qui souhaitent
obtenir et valider des connaissances techniques au niveau ingnierie dans
l'optique d'un changement de carrire.
Avancs : Personnes exprimentes occupant actuellement un poste

d'informaticien de base et pour qui les fonctions d'ingnierie serveur
Windows sont tout fait nouvelles. Ce groupe comprend les administrateurs
systme de niveau 2 ou les personnes charges du support technique sous
Windows, UNIX ou Novell NetWare et qui ne disposent pas des
connaissances et des comptences requises pour implmenter et dpanner
un rseau s'appuyant sur Windows Server 2003 Server Active Directory.
Les professionnels prparant l'examen 70-294 du programme MCP

(Microsoft Certified Professional), Planification, implmentation et
maintenance d'une infrastructure Active Directory sous Microsoft Windows
Server 2003, qui constitue l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).
Au terme de ce cours, les stagiaires disposeront des connaissances techniques

ncessaires pour effectuer les tches lies Active Directory dcrites dans ce
cours.
Remarque Le cours 2194A ne s'adresse pas aux personnes suivantes :
ingnieurs systme, dveloppeurs et programmeurs Windows NT,
Windows 2000, UNIX/Linux ou Novell NetWare expriments, utilisateurs
finaux professionnels et particuliers.
viii
Connaissances
pralables
Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
2189A, Planification et maintenance d'une infrastructure rseau Microsoft
Windows Server 2003, ou disposer de connaissances et comptences quivalentes.
Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).
Objectifs
la fin de ce cours, les stagiaires seront mme d'effectuer les tches

suivantes :
!
dcrire les composants logiques et physiques d'Active Directory ;
crer et configurer une structure fort et domaine l'aide de la conception

d'infrastructure d'Active Directory ;
planifier et implmenter une structure d'unit d'organisation ;
planifier et implmenter des comptes d'utilisateurs, de groupes et

d'ordinateurs dans Active Directory ;
planifier et implmenter une stratgie de groupe pour grer de faon

centralise des utilisateurs et les ordinateurs dans une entreprise ;
dployer, grer et dpanner les logiciels mis en uvre l'aide d'une stratgie
de groupe ;
implmenter des sites pour grer et contrler la rplication Active

Directory ;
planifier et implmenter le placement des contrleurs de domaine, des

serveurs de catalogue global et des serveurs DNS intgrs Active
Directory ;
planifier et grer les matres d'oprations ;
sauvegarder, restaurer et assurer la maintenance d'Active Directory ;
planifier et implmenter une infrastructure Active Directory base sur une

conception de service d'annuaire fournie par un architecte d'entreprise.
ix
Calendrier du cours
Voici une estimation horaire du droulement du cours. Il est possible que vos
horaires soient diffrents de ceux indiqus dans le tableau suivant :
Premier jour
Dbut
Fin
Module
9:00
9:30
Introduction
9:30
10:30
10:30
10:45
Pause
10:45
11:15
Module 1 : Introduction l'infrastructure Active Directory (suite)
11:15
12:00

Active Directory
12:00
1:00
Djeuner
1:00
2:15

Active Directory (suite)
2:15
2:30
Pause
2:30
3:30
Atelier 2 : Implmentation d'Active Directory
3:30
5:00
Module 3 : Implmentation de la structure d'une unit

d'organisation
Deuxime jour
Dbut
Fin
Module
9:00
9:30
Contrle des acquis du premier jour
9:30
10:15
Atelier 3 : Implmentation de la structure d'une unit

d'organisation
10:15
10:30
Pause
10:30
12:00
Module 4 : Implmentation de comptes d'utilisateurs, de groupes

et d'ordinateurs
12:00
1:00
Djeuner
1:00
1:30
Module 4 : Implmentation de comptes d'utilisateurs, de groupes

et d'ordinateurs (suite)
1:30
2:30
Atelier 4 : Implmentation d'une stratgie de compte et d'audit
2:30
2:45
Pause
2:45
4:45
Troisime jour
Dbut
Fin
Module
9:00
9:30
Contrle des acquis du deuxime jour
9:30
10:30
Module 5 : Implmentation d'une stratgie de groupe (suite)
10:30
10:45
Pause
10:45
12:00
Atelier : 5 : Implmentation d'une stratgie de groupe
12:00
1:00
Djeuner
1:00
3:00
Module 6 : Dploiement et gestion des logiciels l'aide d'une

stratgie de groupe
3:00
3:15
Pause
3:15
4:15
Atelier 6 : Dploiement et gestion des logiciels l'aide d'une

stratgie de groupe
Quatrime jour
Dbut
Fin
Module
9:00
9:30
Contrle des acquis du troisime jour
9:30
10:45

Active Directory
10:45
11:00
Pause
11:00
12:00

12:00
1:00
Djeuner
1:00
1:30

1:30
2:00
Atelier 7 : Implmentation de sites pour grer la rplication

Active Directory
2:00
2:15
Pause
2:15
3:30
Module 8 : Implmentation du placement des contrleurs de

domaine
3:30
4:00
Atelier 8 : Implmentation du placement des contrleurs de

domaine
4:00
5:00
xi
Cinquime jour
Dbut
Fin
Module
9:00
9:30
Contrle des acquis du quatrime jour
9:30
10:00
Atelier 9 : Gestion des matres d'oprations
10:00
11:00
11:00
11:15
Pause
11:15
11:45
Module 10 : Maintenance d'ActiveDirectory (suite)
11:45
12:00
Atelier 10 : Maintenance d'Active Directory
12:00
1:00
Djeuner
1:00
1:30
Atelier 10 : Maintenance d'ActiveDirectory (suite)
1:30
1:45

Active Directory
1:45
2:30
Atelier 11A : Cration d'un plan d'implmentation d'Active

Directory pour Tailspin Toys
2:30
2:45
Pause
2:45
3:00

3:00
5:00
Atelier 11B : Implmentation de l'infrastructure Active Directory

pour Tailspin Toys
xii
Contenu du CD-ROM de l'instructeur

Le CD-ROM de l'instructeur contient les fichiers et dossiers dcrits ci-dessous :
!
Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous

double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM et vous
permet de parcourir le CD-ROM du stagiaire ou de l'instructeur.
Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance

Autorun.exe.
Default.htm. Ce fichier ouvre les pages Web destines l'instructeur.
Readme.txt. Ce fichier dcrit l'installation des logiciels permettant d'afficher

le CD-ROM de l'instructeur et son contenu. Il explique galement comment
ouvrir les pages Web destines l'instructeur.
2194A_ms.doc. Ce fichier contient le Guide de configuration manuelle de la

classe. Il contient les tapes excuter pour configurer manuellement les
ordinateurs de la classe.
2194A_sg.doc. Ce fichier contient le Guide de configuration automatise de

la classe. Il fournit une description de la configuration de la classe et des
conditions requises, des instructions relatives l'utilisation des scripts de
configuration automatise de la classe et la liste de vrification de la
configuration de la classe.
Errorlog. Ce dossier peut contenir un journal des erreurs.
Powerpnt. Ce dossier contient les diapositives Microsoft PowerPoint

utilises dans ce cours.
Pptview. Ce dossier contient la visionneuse Microsoft PowerPoint 97 que

vous pouvez utiliser pour afficher les diapositives PowerPoint si vous ne
disposez pas de PowerPoint 2002. N'utilisez pas cette version en classe.
Setup. Ce dossier contient les fichiers ncessaires pour installer le cours et

les logiciels associs sur les ordinateurs de la classe.
Student. Ce dossier contient les pages Web destines aux stagiaires.

Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions du contrle des acquis et des ateliers, les fichiers des ateliers, les
prsentations multimdias et les sites Web se rapportant au cours.
Tools. Ce dossier contient les fichiers et les utilitaires employs pour

achever la configuration de l'ordinateur de l'instructeur.
Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
xiii
Contenu du CD-ROM du stagiaire

Le CD-ROM du stagiaire contient les fichiers et dossiers dcrits ci-dessous :
!
Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous

double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM du stagiaire et
vous permet de le parcourir.
Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance

Autorun.exe.
Default.htm. Ce fichier ouvre la page Web destine aux stagiaires.

Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions de contrle des acquis et des ateliers, les fichiers des ateliers, des
prsentations multimdias et des sites Web se rapportant au cours.
Readme.txt. Ce fichier explique comment installer le logiciel permettant

d'afficher le CD-ROM du stagiaire et son contenu, et comment ouvrir la
page Web destine au stagiaire.
Addread. Ce dossier contient des lectures complmentaires ayant un rapport

avec ce cours.
Appendix. Ce dossier contient les annexes de ce cours.
Flash. Ce dossier contient le programme d'installation du plug-in

Macromedia Flash 6.0.
Fonts. Ce dossier contient les polices ventuellement requises pour afficher

les documents Microsoft Word inclus dans ce cours.
Labfiles. Ce dossier contient les fichiers utiliss dans les ateliers. Certains de
ces fichiers peuvent aussi tre employs pour prparer les ordinateurs des
stagiaires en vue des ateliers.
Media. Ce dossier contient les fichiers utiliss dans les prsentations

multimdias de ce cours.
Mplayer. Ce dossier contient le fichier d'installation du lecteur multimdia

Microsoft Windows Media.
Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
Wordview. Ce dossier contient la visionneuse Word, utilise pour afficher

tous les fichiers Word (.doc) situs sur le CD-ROM.
xiv
Conventions typographiques
Les conventions suivantes sont utilises dans les documents du cours afin de
distinguer les diffrents lments de texte :
Convention
Utilisation
Gras
Reprsente des commandes, options de commande et lments

de syntaxe qui doivent tre taps tels qu'ils sont prsents. Cette
mise en forme de caractres dsigne galement les commandes
de menu et les boutons, les titres et options de bote de dialogue
ainsi que les noms de menu.
Italique
Dans les syntaxes ou le texte descriptif, reprsente les noms

d'argument ou les espaces rservs aux variables. Cette mise en
forme de caractres est galement utilise pour introduire des
termes nouveaux, citer des titres d'ouvrage et mettre en valeur
des lments du texte.
Majuscules initiales
Reprsentent les noms de domaine, d'utilisateur, d'ordinateur, de

rpertoire, de dossier et de fichier (sauf lorsqu'il s'agit de noms
avec respect de la casse). Sauf indication contraire, vous pouvez
taper les noms de rpertoire ou de fichier en minuscules dans les
botes de dialogue ou l'invite.
MAJUSCULES
Reprsentent les noms de touche ainsi que les squences et les

combinaisons de touches, par exemple, ALT+ESPACE.
espacement
fixe
Reprsente les exemples de code ou les exemples de texte

affichs l'cran.
[]
Dans les syntaxes, dlimitent les lments facultatifs. Par

exemple, [fichier] dans la syntaxe d'une commande indique que
vous pouvez taper un nom de fichier dans la commande. Tapez
uniquement les informations indiques entre crochets, et non les
crochets proprement dits.
{}
Dans les syntaxes, dlimitent les lments obligatoires. Tapez

uniquement les informations indiques entre accolades, et non
les accolades proprement dites.
Dans les syntaxes, spare les lments mutuellement exclusifs

d'un choix.
Reprsente une procdure compose d'tapes squentielles.
...
Dans les syntaxes, indiquent que l'lment prcdent peut tre

rpt.
.
.
.
Reprsente une partie omise dans un exemple de code.
Introduction
Table des matires

Introduction
Documents de cours
Conditions pralables
Plan du cours
Configuration
Programme MOC
Programme MCP
11
Logistique
14
Introduction
Notes de l'instructeur
Prsentation :
30 minutes
Ce module donne aux stagiaires une vue d'ensemble du contenu du cours, des
documents et de l'organisation du cours 2194A : Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Documents de cours
Pour animer ce cours, vous devez disposer des lments suivants :
Prparation
Guide pdagogique
CD-ROM de l'instructeur
Pour prparer ce cours, vous devez raliser les diffrentes tapes dcrites dans
la Liste de prparation au cours fournie avec les documents de cours de
l'instructeur.
iii
iv
Introduction
Comment animer ce module

Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Introduction
Accueillez les stagiaires et prsentez-vous. Donnez un bref aperu

de vos acquis afin d'tablir votre crdibilit en tant qu'instructeur.
Invitez les stagiaires se prsenter en indiquant leur exprience,
leur connaissance du produit et leurs attentes concernant ce cours.
Notez sur un tableau blanc ou feuilles mobiles les attentes des stagiaires afin
de pouvoir vous y rfrer pendant le cours.
Documents de cours
Signalez aux stagiaires que tout ce dont ils ont besoin pour ce cours leur est
fourni leur arrive.
Demandez aux stagiaires d'inscrire leur nom de chaque ct de la fiche.
Dcrivez le contenu du manuel de travail et du CD-ROM des stagiaires.
Indiquez aux stagiaires o ils peuvent envoyer leurs commentaires et
impressions sur le cours.
Montrez comment ouvrir la page Web fournie sur le CD-ROM des stagiaires en
double-cliquant sur Autorun.exe ou Default.htm dans le dossier Student du
CD-ROM de l'instructeur.
Dcrivez les connaissances pralables requises pour suivre ce cours. De cette

faon, vous pourrez identifier les stagiaires qui n'ont pas l'exprience ou les
acquis suffisants pour assister ce cours.
Plan du cours
Dcrivez brivement chacun des modules en soulignant ce que les stagiaires

apprendront. Ne soyez pas trop prcis, car le cours est prsent en dtail dans
le module 1.
Montrez de quelle manire ce cours rpondra aux attentes des stagiaires,
en faisant le lien avec le contenu des diffrents modules.
Orientez les stagiaires vers la prsentation multimdia Rles dans les systmes
d'information. Pour commencer la prsentation, ouvrez la page Web sur le
CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le titre de la
prsentation.
Configuration
Prsentez toutes les informations de configuration requises pour ce cours,

y compris les fichiers de cours et la configuration de la classe.
Pour visualiser les simulations de ce cours, cliquez sur l'icne Lancement
multimdia. En haut de la fentre de simulation, cliquez avec le bouton droit
sur la barre d'outils. Vrifiez que la fonction Masquer automatiquement est
active, puis appuyez deux fois sur F11.
Pour visualiser les animations de ce cours, cliquez sur l'icne Lancement
multimdia. Aprs avoir ouvert l'animation, appuyez sur F11 pour la visualiser
en mode plein cran.
Introduction
Programme MOC
Expliquez ce qu'est le programme MOC (Microsoft Official Curriculum) et

prsentez la liste des cours supplmentaires recommands.
Renvoyez les stagiaires la page Web Microsoft Official Curriculum l'adresse
http://www.eu.microsoft.com/france/formation/ pour plus d'informations sur
les cours.
Programme MCP
Donnez aux stagiaires des informations sur le programme MCP (Microsoft

Certified Professional), les examens de certification relatifs ce cours et les
diffrentes certifications possibles.
Logistique
Dcrivez l'organisation du cours : heures de cours, prolongation des horaires

d'ouverture du btiment pour les ateliers, stationnement, toilettes, repas,
tlphone, bote aux lettres ou messagerie et zones fumeurs.
Indiquez aux stagiaires si vos locaux disposent d'un accs Internet qu'ils
pourront utiliser aux heures de pause.
Assurez-vous galement que les stagiaires sont informs des ventuelles
dispositions concernant le recyclage papier.
Introduction
Introduction
********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************
Introduction
Documents de cours

Votre kit de cours contient les documents dtaills cidessous.
!
Fiche. Inscrivez votre nom des deux cts de la fiche.
Manuel de travail du stagiaire. Ce manuel contient les sujets traits dans

le cours, ainsi que les exercices raliss pendant les ateliers pratiques.
CD-ROM du stagiaire. Ce CD-ROM contient la page Web destine aux

stagiaires. Cette page comporte des liens renvoyant des ressources ayant
un rapport avec ce cours, notamment des lectures complmentaires, les
rponses aux questions de contrle des acquis et des ateliers, les fichiers
des ateliers, les prsentations multimdias et les sites Web se rapportant
au cours.
Remarque Pour ouvrir la page Web du stagiaire, insrez le CD-ROM du
stagiaire dans le lecteur, puis double-cliquez la racine sur Autorun.exe ou
Default.htm.
Objectifs. Ce cours inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour
aider les stagiaires identifier les difficults ou en conclusion pour valider
leurs connaissances.
valuation du cours. Pour nous donner vos impressions sur le cours, le

centre de formation ou l'instructeur, vous aurez la possibilit de remplir un
formulaire d'valuation en ligne la fin du cours.
Logiciel d'valuation. Une copie d'valuation du logiciel Microsoft

Windows Server 2003 est fournie pour votre usage personnel uniquement.
Pour envoyer des commentaires supplmentaires ou obtenir des
informations sur le programme MCP (Microsoft Certified Professional),
envoyez un message lectronique l'adresse mcphelp@microsoft.com.
Introduction
Documentation supplmentaire dans Microsoft Press

Les ouvrages de Microsoft Press sur Microsoft Windows Server 2003 peuvent
vous aider dans votre travail, de la planification et de l'valuation au
dploiement et la prise en charge existante. Ils vous fournissent des
informations techniques prcises qui vous permettront de tirer parti des
fonctionnalits et amliorations cls de Windows Server 2003. Les ouvrages
suivants reprsentent un complment aux connaissances fournies dans ce cours.
Titre
ISBN
Microsoft Windows Server 2003

Administrator's Pocket Consultant
(en anglais)
0-7356-1354-0
Active Directory Services for Microsoft

Windows Server 2003 Technical
Reference (en anglais)
0-7356-1577-2

Administrator's Companion (en anglais)
0-7356-1367-2

Deployment Kit (en anglais)
0-7356-1486-5
Migrating from Microsoft

Windows NT Server 4.0 to Microsoft
Windows Server 2003 (en anglais)
0-7356-1940-9
Microsoft Windows Server 2003 Security

Administrator's Companion (en anglais)
0-7356-1574-8
Introduction

Pour tirer pleinement parti de ce cours, vous devez avoir suivi le cours 2189A,
Planification et maintenance d'une infrastructure rseau Microsoft Windows
Server 2003, ou possder des connaissances quivalentes.
Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA
Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).
Introduction
Plan du cours

Le module 1, Introduction l'infrastructure Active Directory , prsente aux
stagiaires l'infrastructure du service d'annuaire Active Directory, sa structure
physique et logique, ainsi que sa fonction de service d'annuaire. Le module
prsente galement les composants logiciels enfichables MMC (Microsoft
Management Console) et les outils de ligne de commande vous permettant
d'analyser les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
Le module 2, Implmentation d'une structure de fort et de domaine Active
Directory , prsente les conditions requises pour installer Active Directory,
le processus de cration d'une fort et d'une structure de domaine l'aide de
l'Assistant Installation de Active Directory, ainsi que les tches effectuer
aprs l'installation. Il explique galement comment configurer le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine, et crer des relations
d'approbation.
Le module 3, Implmentation d'une structure d'unit d'organisation , fournit
aux stagiaires les connaissances et les comptences ncessaires pour crer des
units d'organisation, dlguer les tches d'administration courantes,
personnaliser la dlgation des tches d'administration d'une unit
d'organisation et planifier l'implmentation de la structure d'une unit
d'organisation.
Le module 4, Implmentation des comptes d'utilisateur, de groupe et
d'ordinateur , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter des comptes d'utilisateurs, de
groupes et d'ordinateurs Active Directory. Ce module explique comment crer
et grer plusieurs comptes d'utilisateurs et d'ordinateurs. Il fournit galement la
procdure d'implmentation des suffixes de nom principal d'utilisateur (UPN,
User Principal Name).
Introduction
Le module 5, Implmentation d'une stratgie de groupe , fournit aux

stagiaires les connaissances et les comptences ncessaires pour planifier et
implmenter une stratgie de groupe afin de grer de faon centralise les
utilisateurs et les ordinateurs d'une entreprise.
Le module 6, Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe , explique comment dployer et grer le logiciel l'aide d'une
stratgie de groupe. Ce module met l'accent sur les concepts de base relatifs
au dploiement, la configuration, la gestion de logiciels, la rsolution des
problmes lis au logiciel dploy, ainsi qu' la planification du dploiement de
logiciels.
Le module 7, Implmentation de sites pour grer la rplication Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour implmenter des sites qui vous permettront de grer et
d'analyser la rplication dans Active Directory. Ce module prsente les
concepts de base de la rplication et des sites dans Active Directory, et plus
prcisment : la cration, la configuration et la gestion de sites ; l'analyse et la
rsolution des checs de rplication ; la planification d'une stratgie de site.
Le module 8, Implmentation du placement des contrleurs de domaine ,
prsente aux stagiaires les emplacements des contrleurs de domaine. Ce
module met l'accent sur la planification du placement des contrleurs de
domaine, ce qui inclut les serveurs de catalogue global et les serveurs DNS
intgrs Active Directory. Il prsente galement les instructions de mise en
cache, pour un site, des informations relatives l'appartenance au groupe
universel.
Le module 9, Gestion des matres d'oprations , prsente aux stagiaires la
gestion des matres d'oprations dans Active Directory. Il dcrit la fonction de
chacun des cinq types de matres d'oprations, comment transfrer et prendre le
rle de matre des oprations et comment planifier une stratgie de placement
des matres d'oprations.
Le module 10, Maintenance d'Active Directory , explique les concepts de
bases relatifs la gestion de la disponibilit d'Active Directory, notamment
comment dfragmenter, dplacer, sauvegarder, restaurer et analyser une base de
donnes Active Directory.
Le module 11, Planification et implmentation d'une infrastructure Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter une infrastructure de service Active
Directory partir des besoins d'une entreprise fictive.
Introduction
Configuration

Fichiers de cours
Les fichiers de ce cours qui sont associs aux ateliers se trouvent dans le
dossier \MOC\2194\Labfiles sur les ordinateurs des stagiaires. Les fichiers de
distribution de Windows Server 2003 se trouvent dans le rpertoire partag
\\London\OS.
Configuration
de la classe
La configuration de la classe est une configuration de fort unique comportant

deux domaines, comme l'illustre la diapositive.
Chaque ordinateur de stagiaire excute Windows Server 2003 en tant que
serveur membre du domaine nwtraders.msft. Chaque ordinateur de stagiaire
possde l'une des adresses TCP/IP suivantes : de 192.168.x.1 192.168.x.24,
de gauche droite sur la diapositive, x tant le numro de rseau de la classe.
L'ordinateur principal de l'instructeur, London, est un contrleur de domaine
pour le domaine racine de la fort, nwtraders.msft. Son adresse TCP/IP est
192.168.x.200 et il excute le service WINS (Windows Internet Name Service),
le protocole DHCP (Dynamic Host Configuration Protocol) et les services DNS
pour l'environnement de la classe. Il contient galement les diapositives
Microsoft PowerPoint et les dossiers partags des fichiers des ateliers.
L'ordinateur supplmentaire de l'instructeur a pour nom Glasgow. Son adresse
TCP/IP est 192.168.x.201. Il s'agit d'un contrleur de domaine pour le domaine
enfant corp.nwtraders.msft. Il assure essentiellement la prise en charge des
dmonstrations et des ateliers de l'instructeur.
Les outils d'administration et de support sont installs sur les deux ordinateurs
de l'instructeur. Seuls les outils de support sont installs sur les ordinateurs des
stagiaires. Les stagiaires installeront les outils d'administration sur leurs postes
lors du Module 1.
Introduction
La structure de domaine est modifie au cours du Module 2, la diffrence

de la structure dcrite prcdemment, la nouvelle structure possde des forts
distinctes pour chaque paire d'ordinateurs stagiaire. Chaque paire correspondra
un domaine racine de fort et un domaine enfant. La structure de domaine
sera de nouveau modifie au cours du Module 7, afin que les ordinateurs de
chaque paire deviennent des contrleurs de domaine d'un mme domaine. Ces
changements sont ncessaires pour complter et renforcer les exercices des
ateliers.
Introduction
Programme MOC

Introduction
Microsoft Formations et Certifications dveloppe le programme MOC,

y compris MSDN Training, pour les professionnels de l'informatique qui
conoivent, dveloppent, prennent en charge, implmentent ou grent des
solutions en utilisant des produits et des technologies Microsoft. Ces cours,
dispenss par un instructeur et disponibles en ligne, offrent une formation
complte base sur les comptences.
Autres cours
recommands
Chaque cours se rfre d'une certaine manire un autre cours. Celui-ci

peut tre une comptence requise, un cours complmentaire d'une srie
recommande ou un cours permettant d'acqurir une formation supplmentaire.
Nous vous conseillons d'assister aux cours suivants dans l'ordre de leur
classement :
!
Cours 2144A, Administration d'un environnement Microsoft Windows

Server 2003
Cours 2149A, Maintenance d'un environnement Microsoft Windows

Server 2003
Cours 2177A, Implmentation d'une infrastructure rseau Microsoft

Windows Server 2003 : htes rseau
10
Introduction
Programme MOC (suite)

!
Cours 2182A, Implmentation, administration et maintenance d'une

infrastructure rseau Microsoft Windows Server 2003 : services rseau
Cours 2189A, Planification et maintenance d'une infrastructure rseau

Cours 2194A, Planification, implmentation et maintenance d'une

infrastructure Active Directory Microsoft Windows Server 2003
Il se peut que d'autres cours traitant de ces sujets soient disponibles l'avenir.
Par consquent, si vous souhaitez des informations mises jour propos des
formations recommandes, consultez le site Web Formations et Certifications.
Informations Microsoft
Formations et
Certifications
Pour plus d'informations, consultez le site Web Microsoft Formations et

Certifications l'adresse http://www.eu.microsoft.com/france/formation.
Introduction
11
Programme MCP

Introduction
Microsoft Formations et Certifications propose diverses certifications pour les

dveloppeurs et les professionnels de l'informatique. Le programme MCP est
un programme de certification renomm qui valide votre exprience et vos
connaissances pour assurer votre comptitivit sur un march de l'emploi en
pleine volution.
Examen de certification
Ce cours aide les stagiaires prparer l'examen 70-294 : Planification,

implmentation et maintenance d'une infrastructure Active Directory sous
Microsoft Windows Server 2003.
L'examen 70-294 reprsente l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).
Certifications MCP
Le programme MCP comprend les certifications ci-dessous.

!
MCSA sur Microsoft Windows Server 2003

La certification MCSA (Microsoft Certified Systems Administrator) est
destine aux professionnels qui implmentent, grent et rsolvent les
problmes des environnements rseau et systme existants fonds sur des
plates-formes Microsoft Windows 2000, y compris la famille Windows
Server 2003. Leurs tches d'implmentation comprennent l'installation et la
configuration d'au moins une partie de ces systmes. En matire de gestion,
leurs responsabilits englobent l'administration et le support technique de
ces systmes.
MCSE sur Microsoft Windows Server 2003

La certification MCSE est la principale certification pour les professionnels
dont le rle consiste analyser les besoins des entreprises pour ensuite
concevoir et implmenter des infrastructures de solutions d'entreprise
fondes sur la plate-forme Microsoft Windows 2000 et les logiciels serveurs
de Microsoft, dont la famille des serveurs Windows Server 2003. Leurs
tches d'implmentation comprennent l'installation, la configuration et la
rsolution des problmes de systmes rseau.
12
Introduction
!
MCAD
La certification MCAD (Microsoft Certified Application Developer) pour
Microsoft .NET est destine aux professionnels qui utilisent les technologies
Microsoft pour dvelopper et maintenir, au niveau de leur service, des
applications, des composants, des clients Web ou de bureau, ou des services
principaux de donnes. Cette certification est galement destine ceux
qui travaillent dans des quipes de dveloppement d'applications
professionnelles. Elle couvre des tches allant du dveloppement et
du dploiement la maintenance de ces solutions.
MCSD
La certification MCSD (Microsoft Certified Solution Developer) est
la principale certification pour les professionnels qui conoivent et
dveloppent des solutions d'entreprise de pointe l'aide d'outils de
dveloppement, de technologies, de plates-formes Microsoft et de
l'architecture Microsoft Windows DNA. Parmi les types d'applications que
les titulaires d'une certification MCSD sont susceptibles de dvelopper,
citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les
tches qu'ils assument vont de l'analyse des besoins de l'entreprise la
maintenance des solutions mises en uvre.
MCDBA sur Microsoft SQL Server 2000

La certification MCDBA (Microsoft Certified Database Administrator) est
la principale certification l'intention des professionnels chargs de
l'implmentation et de l'administration de bases de donnes Microsoft
SQL Server. Cette certification valide les comptences dans les domaines
suivants : mise jour d'anciens modles de bases de donnes physiques,
dveloppement de modles de donnes logiques, cration de bases de
donnes physiques, cration de services de donnes au moyen de TransactSQL, gestion et maintenance des bases de donnes, configuration et gestion
de la scurit, surveillance et optimisation des bases de donnes, et
installation et configuration de SQL Server.
MCP
La certification MCP (Microsoft Certified Professional) s'adresse aux
individus qui possdent les comptences ncessaires pour implmenter un
produit ou une technologie Microsoft au sein d'une solution d'entreprise
dans une organisation. Il est ncessaire de bnficier d'une exprience
pratique du produit pour obtenir cette certification.
MCT
La certification MCT (Microsoft Certified Trainer) valide les comptences
pdagogiques et techniques des personnes qui dispensent des cours MOC
dans les centres de formation technique agrs Microsoft CTEC (Certified
Technical Education Center).
Introduction
Conditions requises
pour l'obtention des
certifications
13
Les critres retenus varient en fonction des certifications. Ils dpendent des
produits et des responsabilits professionnelles auxquels s'applique chacune de
ces certifications. Pour devenir MCP, vous devez tre reu des examens de
certification rigoureux qui permettent d'valuer de manires prcise et fiable
vos comptences et vos connaissances techniques.
Pour plus d'informations Consultez le site Web Formations et Certifications
de Microsoft France l'adresse http://www.microsoft.com/france/formation/
cert/mcp/default.asp.
Vous pouvez aussi envoyer un courrier lectronique l'adresse
mcphelp@microsoft.com pour toute question concernant les certifications.
Acquisition des
comptences valides
par un examen MCP
Les cours MOC et MSDN Training peuvent vous aider dvelopper les
comptences ncessaires pour assumer vos fonctions. Ils renforcent galement
l'exprience que vous avez acquise lors de l'utilisation des produits et
technologies Microsoft. Cependant, il n'existe pas de correspondance directe
entre les cours de formation MOC et MSDN, et les examens MCP. Le seul suivi
des cours ne garantit pas ncessairement la russite aux examens MCP : de
l'exprience et des connaissances pratiques sont galement ncessaires.
Pour prparer les examens MCP, vous pouvez utiliser les guides de prparation
disponibles pour chaque examen. Chaque guide de prparation contient des
informations spcifiques un examen, telles que la liste des sujets sur lesquels
vous serez interrog. Ces guides sont disponibles sur le site Web Formations et
Certifications de Microsoft France l'adresse http://www.microsoft.com/
france/formation/cert/mcp/default.asp.
14
Introduction
Logistique
Module 1 : Introduction
l'infrastructure Active
Directory
Table des matires
Vue d'ensemble
Leon : Architecture d'Active Directory
Leon : Fonctionnement d'Active

Directory
11
Leon : Analyse d'Active Directory
21
Leon : Processus de conception, de

planification et d'implmentation
d'Active Directory
32
iii
Prsentation :
90 minutes
Atelier :
0 minute
Ce module prsente aux stagiaires l'infrastructure du service d'annuaire Active

Directory, sa structure physique et logique, et sa fonction d'annuaire. Le
module prsente galement les composants logiciels enfichables MMC, les
outils de ligne de commande et l'environnement d'excution de scripts
Windows (Windows Script Host) vous permettant d'analyser les composants
Active Directory, ainsi que ses processus de conception, de planification et
d'implmentation.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
Documents de cours
dcrire l'architecture d'Active Directory ;
dcrire le fonctionnement d'Active Directory ;
utiliser des composants logiciels enfichables MMC d'administration pour

analyser les composants d'Active Directory ;
dcrire les processus de conception, de planification et d'implmentation

d'Active Directory.
Pour animer ce module, vous devez disposer des lments suivants :

!
Fichier Microsoft PowerPoint 2194A_01.ppt
Fichier Macromedia Flash 2194A_2279a_01_a_logical.swf
Fichier Macromedia Flash 2194A_2279a_01_a_physical.swf
Fichier Macromedia Flash 2194A_2279a_1_a_SSO.swf
Important Il est recommand d'utiliser PowerPoint 2002 ou une version

ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.
Prparation
Pour prparer ce module, vous devez effectuer les tches suivantes :

!
lire tous les documents de cours relatifs ce module ; tout au long du

module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
visionner les prsentations multimdias ;
tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv

ce module.
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider les connaissances la fin de la
journe. Vous pouvez aussi les traiter en dbut de journe pour passer en
revue les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer leurs rponses de leur ct.
Remarque Certaines rubriques font rfrence des informations
complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.
Procdures,
applications pratiques
et ateliers
Expliquez aux stagiaires de quelle manire les procdures, les applications

pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, chaque atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
permettant d'effectuer la tche (par exemple : partir de la console Utilisateurs
et ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Cette section dcrit les mthodes pdagogiques mettre en uvre pour cette
leon. Cette leon dcrit la fonction d'Active Directory, sa structure physique et
logique, ainsi que les rles de matre d'oprations.
Lorsque vous prsentez la rubrique Rle d'Active Directory, dcrivez la
fonction d'Active Directory dans Microsoft Windows Server 2003, ainsi que
sa fonction en tant que service d'annuaire rseau ; dcrivez galement comment
il aide les administrateurs grer les ressources prsentes sur un rseau.
Utilisez l'animation Structure logique d'Active Directory pour prsenter la
structure logique d'Active Directory. Prsentez l'animation toute la classe ou,
si les stagiaires disposent d'un casque, demandez-leur de la visionner
individuellement. Les stagiaires peuvent effectuer l'exercice la fin de
l'animation en groupe ou individuellement. Utilisez l'exercice comme point de
dpart de discussion sur le contenu de l'animation. Aprs l'introduction, vous
pouvez utiliser les boutons de navigation pour accder une autre rubrique de
l'animation.
Utilisez l'animation Structure physique d'Active Directory pour prsenter la
structure physique d'Active Directory, et montrer comment les structures
logique et physique fonctionnent conjointement pour rpondre aux impratifs
organisationnels. Lorsque les stagiaires auront fini de visionner l'animation
multimdia, rsumez-en les points cls. Assurez-vous que les stagiaires ont
compris les points ci-dessous.
!
Le concept de sites en tant qu'objets physiquement distincts. Faites

remarquer comment les sites optimisent le trafic de connexions et de
rplications.
Le concept de contrleurs de domaine comme objets physiquement

distincts, diffrents des domaines.
vi
Lorsque vous prsentez la rubrique Dfinition des matres d'oprations, ne

dcrivez que la fonction de chaque rle. Lorsque vous dcrivez le rle de matre
du schma, ne consacrez pas trop de temps dcrire le schma. Celui-ci sera
dcrit plus loin dans le module. Les dtails sur la gestion des contrleurs
de domaine qui grent ces rles sont dcrits dans le Module 9, Gestion
des matres d'oprations , du cours 2194, Planification, implmentation
Server 2003.
Application pratique
Cette leon ne comporte pas d'application pratique.
Leon : Fonctionnement d'Active Directory

Cette leon dcrit la fonction d'Active Directory en tant que service d'annuaire.
Elle prsente galement les comptences et les connaissances requises pour
que les stagiaires comprennent comment Active Directory peut les aider
administrer les ressources et rsoudre les problmes susceptibles de survenir
lorsqu'ils tentent d'accder ces ressources.
Expliquez la fonction d'Active Directory en tant que service d'annuaire. Prenez
l'exemple d'un annuaire tlphonique pour dcrire la fonctionnalit d'un service
d'annuaire. De mme qu'un annuaire tlphonique permet de retrouver un
numro de tlphone en fonction d'un nom, Active Directory permet de
localiser des ressources en fonction des attributs qui la dcrivent.
Lorsque vous expliquez le rle du catalogue global, assurez-vous que les
stagiaires comprennent que celui-ci s'tend au niveau de la fort, et qu'il ne
contient qu'un sous-ensemble des attributs de chaque objet stock dans Active
Directory. Les attributs de chaque objet stock dans le catalogue global sont
suffisants pour permettre Active Directory de localiser la ressource que
l'objet reprsente.
Lorsque vous dcrivez le schma Active Directory, assurez-vous que les
stagiaires qui ont travaill avec Active Directory dans Microsoft
Windows 2000 comprennent l'importance de dsactiver les modifications de
schma. Il s'agit d'une nouvelle fonctionnalit dans Windows Server 2003.
Lorsque vous prsentez la rubrique Dfinition d'un nom unique et d'un nom
unique relatif, insistez sur la faon d'utiliser le protocole LDAP (Lightweight
Directory Access Protocol) pour communiquer avec Active Directory. Vrifiez
galement que les stagiaires savent crer une chane de requte LDAP.
Utilisez l'animation Ouverture de session unique avec Active Directory pour
montrer aux stagiaires comment les valeurs d'attributs, le catalogue global et le
protocole LDAP fonctionnent conjointement pour permettre d'accder aux
ressources et d'autres fonctions Active Directory.
vii

Cette leon prsente les composants logiciels enfichables MMC et les outils
de ligne de commande permettant aux stagiaires de grer Active Directory et
d'analyser les objets Active Directory qui sont prsents dans la leon
Architecture d'Active Directory.
Les stagiaires doivent tre dj familiariss avec les modles d'administration
centraliss et dcentraliss dans Active Directory. Utilisez la rubrique Gestion
d'Active Directory pour rviser ces modles.
Utilisez la rubrique Outils et composants logiciels enfichables d'administration
d'Active Directory pour dcrire les composants logiciels enfichables MMC les
plus frquents, utiliss pour grer Active Directory. Ne consacrez pas trop de
temps aux fonctionnalits de chaque outil.
Les stagiaires doivent galement tre familiariss avec les composants logiciels
enfichables d'administration de l'interface graphique utilisateur (GUI, Graphical
User Interface). N'utilisez la rubrique Comment analyser Active Directory que
pour rviser leur utilisation. Indiquez aux stagiaires les annexes consulter pour
plus d'informations sur l'utilisation de ADSI Edit.
la fin de la leon, les stagiaires devront analyser la structure Active Directory

de la fort de la classe l'aide des composants Utilisateurs et ordinateurs Active
Directory, Domaines et approbations Active Directory et Sites et services
Active Directory.
Leon : Processus de conception, de planification et

d'implmentation d'Active Directory
Cette leon donne une vue d'ensemble des processus de conception, de
planification et d'implmentation d'Active Directory. Assurez-vous que
les stagiaires comprennent la diffrence entre conception, planification et
implmentation.
Vue d'ensemble
********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************

Introduction
Objectifs
Ce module prsente la structure physique et logique du service d'annuaire

Active Directory, et sa fonction en tant qu'annuaire. Le module prsente
galement les composants logiciels enfichables, les outils de ligne de
commande et l'environnement d'excution de scripts Windows vous permettant
de grer les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
la fin de ce module, vous serez mme d'effectuer les tches suivantes :
dcrire l'architecture d'Active Directory ;
!
!
dcrire le fonctionnement d'Active Directory ;
utiliser des composants logiciels enfichables d'administration pour analyser

Active Directory ;
dcrire les processus de conception, de planification et d'implmentation

d'Active Directory.

Introduction
Active Directory inclut des composants qui constituent sa structure logique et

physique. Vous devez planifier les structures logique et physique d'Active
Directory pour rpondre vos impratifs organisationnels. Pour grer Active
Directory, vous devez comprendre le rle de ces composants et comment
les utiliser.
Objectifs de la leon
la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
!
dcrire la fonction d'Active Directory ;
dcrire la structure logique d'Active Directory ;
dcrire la structure physique d'Active Directory ;
dcrire les rles de matre d'oprations.
Rle d'Active Directory

Introduction
Active Directory stocke des informations sur les utilisateurs, les ordinateurs et
les ressources du rseau, afin de permettre aux utilisateurs et aux applications
d'accder ces ressources. Il constitue un moyen cohrent de nommer, de
dcrire, de localiser, d'accder, de grer et de scuriser les informations
concernant ces ressources.
Fonction d'Active
Directory
Active Directory fournit les fonctions ci-dessous :

!
Centralisation du contrle des ressources du rseau. La centralisation du

contrle des ressources, comme les serveurs, les fichiers partags et les
imprimantes, permet aux seuls utilisateurs autoriss d'accder aux
ressources dans Active Directory.
Centralisation et dcentralisation de la gestion des ressources. Les

administrateurs peuvent grer des ordinateurs clients distribus, des services
rseau et des applications partir d'un emplacement centralis l'aide d'une
interface de gestion cohrente, ou distribuer des tches d'administration en
dlguant le contrle des ressources d'autres administrateurs.
Stockage des objets de manire scurise dans une structure logique. Active
Directory stocke toutes les ressources sous forme d'objets dans une structure
logique hirarchique scurise.
Optimisation du trafic rseau. La structure physique d'Active Directory

vous permet d'utiliser plus efficacement la bande passante du rseau. Il
garantit, par exemple, que lorsque des utilisateurs se connectent au rseau,
ils sont authentifis par l'autorit d'authentification la plus proche de
l'utilisateur, rduisant d'autant la quantit de trafic rseau.
Prsentation multimdia : Structure logique d'Active Directory

Emplacement de fichier
Pour commencer la prsentation Structure logique d'Active Directory, ouvrez

la page Web sur le CD-ROM du stagiaire, cliquez sur Multimdia, puis sur
le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit
par l'instructeur.
Objectifs
la fin de cette prsentation, vous serez mme d'effectuer les tches

suivantes :
Points cls
dfinir les lments de la structure logique d'Active Directory ;
discuter du rle de ces lments.
Active Directory offre un stockage scuris pour les informations concernant

les objets dans sa structure logique hirarchique. Les objets Active Directory
reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d'autres. Lorsque vous aurez
compris le rle et la fonction de ces objets, vous pourrez effectuer des tches
diverses, comme l'installation, la configuration, la gestion et le dpannage
d'Active Directory.
La structure logique d'Active Directory inclut les composants suivants :
!
Les objets. Il s'agit des composants les plus lmentaires de la structure

logique. Les classes d'objets sont des modles pour les types d'objets que
vous pouvez crer dans Active Directory. Chaque classe d'objet est dfinie
par une liste d'attributs, qui dfinit les valeurs possibles que vous pouvez
associer un objet. Chaque objet possde une combinaison unique de
valeurs d'attributs.
Les units d'organisation (OU, Organizational Unit). Vous utilisez ces

objets conteneurs pour organiser d'autres objets de telle manire qu'ils
prennent en compte vos objectifs administratifs. La disposition de ces objets
par unit d'organisation simplifie la recherche et la gestion des objets. Vous
pouvez galement dlguer l'autorit de gestion d'une unit d'organisation.
Les units d'organisation peuvent tre imbriques les unes dans les autres,
ce qui simplifie d'autant la gestion d'objets.

!
Les domaines. Units fonctionnelles centrales dans la structure logique

d'Active Directory, les domaines sont un ensemble d'objets dfinis
administrativement qui partagent une base de donnes d'annuaire commune,
des stratgies de scurit et des relations d'approbation avec d'autres
domaines. Les domaines disposent des trois fonctions suivantes :
Une limite d'administration pour objets
Une mthode de gestion de la scurit pour les ressources partages
Une unit de rplication pour les objets
Les arborescences de domaines. Les domaines regroups en structures

hirarchiques sont appels arborescences de domaines. Lorsque vous
ajoutez un second domaine une arborescence, il devient enfant du domaine
racine de l'arborescence. Le domaine auquel un domaine enfant est attach
est appel domaine parent. Un domaine enfant peut son tour avoir son
propre domaine enfant.
Le nom d'un domaine enfant est associ celui de son domaine parent
pour former son nom DNS (Domain Name System) unique, par exemple
corp.nwtraders.msft. De cette manire, une arborescence a un espace de
noms contigu.
Les forts. Une fort est une instance complte d'Active Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique
deux niveaux, qui est recommande pour la plupart des organisations, tous
les domaines enfants sont des enfants du domaine racine de la fort afin de
former une arborescence contigu.
Le premier domaine de la fort est appel le domaine racine de la fort.
Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft.
Par dfaut, les informations dans Active Directory ne sont partages qu'
l'intrieur de la fort. Ainsi, la fort est une limite de scurit pour les
informations contenues dans l'instance d'Active Directory.
Prsentation multimdia : Structure physique d'Active Directory

Pour commencer la prsentation Structure physique d'Active Directory, ouvrez

la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.
Objectifs

suivantes :
Points cls
dfinir les lments de la structure physique d'Active Directory ;
discuter du rle de ces lments.
Contrairement la structure logique, qui modlise des exigences

administratives, la structure physique d'Active Directory optimise le trafic
rseau en dterminant o et quand se produit un trafic de connexions et de
rplications. Pour optimiser l'utilisation par Active Directory de la bande
passante du rseau, vous devez en comprendre la structure physique. Les
lments de la structure physique d'Active Directory sont :
!
Les contrleurs de domaine. Ces ordinateurs excutent Microsoft

Windows Server 2003 ou Windows 2000 Server et Active Directory.
Chaque contrleur de domaine excute des fonctions de stockage et de
rplication. Un contrleur de domaine ne peut grer qu'un seul domaine.
Pour assurer une disponibilit permanente d'Active Directory, chaque
domaine doit disposer de plusieurs contrleurs de domaine.

!
Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein d'un mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication l'intrieur du site ; autrement dit, le temps requis pour qu'une
modification effectue sur un contrleur de domaine soit rplique sur
d'autres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser l'utilisation de la bande passante entre des contrleurs de
domaines situs des emplacements diffrents.
Remarque Pour plus d'informations sur les sites Active Directory, reportezvous au Module 7, Implmentation de sites pour grer la rplication
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Partitions Active Directory. Chaque contrleur de domaine contient les

partitions Active Directory suivantes :
La partition de domaine contient les rplicas de tous les objets de ce
domaine. La partition de domaine n'est rplique que dans d'autres
contrleurs appartenant au mme domaine.
La partition de configuration contient la topologie de la fort. La
topologie est un enregistrement de tous les contrleurs de domaine et des
connexions entre eux dans une fort.
La partition de schma contient le schma tendu au niveau de la fort.
Chaque fort comporte un schma de sorte que la dfinition de chaque
classe d'objet est cohrente. Les partitions de configuration et de schma
sont rpliques dans chaque contrleur de domaine dans la fort.
Les partitions d'applications facultatives contiennent des objets non lis
la scurit et utiliss par une ou plusieurs applications. Les partitions
d'applications sont rpliques dans des contrleurs de domaine spcifis
dans la fort.
Remarque Pour plus d'informations sur les partitions Active Directory,
reportez-vous au Module 7, Implmentation de sites pour grer la
rplication Active Directory , du cours 2194, Planification, implmentation
Server 2003.
Dfinition des matres d'oprations

Introduction
Lorsqu'un domaine est modifi, la modification est rplique sur tous les
contrleurs du domaine. Certaines modifications, telles que celles apportes au
schma, sont rpliques dans tous les domaines de la fort. Cette rplication est
appele rplication multimatre.
Oprations de matre
unique
Lors d'une rplication multimatre, un conflit de rplication peut se produire si

des mises jour d'origine sont effectues simultanment sur le mme attribut
d'un objet sur de deux contrleurs de domaine. Pour viter des conflits de
rplication, vous utiliserez une rplication matre unique, qui dsigne un
contrleur de domaine comme tant le seul sur lequel certaines modifications
de l'annuaire peuvent tre effectues. Ainsi, des modifications ne peuvent
intervenir simultanment sur diffrents endroits du rseau. Active Directory
utilise une rplication matre unique pour des modifications importantes,
comme l'ajout d'un nouveau domaine ou une modification dans le schma au
niveau de la fort.
Rles de matre
d'oprations
Les oprations utilisant une rplication matre unique sont regroupes dans
des rles spcifiques dans une fort ou un domaine. Ces rles sont appels
rles de matre d'oprations. Pour chaque rle de matre d'oprations, seul le
contrleur de domaine possdant ce rle peut effectuer les modifications dans
l'annuaire correspondant. Le contrleur de domaine responsable d'un rle
particulier est appel matre d'oprations pour ce rle. Active Directory
stocke les informations concernant le contrleur de domaine qui joue un
rle spcifique.
Active Directory dfinit cinq rles de matre d'oprations, chacun possdant un

emplacement par dfaut. Les rles de matre d'oprations s'tendent au niveau
d'une fort ou d'un domaine.
!
Rles tendus au niveau d'une fort. Particuliers une fort, les rles
tendus au niveau d'une fort sont :
Le contrleur de schma. Il contrle toutes les mises jour du schma.
Le schma contient la liste principale des classes et des attributs d'objets
utiliss pour crer tous les objets Active Directory, comme les
utilisateurs, les ordinateurs et les imprimantes.
Le matre d'attribution des noms de domaine. Il contrle l'ajout ou la
suppression de domaines dans la fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
d'attribution des noms de domaine peut ajouter le nouveau domaine.
L'ensemble de la fort ne contient qu'un seul contrleur de schma et qu'un
seul matre d'attribution des noms de domaine.
Rles tendus au niveau d'un domaine. Particuliers chaque domaine dans

une fort, les rles couvrant un domaine sont :
L'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrleur principal de domaine
Windows NT pour la prise en charge de tout contrleur secondaire de
domaine (BDC, Backup Domain Controller) excutant Microsoft
Windows NT au sein d'un domaine en mode mixte. Ce type de domaine
possde des contrleurs de domaine excutant Windows NT 4.0.
L'mulateur PDC est le premier contrleur de domaine que vous crez
dans un nouveau domaine.
Le matre des identificateurs relatifs (matre RID). Lorsqu'un nouvel
objet est cr, le contrleur de domaine cre une nouvelle entit de
scurit qui reprsente l'objet et auquel elle affecte un identificateur de
scurit (SID, Security IDentifier) unique. Cet identificateur consiste en
un identificateur de scurit de domaine, qui est le mme pour toutes les
entits de scurit cres dans le domaine, et en un identificateur relatif
(RID, Relative IDentifier) qui est unique pour chaque entit de scurit
cre dans le domaine. Le matre RID alloue des blocs d'identificateurs
relatifs chaque contrleur de domaine du domaine. Le contrleur de
domaine affecte ensuite un matre RID aux objets crs partir de son
bloc de matres RID allous.
10
Le matre d'infrastructure. Lorsque des objets sont dplacs d'un

domaine vers un autre, le matre d'infrastructure met jour dans son
domaine les rfrences d'objets qui pointent sur l'objet dans l'autre
domaine. La rfrence d'objet contient l'identificateur global unique
(GUID, Globally Unique IDentifier) de l'objet, son nom unique, et un
identificateur de scurit. Active Directory met rgulirement jour le
nom unique et l'identificateur de scurit sur la rfrence d'objet afin de
reflter les modifications apportes l'objet rel, par exemple des
dplacements l'intrieur d'un domaine et entre domaines, et la
suppression de l'objet.
Dans une fort, chaque domaine possde ses propres mulateur PDC, matre
RID et matre d'infrastructure.
Remarque Pour plus d'informations sur les rles de matre d'oprations,
reportez-vous au Module 9, Gestion des matres d'oprations , du
cours 2194, Planification, implmentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.
11
Leon : Fonctionnement d'Active Directory

Introduction
Cette leon prsente la fonction d'Active Directory en tant que service

d'annuaire. Comprendre le fonctionnement d'Active Directory vous aidera
grer les ressources et rsoudre les problmes d'accs ces ressources.
!
dcrire la fonction d'Active Directory en tant que service d'annuaire ;
dfinir le rle du schma Active Directory et son utilisation ;
dfinir le rle du catalogue global ;
dterminer le nom unique et le nom unique relatif d'un objet

Active Directory ;
dcrire comment Active Directory active l'ouverture de session unique.
12
Dfinition d'un service d'annuaire

Introduction
Dans de grands rseaux, les ressources sont partages par de nombreux

utilisateurs et applications. Pour permettre aux utilisateurs et aux applications
d'accder ces ressources et aux informations les concernant, une mthode
cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et
scuriser les informations concernant ces ressources. Un service d'annuaire
remplit cette fonction.
Dfinition d'un service

d'annuaire
Un service d'annuaire est un rfrentiel d'informations structur concernant

les personnes et les ressources d'une organisation. Dans un rseau
Windows Server 2003, le service d'annuaire s'appelle Active Directory.
Fonctionnalits
d'Active Directory
Active Directory dispose des fonctionnalits suivantes :

!
Accs pour les utilisateurs et les applications aux informations concernant

des objets. Ces informations sont stockes sous forme de valeurs d'attributs.
Vous pouvez rechercher des objets selon leur classe d'objet, leurs attributs,
leurs valeurs d'attributs et leur emplacement au sein de la structure Active
Directory ou selon toute combinaison de ces valeurs.
Transparence des protocoles et de la topologie physique du rseau. Un

utilisateur sur un rseau peut accder toute ressource, une imprimante par
exemple, sans savoir o celle-ci se trouve ou comment elle est connecte
physiquement au rseau.
13
Possibilit de stockage d'un trs grand nombre d'objets. Comme il est

organis en partitions, Active Directory peut rpondre aux besoins issus de
la croissance d'une organisation. Par exemple, un annuaire peut ainsi passer
d'un serveur unique contenant quelques centaines d'objets des milliers de
serveurs contenant des millions d'objets.
Possibilit d'excution en tant que service indpendant du systme

d'exploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalit de Microsoft Active Directory permettant de
rsoudre certains scnarios de dploiement lis des applications utilisant
un annuaire. AD/AM s'excute comme un service indpendant du systme
d'exploitation qui, en tant que tel, ne ncessite pas de dploiement sur un
contrleur de domaine. L'excution en tant que service indpendant du
systme d'exploitation signifie que plusieurs instances AD/AM peuvent
s'excuter simultanment sur un serveur unique, chaque instance tant
configurable de manire indpendante.
Remarque Pour plus d'informations sur AD/AM, reportez-vous la page

Introduction to Windows Server 2003 Active Directory in Application
Mode l'adresse suivante :
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
(en anglais).
14
Dfinition d'un schma

Introduction
Le schma Active Directory dfinit les genres d'objets, les types d'informations
concernant ces objets, et la configuration de scurit par dfaut pour les objets
pouvant tre stocks dans Active Directory.
Dfinition du schma
Active Directory
Le schma Active Directory contient les dfinitions de tous les objets,

comme les utilisateurs, les ordinateurs et les imprimantes stocks dans
Active Directory. Les contrleurs de domaine excutant Windows Server 2003
ne comportent qu'un seul schma pour toute une fort. Ainsi, tous les objets
crs dans Active Directory se conforment aux mmes rgles.
Le schma possde deux types de dfinitions : les classes d'objets et les
attributs. Les classes d'objets comme utilisateur, ordinateur et imprimante
dcrivent les objets d'annuaire possibles que vous pouvez crer. Chaque
classe d'objet est un ensemble d'attributs.
Les attributs sont dfinis sparment des classes d'objets. Chaque attribut n'est
dfini qu'une seule fois et peut tre utilis dans plusieurs classes d'objets. Par
exemple, l'attribut Description est utilis dans de nombreuses classes d'objets,
mais il n'est dfini qu'une seule fois dans le schma afin de prserver la
cohrence.
Schma Active Directory

et extensibilit
Vous pouvez crer de nouveaux types d'objets dans Active Directory en

dveloppant le schma. Par exemple, pour une application de serveur de
messagerie, vous pouvez dvelopper la classe d'utilisateur dans Active
Directory en lui ajoutant de nouveaux attributs stockant des informations
supplmentaires, telles que les adresses de messagerie des utilisateurs.
Remarque Pour plus d'informations sur le dveloppement du schma Active
Directory, consultez l'article en ligne Extending the Schema (en anglais)
dans la bibliothque MSDN.
Modifications et
dsactivation de schma
15
Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des
modifications apportes un schma en les dsactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalits d'extensibilit d'Active
Directory.
Vous pouvez galement redfinir une classe ou un attribut de schma. Vous
pourriez, par exemple, modifier la syntaxe de la chane Unicode d'un attribut
appel SalesManager pour en faire un nom unique.
16
Dfinition d'un catalogue global

Introduction
Dans Active Directory, les ressources peuvent tre partages parmi des
domaines et des forts. Le catalogue global d'Active Directory permet de
rechercher des ressources parmi des domaines et des forts de manire
transparente pour l'utilisateur. Par exemple, si vous recherchez toutes les
imprimantes prsentes dans une fort, un serveur de catalogue global traite la
requte dans le catalogue global, puis renvoie les rsultats. En l'absence de
serveur de catalogue global, cette requte exigerait une recherche dans chaque
domaine de la fort.
Dfinition du catalogue
global
Le catalogue global est un rfrentiel d'informations qui contient un sousensemble des attributs de tous les objets d'Active Directory. Les membres du
groupe Administrateurs du schma peuvent modifier les attributs stocks dans
le catalogue global, en fonction des impratifs d'une organisation. Le catalogue
global contient :
Dfinition d'un serveur

de catalogue global
les attributs les plus frquemment utiliss dans les requtes, comme les nom
et prnom d'un utilisateur, et son nom d'ouverture de session ;
les informations requises pour dterminer l'emplacement de tout objet dans

l'annuaire ;
un sous-ensemble d'attributs par dfaut pour chaque type d'objet ;
les autorisations d'accs pour chaque objet et attribut stock dans le

catalogue global. Si vous recherchez un objet pour lequel vous ne possdez
pas les autorisations de visualisation requises, cet objet n'apparatra pas dans
les rsultats de la recherche. Les autorisations d'accs garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un
droit d'accs.
Un serveur de catalogue global est un contrleur de domaine qui traite

efficacement les requtes intraforts dans le catalogue global. Le premier
contrleur de domaine que vous crez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer
des serveurs de catalogue global supplmentaires pour quilibrer le trafic
li aux authentifications de connexion et aux requtes.
Fonctions du catalogue
global
Le catalogue global permet aux utilisateurs d'excuter deux fonctions

importantes :
!
trouver les informations Active Directory en tout point de la fort,

indpendamment de l'emplacement des donnes ;
utiliser les informations d'appartenance au groupe universel pour se

connecter au rseau.
Remarque Pour plus d'informations sur le catalogue global, reportez-vous au

Module 8, Implmentation de l'emplacement des contrleurs de domaine ,
du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.
17
18
Dfinition d'un nom unique et d'un nom unique relatif

Introduction
Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier

des objets dans une base de donnes Active Directory. Le protocole LDAP est
un sous-ensemble de la norme ISO X.500 relative aux services d'annuaire. Il
utilise les informations portant sur la structure d'un annuaire pour trouver des
objets individuels possdant chacun un nom unique.
Dfinition
Le protocole LDAP utilise un nom reprsentant un objet Active Directory par

une srie de composants concernant la structure logique. Cette reprsentation,
appele nom unique de l'objet, identifie le domaine dans lequel se trouve l'objet
ainsi que le chemin complet permettant d'accder celui-ci. Un nom de ce type
ne peut tre qu'unique dans une fort Active Directory.
Le nom unique relatif d'un objet identifie l'objet de manire unique dans son
conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le
mme nom. Le nom unique relatif est toujours le premier composant du nom
unique, mais il n'est pas toujours un nom usuel.
Exemple de nom unique
19
Chaque lment de la structure logique de l'utilisatrice Laura Bartoli de l'unit

d'organisation Sales (Ventes) du domaine Contoso.msft est reprsent dans le
nom unique suivant :
CN=Laura Bartoli,OU=Sales,DC=contoso,DC=msft
!
CN (Common Name) est le nom usuel de l'objet dans son conteneur.
OU (Organizational Unit) est l'unit d'organisation qui contient

l'objet.Plusieurs valeurs d'OU peuvent exister si l'objet se trouve dans une
unit d'organisation imbrique.
DC (Domain Component) est un composant de domaine, tel que com

ou msft . Il existe toujours au moins deux composants de domaine, voire
davantage si le domaine est un domaine enfant.
Les composants de domaine du nom unique sont bass sur le DNS (Domain
Name System).
Exemple de nom
unique relatif
Dans l'exemple suivant, Sales est le nom unique relatif d'une unit
d'organisation reprsente par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft
20
Prsentation multimdia : Ouverture de session unique avec

Active Directory

Pour commencer la prsentation Ouverture de session unique avec Active

Directory, ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur
Multimdia, puis sur le titre de la prsentation. N'ouvrez pas cette prsentation
avant d'y tre invit par l'instructeur.
Objectifs

suivantes :
Points cls
dcrire la procdure utilise par Active Directory pour activer une ouverture
de session unique ;
discuter de l'importance d'une ouverture de session unique.
L'activation d'une ouverture de session unique permet Active Directory de

rendre transparents pour l'utilisateur les processus complexes d'authentification
et d'autorisation. Les utilisateurs n'ont pas besoin de grer plusieurs ensembles
d'autorisations.
Une ouverture de session unique consiste en :
!
une authentification, qui vrifie les autorisations de la tentative de connexion ;
une autorisation, qui vrifie que la demande de connexion est autorise.
En tant qu'ingnieur systme, vous devez comprendre le fonctionnement de ces

processus afin d'optimiser et de dpanner votre structure Active Directory.
21

Introduction
Sous Windows Server 2003, les administrateurs disposent de composants

logiciels enfichables et d'outils de ligne de commande pour grer Active
Directory. Cette leon prsente ces composants et outils, et explique comment
les utiliser pour analyser la structure logique et physique d'Active Directory.
!
expliquer comment Active Directory est conu pour permettre une gestion
centralise et dcentralise ;
dcrire les composants logiciels enfichables d'administration d'Active

Directory et les outils de ligne de commande courants ;
analyser la structure logique et physique d'Active Directory.
22
Gestion d'Active Directory

Introduction
L'utilisation d'Active Directory vous permet de grer un grand nombre

d'utilisateurs, d'ordinateurs, d'imprimantes et de ressources rseau partir
d'un emplacement centralis, l'aide des outils et des composants logiciels
enfichables d'administration de Windows Server 2003. Active Directory prend
galement en charge l'administration dcentralise. Un administrateur possdant
l'autorit requise peut dlguer un ensemble slectionn de privilges
administratifs d'autres utilisateurs ou groupes dans une organisation.
Prise en charge par

Active Directory de la
gestion centralise
Active Directory inclut plusieurs fonctionnalits de prise en charge de la gestion

centralise :
!
Informations concernant tous les objets et leurs attributs. Les attributs

contiennent des donnes qui dcrivent la ressource que l'objet identifie ;
comme les informations concernant toutes les ressources du rseau sont
stockes dans Active Directory, un administrateur peut grer et administrer
ces ressources de faon centralise.
Vous pouvez interroger Active Directory l'aide de protocoles tels que

LDAP. Vous pouvez aisment localiser des informations concernant des
objets en recherchant des attributs slectionns de l'objet, l'aide d'outils
prenant en charge le protocole LDAP.
Vous pouvez grouper en units d'organisation des objets possdant des

exigences similaires en termes d'administration et de scurit. Les units
d'organisation offrent plusieurs niveaux d'autorit administrative, de sorte
que vous pouvez appliquer des paramtres de stratgie de groupe et dlguer
le contrle administratif. Cette dlgation simplifie le travail de gestion de
ces objets et vous permet de structurer Active Directory en fonction des
impratifs de votre organisation.
Vous pouvez spcifier des paramtres de stratgie de groupe pour un site,

un domaine, ou une unit d'organisation. Active Directory applique ensuite
ces paramtres de stratgie de groupe tous les utilisateurs et ordinateurs
l'intrieur du conteneur.
Prise en charge par

Active Directory de la
gestion dcentralise
23
Active Directory prend galement en charge la gestion dcentralise. Vous

pouvez affecter des autorisations et accorder des droits aux utilisateurs de
manire trs spcifique. Vous pouvez, par exemple, dlguer des privilges
administratifs sur certains objets aux quipes de ventes et de marketing d'une
organisation.
Vous pouvez dlguer l'affectation des autorisations :
!
pour des units d'organisation spcifiques diffrents groupes de Domaine

local ; par exemple, dlgation de l'autorisation Contrle total pour l'unit
d'organisation Sales ;
pour modifier des attributs spcifiques d'un objet dans une unit
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numro de tlphone d'un utilisateur et de rinitialiser les
mots de passe sur l'objet compte d'utilisateur ;
pour excuter la mme tche, par exemple rinitialiser les mots de passe,
dans toutes les units d'organisation d'un domaine.
24
Outils et composants logiciels enfichables d'administration

d'Active Directory

Introduction
Windows Server 2003 comporte plusieurs composants logiciels enfichables

et outils de ligne de commande permettant de grer Active Directory.
Vous pouvez galement grer Active Directory l'aide d'objets ADSI
(Active Directory Service Interfaces) partir de l'environnement d'excution
de scripts Windows. ADSI est une interface simple mais nanmoins puissante
d'Active Directory permettant de crer des scripts rutilisables pour la gestion
d'Active Directory.
Composants logiciels
enfichables
d'administration
Le tableau suivant dcrit quelques composants logiciels enfichables

d'administration courants permettant de grer Active Directory.
Composant
logiciel enfichable
Description
Utilisateurs et ordinateurs
Active Directory
Cette console MMC (Microsoft Management Console) est utilise pour la gestion et
la publication d'informations dans Active Directory. Vous pouvez grer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs un
domaine, grer des stratgies de compte ainsi que des droits d'utilisateur, et procder
l'audit de la stratgie.
Domaines et approbations
Active Directory
Cette console MMC est utilise pour grer des approbations de domaines et de forts,
ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forts.
Sites et services Active

Directory
Cette console MMC vous permet de grer la rplication de donnes d'annuaire.
Schma Active Directory
Cette console MMC vous permet de grer le schma. Il n'est pas disponible par
dfaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.
25
Remarque Vous pouvez utiliser galement l'diteur ADSI Edit pour visualiser,
crer, modifier et supprimer des objets dans Active Directory. L'diteur ADSI
Edit n'est pas install par dfaut. Pour en bnficier, installez les outils de
support de Windows Server 2003 partir du dossier \Support\Tools sur le
CD-ROM du produit.
Vous pouvez personnaliser les consoles d'administration afin qu'elles
correspondent aux tches d'administration que vous dlguez d'autres
administrateurs. Vous pouvez galement regrouper dans une mme console
toutes les consoles requises pour chaque fonction d'administration.
Outils de ligne de
commande
d'administration
Le tableau suivant dcrit quelques outils courants de ligne de commande,

utilisables lorsque vous grez Active Directory.
Outil
Description
Dsadd
Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des units d'organisation et des contacts.
Dsmod
Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des units d'organisation et des contacts.
Dsquery
Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units d'organisation et des partitions.
Dsmove
Dplace un objet unique, l'intrieur d'un domaine, vers un nouvel emplacement

dans Active Directory ou renomme un objet unique sans le dplacer.
Supprime un objet dans Active Directory.
Dsrm
Dsget
Affiche des attributs slectionns d'un ordinateur, d'un contact, d'un groupe, d'une
unit d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.
Csvde
Importe et exporte des donnes Active Directory l'aide d'un format de sparation
par virgule.
Ldifde
Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des donnes
d'autres services d'annuaire.
Remarque Pour plus d'informations sur les outils de ligne de commande

fournis par Windows Server 2003, reportez-vous la section Gestion
d'Active Directory partir de la ligne de commande dans Aide et Support.
26
Environnement
d'excution de scripts
Windows
Bien que Windows Server 2003 fournisse plusieurs composants logiciels

enfichables et outils de ligne de commande pour grer Active Directory, ceux-ci
ne sont pas adapts pour des oprations de commandes destines effectuer des
modifications dans Active Directory impliquant des conditions complexes. En
pareils cas, vous pouvez procder plus rapidement des modifications l'aide
de scripts. Vous pouvez, par exemple, remplacer le premier chiffre de
l'extension tlphonique de tous les employs transfrs dans le btiment 5,
en remplaant alors les chiffres 3 et 4 par le chiffre 5.
Vous pouvez crer des scripts partir de l'environnement d'excution de scripts
Windows utilisant ADSI pour excuter les tches suivantes :
!
extraire les informations concernant les objets Active Directory ;
ajouter des objets dans Active Directory ;
modifier les valeurs d'attributs pour les objets Active Directory ;
supprimer des objets dans Active Directory ;
tendre le schma Active Directory.
ADSI utilise le protocole LDAP pour communiquer avec Active Directory.
27
Comment analyser Active Directory ?

Introduction
Vous pouvez visualiser la structure logique et physique d'Active Directory

l'aide des composants Utilisateurs et ordinateurs Active Directory, Sites et
services Active Directory et Domaines et approbations Active Directory.
Procdure
Procdez comme suit pour visualiser la structure logique et physique d'Active

Directory :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory et visualisez
les units d'organisation dans Active Directory. Pour ce faire, procdez
comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
b. Dans l'arborescence de la console, dveloppez Utilisateurs et
ordinateurs Active Directory.
c. Dans l'arborescence de la console, dveloppez le domaine dont vous
dsirez visualiser les units d'organisation.
d. Affichez la page Proprits pour chaque conteneur figurant dans
l'arborescence de la console.
e. Dterminez le type d'objet en utilisant les informations de classe d'objet
sous l'onglet Objet. La classe d'objet pour units d'organisation est
Unit d'organisation.
2. Ouvrez Domaines et approbations Active Directory pour visualiser la
structure logique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Domaines et approbations
Active Directory.
b. Dans le volet gauche, dveloppez le nud qui reprsente le domaine
racine de la fort pour visualiser les domaines qui constituent la structure
logique d'Active Directory.
28
3. Ouvrez Sites et services Active Directory pour visualiser la structure

physique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis
sur Outils d'administration, puis cliquez sur Sites et services
Active Directory.
b. Dans l'arborescence de la console, dveloppez Sites, puis le dossier
reprsentant le site dont vous dsirez visualiser la liste de serveurs.
c. Cliquez sur Servers pour visualiser la liste de serveurs dans le
volet droit.
Remarque Pour plus d'informations, reportez-vous la section Comment
analyser Active Directory du Module 1 situe en annexe sur le CD-ROM
du stagiaire.
29
Application pratique : Analyse de la structure d'Active Directory

Objectifs
Vous allez analyser dans cette application pratique la structure logique et

physique d'Active Directory.
Scnario
Vous commencez aujourd'hui travailler comme ingnieur systme chez

Northwind Traders. Votre responsable vous a demand d'tudier la structure
logique et physique d'Active Directory chez Northwind Traders.
! Analyser la structure par dfaut des objets Active Directory l'aide de

la console Utilisateurs et ordinateurs Active Directory
1. Ouvrez une session sous le nom nwtraders\Nom_OrdinateurUser avec le

mot de passe P@ssw0rd.
2. Installez le jeu d'outils d'administration Windows Server 2003. Pour ce
faire, procdez comme suit :
a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez nwtraders\administrateur comme nom
d'utilisateur, puis le mot de passe P@ssw0rd et cliquez sur OK.
c. l'invite de commande, tapez \\London\OS\i386\Adminpak.msi et
appuyez sur ENTRE.
d. Dans la bote de dialogue Tlchargement de fichier, cliquez sur
Ouvrir, puis terminez l'installation.
e. Fermez la fentre d'invite de commande.
3. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
4. Activez les fonctionnalits avances.
30
5. Dveloppez nwtraders.msft, et trouvez l'objet Locations. Quel est le type

de l'objet ?
L'objet Locations est une unit d'organisation.
____________________________________________________________
____________________________________________________________
6. Dveloppez Locations. Quels sont les types d'objets dans le dossier ?
L'unit d'organisation Locations contient 25 units d'organisation, dont
chacune porte le nom d'une ville diffrente.
____________________________________________________________
____________________________________________________________
7. Les objets du dossier Locations reprsentent des emplacements
gographiques dans une organisation. Chaque emplacement contient trois
objets. Quel est le rle de ces objets ?
Chaque unit d'organisation nom_ville contient trois units
d'organisation appeles Users, Computers et Groups. Ces units
d'organisation sont conues pour recevoir respectivement des objets
utilisateurs, ordinateurs et groupes.
____________________________________________________________
____________________________________________________________
8. Ouvrez l'un des conteneurs reprsentant un emplacement, puis ouvrez le
conteneur Users.
Que remarquez-vous propos des objets qui se trouvent dans ce conteneur ?
Tous les objets utilisateur sont dsactivs.
____________________________________________________________
! Analyser la structure par dfaut d'Active Directory l'aide du

composant Sites et services Active Directory
1. Ouvrez la console Site et services Active Directory.

2. Dveloppez Sites, cliquez avec le bouton droit sur Premier-Site-pardefaut, puis cliquez sur Proprits.
31
3. Sous l'onglet Scurit, affichez les autorisations correspondant au groupe

Admins du domaine. Quelles sont les autorisations ?
Le groupe Admins du domaine possde les autorisations Lire, crire,
Crer tous les objets enfants, Ouvrir la file d'attente de connecteurs et
Autorisations spciales sur le site Premier-Site-par-defaut.
____________________________________________________________
____________________________________________________________
4. Visualisez les autorisations affectes au groupe Admins du domaine pour
l'objet Premier-Site-par-defaut\Servers\London. Que remarquez-vous ?
Admins du domaine possde les autorisations Contrle total sur l'objet
serveur London, mais pas pour le site Premier-Site-par-defaut.
____________________________________________________________
____________________________________________________________
! Analyser la structure par dfaut d'Active Directory l'aide de

Domaines et approbations Active Directory
1. Ouvrez la console Domaines et approbations Active Directory.

2. Dveloppez nwtraders.msft, puis visualisez les proprits pour
nwtraders.msft.
Que remarquez-vous ?
Cette tape indique les approbations en place pour le domaine.
____________________________________________________________
3. Choisissez de grer le domaine corp.nwtraders.msft. Remarquez ce qui se
produit.
Cette tape vous amne Utilisateurs et ordinateurs Active Directory.
____________________________________________________________
32
Leon : Processus de conception, de planification et


Introduction
Cette leon fournit une vue d'ensemble des processus de conception, de

planification et d'implmentation d'Active Directory.
!
faire la distinction entre la conception, la planification et l'implmentation

d'Active Directory ;
dcrire les phases du processus de conception d'Active Directory ;
dcrire les phases du processus de planification d'Active Directory ;
dcrire les phases du processus d'implmentation d'Active Directory.
33
Vue d'ensemble de la conception, de la planification et de

l'implmentation d'Active Directory

Introduction
L'implmentation d'Active Directory commence par la cration de sa

conception, autrement dit, de son architecture. Cette conception vous permet
ensuite de planifier Active Directory avant son implmentation.
Conception d'Active
Directory
Un ou plusieurs architectes de systmes crent la conception d'Active

Directory, en se basant sur les besoins d'une entreprise. Ces besoins
dterminent les spcifications fonctionnelles pour la conception.
Plan d'implmentation
d'Active Directory
Le plan d'implmentation d'Active Directory dtermine la mise en uvre de

la conception d'Active Directory en fonction de l'infrastructure matrielle de
l'organisation.Par exemple, la conception d'Active Directory peut spcifier le
nombre de contrleurs de domaine pour chaque domaine sur la base de la
configuration d'un serveur spcifique.Cependant, si cette configuration n'est pas
disponible, lors de la phase de planification vous pouvez dcider de modifier le
nombre de serveurs afin de rpondre aux besoins de l'entreprise.
Aprs avoir implment Active Directory, vous devez grer et assurer
la maintenance d'Active Directory afin de garantir disponibilit, fiabilit
et scurit du rseau. Ce cours dcrit les phases de planification et
d'implmentation. La conception dtaille d'Active Directory dpasse
le cadre de ce cours.
Implmentation
d'Active Directory
Durant le dploiement d'Active Directory, les ingnieurs systme :

!
crent la structure du domaine et de la fort, et dploient les serveurs ;
crent la structure de l'unit d'organisation ;
crent les comptes d'utilisateur et d'ordinateur ;
crent les groupes de scurit et de distribution ;
crent les objets Stratgie de groupe (GPO, Group Policy Object) qu'ils
appliquent aux domaines, aux sites et aux units d'organisation ;
crent les stratgies de distribution de logiciels.
34
Processus de conception d'Active Directory

Introduction
Une conception d'Active Directory inclut plusieurs tches. Chacune dfinit les
besoins fonctionnels pour un composant de l'implmentation d'Active Directory.
Tches incluses
dans le processus
de conception
d'Active Directory
Le processus de conception d'Active Directory inclut les tches suivantes :

!
Collecte d'informations sur l'organisation. Cette premire tche dfinit les

besoins en service d'annuaire et les besoins de l'entreprise concernant le
projet. Les informations sur l'organisation incluent notamment un profil
organisationnel de haut niveau, les implantations gographiques de
l'organisation, l'infrastructure technique et du rseau, et les plans lis
aux modifications apporter dans l'organisation.
Analyse des informations sur l'organisation. Vous devez analyser les

informations collectes pour valuer leur pertinence et leur valeur par
rapport au processus de conception. Vous devez ensuite dterminer quelles
sont les informations les plus importantes et quels composants de la
conception d'Active Directory ces informations affecteront. Soyez prt
appliquer ces informations dans l'ensemble du processus de conception.
Analyse des options de conception. Lorsque vous analysez des besoins

d'entreprise spcifiques, plusieurs options de conception peuvent y
rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais
d'une conception de domaine ou d'une structure d'unit d'organisation.
Comme chaque choix que vous faites affecte les autres composants de la
conception, restez flexible dans votre approche de la conception durant tout
le processus.
Rsultat du processus
de conception d'Active
Directory
Slection d'une conception. Dveloppez plusieurs conceptions d'Active

Directory, puis comparez leurs points forts et leurs points faibles. Lorsque
vous slectionnez une conception, analysez les besoins d'entreprise qui
entrent en conflit et tenez compte de leurs effets sur les choix de vos
conceptions. Il se peut qu'aucune des conceptions soumises ne fasse
l'unanimit. Choisissez la conception qui rpond le mieux vos besoins
d'entreprise et qui reprsente globalement le meilleur choix.
Affinage de la conception. La premire version de votre plan de conception

est susceptible d'tre modifie avant la phase pilote de l'implmentation.
Le processus de conception est itratif parce que vous devez tenir compte
de nombreuses variables lorsque vous concevez une infrastructure Active
Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre
conception pour prendre en compte tous les besoins d'entreprise.
35
Le rsultat de la phase de conception d'Active Directory inclut les lments

ci dessous.
!
La conception du domaine et de la fort. La conception de la fort inclut des

informations comme le nombre de forts requis, les consignes de cration
des approbations et le nom de domaine pleinement qualifi (FQDN, Fully
Qualified Domain Name) pour le domaine racine de chaque fort. La
conception inclut galement la stratgie de contrle des modifications de
la fort, qui identifie les processus de proprit et d'approbation pour les
modifications de la configuration prsentant un impact sur toute la fort.
Identifiez la personne charge de dterminer la stratgie de contrle des
modifications de chaque fort dans l'organisation. Si votre plan de
conception comporte plusieurs forts, vous pouvez valuer si des
approbations de forts sont requises pour rpartir les ressources du
rseau parmi les forts.
La conception du domaine indique le nombre de domaines requis dans
chaque fort, le domaine qui sera le domaine racine pour chaque fort et la
hirarchie des domaines si la conception comporte plusieurs domaines. La
conception du domaine inclut galement le nom DNS pour chaque domaine
et les relations d'approbation entre domaines.
La conception de l'unit d'organisation. Elle indique comment vous crerez

les units d'organisation pour chaque domaine dans la fort. Incluez une
description de l'autorit d'administration qui sera applique chaque unit
d'organisation, et qui cette mme autorit sera dlgue. Pour finir, incluez
la stratgie utilise pour appliquer la stratgie de groupe la structure de
l'unit d'organisation.
La conception du site. Elle spcifie le nombre et l'emplacement des

sites dans l'organisation, les liens requis pour relier les sites et le cot
de ces liens.
36
Processus de planification d'Active Directory

Introduction
Le rsultat du processus de planification est le plan d'implmentation d'Active

Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les
besoins fonctionnels pour un composant spcifique de l'implmentation
d'Active Directory.
Composant d'un plan

Active Directory
Un plan Active Directory inclut les composants suivants :

!
Stratgie de compte. Elle inclut des informations comme les consignes

d'attribution de nom aux comptes et la stratgie de verrouillage, la
stratgie en matire de mots de passe et les consignes portant sur la
scurit des objets.
Stratgie d'audit. Elle dtermine comment suivre les modifications

apportes aux objets Active Directory.
Plan d'implmentation d'unit d'organisation. Il dfinit quelles units

d'organisation crer et comment. Par exemple, si la conception d'unit
d'organisation spcifie que ces units seront cres gographiquement et
organises par division l'intrieur de chaque zone gographique, le plan
d'implmentation des units d'organisation dfinit les units implmenter,
telles que celles des ventes, des ressources humaines et de production. Le
plan fournit galement des consignes portant sur la dlgation d'autorit.
Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets
de stratgie de groupe, et comment cette stratgie sera implmente.
Plan d'implmentation du site. Il spcifie les sites, les liens qui les relient,
et les liaisons de sites planifies. Il spcifie galement la planification et
l'intervalle de rplication ainsi que les consignes en matire de scurisation
et de configuration de la rplication entre sites.
37
Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la

stratgie de groupe pour dployer de nouveaux logiciels et des mises
niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de
logiciels sont obligatoires ou facultatives.
Plan de placement des serveurs. Il spcifie le placement des contrleurs de

domaine, des serveurs de catalogue global, des serveurs DNS intgrs
Active Directory et des matres d'oprations. Il spcifie galement si vous
activerez la mise en cache des appartenances un groupe universel pour les
sites ne possdant pas de serveur de catalogue global.
Lorsque tous les plans de composant sont termins, vous devez les combiner
pour former le plan complet d'implmentation d'Active Directory.
38
Processus d'implmentation d'Active Directory

Introduction
Une fois le plan d'implmentation d'Active Directory en place, vous pouvez

commencer implmenter Active Directory conformment votre plan de
conception.
Processus
d'implmentation
Vous devez excuter les tches ci-dessous pour implmenter Active Directory.
!
Implmentation de la fort, du domaine et de la structure DNS. Crez le

domaine racine de la fort, les arborescences de domaines et tout autre
domaine enfant constituant la fort et la hirarchie des domaines.
Cration des units d'organisation et des groupes de scurit. Crez la

structure d'unit d'organisation pour chaque domaine dans chaque fort,
crez des groupes de scurit et dlguez l'autorit administrative des
groupes administratifs dans chaque unit d'organisation.
Cration des comptes d'utilisateur et d'ordinateur. Importez les comptes

d'utilisateur dans Active Directory.
Cration des objets Stratgie de groupe. Crez des objets Stratgie de

groupe bass sur la stratgie de groupe, puis reliez-les des sites, des
domaines ou des units d'organisation.
Implmentation des sites. Crez des sites en fonction du plan des sites,
crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et
dployez sur les sites des contrleurs de domaine, des serveurs de catalogue
global, des serveurs DNS et des matres d'oprations.
Table des matires
Module 2 : Implmentation
d'une structure de fort
et de domaine Active
Directory
Vue d'ensemble
Leon : Cration d'une structure de fort

et de domaine
Leon : Analyse du systme DNS intgr

Active Directory
23
Leon : Augmentation des niveaux

fonctionnels de la fort et du domaine
38
Leon : Cration de relations

d'approbation
44
Atelier A : Implmentation
d'Active Directory
57
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
iii
Prsentation :
120 minutes
Atelier :
60 minutes
Objectifs
Documents de cours
Ce module dcrit la configuration requise du service d'annuaire Active

Directory, explique comment crer une structure de fort et de domaine grce
l'Assistant Installation de Active Directory et prsente les tches que vous
devez effectuer aprs l'installation. Il explique galement la manire d'analyser
le systme DNS (Domain Name System) dans un environnement Active
Directory, d'augmenter les niveaux fonctionnels de la fort et du domaine et de
crer des relations d'approbation.
suivantes :
!
crer une structure de fort et de domaine ;
analyser le systme DNS intgr Active Directory ;
augmenter le niveau fonctionnel d'une fort et d'un domaine ;
crer des relations d'approbation entre des domaines et des forts.

!
fichier Microsoft PowerPoint 2194A_02.ppt
fichier Macromedia Flash 2194A_2279a_02_a_dns.swf

Prparation

!
lire tous les documents de cours relatifs ce module, anticiper les questions
que les stagiaires sont susceptibles de poser et prparer des rponses
appropries pour chacune de ces questions ;
raliser l'atelier ;
appropries en consquence ;
lire le kit de dploiement Windows Server 2003 Deployment Kit (en

anglais) et le kit de ressources techniques Windows Server 2003 pour vous
familiariser avec les procdures d'installation d'Active Directory et les
mthodes conseilles.
iv

ce module.
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures,
et ateliers

Procdures
Ateliers
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire. Ils
peuvent galement se reporter aux applications pratiques et aux procdures du
module.
Leon : Cration d'une structure de fort et de domaine

Cette section dcrit les mthodes pdagogiques mettre en uvre pour
cette leon.
Cette leon apporte aux stagiaires les comptences et connaissances ncessaires
pour crer des structures de fort et de domaine. Elle explique comment
s'assurer qu'Active Directory a t install correctement, et comment identifier
et rsoudre certains problmes courants qui peuvent survenir lors d'une
l'installation d'Active Directory.
Dans la rubrique Conditions requises pour installer Active Directory,
n'expliquez pas la configuration DNS requise en dtail. Les stagiaires ont
simplement besoin de comprendre que seuls les serveurs DNS rpondant
certaines conditions sont intgrs Active Directory. L'intgration du systme
DNS Active Directory est explique dans la leon Analyse du systme DNS
intgr Active Directory.
Utilisez la rubrique Processus d'installation d'Active Directory pour expliquer
les modifications apportes un serveur sur lequel est install Microsoft
Windows Server 2003 lorsqu'il est converti en contrleur de domaine. Utilisez
cette rubrique conjointement avec la rubrique suivante Comment crer une
structure de fort et de domaine. Lorsque vous expliquez la procdure
effectuer pour crer la structure de fort et de domaine Active Directory, faites
le point sur les modifications apportes suite chaque tape, telles qu'elles sont
rpertories dans la rubrique Processus d'installation d'Active Directory.
Assurez-vous que les stagiaires ont bien compris que les contrleurs de
domaine rpliqus sont indispensables dans un domaine pour assurer une
tolrance de pannes avant de prsenter la rubrique Comment ajouter un
contrleur de domaine rpliqu.
vi
Windows Server 2003 propose une nouvelle fonctionnalit permettant de

renommer un contrleur de domaine. Lors de la prsentation de la rubrique
Comment renommer un contrleur de domaine, assurez-vous que les stagiaires
ont bien compris que lorsque vous renommez un contrleur de domaine et que
vous modifiez son suffixe DNS principal, vous n'avez pas dplac le contrleur
de domaine vers un nouveau domaine Active Directory.
Remarque Montrez la procdure permettant de renommer un contrleur de
domaine, mais n'effectuez pas la tche. Si vous dcidez toutefois d'effectuer
cette tche, assurez-vous de redonner l'ordinateur son nom d'origine.
Lors de la prsentation de la rubrique Comment supprimer un contrleur
de domaine d'Active Directory, commentez les oprations effectues par
l'Assistant Installation de Active Directory lors de la suppression d'Active
Directory. Indiquez aux stagiaires que certaines oprations sont communes
tous les contrleurs de domaine, tandis que d'autres dpendent du type de
contrleur de domaine supprim. Insistez sur le fait que lorsque l'on supprime
un contrleur de domaine qui excute un rle spcialis (un serveur de
catalogue global ou un matre d'oprations, par exemple), vous devez
pralablement prendre ou transfrer le rle vers un autre contrleur de domaine
avant de supprimer ce dernier.
Important Ne supprimez pas Active Directory du contrleur de domaine
London.
L'objectif de la rubrique Comment vrifier l'installation d'Active Directory est
de prsenter aux stagiaires la procdure permettant d'analyser les modifications
apportes un serveur Windows Server 2003 aprs avoir install Active
Directory. Soulignez que le processus d'installation d'Active Directory modifie
galement la base de donnes DNS, et que ces modifications sont dcrites dans
la leon Analyse du systme DNS intgr Active Directory de ce module.
Prsentez les options de dpannage permettant de rsoudre les problmes
susceptibles de survenir lors de l'installation d'Active Directory grce la
rubrique Comment rsoudre les problmes lis l'installation d'Active
Directory. Prsentez les problmes courants se produisant lors de l'installation
d'Active Directory et proposez des stratgies permettant de les rsoudre.
A la fin de la leon, demandez aux stagiaires de crer un domaine enfant

l'intrieur du domaine nwtraders.msft. Attribuez un nom de domaine enfant
corpx chaque stagiaire, o x est le dernier numro de l'adresse IP de
l'ordinateur du stagiaire. Lorsque les stagiaires ont renseign la dernire page
de l'Assistant Installation de Active Directory, commencez la leon suivante
pendant l'installation d'Active Directory.
vii
Leon : Analyse du systme DNS intgr Active Directory

Cette leon dcrit le format des enregistrements de ressources SRV (Service
Resource Record), qui sont les enregistrements DNS que les contrleurs de
domaine enregistrent. Elle explique galement utiliser les enregistrements SRV
pour trouver les fournisseurs de ressources. Lorsque les stagiaires ont bien
compris comment le systme DNS est intgr Active Directory, ils sont en
mesure de rsoudre les problmes lis au DNS (problmes d'ouverture de
session du client, par exemple).
Dans la rubrique Espaces de noms DNS et Active Directory, dcrivez comment
le systme DNS est intgr Active Directory. Prsentez les fonctions
principales que fournit le systme DNS dans un rseau qui utilise Active
Directory. Expliquez les relations entre l'espace de noms DNS et l'espace de
noms Active Directory. Soulignez la manire dont vous pouvez utiliser le
systme DNS pour trouver les ordinateurs qui excutent des rles particuliers
dans un domaine Active Directory en intgrant les espaces de noms DNS et
Active Directory. Expliquez que le nom d'hte DNS d'un ordinateur est
identique celui du compte d'ordinateur stock dans Active Directory.
Avant de prsenter la rubrique Dfinition des zones intgres Active
Directory, passez brivement en revue les zones DNS et le modle de matre
unique que fournit le systme DNS. Bien que ces connaissances soient une
condition pralable pour suivre ce cours, le fait de les rviser aidera les
stagiaires comprendre les avantages de l'utilisation d'un systme DNS intgr
Active Directory. Demandez aux stagiaires de se reporter aux annexes pour
obtenir des informations relatives la rplication DNS et aux options de
rplication de zone dont ils disposent.
Les rubriques Dfinition des enregistrements de ressources SRV et
Enregistrements SRV enregistrs par les contrleurs de domaine permettent de
s'assurer que les stagiaires sont capables d'identifier les services fournis par un
contrleur de domaine partir des enregistrements SRV enregistrs dans Active
Directory. Ces rubriques apportent les connaissances fondamentales pour que
les stagiaires comprennent comment les ordinateurs clients utilisent le systme
DNS pour trouver les contrleurs et services de domaine. Ces informations sont
prsentes dans l'animation intitule Comment les ordinateurs clients utilisent
le systme DNS pour localiser des contrleurs et services de domaine . Aprs
avoir visualis la prsentation multimdia, rsumez les points cls. Demandez
aux stagiaires de se reporter aux annexes pour obtenir des informations relatives
au recouvrement de site et la configuration des valeurs de priorit et de poids
dans les enregistrements SRV.
A la fin de la leon, demandez aux stagiaires d'analyser les enregistrements

SRV enregistrs dans leur contrleur de domaine.
viii
Leon : Augmentation des niveaux fonctionnels de la fort et du

domaine
Cette leon prsente les fonctionnalits actives selon la fonctionnalit de la
fort et du domaine, ainsi que la manire d'augmenter la fonctionnalit d'une
fort et d'un domaine.
Dans la rubrique Dfinition des fonctionnalits des forts et des domaines,
dcrivez certaines fonctionnalits qui sont actives chaque niveau fonctionnel
des forts et des domaines. Les fonctionnalits rpertories dans les notes du
stagiaire sont incompltes. Une liste exhaustive de ces fonctionnalits est
disponible dans Aide et Support de Windows Server 2003. Les fonctionnalits
rpertories dans le manuel de travail sont expliques ultrieurement dans ce
module ou dans des modules suivants. Ne passez pas trop de temps expliquer
le niveau fonctionnel de Windows Server 2003 version prliminaire. En effet,
ce cours ne porte pas sur la migration partir de Microsoft Windows NT 4.0.
Important Assurez-vous que les stagiaires ont bien compris que le niveau
fonctionnel d'un domaine ou d'une fort ne peut plus tre diminu aprs avoir
t augment.
Dans la rubrique Conditions requises pour activer les nouvelles fonctionnalits
de Windows Server 2003, assurez-vous que les stagiaires ont bien compris
qu'ils doivent augmenter le niveau fonctionnel de chaque domaine avant
d'augmenter celui de la fort.
A la fin de la leon, demandez aux stagiaires d'augmenter le niveau fonctionnel

du domaine au niveau de Windows Server 2003. Pendant qu'ils effectuent cette
application pratique, augmentez les niveaux fonctionnels de nwtraders.msft et
corp.nwtraders.msft au niveau de Windows Server 2003.
Leon : Cration de relations d'approbation

Cette leon prsente les types d'approbations, leur fonctionnement et la
mthode de cration, de vrification et d'annulation des relations d'approbation.
Dans la rubrique Types d'approbations, expliquez en premier lieu la transitivit
de l'approbation. Expliquez ensuite les approbations sortantes, entrantes et
bidirectionnelles. Expliquez enfin les diffrents types d'approbations
(raccourcies, de fort, externes et de domaine [realm]).
ix
Si une fort n'utilise que les approbations transitives entre les domaines parents
et enfants, expliquez qu'il peut tre ncessaire de rechercher la ressource dans
toute la hirarchie, en fonction de son emplacement dans la hirarchie de la
fort. Les approbations raccourcies aident surmonter ce problme. Lorsque
vous expliquez le fonctionnement des approbations au sein d'une fort, assurezvous que les stagiaires comprennent bien l'utilit des approbations raccourcies
pour rduire le temps ncessaire la recherche des ressources.
La rubrique Comment fonctionnent les approbations entre les forts comporte
une diapositive anime. Lorsque vous expliquerez le fonctionnement des
approbations dans une fort, soulignez qu'une fort est une limite de scurit
dans Windows Server 2003. Insistez sur le rle du protocole d'authentification
Kerberos version 5 dans l'authentification de l'utilisateur. Indiquez aux
stagiaires les annexes consulter pour plus d'informations sur le filtrage des
identificateurs de scurit (SID, Security IDentifier).
A la fin de la leon, demandez aux stagiaires de crer une approbation

raccourcie entre leur domaine et un autre domaine dans leur fort
nwtraders.msft. Cette application pratique ncessite de crer des groupes
d'au moins deux stagiaires chacun.
Atelier A : Implmentation d'Active Directory

L'atelier de ce module va permettre aux stagiaires d'installer Active Directory et
de crer une structure de fort et de domaine. Ils vont prparer leurs contrleurs
de domaine pour l'installation en supprimant d'Active Directory un domaine
enfant pralablement install. Les stagiaires travailleront par deux. L'un
installera le domaine racine de la fort tandis que l'autre installera un domaine
enfant. Les stagiaires vont ensuite augmenter les niveaux fonctionnels de la
fort et du domaine pour prparer la cration d'une approbation de fort. Puis,
ils creront une approbation de fort.
La configuration de la classe requiert que vous utilisiez le tableau suivant pour

attribuer des noms de domaine aux stagiaires.
Nom de l'ordinateur
Domaine racine de la fort
Vancouver
Nwtraders1.msft
Denver
Perth
Corp1.Nwtraders1.msft
Nwtraders2.msft
Brisbane
Lisbon
Nwtraders3.msft
Bonn
Lima
Nwtraders4.msft
Santiago
Bangalore
Nwtraders5.msft
Singapore
Casablanca
Nwtraders6.msft
Tunis
Acapulco
Nwtraders7.msft
Miami
Auckland
Nwtraders8.msft
Suva
Stockholm
Nwtraders9.msft
Moscow
Caracas
Nwtraders10.msft
Montevideo
Manila
Corp10.Ntraders10.msft.
Nwtraders11.msft
Tokyo
Khartoum
Nairobi
Domaine enfant
Corp11. Nwtraders11.msft
Nwtraders12.msft
Important Si la rplication ne se produit pas entre un domaine racine de la fort

et un domaine enfant, utilisez Sites et services Active Directory pour vrifier la
topologie de la rplication. La vrification de la topologie de la rplication va
lancer le KCC, qui, d'une manire gnrale, rsout les problmes lis la
rplication.
xi
Informations sur la personnalisation

Cette section identifie la configuration requise pour l'atelier de ce module et les
changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).
Dans cet atelier, les stagiaires vont crer un contrleur du domaine racine de la
fort pour un nouveau domaine rpertori dans le tableau ci-dessus. Ils vont
installer le systme DNS sur ce contrleur lors de ce processus. Le cas chant,
assurez-vous que les ordinateurs des stagiaires qui sont les contrleurs du
domaine racine de la fort pointent vers eux-mmes pour la rsolution de noms
DNS. Si ce n'est pas le cas, les stagiaires risquent d'avoir des problmes pour
raliser la rplication.
Configuration de l'atelier
Les conditions de configuration ci-aprs s'appliquent l'atelier de ce module.
Configuration requise 1
Pour l'atelier de ce module, l'instructeur doit crer une dlgation de domaine

DNS conformment aux instructions du Guide de configuration manuelle de la
classe pour configurer le service DNS sur l'ordinateur London. Si cette tape est
omise, les stagiaires ne peuvent pas rsoudre les noms hors de leur fort.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
!
Chaque paire d'ordinateurs stagiaire existera dans une fort distincte.
Chaque fort du stagiaire disposera d'une approbation de fort

bidirectionnelle avec la fort de la classe, nwtraders.msft.
Chaque domaine et fort sera lev au niveau fonctionnel de

Windows Server 2003.
Vue d'ensemble

Introduction
Ce module prsente la configuration requise du service d'annuaire Active

Directory et explique comment crer une structure de fort et de domaine
l'aide de l'Assistant Installation de Active Directory. Il fournit galement les
connaissances et comptences ncessaires pour analyser le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine et crer des relations
d'approbation.
Objectifs

!
analyser le systme DNS intgr Active Directory ;
augmenter le niveau fonctionnel d'une fort et d'un domaine ;
crer des relations d'approbation entre des domaines.
Leon : Cration d'une structure de fort et de domaine

Introduction
Cette leon fournit les comptences et connaissances ncessaires pour crer une
structure de fort et de domaine. Vous allez apprendre vrifier qu'Active
Directory a t install correctement, identifier et rsoudre les problmes
courants qui peuvent survenir lors de l'installation d'Active Directory.
!
identifier les conditions requises pour installer Active Directory ;
dcrire le processus d'installation d'Active Directory ;
ajouter un contrleur de domaine rpliqu un domaine ;
renommer un contrleur de domaine ;
supprimer un contrleur de domaine d'Active Directory ;
vrifier une installation d'Active Directory ;
rsoudre les problmes lis l'installation d'Active Directory ;
Conditions requises pour installer Active Directory

Introduction
Avant d'installer Active Directory, vous devez vous assurer que l'ordinateur
devant tre configur comme contrleur de domaine satisfait certaines
conditions de configuration relatives au matriel et au systme d'exploitation.
De plus, le contrleur de domaine doit tre en mesure d'accder un serveur
DNS satisfaisant certaines conditions de configuration pour prendre en charge
l'intgration Active Directory.
Configuration requise
pour les contrleurs de
domaine
La liste ci-dessous identifie la configuration requise pour une installation

d'Active Directory.
!
Un ordinateur quip de Microsoft Windows Server 2003 Standard

Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003,
Web Edition, ne prend pas en charge Active Directory.
250 mgaoctets (Mo) d'espace disque disponible au minimum 200 Mo

pour la base de donnes Active Directory et 50 Mo pour les fichiers
journaux des transactions de la base de donnes Active Directory. La taille
des fichiers journaux et des fichiers de la base de donnes Active Directory
dpend du nombre d'objets dans le domaine et de leur type ; un espace
disque supplmentaire est ncessaire si le contrleur de domaine est
galement un serveur de catalogue global.
Une partition ou un volume format avec le systme de fichiers NTFS. La

partition NTFS est ncessaire pour le dossier SYSVOL.
Les privilges administratifs ncessaires pour la cration, le cas chant,

d'un domaine dans un rseau Windows Server 2003 existant.

!
Protocole TCP/IP install et configur pour utiliser le systme DNS.
Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge
les conditions requises rpertories dans le tableau ci-dessous.
Condition requise
Description
Enregistrements de ressources
SRV (obligatoires)
Les enregistrements de ressources SRV sont des enregistrements DNS qui

identifient les ordinateurs qui hbergent des services spcifiques dans un rseau
Windows Server 2003. Le serveur DNS qui prend en charge le dploiement
d'Active Directory doit galement prendre en charge les enregistrements de
ressources SRV. Si ce n'est pas le cas, vous devez configurer le systme DNS
localement lors du processus d'installation d'Active Directory ou le configurer
manuellement aprs l'installation d'Active Directory.
Mises jour dynamiques

(facultatives)
Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent
en charge les mises jour dynamiques. Le protocole de mise jour dynamique
permet aux serveurs et aux clients voluant dans un environnement DNS d'ajouter
et de modifier automatiquement des enregistrements dans la base de donnes DNS,
ce qui permet de rduire les tches administratives. Si vous utilisez un logiciel DNS
qui prend en charge des enregistrements de ressources SRV mais pas le protocole
de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV
manuellement dans la base de donnes DNS.
Transferts de zone
incrmentiels (facultatif)
Dans un transfert de zone incrmentiel, les modifications apportes une zone d'un
serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires pour
cette zone. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois
recommands car ils permettent d'conomiser de la bande passante rseau en
permettant uniquement aux enregistrements de ressources nouveaux ou modifis
d'tre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier de base de
donnes de zone entier.
Remarque Pour plus d'informations sur les enregistrements de ressources

SRV, sur les mises jour dynamiques et les transferts de zone
incrmentiels, reportez-vous la section Windows 2000 DNS de la
rubrique Documentation supplmentaire sur le CD-ROM du stagiaire.
Processus d'installation d'Active Directory

Introduction
Pour dmarrer le processus d'installation d'Active Directory, lancez l'Assistant

Installation de Active Directory. Lors de l'installation, un certain nombre de
modifications sont apportes au serveur Windows Server 2003 sur lequel est
install Active Directory. La connaissance de ces modifications va vous
permettre de rsoudre les problmes susceptibles de survenir aprs l'installation.
Processus d'installation
Le processus d'installation excute les tches suivantes :

!
Dmarrage du protocole d'authentification Kerberos version 5
Dfinition de la stratgie de l'autorit de scurit locale (LSA, Local

Security Authority). Le paramtre indique que ce serveur est un contrleur
de domaine.
Cration de partitions Active Directory. Une partition de rpertoire est une

partie de l'espace de noms du rpertoire. Chaque partition du rpertoire
contient une hirarchie, ou une sous-arborescence, des objets d'annuaire de
l'arborescence de rpertoire. Lors de l'installation, les partitions ci-dessous
sont cres sur le premier contrleur de domaine d'une fort :
partition d'annuaire de schma
partition d'annuaire de configuration
partition d'annuaire de domaine
zone DNS de la fort
partition de la zone DNS du domaine
Les partitions sont alors mises jour par l'intermdiaire de la rplication sur
chaque contrleur de domaine subsquent cr dans la fort.
Remarque Pour plus d'informations sur les partitions d'annuaire, reportezvous au module 7, Implmentation de sites pour grer la rplication Active
Directory , du cours 2194, Planification, implmentation et maintenance
d'une infrastructure Active Directory Microsoft Windows Server 2003.

!
Cration de la base de donnes Active Directory et des fichiers journaux.

L'emplacement par dfaut de la base de donnes et des fichiers journaux est
systemroot\Ntds.
Remarque Pour amliorer les performances, placez la base de donnes et
les fichiers journaux sur des disques durs distincts. De cette manire, les
oprations de lecture et d'criture ralises dans la base de donnes et dans
les fichiers journaux n'entrent pas en concurrence pour les ressources en
entre et en sortie.
Cration du domaine racine de la fort. Si le serveur est le premier

contrleur de domaine du rseau, le processus d'installation cre le domaine
racine de la fort, puis attribue les rles de matre d'oprations au contrleur
de domaine, notamment :
l'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller)
le matre d'oprations des identificateurs relatifs (RID, Relative
IDentifier)
le matre de nommage de domaine
le contrleur de schma
le matre d'infrastructure
Remarque Vous pouvez attribuer les rles de matre d'oprations un autre
contrleur de domaine lorsque vous ajoutez des contrleurs de domaine
rpliqus au domaine.
Cration du dossier volume systme partag. Cette structure de dossiers est

hberge sur tous les contrleurs de domaine Windows Server 2003 et
contient les dossiers suivants :
le dossier partag SYSVOL, qui contient des informations relatives la
stratgie de groupe ;
le dossier partag Net Logon, qui contient les scripts de connexion des
ordinateurs qui ne sont pas quips de Windows Server 2003.
Configuration de l'appartenance du contrleur de domaine sur un site

appropri. Si l'adresse IP du serveur que vous souhaitez promouvoir
contrleur de domaine se trouve dans la plage d'adresses d'un sous-rseau
donn dfini dans Active Directory, l'Assistant configure l'appartenance du
contrleur de domaine dans le site associ au sous-rseau.
Si aucun objet de sous-rseau n'est dfini ou si l'adresse IP du serveur ne se
trouve pas dans la plage des objets de sous-rseau prsents dans Active
Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier
site configur automatiquement lorsque vous crez le premier contrleur de
domaine dans une fort).
L'Assistant Installation de Active Directory cre un objet serveur pour le

contrleur de domaine dans le site appropri. L'objet serveur contient les
informations ncessaires pour la rplication. Cet objet serveur contient une
rfrence l'objet ordinateur de l'unit d'organisation Domain Controllers
qui reprsente le contrleur de domaine en cours de cration.
Remarque Si un objet serveur pour ce domaine existe dj dans le
conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine,
l'Assistant le supprime, puis le cre nouveau car il suppose que vous
rinstallez Active Directory.
!
Activation de la scurit sur le service d'annuaire et sur les dossiers de

rplication de fichier. Ceci vous permet de contrler l'accs des utilisateurs
aux objets Active Directory.
Application du mot de passe fournit par l'utilisateur au compte
administrateur. Vous utilisez ce compte pour lancer le contrleur de
domaine en mode Restauration des services d'annuaire.
Comment crer une structure de fort et de domaine

Introduction
Vous utilisez l'Assistant Installation de Active Directory pour crer une

structure de fort et de domaine. Lorsque vous installez Active Directory dans
un rseau pour la premire fois, vous devez crer un domaine racine de la fort.
Aprs avoir cr le domaine racine de la fort, utilisez l'Assistant pour crer une
arborescence et des domaines enfants supplmentaires.
Procdure de cration
du domaine racine de la
fort
L'Assistant Installation de Active Directory vous accompagne tout au long du

processus d'installation et vous donne des informations, qui diffrent en
fonction des options que vous slectionnez.
Pour crer un domaine racine de la fort, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom
du programme.
L'Assistant vrifie les points suivants :
l'utilisateur actuellement connect est un membre du groupe local
Administrateurs ;
l'ordinateur est quip d'un systme d'exploitation prenant en charge
Active Directory ;
une installation prcdente ou une suppression d'Active Directory n'a pas
eu lieu sans un redmarrage de l'ordinateur ; une installation ou une
suppression d'Active Directory n'est pas en cours.
Si l'un des ces quatre points ne se vrifie pas, un message d'erreur s'affiche
et vous quittez l'Assistant.
2. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.
3. Dans la page Compatibilit du systme d'exploitation, cliquez sur

Suivant.
Attention La page Compatibilit du systme d'exploitation contient des
informations relatives la compatibilit des systmes d'exploitation
Windows antrieurs. Windows Server 2003 implmente un niveau de
scurit plus lev que celui de Windows 2000. Vous devez installer le
client Active Directory sous Windows 95 et Microsoft Windows NT (avec
Service Pack 3) afin d'activer l'authentification par un contrleur de
domaine Windows Server 2003.
4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une
nouvelle fort, puis sur Suivant.
6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du
nouveau domaine, puis cliquez sur Suivant.
7. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS, puis
cliquez sur Suivant.
Le nom NetBIOS permet d'identifier le domaine sur les ordinateurs clients
quips de versions antrieures de Windows et Windows NT. L'Assistant
identifie que le nom de domaine NetBIOS est unique. Si ce n'est pas le cas,
il vous invite modifier le nom.
8. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, puis cliquez sur Suivant.
9. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement. Cliquez ensuite sur Suivant.
10. Dans la page Diagnostics des inscriptions DNS, assurez-vous qu'un
serveur DNS existant va faire autorit pour cette fort ou, le cas chant,
cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et
dfinir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS
de prfrence. Cliquez ensuite sur Suivant.
11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les
autorisations par dfaut des objets utilisateur et groupe compatibles avec
des serveurs quips de versions antrieures de Windows ou Windows NT,
ou seulement avec des serveurs quips de Windows Server 2003.
12. A l'invite, indiquez le mot de passe pour le mode Restauration des services
d'annuaire.
Les contrleurs de domaine Windows Server 2003 grent une petite version
de la base de donnes des comptes de Microsoft Windows NT 4.0. Le seul
compte de cette base de donnes est le compte Administrateur. Il est requis
pour l'authentification au dmarrage de l'ordinateur en mode Restauration
des services d'annuaire, tant donn qu'Active Directory n'est pas dmarr
dans ce mode.
10
Remarque Pour obtenir de plus amples informations relatives la manire

de modifier le mot de passe du mode Restauration des services d'annuaire,
reportez-vous Ntdsutil : rfrence de la ligne de commande dans Aide
et Support de Windows Server 2003.
13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
14. A l'invite, redmarrez l'ordinateur.
Procdure de cration
d'un domaine enfant
La procdure de cration d'un domaine enfant l'aide de l'Assistant Installation

de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.
Page de l'Assistant Installation

de Active Directory
Nouvelle tape raliser
Crer un nouveau domaine
Cliquez sur Domaine enfant dans une arborescence de domaine

existante.
Informations d'identification rseau
Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du

compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.
Installation d'un domaine enfant
Vrifiez le domaine parent, puis tapez le nom du nouveau domaine

enfant.
Lorsque vous utilisez l'Assistant Installation de Active Directory pour crer ou

supprimer un domaine enfant, il contacte le matre de nommage de domaine
pour demander l'ajout ou la suppression. Le matre de nommage de domaine
doit imprativement s'assurer que les noms de domaine sont uniques. Si le
matre de nommage de domaine est indisponible, vous n'avez pas la possibilit
d'ajouter ni de supprimer des domaines.
Procdure de cration
d'une arborescence
La procdure de cration d'une arborescence l'aide de l'Assistant Installation

de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.
Page de l'Assistant Installation

de Active Directory
Nouvelle tape raliser
Crer un nouveau domaine
Cliquez sur Arborescence de domaine dans une fort existante.
Informations d'identification rseau
Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du

compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Nouvelle arborescence de domaine
Tapez le nom DNS complet du nouveau domaine.
11
Comment ajouter un contrleur de domaine rpliqu

Introduction
Pour activer la tolrance de pannes au cas o le contrleur de domaine se

dconnecte de manire inattendue, vous devez disposer d'au moins deux
contrleurs de domaine dans un seul domaine. Etant donn que tous les
contrleurs de domaine d'un domaine rpliquent les donnes spcifiques au
domaine de l'un vers un autre, l'installation de plusieurs contrleurs de domaine
dans le domaine active automatiquement la tolrance de pannes pour les
donnes enregistres dans Active Directory. Si un contrleur de domaine
tombe en panne, les contrleurs de domaine restants fournissent les services
d'authentification et assurent l'accs aux objets d'Active Directory, de telle sorte
que le domaine, puisse continuer fonctionner.
Procdure
Avant de commencer l'installation, dterminez si vous allez effectuer la

rplication initiale d'Active Directory par le biais du rseau partir d'un
contrleur de domaine proximit ou d'un support sauvegard.
Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur
de domaine rpliqu va tre install :
!
sur un site sur lequel un autre contrleur de domaine existe ;
sur un nouveau site connect un site existant par un rseau grande

vitesse.
Choisissez de rpliquer Active Directory partir d'un support de sauvegarde si

vous souhaitez installer le premier contrleur de domaine sur un site distant
pour un domaine existant.
Lorsque vous copiez des informations relatives au domaine partir de fichiers
de sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur
l'tat du systme d'un contrleur de domaine excutant Windows Server 2003
partir du domaine dans lequel ce serveur membre va devenir un contrleur de
domaine supplmentaire. Ensuite, vous devez restaurer la sauvegarde de l'tat
du systme sur le serveur sur lequel vous installez Active Directory.
12
Important Si un contrleur de domaine qui a t sauvegard contient une

partition d'annuaire de l'application, cette partition ne sera pas restaure sur le
nouveau contrleur de domaine. Si le contrleur de domaine partir duquel
vous avez restaur les donnes sur l'tat du systme tait un serveur de
catalogue global, vous aurez la possibilit de faire de ce nouveau contrleur de
domaine un serveur de catalogue global.
Pour installer un contrleur de domaine rpliqu, procdez comme suit :
1. Excutez dcpromo. Pour installer un contrleur de domaine supplmentaire
partir des fichiers de sauvegarde, excutez dcpromo avec l'option /adv.
2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de
domaine supplmentaire pour un domaine existant.
Sinon, si vous lancez l'Assistant Installation de Active Directory avec
l'option /adv, choisissez l'une des options suivantes sur la page Copie des
informations du domaine en cours :
Via le rseau.
partir des fichiers de restauration de cette sauvegarde, puis
indiquez l'emplacement des fichiers de sauvegarde restaurs.
3. Sur la page Informations d'identification rseau, tapez le nom
d'utilisateur, le mot de passe et le domaine utilisateur du compte d'utilisateur
que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe Admins du domaine
pour le domaine cible.
4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de
domaine pour lequel ce serveur deviendra un contrleur de domaine
supplmentaire.
5. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, ou cliquez sur Parcourir pour choisir un
emplacement.
6. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement.
7. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe du mode de restauration des
services d'annuaire, puis cliquez sur Suivant.
8. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
9. Lorsque le systme vous y invite, redmarrez l'ordinateur.
Remarque Pour plus d'informations sur la sauvegarde et la restauration
d'Active Directory, consultez le Module 10, Maintenance d'Active
Directory , du cours 2194, Planification, implmentation et maintenance d'une
13
Comment renommer un contrleur de domaine

Introduction
Dans Windows Server 2003, vous avez la possibilit de renommer un

contrleur de domaine aprs l'avoir install. Pour ce faire, vous devez disposer
des droits Administrateurs du domaine. Lorsque vous renommez un contrleur
de domaine, vous devez ajouter le nouveau nom du contrleur de domaine et
supprimer l'ancien des bases de donnes DNS et Active Directory. Vous pouvez
renommer un contrleur de domaine uniquement si le niveau fonctionnel du
domaine est dfini sur Windows Server 2003.
Procdure
Pour renommer un contrleur de domaine, procdez comme suit :

1. Dans le Panneau de configuration, double-cliquez sur l'icne Systme.
2. Dans la bote de dialogue Proprits Systme, sous l'onglet Nom de
l'ordinateur, cliquez sur Modifier.
3. Losrque vous y tes invit, confirmez que vous souhaitez renommer le
contrleur de domaine.
4. Entrez le nom complet de l'ordinateur (notamment le suffixe DNS
principal), puis cliquez sur OK.
Remarque Le fait de renommer ce contrleur de domaine risque de le rendre
provisoirement indisponible aux utilisateurs et aux ordinateurs.
Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son
suffixe DNS principal. Toutefois, cette modification ne permet pas de dplacer
le contrleur de domaine vers un nouveau domaine Active Directory. Par
exemple, si vous renommez le serveur dc2.nwtraders.msft en dc1.contoso.msft,
l'ordinateur reste un contrleur de domaine pour le domaine nwtraders.msft,
mme si le suffixe DNS principal est contoso.msft. Pour dplacer un contrleur
de domaine vers un autre domaine, vous devez pralablement rtrograder le
contrleur de domaine, puis le promouvoir au titre de contrleur de domaine
dans le nouveau domaine.
14
Comment supprimer un contrleur de domaine d'Active Directory

Introduction
Dans Windows Server 2003, vous avez la possibilit de supprimer un

contrleur de domaine qui n'est plus ncessaire ou qui a t endommag par une
catastrophe naturelle. S'il s'agit du dernier contrleur de domaine, le domaine va
tre supprim de la fort lors du retrait du contrleur de domaine. Si ce domaine
est le dernier de la fort, le retrait du contrleur de domaine va supprimer la
fort.
Procdure de
suppression d'un
contrleur de domaine
qui est en ligne
Pour supprimer un contrleur de domaine qui est en ligne et qui n'est plus
ncessaire, procdez comme suit :
1. Ouvrez l'Assistant Installation de Active Directory.
2. Dans la page Supprimer Active Directory, s'il s'agit du dernier contrleur
de domaine du domaine, cochez la case Ce serveur est le dernier
contrleur de domaine du domaine, puis cliquez sur Suivant.
3. Dans la page Mot de passe administrateur, tapez le nouveau mot de passe
administrateur dans les botes de dialogue Nouveau mot de passe
administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
4. Dans la page Rsum, passez en revue le rsum, puis cliquez sur Suivant.
Procdure de
suppression d'un
endommag
15
Pour supprimer un contrleur de domaine endommag et qui ne peut pas tre

dmarr partir d'Active Directory, redmarrez le contrleur de domaine en
Mode restauration Active Directory (contrleurs de domaine Windows), puis
excutez la commande ntdsutil l'aide de l'option de nettoyage des
mtadonnes. Pour ce faire, procdez comme suit :
1. l'invite, tapez la commande suivante et appuyez sur ENTRE.
Ntdsutil.exe: metadata cleanup
2. A l'invite Metadata cleanup, tapez la commande suivante et appuyez sur

ENTRE.
metadata cleanup: connections
3. A l'invite Server connections, tapez la squence de commandes suivante

pour vous connecter au contrleur de domaine du domaine qui contient le
contrleur de domaine endommag :
Server connections: Connect to server Nom_Serveur FQDN
Server connections: quit
4. A l'invite Metadata cleanup, slectionnez la cible des oprations en entrant

la commande suivante :
metadata cleanup: select operation target
5. A l'invite Select operation target, tapez la squence de commandes suivante

afin d'identifier et de slectionner le contrleur de domaine endommag :
select
select
select
select
select
operation
operation
operation
operation
operation
target:
target:
target:
target:
target:
list sites
select site numro
list servers in site
select server numro
quit
6. A l'invite Metadata cleanup, tapez la commande suivante pour supprimer le

contrleur de domaine endommag d'Active Directory :
metadata cleanup: remove selected server
metadata cleanup: quit
Important Lorsque vous supprimez un contrleur de domaine qui est serveur

de catalogue global, assurez-vous que les utilisateurs peuvent disposer d'un
autre catalogue global avant de supprimer le contrleur de domaine. De mme,
si le contrleur de domaine dtient un rle de matre d'oprations, vous devez
transfrer ce rle vers un autre contrleur de domaine avant de le supprimer.
Pour obtenir des informations relatives au transfert d'un rle de matre
d'oprations vers un autre contrleur de domaine, reportez-vous au Module 9,
Gestion des matres d'oprations , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory Microsoft
16
Comment vrifier l'installation d'Active Directory

Introduction
Le processus d'installation d'Active Directory cre un certain nombre d'objets

par dfaut dans la base de donnes Active Directory. Il cre galement le
dossier systme partag ainsi que la base de donnes et les fichiers journaux.
Vrifiez l'installation d'Active Directory lorsque l'Assistant a termin
l'installation et que le nouveau contrleur de domaine redmarre.
Remarque Si vous avez modifi l'emplacement de la base de donnes et des
fichiers journaux de l'annuaire lors de l'installation, remplacez %systemroot%
par l'emplacement correct. Par exemple, pour la classe, l'emplacement est
C:\WINNT.
Vrification de la
cration de la structure
de dossiers SYSVOL et
de ses dossiers
partags
Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers
partags ncessaires ont t crs. Si le dossier SYSVOL n'a pas t cr
correctement, les donnes du dossier SYSVOL (Stratgie de groupe et scripts,
par exemple) ne seront pas rpliques entre les contrleurs de domaine.
Pour vrifier que la structure de dossiers a t cre, excutez la procdure
suivante :
!
Cliquez sur Dmarrer, puis sur Excuter, tapez %systemroot%\sysvol et

cliquez sur OK.
L'Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit
contenir les sous dossiers domain, staging, staging areas et sysvol.
17
Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
!
l'invite de commande, tapez net share et appuyez sur ENTRE.
La liste suivante des dossiers partags doit s'afficher sur l'ordinateur.

Nom du
partage
Vrification de la
cration de la base de
donnes et des fichiers
journaux d'Active
Directory
Enregistrements
Remarque
NETLOGON
%systemroot%\SYSVOL\sysvol\domaine\
SCRIPTS
Partage de serveur
d'accs
SYSVOL
%systemroot%\SYSVOL\sysvol
Partage de serveur
d'accs
Pour vrifier que la base de donnes et les fichiers journaux d'Active Directory
ont t crs, excutez la procdure suivante :
!
Cliquez sur Dmarrer, sur Excuter, tapez %systemroot%\ntds et cliquez

sur OK.
L'Explorateur Windows affiche le contenu du dossier Ntds, qui doit comporter

les fichiers suivants :
!
Ntds.dit. Il s'agit du fichier de la base de donnes de l'annuaire.
Edb.*. Il s'agit des fichiers journaux des transactions et de points de

vrification.
Res*.log. Il s'agit des fichiers journaux rservs.
18
Vrification de la
cration de la structure
Active Directory par
dfaut
Lors de l'installation d'Active Directory sur le premier contrleur de domaine

d'un nouveau domaine, plusieurs objets par dfaut sont crs. Ces objets
peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des
units d'organisation.
Affichez ces objets par dfaut l'aide du composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory. Le tableau suivant prsente
l'objectif de certains de ces objets par dfaut.
Analyse des journaux

des vnements pour
voir les erreurs
Objet
Description
Builtin
Dtient les groupes de scurit intgrs par dfaut.
Computers
Emplacement par dfaut des comptes d'ordinateurs.
Domain Controllers
Unit d'organisation et emplacement par dfaut des

comptes d'ordinateurs du contrleur de domaine.
ForeignSecurityPrincipals
Dtient les identificateurs de scurit (SID, Security

IDentifier) des domaines externes approuvs.
Users
Emplacement par dfaut des comptes d'utilisateurs et de

groupes.
LostAndFound
Conteneur par dfaut des objets orphelins.
NTDS Quotas
Enregistre les spcifications relatives au quota. Les objets

Quota dterminent le nombre d'objets d'annuaire qu'une
entit de scurit peut dtenir dans Active Directory.
Program Data
Emplacement de stockage par dfaut des donnes

d'application.
System
Enregistre les paramtre systme intgrs.
Aprs avoir install Active Directory, jetez un oeil dans les journaux des
vnements pour prendre connaissance des ventuelles erreurs qui se sont
produites lors du processus d'installation. Les messages d'erreur gnrs lors de
l'installation sont enregistrs dans les journaux Systme, Service d'annuaire,
Serveur DNS et Service de rplication de fichier.
19
Comment rsoudre les problmes lis l'installation d'Active

Directory

Introduction
Lors de l'installation d'Active Directory, vous risquez de rencontrer certains

problmes. Ces problmes peuvent tre le rsultat d'informations
d'identification de scurit invalides, de l'utilisation de noms qui ne sont pas
uniques, d'un rseau qui n'est pas fiable ou de ressources insuffisantes.
Problmes courants
lis l'installation
Le tableau suivant dcrit certains problmes courants que vous tes susceptible
de rencontrer lors de l'installation d'Active Directory, ainsi que les stratgies
permettant de les rsoudre.
Problme
Solution
Accs refus lors de

l'installation ou de l'ajout de
contrleurs de domaine
Fermez la session, puis ouvrez-l de nouveau l'aide d'un compte appartenant au

groupe Administrateurs local.
Les noms de domaine DNS

ou NetBIOS ne sont pas
uniques
Modifiez le nom de sorte qu'il soit unique.
Fournissez les informations d'identification d'un compte d'utilisateur membre des

groupes Admins du domaine et Administrateurs de l'entreprise.
20
(suite)
Problme
Solution
Le domaine ne peut pas tre

contact
Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez
promouvoir au titre de contrleur de domaine et au moins l'un des contrleurs de
domaine du domaine. Utilisez la commande ping partir de l'invite de commande
pour tester la connexion avec un contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur
du domaine en vous connectant un contrleur de domaine l'aide de
son nom DNS. Pour ce faire, l'invite de commande, tapez le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de
domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter
au contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t configur
correctement en vrifiant les enregistrements A que les contrleurs de domaine
enregistrent dans la base de donnes DNS.
Espace disque insuffisant
Augmentez la taille de la partition ou installez la base de donnes et les fichiers

journaux Active Directory sur des partitions distinctes.
21
Application pratique : Cration d'un domaine enfant

Objectifs
Dans cette application pratique, vous allez installer Active Directory et crer un
domaine enfant dans le domaine racine de la fort nwtraders.msft. Aprs
l'installation d'Active Directory, vous allez vrifier la cration du dossier de
volume de systme partag, ainsi que celle de la base de donnes et des fichiers
journaux.
Scnario
La socit Northwind Traders ouvre des bureaux de nouveaux emplacements.

Vous devez crer de nouveaux domaines dans le domaine nwtraders.msft pour
chaque nouveau bureau.
! Installer Active Directory et crer le domaine enfant

1. Connectez-vous en tant que Nwtraders\Nom_OrdinateurUser avec le mot
de passe P@ssw0rd (o Nom_Ordinateur est le nom de l'ordinateur sur
lequel vous travaillez).
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
4. l'invite de commandes, tapez dcpromo et appuyez sur ENTRE.
5. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.
6. Dans la page Compatibilit du systme d'exploitation, cliquez sur
Suivant.
7. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
8. Dans la page Crer un nouveau domaine, cliquez sur Domaine enfant
dans une arborescence de domaine existante, puis sur Suivant.
22
9. Dans la page Informations d'identification rseau, tapez Administrateur

comme nom d'utilisateur, P@ssw0rd comme mot de passe, assurez-vous
que nwtraders.msft est le domaine, puis cliquez sur Suivant.
10. Sur la page Installation d'un domaine enfant, assurez-vous que le
domaine parent est nwtraders.msft, tapez le nom de domaine enfant corpx
o x est le dernier numro de votre adresse IP, puis cliquez sur Suivant.
11. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS corpx,
puis cliquez sur Suivant.
12. Dans la page Dossier de la base de donnes et du journal, acceptez la
slection par dfaut, puis cliquez sur Suivant.
13. Dans la page Volume systme partag, acceptez l'emplacement par dfaut
d'installation du dossier SYSVOL, puis cliquez sur Suivant.
14. Dans la page Diagnostics des inscriptions DNS, assurez-vous que les
paramtres de configuration DNS sont exacts, puis cliquez sur Suivant.
15. Dans la page Autorisations, cliquez sur Autorisations compatibles
uniquement avec les systmes d'exploitation Windows 2000 ou
Windows Server 2003, puis cliquez sur Suivant.
16. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe P@ssw0rd et cliquez sur
Suivant.
17. Passez en revue la page Rsum, cliquez sur Suivant pour commencer
l'installation, puis sur Terminer.
18. Lorsque vous y tes invit, redmarrez l'ordinateur.
23
Leon : Analyse du systme DNS intgr Active

Directory

Introduction
Windows Server 2003 exige qu'une infrastructure DNS soit en place avant
d'installer Active Directory. Il est important de comprendre comment DNS et
Active Directory sont intgrs et comment les ordinateurs clients utilisent le
systme DNS lors de l'ouverture de session afin de rsoudre les problmes lis
au systme DNS (problmes d'ouverture de session client, par exemple).
Cette leon dcrit le format des enregistrements de ressources SRV
(enregistrements DNS que les contrleurs de domaine enregistrent) et explique
comment Active Directory utilise ces enregistrements pour rechercher les
fournisseurs de ressources.
!
dcrire les relations entre les espaces de noms du systme DNS et d'Active
Directory ;
expliquer la finalit des zones intgres Active Directory ;
dcrire la finalit des enregistrements SRV ;
dcrire les enregistrements SRV enregistrs par les contrleurs de domaine ;
analyser les enregistrements DNS enregistrs par un contrleur de domaine ;
dcrire comment les ordinateurs clients utilisent le systme DNS pour

rechercher des contrleurs et des services de domaine.
24
Espaces de noms DNS et Active Directory

Introduction
Les domaines DNS et Active Directory utilisent des noms de domaine

identiques pour diffrents espaces de noms. En utilisant des noms de domaine
identiques, les ordinateurs d'un rseau Windows Server 2003 peuvent utiliser le
systme DNS pour rechercher des contrleurs de domaine et d'autres
ordinateurs qui fournissent des services Active Directory.
Relations entre l'espace

de noms DNS et
l'espace de noms
Active Directory
Les domaines et les ordinateurs sont reprsents par des enregistrements de

ressources dans l'espace de noms DNS et par des objets Active Directory dans
l'espace de noms Active Directory.
Le nom d'hte DNS d'un ordinateur est identique celui du compte d'ordinateur
stock dans Active Directory. Le nom de domaine DNS (galement appel
suffixe DNS principal) et le domaine Active Directory auquel appartient
l'ordinateur ont le mme nom. Par exemple, un ordinateur appel Computer1
appartenant au domaine Active Directory appel training.microsoft.msft ont le
nom FQDN suivant :
computer1.training.microsoft.msft
Intgration du systme
DNS et d'Active
Directory
L'intgration du systme DNS et d'Active Directory est essentielle car un

ordinateur client d'un rseau Windows Server 2003 doit pouvoir rechercher un
contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session
sur un domaine ou utiliser les services proposs par Active Directory. Les
clients recherchent les contrleurs de domaine et les services grce aux
enregistrements de ressources A et aux enregistrements SRV. L'enregistrement
de ressources A contient le nom FQDN et l'adresse IP du contrleur de
domaine. L'enregistrement SRV contient le nom FQDN du contrleur de
domaine et le nom du service que fournit le contrleur de domaine.
25
Dfinition des zones intgres Active Directory

Introduction
L'intgration DNS et Active Directory offre la possibilit d'intgrer des

zones DNS dans une base de donnes Active Directory. Une zone est une
partie de l'espace de noms de domaine possdant un groupement logique
d'enregistrements de ressources, qui permet de transfrer des zones de ces
enregistrements pour fonctionner en tant qu'unit unique.
Zones intgres Active

Directory
Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre
des noms d'hte en adresses IP, et inversement, dans un fichier de base de
donnes suivi de l'extension .dns pour chaque zone.
Les zones intgres Active Directory sont des zones DNS principales et de
stub stockes en tant qu'objets dans la base de donnes Active Directory.
Vous pouvez stocker des objets de zone dans une partition d'application Active
Directory ou dans une partition de domaine Active Directory. Si les objets de
zone sont stocks dans une partition d'application Active Directory, seuls les
contrleurs de domaine qui souscrivent la partition d'application participent
sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de
domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine
du domaine.
26
Avantages des zones

intgres Active
Directory
Les zones intgres Active Directory offrent les avantages suivants :

!
Rplication multimatre. Lorsque vous configurez les zones intgres

Active Directory, des mises jour dynamiques du systme sur le systme
DNS sont menes en fonction d'un modle de mise jour multimatre. Dans
ce modle, les serveurs DNS qui font autorit (un contrleur de domaine
excutant un serveur DNS, par exemple) sont conus en tant que source
principale pour la zone. Etant donn que la copie principale de la zone est
gre dans la base de donnes Active Directory, qui est intgralement
rplique sur tous les contrleurs de domaine, la zone peut tre mise jour
par les serveurs DNS fonctionnant sur un contrleur de domaine pour le
domaine.
Dans le modle de mise jour multimatre d'Active Directory, tout serveur
principal de la zone intgre d'annuaire peut traiter des requtes mises par
les clients DNS pour mettre jour la zone, aussi longtemps qu'un contrleur
de domaine est disponible sur le rseau.
Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations d'accs aux enregistrements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs autoriss.
Transferts de zone standard vers d'autres serveurs DNS. Effectue des

transferts de zone standard vers des serveurs DNS qui ne sont pas
configurs en tant que contrleur de domaine. Cela permet galement
d'effectuer des transferts de zone standard vers des serveurs DNS qui se
trouvent dans d'autres domaines. Il s'agit de la mthode requise pour
rpliquer des zones vers des serveurs DNS dans d'autres domaines.
Remarque Pour plus d'informations sur les zones intgres Active Directory
et la rplication DNS, reportez-vous la rubrique Dfinition des zones
intgres Active Directory de la page des annexes du module 2 sur le
CD-ROM du stagiaire.
27
Dfinition des enregistrements de ressources SRV

Introduction
Pour qu'Active Directory fonctionne correctement, les ordinateurs clients

doivent tre en mesure de localiser les serveurs qui fournissent des services
spcifiques tels que l'authentification des demandes d'ouverture de session et la
recherche d'informations dans Active Directory. Active Directory stocke les
informations relatives l'emplacement des ordinateurs qui fournissent ces
services dans des enregistrements DNS connus sous le nom d'enregistrements
de ressources SRV.
Finalit des
enregistrements SRV
Les enregistrements de ressources SRV tablissent un lien entre un service et le

nom d'ordinateur DNS de l'ordinateur qui offre le service. Par exemple, un
enregistrement SRV peut contenir des informations permettant aux clients de
localiser un contrleur de domaine dans un domaine ou une fort spcifique.
Lorsqu'un contrleur de domaine dmarre, il enregistre les enregistrements
SRV et un enregistrement de ressources A, qui contiennent son nom
d'ordinateur DNS et son adresse IP. Un ordinateur client DNS utilise
ultrieurement ces informations combines afin de localiser le service requis
sur le contrleur de domaine appropri.
28
Format des
enregistrements SRV
Tous les enregistrements SRV utilisent un format standard compos de champs

contenant les informations qu'Active Directory utilise afin de mapper un service
l'ordinateur qui fournit le service. Les enregistrements SRV utilisent le format
suivant :
_ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible
Le tableau ci-dessous prsente chaque champ d'un enregistrement SRV.
Champ
Description
_Service
Spcifie le nom du service, (LDAP [Lightweight Directory Access

Protocol] ou Kerberos, par exemple) fourni par le serveur qui
enregistre cet enregistrement SRV.
_Protocole
Spcifie le type de protocole de transport, tel que TCP ou UDP (User

Datagram Protocol).
Nom
Spcifie le nom de domaine auquel fait rfrence l'enregistrement de

ressources.
Ttl
Spcifie la dure de vie (TTL, Time To Live) en secondes. C'est un

champ standard des enregistrements de ressources DNS prcisant la
dure pendant laquelle l'enregistrement est considr valide.
Classe
Spcifie la valeur de la classe de l'enregistrement de ressources DNS,

qui est presque toujours IN pour le systme Internet . Il s'agit de la
seule classe prise en charge par le systme DNS de
Priorit
Spcifie la priorit du serveur. Les clients tentent de contacter l'hte

dont la priorit est la plus faible.
Poids
Indique un mcanisme d'quilibre de charge que les clients utilisent

lors de la slection d'un hte cible. Lorsque le champ de priorit est
identique pour deux ou trois enregistrements d'un mme domaine, les
clients choisissent de manire alatoire des enregistrements SRV dont
le poids est suprieur.
Port
Spcifie le port sur lequel le serveur coute ce service.
Cible
Spcifie le nom FQDN, galement appel nom de domaine complet,

de l'ordinateur qui fournit le service.
Remarque Pour plus d'informations sur la priorit et le poids (notamment sur

la manire de les configurer), reportez-vous la rubrique Dfinition des
enregistrements de ressources SRV de la page d'annexe du module 2 sur le
Exemple
L'exemple suivant illustre un enregistrement SRV d'un ordinateur :

_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft
L'enregistrement SRV indique que l'ordinateur possde les services ou les
caractristiques suivantes :
!
Fournit le service LDAP
Fournit le service LDAP grce au protocole de transport TCP
Enregistre l'enregistrement SRV dans le domaine DNS contoso.msft
Dispose d'une dure de vie (TTL, Time To Live) de 600 secondes ou de

10 minutes
Possde un nom FQDN de london.contoso.msft
29
30
Enregistrements SRV enregistrs par les contrleurs de domaine

Introduction
Les enregistrements de ressources SRV sont enregistrs par les ordinateurs qui
fournissent un service Active Directory. Dans Windows Server 2003, les
contrleurs de domaine et les serveurs de catalogue global enregistrent les
services avec le systme DNS.
Comment les services

sont enregistrs avec le
systme DNS
Lorsqu'un contrleur de domaine dmarre, le service Ouverture de session

rseau install sur le contrleur de domaine utilise les mises jour dynamiques
pour enregistrer les enregistrement de ressources SRV dans la base de donnes
DNS. Les enregistrements de ressources SRV mappent le nom du service que le
contrleur de domaine fournit sur le nom d'ordinateur DNS de ce contrleur de
domaine.
Services enregistrs
avec le systme DNS
Pour permettre un ordinateur de localiser un contrleur de domaine, les

contrleurs de domaine excutant Windows Server 2003 enregistrent les
enregistrements de ressources SRV en utilisant le format suivant :
_Service._Protocole.DcType._msdcs.Nom_Domaine_Dns ou
Nom_Fort_Dns
Le composant _msdcs indique un sous-domaine dans l'espace de noms DNS
spcifique Microsoft, qui permet aux ordinateurs de localiser les contrleurs
de domaine ayant des fonctions dans le domaine ou la fort de
Les valeurs possibles pour le composant DCType, qui est un prfixe du sousdomaine _msdcs, spcifie les types de rles du serveur suivants :
!
dc pour le contrleur de domaine
gc pour le serveur de catalogue global
31
La prsence du sous-domaine _msdcs signifie que les contrleurs de domaine

excutant Windows Server 2003 enregistrent galement les enregistrements de
ressources SRV suivants :
_ldap._tcp.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.gc._msdcs.Nom_Fort_Dns
_ldap._tcp.Nom_Site._sites.gc._msdcs.Nom_Fort_Dns
_kerberos._tcp.dc._msdcs.Nom_Domaine_Dns
_kerberos._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
Le tableau suivant rpertorie certains enregistrements de ressources SRV
enregistrs par les contrleurs de domaine et dfinit les critres de recherche
pris en charge par chaque enregistrement.
Enregistrement SRV
Permet un ordinateur de rechercher
_ldap._tcp.Nom_Domaine_Dns
Un serveur LDAP dans le domaine spcifi par

Nom_Domaine_Dns.
Tous les contrleurs de domaine enregistrent cet
enregistrement.
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_
Dns
Un contrleur de domaine dans le domaine spcifi par

Nom_Domaine_Dns et dans le site appel Nom_Site.
Nom_Site est le nom unique relatif de l'objet Site qui est
enregistr dans Active Directory.
Tous les contrleurs de domaine enregistrent cet
enregistrement.
_gc._tcp.Nom_Fort_Dns
Un serveur de catalogue global dans la fort appele par

Nom_Fort_Dns. Nom_Fort_Dns est le nom de
domaine du domaine racine de la fort.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.
_gc._tcp.Nom_Site._sites. Nom_Fort_Dns
Un serveur de catalogue global de la fort appele

Nom_Fort_Dns et dans le site spcifi par Nom_Site.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.
_kerberos._tcp.Nom_Domaine_Dns
Un serveur KDC (Key Distribution Center) pour le

domaine spcifi par Nom_Domaine_Dns.
Tous les contrleurs de domaine excutant le protocole
d'authentification Kerberos version 5 procdent cet
enregistrement.
_kerberos._tcp.Nom_Site. sites.Nom_Domaine_Dns
Un serveur KDC pour le domaine spcifi par

Nom_Domaine_Dns dans le site spcifi par Nom_Site.
Tous les contrleurs de domaine excutant le protocole
Kerberos version 5 procdent cet enregistrement.
32
Comment analyser les enregistrements enregistrs par un


Introduction
Vous pouvez utiliser la console DNS ou l'utilitaire Nslookup pour afficher les
enregistrements de ressources SRV que les contrleurs de domaine enregistrent.
Procdure d'affichage
des enregistrements
SRV grce la console
DNS
Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la

console DNS, suivez la procdure suivante :
1. Ouvrez DNS partir du menu Outils d'administration.
2. Double cliquez sur Serveur (o Serveur est le nom de votre serveur DNS),
sur Zones de recherche directes, puis sur domaine (o domaine est le nom
de domaine).
3. Ouvrez les dossiers suivants dans le dossier domaine pour afficher les
enregistrements de ressources enregistrs :
_msdcs
_sites
_tcp
_udp
des enregistrements
SRV grce Nslookup
33
Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la

commande Nslookup, excutez la procdure suivante :
1. Ouvrez une fentre d'invite de commande, puis excutez l'utilitaire
Nslookup.
2. Tapez ls t SRV domaine (o domaine est le nom de domaine) et appuyez
sur ENTRE.
Les enregistrements de ressources SRV enregistrs sont rpertoris.
Pour enregistrer les rsultats de cette liste dans un fichier, tapez ls t SRV
domaine > nom_fichier (o nom_fichier est le nom que vous attribuez au
fichier).
Remarque Si aucune zone de recherche inverse n'est configure, Nslookup
affiche des erreurs de dpassement de dlai lorsque vous excutez l'utilitaire
pour la premire fois. En effet, Nslookup gnre une recherche inverse afin de
dterminer le nom d'hte du serveur DNS en fonction de son adresse IP. La
commande ls t procde un transfert de zone. Assurez-vous que les transferts
de zone sont activs avant d'excuter la commande.
34
Prsentation multimdia : Utilisation de DNS par les ordinateurs

clients pour trouver un contleur de domaine

Pour commencer la prsentation Utilisation de DNS par les ordinateurs clients

pour trouver un contleur de domaine, ouvrez la page Web sur le CD-ROM des
stagiaires, cliquez sur Multimdia, puis sur le titre de la prsentation. N'ouvrez
pas cette prsentation avant d'y tre invit par l'instructeur.
Objectifs
A la fin de cette prsentation, vous serez mme d'expliquer comment des

ordinateurs clients utilisent le systme DNS pour localiser des contrleurs et
des services de domaine.
Processus d'utilisation
du systme DNS pour
localiser un contrleur
de domaine
La procdure ci-dessous explique comme un client utilise le systme DNS pour

localiser un contrleur de domaine :
1. Un service sur l'ordinateur client collecte les informations sur le client et le
service requis.
2. Le service client envoie les informations collectes un serveur DNS sous
forme de requte DNS.
3. Le serveur DNS renvoie une liste d'enregistrements SRV pour les
contrleurs de domaine qui fournissent le service requis dans le domaine et
le site spcifis.
4. Le service client parcourt les enregistrements SRV et en slectionne un en
fonction de la priorit et du poids affects dans l'enregistrement SRV.
5. Le service client envoie une seconde requte DNS pour demander
l'adresse IP du contrleur de domaine spcifique.
6. Le serveur DNS retourne l'enregistrement hte pour ce contrleur de
domaine, qui contient l'adresse IP du contrleur de domaine.
35
7. Le client utilise l'adresse IP pour contacter le contrleur de domaine et

lancer une communication avec le service requis.
Si le client ne parvient pas contacter le contrleur de domaine, il
slectionne un autre enregistrement parmi les enregistrements SRV
retourns pour trouver un contrleur de domaine alternatif.
8. Le service client place ensuite en mmoire cache le nom du contrleur de
domaine et les informations relatives aux services qu'il offre. Les requtes
suivantes du client utilisent les informations places dans la mmoire cache.
Remarque Pour plus d'informations sur le recouvrement de site, reportez-vous
la rubrique Comment les ordinateurs clients utilisent le systme DNS pour
localiser des contrleurs et services de domaine de la page d'annexe du
module 2 sur le CD-ROM du stagiaire.
36
Application pratique : Vrification des enregistrements SRV

Objectifs
Dans cette application pratique, vous allez analyser les enregistrements SRV
enregistrs par votre contrleur de domaine l'aide de la console DNS.
Scnario
Vous venez de crer un domaine enfant sur votre rseau. Vous souhaitez
vrifier que votre contrleur de domaine a enregistr ses enregistrements de
ressources SRV avec Active Directory.
! Afficher les enregistrements de ressources SRV enregistrs par votre

1. Ouvrez une session en tant que Corpx\Administrateur avec le mot de

passe P@ssw0rd
2. Cliquez sur Ne pas afficher cette page lors de l'ouverture de la session,
puis fermez la page Grer votre serveur.
3. Cliquez sur Dmarrer, slectionnez Outils d'administration, puis cliquez
sur Stratgie de scurit du contrleur de domaine.
4. Dans l'arborescence de la console, dveloppez Stratgies locales, puis
cliquez sur Attributions des droits utilisateurs.
5. Dans le volet de dtails, double-cliquez sur Permettre l'ouverture d'une
session locale.
6. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur Ajouter un utilisateur ou un groupe.
7. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, tapez
Nwtraders\Nom_OrdinateurUser (o Nom_Ordinateur est le nom de
l'ordinateur sur lequel vous travaillez), puis cliquez sur OK.
8. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur OK.
9. Cliquez sur Dmarrer, sur Excuter, tapez gpupdate et cliquez sur OK.
10. Fermez la session, puis ouvrez-la en tant que
Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd.
37
11. Dans le menu Outil d'administration, pointez sur DNS, appuyez sur la
touche Maj et maintenez-la enfonce, cliquez avec le bouton droit, puis
cliquez sur Excuter en tant que.
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
13. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur
L'ordinateur suivant, tapez LONDON et cliquez sur OK.
14. Dveloppez London, dveloppez Zones de recherche directes, dveloppez
nwtraders.msft, puis ouvrez les dossiers suivants dans le dossier corpx
pour afficher les enregistrements de ressources SRV qui ont t enregistrs :
_msdcs
_sites
_tcp
_udp
15. Fermez la console DNS.
38
Leon : Augmentation des niveaux fonctionnels de la

fort et du domaine

Introduction
Les fonctionnalits des forts et des domaines dterminent quelles sont les
fonctionnalits actives d'Active Directory. Cette leon prsente ces
fonctionnalits et explique comment augmenter les fonctionnalits des forts ou
des domaines.
!
dcrire les fonctionnalits des forts et des domaines ;
dcrire les conditions requises pour augmenter les niveaux fonctionnels des
forts et des domaines ;
augmenter le niveau fonctionnel des forts et des domaines.
39
Dfinition des fonctionnalits des forts et des domaines

Introduction
Sous Windows Server 2003, les fonctionnalits des forts et des domaines
offrent un moyen d'activer les fonctionnalits Active Directory tendues
l'chelle de la fort ou du domaine dans votre environnement rseau. Selon
votre environnement, diffrents niveaux de fonctionnalit de fort et de
fonctionnalit de domaine sont disponibles.
Dfinition de la
fonctionnalit de
domaine
La fonctionnalit de domaine active des fonctionnalits qui auront un impact

sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux
fonctionnels de domaine sont disponibles :
!
Windows 2000 mixte. Il s'agit du niveau fonctionnel par dfaut. Vous

pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000
mode natif ou Windows Server 2003. Les domaines en mode mixte peuvent
contenir des contrleurs secondaires de domaine Windows NT 4.0 mais ne
peuvent pas utiliser les fonctionnalits de groupes de scurit universels,
d'imbrication de groupes ni d'historique SID (Security IDentifier).
Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le

domaine contient uniquement des contrleurs de domaine Windows 2000
et Windows Server 2003. Bien que les contrleurs de domaine excutant
Windows 2000 Server ne connaissent pas la fonctionnalit de domaine, les
fonctionnalits Active Directory (groupes de scurit universels, imbrication
des groupes et d'historique SID, par exemple) sont disponibles.
Windows 2003 Server. Il s'agit du niveau fonctionnel le plus lev pour un

domaine. Vous pouvez l'utiliser uniquement si tous les contrleurs de
domaine du domaine excutent Windows Server 2003. Toutes les
fonctionnalits Active Directory pour le domaine sont disponibles.
Windows 2003 version prliminaire. Il s'agit d'un niveau fonctionnel

particulier qui prend en charge les contrleurs de domaine Windows NT 4.0
et Windows 2003 Server.
40
Dfinition de la
fonctionnalit de fort
La fonctionnalit de fort active les fonctionnalits travers tous les domaines

de votre fort. Deux niveaux fonctionnels de fort sont disponibles :
Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au
niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel
de la fort vers Windows Server 2003 afin d'activer des fonctionnalits qui ne
sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
!
Les approbations de fort
Une rplication accrue
Remarque Pour obtenir une liste exhaustive des fonctionnalits actives pour
chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la
rubrique Fonctionnalit des domaines et des forts , en ligne, dans Aide et
Support.
Important Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de
la fort aprs l'avoir augment.
41
Conditions requises pour activer les nouvelles fonctionnalits de

Windows Server 2003

Introduction
Outre les fonctionnalits de base d'Active Directory sur les contrleurs de

domaine individuels, de nouvelles fonctionnalits Active Directory tendues
la fort et au domaine sont disponibles lorsque certaines conditions sont
satisfaites.
Conditions requises pour

activer de nouvelles
fonctionnalits tendues
au domaine
Pour activer les nouvelles fonctionnalits tendues au domaine, tous les

contrleurs de domaine du domaine doivent excuter Windows Server 2003,
et le niveau fonctionnel du domaine doit tre lev au niveau Windows
Server 2003. Pour ce faire, vous devez tre un administrateur de domaine.
Conditions requises pour

activer de nouvelles
fonctionnalits tendues
la fort
Pour activer les nouvelles fonctionnalits tendues la fort, tous les

contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le
niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003.
Pour ce faire, vous devez tre un administrateur d'entreprise.
42
Comment augmenter le niveau fonctionnel

Introduction
En augmentant les fonctionnalits de la fort et du domaine vers

Windows Server 2003, vous activez certaines fonctionnalits (approbations de
fort, par exemple) qui ne sont pas disponibles d'autres niveaux fonctionnels.
Vous pouvez augmenter les fonctionnalits de la fort ou du domaine en
utilisant Domaines et approbations Active Directory.
Procdure
d'augmentation du
niveau fonctionnel
du domaine
Pour augmenter le niveau fonctionnel du domaine, procdez comme suit :

1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine dont vous souhaitez augmenter le niveau fonctionnel, puis
cliquez sur Augmenter le niveau fonctionnel du domaine.
3. Dans la bote de dialogue Slectionner un niveau fonctionnel du domaine
disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.
Procdure
d'augmentation du
niveau fonctionnel
de la fort
Pour augmenter le niveau fonctionnel de la fort, procdez comme suit :

1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur Domaine et approbations Active
Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort.
2. Dans la bote de dialogue Slectionner un niveau fonctionnel de la fort
disponible, slectionnez Windows Server 2003, puis cliquez sur
Augmenter.
Remarque Vous devez augmenter le niveau fonctionnel de tous les domaines
d'une fort vers Windows 2000 natif ou suprieur avant de pouvoir augmenter
celui de la fort.
43
Application pratique : Augmentation du niveau fonctionnel du

domaine

Objectifs
Dans cette application pratique, vous allez augmenter le niveau fonctionnel du

domaine de Windows 2000 mixte vers Windows Server 2003.
Scnario
Vous venez de crer un domaine enfant en installant Active Directory sur votre
ordinateur Windows Server 2003. Vous allez prparer les approbations entre
forts en augmentant le niveau fonctionnel de votre domaine.
! Augmenter le niveau fonctionnel de votre contrleur de domaine de

Windows 2000 mixte vers Windows Server 2003
1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le

2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Analysez le niveau fonctionnel de votre domaine, puis augmentez-le au
niveau Windows Server 2003.
4. Fermez Domaines et approbations Active Directory.
44
Leon : Cration de relations d'approbation

Introduction
Active Directory propose une scurit travers plusieurs domaines et forts en

utilisant des approbations de domaine et de fort. Cette leon explique les types
d'approbations, leur fonctionnement et la mthode de cration, de vrification et
d'annulation des relations d'approbation.
!
dcrire les types d'approbations que vous pouvez tablir entre les domaines ;
expliquer la finalit des objets Domaine approuv ;
dcrire le fonctionnement des approbations dans une fort ;
dcrire le fonctionnement des approbations entre les forts ;
crer une approbation ;
vrifier et refuser une approbation.
45
Types d'approbations

Introduction
Les approbations sont des mcanismes qui permettent un utilisateur

authentifi dans son propre domaine d'accder aux ressources de tous les
domaines approuvs. Dans Windows Server 2003, il existe deux types
d'approbations : transitives et non transitives.
Approbations
transitives/non
transitives
Dans une approbation transitive, la relation d'approbation tendue un domaine

est automatiquement tendue tous les autres domaines qui approuvent ce
domaine. Par exemple, le domaine D approuve directement le domaine E, qui
approuve directement le domaine F. Etant donn que les deux approbations sont
transitives, le domaine D approuve indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant
est un bon exemple d'approbation. Les approbations non transitives ne sont pas
automatiques et peuvent tre configures. Par exemple, une approbation non
transitive peut tre externe, comme l'approbation entre deux domaines de deux
forts distinctes.
Direction de
l'approbation
Dans Windows Server 2003, il existe trois directions d'approbation :

unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un
domaine B, vous avez configur une approbation unidirectionnelle entrante
entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent tre
authentifis dans le domaine Q. Si vous avez configur une approbation
unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs
du domaine Q peuvent tre authentifis dans le domaine B. Dans une
approbation bidirectionnelle, les deux domaines peuvent authentifier les
utilisateurs de l'autre domaine.
46
Types d'approbations
Windows Server 2003 prend en charge les types d'approbation suivants, dans
les catgories transitives et non transitives.
Type
Transitivit
A utiliser si vous souhaitez
Raccourcie
Partiellement
transitive
Rduire les sauts de l'authentification Kerberos.
Fort
Partiellement
transitive
Activer l'authentification entre les forts.
Externe
Non transitive
Configurer une relation d'approbation entre un

domaine d'une fort et un domaine d'une autre
fort.
Domaine
Transitive ou non
transitive, au
choix de
l'utilisateur
Approuver un domaine Kerberos externe.
Le type d'approbation domaine ( realm , en anglais) reprsente un ensemble

de principes de scurit dans un environnement non-Windows faisant l'objet
d'une authentification Kerberos.
Remarque Pour plus d'informations sur les domaines Kerberos, reportez-vous
la rubrique Interfonctionnement avec les implmentations RFC-1510
Kerberos en ligne, dans Aide et Support.
Les approbations raccourcies sont partiellement transitives car la transitivit de
l'approbation est uniquement tendue vers le bas de la hirarchie partir du
domaine approuv, et non vers le haut de la hirarchie. Par exemple, s'il existe
une approbation raccourcie entre le domaine E et le domaine A, Active
Directory tend l'approbation vers le domaine enfant (le domaine C), mais pas
vers le haut de la hirarchie vers le domaine racine de la fort. Les utilisateurs
du domaine E ne peuvent accder qu'aux ressources du domaine racine de la
fort par l'intermdiaire de l'approbation parent/enfant avec le domaine D et de
l'approbation arborescence/racine que le domaine D entretient avec le domaine
racine de la fort.
Les approbations de fort ne sont galement que partiellement transitives car
elles peuvent uniquement tre cres entre deux forts et ne peuvent pas tre
implicitement tendues une troisime fort. Par exemple, si la fort 1 approuve
la fort 2, et que la fort 2 approuve la fort 3, les domaines des forts 1 et 2
approuvent respectivement de manire transitive les domaines des forts 2 et 3.
Toutefois, la fort 1 n'approuve pas de manire transitive la fort 3.
47
Dfinition des objets du domaine approuv

Introduction
Lorsque vous configurez des approbations entre domaines de la mme fort,

entre des forts ou avec un domaine externe, les informations relatives ces
approbations sont stockes dans Active Directory de sorte qu'elles, puissent tre
extraites au moment voulu.
Objets du domaine
approuv
Chaque relation d'approbation d'un domaine est reprsente par un objet connu
sous le nom d'objet Domaine approuv (TDO, Trusted Domain Object). Le
TDO stocke des informations relatives l'approbation, comme sa transitivit ou
son type. A chaque cration d'une approbation, un TDO est cr et stock dans
le conteneur System du domaine de l'approbation.
Les TDO d'approbation de fort stockent des informations supplmentaires
permettant d'identifier la totalit des espaces de noms approuvs partir de la
fort de son partenaire. Lorsque vous crez une approbation de fort, chaque fort
rassemble tous les espaces de noms approuvs dans la fort de son partenaire et
stocke les informations dans un TDO. Ces informations contiennent :
!
les noms d'arborescence de domaine ;
les suffixes du nom principal du service (SPN, Service, Principal Name) ;
les espaces de noms de l'identificateur de scurit (SID) ;
Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est
excut un service.
Lorsqu'un poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.
48
Comment fonctionnent les approbations dans une fort

Introduction
Comment les
approbations permettent
aux utilisateurs
d'accder aux
ressources d'une fort
Les approbations permettent aux utilisateurs d'un domaine d'accder aux

ressources d'un autre domaine. Les relations d'approbation peuvent tre
transitives ou non transitives.
Lorsqu'un utilisateur tente d'accder une ressource d'un autre domaine, le
protocole d'authentification Kerberos version 5 doit dterminer si le domaine
approuver (c'est--dire le domaine qui contient la ressource laquelle tente
d'accder l'utilisateur) possde une relation d'approbation avec le domaine
approuv (c'est--dire le domaine dans lequel l'utilisateur tente d'ouvrir une
session).
Pour dterminer cette relation, le protocole Kerberos version 5 suit le chemin
d'approbation en utilisant le TDO afin d'obtenir une rfrence au contrleur de
domaine du domaine cible. Le contrleur de domaine cible met un ticket de
service pour le service demand. Le chemin d'approbation est le chemin d'accs
le plus court dans la hirarchie d'approbation.
Lorsqu'un utilisateur du domaine approuv tente d'accder aux ressources d'un
autre domaine, son ordinateur contacte d'abord le contrleur de domaine de son
domaine afin d'obtenir l'authentification pour la ressource. Si la ressource ne se
trouve pas dans le domaine de l'utilisateur, le contrleur de domaine utilise la
relation d'approbation avec son parent et renvoie l'ordinateur de l'utilisateur vers
un contrleur de domaine de son domaine parent.
Cette tentative de localisation de la ressource se poursuit jusqu'au sommet de
la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la
hirarchie tant qu'un contact n'est pas tablit avec un contrleur de domaine du
domaine dans lequel se trouve la ressource.
49
Comment fonctionnent les approbations entre les forts

Introduction
Windows Server 2003 prend en charge les approbations entre forts, qui
permettent aux utilisateurs d'accder aux ressources d'une autre fort.
Lorsqu'un utilisateur tente d'accder aux ressources d'une fort approuve,
Active Directory doit pralablement rechercher les ressources. Une fois que les
ressources ont t localises, l'utilisateur peut tre authentifi et autoris
accder aux ressources. Si vous comprenez bien le fonctionnement de ce
processus, vous serez mme de rsoudre les problmes susceptibles de
survenir avec les approbations entre forts.
Comment s'effectue
l'accs une ressource
Ci-dessous une description de la manire dont un ordinateur client

Windows 2000 Professional ou Windows XP Professional recherche et accde
aux ressources d'une autre fort dote de serveurs Windows 2000 Server ou
1. Un utilisateur qui a ouvert une session sur le domaine
vancouver.nwtraders.msft tente d'accder un dossier partag de la fort
contoso.msft. L'ordinateur de l'utilisateur contacte le KDC d'un contrleur
de domaine de vancouver.nwtraders.msft et demande un ticket de service en
utilisant le SPN de l'ordinateur sur lequel rsident les ressources. Un SPN
peut tre le nom DNS d'un hte ou d'un domaine, ou le nom unique d'un
objet point de connexion de service.
2. Les ressources ne sont pas localises dans vancouver.nwtraders.msft, le
contrleur de domaine de vancouver.nwtraders.msft demande donc au
catalogue global de voir si elles se trouvent dans un autre domaine de la
fort.
Etant donn qu'un catalogue global ne contient que des informations
relatives sa propre fort, il ne trouve pas le SPN. Il recherche alors dans sa
base de donnes les informations relatives des approbations de fort qui
ont t tablies avec sa fort. S'il en trouve une, il compare les suffixes de
noms rpertoris dans le TDO de l'approbation de fort par rapport au
suffixe du SPN cible. S'il trouve une correspondance, le catalogue global
fournit les informations de routage relatives la manire de localiser les
ressources au contrleur de domaine de vancouver.nwtraders.msft.
50
3. Le contrleur de domaine de vancouver.nwtraders.msft envoie une

rfrence son domaine parent, nwtraders.msft, l'ordinateur de
l'utilisateur.
4. L'ordinateur de l'utilisateur contacte un contrleur de domaine de
nwtraders.msft pour obtenir une rfrence un contrleur de domaine
du domaine racine de la fort contoso.msft.
5. Grce la rfrence renvoye par le contrleur de domaine de
nwtraders.msft, l'ordinateur de l'utilisateur contacte un contrleur de
domaine de la fort contoso.msft pour obtenir un ticket de service pour le
service demand.
6. Les ressources ne se trouvent pas dans le domaine racine de la fort
contoso.msft, le contrleur de domaine contacte donc son catalogue global
pour trouver le SPN. Le catalogue global trouve une correspondance pour le
SPN et l'envoie au contrleur de domaine.
7. Le contrleur de domaine envoie une rfrence seattle.contoso.msft
l'ordinateur de l'utilisateur.
8. L'ordinateur de l'utilisateur contacte le KDC sur le contrleur de domaine de
seattle.contoso.msft et ngocie un ticket pour l'utilisateur afin de pouvoir
accder aux ressources du domaine seattle.contoso.msft.
9. L'ordinateur de l'utilisateur envoie le ticket de service l'ordinateur sur
lequel se trouvent les ressources partages, qui lit les informations
d'identification de scurit et cre un jeton d'accs permettant l'utilisateur
d'accder aux ressources.
Remarque Les approbations entre forts permettent aux utilisateurs d'une fort
d'accder aux ressources d'une autre fort. Active Directory protge les
approbations entre forts grce au filtrage SID. Pour obtenir des informations
relatives au filtrage SID, reportez-vous la rubrique Comment fonctionnent
les approbations entre les forts de la page d'annexe du module 2 sur le
51
Comment crer des approbations

Introduction
Vous pouvez utiliser Domaines et approbations Active Directory pour crer des
relations d'approbation entre des forts ou entre des domaines de la mme fort.
Vous pouvez galement l'utiliser pour crer des approbations raccourcies.
Avant de crer une relation de fort, vous devez crer une zone secondaire de
recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le
serveur DNS d'une autre fort. La cration de zones secondaires de recherche
inverse garantit que le contrleur de domaine de la fort dans laquelle vous
crez une approbation de fort est mme de localiser un contrleur de
domaine de l'autre fort et de dfinir une relation d'approbation.
Procdure
Pour crer une approbation, procdez comme suit :

2. Dans l'arborescence de la console, suivez l'une des tapes ci-dessous.
Pour crer une approbation de fort, cliquez avec le bouton droit sur le
nud de domaine du domaine racine de la fort, puis cliquez sur
Proprits.
Pour crer une approbation raccourcie, cliquez avec le bouton droit sur
le nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation raccourcie, puis cliquez sur Proprits.
Pour crer une approbation externe, cliquez avec le bouton droit sur le
nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation, puis cliquez sur Proprits.
Pour crer une approbation de domaine, cliquez avec le bouton droit sur
le nud de domaine du domaine que vous souhaitez administrer, puis
cliquez sur Proprits.
3. Dans l'onglet Approbation, cliquez sur Nouvelle approbation, puis sur
Suivant.
4. Dans la page d'accueil de l'Assistant Nouvelle approbation, cliquez sur
Suivant.
52
5. Sur la page Nom d'approbation, suivez l'une des tapes ci-dessous.

Si vous crez une approbation de fort, tapez le nom DNS de la
deuxime fort, puis cliquez sur Suivant.
Si vous crez une approbation raccourcie, tapez le nom DNS du
domaine, tapez et confirmez le mot de passe de l'approbation, puis
Si vous crez une approbation externe, tapez le nom DNS du domaine,
Si vous crez une approbation de domaine, tapez le nom DNS du
domaine cible, puis cliquez sur Suivant.
6. Sur la page Type d'approbation, suivez l'une des tapes suivantes :
Si vous crez une approbation de fort, cliquez sur Approbation de
fort, puis sur Suivant.
Si vous crez une approbation raccourcie, passez l'tape 7.
Si vous crez une approbation externe, cliquez sur Approbation
externe, puis sur Suivant.
Si vous crez une approbation de domaine, cliquez sur Approbation de
domaine, puis sur Suivant. Sur la page Transitivit de l'approbation,
suivez l'une des tapes suivantes :
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Non transitif, puis sur Suivant.
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Transitif, puis sur Suivant.
7. Dans la page Direction de l'approbation, suivez l'une des tapes
ci-dessous.
Pour crer une approbation bidirectionnelle, cliquez sur Bidirectionnel,
puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle entrante, cliquez sur
Sens unique : en entre, puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle sortante, cliquez sur
Sens unique : en sortie, puis suivez les instructions de l'Assistant.
53
Comment vrifier et rvoquer une approbation

Introduction
Lorsque vous crez des approbations non transitives, vous devez parfois
vrifier et rvoquer les chemins d'approbation que vous avez crs. Vous
vrifiez une approbation afin de vous assurer qu'elle peut valider les demandes
d'authentification provenant d'autres domaines. Vous rvoquez une approbation
pour viter que le chemin d'authentification ne soit utilis lors d'une
authentification. Vous pouvez utiliser Domaines et approbations Active Directory
ou la commande netdom pour vrifier et rvoquer les chemins d'approbation.
Procdure de
vrification des
approbations
Pour vrifier une approbation l'aide de Domaines et approbations Active

Directory, excutez la procdure suivante :
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez vrifier, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
vrifier, puis sur Proprits.
3. Cliquez sur Valider, puis sur Non, ne pas valider l'approbation entrante.
4. Reprenez les tapes 1 3 afin de vrifier l'approbation de l'autre domaine de
la relation.
Pour vrifier une approbation l'aide de la commande netdom, conformezvous l'tape ci-dessous :
!
A l'invite, tapez la commande suivante et appuyez sur ENTRE.

NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Verify
54
Procdure de rvocation
des approbations
Pour rvoquer une approbation l'aide de Domaines et approbations Active

Directory, excutez la procdure suivante :
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez refuser, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
refuser, puis sur Supprimer.
3. Reprenez les tapes 1 et 2 afin de rvoquer l'approbation de l'autre domaine
de la relation d'approbation.
Pour rvoquer une approbation l'aide de la commande netdom, conformezvous l'tape ci-dessous :
!
A l'invite, tapez la commande suivante et appuyez sur ENTRE.

NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Remove
55
Application pratique : Cration d'une approbation raccourcie

Objectifs
Dans cette application pratique, vous allez crer et valider une approbation
raccourcie entre votre domaine et un autre domaine de votre fort.
Scnario
Vous avez cr un domaine enfant dans la fort nwtraders.msft. Les

responsables des ventes d'un autre domaine doivent accder aux ressources
commerciales de votre domaine, et inversement. Vous devez dfinir une
approbation raccourcie bidirectionnelle entre les domaines.
Instructions
Vous allez travailler avec un partenaire que va vous attribuer votre instructeur.
Vous allez crer l'approbation raccourcie entre votre domaine et celui de votre
partenaire.
Application pratique :
Cration de
l'approbation raccourcie
! Crer l'approbation raccourcie

1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd
2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Crez une approbation bidirectionnelle vers le domaine de votre partenaire.
Utilisez le mot de passe P@ssw0rd de l'approbation et acceptez les
slections par dfaut.
56
Validation de
l'approbation raccourcie
! Valider l'approbation raccourcie

1. Dans l'onglet Approbation de la page Proprits, cliquez sur l'approbation
que vous avez cre avec le domaine de votre partenaire, puis cliquez sur
Proprits.
2. Sur la page Proprits, cliquez sur Valider.
3. Cliquez sur Non, ne pas valider l'approbation entrante, puis sur OK.
Si l'approbation est valide, un message de validation s'affiche. Si vous
procdez un test de validation avant que votre partenaire ait dfini une
approbation raccourcie bidirectionnelle avec votre domaine, vous allez
recevoir un message.
4. Fermez toutes les botes de dialogue, puis fermez Domaines et approbations
Active Directory.
57
Atelier A : Implmentation d'Active Directory

Objectifs
Connaissances
pralables
Scnario
Dure approximative
de cet atelier :
60 minutes
la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
!
supprimer un domaine enfant d'Active Directory ;
crer un domaine racine de la fort ;
vrifier les niveaux fonctionnels de la fort et du domaine ;
augmenter le niveau fonctionnel d'un domaine et d'une fort ;
crer un domaine enfant dans une fort existante ;
crer et vrifier des approbations de fort.
Avant de commencer cet atelier, vous devez avoir :

!
des connaissances relatives aux composants qui constituent la structure

logique et physique d'Active Directory ;
des connaissances relatives au fonctionnement des zones intgres Active

Directory et au systme DNS ;
des connaissances relatives aux niveaux fonctionnels de la fort ;
des connaissances relatives aux approbations de fort.
Vous tes un ingnieur systme de la socit Northwind Traders. Suite une

srie de fusions avec plusieurs socits de plus petite taille, Northwind Traders
a dcid de consolider son infrastructure Active Directory. Les organisations
individuelles doivent grer leur structure Active Directory, et tre cependant en
mesure de communiquer avec toutes les filiales. Vous allez fournir
l'infrastructure ncessaire la prise en charge de ces objectifs grce plusieurs
forts et approbations, le cas chant, entre elles.
58
Exercice 1
Suppression d'un domaine enfant d'Active Directory
Dans cet exercice, vous allez supprimer Active Directory de votre contrleur de domaine afin de
prparer la cration d'une structure de fort et de domaine Active Directory.
Scnario
Northwind Traders doit implmenter Active Directory diffrents emplacements. L'quipe de
gestion informatique (IT) a demand aux ingnieurs d'implmenter Active Directory en utilisant des
forts spares. Vous allez travailler de manire indpendante en tant qu'administrateur local du
bureau auquel vous avez t affect. Vous allez crer un domaine racine de la fort et un domaine
enfant Active Directory grce aux serveurs prsents sur votre site. Mais en premier lieu, vous devez
rtrograder votre contrleur de domaine.
Tches
1.
2.
Instructions spcifiques
Supprimer Active Directory

de votre contrleur de
domaine.
a.
Vrifier qu'Active Directory

a t supprim de votre
serveur.
a.
Ouvrez une session an tant que Nwtraders\Nom_OrdinateurUser.
b. Utilisez Excuter en tant que pour lancer une invite de commande et
excutez dcpromo en tant que Nwtraders\Administrateur.

Ouvrez une session en tant qu'Administrateur avec le mot de passe
P@ssw0rd.
b. Vrifiez que les partages NETLOGON et SYSVOL n'existent plus.
Exercice 2
Cration d'un domaine racine de la fort Active Directory
Dans cet exercice, vous allez travailler avec un partenaire afin de crer votre fort Active Directory.
L'un de vous deux va crer le domaine racine de la fort et l'autre un domaine enfant.
Scnario
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un environnement
administratif polyvalent. En tant que filiale rgionale de Northwind Traders, vous devez coordonner
vos efforts avec la filiale de votre pays. L'une des filiales va crer le domaine racine de la fort et
l'autre un domaine enfant dans la nouvelle fort. Le domaine racine de la fort doit tre cr avant
que le domaine enfant, puisse rejoindre la fort. Vous devez coordonner vos efforts avec l'autre
filiale pour tre sr que la procdure approprie est ralise au moment opportun.
Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.
Nom de l'ordinateur
Vancouver
Nwtraders1.msft
Denver
Perth
Nwtraders2.msft
Brisbane
Lisbon
Nwtraders3.msft
Bonn
Lima
Nwtraders4.msft
Santiago
Bangalore
Nwtraders5.msft
Singapore
Casablanca
Nwtraders6.msft
Tunis
Acapulco
Nwtraders7.msft
Miami
Auckland
Nwtraders8.msft
Suva
Stockholm
Nwtraders9.msft
Moscow
Caracas
Nwtraders10.msft
Montevideo
Manila
Corp10.Ntraders10.msft.
Nwtraders11.msft
Tokyo
Khartoum
Nairobi
Domaine enfant
Nwtraders12.msft
59
60
Tches
1.
Crer un domaine racine de

la fort.
a.
Reportez-vous au tableau pour vos attributions de domaine.
b. Ouvrez une session sur votre serveur en tant qu'Administrateur avec
le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.

Vous devez installer le systme DNS en utilisant l'Assistant
Installation de Active Directory. Le service de rsolution DNS du
contrleur de domaine racine doit pointer sur London.
2.
Crer deux comptes

d'utilisateurs des fins
de connexion.
3.
Vrifier la cration de
la nouvelle fort.
"
Crez Nom_OrdinateurUser pour chaque ordinateur de la fort.
61
Exercice 3
Cration d'un domaine enfant Active Directory
Dans cet exercice, vous allez terminer la cration de la fort Active Directory en crant un domaine
enfant l'intrieur de la racine de la fort.
Scnario
En tant qu'entreprise sur de la racine de la fort nouvellement cre, vous allez terminer la fort
en crant le premier domaine enfant. Ne suivez pas cette procdure tant que vous n'avez pas vrifi,
avec votre partenaire, que le domaine racine de la fort a t configur et qu'il fonctionne.
Tches
1.
Crer un domaine enfant.
"
Ouvrez une session sur votre ordinateur local en tant

qu'Administrateur avec le mot de passe P@ssw0rd
Le service de rsolution DNS du contrleur du domaine enfant
doit pointer sur le contrleur du domaine racine de la fort.
2.
Vrifier l'installation du
nouveau domaine enfant.
62
Exercice 4
Augmentation du niveau fonctionnel du domaine et de la fort
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Scnario
Northwind Traders prpare son environnement d'approbations entre forts, que l'quipe
informatique va implmenter ultrieurement. Avant d'implmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit d'approbation de fort.
Tches
1.
Augmenter le niveau
fonctionnel du domaine.
"
Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser

(o x est le numro du domaine que votre instructeur vous a attribu)
avec le mot de passe P@ssw0rd.
2.
Augmenter le niveau
fonctionnel de la fort.
"
Vous devez augmenter le niveau en utilisant uniquement un membre de

la fort.
63
Exercice 5
Cration d'une approbation de fort
Dans cette exercice, vous allez crer une approbation de fort bidirectionnelle avec les forts
nwtraders.msft.
Scnario
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
l'augmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer l'approbation requise avec laquelle
activer les communications et l'accs aux ressources entre votre fort et la fort de la socit.
Tches
1.
Configurer la redirection
DNS.
"
Effectuez cette tche sur le contrleur du domaine racine de la fort.
2.
Crer une approbation entre

la fort de la classe et la
vtre, puis vrifier que
l'approbation a t cre.
"
Effectuez cette tche sur le contrleur du domaine enfant.
THIS PAGE INTENTIONALLY LEFT BLANK
de la structure d'une unit
d'organisation
Table des matires
Vue d'ensemble
Leon : Cration et gestion d'units

d'organisation
Leon : Dlgation du contrle

administratif des units d'organisation
14
Leon : Planification d'une stratgie

d'unit d'organisation
25
Atelier A : Implmentation de la
structure d'une unit d'organisation
36
iii
Prsentation :
90 minutes
Atelier :
45 minutes
Objectifs
Documents de cours
Ce module explique comment crer et grer des units d'organisation, dlguer

des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.

suivantes :
!
crer et grer des units d'organisation ;
dlguer le contrle d'une unit d'organisation ;
planifier la stratgie d'une unit d'organisation.
Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint

2194A_03.ppt.
Prparation

!

raliser l'atelier ;
lire les rubriques dans Aide et Support de Microsoft

Windows Server 2003 : propos des outils de ligne de commande
du service d'annuaire, y compris Dsadd, Dsmod, Dsrm et Ldifde.
iv

ce module.
connaissances.
Procdures,
applications
pratiques et ateliers

Procdures
Ateliers
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
du module.
Leon : Cration et gestion d'units d'organisation

Cette leon traite des connaissances et des comptences requises pour crer et
grer des units d'organisation.
La rubrique Mthodes de cration et de gestion des units d'organisation dcrit
plusieurs outils de ligne de commande prsents dans le Module 1. Comparez
les outils lorsque vous prsentez la rubrique.
Aprs avoir montr comment utiliser Dsadd, Dsmod et Dsrm, indiquez
aux stagiaires qu'ils trouveront en annexe des exemples supplmentaires
d'utilisation des outils de service d'annuaire pour grer des units d'organisation.
Lorsque vous prsentez la rubrique Comment crer et grer des units
d'organisation l'aide de l'outil Ldifde, montrez comment crer un fichier
d'entre que vous utiliserez ensuite pour crer une unit d'organisation.
la fin de la leon, demandez aux stagiaires de crer des units d'organisation

dans le domaine que leur ordinateur hberge.
Leon : Dlgation du contrle administratif des units

d'organisation
Cette leon traite des connaissances et des comptences requises pour dlguer
des tches d'administration dans Active Directory.
Les rubriques Qu'est-ce que la dlgation de privilges administratifs ? et
Tches d'administration pour units d'organisation contiennent des informations
gnrales. Utilisez ces rubriques pour rvision.
Lorsque vous prsenterez les rubriques Comment dlguer le contrle
administratif, Comment personnaliser le contrle administratif dlgu et
Comment vrifier la dlgation d'un contrle administratif, montrez comment
effectuer ces tches. Indiquez aux stagiaires les annexes consulter pour plus
d'informations sur l'utilisation des quotas.
la fin de la leon, demandez aux stagiaires de dlguer le contrle de tches

d'administration courantes pour diverses units d'organisation.
vi
Leon : Planification d'une stratgie d'unit d'organisation

Cette leon traite des connaissances et des comptences requises pour planifier
la stratgie d'une unit d'organisation en fonction des besoins d'une
organisation.
Lorsque vous prsentez la rubrique Processus de planification d'une unit
d'organisation, ne donnez pas de dtails sur la manire de documenter la
structure d'une organisation. Il s'agit d'une tche complexe et il suffit que les
stagiaires aient conscience que cette tche doit tre effectue.
la fin de la leon, demandez aux stagiaires de planifier la structure d'une unit

d'organisation pour Northwind Traders. Les stagiaires travailleront par deux.
Affectez un numro chacun des groupes ainsi forms. Ils implmenteront
cette structure dans le cadre de l'atelier.
Atelier A : Implmentation de la structure d'une unit d'organisation

Avant de commencer l'atelier, vrifiez que les stagiaires ont termin
l'application pratique Planification de la structure d'une unit d'organisation.
Ils implmenteront cette structure dans le cadre de l'atelier. Les stagiaires qui
n'ont pas termin l'application pratique de planification pourraient prouver des
difficults raliser le travail en atelier.
la fin de l'atelier, indiquez aux stagiaires combien il est important de
documenter l'excution d'une administration Active Directory avant de planifier
la structure d'une unit d'organisation. Faites remarquer que bien qu'il soit facile
de planifier la structure d'une unit d'organisation en se basant uniquement
sur des considrations gographiques ou la structure de l'entreprise, il faut
davantage de temps et d'efforts pour planifier une structure organisationnelle
qui simplifie l'administration d'Active Directory.
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit

configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, effectuez les
ateliers du Module 2, Implmentation d'une structure de fort et de domaine
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft
vii
En outre, cet atelier requiert la structure d'unit d'organisation suivante :

!
Nom_Ordinateur
IT
Sales
HR
Remarque Sur l'ordinateur de chaque stagiaire, remplacez Nom_Ordinateur
par le nom de l'ordinateur de stagiaire sur lequel les units d'organisation
sont cres.
Pour prparer les ordinateurs des stagiaires remplir cette condition, vrifiez
que les stagiaires ont effectu l'application pratique Cration d'units
d'organisation de ce module.
ci-dessous.
!
Elle cre les units d'organisation suivantes dans le domaine de chaque

stagiaire :
Nom_Ordinateur
Accounting
Research
Elle cre les groupes suivants dans l'unit d'organisation relative au service
informatique IT (Information Technology) :
DL AccountingAdmins
DL ResearchAdmins
Chaque groupe rpertori ci-dessus se voit dlguer le contrle de l'unit

d'organisation associe au groupe.
Vue d'ensemble

Introduction
Ce module explique comment crer et grer des units d'organisation, dlguer

des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.
Objectifs

!
crer et grer des units d'organisation ;
dlguer le contrle d'une unit d'organisation ;
planifier la stratgie d'une unit d'organisation.
Leon : Cration et gestion d'units d'organisation

Introduction
Cette leon prsente les outils de ligne de commande et les composants

logiciels enfichables MMC (Microsoft Management Console) permettant la
cration et la gestion d'units d'organisation. Elle apporte galement les
comptences requises pour crer, modifier et supprimer des units
d'organisation.
!
dcrire le cycle de vie d'units d'organisation ;
dcrire les mthodes de cration d'units d'organisation ;
grer des units d'organisation l'aide d'outils de ligne de commande de

services d'annuaire ;
grer des units d'organisation l'aide de l'outil de ligne de commande

Ldifde ;
crer des units d'organisation partir de l'environnement d'excution de

scripts Windows.
Prsentation de la gestion des units d'organisation

Introduction
Les units d'organisation sont les conteneurs du service d'annuaire Active

Directory que vous utilisez pour placer des utilisateurs, des groupes, des
ordinateurs et d'autres units d'organisation. L'utilisation d'units d'organisation
vous permet de crer des conteneurs dans un domaine reprsentant les
structures hirarchique et logique de votre organisation. Vous pouvez ensuite
grer la configuration et l'utilisation de comptes et de ressources en fonction
de votre modle d'organisation. Vous pouvez, par exemple, utiliser les units
d'organisation pour appliquer automatiquement des stratgies de groupe
dfinissant des paramtres par dfaut pour les comptes d'ordinateurs et
d'utilisateurs dans Active Directory.
Cycle de vie d'units

d'organisation
Le cycle de vie des units d'organisation inclut quatre phases :

!
Planification. Vous planifiez au cours de cette phase la structure des units

d'organisation. Vous dterminez quelles units d'organisation vous allez
crer et comment vous en dlguerez le contrle administratif.
Dploiement. Vous crez au cours de cette phase la structure des units

d'organisation en fonction de leur plan.
Maintenance. Aprs avoir cr la structure des units d'organisation dans

Active Directory, vous pouvez renommer, dplacer ou modifier les units
cres en fonction des besoins permanents de l'organisation.
Suppression. Dans Active Directory, tous les objets, y compris les units
d'organisation, occupent de l'espace dans le contrleur de domaine qui
hberge Active Directory. Lorsque des units d'organisation ne sont plus
requises, vous devez les supprimer.
Remarque Pour plus d'informations sur les units d'organisation, reportez-vous

au Module 7, Administration des accs aux objets dans les units
d'organisation du cours 2144, Administration d'un environnement
Mthodes de cration et de gestion des units d'organisation

Introduction
Microsoft Windows Server 2003 fournit plusieurs composants logiciels

enfichables et outils de ligne de commande vous permettant de crer des units
d'organisation et de grer la configuration et l'utilisation de comptes et de
ressources dans le modle de votre organisation. Vous pouvez galement
utiliser l'environnement d'excution de scripts pour les plates-formes
Microsoft Windows, afin de grer des units d'organisation.
Mthodes de cration et
de gestion des units
d'organisation
La liste suivante dcrit quelques composants logiciels enfichables et outils

de ligne de commande vous permettant de crer et de grer des units
d'organisation :
!
Utilisateurs et ordinateurs Active Directory. Ce composant logiciel

enfichable MMC permet de crer, modifier et supprimer des units
d'organisation. Utilisez ce composant logiciel enfichable lorsque vous
n'avez que quelques units d'organisation grer, ou lorsque vous
souhaitez grer des units de manire interactive.
Outils de service d'annuaire. Cet ensemble d'outils de ligne de commande

permet de grer des objets et d'effectuer des requtes d'informations dans
Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod
et Dsrm. L'utilisation de ces outils avec le paramtre ou vous permet
d'ajouter, de modifier et de supprimer des units d'organisation dans
Active Directory. Vous pouvez galement utiliser des scripts et des
fichiers de commandes avec ces outils pour grer des services d'annuaire.

!
Ldifde (Lightweight Directory Access Protocol Data Interchange Format

Directory Exchange). Cet outil de ligne de commande permet de crer des
units d'organisation et d'autres objets Active Directory. Ldifde utilise un
fichier d'entre contenant des informations sur les objets ajouter, modifier
ou supprimer. Ces informations sont stockes sous la forme d'une srie
d'enregistrements, spars par une ligne vide dans un fichier d'entre.
Environnement d'excution de scripts Windows. Vous pouvez crer des

units d'organisation l'aide d'applications Windows, ou l'aide de
scripts Windows avec les composants fournis par les interfaces ADSI
(Active Directory Service Interfaces). L'utilisation de scripts vous permet
de crer des units d'organisation dans le cadre d'une configuration
d'application, le cas chant.
Comment crer et grer des units d'organisation l'aide d'outils

de service d'annuaire

Introduction
Les outils de ligne de commande Dsadd, Dsmod et Dsrm du service d'annuaire

vous permettent de crer et de grer des units d'organisation partir de l'invite
de commande. Vous pouvez galement utiliser ces commandes dans des scripts
et des fichiers de commandes.
Procdure de cration
d'une unit
d'organisation
Pour crer une unit d'organisation, excutez la commande Dsadd suivante

partir de l'invite de commande :
dsadd ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe
O :
!
NU_Unit_Organisation spcifie le nom unique de l'unit d'organisation

que vous dsirez ajouter. Par exemple, pour ajouter l'unit
SupportTechnique au domaine nwtraders.msft, le nom unique serait
ou=supporttechnique,dc=nwtraders,dc=msft.
Description spcifie la description de l'unit d'organisation que vous dsirez

ajouter.
Domaine spcifie le domaine auquel se connecter. Par dfaut, l'ordinateur

est connect au contrleur de domaine du domaine sur lequel il a ouvert
une session.

!
Nom_Utilisateur spcifie le nom d'utilisateur permettant de se connecter

un serveur distant. Par dfaut, le nom de l'utilisateur connect est utilis.
Vous pouvez spcifier un nom d'utilisateur selon l'un des formats suivants :
nom d'utilisateur (par exemple, Linda)
domaine\nom d'utilisateur (par exemple, widgets\Linda)
nom d'utilisateur principal (UPN, User Principal Name) (par exemple,
Linda@widgets.microsoft.com)
Procdure de
modification d'une unit
d'organisation
Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur
un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera
demand.
Pour modifier la description d'une unit d'organisation, excutez la commande

suivante :
dsmod ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe
Les paramtres qui sont transmis la commande dsmod sont les mmes que
ceux de la commande dsadd. La nouvelle description doit tre transmise
comme paramtre desc.
Procdure de
suppression d'une unit
d'organisation
Vous devez supprimer d'Active Directory les units d'organisation qui ne sont
plus utilises. Pour supprimer une unit d'organisation, excutez la commande
suivante :
dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur -p
Mot_de_passe
Les paramtres qui sont transmis la commande dsrm sont les mmes que
ceux de la commande dsadd. Vous pouvez utiliser les paramtres
supplmentaires suivants avec dsrm :
!
subtree. Spcifie de supprimer l'objet ainsi que tous les objets contenus dans
la sous-arborescence situe sous cet objet.
Exclude. Spcifie de ne pas supprimer l'objet de base fourni par

NU_Unit_Organisation lorsque vous supprimez la sous-arborescence
situe au-dessous. Par dfaut, seul l'objet de base spcifi est supprim.
Le paramtre Exclude ne peut tre spcifi qu'avec le paramtre subtree.
Remarque Pour plus d'informations sur l'utilisation des outils de ligne de

commande Dsadd, Dsmod et Dsrm, reportez-vous au Centre d'aide et de
support de Windows Server 2003. Pour obtenir des exemples supplmentaires
d'utilisation de ces outils de ligne de commande du service d'annuaire, reportezvous la rubrique Comment crer et grer des units d'organisation l'aide
d'outils de service d'annuaire du Module 3, dans la page des annexes sur le
Comment crer et grer des units d'organisation l'aide de

l'outil Ldifde

Introduction
L'outil de ligne de commande Ldifde vous permet de crer des units

d'organisation en mode Batch et de dfinir des hirarchies d'units
d'organisation. Vous pouvez galement utiliser Ldifde pour modifier et
supprimer des units d'organisation.
Procdure
La premire tape excuter pour utiliser cet outil consiste crer le fichier
d'entre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la
commande Ldifde.
Procdez comme suit pour crer des units d'organisation l'aide de l'outil de
ligne de commande Ldifde :
1. Crez un fichier d'entre. L'exemple suivant montre le format du fichier :
dn: OU=ExempleOU,DC=nwtraders,DC=msft
changetype: add
objectClass: organizationalUnit
Changetype dtermine le type d'opration effectue sur l'objet Active

Directory. ObjectClass spcifie la classe de l'objet Active Directory. Dans
l'exemple prcdent, Ldifde ajoute un objet d'unit d'organisation appel
ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs
units d'organisation en ajoutant d'autres entres comme celle ci-dessus.
Chaque entre dn doit tre prcde d'une ligne vide, sauf la premire.
2. Excutez Ldifde pour crer, modifier ou supprimer des units d'organisation

en entrant la commande suivante :
C:\>ldifde -i k -f OUList.ldf -b Nom_Utilisateur Domaine
Mot_de_Passe
O :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode
par dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom du fichier d'importation ou d'exportation.
OUList.ldf est le fichier d'entre.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe
associs au compte d'utilisateur qui sera utilis pour excuter l'opration
d'importation ou d'exportation.
Remarque Pour plus d'informations sur Ldifde, reportez-vous Aide et
support de Windows Server 2003.
10
Comment crer des units d'organisation l'aide de

l'environnement d'excution de scripts Windows

Introduction
ADSI est une interface de programmation d'applications (API, Application

Programming Interface) que vous utilisez partir de l'environnement
d'excution de scripts Windows pour automatiser l'administration d'Active
Directory. ADSI utilise le protocole LDAP (Lightweight Directory Access
Protocol) pour communiquer avec Active Directory. Toutes les oprations
ADSI que vous effectuez sur Active Directory respectent la mme procdure.
Vous devez tout d'abord vous connecter Active Directory. Vous pouvez
ensuite effectuer des tches, comme extraire des informations concernant des
objets, et ajouter, modifier ou supprimer des objets. Si vous apportez des
modifications Active Directory, vous devez les enregistrer dans la base de
donnes Active Directory afin qu'elles soient conserves.
Procdure
Procdez comme suit pour crer une unit d'organisation l'aide de

l'environnement d'excution de scripts Windows :
1. l'aide du Bloc-notes, crez un fichier texte portant l'extension .vbs.
Insrez dans ce fichier les commandes figurant ci-aprs sous les points a, b
et c, puis enregistrez le fichier.
a. Commencez par vous connecter au domaine dans lequel vous souhaitez
crer l'unit d'organisation, comme indiqu dans l'exemple suivant :
Set objDom = GetObject("LDAP://dc=nwtraders,dc=msft")
Important Dans l'exemple ci-dessus, LDAP doit tre en majuscules, sinon la

commande chouera.
Dans cet exemple, nwtraders.msft est le domaine dans lequel vous crez
l'unit d'organisation.
11
b. Crez ensuite l'unit d'organisation en spcifiant OrganizationalUnit

comme type d'objet Active Directory crer et le nom de l'unit
d'organisation, comme indiqu dans l'exemple suivant :
Set objOU = objDom.Create("OrganizationalUnit",
"ou=NouvelleOU")
Dans cet exemple, NouvelleOU est le nom de l'unit d'organisation que

vous crez.
c. Pour terminer, enregistrez ces informations dans la base de donnes
Active Directory, comme indiqu dans l'exemple suivant :
objOU.SetInfo
2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant
l'invite de commande :
wscript nom_fichier_script.vbs
Remarque Pour plus d'informations sur la cration de scripts d'administration

l'aide de l'environnement d'excution de scripts Windows, consultez le site
Microsoft Technet Script Center l'adresse suivante :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/default.asp
Consultez galement le cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais)
12
Application pratique : Cration d'units d'organisation

Objectif
Dans cette application pratique, vous allez crer des units d'organisation dans
le domaine hberg par votre ordinateur de stagiaire, l'aide de l'outil de ligne
de commande Ldifde.
Scnario
Northwind Traders possde plusieurs succursales. La vtre contient trois

services : Informatique, Ventes (Sales) et Ressources humaines (HR, Human
Resources). En tant qu'administrateur du rseau de votre bureau, vous devez
crer trois units d'organisation pour ces services.
13
! Pour crer des units d'organisation l'aide de l'outil de ligne de

commande Ldifde
1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le

2. Utilisez le Bloc-notes pour crer un fichier d'entre pour les units
d'organisation reprsentes dans l'illustration suivante.
votre_ville
IT
Sales
HR
Exemple de fichier Bloc-notes pour l'exemple (sample.txt).

dn: OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
dn: OU=IT,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
dn: OU=Sales,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
dn: OU=HR,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
3. Crez les nouvelles units d'organisation l'aide de l'outil de ligne de
commande Ldifde.
14
Leon : Dlgation du contrle administratif des units

d'organisation

Introduction
Cette leon explique le rle de la dlgation de privilges administratifs, les

tches d'administration que vous pouvez dlguer, comment les dlguer et
comment vrifier que vous avez dlgu les privilges requis pour effectuer
ces tches.
la fin de cette leon, les stagiaires seront mme d'effectuer les tches
suivantes :
!
dcrire les conditions sous lesquelles le contrle administratif d'une unit

d'organisation peut tre dlgu ;
dcrire des tches d'administration courantes lies aux units

d'organisation ;
dlguer le contrle administratif d'une unit d'organisation l'aide de

l'Assistant Dlgation de Contrle ;
personnaliser le contrle administratif dlgu en crant une tche

personnalise dlguer ;
vrifier les privilges administratifs qui ont t dlgus.
15
Qu'est-ce que la dlgation de privilges administratifs ?

Introduction
La raison majeure motivant la cration d'units d'organisation est de distribuer

les tches d'administration dans toute l'organisation en dlguant le contrle
administratif diffrents administrateurs. La dlgation est particulirement
importante lorsque vous dveloppez un modle d'administration dcentralis.
Qu'est-ce que la
dlgation de
l'administration ?
La dlgation de l'administration est le processus de dcentralisation de la

responsabilit de la gestion d'units d'organisation d'un administrateur central
vers d'autres administrateurs. La capacit tablir l'accs des units
d'organisation individuelles est une fonctionnalit de scurit importante dans
Active Directory ; vous pouvez contrler l'accs jusqu'au niveau le plus bas
d'une organisation sans devoir crer de nombreux domaines Active Directory.
L'autorit dlgue au niveau du site couvrira probablement plusieurs domaines
ou, l'inverse, peut ne pas inclure de cibles dans le domaine. L'autorit
dlgue au niveau du domaine affectera tous les objets qui s'y trouvent.
L'autorit dlgue au niveau de l'unit d'organisation peut affecter cet objet
et tous ses objets enfants, ou uniquement l'objet lui-mme.
Pourquoi dlguer
l'administration ?
Vous dlguez le contrle administratif afin de permettre l'autonomie

administrative des organisations au niveau des services et des donnes ou, au
contraire, pour isoler les services ou les donnes dans une organisation. Vous
pouvez liminer le besoin de disposer de plusieurs comptes administrateur
ayant une autorit tendue, sur un domaine entier par exemple, mais nanmoins
utiliser le groupe prdfini Admins du domaine pour grer tout le domaine.
L'autonomie correspond la possibilit qu'ont les administrateurs d'une
organisation de prendre en charge de manire indpendante :
!
tout ou partie de la gestion des services (autonomie de la gestion des

services) ;
tout ou partie de la gestion des donnes de la base de donnes Active

Directory ou des ordinateurs membres rattachs l'annuaire (autonomie
de la gestion des donnes).
16
L'autonomie administrative :
!
minimise le nombre d'administrateurs devant possder des droits d'accs de

haut niveau ;
limite l'impact d'une erreur administrative une zone d'administration plus

rduite.
L'isolation correspond la possibilit qu'ont les administrateurs d'une

organisation d'empcher les autres administrateurs de :
!
contrler ou d'interfrer avec la gestion des services (isolation de la gestion

des services) ;
contrler ou visualiser un sous-ensemble de donnes dans l'annuaire ou sur

les ordinateurs membres rattachs l'annuaire (isolation de la gestion des
donnes).
Windows Server 2003 comporte des autorisations et des droits utilisateur

spcifiques qui vous permettent de dlguer le contrle administratif. En
utilisant une combinaison d'units d'organisation, de groupes et d'autorisations,
vous pouvez confrer des droits d'administration un utilisateur particulier de
telle sorte que celui-ci dispose d'un niveau appropri d'administration sur tout
un domaine, sur toutes les units d'organisation dans un domaine ou sur une
seule unit d'organisation.
17
Tches d'administration pour units d'organisation

Introduction
Utilisez des units d'organisation pour regrouper des objets Active Directory
par type (par exemple, par utilisateurs, groupes et ordinateurs) afin de pouvoir
les grer de manire efficace.
Tches d'administration
courantes
Les administrateurs excutent rgulirement les tches suivantes dans

Active Directory :
!
Modification des proprits sur un conteneur particulier. Par exemple,

lorsqu'un nouvel ensemble de logiciels est disponible, les administrateurs
peuvent crer une stratgie de groupe qui contrle leur distribution.
Cration et suppression d'objets d'un type particulier. Dans une unit

d'organisation, ces types spcifiques peuvent tre les utilisateurs, les groupes
et les imprimantes. Lorsqu'un nouvel employ rejoint l'organisation, par
exemple, vous crez un compte d'utilisateur pour l'employ, puis vous
ajoutez cet employ dans l'unit ou le groupe d'organisation appropri.
Mise jour de proprits spcifiques sur des objets d'un type donn dans
une unit d'organisation. Il se peut que la tche d'administration la plus
courante que vous effectuiez, concernant la mise jour de proprits, inclut
des tches comme la rinitialisation des mots de passe et la modification
des informations personnelles d'un employ, telles que son adresse et son
numro de tlphone en cas de dmnagement, par exemple.
18
Comment dlguer le contrle administratif

Introduction
Vous pouvez utiliser l'Assistant Dlgation de Contrle pour dlguer le

contrle administratif des objets Active Directory, comme les units
d'organisation. L'utilisation de l'Assistant vous permet de dlguer des tches
d'administration courantes, telles que la cration, la suppression et la gestion
des comptes d'utilisateurs.
Procdure
Excutez la procdure ci-dessous pour dlguer des tches d'administration

courantes pour une unit d'organisation.
1. Procdez comme suit pour dmarrer l'Assistant Dlgation de contrle :
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, double-cliquez sur le nud du
domaine.
c. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, cliquez ensuite sur Dlguer le contrle, puis sur
Suivant.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration courantes. Pour ce faire, procdez
comme suit :
a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
b. Dans la bote de dialogue Slectionner des utilisateurs, des
ordinateurs ou des groupes, tapez les noms des utilisateurs et des
groupes auxquels vous souhaitez dlguer le contrle de l'unit
d'organisation, cliquez ensuite sur OK, puis sur Suivant.
19
3. Affectez des tches courantes dlguer. Pour ce faire, procdez

comme suit :
a. Dans la page Tches dlguer, cliquez sur Dlguer les tches
courantes suivantes.
b. Dans la page Tches dlguer, slectionnez les tches que vous
souhaitez dlguer, puis cliquez sur Suivant.
4. Cliquez sur Terminer.
Lorsque vous dlguez le contrle de la cration d'objets dans Active Directory
un utilisateur ou un groupe, ces derniers peuvent crer un nombre d'objets
illimit. Dans Windows Server 2003, vous pouvez limiter le nombre d'objets
qu'une entit de scurit peut possder dans une partition d'annuaire, en
implmentant un quota pour cette entit.
Remarque Pour plus d'informations sur l'utilisation des quotas, reportez-vous
la rubrique Comment dlguer le contrle administratif du Module 3, dans
la page des annexes sur le CD-ROM du stagiaire.
20
Comment personnaliser le contrle administratif dlgu

Introduction
Outre l'utilisation de l'Assistant Dlgation de contrle pour dlguer un

ensemble personnalis de tches d'administration, telles que la cration, la
suppression et la gestion des comptes d'utilisateurs, vous pouvez utiliser
l'Assistant pour slectionner un ensemble de tches personnalises et ne
dlguer le contrle que de ces tches.
Vous pouvez, par exemple, dlguer le contrle de tous les objets existants dans
une unit d'organisation et de tous les objets qui sont ajouts. Mais vous pouvez
galement slectionner dans l'unit d'organisation les objets dont vous souhaitez
dlguer le contrle administratif, par exemple les objets utilisateur d'une unit
d'organisation. Vous pouvez par ailleurs spcifier que vous ne souhaitez
dlguer que la cration de l'objet slectionn, ou sa suppression, ou les deux.
Procdure
Procdez comme suit pour dlguer des tches d'administration personnalises

dans le cadre d'une unit d'organisation :
1. Dmarrez l'Assistant Dlgation de contrle.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration.
21
3. Affectez les tches personnalises dlguer. Pour ce faire, procdez

comme suit :
a. Dans la page Tches dlguer, cliquez sur Crer une tche
personnalise dlguer, puis cliquez sur Suivant.
b. Dans la page Type d'objet Active Directory, effectuez l'une des
oprations suivantes :
i. Cliquez sur De ce dossier et des objets qui s'y trouvent. Dlguer
aussi la cration de nouveaux objets dans ce dossier, puis cliquez
sur Suivant.
ii. Cliquez sur Seulement des objets suivants dans le dossier,
slectionnez le type d'objet Active Directory dont vous souhaitez
dlguer le contrle, puis cliquez sur Suivant.
c. Slectionnez les autorisations que vous souhaitez dlguer, puis cliquez
sur Suivant.
Remarque Pour obtenir la liste des autorisations que vous pouvez dlguer
pour les objets slectionns, ou pour dlguer la cration et la suppression
d'objets enfants parmi les objets slectionns, activez la case cocher
Spcifique aux proprits.
4. Cliquez sur Terminer.
22
Comment vrifier la dlgation du contrle administratif

Introduction
Utilisez Utilisateurs et Ordinateurs Active Directory pour vrifier que

l'Assistant Dlgation de contrle a correctement dlgu l'autorit d'effectuer
les tches.
Procdure
Procdez comme suit pour vrifier la dlgation du contrle :

1. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez dans le
menu Affichage sur Fonctionnalits avances.
2. Dans l'arborescence de la console, double-cliquez sur le nud du domaine.
3. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, puis cliquez sur Proprits.
4. Sous l'onglet Scurit, cliquez sur Paramtres avancs.
5. Sous l'onglet Autorisations, sous Entres d'autorisations, visualisez les
autorisations affectes.
23
Application pratique : Dlgation des tches d'administration d'une

unit d'organisation

Objectif
Dans cette application pratique, vous allez dlguer des tches d'administration
courantes d'units d'organisation dans le domaine hberg par votre ordinateur
de stagiaire.
Scnario
Vous tes l'administrateur du rseau pour Northwind Traders. Compte tenu

de la taille de votre socit, vous n'avez pas le temps d'excuter les tches
d'administration de routine pour chaque unit d'organisation. Vous souhaitez
dlguer le contrle des units d'organisation au personnel du Support
technique et aux responsables de chaque service.
! Dlguer les tches d'administration courantes pour les units
d'organisation du domaine hberg par votre ordinateur de stagiaire

2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
puis le mot de passe P@ssw0rd et cliquez sur OK.
4. Crez pour le domaine un groupe de scurit local appel
DL Nom_OrdinateurAdmins dans l'unit d'organisation Nom_Ordinateur
dans votre domaine (Nom_Ordinateur tant le nom de l'ordinateur sur lequel
vous travaillez).
24
5. Ajoutez le groupe global Nwtraders\G Nom_OrdinateurAdmins comme

membre du groupe local de domaine DL Nom_OrdinateurAdmins.
6. Dlguez le droit de crer, supprimer et grer des comptes d'utilisateurs
dans l'unit d'organisation Nom_Ordinateur au groupe DL
Nom_OrdinateurAdmins.
7. Vrifiez que le contrle a t dlgu pour ces tches en visualisant les
autorisations affectes au groupe local de domaine pour l'unit
d'organisation Nom_Ordinateur.
25
Leon : Planification d'une stratgie d'unit

d'organisation

Introduction
Les units d'organisation sont des conteneurs dans chaque domaine Active
Directory reprsentant les structures hirarchiques dans une organisation. Pour
crer la structure d'une unit d'organisation reprsentant au mieux la structure
de l'organisation, vous devez comprendre les facteurs qui affectent dans votre
organisation la cration d'units d'organisation. Cette leon vous apporte les
connaissances et comptences ncessaires pour planifier une stratgie d'unit
d'organisation.
!
dcrire le processus de planification d'une unit d'organisation ;
dcrire les facteurs organisationnels qui affectent la planification d'une unit

d'organisation ;
expliquer les conditions de dtermination de la structure d'une unit

d'organisation ;
expliquer les principes utiliss pour dterminer comment dlguer le

contrle administratif une unit d'organisation.
26
Processus de planification d'unit d'organisation

Introduction
La structure des units d'organisation dans Active Directory est base sur la
structure administrative de l'organisation. La premire tape de planification
d'une structure d'unit d'organisation consiste documenter la structure de
l'organisation.
Processus de
planification d'unit
d'organisation
Procdez comme suit pour planifier la stratgie d'unit d'organisation pour votre
organisation :
!
Documentez la structure existante de l'organisation. Lors de la

documentation de la structure existante de l'organisation, une stratgie
consiste diviser les tches d'administration en catgories, puis
documenter les administrateurs qui sont responsables de chacune d'elles.
Identifiez les domaines amliorer. Travaillez avec l'quipe de planification

pour identifier les domaines amliorer. Par exemple, il peut tre plus
rentable de combiner plusieurs quipes IT provenant de diffrentes
divisions. Vous pouvez identifier le personnel non informatique susceptible
de vous aider dans le processus d'administration et rduire la charge de
travail du personnel informatique. Les administrateurs peuvent ainsi se
concentrer sur les domaines o leur expertise est requise.
Utilisez ensuite les points suivants comme consignes pour votre plan de
dlgation :
!
Dterminez le niveau d'administration. Dcidez ce que chaque groupe

contrlera et quel niveau vous dlguerez l'administration dans la
hirarchie administrative. Lorsque vous crez le plan, identifiez quels
groupes :
auront un contrle intgral sur les objets d'une classe particulire ; ces
groupes peuvent crer et supprimer des objets dans une classe spcifie
et modifier tous les attributs des objets dans la classe spcifie.
seront autoriss crer des objets d'une classe particulire ; par dfaut,
les utilisateurs ont le contrle intgral des objets qu'ils crent ;
seront autoriss ne modifier que des attributs spcifiques d'objets
existants d'une classe particulire.
Identifiez chaque administrateur et compte d'utilisateur dans votre

organisation ainsi que les ressources qu'ils administrent. Ces informations
vous aideront dterminer la proprit et les autorisations affectes aux
units d'organisation que vous crez pour prendre en charge le plan de
dlgation.
27
28
Facteurs organisationnels dterminant la structure d'une unit

d'organisation

Introduction
Les facteurs qui affectent la structure d'une unit d'organisation sont : le type et
la structure du modle d'administration informatique. La comprhension de ces
facteurs vous aidera crer la structure d'une unit d'organisation la mieux
adapte vos impratifs organisationnels.
Types de modles
d'administration
informatique
Les organisations informatiques les plus courantes sont les suivantes :

!
Informatique centralise. Dans ce modle, l'organisation informatique ne

rend de comptes qu' une seule personne et est gnralement le groupe
responsable pour tous les services d'information et de rseau, bien que
certaines tches de routine puissent tre dlgues certains groupes
ou services.
Informatique centralise avec gestion dcentralise. Dans ce modle, une

quipe informatique principale centralise est responsable des principaux
services d'infrastructure, mais elle dlgue la plupart des oprations
quotidiennes aux groupes informatiques situs dans des succursales,
lesquels assurent un support administratif local leurs utilisateurs.
Structure d'un modle

d'administration
informatique
29
Informatique dcentralise. Ce type d'organisation permet diverses units

commerciales de slectionner un modle informatique appropri pour
rpondre leurs besoins. Une organisation de ce type peut comporter
plusieurs groupes informatiques avec des objectifs et des besoins divers.
Pour chaque initiative technologique affectant toute l'organisation, comme
la mise niveau d'une application de messagerie, les groupes informatiques
doivent travailler ensemble pour implmenter les modifications.
Informatique externalise. Certaines organisations sous-traitent la gestion

de tout ou partie de leur organisation informatique. Lorsque seuls quelques
lments de l'organisation informatique sont externaliss, il devient
impratif d'implmenter un modle de dlgation en bonne et due forme.
Ainsi, le groupe informatique interne conserve le contrle de l'organisation
sans compromettre les accords de niveau de service que le sous-traitant s'est
engag fournir.
La structure du modle d'administration reflte la faon dont une organisation

gre ses ressources informatiques, comme les utilisateurs, les ordinateurs, les
groupes, les imprimantes et les fichiers partags.
Les diffrentes manires selon lesquelles les modles d'administration sont
structurs incluent :
!
Administration base sur l'emplacement gographique. L'organisation

informatique est centralise, par exemple au sige, mais l'administration
du rseau est distribue gographiquement (par exemple, chaque succursale
possde son propre groupe d'administration qui gre les ressources sur
place).
Administration base sur l'organisation. Dans cette structure, l'organisation

informatique est divise en services ou en units commerciales, chacun
possdant son propre groupe informatique.
Administration base sur une fonction business. Une organisation

informatique dcentralise base souvent son modle d'administration sur
des fonctions business dans l'organisation.
Administration hybride. Cette structure associe les points forts de plusieurs

modles pour rpondre aux besoins d'administration de l'organisation.
30
Consignes de planification d'une structure d'unit d'organisation

Introduction
La conception d'units d'organisation est base sur le modle d'administration

informatique d'une organisation.
Instructions
Utilisez les consignes suivantes pour vous aider planifier la structure d'unit
d'organisation d'une organisation. La structure peut tre base sur :
!
L'emplacement gographique. Si le modle d'administration est distribu

gographiquement et si des administrateurs sont prsents dans chaque
emplacement, organisez la structure d'Active Directory par emplacement.
L'organisation. Si l'administration informatique est base par service ou

par division, concevez Active Directory en fonction de la structure de
l'organisation. Vrifiez que vous respectez bien la structure d'administration,
plutt que l'organigramme, lorsque vous vous basez sur l'organisation. Il se
peut que l'organigramme ne corresponde pas aux besoins d'administration
d'une organisation.
Les fonctions business. Si l'administration informatique est dcentralise,

concevez la structure d'Active Directory en vous basant sur les fonctions de
l'organisation. Ne choisissez cette approche que si la fonction informatique
n'est pas base sur l'emplacement ou l'organisation. Cette structure est idale
(c'est la mieux approprie) pour de petites organisations avec des
responsabilits professionnelles couvrant plusieurs services.
Le modle hybride. Dans le cas d'une organisation fortement distribue avec

une fonction informatique centralise et une forte sparation de services ou
divisionnaire, concevez les units ou les domaines de niveau suprieur par
emplacement et les niveaux infrieurs par organisation. Comme les niveaux
les plus levs sont bass sur l'emplacement, ce modle est moins
susceptible d'tre modifi et, par consquent, moins susceptible d'exiger un
effort important lors d'une rorganisation.
31
Utilisez le diagramme suivant comme arborescence de dcision pour dterminer

la structure d'unit d'organisation approprie pour une organisation.
Fonction
Informatique
centralise ?
Oui
Non
Sparation
de services ou
divisionnaire ?
Administration
distribue ?
Oui
Non
Distribue
gographiquement ?
Oui
Oui
Distribue
gographiquement ?
Groupe unique
central
Non
Oui
Non
quipes
couvrant plusieurs
services ?
Non
Oui
Non
Non
Sparation
de services ou
divisionnaire ?
Sparation
de services ou
divisionnaire ?
Oui
Location then
organization
Non
Emplacement
Oui
Organisation
Organisation puis
emplacement
Organisation
Fonction
Groupe unique
central
32
Consignes pour la dlgation du contrle administratif

Introduction
Dlguez autant que possible le droit d'octroyer des autorisations afin de limiter
les cots et les difficults d'administration et, par consquent, rduire le cot
total de possession. Avant d'affecter des autorisations aux utilisateurs dans une
organisation, vous devez dterminer qui peut et ne peut pas accder un objet
et son contenu, ainsi que le type d'accs dont une personne peut ou non
disposer.
Instructions
Tenez compte des consignes suivantes lorsque vous planifiez la dlgation du

contrle administratif dans votre organisation :
!
Affectez le contrle au niveau le plus lev possible d'unit d'organisation et

utilisez la fonction d'hritage. Vous pouvez ensuite grer les autorisations
de manire plus efficace. Cela cre un journal d'audit plus simple et rduit
les risques d'incident si un administrateur commet une erreur alors qu'il a
ouvert une session avec un compte administrateur.
Remarque Les membres du groupe Admins du domaine peuvent toujours
s'approprier un objet dans le domaine, puis en modifier les autorisations
raison de plus pour limiter le nombre d'utilisateurs dans le groupe Admins
du domaine. Lorsqu'un membre du groupe Administrateurs cre un objet ou
se l'approprie, ce groupe devient propritaire de l'objet. Pour des besoins de
suivi, Windows Server 2003 liste le nom de ce membre.

!
33
vitez d'affecter des autorisations au niveau proprit ou tche afin de

simplifier l'administration. Envisagez de placer des objets dans des units
d'organisation spares selon la manire dont ils seront grs, plutt que
de grer les proprits l'aide de listes de contrle d'accs discrtionnaire
(DACL, Discretionary Access Control List) distinctes pour objets dans une
unit d'organisation unique.
Lors de l'affectation d'autorisations, excutez les tches ci-dessous.
Dlguez des utilisateurs ou des groupes d'utilisateurs le droit
d'affecter des autorisations de contrle d'accs des objets. En d'autres
termes, dlguez le droit de dlguer.
Affectez des autorisations courantes ou spciales sur des objets.
Utilisez la fonction d'hritage pour permette le transfert des autorisations
de contrle d'accs aux objets enfants. Parfois, cependant, vous devrez
bloquer l'hritage pour viter qu'un objet enfant n'hrite des autorisations
dfinies sur l'objet parent. Le blocage de l'hritage rend difficile la
documentation et le dpannage des autorisations sur un objet. Par
consquent, vitez d'y avoir recours.
Affectez des autorisations d'accs des groupes, plutt qu' des individus.
Les autorisations de groupe simplifient l'actualisation des DACL sur les
rseaux comportant de nombreux utilisateurs et objets. Par ailleurs,
l'affectation d'autorisations des groupes est une puissante fonctionnalit
car elle vous permet d'imbriquer des groupes, ce qui rduit le nombre total
d'objets grer.
Important Dlguez le contrle administratif aux groupes locaux de
domaine lorsque vous affectez des autorisations des objets dans un
domaine. Dlguez le contrle administratif des groupes globaux ou
universels lorsque vous affectez des autorisations des objets dans la
partition de configuration ou pour des attributs qui sont publis dans le
catalogue global.
Minimisez le nombre d'administrateurs de domaine. Le groupe Admins du

domaine possde des droits spciaux dans un domaine, comme celui de
s'approprier tout objet et de dfinir des stratgies de scurit pour tout le
domaine. Lorsque vous souhaitez contrler troitement les privilges de
l'administrateur de domaine, accordez des droits d'administration aux
utilisateurs pour les diverses units d'organisation et limitez l'appartenance
dans le groupe Admins du domaine.
Remarque Pour plus d'informations sur la dlgation du contrle,

consultez le Guide de planification et de dploiement Windows Server 2003
l'adresse http://www.microsoft.com/reskit.
Consultez galement Active Directory Service Interfaces
Overview l'adresse
http://www.microsoft.com/windows2000/techinfo/howitworks/
activedirectory/adsilinks.asp (en anglais).
34
Application pratique : Planification d'une structure d'unit

d'organisation

Objectif
Dans cette application pratique, vous allez travailler avec votre partenaire sur la
planification d'une structure d'unit d'organisation pour Northwind Traders.
Scnario
Northwind Traders se prpare installer Windows Server 2003 sur ses sites
de Sacramento, (Californie) et Portland (Oregon). L'quipe de conception
d'Active Directory utilisera un domaine racine vide, nwtradersx.msft, et un
sous-domaine, corpx.nwtradersx.msft, x tant un numro que votre instructeur
vous affectera.
Tous les comptes d'utilisateurs et d'ordinateurs sont dans le domaine corpx.
Northwind Traders a 1500 utilisateurs rpartis dans six services sur ces
deux sites.
Portland compte 600 utilisateurs dans les services suivants :
!
Comptabilit (Accounting)
Informatique
Achats (Purchasing)
Livraison (Shipping)
Sacramento compte 900 utilisateurs dans les services suivants :

!
Comptabilit
Ressouces humaines
Informatique
Achats
Ventes
Dans chaque service, un administrateur local gre les comptes d'utilisateurs

et les paramtres de stratgie de groupe. Le service Informatique souhaite
dlguer le droit de grer tous les utilisateurs d'un service spcifique, ou d'un
service situ un emplacement spcifique.
Procdure
Travaillez avec votre partenaire pour planifier une structure d'unit

d'organisation. Utilisez le graphique suivant pour documenter votre plan
de structure d'unit d'organisation.
La rponse suivante est une solution possible l'exercice de

l'application pratique :
Domaine Corp
Accounting
Portland
Sacramento
HR
IT
Portland
Sacramento
Purchasing
Portland
Sacramento
Sales
Shipping
35
36
Atelier A : Implmentation de la structure d'une unit

d'organisation

Objectifs
Connaissances
pralables
Scnario
la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
!
crer une unit d'organisation ;
dlguer le contrle d'une unit d'organisation.
Avant de travailler sur cet atelier, vous devez :

!
savoir comment crer un groupe l'aide de la console Utilisateurs et

ordinateurs Active Directory ;
possder les connaissances et les comptences requises pour crer des units
d'organisation.
Northwind Traders embauche du personnel comptable et de recherche

(Research) dans tous ses sites. De nouvelles units d'organisation doivent tre
cres sur chaque site pour les services correspondants. Chaque service possde
un administrateur local qui gre les comptes d'utilisateurs.
Vous devez crer une unit d'organisation Accounting et une autre nomme
Research dans l'unit d'organisation Nom_Ordinateur, dans votre domaine.
Vous devez, en outre, crer un groupe local de domaine DL AccountingAdmins
et DL ResearchAdmins, puis dlguer des autorisations chaque groupe afin
de grer l'unit d'organisation approprie. Vous crerez les nouveaux groupes
locaux de domaine dans l'unit d'organisation Nom_Ordinateur\IT, dans votre
domaine.
Remarque Chaque fois que corpx ou nwtradersx apparat dans l'atelier,
remplacez x par le numro affect votre domaine.
Dure approximative
de cet atelier :
45 minutes
37
Exercice 1
Cration d'units d'organisation
Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour crer les units
d'organisation dans votre domaine.
Tches
1.
Utiliser l'outil de ligne de

commande Dsadd pour crer
les units d'organisation
Accounting et Research
dans l'unit d'organisation
Nom_Ordinateur, dans votre
domaine.
"
Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser

38
Exercice 2
Dlgation du contrle administratif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes que
vous crez, puis dlguer le contrle de chaque unit d'organisation au groupe appropri. Pour
terminer, vous vrifierez la dlgation du contrle.
Tches
1.
Crer les groupes locaux de

domaine suivants dans
l'unit d'organisation
Nom_Ordinateur\IT :
DL AccountingAdmins
DL ResearchAdmins
2.
Ajouter le groupe global

G Nom_OrdinateurAdmins
partir du domaine
Nwtraders.msft aux groupes
locaux de domaine
DL AccountingAdmins
et DL ResearchAdmins
dans votre domaine.
3.
Utiliser l'Assistant
Dlgation de Contrle pour
dlguer le droit de crer,
supprimer et grer des
comptes d'utilisateurs dans
les units d'organisation
Accounting et Research aux
les groupes locaux de
domaine appropris que
vous avez crs.
a.
Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser

b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et
Ordinateurs Active Directory sous votre_domaine\Administrateur

39
Exercice 3
Vrification de la dlgation du contrle
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL AccountingAdmins
et DL ResearchAdmins dans les units d'organisation Accounting et Research.
Tches
1.
2.
Activer la vue Fonctions

avances dans Utilisateurs
et ordinateurs Active
Directory.
a.
Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser

b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et
ordinateurs Active Directory sous votre_domaine\Administrateur

Visualiser les autorisations

affectes aux groupes
locaux de domaine
DL AccountingAdmins et
DL ResearchAdmins dans
votre domaine pour les
units d'organisation
Accounting et Research.
Quelles autorisations sont affectes au groupe DL AccountingAdmins ? quels objets les autorisations
s'appliquent-elles ?
Quelles autorisations sont affectes au groupe DL ResearchAdmins ? quels objets les autorisations
s'appliquent-elles ?
de comptes d'utilisateurs,
de groupes et d'ordinateurs
Table des matires
Vue d'ensemble
Leon : Prsentation des comptes
Leon : Cration et gestion de

plusieurs comptes
11
Leon : Implmentation des

suffixes UPN
24
Leon : Dplacement d'objets dans

Active Directory
35
Leon : Planification d'une stratgie de

compte d'utilisateur, de groupe et
d'ordinateur
45

d'audit Active Directory
59
Atelier A : Implmentation d'une

stratgie de compte et d'audit
65
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
iii
Prsentation :
120 minutes
Atelier :
60 minutes
Ce module fournit aux stagiaires les connaissances et les comptences

ncessaires la planification de comptes d'utilisateurs, de groupes et
d'ordinateurs dans le service d'annuaire Active Directory dans Microsoft
Windows Server 2003. Ce module explique comment crer plusieurs comptes
d'utilisateurs et d'ordinateurs l'aide des outils de ligne de commande tels que
Csvde et Ldifde, et comment grer des comptes l'aide de l'environnement
d'excution de scripts Windows. Ce module explique galement comment
implmenter des suffixes de nom d'utilisateur principal (UPN, User
Principal Name).
suivantes :
Documents de cours
dcrire les types de comptes et de groupes Active Directory ;
crer plusieurs comptes d'utilisateurs et d'ordinateurs ;
implmenter des suffixes UPN ;
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
planifier une stratgie pour des comptes d'utilisateurs, de groupes et

d'ordinateurs ;
planifier une stratgie d'audit Active Directory.

!
Prparation
Configuration
de la classe

!

raliser l'atelier ;
Cette section contient les instructions suivre pour prparer l'ordinateur de

l'instructeur ou configurer la classe en vue de raliser l'atelier.
! Prparer l'atelier
Excutez le fichier de l'environnement d'excution de scripts Windows
UpnSuffixes.vbs sur le serveur London avant que les stagiaires commencent
l'atelier de ce module. Ce fichier se trouve dans le dossier
\Student\Labfiles\Setup sur le CD-ROM de l'instructeur.
iv

ce module.
connaissances.
Procdures,
et ateliers

Procdures
Ateliers
du module.

Cette section dcrit les mthodes pdagogiques mettre en uvre pour chaque
point de cette leon.
Les informations contenues dans cette leon constituent des connaissances
pralables ce cours. Appuyez-vous sur les informations de la rubrique Types
de comptes.
Lors de la prsentation de la rubrique Types de groupes, concentrez-vous sur les
groupes de scurit. Il suffit que les stagiaires comprennent la finalit des
groupes de distribution.
Lors de la prsentation des rubriques Dfinition des groupes locaux de
domaine, Dfinition des groupes globaux et Dfinition des groupes universels,
vrifiez que les stagiaires comprennent quel moment ils doivent utiliser ces
diffrents types de groupes.
Leon : Cration et gestion de plusieurs comptes

Lors de la prsentation de la rubrique Outils permettant de crer et grer
plusieurs comptes, vrifiez que les stagiaires ont conscience que lorsqu'ils
utilisent Csvde pour crer des comptes, ceux-ci auront des mots de passe vides.
Prsentez les procdures de cration des comptes l'aide des outils de ligne de
commande Csvde et Ldifde. Dites aux stagiaires de consulter les annexes pour
obtenir la liste des options courantes utilises avec Csvde. Crez un exemple de
script d'environnement d'excution de scripts Windows qui ajoute un compte
d'utilisateur Active Directory. Dites aux stagiaires de consulter les annexes
pour obtenir l'exemple d'un script qui cre un compte d'utilisateur.
la fin de cette leon, les stagiaires creront un fichier de script contenant

des commandes pour crer trois comptes d'utilisateurs. Ils excuteront ensuite
ce fichier de script et utiliseront la console Utilisateurs et ordinateurs
Active Directory pour vrifier que les utilisateurs ont t crs.
vi
Leon : Implmentation des suffixes UPN

Lors de la prsentation de la rubrique Dfinition d'un nom d'utilisateur
principal, vrifiez que les stagiaires comprennent les avantages lis
l'utilisation des UPN et les rgles d'unicit des noms d'ouverture de session
utilisateur.
Aprs avoir prsent la prsentation multimdia Fonctionnement du routage
des suffixes de noms, rsumez les points cls.
Montrez comment crer et supprimer un suffixe UPN. Montrez galement
comment activer et dsactiver le routage des suffixes de noms dans les
approbations.
la fin de cette leon, les stagiaires creront un suffixe de nom pour un

domaine de second niveau et activeront le routage des suffixes de noms sur
deux forts.
Leon : Dplacement d'objets dans Active Directory

La procdure de dplacement d'objets Active Directory, tels qu'un compte
d'utilisateur, a de srieuses ramifications. Par exemple, lorsqu'un compte
d'utilisateur est dplac, l'utilisateur peut perdre tous ses messages
lectroniques. Lors de la prsentation de la rubrique Implications du
dplacement d'objets, vrifiez que les stagiaires comprennent ces implications.
Lors de la prsentation des rubriques Comment dplacer des objets au sein d'un
domaine ? et Comment dplacer des objets entre domaines ?, montrez comment
dplacer des objets dans un domaine et entre domaines.
Montrez galement comment utiliser LDP.exe pour afficher les proprits des
objets dplacs.
la fin de cette leon, les stagiaires dplaceront un compte d'utilisateur d'un

domaine vers un autre, puis afficheront les proprits des identificateurs de
scurit (SID, Security IDentifier), de l'historique SID et de l'identificateur
unique global (GUID, Globally Unique IDentifier) pour vrifier qu'elles ont t
modifies.
Leon : Planification d'une stratgie de compte d'utilisateur, de

groupe et d'ordinateur
Cette leon prsente des instructions pour affecter un nom aux comptes, crer
une stratgie de mot de passe et dvelopper des stratgies pour des groupes
ainsi que pour l'authentification, l'autorisation et l'administration d'un compte.
Encouragez une discussion de groupe sur ces rubriques. Guidez ces discussions
afin que les stagiaires ne s'loignent pas du sujet et ne passent pas trop de temps
sur cette rubrique.
la fin de cette leon, partir d'un scnario fictif, les stagiaires planifieront des
stratgies d'attribution de nom de compte, de mot de passe, d'authentification,
d'autorisation et d'administration ainsi qu'une stratgie de groupe pour une fort.
vii
Leon : Planification d'une stratgie d'audit Active Directory

Cette leon prsente les instructions pour effectuer un audit des modifications
apportes Active Directory.
Lors de la prsentation des rubriques de cette leon, utilisez votre exprience
personnelle dans la planification d'une stratgie d'audit pour renforcer les
informations des diffrentes rubriques.
la fin de cette leon, les stagiaires planifieront une stratgie d'audit d'aprs un
scnario donn.
Atelier A : Implmentation d'une stratgie de compte et d'audit

Dans cet atelier, les stagiaires planifieront et implmenteront une stratgie de
compte. Ils creront plusieurs comptes d'utilisateurs l'aide de l'outil de ligne
de commande Csvde. Les stagiaires creront galement un suffixe UPN, puis
rsoudront un conflit de routage de suffixe UPN entre deux forts. Enfin, en
travaillant par paire, les stagiaires dplaceront un groupe d'utilisateurs entre
leurs domaines respectifs et afficheront les modifications apportes aux
proprits des identificateurs SID et de l'historique SID des comptes dplacs.
Informations sur la personnalisation

Cette section identifie la configuration requise pour l'atelier de ce module et
les changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).
Important L'atelier de ce module dpend galement de la configuration de la
classe qui est spcifie dans la section Informations sur la personnalisation la
fin du Guide de configuration automatise de la classe pour le cours 2194A,
Planification, implmentation et maintenance d'une infrastructure
Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit

configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, excutez les
instructions des guides de configuration automatise et manuelle de ce cours,
puis effectuez les ateliers du Module 2, Implmentation d'une structure
de fort et de domaine Active Directory , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
viii
ci-dessous.
!
Elle cre les units d'organisation suivantes dans le domaine de chaque

stagiaire :
IT Admin
IT Users
IT Groups
NWTraders Groups
Domain Local
Global
Universal
IT Test
IT Test Move
Un groupe global G IT Admins est cr dans le domaine de chaque

stagiaire.
26 groupes locaux de domaine nomms DL Nom_Ordinateur OU

Administrateurs sont crs.
Un groupe local de domaine nomm DL IT OU Administrateurs est cr.
26 utilisateurs nomms Nom_OrdinateurAdmin sont crs.
Deux suffixes UPN Nom_Ordinateur sont ajouts la fort de chaque

stagiaire, un par ordinateur de la fort.
Vue d'ensemble

Introduction
Dans ce module, vous allez apprendre planifier et implmenter des comptes

d'utilisateurs, de groupes et d'ordinateurs dans le service d'annuaire Active
Directory. Vous apprendrez galement crer plusieurs comptes d'utilisateurs
et d'ordinateurs et implmenter des suffixes UPN (User Principal Name).

!
dcrire les types de comptes et de groupes Active Directory ;
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;

d'ordinateurs ;
planifier une stratgie d'audit Active Directory.

Introduction
Cette leon dcrit les types de comptes et de groupes que vous pouvez
crer dans Microsoft Windows Server 2003. Elle dcrit galement le
comportement des groupes globaux, des groupes locaux de domaine et
des groupes universels.
!
dcrire les types de comptes que vous pouvez crer dans

Windows Server 2003 ;
dcrire les types de groupes que vous pouvez crer dans

Windows Server 2003 ;
dcrire le comportement des groupes locaux de domaine ;
dcrire le comportement des groupes globaux ;
dcrire le comportement des groupes universels.
Types de comptes

Introduction
Vous pouvez crer trois types de comptes dans Active Directory : comptes
d'utilisateurs, de groupes et d'ordinateurs. Les comptes d'utilisateurs et
d'ordinateurs Active Directory reprsentent une entit physique, telle qu'un
ordinateur ou une personne. Vous pouvez galement utiliser les comptes
d'utilisateurs comme comptes de services ddis pour certaines applications.
Comptes d'utilisateurs
Un compte d'utilisateur est un objet stock dans Active Directory qui permet
une ouverture de session unique, autrement dit un utilisateur entre son mot de
passe une seule fois lors de l'ouverture de session sur une station de travail pour
obtenir un accs authentifi aux ressources rseau.
Il existe trois types de comptes d'utilisateurs, chacun ayant une fonction
spcifique :
!
Un compte d'utilisateur local permet un utilisateur d'ouvrir une session sur

un ordinateur spcifique pour accder aux ressources sur cet ordinateur.
Un compte d'utilisateur de domaine permet un utilisateur de se connecter

au domaine pour accder aux ressources rseau, ou un ordinateur
individuel pour accder aux ressources sur cet ordinateur.
Un compte d'utilisateur intgr permet un utilisateur d'effectuer des tches

d'administration ou d'accder temporairement aux ressources rseau.
Comptes d'ordinateurs
Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou

Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un
domaine possde un compte d'ordinateur. l'image des comptes d'utilisateurs,
les comptes d'ordinateurs permettent d'authentifier et d'auditer l'accs d'un
ordinateur aux ressources rseau et du domaine. Chaque compte d'ordinateur
doit tre unique.
Comptes de groupes
Un compte de groupe est un ensemble d'utilisateurs, d'ordinateurs ou de

groupes. Vous pouvez utiliser des groupes pour grer efficacement l'accs aux
ressources du domaine, et ainsi simplifier l'administration. Lorsque vous
utilisez des groupes, vous affectez en une fois des autorisations pour des
ressources partages, telles que des dossiers et des imprimantes, des
utilisateurs individuels.
Types de groupes

Introduction
Il existe deux types de groupes dans Active Directory, les groupes de

distribution et les groupes de scurit. Tous deux possdent un attribut
d'tendue, qui dtermine qui peut tre membre du groupe et quel endroit vous
pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir tout moment
un groupe de scurit en un groupe de distribution et inversement, mais
uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000
natif ou ultrieur.
Groupes de distribution
Vous pouvez utiliser des groupes de distribution uniquement avec des

applications de messagerie, telles que Microsoft Exchange, pour envoyer des
messages un ensemble d'utilisateurs. La scurit n'est pas active sur les
groupes de distribution, ce qui signifie qu'ils ne peuvent pas tre rpertoris
dans des listes de contrle d'accs discrtionnaire (DACL, Discretionary Access
Control List). Pour contrler l'accs aux ressources partages, crez un groupe
de scurit.
Groupes de scurit
Vous utilisez des groupes de scurit pour affecter des droits et des
autorisations aux groupes d'utilisateurs et d'ordinateurs. Les droits dterminent
les fonctions que les membres d'un groupe de scurit peuvent effectuer dans un
domaine ou une fort. Les autorisations dterminent quelles ressources sont
accessibles un membre d'un groupe sur le rseau.
Une mthode d'utilisation efficace des groupes de scurit consiste utiliser
l'imbrication, c'est dire, ajouter un groupe un autre groupe. Le groupe
imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie
l'affectation en une fois des autorisations plusieurs groupes, et rduit le trafic
que peut engendrer la rplication de l'appartenance un groupe. Dans un
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant
la mme tendue de groupe.
Les groupes de distribution et de scurit prennent en charge l'une des trois
tendues de groupe suivantes : locale de domaine, globale ou universelle. Le
niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez
crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de
scurit universels.
Dfinition des groupes locaux de domaine

Introduction
Un groupe local de domaine est un groupe de scurit ou de distribution qui

peut contenir des groupes universels, des groupes globaux ou d'autres groupes
locaux de domaine issus de ses propres domaines et comptes dans la fort. Dans
les groupes de scurit locaux de domaine, vous pouvez accorder des droits et
autorisations sur des ressources qui rsident uniquement dans le mme domaine
que celui o se trouve le groupe local de domaine.
Par exemple, vous pouvez crer un groupe de scurit local de domaine nomm
Setup et accorder des autorisations de groupe un partage nomm Setup sur
l'un des serveurs membres du domaine. Vous pouvez ajouter des groupes
globaux ou universels en tant que membres du groupe local de domaine Setup.
Les membres auront alors l'autorisation d'accder au dossier partag Setup.
Appartenance au groupe
local de domaine,
tendue et autorisations
Les rgles suivantes s'appliquent l'appartenance au groupe local de domaine,

ainsi qu' l'tendue et aux autorisations du groupe local de domaine :
!
Appartenance. En mode Windows 2000 mixte, les groupes locaux de

domaine peuvent contenir des comptes d'utilisateurs et des groupes globaux
de n'importe quel domaine. En mode Windows 2000 natif, les groupes
locaux de domaine peuvent contenir des comptes d'utilisateurs, des groupes
globaux, des groupes universels de n'importe quel domaine approuv et des
groupes locaux de domaine issus du mme domaine.
Peut tre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas tre membre de n'importe quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut tre membre de
groupes locaux de domaine issus du mme domaine.
tendue. Un groupe local de domaine est visible uniquement dans son

propre domaine.
Autorisation. Vous pouvez affecter une autorisation qui s'applique au

domaine dans lequel le groupe local de domaine existe.
quel moment utiliser

des groupes locaux de
domaine
Utilisez un groupe local de domaine lorsque vous souhaitez affecter des

autorisations d'accs des ressources qui se situent dans le mme domaine que
celui dans lequel vous crez le groupe local de domaine. Vous pouvez ajouter
des groupes globaux partageant les mmes ressources au groupe local de
domaine appropri.
Dfinition des groupes globaux

Introduction
Un groupe global est un groupe de scurit ou de distribution qui peut contenir

des utilisateurs, des groupes et des ordinateurs comme membres de son propre
domaine. Vous pouvez accorder des droits et autorisations des groupes de
scurit globaux pour des ressources situes dans n'importe quel domaine de
la fort.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les
mmes tches professionnelles et ont des conditions d'accs rseau similaires,
tels que tous les comptables du service comptabilit d'une organisation.
global, tendue et
autorisations
Les rgles suivantes s'appliquent l'appartenance au groupe global, ainsi qu'

l'tendue et aux autorisations du groupe global :
!
Appartenance. En mode Windows 2000 mixte, un groupe global peut

contenir des comptes d'utilisateurs du mme domaine. En mode
Windows 2000 natif et en mode Windows Server 2003, des groupes
globaux peuvent contenir des comptes d'utilisateurs et des groupes
globaux issus du mme domaine.
Peut tre membre de. En mode Windows 2000 mixte, un groupe global
peut tre membre des groupes locaux de domaine dans n'importe
quel groupe approuv. En mode Windows 2000 mixte et en mode
Windows Server 2003, un groupe global peut tre membre de groupes
universels et de groupes locaux de domaine dans n'importe quel domaine
et tre galement membres de groupes globaux dans le mme domaine.
tendue. Un groupe global est visible dans son domaine et tous les
domaines approuvs, ce qui inclut tous les domaines de la fort.
Autorisations. Vous pouvez affecter une autorisation un groupe global qui

s'applique tous les domaines approuvs.

des groupes globaux
Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le
but de permettre aux utilisateurs d'accder des ressources spcifiques un
domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des
groupes d'utilisateurs. Un groupe local de domaine est plus appropri pour
contrler l'accs d'un utilisateur aux ressources situes dans un domaine unique.
10
Dfinition des groupes universels

Introduction
Un groupe universel est un groupe de scurit ou de distribution qui peut

contenir des utilisateurs, des groupes et des ordinateurs comme membres d'un
domaine de sa fort. Les groupes de scurit universels peuvent bnficier de
droits et autorisations sur des ressources situes dans n'importe quel domaine de
la fort.
universel, tendue et
autorisations
Les rgles suivantes s'appliquent l'appartenance au groupe universel, ainsi

qu' l'tendue et aux autorisations du groupe universel :

des groupes universels
Appartenance. Vous ne pouvez pas crer de groupes de scurit universels

en mode Windows 2000 mixte. En mode Windows 2000 natif et en mode
Windows Server 2003, des groupes universels peuvent contenir des comptes
d'utilisateurs, des groupes globaux et d'autres groupes universels de
n'importe quel domaine de la fort.
Peut tre membre de. Le groupe universel ne s'applique pas au mode

Windows 2000 mixte. En mode Windows 2000 natif, un groupe universel
peut tre membre de groupes locaux de domaine et de groupes universels
de n'importe quel domaine.
tendue. Les groupes universels sont visibles dans tous les domaines de
la fort.
Autorisations. Vous pouvez affecter une autorisation un groupe universel

qui s'applique tous les domaines de la fort.
Utilisez les groupes universels lorsque vous souhaitez imbriquer des

groupes globaux. De cette manire, vous pouvez affecter des autorisations
aux ressources connexes dans plusieurs domaines. Un domaine
Windows Server 2003 doit tre en mode Windows 2000 natif ou en mode
Windows Server 2003 pour utiliser des groupes de scurit universels. Vous
pouvez utiliser des groupes de distribution universels dans un domaine
Windows Server 2003 en mode Windows 2000 mixte ou ultrieur.
11
Leon : Cration et gestion de plusieurs comptes

Introduction
Cette leon dcrit les diffrents outils de ligne de commande que vous pouvez
utiliser pour crer et grer plusieurs comptes d'utilisateurs.
!
dcrire les outils permettant de crer et grer plusieurs comptes ;
utiliser l'outil de ligne de commande Csvde pour crer des comptes ;
utiliser l'outil de ligne de commande Ldifde pour crer et grer des

comptes ;
crer et grer des comptes l'aide de l'environnement d'excution de

scripts Windows.
12
Outils permettant de crer et grer plusieurs comptes

Introduction
Windows Server 2003 procure de nombreux outils et composants logiciels

enfichables MMC (Microsoft Management Console) pour crer
automatiquement plusieurs comptes d'utilisateurs dans Active Directory.
Certains de ces outils ncessitent l'utilisation d'un fichier texte qui contient
des informations sur les comptes d'utilisateurs que vous souhaitez crer.
Vous pouvez galement crer des scripts pour ajouter ou modifier des objets
dans Active Directory.
Utilisateurs et
ordinateurs Active
Directory
La console Utilisateurs et ordinateurs Active Directory est un composant

logiciel enfichable MMC que vous pouvez utiliser pour grer des comptes
d'utilisateurs, d'ordinateurs et de groupes. Il convient de l'utiliser lorsque vous
grez un petit nombre de comptes.
Outils de service
d'annuaire
Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod
et Dsrm pour grer des comptes d'utilisateurs, d'ordinateurs et de groupes dans
Active Directory. Vous devez spcifier le type d'objet que vous souhaitez crer,
modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour
crer un compte d'utilisateur. Utilisez la commande dsrm group pour
supprimer un compte de groupe. Bien que les outils Directory Service
permettent de crer un seul objet Active Directory la fois, vous pouvez
les utiliser dans des fichiers de commandes et des scripts.
Outil Csvde
13
L'outil de ligne de commande Csvde utilise un fichier texte spar par des
virgules, galement appel format valeurs spares par des virgules (format
Csvde), comme entre pour crer plusieurs comptes dans Active Directory.
Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et
d'autres types d'objets Active Directory. Vous ne pouvez pas utiliser le format
Csvde pour supprimer ou modifier des objets dans Active Directory. Avant
d'importer un fichier Csvde, assurez-vous que le fichier est correctement
format. Le fichier d'entre :
!
doit inclure le chemin d'accs au compte d'utilisateur dans Active Directory,

le type d'objet, qui est le compte d'utilisateur, et le nom d'ouverture de
session de l'utilisateur (pour Microsoft Windows NT 4.0 et ultrieur) ;
doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte

d'utilisateur est activ ou non. Si vous ne spcifiez aucune valeur, le compte
est dsactiv ;
peut inclure des informations personnelles, par exemple des numros de

tlphone ou des adresses personnelles. Incluez autant d'informations sur le
compte d'utilisateur que possible afin que les utilisateurs puissent effectuer
des recherches dans Active Directory ;
ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot
de passe vide pour les comptes d'utilisateur. tant donn qu'un mot de passe
vide permet une personne non autorise d'accder au rseau grce au seul
nom d'ouverture de session de l'utilisateur, dsactivez les comptes
d'utilisateurs jusqu' ce que les utilisateurs commencent se connecter.
Pour modifier et formater le fichier texte d'entre, utilisez une application qui
possde de bonnes capacits d'dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des
virgules. Vous pouvez exporter des donnes d'Active Directory vers une
feuille de calcul Excel ou importer des donnes d'une feuille de calcul vers
Active Directory.
Outil Ldifde
L'outil de ligne de commande Ldifde utilise un format valeurs spares par

des lignes pour crer, modifier et supprimer des objets dans Active Directory.
Un fichier d'entre Ldifde se compose d'une srie d'enregistrements spars par
une ligne vierge. Un enregistrement dcrit un objet annuaire unique ou un
ensemble de modifications apportes aux attributs d'un objet existant, et se
compose d'une ou plusieurs lignes dans le fichier. La plupart des applications de
base de donnes peuvent crer des fichiers que vous pouvez importer dans l'un
de ces formats. Les conditions requises pour le fichier d'entre sont identiques
celles de l'outil de ligne de commande Csvde.
Environnement
d'excution de scripts
Windows
Vous pouvez crer des scripts d'environnement d'excution de scripts Windows

qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour
crer, modifier et supprimer des objets Active Directory. Utilisez des scripts
lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets
Active Directory, ou lorsque les critres de slection de ces objets sont
complexes.
14
Comment crer des comptes l'aide de l'outil Csvde

Introduction
Vous pouvez utiliser l'outil de ligne de commande Csvde pour crer plusieurs
comptes dans Active Directory. Vous pouvez utiliser l'outil Csvde uniquement
pour crer des comptes, en aucun cas pour les modifier.
Procdure
Pour crer des comptes l'aide de l'outil de ligne de commande Csvde,

effectuez les tches suivantes :
1. Crez le fichier Csvde importer. Formatez le fichier de sorte qu'il
contienne les informations suivantes :
La ligne d'attribut. Il s'agit de la premire ligne du fichier. Elle prcise le
nom de chaque attribut que vous souhaitez dfinir pour les nouveaux
comptes d'utilisateurs. Vous pouvez placer les attributs dans n'importe
quel ordre, ils doivent tre spars par des virgules. Le code suivant est
un exemple de ligne d'attribut :
DN,objectClass,sAMAccountName,userPrincipalName,
displayName,userAccountControl
Lignes de comptes d'utilisateurs. Pour chaque compte d'utilisateur que

vous crez, le fichier d'importation contient une ligne qui prcise la
valeur de chaque attribut de la ligne d'attribut. Les rgles suivantes
s'appliquent aux valeurs contenues dans une ligne de compte
d'utilisateur :
les valeurs doivent suivre l'ordre de la ligne d'attribut ;
s'il manque une valeur pour un attribut, laissez-la vierge, mais
insrez toutes les virgules ;
si une valeur contient des virgules, mettez-la entre guillemets.
15
Le code suivant est un exemple de ligne du compte d'utilisateur :

"cn=Laura Bartoli,ou=Human Resources,
dc=asia,dc=contoso,dc=msft",user,laurab,
laurab@contoso.msft, Laura Bartoli,514
Ce tableau fournit les attributs et valeurs de l'exemple prcdent.

Attribut
Valeur
DN (nom unique)
cn=Laura Bartoli,ou=Human Resources, dc=asia,dc=contoso,dc=msft

(Cela spcifie le chemin d'accs l'unit d'organisation qui contient le compte
d'utilisateur.)
objectClass
user
sAMAccountName
laurab
userPrincipalName
laurab@contoso.msft
displayName
Laura Bartoli
userAccountControl
514 (La valeur 514 dsactive le compte d'utilisateur, tandis que la valeur 512
l'active.)
Les attributs de ce tableau sont les attributs minimaux requis pour

excuter csvde.
Important Vous ne pouvez pas utiliser Csvde pour crer des comptes
d'utilisateurs activs si la stratgie du mot de passe du domaine exige une
longueur minimale ou des mots de passe complexes. Dans ce cas, utilisez une
valeur de 514 pour l'attribut userAccountControl, qui dsactive le compte
d'utilisateur, puis activez le compte l'aide de l'environnement d'excution de
scripts Windows ou de la console Utilisateurs et ordinateurs Active Directory.
2. Excutez la commande csvde en tapant la commande suivante l'invite de
commandes :
csvde i f nom_fichier b Nom_Utilisateur Domaine
Mot_de_Passe
o :
-i indique que vous importez un fichier dans Active Directory
-f indique que le paramtre qui suit est le nom du fichier que vous importez
b dfinit la commande excuter comme nom_utilisateur, domaine et
mot_de_passe.
16
La commande csvde procure des informations sur l'tat de la russite ou de

l'chec du processus. Elle rpertorie galement le nom du fichier afficher pour
obtenir des informations dtailles sur l'erreur. Mme si les informations sur
l'tat indiquent que le processus a russi, utilisez la console Utilisateurs et
ordinateurs Active Directory pour vrifiez certains comptes d'utilisateurs que
vous avez crs afin de vous assurer qu'ils contiennent toutes les informations
que vous avez fournies.
Remarque Pour obtenir des informations sur les options courantes avec l'outil
de ligne de commande Csvde, consultez la rubrique Comment crer des
comptes l'aide de l'outil Csvde du Module 4 dans la page des annexes
sur le CD-ROM du stagiaire. Consultez galement Aide et Support
17
Comment crer et grer des comptes l'aide de l'outil Ldifde

Introduction
Vous pouvez utiliser l'outil de ligne de commande Ldifde pour crer et modifier
plusieurs comptes.
Procdure
Pour crer des comptes l'aide de l'outil de ligne de commande Ldifde,

procdez comme suit :
1. Prparez le fichier Ldifde importer.
Formatez le fichier Ldifde afin qu'il contienne un enregistrement qui se
compose d'une suite de lignes qui dcrivent une entre pour un compte
d'utilisateur ou un ensemble de modifications sur un compte d'utilisateur
dans Active Directory. L'entre du compte d'utilisateur prcise le nom
de chaque attribut que vous souhaitez dfinir pour le nouveau compte
d'utilisateur. Le schma Active Directory dfinit le nom des attributs. Pour
chaque compte d'utilisateur que vous crez, le fichier contient une ligne qui
prcise la valeur de chaque attribut de la ligne d'attribut. Les rgles
suivantes s'appliquent aux valeurs de chaque attribut :
toute ligne qui commence par un signe dise (#) est une ligne de
commentaire et est ignore lorsque vous excutez le fichier Ldifde ;
s'il manque une valeur pour un attribut, elle doit tre reprsente comme
Description_Attribut : FILL SEP.
Le code suivant est un exemple d'entre dans un fichier d'importation
Ldifde :
# Crer Laura Bartoli
dn: cn=Laura Bartoli,ou= Human Resources,
dc=asia,dc=contoso,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: laurab
userPrincipalName: laurab@contoso.msft
displayName: Laura Bartoli
userAccountControl: 514
18
Le tableau suivant fournit les attributs et valeurs de l'exemple prcdent.

Attribut
Valeur de l'attribut
Crer Laura Bartoli (Le caractre # indique que cette ligne est un
commentaire.)
DN
cn=Laura Bartoli, ou=Human Resources, dc=asia,dc=contoso,dc=msft

(Cette valeur spcifie le chemin d'accs au conteneur de l'objet.)
Changetype
Add
objectClass
user
sAMAccountName
laurab
userPrincipalName
laurab@contoso.msft
displayName
Laura Bartoli
userAccountControl
512
2. Excutez la commande ldifde pour importer le fichier et crer plusieurs

comptes d'utilisateurs dans Active Directory.
l'invite de commandes, tapez la commande suivante :
ldifde i k f nom_fichier -b Nom_Utilisateur Domaine
Mot_de_Passe
o :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom de fichier d'importation ou d'exportation.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe du
compte d'utilisateur qui seront utiliss pour effectuer l'opration
d'importation ou d'exportation.
19
Comment crer et grer des comptes l'aide de l'environnement

d'excution de scripts Windows

Introduction
Vous pouvez crer des objets Active Directory partir de scripts

d'environnement d'excution de scripts Windows l'aide d'une interface ADSI.
Le processus de cration d'un objet Active Directory compte quatre tapes,
comme l'indique la procdure suivante.
Procdure de cration
d'un objet Active
Directory
Pour crer un objet Active Directory, tel qu'un compte d'utilisateur dans un
domaine, procdez comme suit :
1. Utilisez le Bloc-notes pour crer un fichier texte avec une extension .vbs.
Placez les commandes suivantes dans le fichier, puis enregistrez-le.
a. Connectez-vous au conteneur dans lequel vous souhaitez crer l'objet
Active Directory en spcifiant la requte LDAP (Lightweight Directory
Access Protocol).
Set objOU =
GetObject("LDAP://ou=management,dc=fabrikam,dc=com")
Important Dans l'exemple prcdent, LDAP doit tre inscrit en lettres

majuscules, sans quoi la commande choue.
b. Crez l'objet Active Directory et spcifiez la classe et le nom de l'objet.
Set objUser = objOU.Create("User", "cn=MyerKen")
c. Dfinissez les proprits de l'objet Active Directory.

objUser.Put "sAMAccountName", "myerken"
d. Inscrivez les informations dans la base de donnes Active Directory.

objUser.SetInfo
20
Les proprits de certains objets Active Directory ne peuvent pas tre

dfinies lors de leur cration. Par exemple, lorsque vous crez un compte
d'utilisateur, vous ne pouvez pas activer le compte ni dfinir son mot de
passe. Vous ne pouvez dfinir ces proprits qu'aprs avoir cr l'objet,
comme illustr dans l'exemple de code suivant :
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo
e. Enregistrez le fichier avec l'extension .vbs.

2. Excutez le script en tapant la commande suivante l'invite de commandes :
Wscript.exe nom_fichier
o nom_fichier est le nom du fichier de script que vous avez cr l'tape

prcdente.
Remarque Pour qu'un exemple de script cre un compte d'utilisateur, consultez
la rubrique Comment crer et grer des comptes l'aide de l'environnement
d'excution de scripts Windows du Module 4 dans la page des annexes sur le
Procdure de
modification de la valeur
d'une proprit
Pour modifier la valeur d'une proprit d'un objet Active Directory, tel que le
numro de tlphone d'un utilisateur, ouvrez le Bloc-notes pour crer un fichier
texte, ajoutez les commandes suivantes au fichier, puis excutez le fichier de
script en le dmarrant l'invite de commandes.
1. Connectez-vous l'objet dont la proprit sera modifie.
Set objUser = GetObject _
("LDAP://cn=myerken,ou=TestOU,dc=nwtraders,dc=msft")
2. Dfinissez la nouvelle valeur de la proprit, par exemple le nouveau

numro de bureau d'un employ qui a t mut.
objUser.Put "physicalDeliveryOfficeName", "Room 4358"
3. Inscrivez la modification dans Active Directory.

objUser.SetInfo
4. Enregistrez le fichier avec l'extension .vbs.

5. l'aide d'une invite de commandes, excutez le script en tapant la
commande suivante :
wscript.exe nom_fichier
o nom_fichier est le nom du fichier de script que vous avez cr l'tape

prcdente.
21
Remarque Pour plus d'informations sur la cration de scripts d'administration

l'aide de l'environnement d'excution de scripts Windows, consultez le site Web
de Microsoft TechNet Script Center l'adresse suivante :
www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/
default.asp (en anglais).
Consultez galement le Cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais).
22
Application pratique : Cration de comptes d'utilisateurs

Objectifs
Dans cette application pratique, vous allez crer et excuter un fichier de script
qui contient des commandes pour crer un compte d'utilisateur, puis vous
vrifierez que le compte d'utilisateur a t cr.
Scnario
La socit Northwind Traders a engag un nouveau commercial, Suzanne

Duprez. Vous devez lui crer un nom d'ouverture de session utilisateur. La
norme actuelle chez Northwind Traders consiste utiliser le prnom de
l'utilisateur et les trois premires lettres de son nom de famille. Vous utiliserez
un environnement d'excution de scripts Windows pour crer ce compte
d'utilisateur dans l'unit d'organisation Votre_Ordinateur\Sales.
Pour crer le compte d'utilisateur, procdez comme suit :

1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le
2. Utilisez le Bloc-notes pour crer un fichier de script qui contient des
commandes pour crer le nouveau compte d'utilisateur.
a. Ouvrez le Bloc-notes.
b. Tapez le script pour crer le compte d'utilisateur.
c. Dans le menu Fichier, cliquez sur Enregistrer sous.
d. Dans la zone Nom de fichier, tapez createusers.vbs
e. Dans la zone Types de fichiers, slectionnez Tous les fichiers.
f. Cliquez sur Enregistrer.
23
3. Excutez le fichier de script.

a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez Votre_Domaine\Administrateur comme
nom d'utilisateur avec le mot de passe P@ssw0rd, puis cliquez sur OK.
c. Changez le rpertoire pour le dossier dans lequel vous avez enregistr le
fichier createusers.vbs.
d. l'invite de commandes, tapez wscript.exe createusers.vbs.
4. Utilisez la console Utilisateurs et ordinateurs Active Directory pour vrifier
que l'utilisateur a t cr.
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, cliquez sur Sales.
c. Dans le volet d'informations, observez les comptes d'utilisateurs
rpertoris.
Voici un exemple de fichier de rponse.
Set objOU =
GetObject("LDAP://OU=Sales,OU=Vancouver,dc=nwtraders1,dc=msft"
)
Set objUser = objOU.Create("User", "cn=SuzanneDup")
objUser.Put "sAMAccountName", "SuzanneDup"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "P@ssw0rd"
objUser.Put "userPrincipalName", "SuzanneDup@nwtraders1.msft"
objUser.SetInfo
24
Leon : Implmentation des suffixes UPN

Introduction
Cette leon dcrit le rle des suffixes UPN (User Principal Names). Elle
explique comment un suffixe UPN est achemin dans un environnement
approuv et comment crer, supprimer, activer, dsactiver et exclure le routage
des suffixes de noms dans des approbations entre forts.
!
dcrire le rle d'un UPN ;
expliquer le routage d'un suffixe UPN dans un environnement approuv ;
expliquer comment les conflits de suffixes de noms sont dtects et rsolus ;
crer et supprimer un suffixe UPN ;
activer, dsactiver et exclure le routage des suffixes de noms dans des

approbations entre forts.
25
Dfinition d'un nom d'utilisateur principal

Introduction
Dans un rseau Windows Server 2003, un utilisateur peut ouvrir une session
l'aide d'un nom d'utilisateur principal ou d'un nom d'ouverture de session
d'utilisateur (Windows NT 4.0 et ultrieur). Les contrleurs de domaine peuvent
utiliser le nom d'utilisateur principal ou le nom d'ouverture de session de
l'utilisateur pour authentifier la requte d'ouverture de session.
Dfinition d'un nom

d'utilisateur principal
Un nom d'utilisateur principal est un nom d'ouverture de session qui est utilis
uniquement pour ouvrir une session sur un rseau Windows Server 2003.
Ce nom est galement appel nom d'ouverture de session de l'utilisateur.
Le nom d'utilisateur principal se compose de deux parties spares par le
signe @, par exemple laurab@contoso.msft :
Avantages lis
l'utilisation du nom
le prfixe du nom d'utilisateur principal qui, dans cet exemple, est laurab ;
le suffixe du nom d'utilisateur principal qui, dans cet exemple, est

contoso.msft. Par dfaut, le suffixe est le nom du domaine dans lequel le
compte d'utilisateur a t cr. Vous pouvez utiliser les autres domaines du
rseau ou des suffixes supplmentaires que vous avez crs pour configurer
d'autres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer
un suffixe pour crer des noms d'ouverture de session utilisateur qui
correspondent l'adresse lectronique de l'utilisateur.
L'utilisation du nom d'utilisateur principal offre les avantages suivants :

!
Il ne change pas lorsque vous dplacez un compte d'utilisateur vers un

domaine diffrent car le nom est unique dans la fort Active Directory.
Il peut tre identique l'adresse lectronique de l'utilisateur car il a le mme

format qu'une adresse de messagerie standard.
26
Rgles d'unicit des

noms d'ouverture de
session utilisateur
Les noms d'ouverture de session utilisateur pour des comptes d'utilisateurs de

domaine doivent respecter les rgles d'unicit suivantes dans Active Directory :
!
le nom complet doit tre unique dans le conteneur dans lequel vous crez le
compte d'utilisateur ; le nom complet est utilis comme nom unique ;
le nom d'utilisateur principal doit tre unique dans la fort.
27
Prsentation multimdia : Fonctionnement du routage des suffixes

de noms

Pour commencer la prsentation Fonctionnement du routage des suffixes

de noms, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur
Objectifs
la fin de cette prsentation, vous serez mme d'expliquer le fonctionnement

du routage des suffixes de noms dans Active Directory.
Points cls
Le routage des suffixes de noms est un mcanisme fournissant une rsolution

de noms entre forts. Celles-ci peuvent contenir plusieurs suffixes de noms.
Lorsque deux forts Windows Server 2003 sont connectes par une approbation
de fort, les suffixes des noms de domaines qui existent dans les deux
forts routent les requtes d'authentification. C'est pourquoi, toute requte
d'authentification mise de la Fort A vers un suffixe qui rside dans la Fort
B est route avec succs vers sa ressource cible.
Les suffixes de noms qui n'existent pas dans une fort peuvent tre routs vers
une deuxime fort. Lorsqu'un nouveau domaine enfant (par exemple,
enfant.contoso.com) est ajout un suffixe de domaine de second niveau (par
exemple, contoso.com), le domaine enfant hrite de la configuration de routage
du domaine de second niveau auquel il appartient.
Tout nouveau suffixe de nom de second niveau que vous crez aprs avoir
tabli une approbation de fort est visible dans la bote de dialogue Proprits
pour cette approbation. Cependant, le routage des suffixes pour les
arborescences de domaine que vous crez aprs l'tablissement de l'approbation
est dsactiv par dfaut. Vous devez activer manuellement le routage pour ces
suffixes. Lorsque Active Directory dtecte un suffixe de nom dupliqu, le
routage du suffixe le plus rcent est dsactiv par dfaut. Vous pouvez utiliser
la bote de dialogue Proprits pour activer ou dsactiver manuellement le
routage des suffixes de noms individuels.
28
Dtection et rsolution des conflits de suffixes de noms

Introduction
Lorsque deux forts Windows Server 2003 sont relies par une approbation de
fort, un suffixe de nom de second niveau ou un suffixe UPN qui existe dans l'une
des forts peut entrer en collision avec un suffixe de nom similaire dans la
deuxime fort. Grce la dtection de collisions, l'Assistant Nouvelle
approbation garantit qu'une seule fort fait autorit pour un suffixe de nom donn.
Dtection des collisions
L'Assistant Nouvelle approbation dtecte les conflits de suffixes de noms

lorsque l'une des situations suivante se produit :
!
le mme nom DNS (Domain Name System) est dj utilis ;
le mme nom NetBIOS est dj utilis ;
un ID de scurit du domaine (SID) est en conflit avec le SID d'un autre

suffixe de nom.
Supposons, par exemple, que vous souhaitiez tablir une approbation de fort
bidirectionnelle entre les forts contoso.com et fabrikam.com. Les forts
contoso.com et fabrikam.com ont le mme suffixe UPN : nwtraders.msft.
Lorsque vous crez l'approbation de fort bidirectionnelle, l'Assistant Nouvelle
approbation dtecte et affiche le conflit entre les deux suffixes de noms UPN.
Rsolution des conflits
29
L'Assistant Nouvelle approbation dsactive automatiquement un suffixe de nom

de domaine de second niveau si un suffixe identique existe dans une deuxime
fort. Par exemple, un conflit survient si l'une des forts s'appelle fabrikam.com
et l'autre s'appelle ventes.fabrikam.com.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il refuse l'accs ce domaine depuis l'extrieur de la fort. Cependant,
l'accs au domaine depuis l'intrieur de la fort fonctionne normalement.
Par exemple, si le domaine fabrikam.com existe dans les forts contoso.com et
nwtraders.msft, les utilisateurs de la fort contoso.com peuvent accder aux
ressources prsentes dans le domaine fabrikam.com qui rside dans la fort
contoso.com. Cependant, les utilisateurs de la fort contoso.com n'ont pas accs
aux ressources prsentes dans le domaine fabrikam.com qui est situ dans la
fort nwtraders.msft.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il vous invite enregistrer un fichier journal du conflit. Il rpertorie
ensuite les conflits dans la bote de dialogue Proprits Nom d'approbation de
fort sous l'onglet Routage des suffixes de noms, dans la colonne Routage.
30
Comment crer et supprimer un suffixe UPN

Introduction
Lorsque vous utilisez un suffixe de nom d'utilisateur principal, vous simplifiez

les processus d'administration et d'ouverture de session utilisateur en procurant
un suffixe UPN pour tous les utilisateurs. Lors de la cration d'un compte
d'utilisateur, vous pouvez slectionner un suffixe UPN. Si ce suffixe n'existe
pas, vous pouvez l'ajouter l'aide de la console Domaines et approbations
Active Directory, condition que vous soyez membre du groupe prdfini
Procdure d'ajout d'un

suffixe UPN
Pour ajouter un suffixe UPN, procdez comme suit :

1. Ouvrez la console Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Proprits.
3. Sous l'onglet Suffixes UPN, tapez un autre suffixe UPN, puis cliquez sur
Ajouter.
Remarque Si vous crez un compte d'utilisateur l'aide de l'environnement
d'excution de scripts Windows ou autrement qu'avec la console Utilisateurs et
ordinateurs Active Directory, vous n'tes pas limit par les suffixes UPN qui
sont stocks dans Active Directory. Vous pouvez affecter un suffixe lors de la
cration du compte. Cependant, les suffixes que vous crez de cette faon ne
sont pas automatiquement routs sur les approbations de forts.
Procdure de
suppression d'un
suffixe UPN
Pour supprimer un suffixe UPN, procdez comme suit :

1. Dans l'arborescence de la console Domaines et approbation Active
Directory, cliquez avec le bouton droit sur Domaines et approbations
Active Directory, puis cliquez sur Proprits.
2. Sous l'onglet Suffixes UPN, slectionnez le suffixe UPN que vous souhaitez
supprimer, puis cliquez sur Supprimer.
31
Comment activer et dsactiver le routage des suffixes de noms

dans des approbations de forts

Introduction
Vous devez utilisez la console Domaines et approbations Active Directory pour

activer et dsactiver le routage d'un suffixe de nom.
Procdure
Pour activer ou dsactiver le routage d'un suffixe de nom de second niveau,

du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe pour lequel vous souhaitez
activer ou dsactiver le routage, puis cliquez sur Activer ou Dsactiver.
Important Lorsque vous dsactivez le routage d'un suffixe de domaine de
second niveau, vous dsactivez galement le routage de tous les suffixes de son
domaine enfant.
32
Pour modifier l'tat du routage d'un suffixe de nom de troisime niveau ou de

niveau suprieur, procdez comme suit :
du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe parent du suffixe dont vous
souhaitez modifier l'tat du routage, puis cliquez sur Modifier.
4. Sous Suffixes de noms prsents dans <nom de la fort>, cliquez sur le
suffixe que vous souhaitez modifier, puis sur Activer ou Dsactiver.
33
Application pratique : Cration de suffixes UPN

Objectifs
Dans cette application pratique, vous allez crer un suffixe de nom pour un
domaine de second niveau, puis vous activerez le routage du suffixe de nom
entre deux forts.
Scnario
La socit Northwind Traders possde une fort de plusieurs domaines.

La socit a choisi un nouveau nom de domaine, qui sera utilis pour le nom
du site Web et de l'adresse lectronique de la socit. Vous devez ajouter le
nouveau suffixe puis activer le routage.
! Crer un suffixe de nom et activer le routage du suffixe

1. Crez un nouveau suffixe de nom pour un domaine de second niveau
nomm Votre_Prnom.msft.
a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec
le mot de passe P@ssw0rd.
b. Utilisez Excuter en tant que pour dmarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec
c. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur
Proprits.
d. Sous l'onglet Suffixes UPN, tapez le suffixe UPN Votre_Prnom.msft,
cliquez sur Ajouter, puis sur OK.
34
2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans
la fort nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
b. Dans la bote de dialogue Se connecter au contrleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Proprits.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Proprits, puis sur l'onglet Routage des suffixes de noms.
f. Dans la bote de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la fort nwtradersx, cliquez sur Votre_Prnom.msft, sur Activer,
puis cliquez deux fois sur OK.
35
Leon : Dplacement d'objets dans Active Directory

Introduction
Cette leon traite de l'historique SID et de l'implication du dplacement des

objets Active Directory. Elle explique galement comment dplacer un objet
Active Directory entre deux conteneurs d'un mme domaine, et entre deux
domaines d'une mme fort.
!
dcrire le rle d'un historique SID ;
expliquer l'implication du dplacement d'objets dans Active Directory ;
dplacer des objets dans un domaine ;
dplacer des objets entre domaines ;
afficher les proprits des objets dplacs.
36
Dfinition de l'historique SID

Introduction
Lorsque vous dplacez un objet Active Directory, tel qu'un compte d'utilisateur,
les principes de scurit associs cet objet sont galement dplacs. Active
Directory assure un suivi de ces principes de scurit dans une liste intitule
Historique SID.
Rle d'un historique SID
Un historique SID fournit un utilisateur migr une continuit d'accs aux

ressources. Lors de la migration d'un compte d'utilisateur vers un autre
domaine, Active Directory lui affecte un nouveau SID. L'historique SID
conserve le SID du prcdent compte d'utilisateur migr. Lorsque vous migrez
plusieurs reprises un compte d'utilisateur, l'historique SID stocke une liste de
tous les identificateurs SID affects l'utilisateur. Il met ensuite jour les
groupes et les listes de contrle d'accs ncessaires avec le SID du nouveau
compte. Les appartenances aux groupes bases sur le SID de l'ancien compte
n'existent plus.
37
Implications du dplacement d'objets

Introduction
Pour que l'historique SID soit activ, le niveau fonctionnel du domaine doit tre
dfini sur Windows 2000 natif ou Windows Server 2003. L'historique SID est
dsactiv si le niveau fonctionnel est dfini sur Windows 2000 mixte. Lorsqu'un
objet est dplac au sein d'un domaine, le SID ou l'identificateur unique global
(GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous dplacez un objet sur plusieurs domaines d'une mme fort, Active
Directory affecte un nouveau SID l'objet mais conserve son GUID.
Implications sur la
scurit d'un
historique SID
Un historique SID permet des utilisateurs migrs d'accder aux ressources

situes dans leurs anciens domaines. Cependant, il permet galement aux
utilisateurs de tromper l'accs aux autres domaines, c'est dire donner l'illusion
qu'une transmission provient d'un utilisateur autoris, en plaant des SID
d'autres domaines dans l'historique SID de leurs comptes d'utilisateurs.
Vous pouvez vous protger de tels comportements en appliquant un filtrage
des identificateurs SID aux relations approuves.
Attention Le filtrage des identificateurs SID est conu pour tre utilis sur des
approbations entre forts ou sur des approbations externes. Son utilisation entre
domaines d'une mme fort reprsente une application errone du filtrage des
identificateurs SID. Si vous mettez un domaine en quarantaine au sein d'une
mme fort, le filtrage des identificateurs SID supprimera les identificateurs
SID ncessaires la rplication Active Directory. Le filtrage des identificateurs
SID peut galement faire chouer l'authentification des utilisateurs issus de
domaines approuvs de faon transitive dans le domaine mis en quarantaine.
Pour empcher qu'un compte d'utilisateur qui a t dplac entre domaines
accde des ressources avec des autorisations qui sont associes l'attribut de
l'historique SID du compte, supprimez les informations relatives l'historique
SID du compte d'utilisateur.
38
Remarque Pour plus d'informations sur la suppression d'un historique SID,

consultez l'article 295798 Procdure d'utilisation de Visual Basic Script
pour effacer l'historique SID dans la Base de connaissances Microsoft
l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758
(en anglais).
Autres implications du
dplacement d'objets
Le dplacement d'objets dans Active Directory a galement les implications

suivantes :
!
les comptes d'utilisateurs qui ont des privilges administratifs pour l'unit
d'organisation vers laquelle le compte est dplac peuvent grer les
proprits du compte d'utilisateur dplac ;
les restrictions lies la stratgie de groupe de l'unit d'organisation, du

domaine ou du site depuis lequel le compte d'utilisateur a t dplac ne
s'appliquent plus au compte d'utilisateur ;
les paramtres Stratgie de groupe du nouvel emplacement s'appliquent au

compte d'utilisateur.
39
Comment dplacer des objets au sein d'un domaine

Introduction
Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour

dplacer des objets dans un domaine.
Procdure
Pour dplacer un objet dans un domaine, procdez comme suit :

!
Dans le volet d'informations de la console Utilisateurs et ordinateurs Active

Directory, faites glissez l'objet sur le nouveau conteneur.
40
Comment dplacer des objets entre domaines

Introduction
Utilisez l'outil de migration Active Directory dans Windows Server 2003 pour
dplacer des objets entre domaines d'une mme fort ou entre domaines situs
dans des forts diffrentes.
Procdure
Pour migrer des utilisateurs ou des groupes d'un domaine vers un autre,
1. Excutez l'outil de migration Active Directory.
Remarque L'outil de migration Active Directory n'est pas install par
dfaut. Vous pouvez l'installer partir du dossier \i386\ADMT sur le
CD-ROM Windows Server 2003.
2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
slectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour dplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procdant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramtres de migration et effectuer celle-ci ultrieurement, puis
b. Dans la page Slection du domaine, slectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Slection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Slection de l'unit d'organisation, cliquez sur Parcourir,
slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.
41
e. Dans la page Options de l'utilisateur, dfinissez les options de

l'utilisateur, puis cliquez sur Suivant.
Ces options dterminent la migration de l'appartenance au groupe, des
profils et des paramtres de scurit.
f. Si une bote de dialogue d'avertissement apparat, cliquez sur OK.
g. Dans la page Conflits de nommage, slectionnez les options
appropries pour spcifier les actions qui seront prises en cas de conflit
de noms, puis cliquez sur Suivant.
h. Dans la page Fin de l'Assistant Migration des comptes d'utilisateurs,
cliquez sur Terminer.
i. Dans la bote de dialogue Avances de la Migration, cliquez sur
Afficher le journal pour afficher le journal des erreurs.
5. Effectuez une migration relle en rptant les tapes 2 4.l. l'tape 4.a,
slectionnez Effectuer la migration maintenant la place de Tester les
paramtres de migration et effectuer celle-ci ultrieurement.
42
Comment utiliser LDP pour afficher les proprits des objets

dplacs

Introduction
Aprs avoir dplac un utilisateur, un groupe ou un autre objet, vrifiez que ses
proprits ont t correctement mises jour. Par exemple, vrifiez les proprits
SID et Historique SID de l'objet. Pour afficher ces informations, utilisez
Ldp.exe. Vous devez installer les outils de support de Windows depuis le
dossier \Support\Tools sur le CD-ROM Windows Server 2003 avant de pouvoir
utiliser Ldp.exe.
Procdure
Pour afficher les proprits d'un objet dplac, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, tapez ldp et cliquez sur OK.
2. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez sur
Connect.
3. Dans la bote de dialogue Connect, dans la zone Server, tapez le nom de
votre serveur, puis cliquez sur OK.
4. Dans la fentre Ldap, dans le menu Connection, cliquez sur Bind.
5. Dans la bote de dialogue Bind, tapez le nom d'utilisateur Administrateur,
le mot de passe de l'administrateur et le nom du domaine que vous souhaitez
examiner, puis cliquez sur OK.
6. Dans le menu View, cliquez sur Tree.
7. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez le
nom de domaine appropri dans la liste, puis cliquez sur OK.
8. Dans l'arborescence de la console, double-cliquez sur l'objet dont vous
souhaitez afficher les proprits.
9. Dans le volet d'informations, observez les proprits de l'objet.
43
Application pratique : Dplacement d'objets

Objectifs
Dans cette application pratique, vous allez effectuer les tches suivantes :
!
utiliser Ldp.exe pour examiner l'identificateur SID, l'historique SID et

l'identificateur GUID d'un objet utilisateur ;
dplacer un objet utilisateur vers une autre unit d'organisation du mme

domaine ;
utiliser Ldp.exe pour afficher les modifications apportes l'identificateur

SID, l'historique SID et l'identificateur GUID de l'objet utilisateur.
Scnario
Votre organisation compte 2000 utilisateurs. Suzanne Duprez, une utilisatrice

de votre domaine, occupe un nouveau poste au sein de la socit. Vous devez
dplacer son objet compte utilisateur pour qu'il corresponde son nouveau rle.
! Dplacer un compte d'utilisateur et afficher les modifications

conscutives au dplacement
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le

2. Utilisez Ldp.exe pour examiner l'identificateur SID, l'historique SID et
l'identificateur GUID de l'objet utilisateur de Suzanne Duprez dans l'unit
d'organisation Votre_Ordinateur\Sales situe dans le domaine hberg par
votre ordinateur stagiaire.
a. Cliquez sur Dmarrer, sur Invite de commandes, tapez ldp et appuyez
sur ENTRE.
b. Dans la bote de dialogue Ldp, dans le menu Connection, cliquez sur
Connect.
c. Dans la bote de dialogue Connection, dans la zone Server, tapez le
nom de votre serveur, puis cliquez sur OK.
d. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez
sur Bind.
44
e. Dans la bote de dialogue Bind, tapez le nom d'utilisateur

Administrateur, le mot de passe P@ssw0rd et le nom du domaine
hberg par votre serveur, puis cliquez sur OK.
f. Dans le menu View, cliquez sur Tree.
g. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez
votre nom de domaine, puis cliquez sur OK.
h. Dans l'arborescence de la console, dveloppez votre domaine, doublecliquez sur Votre_Ordinateur, sur l'objet de l'unit d'organisation Sales,
puis sur l'objet utilisateur de Suzanne Duprez.
i. Dans le volet d'informations, affichez les proprits de l'objet.
i. Quel est l'attribut objectGUID de ce compte ?
Les rponses varient.
_______________________________________________________
ii. Quel est l'attribut objectSid de ce compte ?
Les rponses varient.
_______________________________________________________
iii. Existe-t-il une entre SIDHistory pour ce compte d'utilisateur ? Si
oui, quels sont les identificateurs SID rpertoris ?
Il n'existe aucune entre SIDHistory pour ce compte.
_______________________________________________________
3. Dplacez l'objet utilisateur de Suzanne Duprez dans l'unit d'organisation
Votre_Ordinateur\HR de votre domaine.
a. Utilisez Excuter en tant que pour dmarrer la console Utilisateurs et
ordinateurs Active Directory en tant que
Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
b. Dans le volet d'informations, faites glissez l'objet utilisateur
SuzanneDup de l'unit d'organisation Votre_Ordinateur\Sales vers
l'unit d'organisation Votre_Ordinateur\HR.
4. Utilisez Ldp.exe pour afficher les modifications apportes l'identificateur
SID, l'historique SID et l'identificateur GUID de l'objet utilisateur de
Suzanne Duprez.
a. Dans l'arborescence de la console, double-cliquez sur HR, puis sur
l'objet utilisateur de Suzanne Duprez.
b. Dans le volet d'informations, affichez les proprits de l'objet.
Des modifications ont-elles t apportes l'identificateur SID,
l'historique SID ou l'identificateur GUID de ce compte ? Si oui,
lesquelles ?
Aucune modification n'a t apporte l'identificateur SID,
l'historique SID ou l'identificateur GUID du compte d'utilisateur
suite ce dplacement.
__________________________________________________________
__________________________________________________________
45
Leon : Planification d'une stratgie de compte

d'utilisateur, de groupe et d'ordinateur

Introduction
Cette leon prsente des instructions pour planifier une stratgie de compte
d'utilisateur et d'ordinateur. Une stratgie de compte bien planifie permet
d'empcher une violation de la scurit dans votre rseau.
!
expliquer les instructions permettant de dfinir une convention d'attribution

de nom de compte ;
expliquer les instructions permettant de dfinir une stratgie de mot

de passe ;
expliquer les instructions lies l'authentification, l'autorisation et

l'administration des comptes d'utilisateurs ;
expliquer les instructions permettant de planifier une stratgie de compte

de groupe.
46
Instruction d'attribution des noms de comptes

Introduction
Lors de la cration d'une stratgie de compte pour les forts et les domaines
situs dans le rseau de votre organisation, vous devez dfinir des conventions
d'attribution de noms de comptes.
Instructions
Les instructions suivantes s'appliquent l'attribution de noms de comptes

d'utilisateurs, d'ordinateurs et de groupes dans un rseau Windows Server 2003.
!
Dfinissez une convention d'attribution de nom de compte d'utilisateur pour

votre organisation, qui facilite l'identification par les autres utilisateurs
et vous permette de grer les conflits de noms d'utilisateurs pour les
utilisateurs ayant des noms similaires. La convention d'attribution de nom
doit inclure :
le prnom, les trois premiers caractres du prnom ou l'initiale du
prnom de l'utilisateur. Par exemple, utilisez Suzanne pour l'utilisatrice
Suzanne Duprez ;
l'initiale, les premires lettres du nom de famille de l'utilisateur ou son
nom complet. Par exemple, utilisez SuzanneDuprez pour l'utilisatrice
Suzanne Duprez ;
des caractres supplmentaires de prnom ou de nom de famille, ou
encore l'initiale du deuxime prnom pour rsoudre les conflits de noms.
Envisagez d'utiliser :
des prfixes ou suffixes pour identifier des comptes d'utilisateurs
spciaux, tels que des fournisseurs, du personnel temps partiel et des
comptes de services ;
un autre nom de domaine pour que le suffixe UPN augmente la scurit
des sessions et simplifie les noms d'ouverture de session.
Par exemple, si votre organisation possde une arborescence de
domaine profonde qui est organise par dpartement et rgion, les
noms de domaines peuvent tre assez longs. Le suffixe UPN par
dfaut pour un utilisateur dans ce domaine peut donc tre
ventes.exemple.nwtraders.msft. Le nom d'ouverture de session d'une
utilisatrice nomme Suzanne Duprez dans ce domaine peut alors tre
SDuprez@ventes.exemple.nwtraders.msft. Cependant, si vous crez le
suffixe nwtraders ou nwtraders.msft, un utilisateur peut ouvrir une
session en ajoutant le nom d'ouverture de session le plus simple
SDuprez@nwtraders ou SDuprez@nwtraders.msft. Il n'est pas
ncessaire que ces autres suffixes UPN soient un nom DNS valide.
!
Dfinissez une convention d'attribution de nom de compte d'ordinateur qui

identifie le propritaire de l'ordinateur, son emplacement et le type
d'ordinateur. Incluez les informations suivantes dans la convention
d'attribution de nom :
Convention d'attribution de nom
Exemple
Nom d'utilisateur du propritaire
SuzanneD1
Emplacement ou abrviation
RED ou Redmond
Type d'ordinateur ou abrviation
SVR ou serveur
Dfinissez une convention d'attribution de nom de groupe qui identifie le

type de groupe, son emplacement et son rle. Incluez les informations
suivantes dans la convention d'attribution de nom :
Convention d'attribution de nom
Exemple
Type de groupe
G pour groupe global, UN pour groupe

universel, LD pour groupe local de
domaine
Emplacement du groupe
Red pour Redmond
Rle du groupe
Admins pour administrateurs
47
48
Instructions de dfinition d'une stratgie de mot de passe

Introduction
Le rle des mots de passe dans la scurit du rseau d'une organisation est bien
souvent sous-estim et nglig. Les mots de passe constituent la premire ligne
de dfense en cas d'accs non autoris votre organisation.
La famille Windows Server 2003 inclut une nouvelle fonctionnalit qui vrifie
la complexit du mot de passe pour le compte Administrateur. Si le mot de
passe est vide ou ne rpond pas aux conditions de complexit, la bote de
dialogue Installation de Windows apparat et vous informe des dangers lis
la non-utilisation d'un mot de passe fort pour le compte Administrateur. Si vous
ne renseignez pas de mot de passe, le compte est inaccessible sur le rseau.
Instructions
Une stratgie de mot de passe assure que chaque utilisateur respecte les
instructions de mot de passe que vous dterminez comme approprie pour votre
organisation. Dfinissez les lments suivants d'une stratgie de mot de passe :
!
Dfinissez le paramtre de stratgie Conserver l'historique des mots de

passe pour mmoriser au moins les 24 mots de passe prcdents. De cette
manire, les utilisateurs ne peuvent pas utiliser le mme mot de passe
l'expiration de leur mot de passe actuel.
Dfinissez le paramtre de stratgie Dure de vie maximale du mot de

passe afin que les mots de passe expirent aussi souvent que ncessaire pour
votre environnement et le niveau d'accs des utilisateurs. Ce paramtre de
stratgie empche quiconque forant un mot de passe d'accder au rseau
jusqu' expiration du mot de passe. Pour les utilisateurs qui ont un accs
Administrateur de domaine, dfinissez une dure de vie maximale du mot
de passe plus courte que pour les utilisateurs normaux.
Dfinissez le paramtre de stratgie Dure de vie minimale du mot de

passe de sorte que les utilisateurs ne puissent pas modifier leur mot de
passe avant un certain nombre de jours. Le fait de dfinir une dure de
vie minimale du mot de passe empche les utilisateurs de modifier
continuellement leur mot de passe pour viter le paramtre de stratgie
Conserver l'historique des mots de passe puis rutiliser leur mot de
passe d'origine.
49
Dfinissez un paramtre de stratgie Longueur minimale du mot de passe

de sorte que les mots de passe contiennent un nombre minimum de
caractres. Les longs mots de passe, comportant au minimum huit
caractres, sont gnralement plus forts que les mots de passe courts.
Ce paramtre de stratgie empche galement les utilisateurs d'utiliser
des mots de passe vides.
Activez le paramtre de stratgie Le mot de passe doit respecter des

exigences de complexit. Ce paramtre vrifie tous les nouveaux mots de
passe pour s'assurer qu'ils rpondent aux exigences de base d'un mot de
passe fort.
Un mot de passe fort prsente les caractristiques suivantes :
comporte au moins huit caractres ;
ne contient aucun nom d'utilisateur, nom rel ou nom de socit ;
ne contient aucun mot complet du dictionnaire ;
est significativement diffrent des prcdents mots de passe. Les mots de
passe incrmentiels (Mot_de_Passe1, Mot_de_Passe2,
Mot_de_Passe3...) sont faibles ;
contient des caractres en majuscules/minuscules, des valeurs
numriques et des symboles ;
contient des caractres ASCII tendus. Ces caractres incluent les
marques d'accentuation et les symboles spciaux utiliss pour crer des
images.
H!elZl2o et J*p2leO4>F sont des exemples de mots de passe forts.
Attention Tout intrus potentiel peut trouver des caractres ASCII tendus
dans la Table des caractres. N'utilisez pas de caractre tendu si aucune
squence de touches n'est dfinie dans le coin infrieur droit de la table des
caractres. Avant d'utiliser des caractres ASCII tendus dans votre mot de
passe, testez-les pour vrifier que les mots de passe qui contiennent des
caractres ASCII tendus sont compatibles avec les applications utilises
par votre organisation. Soyez particulirement prudent lors de l'utilisation de
caractres ASCII tendus si votre organisation utilise plusieurs systmes
d'exploitation.
50
Le tableau suivant prsente les paramtres de stratgie minimaux recommands

pour des environnements rseau scuriss.
Paramtre
Valeur
Conserver l'historique des mots de passe
24 mots de passe mmoriss
Dure de vie maximale du mot de passe
42 jours
Dure de vie minimale du mot de passe
2 jours
Longueur minimale du mot de passe
8 caractres
Le mot de passe doit respecter des exigences

de complexit
Activ
Enregistrer les mots de passe en utilisant un

cryptage rversible
Dsactiv
Conseil Si vous crez un domaine racine dans votre fort dans le but de placer
des comptes administrateur, envisagez d'exiger des paramtres de stratgie de
mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.
Par exemple, envisagez d'exiger une dure de vie maximale du mot de passe de
30 jours, une dure de vie minimale du mot de passe de 7 jours et une longueur
minimale de 14 caractres.
51
Instructions d'authentification, d'autorisation et d'administration

des comptes

Introduction
La planification d'une stratgie d'authentification, d'autorisation et

d'administration aidera protger le rseau de votre organisation. Par exemple,
implmentez une stratgie de verrouillage du compte pour prvenir toute
attaque de votre organisation. Soyez toutefois prudent lors de la cration
d'un verrouillage de compte afin de ne pas verrouiller par inadvertance des
utilisateurs autoriss.
Instructions
Utilisez les instructions suivantes pour authentifier, autoriser et administrer des

comptes dans votre organisation :
!
Attribuez une valeur leve au paramtre de stratgie seuil de verrouillage

de compte. Ainsi, les comptes des utilisateurs autoriss ne sont pas
verrouills en cas de saisie errone d'un mot de passe.
Windows peut verrouiller des utilisateurs autoriss s'ils modifient leur mot
de passe sur un ordinateur mais pas sur un autre. L'ordinateur qui utilise
l'ancien mot de passe tente constamment d'authentifier l'utilisateur avec le
mot de passe incorrect. Finalement, l'ordinateur verrouille le compte de
l'utilisateur jusqu' ce qu'il soit restaur. Ce problme n'existe pas dans les
organisations qui utilisent uniquement des contrleurs de domaine membres
de la famille Windows Server 2003.
vitez d'utiliser des comptes administrateur pour rpondre aux besoins

informatiques de routine. Aussi, devez-vous penser limiter le nombre
d'administrateurs et viter d'accorder aux utilisateurs un accs
administratif. Exigez que les administrateurs ouvrent une session l'aide
d'un compte d'utilisateur normal et qu'ils utilisent la commande runas pour
effecteur toutes les tches d'administration.
Utilisez une authentification multifactorielle. Par exemple, exigez des cartes

puce pour des comptes administrateur et l'accs distant afin de confirmer
l'identit de l'utilisateur.
52

!
Utilisez des groupes de scurit bass sur la stratgie C-G-U-LD-A (A-GU-DL-P, en anglais). Cette stratgie procure une souplesse maximale tout
en rduisant la complexit de l'affectation des autorisations d'accs au
rseau. Implmentez galement un modle de scurit bas sur le rle pour
accorder les autorisations. Dans le domaine de la stratgie C-G-U-LD-A :
les comptes d'utilisateurs (C) sont ajouts aux groupes globaux (G) ;
les groupes globaux sont ajouts aux groupes universels (U) ;
les groupes universels sont ajouts aux groupes locaux de
domaine (LD) ;
les autorisations sur les ressources (A) sont affectes aux groupes locaux
de domaine.
Dsactivez le compte Administrateur et affectez aux utilisateurs et

administrateurs le moindre privilge ncessaire pour effecteur leurs tches
professionnelles.
Vous ne pouvez jamais supprimer ou retirer le compte Administrateur du
groupe intgr Administrateurs. Cependant, il est conseill de le dsactiver.
Mme lorsqu'un compte Administrateur est dsactiv, un intrus ou un
utilisateur non autoris peut utiliser un mode scuris pour accder un
contrleur de domaine. Le seul moyen de prvenir ce problme consiste
vrifier que les serveurs sont physiquement scuriss.
53
Instructions de planification d'une stratgie de groupe

Introduction
La planification d'une stratgie de groupe implique la planification de

l'utilisation des groupes globaux, groupes locaux de domaine et groupes
universels pour simplifier les tches d'administration.
Instructions
Utilisez les instructions suivantes pour planifier une stratgie de groupe :

!
Affectez les utilisateurs aux responsabilits professionnelles communes aux

groupes globaux. Identifiez les groupes d'aprs les tches que les membres
effectuent. Crez des groupes globaux pour ces utilisateurs, et ajoutez-y des
utilisateurs qui ont des responsabilits communes.
Crez un groupe local de domaine pour partager les ressources. Identifiez

les ressources partages, telles que les imprimantes, fichiers et dossiers.
Crez ensuite un groupe local de domaine pour chaque ressource, et ajoutez
des utilisateurs qui ont besoin d'accder ces ressources.
Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un
accs aux ressources. Lorsque vous souhaitez partager une ressource sur un
domaine entre plusieurs groupes globaux, ajoutez ces groupes globaux au
groupe local de domaine qui accorde l'accs la ressource partage.
Utilisez des groupes universels pour accorder l'accs aux ressources situes
dans plusieurs domaines. Si des comptes d'utilisateurs exigent d'accder
aux partages de fichier situs dans un domaine diffrent des comptes
d'utilisateurs, crez un groupe universel pour ces utilisateurs et accordez
l'accs au groupe universel pour ces partages de fichiers.
Utilisez des groupes universels lorsque l'appartenance est statique. Les

groupes universels fonctionnent mieux lorsque vous ajoutez des utilisateurs
qui ne sont pas susceptibles d'tre supprims frquemment du groupe
universel. Active Directory rplique chaque modification d'appartenance
dans un groupe universel, ce qui augmente le trafic rseau.
54
Remarque Si le niveau fonctionnel de la fort est dfini sur Windows 2000

natif et qu'une modification est apporte l'appartenance d'un groupe universel,
Active Directory rplique la totalit de la liste d'appartenance sur tous les autres
serveurs de catalogue global. Si le niveau fonctionnel de la fort est dfini sur
Windows Server 2003, seules les modifications sont rpliques sur les autres
serveurs de catalogue global. En d'autres termes, des modifications plus
frquentes de l'appartenance un groupe universel ont moins d'effet sur le
rseau que dans un niveau fonctionnel de fort Windows 2000.
Planification des
comptes de groupes
Utilisez le tableau suivant pour planifier des comptes de groupes : Il contient

des exemples d'informations pour un groupe universel nomm U RedAccts, qui
est cr dans le domaine Redmond. Ses membres incluent des groupes globaux
des domaines London, Vancouver et Denver.
Groupe
Description
Emplacement
Type
Membres
U RedAccts
Comptables
Domaine
Redmond
Groupe
universel
G LonAccts
G VanAccts
G DenAccts
55
Application pratique : Planification d'une stratgie de compte

Objectifs
Scnario
!
dterminer la stratgie d'attribution de nom de compte ;
dterminer la stratgie de mot de passe ;
dterminer la stratgie d'authentification, d'autorisation et d'administration ;
dterminer la stratgie de groupe pour votre fort.
Votre socit se trouve dans un environnement d'entreprise hautement

concurrentiel. Le maintien de la scurit des informations et des secrets
commerciaux est vital. Votre organisation compte 1000 utilisateurs dans une
fort Active Directory. La fort se compose d'un domaine racine vide nomm
nwtraders.msft, d'un domaine enfant nomm corp.nwtraders.msft qui contient
tous vos groupes de comptes et d'utilisateurs. Tous les contrleurs de domaines
de votre fort excutent Windows Server 2003. Le domaine racine contient
uniquement des comptes administrateur que vous utilisez pour effectuer des
tches d'administration l'chelle de la fort.
56
! Planifier une stratgie de compte

1. Quelle stratgie d'attribution de nom de compte allez-vous utiliser dans le
domaine corp ?
Les rponses varient. Une stratgie d'attribution de nom possible
consiste utiliser le prnom et l'initiale du nom de famille de
l'utilisateur. En cas de conflits de noms, rsolvez-les en utilisant au
moins deux caractres du nom de famille de l'utilisateur pour crer un
nom d'utilisateur unique.
____________________________________________________________
____________________________________________________________
2. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le
domaine corp ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :
Conserver l'historique des
mots de passe
24 mots de passe
mmoriss
Dure de vie maximale du mot de pass
42 jours
2 jours
8 caractres
Le mot de passe doit respecter des

exigences de complexit
Activ

cryptage rversible
Dsactiv
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
57
3. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le

domaine racine ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :
Conserver l'historique des

mots de passe
24 mots de passe
mmoriss
Dure de vie maximale du mot de passe
30 jours
7 jours
14 caractres
Le mot de passe doit respecter des exigences

de complexit
Activ

cryptage rversible
Dsactiv
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
4. Que comprendra votre stratgie d'authentification, d'autorisation et
d'administration ?
Votre stratgie devra se conformer aux indications suivantes :
Dfinissez une stratgie de verrouillage de compte qui verrouille les
comptes d'utilisateurs pendant 30 minutes aprs sept tentatives
d'ouverture de session infructueuses.
Exigez que les administrateurs ouvrent une session l'aide d'un
compte d'utilisateur normal et qu'ils effectuent toutes les tches
d'administration l'aide de la commande runas.
Exigez une authentification par carte puce pour tout accs distant
votre rseau.
Renommez et dsactivez le compte Administrateur dans chaque
domaine.
Implmentez un modle de scurit bas sur le rle lors de la
planification des groupes.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
58
5. Que comprendra votre stratgie de groupe ?

Votre stratgie devra se conformer aux indications suivantes :
Affectez les utilisateurs aux responsabilits professionnelles
communes aux groupes globaux.
Crez un groupe local de domaine pour les ressources partages.
Ajoutez aux groupes locaux de domaine des groupes globaux qui
exigent un accs aux ressources.
N'utilisez pas des groupes universels ( l'exception des groupes
Administrateurs de l'entreprise et Administrateurs du schma dans
le domaine racine) car tous les comptes d'utilisateurs, comptes de
groupes et ressources non administratifs seront situs dans le
domaine corp.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
59
Leon : Planification d'une stratgie d'audit Active

Directory

Introduction
la fin de cette leon, vous comprendrez pourquoi il est important d'auditer

l'accs des utilisateurs Active Directory et de savoir planifier une stratgie
d'audit Active Directory.
!
expliquer la ncessit d'auditer un accs Active Directory ;
expliquer les instructions d'analyse des modifications apportes

Active Directory.
60
Pourquoi auditer l'accs Active Directory ?

Introduction
Vous devez utiliser la fonctionnalit d'audit pour assurer un suivi des

activits lies la scurit sur un systme. tant donn qu'Active Directory
stocke des informations sur tous les objets qui existent dans un rseau
Windows Server 2003, vous devez assurer un suivi des modifications apportes
ces objets et leurs attributs. Par exemple, vous devrez peut-tre auditer des
modifications apportes l'appartenance un groupe ou des composants de
l'infrastructure Active Directory, tels qu'aux objets du site ou au schma
Active Directory.
Rle de l'audit
d'Active Directory
Lors de l'audit d'Active Directory, vous enregistrez les modifications apportes

Active Directory et les tentatives de modification infructueuses d'Active
Directory afin d'effectuer les oprations suivantes :
!
enregistrer toutes les modifications apportes Active Directory.

L'enregistrement des modifications russies assure que le personnel autoris
ne procde pas des modifications non autorises sur des objets Active
Directory. Il est galement utile pour rparer des modifications incorrectes
d'Active Directory. Par exemple, si des autorisations ont t appliques au
mauvais groupe, ce qui a permis un groupe de personnes erron d'accder
aux ressources, vous pouvez utiliser le journal d'audit pour identifier quel
moment la modification a t faite et par qui ;
61
assurer un suivi de l'accs une ressources ou par un compte spcifique.

Le suivi de l'accs vous aide comprendre des vnements qui se produisent
sur votre rseau. Par exemple, si une application utilise un compte de service
pour accder aux ressources et que l'application ne fonctionne pas
correctement, le journal d'audit peut vous aider identifier le problme ;
dtecter et enregistrer les tentatives d'accs infructueuses. L'enregistrement

des tentatives infructueuses d'accs aux ressources ou de modifications
d'Active Directory vous aide identifier les risques de scurit externes
et externes.
Pour auditer des modifications apportes, avec succs ou non, des objets ou
attributs Active Directory, vous devez activer l'audit des services d'annuaire sur
tous les contrleurs de domaine et configurer une liste SACL (System Access
Control List) pour chaque objet ou attribut que vous souhaitez auditer.
62
Instructions d'analyse des modifications apportes

Active Directory

Introduction
Des audits russis gnrent une entre d'audit lorsqu'un vnement de gestion
des comptes s'excute avec succs. Mme si les vnements de gestion des
comptes russis sont gnralement inoffensifs, ils fournissent un enregistrement
inestimable d'activits pouvant compromettre la scurit d'un rseau.
Instructions
Utilisez les instructions suivantes lors de la cration d'une stratgie d'audit :

!
Activez l'audit des vnements de gestion des comptes. Auditez les

modifications russies suivantes :
la cration, la modification ou la suppression des comptes de groupes
ou d'utilisateurs ;
l'activation, la dsactivation ou le changement de nom des comptes
d'utilisateurs ;
la modification des mots de passe ou de la stratgie de scurit de
l'ordinateur.
Activez l'audit des succs des modifications de stratgie. Si l'audit de ces

modifications et des modifications de stratgie de gestion des comptes n'est
pas activ, un intrus peut potentiellement corrompre la scurit d'un rseau
sans journal d'audit.
Par exemple, si un administrateur a fait du compte d'utilisateur Sandy un
membre du groupe Oprateurs de sauvegarde, l'audit enregistrera un
vnement de gestion des comptes. Cependant, si le mme administrateur
a accord au compte Sandy le droit d'utilisateur avanc Sauvegarde des
fichiers et dossier, l'audit n'enregistrera pas d'vnement de gestion
des comptes.

!
63
Activez l'audit des checs des vnements systme. Ce paramtre de scurit

gnre un vnement lorsqu'un utilisateur tente en vain de redmarrer ou de
fermer un ordinateur ou encore de modifier la scurit du systme ou le
journal de scurit. Activez ce paramtre de stratgie d'audit pour tout
le domaine.
Des vnements d'chec dans la catgorie d'vnements systme peuvent
dtecter une activit inhabituelle, comme celle d'un intrus qui tente
d'accder votre rseau ou votre ordinateur. Le nombre d'audits gnr
lorsque ce paramtre est activ tend tre relativement faible, tandis que la
qualit des informations obtenues de ces vnements tend tre
relativement leve.
Activez l'audit des checs des vnements de modification de stratgie et des

vnements de gestion des comptes uniquement lorsque cela est ncessaire.
Le nombre d'audit gnr lorsque ces paramtres sont activs peut tre trs
lev. Veillez alors ne les activer que lorsque cela est ncessaire.
Attention L'activation des audits des checs pour ces vnements peut
reprsenter un risque pour votre organisation. Si des utilisateurs tentent
d'accder une ressource pour laquelle ils n'ont pas d'autorisation, ils peuvent
crer tant d'audits des checs que le journal de scurit devient rapidement
plein. L'ordinateur ne peut alors plus collecter d'audits. Si le paramtre de
stratgie Audit : arrter immdiatement le systme s'il n'est pas possible
de se connecter aux audits de scurit est activ, les serveurs se fermeront
lorsque le journal sera plein. Si tel est le cas, des intrus peuvent lancer une
attaque de refus de service en utilisant votre stratgie d'audit.
Remarque Pour plus d'informations sur l'activation d'un audit, consultez le
Module 10, Implmentation de modles d'administration et d'une stratgie
d'audit , du cours 2144, Administration d'un environnement Microsoft
64
Application pratique : Planification d'une stratgie d'audit

Objectifs
Dans cette application pratique, vous allez dterminer les stratgies d'audit
activer pour Active Directory.
Scnario
Vous devez planifier une stratgie d'audit pour Northwind Traders, qui compte
1000 utilisateurs dans une fort Active Directory. Votre fort se compose d'un
domaine racine vide nomm nwtraders.msft et d'un domaine enfant nomm
corp.nwtraders.msft qui contient tous vos groupes de comptes et d'utilisateurs.
! Planifier une stratgie d'audit

Pour quels vnements allez-vous activer l'audit ?
____________________________________________________________
____________________________________________________________
Les rponses varient. La stratgie recommande consiste activer
l'audit des succs pour le systme, la modification de stratgie et la
gestion des comptes. Elle consiste aussi activer l'audit des checs pour
les vnements systme. Il n'est pas recommand d'activer l'audit des
checs pour d'autres vnements moins que vous auditiez
spcifiquement en vue de dtecter des intrusions.
65
Atelier A : Implmentation d'une stratgie de compte

et d'audit

Objectifs
Connaissances
pralables
Scnario
Dure approximative
de cet atelier :
60 minutes
!

d'ordinateurs ;
planifier une stratgie d'audit Active Directory ;
dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort.

!
connatre les instructions de planification d'une stratgie de compte ;
connatre les instructions de planification d'une stratgie d'audit.
La socit Northwind Traders implmente Windows Server 2003 sur son

rseau. Elle prvoie d'utiliser une fort avec deux domaines, savoir un
domaine racine vide et un domaine d'entreprise. Le domaine d'entreprise
contiendra les comptes d'utilisateurs, de groupes et d'ordinateurs.
66
Exercice 1
Planification d'une stratgie de compte et d'audit
Dans cet exercice, vous allez planifier une stratgie d'attribution de nom de compte pour la nouvelle
fort de Northwind Traders. Utilisez les instructions fournies par l'quipe d'ingnierie et de
conception.
Scnario
La nouvelle fort se composera d'un domaine racine vide nomm nwtraders.msft et d'un domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La socit possde
des bureaux dans sept villes.
Votre stratgie de compte et d'audit devra tenir compte des conditions suivantes :
!
La stratgie d'attribution de nom des comptes d'utilisateurs doit permettre aux employs qui ne
connaissent que le prnom et le nom de famille d'un autre utilisateur de dterminer facilement
l'adresse lectronique de celui-ci.
La stratgie d'attribution de nom des comptes d'ordinateurs doit permettre aux employs
d'identifier facilement l'emplacement et le rle d'un ordinateur.
Tous les employs doivent possder une adresse lectronique de type

Nom_Utilisateur@nwtraders.msft.
La stratgie d'audit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises d'Active Directory.
Tches
1.
Planifier une stratgie d'attribution de nom de compte d'utilisateur pour la fort nwtraders.msft.
De quoi se composeront les noms de compte d'utilisateur ?
Quelle stratgie allez-vous utiliser pour rsoudre des conflits de noms de comptes d'utilisateurs ?
Qu'allez-vous utiliser comme suffixe UPN pour les comptes d'utilisateurs ?
Tches
2.
Planifier une stratgie d'attribution de nom de compte d'ordinateur pour la fort nwtraders.msft.
Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ?
Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ?
3.
Planifier une stratgie de mot de passe pour la fort nwtraders.msft.

Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine nwtraders.msft ?
Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine corp.nwtraders.msft ?
4.
Planifier une stratgie d'audit pour la fort nwtraders.msft.

Quels paramtres d'audit des succs allez-vous inclure votre plan ?
Quels paramtres d'audit des checs allez-vous inclure votre plan ?
67
68
Exercice 2
Cration de comptes l'aide de l'outil Csvde
Dans cet exercice, vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir d'un fichier d'importation .csv cr pour vous l'aide de
Microsoft Excel.
Scnario
En tant qu'administrateur chez Northwind Traders, vous recevez quotidiennement des requtes pour
de nouveaux comptes d'utilisateurs. Un membre de l'quipe entre les requtes dans une feuille de
calcul, qui est enregistre dans un format valeurs spares par des virgules, galement appel
format .csv (Comma Separated Value). Au dbut de chaque journe de travail, vous tes charg
d'importer ce fichier dans Active Directory pour crer les comptes d'utilisateurs.
Tches
1.
Utiliser l'outil de ligne de

commande Csvde pour
importer le fichier .csv dans
Active Directory.
2.
Utiliser la console
Active Directory pour
dterminer les units
d'organisation, utilisateurs et
groupes nouvellement crs.
"
Le nom du fichier .csv est le mme que celui du domaine hberg par
votre ordinateur. Ce fichier se trouve dans le dossier <dossier
d'installation>MOC\2194\Labfiles\Lab4 sur votre ordinateur.
Quelles sont les units d'organisation nouvellement cres ?
Parmi les nouvelles units d'organisation, lesquelles contiennent des comptes d'utilisateurs et de groupes ?
69
Exercice 3
Cration d'un suffixe UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.
Scnario
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
l'aide d'un suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous allez
crer ce suffixe UPN dans votre fort pour votre ville.
Tches
1.
Crer un nouveau suffixe

UPN dans votre fort
nomm Votre_Ville.
a.

b. Utilisez Excuter en tant que pour dmarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec

2.
Activer le routage du
nouveau suffixe UPN vers
la fort nwtraders.msft.
Quel est l'tat du suffixe UPN Votre_Ville aprs l'avoir activ ?
Que pouvez-vous faire pour rsoudre ce conflit de routage du suffixe UPN ?
70
Exercice 4
Dplacement d'un groupe d'utilisateurs
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier partag sur
votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit d'organisation
situe dans l'autre domaine de votre fort. Enfin, vous allez vrifier que le groupe dplac possde
encore les autorisations sur le dossier partag sur votre serveur.
Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe d'utilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
d'utilisateurs doivent tre dplacs vers un autre emplacement de la fort. Il faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.
Tches
1.
2.
Crer et partager un dossier

sur votre serveur nomm
ITAdmin, puis accorder au
groupe global G IT Admins
des autorisations NTFS
Contrle total sur le dossier
et des autorisations Contrle
total sur le partage.
a.

b. Utilisez la commande Excuter en tant que pour dmarrer la console
Gestion de l'ordinateur en tant que Votre_Domaine\Administrateur

Utiliser Ldp.exe pour

examiner l'identificateur
SID, l'historique SID et
l'identificateur GUID de
l'objet groupe global G IT
Admins situ dans l'unit
d'organisation Admin\IT
Groups du domaine hberg
par votre ordinateur
stagiaire.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?
3.
Installer l'outil de migration

Active Directory sur votre
ordinateur.
a.
Utilisez la commande Excuter en tant que pour dmarrer une invite

de commandes en tant que Votre_Domaine\Administrateur avec le
b. l'invite de commandes, dmarrez l'installation en tapant
\\London\OS\ADMT\ADM_0001.MSI puis appuyez sur ENTRE

pour dmarrer l'installation.
71
Tches
4.
5.
Utiliser l'outil de migration

dplacer le groupe global G
IT Admins et ses membres
dans l'unit d'organisation
IT Test\IT Test Move situe
dans l'autre domaine de
votre fort.
Utiliser Ldp.exe pour
examiner l'identificateur
SID, l'historique SID et
l'identificateur GUID de
l'objet groupe global G IT
Admins de l'unit
d'organisation IT Test\IT
Test Move situe dans le
domaine de dplacement.
"
Utilisez la commande Excuter en tant que pour ouvrir l'outil de

migration Active Directory en tant que nwtradersx\Administrator
Remarque : la bote de dialogue Avance de la Migration peut
indiquer la prsence d'erreurs. Ces erreurs ont t gnres lorsque
vous avez renomm les utilisateurs et le groupe avec l'extension
dplace. Ignorez ces messages d'erreur.
Remarque : le groupe G IT Admins peut avoir t renomm
G IT Adminsdplacs dans le cadre du processus de dplacement.
"
Aprs avoir rpondu la question ci-dessous, dans le menu Connexion,

cliquez sur Quitter.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?
L'une des entres objectGUID, ObjectSID ou sIDHistory a-t-elle t modifie suite au dplacement ?
6.
Utiliser l'Explorateur
Windows pour afficher les
autorisations affectes au
dossier ITAdmin que vous
avez cr et partag
l'tape 1.
Est-ce que le groupe auquel vous avez accord les autorisations pour ce dossier l'tape 1 possde toujours
des autorisations Contrle total sur le dossier ? Expliquez pourquoi.
Module 5 :
Implmentation d'une
stratgie de groupe
Table des matires
Vue d'ensemble
Leon : Cration et configuration d'objets

Stratgie de groupe
Leon : Configuration des frquences

d'actualisation et des paramtres de
stratgie de groupe
19
Leon : Gestion des objets Stratgie de

groupe
32
Leon : Vrification et rsolution des

problmes lis la stratgie de groupe
47
Leon : Dlgation du contrle

administratif de la stratgie de groupe
56

de groupe pour l'entreprise
66
Atelier A : Implmentation d'une

stratgie de groupe
74
iii
Prsentation :
180 minutes
Atelier :
75 minutes
Documents de cours
Ce module fournit aux stagiaires les connaissances et les comptences

ncessaires pour planifier et implmenter une stratgie de groupe afin de grer
de faon centralise les utilisateurs et les ordinateurs d'une entreprise.
suivantes :
!
crer et configurer des objets Stratgie de groupe (GPO, Group Policy

Object) ;
configurer les frquences d'actualisation de la stratgie de groupe et les

paramtres de stratgie de groupe ;
grer les objets Stratgie de groupe ;
vrifier et rsoudre les problmes lis la stratgie de groupe ;
dlguer le contrle administratif de la stratgie de groupe ;
planifier une stratgie de groupe pour l'entreprise.

!
Fichier Macromedia Flash 2144A_2274_6_A_IntroGP.swf
Fichier Macromedia Flash 2144A_2274_6_I_GP.swf

Prparation

!

raliser l'atelier ;
lire le module 8, Implmentation d'une stratgie de groupe , du

cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003 ;
lire le module 9, Administration de l'environnement utilisateur au moyen

de la stratgie de groupe , du cours 2144A, Administration d'un
environnement Microsoft Windows Server 2003 ;
lire l'article, Enterprise Management with the Group Policy Management

Console (en anglais) l'adresse :
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
iv

ce module.
connaissances.
Procdures,
applications

une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche.
Les stagiaires n'effectuent pas les tches en mme temps que vous. Ils se
servent des tapes dcrites pour effectuer l'application pratique la fin de
chaque leon.
Ateliers
du module.
Leon : Cration et configuration d'objets Stratgie de groupe

Dans cette leon, les stagiaires passent en revue les concepts de base de
l'implmentation d'une stratgie de groupe, notamment comment spcifier un
contrleur de domaine pour la gestion des objets Stratgie de groupe (GPO,
Group Policy Object), comment filtrer les paramtres de stratgie de groupe
l'aide des filtres WMI (Windows Management Instrumentation), ou encore
comment configurer le mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur.
La leon dbute par une prsentation multimdia expliquant les concepts de
base de la stratgie de groupe. Comme ces concepts sont dcrits en dtail
dans le cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003, l'animation rsume simplement les tches. Si certains stagiaires ne
connaissent pas les concepts de base de la stratgie de groupe, orientez-les vers
le module 8, Implmentation d'une stratgie de groupe , du cours 2144A.
Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
conteneurs de Stratgies de groupe.
Au cours des applications pratiques et la fin de la leon, demandez aux

stagiaires de se reporter au scnario d'entreprise pour crer et configurer des
objets Stratgie de groupe.
Leon : Configuration des frquences d'actualisation et des

paramtres de stratgie de groupe
Dans cette leon, les stagiaires vont apprendre comment contrler le traitement
de la stratgie de groupe et comment la stratgie de groupe dtermine une
liaison lente. Indiquez l'ordre dans lequel Microsoft Windows Server 2003
traite les paramtres de stratgie de groupe pour les ordinateurs et les
utilisateurs, puis montrez les procdures de configuration du traitement de la
stratgie de groupe.
Pour plus d'informations sur le traitement des stratgies de groupe, orientez
les stagiaires vers les annexes, dans lesquelles figurent un exemple de script
d'ouverture de session et l'algorithme utilis par la stratgie de groupe pour
dtecter les liaisons lentes.

stagiaires de se reporter au scnario d'entreprise pour configurer le traitement
de la stratgie de groupe.
vi
Leon : Gestion des objets Stratgie de groupe

Dans cette leon, les stagiaires apprennent grer des objets Stratgie de
groupe l'aide de la nouvelle fonctionnalit de gestion de stratgie de groupe
de Windows Server 2003. Rappelez aux stagiaires que lorsqu'ils installent la
console Gestion de stratgie de groupe (GPMC, Group Policy Management
Console), celle-ci remplace l'onglet Stratgie de groupe du composant
Utilisateurs et ordinateurs Active Directory.

stagiaires de se reporter au scnario d'entreprise pour grer des objets Stratgie
de groupe.
Leon : Vrification et rsolution des problmes lis la stratgie

de groupe
Cette leon dcrit les diffrents utilitaires et outils de ligne de commande
utiliss pour identifier les problmes courants lis l'implmentation d'une
stratgie de groupe, ainsi que les stratgies de rsolution de ces problmes.
Orientez les stagiaires vers la page d'annexe pour plus d'informations sur
l'utilisation de l'outil de ligne de commande Gpresult.exe pour la vrification
des paramtres de stratgie de groupe, et sur l'activation de l'enregistrement
des diagnostics et de l'enregistrement des commentaires pour le contrle de la
stratgie de groupe.

stagiaires de se reporter au scnario d'entreprise pour vrifier et rsoudre les
problmes lis la stratgie de groupe.
Leon : Dlgation du contrle administratif de la stratgie de

groupe
Dans cette leon, les stagiaires apprennent dlguer le contrle administratif
d'un objet Stratgie de groupe des utilisateurs qui ont besoin de ce contrle
mais ne disposent pas de privilges administratifs pour le conteneur auquel
l'objet est li.
Expliquez comment la console Gestion de stratgie de groupe a simplifi
la dlgation de stratgie de groupe. Indiquez aux stagiaires les annexes
consulter pour plus d'informations sur la dlgation du contrle administratif.

stagiaires de se reporter au scnario d'entreprise pour dlguer le contrle
administratif de la stratgie de groupe.
vii
Leon : Planification d'une stratgie de groupe pour l'entreprise

Cette leon fournit les instructions ncessaires pour planifier une stratgie de
groupe. Discutez des instructions permettant de dterminer l'hritage des objets
Stratgie de groupe, la stratgie de groupe pour des sites, domaines et units
d'organisation (OU, Organizational Unit), l'administration et le dploiement des

stagiaires de se reporter au scnario d'entreprise pour planifier une stratgie de
groupe pour l'entreprise.
Atelier A : Implmentation d'une stratgie de groupe

Dans cet atelier, les stagiaires crent et configurent des objets Stratgie
de groupe, lient des objets Stratgie de groupe et vrifient les paramtres
de stratgie de groupe. Les stagiaires travaillent de manire autonome.
Assurez-vous que la console Gestion de stratgie de groupe est installe
avant qu'ils ne dbutent l'atelier.
L'atelier de ce module requiert l'installation de la console Gestion de stratgie

de groupe. Avant de prparer les ordinateurs des stagiaires, assurez-vous qu'ils
ont termin l'application pratique intitule Cration et configuration d'objets
Stratgie de groupe.
ci-dessous.
!
Elle cre des units d'organisation Accounting (comptabilit), Accounts

Receivable (Crances) et Accounts Payable (Dettes) ;
Elle cre des objets Stratgie de groupe Accounting, Accounts Receivable et

Accounts Payable.
Vue d'ensemble

Introduction
L'utilisation de la stratgie de groupe dans le service d'annuaire Active

Directory permet de grer de faon centralise les utilisateurs et les
ordinateurs d'une entreprise. Vous pouvez centraliser les stratgies en
dfinissant une stratgie de groupe pour toute une organisation au niveau du
domaine du site ou au niveau d'une unit d'organisation (OU, Organizational
Unit). Ou bien, vous pouvez dcentraliser les paramtres de stratgie de groupe
en dfinissant une stratgie de groupe pour chaque service au niveau d'une unit
d'organisation.
Vous pouvez vous assurer que chaque utilisateur dispose de l'environnement
utilisateur dont il a besoin pour travailler, tout en appliquant les stratgies de
l'organisation, notamment les rgles, les objectifs et les besoins en matire
de scurit. Par ailleurs, vous pouvez abaisser le cot total de possession en
contrlant les environnements utilisateur et ordinateur, et en rduisant de ce
fait le niveau de support technique ncessaire aux utilisateurs et la perte de
productivit lie aux erreurs des utilisateurs.
Objectifs

!
crer et configurer des objets Stratgie de groupe (GPO, Group Policy

Object) ;
configurer les frquences d'actualisation de la stratgie de groupe et les

paramtres de stratgie de groupe ;
grer les objets Stratgie de groupe ;
vrifier et rsoudre les problmes lis la stratgie de groupe ;
dlguer le contrle administratif de la stratgie de groupe ;
planifier une stratgie de groupe pour l'entreprise.
Leon : Cration et configuration d'objets Stratgie

de groupe

Introduction
La stratgie de groupe vous donne le contrle administratif sur les utilisateurs

et les ordinateurs de votre rseau. L'utilisation d'une stratgie de groupe vous
permet de dfinir une seule fois l'tat de l'environnement de travail d'un
utilisateur, puis de laisser Microsoft Windows Server 2003 appliquer les
paramtres de stratgie de groupe que vous avez dfinis. Vous pouvez appliquer
des paramtres de stratgie de groupe une organisation entire ou des
groupes spcifiques d'utilisateurs et d'ordinateurs.
!
expliquer la finalit de la stratgie de groupe et son traitement dans Active

Directory ;
dcrire les composants d'un objet Stratgie de groupe ;
expliquer la finalit de la spcification d'un contrleur de domaine pour

la gestion des objets Stratgie de groupe ;
spcifier un contrleur de domaine pour la gestion des objets Stratgie

de groupe ;
expliquer le rle des filtres WMI (Windows Management Instrumentation) ;
filtrer les paramtres de stratgie de groupe l'aide de filtres WMI ;
expliquer la finalit du traitement par boucle de rappel ;
configurer le mode de traitement par boucle de rappel de la stratgie de

groupe utilisateur.
Prsentation multimdia : Introduction aux stratgies de groupe

Pour commencer la prsentation Introduction aux stratgies de groupe, ouvrez

la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
l'instructeur.
Objectifs
Types de paramtres
dcrire les types de paramtres que vous pouvez dfinir dans une stratgie
de groupe ;
dcrire la faon dont Windows Server 2003 applique des objets Stratgie de
groupe.
Vous pouvez configurer des paramtres de stratgie de groupe pour dfinir les
stratgies affectant les utilisateurs et les ordinateurs. Le tableau suivant prsente
les types de paramtres que vous pouvez configurer.
Type de paramtre
Description
Modles d'administration
Paramtres bass sur le Registre permettant de configurer

les paramtres d'application et les environnements de
station de travail utilisateur.
Scripts
Paramtres permettant de spcifier quel moment

Windows Server 2003 excute des scripts spcifiques.
Services d'installation
distance
Paramtres qui contrlent les options dont disposent les

utilisateurs lorsqu'ils excutent l'Assistant Installation de
clients utilis par les services d'installation distance
(RIS, Remote Installation Services).
Maintenance Internet
Explorer
Paramtres permettant d'administrer et de personnaliser

Microsoft Internet Explorer sur des ordinateurs excutant

(suite)
Type de paramtre
Description
Redirection de dossiers
Paramtres permettant de stocker des dossiers de profils

d'utilisateurs spcifiques sur un serveur rseau.
Scurit
Paramtres permettant de configurer la scurit des

ordinateurs locaux, du domaine et du rseau.
Installation de logiciels
Paramtres permettant de centraliser la gestion des

installations, des mises jour et des suppressions de
logiciels.
Flux d'hritage
Les objets Stratgie de groupe sont lis des sites, domaines et units
d'organisation. Vous pouvez dfinir des stratgies centralises qui vont affecter
l'organisation entire et des stratgies dcentralises qui affecteront un service
particulier. Il n'existe pas de hirarchie de domaines comme pour les units
d'organisation, avec les units parent-enfant.
Ordre de traitement
des objets Stratgie
de groupe
L'ordre dans lequel Windows Server 2003 applique des objets Stratgie de
groupe est fonction du conteneur Active Directory auquel les objets Stratgie de
groupe sont lis. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux units d'organisation des domaines.
Paramtres des objets

Stratgie de groupe
valeurs multiples
Certains paramtres des objets Stratgie de groupe sont valeurs multiples.

Ces paramtres sont traits comme des paramtres valeur simple. En d'autres
termes, si le paramtre est dfini dans plusieurs objets Stratgie de groupe,
seuls les paramtres de l'un des objets Stratgie de groupe observant les rgles
d'hritage seront appliqus.
Blocage de l'hritage
Vous pouvez empcher un conteneur enfant d'hriter de tous les objets Stratgie
de groupe de ses conteneurs parents en activant le blocage de l'hritage pour
le conteneur enfant. Le blocage de l'hritage peut s'avrer utile lorsqu'un
conteneur Active Directory requiert des paramtres de stratgie de groupe
uniques.
Option Appliqu
L'option Appliqu (appele Ne pas passer outre si la console Gestion de

stratgie de groupe n'est pas installe) est un attribut de la liaison, et non de
l'objet Stratgie de groupe. Si le mme objet Stratgie de groupe est li ailleurs,
l'option Appliqu ne s'applique pas cette liaison, sauf si vous modifiez
galement la liaison. Si un objet Stratgie de groupe est li plusieurs
conteneurs, vous pouvez configurer l'option Appliqu individuellement pour
chaque conteneur. Lorsque plusieurs liaisons sont dfinies sur Appliqu, les
objets Stratgie de groupe lis sont appliqus un conteneur commun. S'ils
comportent des paramtres en conflit, l'objet Stratgie de groupe le plus haut
dans la hirarchie Active Directory est prioritaire.
Filtrer des objets

Stratgie de groupe
Vous pouvez avoir besoin de lier des objets Stratgie de groupe associs
d'autres objets d'annuaire. En dfinissant les autorisations appropries pour les
groupes de scurit, vous pouvez filtrer la stratgie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spcifis.
Console Gestion de
stratgie de groupe
La console Gestion de stratgie de groupe est compose d'un ensemble

d'interfaces programmables destines la gestion des stratgies de groupe et
d'un composant logiciel enfichable MMC (Microsoft Management Console)
bas sur ces interfaces programmables. Ensemble, les composants de la console
Gestion de stratgie de groupe unifient la gestion des stratgies de groupe dans
l'entreprise.
Remarque Pour plus d'informations sur la cration et la liaison d'objets
Stratgie de groupe et l'hritage des stratgies de groupe, reportez-vous au
module 8 Implmentation d'une stratgie de groupe du cours 2144A,
Administration d'un environnement Microsoft Windows Server 2003.
Composants d'un objet Stratgie de groupe

Introduction
Windows Server 2003 applique les paramtres de stratgie de groupe contenus

dans l'objet Stratgie de groupe aux objets utilisateur et ordinateur du site, du
domaine ou de l'unit d'organisation associ l'objet Stratgie de groupe. Le
contenu d'un objet Stratgie de groupe est stock deux emplacements : dans
le conteneur Stratgie de groupe (GPC, Group Policy Container) et dans le
modle Stratgie de groupe (GPT, Group Policy Template).
Conteneur Stratgie
de groupe
Le conteneur Stratgie de groupe est un objet Active Directory qui contient

l'tat de l'objet Stratgie de groupe, les informations de version, les
informations de filtre WMI et une liste des composants dont les paramtres se
trouvent dans l'objet Stratgie de groupe. Les ordinateurs peuvent accder au
conteneur Stratgie de groupe pour localiser des modles Stratgie de groupe,
et les contrleurs de domaine peuvent y accder pour obtenir des informations
de version. Si le contrleur de domaine ne possde pas la dernire version de
l'objet Stratgie de groupe, la rplication a lieu.
Modle Stratgie
de groupe
Le modle Stratgie de groupe est une arborescence de dossiers situe dans le

dossier SYSVOL d'un contrleur de domaine. Lorsque vous crez un objet
Stratgie de groupe, Windows Server 2003 cre le modle Stratgie de groupe
correspondant qui contient tous les paramtres et informations de stratgie de
groupe, y compris les modles d'administration, la scurit, l'installation de
logiciel, les scripts et les paramtres de redirection de dossiers. Les ordinateurs
se connectent au dossier SYSVOL pour obtenir les paramtres.
Le nom du dossier du modle Stratgie de groupe est l'identificateur unique

global (GUID, Globally Unique IDentifier) de l'objet Stratgie de groupe que
vous avez cr. Il est identique au GUID utilis par Active Directory pour
identifier l'objet Stratgie de groupe dans le conteneur Stratgie de groupe.
Le chemin d'accs au modle Stratgie de groupe d'un contrleur de domaine
est racine_systme\SYSVOL\sysvol.
Remarque Pour plus d'informations sur le modle Stratgie de groupe,
reportez-vous la section Composants d'un objet Stratgie de groupe
du module 5, la page Annexes du CD-ROM des stagiaires.
Pourquoi spcifier un contrleur de domaine pour la gestion des

objets Stratgie de groupe ?

Introduction
La console Gestion de stratgie de groupe utilise l'mulateur de contrleur

principal de domaine (PDC, Primary Domain Controller) de chaque domaine
comme contrleur de domaine par dfaut.
Pourquoi slectionner
un contrleur de
domaine particulier ?
Afin d'viter les conflits de rplication, envisagez de slectionner un contrleur

de domaine, d'autant plus que les donnes de l'objet Stratgie de groupe rsident
la fois dans Active Directory et dans le dossier SYSVOL. Active Directory
utilise deux mcanismes de rplication indpendants pour rpliquer les donnes
des objets Stratgie de groupe sur les diffrents contrleurs de domaine du
domaine. Si deux administrateurs modifient simultanment un mme objet
Stratgie de groupe sur des contrleurs de domaine diffrents, les modifications
de l'un des administrateurs risquent de remplacer celles de l'autre, en fonction
de la latence de rplication.
mulateur PDC
Par dfaut, la console Gestion de stratgie de groupe utilise l'mulateur PDC de

chaque domaine pour garantir que tous les administrateurs utilisent le mme
contrleur de domaine. Il peut cependant arriver que vous ne souhaitiez pas
utiliser l'mulateur PDC. Par exemple, si vous vous trouvez sur un site distant,
ou si la majorit des utilisateurs ou des ordinateurs cibls par l'objet Stratgie
de groupe se trouve dans un emplacement distant, vous pouvez cibler un
contrleur de domaine cet emplacement.
Important Si plusieurs administrateurs grent un objet Stratgie de groupe
commun, il est recommand qu'ils utilisent tous le mme contrleur de domaine
pour modifier un objet Stratgie de groupe particulier, et ce, afin d'viter les
collisions au niveau des services de rplication de fichiers (FRS, File
Replication Services).
Options de slection
d'un contrleur de
domaine
Vous pouvez spcifier un contrleur de domaine pour la gestion des objets

Stratgie de groupe en slectionnant l'une des options suivantes :
!
Le contrleur de domaine avec le jeton de matre d'oprations pour

l'mulateur PDC. Il s'agit de l'option par dfaut, utiliser de prfrence.
Tout contrleur de domaine disponible. Lorsque vous utilisez cette

option, vous allez probablement slectionner un contrleur de domaine du
site local.
Tout contrleur de domaine excutant Windows Server 2003 ou version

ultrieur. Cette option n'est pas disponible dans les environnements
comportant la fois des serveurs Windows Server 2003 et Windows 2000.
Ce contrleur de domaine. Lorsque vous utilisez cette option, vous

slectionnez le contrleur de domaine actuel.
10
Comment spcifier un contrleur de domaine pour la gestion des

objets Stratgie de groupe

Introduction
Utilisez la console Gestion de stratgie de groupe pour spcifier un contrleur

de domaine pour des domaines ou des sites.
Procdure
Pour spcifier un contrleur de domaine, procdez comme suit :

1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort,
dveloppez Domaines, puis utilisez l'une des mthodes suivantes :
Pour spcifier un contrleur de domaine utiliser pour des oprations du
domaine, cliquez avec le bouton droit sur le domaine requis, puis cliquez
sur Modifier le contrleur de domaine.
Pour spcifier un contrleur de domaine utiliser pour des oprations
sur sites, cliquez avec le bouton droit sur Sites, puis cliquez sur
Modifier le contrleur de domaine.
2. Dans la bote de dialogue Modifier le contrleur de domaine, sous
Remplacer par, cliquez sur Ce contrleur de domaine, puis sur OK.
11
Dfinition des filtres WMI

Introduction
Utilisez des filtres WMI pour dterminer de faon dynamique l'tendue des
objets Stratgie de groupe partir des attributs de l'utilisateur ou de l'ordinateur.
De cette faon, vous pouvez tendre les capacits de filtrage des objets Stratgie
de groupe au-del des mcanismes de filtrage des groupes de scurit qui
taient prcdemment disponibles.
Comment fonctionne
un filtre WMI ?
Un filtre WMI est li un objet Stratgie de groupe. Lorsque vous appliquez un

objet Stratgie de groupe l'ordinateur de destination, Active Directory value
le filtre sur l'ordinateur de destination. Un filtre WMI se compose d'une ou de
plusieurs requtes values par Active Directory en fonction de l'espace de
stockage WMI de l'ordinateur de destination. Si la valeur totale des requtes
est faux (false), Active Directory n'applique pas l'objet Stratgie de groupe.
Si toutes les requtes sont vraies (true), Active Directory applique l'objet
Stratgie de groupe. Vous crivez la requte l'aide du langage WQL (WMI
Query Language), qui est un langage similaire SQL pour interroger l'espace
de stockage WMI.
Chaque objet Stratgie de groupe ne peut comporter qu'un seul filtre WMI.
Vous pouvez en revanche lier un mme filtre WMI plusieurs objets Stratgie
de groupe. Tout comme les objets Stratgie de groupe, les filtres WMI sont
appliqus un seul objet du domaine la fois.
Utilisations des
filtres WMI
Vous pouvez utiliser des filtres WMI pour cibler des stratgies bases sur
diffrents objets du rseau. La liste ci-dessous fournit quelques exemples
d'utilisations de filtres WMI.
!
Services. Ordinateurs sur lesquels DHCP est install et en cours d'excution.
Inventaire matriel. Ordinateurs quips d'un processeur Pentium III et d'au

moins 128 mgaoctets (Mo) de mmoire vive.
Configuration logicielle. Ordinateurs sur lesquels la multidiffusion est active.
12
Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratgie de groupe.
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la
section Dfinition des filtres WMI de la page d'annexe du module 5 sur le
13
Comment filtrer des paramtres de stratgie de groupe l'aide de

filtres WMI

Introduction
Vous pouvez crer de nouveaux filtres WMI partir du conteneur Filtres WMI
de la console Gestion de stratgie de groupe. Vous pouvez galement importer
un filtre qui a t prcdemment export.
Procdure
Pour crer un filtre WMI et le lier un objet Stratgie de groupe, procdez

comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez successivement
la fort contenant l'objet Stratgie de groupe auquel ajouter un filtre WMI,
Domaines, le domaine contenant l'objet Stratgie de groupe, Filtres WMI,
cliquez avec le bouton droit sur Filtres WMI, puis sur Nouveau.
2. Dans la bote de dialogue Nouveau filtre WMI, dans la zone Nom,
entrez un nom pour la requte.
3. Dans la zone Description, entrez une description pour la requte.
4. Cliquez sur Ajouter.
5. Dans la bote de dialogue Requte WMI, dans la zone Espace de noms,
entrez le chemin d'accs l'espace de nom de la requte ou cliquez sur
Parcourir pour afficher la liste des espaces de noms disponibles.
Pour chaque requte, vous devez spcifier l'espace de noms WMI o la
requte doit tre excute. L'espace de noms par dfaut, racine\CIMv2,
devrait convenir la plupart des scnarios.
6. Dans la zone Requte, entrez une instruction de requte WQL, puis cliquez
sur OK.
7. Dans la bote de dialogue Nouveau filtre WMI, cliquez sur Enregistrer.
8. Dveloppez Objets de stratgie de groupe, puis faites glisser le filtre WMI
vers un objet Stratgie de groupe.
14
Exemple de
requte WQL
Par exemple, pour cibler les ordinateurs disposant de plus de 10 Mo d'espace

disponible sur le lecteur C, D ou E, les partitions doivent se trouver sur un ou
plusieurs disques durs et excuter le systme de fichiers NTFS. Tapez la requte
WMI suivante :
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"
Dans cet exemple, la valeur 3 de DriveType correspond un disque dur. Les

units FreeSpace sont exprimes en octets (10 Mo = 10 485 760 octets).
Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la
section Comment filtrer des paramtres de stratgie de groupe l'aide de
filtres WMI de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
15
Dfinition du traitement par boucle de rappel

Introduction
Par dfaut, les objets Stratgie de groupe d'un utilisateur dterminent les
paramtres appliquer lorsque l'utilisateur ouvre une session sur un ordinateur.
En revanche, le traitement par boucle de rappel applique l'ensemble des objets
Stratgie de groupe de l'ordinateur tout utilisateur qui ouvre une session sur
l'ordinateur affect par ce paramtre. Le traitement par boucle de rappel est
destin des ordinateurs usage spcial, tels que ceux des endroits publics,
des laboratoires et des classes, o il faut modifier le paramtre utilisateur en
fonction de l'ordinateur utilis.
Exemple
Par exemple, l'utilisateur dont l'objet utilisateur se trouve dans l'unit

d'organisation Sales (ventes) ouvre une session sur un ordinateur. L'objet
ordinateur se trouve dans l'unit d'organisation Servers (serveurs). Les paramtres
de stratgie de groupe appliqus l'utilisateur sont bass sur les objets Stratgie
de groupe lis l'unit d'organisation Sales ou tout conteneur parent. Les
paramtres appliqus l'ordinateur sont bass sur les objets Stratgie de groupe
lis l'unit d'organisation Servers ou tout conteneur parent.
Toutefois, ce comportement par dfaut peut ne pas tre adapt certains
serveurs ou ordinateurs ddis une tche particulire. Ainsi, des applications
affectes un utilisateur ne doivent pas tre automatiquement disponibles sur
un serveur.
Modes de traitement
par boucle de rappel
Le traitement par boucle de rappel peut tre excut selon deux modes :
!
Mode de remplacement. Ce mode remplace les paramtres utilisateur

dfinis dans les objets Stratgie de groupe de l'ordinateur par les paramtres
utilisateur habituellement appliqus l'utilisateur.
Mode de fusion. Ce mode combine les paramtres utilisateur dfinis dans

les objets Stratgie de groupe de l'ordinateur avec les paramtres utilisateur
habituellement appliqus l'utilisateur. En cas de paramtres en conflit, les
paramtres utilisateur des objets Stratgie de groupe de l'ordinateur sont
prioritaires sur les paramtres habituels de l'utilisateur.
16
Comment configurer le mode de traitement par boucle de rappel de

la stratgie de groupe utilisateur

Introduction
Pour activer le traitement par boucle de rappel, slectionnez l'option Mode de

traitement par boucle de rappel de la stratgie de groupe utilisateur dans la
console Gestion de stratgie de groupe.
Procdure
Pour configurer le mode de traitement par boucle de rappel de la stratgie de

groupe utilisateur, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort, Domaines, votre domaine, puis cliquez sur
Objets de stratgie de groupe.
2. Dans le volet de dtails, cliquez avec le bouton droit sur l'objet Stratgie de
groupe, puis cliquez sur Modifier.
3. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration de l'ordinateur, Modles d'administration, Systme, puis
cliquez sur Stratgie de groupe.
4. Double-cliquez sur Mode de traitement par boucle de rappel de la
stratgie de groupe utilisateur, s'il n'est pas dj slectionn, puis cliquez
sur Activ.
5. Sous Mode, cliquez sur Remplacer ou Fusionner, puis cliquez sur OK.
17
Application pratique : Cration et configuration d'objets Stratgie

de groupe

Objectifs
Dans cette application pratique, vous allez installer la console Gestion de

stratgie de groupe, puis crer et configurer des objets Stratgie de groupe pour
votre domaine.
Scnario
En tant qu'ingnieur systme chez Northwind Traders, vous tes responsable de

l'implmentation de la stratgie de groupe de l'organisation. Vous allez installer
la console Gestion de stratgie de groupe et crer des objets Stratgie de groupe
pour faire appliquer l'environnement de Bureau. Vous allez supprimer l'option
de menu Excuter pour tous les utilisateurs, puis supprimer la commande
Arrter du menu. Vous pourrez galement appliquer cette stratgie aux seuls
ordinateurs dont le lecteur C contient au moins 10 Mo d'espace disque
disponible et qui sont configurs avec le systme de fichiers NTFS.
Installation de la
console Gestion de
stratgie de groupe
! Installer la console Gestion de stratgie de groupe

1. Ouvrez une session dans votre domaine en tant que Nom_OrdinateurUser
(Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. l'invite de commands, tapez \\LONDON\SETUP\GPMC.MSI et
appuyez sur ENTRE.
5. Dans la bote de dialogue Tlchargement de fichier, cliquez sur Ouvrir.
6. Dans la page Assistant Installation du logiciel Console de gestion de la
stratgie de groupe Microsoft , cliquez sur Suivant.
7. Dans la page Contrat de licence, cliquez sur J'accepte, puis sur Suivant.
18
8. Dans la page Fin de l'excution de l'Assistant Installation du logiciel

Console de gestion de la stratgie de groupe Microsoft , cliquez sur
Terminer.
9. Fermez l'invite de commande.
Application
pratique : Cration et
configuration d'objets
Stratgie de groupe
! Crer et configurer des objets Stratgie de groupe

le bouton droit sur Gestion de stratgie de groupe, puis cliquez sur
Excuter en tant que.
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
3. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe, puis cliquez sur Nouveau.
4. Donnez le nom de GPO_pratique votre objet Stratgie de groupe, puis
cliquez sur OK.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur Lier
un objet Stratgie de groupe existant, cliquez sur GPO_pratique, puis
cliquez sur OK.
6. Cliquez avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
7. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration utilisateur, Modles d'administration, puis cliquez sur
Menu Dmarrer et Barre de tches.
8. Dans le volet de dtails, double-cliquez sur Supprimer le menu Excuter
du menu Dmarrer, cliquez sur Activ, puis sur OK.
9. Dans le volet de dtails, double-cliquez sur Supprimer et empcher l'accs
la commande Arrter, cliquez sur Activ, puis sur OK.
10. Fermez l'diteur d'objets de stratgie de groupe.
11. Dans la console Gestion de stratgie de groupe, dveloppez et cliquez avec
le bouton droit sur Filtres WMI, puis cliquez sur Nouveau.
12. Donnez le nom de Filtre_pratique au filtre WMI, cliquez sur Ajouter,
entrez la requte approprie pour extraire les informations requises, cliquez
sur OK, puis cliquez sur Enregistrer.
13. Dans l'arborescence de la console, dans la liste sous Objets de stratgie de
groupe, cliquez sur GPO_pratique.
14. Dans le volet de dtails, slectionnez Filtre_pratique dans la zone Cet
objet Stratgie de groupe est li au filtre WMI suivant.
15. Dans la bote de dialogue Gestion des stratgies de groupe, cliquez
sur Oui.
16. Fermez la console Gestion de stratgie de groupe.
Leon : Configuration des frquences d'actualisation et

des paramtres de stratgie de groupe

Introduction
Windows Server 2003 excute les paramtres et les stratgies d'ordinateur et

d'utilisateur selon un ordre spcifique. Comprendre le traitement des stratgies
de groupe et leur ordre d'excution vous permettra de crer les scripts
appropris et de configurer les frquences d'actualisation.
!
expliquer le processus d'application de la stratgie de groupe ;
affecter des paramtres de scripts de stratgie de groupe ;
configurer les frquences d'actualisation des composants de la stratgie

de groupe ;
configurer les frquences d'actualisation des contrleurs de domaine et

des ordinateurs ;
actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un

utilisateur l'aide de Gpupdate.exe.
19
20
quel moment la stratgie de groupe est-elle applique ?

Introduction
Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session,

Windows Server 2003 traite d'abord les paramtres de l'ordinateur, puis ceux
de l'utilisateur.
Ordre d'application de
la stratgie de groupe
Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session, les actions

suivantes se dclenchent :
1. Le rseau dmarre. Le service RPCSS (Remote Procedure Call System
Service) et le MUP (Multiple Universal Naming Convention Provider)
dmarrent.
2. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'ordinateur. Cette liste dpend des facteurs suivants :
L'ordinateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
L'emplacement de l'ordinateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
3. Windows Server 2003 applique la stratgie de l'ordinateur. Il s'agit des
paramtres se trouvant sous Configuration de l'ordinateur dans la liste des
objets Stratgie de groupe obtenue. Cette liste est synchrone par dfaut, et
s'affiche dans l'ordre suivant : local, domaine, unit d'organisation, unit
d'organisation enfant. Aucune interface utilisateur n'apparat lors du
traitement des stratgies de l'ordinateur.
21
4. Les scripts de dmarrage s'excutent. Par dfaut, les scripts sont masqus et
synchrones. Chaque script doit se terminer ou son dlai d'excution doit tre
coul pour que le suivant puisse dmarrer. Le dlai d'attente par dfaut est
de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe
pour modifier la valeur de ce paramtre.
Remarque Vous pouvez rgler la valeur du dlai d'attente en configurant le
temps d'attente dans Dlai d'attente maximal pour les scripts de stratgie
de groupe sous Configuration de l'ordinateur\Modles d'administration\
Systme\Scripts\. Ce paramtre affecte tous les scripts qui s'excutent.
5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour
ouvrir une session.
6. Une fois que Windows Server 2003 a valid l'utilisateur, il charge le profil
utilisateur, lequel est contrl par les paramtres de stratgie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'utilisateur. Cette liste dpend des facteurs suivants :
L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
Le traitement par boucle de rappel est-il activ ? Quel est l'tat du
paramtre de stratgie de bouclage ?
L'emplacement de l'utilisateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
8. Windows Server 2003 applique la stratgie de l'utilisateur, laquelle inclut les
paramtres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramtres sont synchrones par dfaut, et s'affichent dans l'ordre
suivant : local, domaine, unit d'organisation, unit d'organisation enfant.
Aucune interface utilisateur n'apparat lors du traitement des stratgies de
l'utilisateur.
9. Les scripts d'ouverture de session s'excutent. Par dfaut, ces scripts bass
sur la stratgie de groupe sont masqus et asynchrones.
10. L'interface utilisateur du systme d'exploitation prescrite par la stratgie de
groupe s'affiche.
Intervalle d'actualisation
utilisateur ou ordinateur
Les ordinateurs excutant Windows Server 2003 actualisent ou rappliquent

les paramtres de stratgie de groupe intervalles dfinis. L'actualisation des
paramtres permet de s'assurer que les paramtres de stratgie de groupe sont
appliqus aux ordinateurs et aux utilisateurs mme si ces derniers ne
redmarrent jamais leur ordinateur ou ne ferment jamais leur session.
Remarque Pour savoir quand la stratgie de groupe est applique et obtenir un
exemple de script d'ouverture de session, reportez-vous la section quel
moment la stratgie de groupe est-elle applique ? de la page d'annexe du
module 5 sur le CD-ROM du stagiaire.
22
Comment affecter des paramtres de script de stratgie de groupe

Introduction
Lorsque vous implmentez un script, vous utilisez la stratgie de groupe pour

ajouter le script au paramtre appropri du modle Stratgie de groupe afin qu'il
s'excute au dmarrage, l'arrt, l'ouverture ou la fermeture de session.
Procdure de copie
d'un script
Pour copier un script dans le modle Stratgie de groupe appropri, procdez

comme suit :
1. Utilisez l'Explorateur Windows pour rechercher le script sur votre
disque dur.
2. Modifiez l'objet Stratgie de groupe appropri dans la console Gestion de
stratgie de groupe, dveloppez Configuration ordinateur (pour les scripts
de dmarrage et d'arrt) ou Configuration utilisateur (pour les scripts
d'ouverture et de fermeture de session), dveloppez Paramtres Windows,
puis cliquez sur Scripts.
3. Double-cliquez sur le type de script appropri (Dmarrage, Arrter le
sytme, Ouverture de session ou Fermer la session), puis cliquez sur
Afficher les fichiers.
4. Copiez le fichier de script depuis l'Explorateur Windows dans la fentre qui
s'affiche, puis fermez la fentre.
Important Vous ne pouvez pas effectuer cette tche l'aide de la
commande Excuter en tant que : vous devez avoir ouvert une session
en tant qu'Administrateur.
Procdure d'ajout
du script
Pour ajouter un script un objet Stratgie de groupe, procdez comme suit :

1. Dans la bote de dialogue Proprits du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, slectionnez un script, puis cliquez sur Ouvrir.
3. Ajoutez les paramtres de script ncessaires, puis cliquez sur OK.

Remarque Pour plus d'informations sur la cration d'un script en langage
Microsoft Visual Basic, Scripting Edition (VBScript), reportez-vous aux
cours 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows
Script Host Essentials (en anglais) et 2439, WMI Scripting (en anglais).
23
24
Comment configurer les frquences d'actualisation des

composants de la stratgie de groupe

Introduction
Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur

pour signaler la liaison aux extensions ct client. Ces dernires peuvent alors
dterminer s'il est ncessaire de traiter les paramtres de stratgie de groupe
applicables.
Stratgie de groupe
et liaisons lentes
La stratgie de groupe compare la vitesse de connexion de la liaison au taux de

500 kilobits par seconde (kbits/s) vitesse considre comme lente ou au
seuil de votre choix. La stratgie de groupe utilise un algorithme afin de
dterminer si une liaison est ou non considre comme lente.
Paramtres par dfaut
Le tableau suivant rpertorie les paramtres par dfaut pour le traitement des
liaisons lentes.
Traitement des
liaisons lentes
Actualis
Modification
possible ?
Traitement de la stratgie du
Registre
Actif
Actif
Non
Traitement de la stratgie de
maintenance Internet Explorer
Inactif
Actif
Oui
Traitement de la stratgie
d~installation de logiciels
Inactif
N/A
Oui
redirection de dossiers
Inactif
N/A
Oui
Traitement de la stratgie de scripts
Inactif
Actif
Oui
scurit
Actif
Actif
Non
Extension ct client
25
(suite)
Traitement des
liaisons lentes
Actualis
Modification
possible ?
scurit IP
Inactif
Actif
Oui
Traitement de la stratgie sans fil
Inactif
Actif
Oui
rcupration ESF
Actif
Actif
Oui
Traitement de la stratgie de quota

de disque
Inactif
Actif
Oui
Extension ct client
Procdure
Pour configurer les composants de la stratgie de groupe qui sont actualiss et

peuvent tre modifis, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration ordinateur, Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis cliquez
sur chaque lment du tableau prcdent.
2. Cliquez sur Activ.
3. Cliquez sur Ne pas appliquer lors des traitements en tche de fond
priodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion rseau lente, puis cliquez sur OK.
Remarque Pour plus d'informations sur l'algorithme utilis par la stratgie de
groupe pour dtecter les liaisons lentes, reportez-vous la section Comment
configurer les frquences d'actualisation des composants de la stratgie de
groupe de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
26
Comment configurer les frquences d'actualisation des contrleurs

de domaine et des ordinateurs

Introduction
Vous pouvez modifier les frquences d'actualisation par dfaut en modifiant les
paramtres de modle d'administration pour une configuration utilisateur ou
ordinateur.
Intervalles
d'actualisation
par dfaut
Le tableau suivant rpertorie les intervalles par dfaut de l'actualisation de la

stratgie de groupe.
Type d'ordinateur
Ordinateurs excutant
Windows XP Professionnel et
serveurs membres d'un
domaine excutant Windows
Server 2003
Toutes les 90 minutes. Actualisation galement en

fonction d'un dcalage alatoire de 30 minutes, ce
qui permet d'appliquer l'quilibrage de charges au
traitement des applications de stratgie de groupe et
permet de s'assurer que plusieurs ordinateurs ne
contactent pas un contrleur de domaine au mme
moment.
Contrleurs de domaine
Toutes les cinq minutes. De cette faon, les

nouveaux paramtres de stratgie de groupe
critiques, tels que les paramtres de scurit, sont
appliqus au moins toutes les cinq minutes une fois
le paramtre par dfaut modifi.
Procdure
27
Pour configurer les frquences d'actualisation, procdez comme suit :

1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration utilisateur ou Configuration
ordinateur (selon l'objet Stratgie de groupe modifier), Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis
double-cliquez sur l'un des paramtres suivants :
Intervalle d'actualisation de la stratgie de groupe pour les
utilisateurs
ordinateurs
2. Slectionnez Activ.
3. Dfinissez l'intervalle d'actualisation en minutes.
4. Dfinissez le dcalage alatoire, puis cliquez sur OK.
Remarque Si vous avez dsactiv ces paramtres, la stratgie de groupe est
mise jour par dfaut toutes les 90 minutes. Pour spcifier que la stratgie
de groupe ne doit jamais tre mise jour lorsque l'ordinateur est en cours
d'utilisation, slectionnez l'option Dsactiver l'actualisation en tche de fond
des stratgies de groupe.
28
Comment actualiser les paramtres de stratgie de groupe sur

l'ordinateur d'un utilisateur l'aide de Gpupdate.exe

Introduction
Vous pouvez actualiser un objet Stratgie de groupe l'aide de la commande

gpupdate.
Procdure
Pour actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un

utilisateur l'aide de la commande gpupdate, procdez comme suit :
1. Dans la bote de dialogue Excuter, tapez cmd et appuyez sur ENTRE.
2. Tapez
gpupdate [/target:{ordinateur|utilisateur}] [/force]
[/wait:valeur] [/logoff] [/boot]
Le tableau suivant dcrit chacun des paramtres de la syntaxe de gpupdate.

Paramtre
Description
/target:{ordinateur|
utilisateur}
Traite les paramtres de l'ordinateur ou les paramtres de l'utilisateur en cours,

selon la destination spcifie. Si vous ne spcifiez pas ce paramtre, les paramtres
ordinateur et utilisateur sont traits par dfaut.
/force
Rapplique l'ensemble des paramtres et ignore le traitement des optimisations.
/wait:valeur
Spcifie le dlai d'attente (en secondes) avant que la stratgie ne se termine. La valeur
par dfaut est de 600 secondes. La valeur 0 signifie aucune attente ; -1 correspond
une attente indfinie.
/logoff
Ferme la session une fois l'actualisation de la stratgie termine. Ce paramtre est

obligatoire pour les extensions de stratgie de groupe ct client qui ne sont pas
excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes
lorsque l'utilisateur ouvre une session. Cette option est sans effet si aucune des
extensions appeles ne ncessite la dconnexion de l'utilisateur.

(suite)
Paramtre
Description
/boot
Redmarre l'ordinateur une fois l'actualisation de la stratgie termine. Le redmarrage de

l'ordinateur est obligatoire pour les extensions de stratgie de groupe ct client qui ne sont
pas excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes au
dmarrage de l'ordinateur. Cette option est sans effet si aucune des extensions appeles ne
ncessite le redmarrage de l'ordinateur.
29
30
Application pratique : Configuration des frquences d'actualisation

de la stratgie de groupe et des paramtres de stratgie de groupe

Objectifs
Dans cette application pratique, vous allez configurer l'intervalle d'actualisation

de la stratgie de groupe pour des ordinateurs clients, puis configurer les
paramtres de stratgie de groupe pour la synchronisation des fichiers hors
connexion.
Scnario
Northwind Traders repose largement sur la stratgie de groupe pour grer

les ordinateurs clients et conserver sa flexibilit l'organisation. En raison
du nombre lev d'objets Stratgie de groupe que vous devez modifier
quotidiennement, vous souhaitez diminuer le trafic rseau en rduisant de
180 minutes l'intervalle d'actualisation des ordinateurs clients et en utilisant
un dcalage alatoire de 60 minutes.
Les membres de votre organisation voyagent frquemment et utilisent des
connexions lentes d'accs distance. Ils se rendent galement souvent dans des
agences lointaines raccordes au rseau d'entreprise via des connexions haut
dbit. Ils ont besoin d'avoir accs des fichiers habituellement disponibles
uniquement via une connexion rseau un serveur de fichiers. Ces fichiers
doivent tre jour ds que l'utilisateur se connecte au rseau d'entreprise.
Vous devez configurer la disponibilit et la synchronisation des fichiers hors
connexion dans la stratgie de groupe des utilisateurs qui ont besoin de cette
fonctionnalit.
! Configurer les paramtres de stratgie de groupe

1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez sur Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
3. Dans l'diteur d'objets de stratgie de groupe, sous Configuration

ordinateur, dveloppez successivement Modles d'administration,
Systme, puis cliquez sur Stratgie de groupe.
4. Double-cliquez sur Intervalle d'actualisation de la stratgie de groupe
pour les ordinateurs, cliquez sur Activ, entrez l'intervalle de temps
appropri, puis cliquez sur OK.
5. Dans l'diteur d'objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez successivement Modles d'administration,
Rseau, puis cliquez sur fichiers hors connexion.
6. Double-cliquez sur Synchroniser tous les fichiers hors connexion
l'ouverture de session, cliquez sur Activ, puis sur OK.
7. Fermez l'diteur d'objets de stratgie de groupe, puis fermez la console
Gestion de stratgie de groupe.
31
32
Leon : Gestion des objets Stratgie de groupe

Introduction
Vous utilisez la console Gestion de stratgie de groupe pour grer les objets
Stratgie de groupe, savoir pour copier un objet Stratgie de groupe un autre
emplacement, sauvegarder un objet Stratgie de groupe, restaurer un objet
Stratgie de groupe partir de la sauvegarde, ou encore importer dans un objet
Stratgie de groupe les paramtres d'un autre objet Stratgie de groupe.
!
expliquer la finalit de la copie d'un objet Stratgie de groupe ;
copier un objet Stratgie de groupe l'aide de la console Gestion de

expliquer la finalit de la sauvegarde d'un objet Stratgie de groupe ;
sauvegarder un objet Stratgie de groupe l'aide de la console Gestion de

expliquer la finalit de la restauration d'un objet Stratgie de groupe ;
restaurer un objet Stratgie de groupe l'aide de la console Gestion de

expliquer la finalit de l'importation de paramtres dans un objet Stratgie

de groupe ;
importer des paramtres dans un objet Stratgie de groupe l'aide de la

Dfinition d'une opration de copie

Introduction
La copie d'un objet Stratgie de groupe transfert uniquement les paramtres

de l'objet Stratgie de groupe. L'objet Stratgie de groupe nouvellement cr
est dot d'un nouvel identificateur unique global (GUID, Globally Unique
IDentifier) et de la liste de contrle d'accs discrtionnaire (DACL,
Discretionary Access Control List) de l'objet Stratgie de groupe. Le nouvel
objet Stratgie de groupe cr est non li, car les liaisons sont une proprit de
l'objet ayant dfini l'objet Stratgie de groupe plutt qu'une proprit de l'objet
Stratgie de groupe.
Comportement de
mappage d'une
opration de copie
Lorsque vous copiez un objet Stratgie de groupe d'un domaine vers un autre,
vous devez spcifier le comportement du mappage des entits de scurit pour
l'opration de copie. La console Gestion de stratgie de groupe offre deux
techniques de mappage pour la copie des objets Stratgie de groupe :
!
Copie identique partir de la source
Utilisation d'une table de migration pour mapper de nouvelles valeurs dans

le nouvel objet Stratgie de groupe
Pour utiliser l'une ou l'autre de ces mthodes, des rfrences aux entits de
scurit et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratgie de groupe source.
Dfinition du mappage
des entits de scurit
Lorsque vous copiez des objets Stratgie de groupe dans des domaines ou des
forts, la console Gestion de stratgie de groupe peut effectuer un mappage
des entits de scurit. C'est--dire qu'elle peut modifier les paramtres se
rapportant aux entits de scurit en convertissant les valeurs de ces entits
en fonction du nouvel objet Stratgie de groupe.
33
34
Dfinition d'une table

de migration
Si vous avez besoin d'une personnalisation supplmentaire, vous pouvez utiliser

des scripts pour implmenter une table de migration, c'est--dire un fichier texte
XML (eXtensible Markup Language) spcifiant le mappage personnalis des
entits de scurit depuis le domaine source vers le domaine de destination. La
table de migration comporte une section de mappage des entits de scurit et
une section de mappage des chemins d'accs. Utilisez ces sections pour dfinir
des rgles de mappage spcifiques.
35
Comment copier un objet Stratgie de groupe

Introduction
Pour copier un objet Stratgie de groupe, vous devez avoir l'autorisation

de crer des objets Stratgie de groupe dans le domaine de destination.
Procdure
Pour copier un objet Stratgie de groupe, procdez comme suit :

1. Ouvrez la console Gestion de stratgie de groupe, dveloppez Objets de
stratgie de groupe dans la fort et le domaine contenant l'objet Stratgie
de groupe copier, cliquez avec le bouton droit sur cet objet, puis cliquez
sur Copier.
2. Effectuez l'une des oprations suivantes :
Pour placer la copie de l'objet Stratgie de groupe dans le mme
domaine que l'objet source, cliquez avec le bouton droit sur Objets
de stratgie de groupe, puis cliquez sur Coller.
i. Dans la bote de dialogue Copier l'objet GPO, slectionnez Utiliser
les autorisations par dfaut pour les nouveaux objets GPO ou
Conserver les autorisations existantes, puis cliquez sur OK.
ii. Lorsque le processus de copie est termin, cliquez sur OK.
Pour placer la copie de l'objet dans un autre domaine, qu'il s'agisse de
la mme fort ou d'une autre, dveloppez le domaine de destination,
cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Coller.
i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant.
ii. Dans la page Spcification des autorisations en cours, slectionnez
Utiliser les autorisations par dfaut pour les nouveaux objets
GPO ou Prserver ou effectuer la migration des autorisations
partir des objets GPO originaux, puis cliquez sur Suivant.
36
iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux
entits de scurit et aux chemins UNC, vous verrez s'afficher la
fentre mentionne l'tape suivante. Sinon, passez l'tape v.
iv. Dans la page Migration des rfrences, slectionnez Effectuant
une copie identique partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratgie de groupe
cible, slectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opration de copie termine, cliquez sur OK.
Remarque Certaines de ces tapes peuvent ne pas s'afficher si vous copiez
un objet Stratgie de groupe dans le mme domaine.
37
Dfinition d'une opration de sauvegarde

Introduction
Lorsque la console Gestion de stratgie de groupe sauvegarde un objet Stratgie

de groupe, elle exporte les donnes dans le fichier de votre choix et enregistre
tous les fichiers de modle Stratgie de groupe. Vous pouvez placer l'objet
Stratgie de groupe sauvegard dans un dossier par une opration de restauration
ou d'importation. L'opration d'importation vous permet uniquement de restaurer
un objet Stratgie de groupe sauvegard dans un autre domaine.
Comment stocker
une sauvegarde
Vous pouvez stocker plusieurs objets Stratgie de groupe sauvegards, y

compris plusieurs versions du mme objet, dans un dossier de fichiers unique.
Quel que soit le nombre d'objets Stratgie de groupe stocks dans un dossier,
vous pouvez identifier chaque objet Stratgie de groupe l'aide de l'un des
critres suivants :
!
Nom complet de l'objet Stratgie de groupe
Identificateur GUID de l'objet Stratgie de groupe
Description de la sauvegarde
Date et horodatage de la sauvegarde
Nom de domaine
Vous pouvez sauvegarder un ou plusieurs objets Stratgie de groupe dans un

emplacement de sauvegarde qui a t prcdemment spcifi, ou bien spcifier
un nouvel emplacement.
Remarque Assurez-vous que le rpertoire de sauvegarde se trouve un
emplacement scuris du systme de fichiers.
38
Comment sauvegarder un objet Stratgie de groupe

Introduction
Pour sauvegarder un objet Stratgie de groupe, vous devez disposer des

autorisations en lecture sur l'objet Stratgie de groupe et des autorisations
crire sur l'emplacement du systme de fichiers o vous souhaitez stocker
l'objet Stratgie de groupe sauvegard.
Procdure
Pour sauvegarder un objet Stratgie de groupe, procdez comme suit :

1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe sauvegarder, dveloppez
successivement Domaines, le domaine contenant l'objet Stratgie de groupe,
Objets de stratgie de groupe, puis effectuez l'une des oprations suivantes :
Pour sauvegarder un seul objet Stratgie de groupe, cliquez avec le
bouton droit sur cet objet, puis cliquez sur Sauvegarder.
Pour sauvegarder tous les objets Stratgie de groupe, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur
Sauvegarder tout.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez le chemin
d'accs l'emplacement o vous souhaitez stocker l'objet Stratgie de
groupe sauvegard.
3. Entrez une description pour l'objet Stratgie de groupe sauvegarder,
puis cliquez sur Sauvegarder.
4. Une fois l'opration de sauvegarde termine, cliquez sur OK.
Dfinition d'une opration de restauration

Introduction
L'opration de restauration rtablit le contenu de l'objet Stratgie de groupe

dans l'tat dans lequel il tait au moment de la sauvegarde. Cette opration est
valide uniquement dans le domaine o l'objet Stratgie de groupe a t cr.
Quels objets Stratgie

de groupe peuvent tre
restaurs ?
Vous pouvez restaurer un objet Stratgie de groupe existant ou un objet

supprim qui a t sauvegard. Les autorisations requises pour restaurer un
objet Stratgie de groupe varient selon que l'objet existe ou non dans Active
Directory lorsque vous le restaurez.
39
40
Comment restaurer un objet Stratgie de groupe

Introduction
Pour restaurer un objet Stratgie de groupe existant l'aide de la console

Gestion de stratgie de groupe, vous devez disposer des autorisations Modifier
les paramtres, supprimer, modifier la scurit sur cet objet. Vous devez
galement disposer de l'autorisation en lecture sur le dossier qui contient l'objet
Stratgie de groupe sauvegard.
Pour restaurer un objet Stratgie de groupe supprim qui avait t sauvegard,
vous devez disposer d'autorisations pour crer des objets Stratgie de groupe
dans le domaine, ainsi que de l'autorisation en lecture sur l'emplacement du
systme de fichiers de l'objet sauvegard.
Procdure de
restauration d'une
version antrieure
d'un objet Stratgie
de groupe
Pour restaurer une version antrieure d'un objet Stratgie de groupe existant,
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe restaurer, dveloppez successivement
Domaines, le domaine contenant l'objet Stratgie de groupe, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe puis cliquez sur Grer les sauvegardes.
2. Dans la bote de dialogue Gestion des sauvegardes, slectionnez l'objet
Stratgie de groupe sauvegard restaurer, puis cliquez sur Restaurer.
3. Lorsque vous tes invit restaurer la sauvegarde slectionne, cliquez
sur OK.
4. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la
restauration termine.
5. Dans la bote de dialogue Gestion des sauvegardes, slectionnez un autre
objet Stratgie de groupe restaurer ou cliquez sur Fermer pour terminer
l'opration de restauration.
Procdure de
restauration d'un objet
Stratgie de groupe
supprim
41
Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste
des Objets Stratgie de groupe, effectuez l'une des oprations suivantes :
successivement la fort contenant l'objet Stratgie de groupe restaurer,
Domaines, puis le domaine contenant l'objet Stratgie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systme de fichiers contenant l'objet Stratgie de groupe
supprim, slectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opration de restauration.
42
Dfinition d'une opration d'importation

Introduction
Une opration d'importation copie l'ensemble des paramtres de stratgie de

groupe depuis l'objet Stratgie de groupe source vers l'objet Stratgie de groupe
de destination.
Pourquoi spcifier une

table de migration ?
Spcifiez une table de migration afin d'tre certain que le chemin UNC de
l'objet Stratgie de groupe est correctement mapp sur le chemin UNC de l'objet
Stratgie de groupe de destination. Indiquez le chemin d'accs la table de
migration approprie lorsque vous importez des paramtres de stratgie de
groupe d'un domaine dans un autre. Si vous spcifiez une table de migration,
vous devez spcifier le comportement de mappage du chemin UNC.
Si vous n'activez pas la case cocher Utiliser exclusivement la table de
migration, vous devez spcifier le comportement de mappage pour les entits
de scurit qui ne figurent pas dans la table de migration.
Si vous ne spcifiez pas de table de migration, toutes les entits de scurit sont
mappes en fonction du comportement que vous spcifiez.
43
Comment importer des paramtres dans un objet Stratgie

de groupe

Introduction
Pour importer des paramtres dans un objet Stratgie de groupe, vous devez
disposer des autorisations de modification de cet objet.
Procdure
Pour importer des paramtres dans un objet Stratgie de groupe, procdez

comme suit :
successivement la fort contenant l'objet Stratgie de groupe dans lequel
importer des paramtres, Domaines, le domaine contenant l'objet Stratgie
de groupe, Objets de stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Importer des paramtres.
2. Dans la page Assistant Importation des paramtres, cliquez sur Suivant.
3. Dans la page Objet de stratgie de groupe de sauvegarde, cliquez sur
Sauvegarder.
4. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez un
emplacement et une description pour la sauvegarde de l'objet Stratgie
de groupe, puis cliquez sur Sauvegarder.
5. Une fois l'opration de sauvegarde termine, cliquez sur OK puis sur
Suivant.
6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour
rechercher le dossier de sauvegarde partir duquel vous voulez importer
des paramtres, puis cliquez sur Suivant.
44
7. Dans la page Objet stratgie de groupe (GPO) source, slectionnez l'objet

Stratgie de groupe partir duquel vous voulez importer des paramtres,
Si l'objet Stratgie de groupe source contient des rfrences aux entits
de scurit et des chemins UNC, la bote de dialogue Migration des
rfrences s'affiche. Choisissez le mode de migration des entits de scurit
et des chemins UNC en slectionnant Effectuant une copie identique
partir de la source ou Utilisant cette table de migration pour le
mappage dans l'objet de stratgie de groupe cible, puis slectionnez
une table de migration.
8. Cliquez sur Suivant.
9. Dans la page Fin de l'Assistant Importation des paramtres, cliquez
sur Terminer.
10. Une fois l'opration d'importation termine, cliquez sur OK.
45
Application pratique : Gestion des objets Stratgie de groupe

Objectifs
Dans cette application pratique, vous allez copier un objet Stratgie de groupe,
crer une sauvegarde de cet objet, supprimer la copie sauvegarde, puis la
restaurer.
Scnario
Vous tes responsable de l'implmentation des normes de Bureau de l'entreprise

l'aide de la stratgie de groupe de votre domaine. Bien que la plupart des
groupes du domaine puissent utiliser la mme configuration de Bureau
d'entreprise, certains services ncessitent une configuration lgrement
diffrente. Vous allez crer un objet Stratgie de groupe de base, le copier
dans les diffrentes applications, puis en modifier les paramtres.
Parce que vous voulez tre certain que la sauvegarde et la restauration des
objets Stratgie de groupe fonctionnent correctement, vous souhaitez tester les
fonctionnalits de restauration et simuler le plan d'implmentation dans votre
environnement de test.
Copie d'un objet
Stratgie de groupe
! Copier un objet Stratgie de groupe

en tant que.
2. Dans votre domaine, dveloppez Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, cliquez sur Copier, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur Coller.
3. Dans la bote de dialogue Copier l'objet GPO, cliquez sur OK.
4. Une fois le processus de copie termin, cliquez sur OK.
46
Sauvegarde d'un objet
Stratgie de groupe
! Sauvegarder un objet Stratgie de groupe

1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, puis cliquez sur Sauvegarder.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, tapez C:\ dans la
zone Emplacement, puis cliquez sur Sauvegarder.
3. Une fois l'opration termine, cliquez sur OK.
Restauration d'un objet
Stratgie de groupe
! Supprimer et restaurer un objet Stratgie de groupe

1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, cliquez sur Supprimer, puis sur OK.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, slectionnez Copie de
GPO_pratique, puis cliquez sur Restaurer.
4. Lorsque vous tes invit restaurer la sauvegarde, cliquez sur OK.
5. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la sauvegarde
restaure.
6. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Fermer.
7. Vrifiez que l'objet Stratgie de groupe a bien t restaur.
47
Leon : Vrification et rsolution des problmes lis la

stratgie de groupe

Introduction
Il est possible que vous rencontriez des problmes lors de l'implmentation de

la stratgie de groupe. Lorsque vous rsolvez des problmes lis la stratgie
de groupe, veillez prendre en compte les dpendances entre les composants.
Par exemple, la stratgie de groupe dpend de Active Directory, lequel se fie
une configuration correcte des services du rseau.
Windows Server 2003 est dot de deux nouvelles fonctionnalits de gestion des
stratgies de groupe qui vous permettent de dterminer les effets des paramtres
de stratgie de groupe d'un utilisateur ou d'un ordinateur particulier. Il s'agit de
l'Assistant Modlisation de stratgie de groupe et des Rsultats de stratgie de
groupe.
!
identifier les problmes courants lis l'implmentation de la stratgie de

groupe ;
vrifier les paramtres de stratgie de groupe l'aide de l'Assistant

Modlisation de stratgie de groupe ;
vrifier les paramtres de stratgie de groupe l'aide des Rsultats de

stratgie de groupe.
48
Problmes courants lis l'implmentation de la stratgie

de groupe

Introduction
La premire tape de la rsolution des problmes lis la stratgie de groupe

consiste identifier les symptmes et les causes possibles.
Comment vrifier si les

paramtres de stratgie
de groupe corrects sont
appliqus
Dans la plupart des cas, un paramtre de stratgie de groupe n'est pas appliqu
comme prvu parce qu'un autre objet Stratgie de groupe contient une valeur
conflictuelle pour le mme paramtre. L'objet Stratgie de groupe est prioritaire
en raison du filtrage, Blocage de l'hritage, Appliqu ou de l'ordre d'application.
Utilisez l'Assistant Modlisation de stratgie de groupe ou l'Assistant Rsultats
de stratgie de groupe pour dterminer l'objet Stratgie de groupe utilis pour le
paramtre.
Symptmes, cause
et rsolution
Le tableau suivant rpertorie certains des symptmes courants, ainsi que les
mthodes de rsolution possibles.
Symptme
Rsolution
Vous ne parvenez pas ouvrir un objet Stratgie de

groupe, mme avec l'autorisation en lecture.
Devenez membre d'un groupe de scurit avec

les autorisations Lire et crire pour l'objet.
Lorsque vous essayez de modifier un objet Stratgie de

groupe, le message signalant qu'il est impossible d'ouvrir
l'objet Stratgie de groupe s'affiche.
Assurez-vous que le systme DNS fonctionne

correctement.
La stratgie de groupe n'est pas applique aux utilisateurs

et ordinateurs d'un groupe de scurit qui les contient,
alors qu'un objet Stratgie de groupe est li une unit
d'organisation contenant le groupe de scurit.
Liez les objets Stratgie de groupe uniquement

des sites, domaines et units d'organisation.
49
(suite)
Symptme
Rsolution
La stratgie de groupe n'affecte pas les utilisateurs et

ordinateurs d'un conteneur Active Directory.
Liez un objet Stratgie de groupe une unit

d'organisation qui est parente du conteneur Active
Directory. Ces paramtres sont alors appliqus par dfaut
aux utilisateurs et ordinateurs du conteneur via l'hritage.
La stratgie de groupe n'est pas applique sur

l'ordinateur client.
Dterminez quels objets Stratgie de groupe sont

appliqus via Active Directory et si ces objets possdent
des paramtres en conflit avec les paramtres locaux.
50
Comment vrifier les paramtres de stratgie de groupe l'aide de

l'Assistant Modlisation de stratgie de groupe

Introduction
Vous avez la possibilit de simuler un dploiement de stratgie pour les

utilisateurs et les ordinateurs avant de rellement appliquer les stratgies.
Cette fonctionnalit de la console Gestion de stratgie de groupe est appele
Jeu de stratgies rsultant (RSoP, Resultant Set of Policies) Mode de
planification. Elle requiert un contrleur de domaine excutant
Windows Server 2003 dans la fort. Pour vrifier les paramtres de stratgie de
groupe l'aide de l'Assistant Modlisation de stratgie de groupe, vous devez
d'abord crer une requte de modlisation de stratgie de groupe et afficher
cette requte.
Procdure de cration
d'une requte de
modlisation de
stratgie de groupe
Pour crer une nouvelle requte de modlisation de stratgie de groupe,

1. Ouvrez la console Gestion de stratgie de groupe, naviguez jusqu' la fort
dans laquelle vous souhaitez crer une requte de modlisation de stratgie
de groupe, cliquez avec le bouton droit de la souris sur Modlisation de
stratgie de groupe, puis sur Assistant Modlisation de stratgie de groupe.
2. Sur la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant, entrez les informations requises dans les pages de l'Assistant, puis
de la requte de
modlisation de
stratgie de groupe
51
Pour afficher la requte de modlisation de stratgie de groupe, procdez

comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie de
groupe afficher, dveloppez Modlisation de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.
Remarque Pour plus d'informations sur la vrification des paramtres
de stratgie de groupe l'aide de Gpresult.exe, reportez-vous la section
Comment vrifier les paramtres de stratgie de groupe l'aide des Rsultats
de stratgie de groupe de la page d'annexe du module 5 sur le CD-ROM du
stagiaire.
52
Comment vrifier les paramtres de stratgie de groupe l'aide des

Rsultats de stratgie de groupe

Introduction
Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de

stratgie qui sont appliqus un ordinateur, ainsi que l'utilisateur qui a ouvert
une session sur cet ordinateur. Bien que ces donnes soient similaires celles
de la modlisation de stratgie de groupe, elles sont obtenues partir de
l'ordinateur client au lieu d'tre simules sur le contrleur de domaine. Pour
obtenir des donnes l'aide des Rsultats de stratgie de groupe, l'ordinateur
client doit excuter Windows XP ou Windows Server 2003.
Procdure de cration
d'une requte Rsultats
de stratgie de groupe
Pour crer une requte Rsultats de stratgie de groupe, procdez comme suit :
1. Dans la console Gestion de stratgie de groupe, accdez Rsultats de
stratgie de groupe, cliquez avec le bouton droit sur Rsultats de stratgie
de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Assistant Rsultats de stratgie de groupe, cliquez sur
Suivant.
3. Dans la page Slection des ordinateurs, slectionnez l'ordinateur actuel ou
cliquez sur Parcourir pour slectionner un autre ordinateur, puis cliquez sur
Suivant.
4. Dans la page Slection de l'utilisateur, slectionnez l'utilisateur actuel ou
spcifiez un utilisateur, puis cliquez sur Suivant.
5. Dans la page Aperu des slections, vrifiez les slections effectues, puis
6. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez
sur Terminer.
de la requte des
Rsultats de stratgie
de groupe
53
Pour afficher la requte des Rsultats de stratgie de groupe, procdez

comme suit :
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie
de groupe afficher, dveloppez Rsultats de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.
Remarque Vous pouvez contrler la stratgie de groupe en activant
l'enregistrement des diagnostics et l'enregistrement des commentaires. Pour plus
d'informations sur l'enregistrement de stratgie de groupe, reportez-vous la
section Comment vrifier les paramtres de stratgie de groupe l'aide des
Rsultats de stratgie de groupe de la page d'annexe du module 5 sur le
54
Application pratique : Vrification et rsolution des problmes lis

la stratgie de groupe

Objectifs
Dans cette application pratique, vous allez vrifier les paramtres de stratgie
de groupe l'aide de l'Assistant Modlisation de stratgie de groupe.
Scnario
Vous souhaitez vrifier que les paramtres de stratgie de groupe que vous
prvoyez de dployer chez Northwind Traders (y compris les paramtres
utilisateur et ordinateur de votre domaine) seront appliqus et fiables. Vous
dcidez d'utiliser la console Gestion de stratgie de groupe pour vrifier les
paramtres.
! Vrifier les paramtres utilisateur et ordinateur pour votre domaine

en tant que.
2. Cliquez avec le bouton droit sur Modlisation de stratgie de groupe,
puis cliquez sur Assistant Modlisation de stratgie de groupe.
3. Dans la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant.
4. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.
5. Dans la page Slection d'ordinateurs et d'utilisateurs, dans les sections
Informations sur l'utilisateur et Informations sur l'ordinateur, cliquez
sur Parcourir, slectionnez votre domaine pour chaque section, puis cliquez
sur Suivant.
6. Dans chacune des pages suivantes de l'Assistant, cliquez sur Suivant pour
accepter les valeurs par dfaut.
7. Dans la page Fin de l'Assistant Modlisation de stratgie de groupe,
55
8. Si une bote de dialogue Internet Explorer s'affiche, cliquez sur Ajouter,

dans la bote de dialogue Sites approuvs, cliquez sur Ajouter, puis cliquez
sur Fermer.
9. Affichez le rapport dans le volet de dtails, puis fermez la console Gestion
de stratgie de groupe.
56
Leon : Dlgation du contrle administratif de la

stratgie de groupe

Introduction
Vous pouvez utiliser la stratgie de groupe pour dlguer certaines tches

d'autres administrateurs. Par exemple, la cration, la liaison et la modification
des objets Stratgie de groupe correspondent des autorisations distinctes que
vous pouvez dlguer sparment. La console Gestion de stratgie de groupe
simplifie la gestion des autorisations en combinant les autorisations de bas
niveau sur un objet et en les grant comme une seule unit. Utilisez la console
Gestion de stratgie de groupe pour dlguer le contrle administratif des objets
Stratgie de groupe, la stratgie de groupe pour un site, un domaine ou une
unit d'organisation, les filtres WMI.
!
expliquer le fonctionnement de la dlgation des objets Stratgie de groupe ;
expliquer le fonctionnement de la dlgation de la stratgie de groupe pour

un site, un domaine ou une unit d'organisation ;
expliquer le fonctionnement de la dlgation des filtres WMI ;
dlguer le contrle administratif pour la gestion des liaisons de stratgie de

groupe ;
dlguer le contrle administratif pour la cration et la modification des

57
Dlgation des objets Stratgie de groupe

Introduction
Vous pouvez dlguer la capacit de crer des objets Stratgie de groupe dans
un domaine et d'affecter des autorisations sur un objet Stratgie de groupe
individuel l'aide de la console Gestion de stratgie de groupe.
Dlguer la capacit
de crer des objets
Stratgie de groupe
Par dfaut, la capacit de crer des objets Stratgie de groupe est attribue au
groupe Propritaires crateurs de la stratgie de groupe. Vous pouvez cependant
dlguer ce pouvoir tout groupe ou utilisateur de deux faons diffrentes :

le groupe Propritaires
crateurs de la stratgie
de groupe
Ajouter le groupe ou l'utilisateur au groupe Propritaires crateurs de la

stratgie de groupe. Il s'agit de la premire mthode, disponible avant la
Attribuer explicitement au groupe ou l'utilisateur l'autorisation de crer

des objets Stratgie de groupe. Cette mthode est disponible uniquement via
la console Gestion de stratgie de groupe.
Dans le cas d'utilisateurs et de groupes du domaine, utilisez le groupe

Propritaires crateurs de la stratgie de groupe pour affecter des autorisations
de cration d'un objet Stratgie de groupe. Ce groupe tant un groupe global du
domaine, il ne peut pas contenir de membres extrieurs au domaine. Si des
utilisateurs externes au domaine ont besoin de pouvoir crer des objets Stratgie
de groupe, procdez comme suit :
1. Crez un nouveau groupe local du domaine dans le domaine.
2. Affectez ce groupe l'autorisation de crer des objets Stratgie de groupe
dans le domaine.
3. Ajoutez ce groupe des utilisateurs de domaine externes.
58
Comparaison des deux

mthodes de dlgation
Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe

Propritaires crateurs de la stratgie de groupe ou que vous affectiez les
autorisations utilisateur pour la cration d'objets Stratgie de groupe
directement l'aide de la console Gestion de stratgie de groupe. Les
utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et
disposer d'un contrle total sur ces objets, mais ils n'ont pas d'autorisation sur
les objets Stratgie de groupe crs par d'autres utilisateurs.
Accorder un utilisateur la possibilit de crer des objets Stratgie de groupe
dans le domaine ne signifie pas qu'il peut lier ces objets un site, un domaine
ou une unit d'organisation.
Dlguer des
autorisations sur un
objet Stratgie de
groupe individuel
Vous pouvez galement grer les autorisations sur l'objet Stratgie de groupe au
niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser
sur un objet Stratgie de groupe.
!
Lecture
Modifier les paramtres
Modifier les paramtres, supprimer, modifier la scurit
Lire ( partir du filtrage de scurit)
Paramtres personnaliss
Remarque Pour plus d'informations sur la dlgation du contrle administratif

de la stratgie de groupe, reportez-vous la rubrique Dlgation des objets
Stratgie de groupe de la page d'annexe du module 5sur le CD-ROM du
stagiaire.
59
Dlgation de la stratgie de groupe pour un site, un domaine ou

une unit d'organisation

Introduction
La dlgation de la stratgie de groupe pour un site, un domaine ou une unit

d'organisation inclut la dlgation de la capacit lier des objets Stratgie de
groupe et la dlgation des autorisations pour la Modlisation de stratgie de
groupe et les Rsultats de stratgie de groupe.
Dlguer la capacit de
lier des objets Stratgie
de groupe
La console Gestion de stratgie de groupe utilise une autorisation unique,

appele Lier les objets GPO, pour grer les attributs gPLink et gPOptions. Vous
appliquez les paramtres d'un objet Stratgie de groupe des utilisateurs et des
ordinateurs en liant l'objet Stratgie de groupe (qu'il s'agisse d'un enfant direct
ou indirectement par hritage) un site, un domaine ou une unit d'organisation
qui contient les objets utilisateur ou ordinateur.
L'autorisation Lier les objets GPO est spcifique ce site, ce domaine ou une
unit d'organisation. L'autorisation quivaut des autorisations Lire et crire sur
les attributs gPLink et gPOptions du site, du domaine ou de l'unit d'organisation.
Dlguer des
autorisations pour
la Modlisation de
stratgie de groupe
Vous pouvez utiliser la Modlisation de stratgie de groupe pour simuler

un ensemble de stratgies pour des objets d'un domaine ou d'une unit
d'organisation, ou bien vous pouvez la dlguer d'autres utilisateurs ou
groupes. Cette dlgation affecte l'utilisateur ou au groupe l'autorisation
Gnrer Jeu de stratgie rsultant (Planification), laquelle est disponible dans
toute fort dote du schma Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation de tout domaine ou
unit d'organisation. L'administrateur peut slectionner Lancer des analyses de
modlisation de stratgie de groupe, puis slectionner les proprits Nom,
S'applique , Paramtre et Hrit pour les dlgations.
60
Dlguer des
autorisations pour les
Rsultats de stratgie
de groupe
Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes
d'enregistrement RSoP pour des objets du domaine ou de l'unit d'organisation.
Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer
cette autorisation d'autres utilisateurs ou groupes. Les autorisations sont
dlgues sur un domaine ou une unit d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les donnes des Rsultats de stratgie de
groupe pour tout objet de ce conteneur. Cette dlgation affecte galement
l'utilisateur ou au groupe l'autorisation Gnrer Jeu de stratgie rsultant
(Enregistrement), laquelle est disponible dans toute fort dote du schma
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation du domaine ou de
l'unit d'organisation. L'administrateur peut slectionner Lire les donnes du
rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels
accorder cette autorisation.
61
Dlgation de filtres WMI

Introduction
Vous pouvez dlguer la capacit de crer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.
Dlguer la capacit de
crer des filtres WMI
Vous crez des filtres WMI dans le conteneur Filtres WMI de la console
Gestion de stratgie de groupe. Lorsque vous crez un nouveau filtre WMI,
Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur
System du domaine. Les autorisations sur le conteneur WMIPolicy dterminent
les autorisations d'un utilisateur pour crer, modifier et supprimer des
filtres WMI.
Il existe deux autorisations de cration de filtres WMI :
Dlguer des
autorisations sur
un filtre WMI
Propritaire crateur : permet l'utilisateur de crer de nouveaux filtres

WMI dans le domaine. N'affecte pas l'utilisateur des autorisations sur les
filtres WMI crs par d'autres utilisateurs.
Contrle total : permet l'utilisateur de crer des filtres WMI et d'affecter

un contrle total sur tous les filtres WMI du domaine, y compris les
nouveaux filtres crs par l'utilisateur aprs que l'autorisation a t accorde.
Vous pouvez utiliser la console Gestion de stratgie de groupe pour dlguer

des autorisations sur un filtre WMI particulier. Vous pouvez affecter deux
autorisations diffrentes un utilisateur ou un groupe :
!
Modifier : autorise l'utilisateur ou le groupe modifier le filtre WMI.
Contrle total : autorise l'utilisateur ou le groupe modifier, supprimer et

modifier la scurit sur le filtre WMI.
62
Comment dlguer le contrle administratif de la gestion des

liaisons de stratgie de groupe

Introduction
Vous pouvez dlguer la capacit de grer les liaisons de stratgie de groupe en

slectionnant Grer les liaisons de stratgie de groupe dans l'Assistant
Dlgation de contrle, afin de permettre un utilisateur de lier ou de
dsactiver des liaisons d'objets Stratgie de groupe.
Procdure
Pour dlguer le contrle administratif de la gestion des liaisons de stratgie de

groupe, procdez comme suit :
2. Naviguez jusqu' la fort et au domaine o vous voulez dlguer le contrle
administratif de la gestion des liaisons de stratgie de groupe, puis cliquez
sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
Remarque Si vous prfrez la flexibilit de la bote de dialogue Proprits,
celle-ci est toujours disponible dans la console Gestion de stratgie de groupe :
cliquez sur Avances sous l'onglet Dlgation.
63
Comment dlguer le contrle administratif pour la cration et la

modification d'objets Stratgie de groupe

Introduction
Utilisez l'Assistant Dlgation de contrle pour dlguer le contrle

administratif pour la cration et la modification d'objets Stratgie de groupe.
Procdure de dlgation
du contrle administratif
pour la cration d'objets
Stratgie de groupe
Pour dlguer le contrle administratif pour la cration d'objets Stratgie de

groupe, procdez comme suit :
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la cration d'objets Stratgie de groupe, puis
cliquez su Objets de stratgie de groupe.
du contrle administratif
pour la modification
d'objets Stratgie de
groupe
Pour dlguer le contrle administratif pour la modification d'objets Stratgie

de groupe, procdez comme suit :
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la modification d'objets Stratgie de groupe, puis
cliquez sur la liaison.
sur OK.
64
Application pratique : Dlgation du contrle administratif de la

stratgie de groupe

Objectifs
Dans cette application pratique, vous allez ajouter le compte de l'administrateur

adjoint au groupe Propritaires crateurs de la stratgie de groupe, puis lui
dlguer la capacit de grer les liaisons de stratgie de groupe.
Scnario
Vous avez dcid de dlguer un administrateur adjoint l'administration de

la stratgie de groupe pour les units d'organisation Accounting, Accounts
Payable (crances) et Accounts Receivable (dettes). Cette personne sera
responsable de la cration et de la suppression de liaisons d'objets Stratgie
de groupe, de la cration de nouveaux objets Stratgie de groupe et de la
modification des objets Stratgie de groupe existants. Elle grera galement
les autres objets des units d'organisation.
! Dlguer un utilisateur le contrle administratif de la stratgie

de groupe

en tant que.
2. Dveloppez successivement Fort, Domaines, Votre_Domaine, Objets de
stratgie de groupe, puis cliquez sur GPO_pratique.
3. Sous l'onglet Dlgation, ajoutez Nwtradersx\Nom_OrdinateurUser la
liste avec les autorisations Modifier les paramtres, supprimer modifier
la scurit, puis cliquez sur OK.
4. Dans la console Gestion de stratgie de groupe, cliquez sur Votre_Domaine,
puis dans le volet de dtails, cliquez sur la liaison GPO_pratique.
Groupe, dans la zone Entrez le nom de l'objet slectionner, entrez
Nwtradersx\Nom_OrdinateurUser, cliquez sur Vrifier les noms, puis
sur OK.

sur OK.
65
66
Leon : Planification d'une stratgie de groupe pour

l'entreprise

Introduction
Lorsque vous planifiez une structure Active Directory, crez un plan pour
l'hritage des objets Stratgie de groupe, l'administration et le dploiement qui
offre la gestion de stratgie de groupe la plus efficace possible pour votre
organisation.
Envisagez galement la faon dont vous allez implmenter la stratgie de
groupe pour l'organisation. Afin que votre plan offre simplicit d'utilisation et
d'administration, veillez prendre en considration la dlgation d'autorisation,
la sparation des tches d'administration, le choix d'une administration
centralise ou dcentralise, ainsi que la flexibilit de conception.
!
expliquer les instructions de planification des objets Stratgie de groupe ;
expliquer les instructions de dtermination de l'hritage des objets Stratgie

de groupe ;
expliquer les instructions de dtermination d'une stratgie de groupe pour

les sites ;
expliquer les instructions de planification de l'administration des objets

Stratgie de groupe ;
expliquer les instructions de dploiement des objets Stratgie de groupe.
67
Instructions de planification des objets Stratgie de groupe

Introduction
Crez des objets Stratgie de groupe de faon offrir une simplicit d'utilisation
et de gestion optimale, notamment via l'utilisation de l'hritage et des liaisons
multiples.
Instructions
Appliquez les instructions suivantes pour planifier les objets Stratgie de

groupe :
!
Appliquez les paramtres de stratgie de groupe au plus haut niveau. De

cette faon, vous bnficiez de l'hritage de stratgie de groupe. Dterminez
les paramtres communs des objets Stratgie de groupe pour le plus grand
conteneur, en commenant par le domaine, puis en liant l'objet Stratgie de
groupe de ce conteneur.
Diminuez le nombre des objets Stratgie de groupe. Rduisez ce nombre en

utilisant plusieurs liaisons au lieu de crer plusieurs objets Stratgie de
groupe identiques. Essayez de lier un objet Stratgie de groupe au plus
grand conteneur possible, afin d'viter de crer plusieurs liaisons du mme
objet un niveau plus bas.
Crez des objets Stratgie de groupe spcialiss. Utilisez ces objets

Stratgie de groupe pour appliquer des paramtres uniques si ncessaire.
Les objets Stratgie de groupe un niveau suprieur n'appliqueront pas les
paramtres de ces objets Stratgie de groupe spcialiss.
Dsactivez les paramtres de configuration de l'ordinateur ou de

l'utilisateur. Lorsque vous crez un objet Stratgie de groupe destin
contenir les paramtres de l'un de ces deux niveaux (utilisateur ou
ordinateur), dsactivez l'autre zone. Cela permet d'amliorer les
performances d'application des objets Stratgie de groupe lors de la
connexion de l'utilisateur et empche l'application accidentelle des
paramtres l'autre zone.
68
Instructions pour dterminer l'hritage des objets Stratgie

de groupe

Introduction
L'hritage des objets Stratgie de groupe tient une place importante dans
l'implmentation de la stratgie de groupe d'une entreprise. C'est pourquoi vous
devez dcider l'avance d'appliquer la stratgie de groupe tout ou partie des
utilisateurs et ordinateurs.
Instructions
Appliquez les instructions suivantes pour dterminer l'hritage des objets

Stratgie de groupe.
!
Utilisez l'option Appliqu (Ne pas passer outre) uniquement lorsqu'elle est
requise. Utilisez cette option uniquement pour les objets Stratgie de groupe
que vous voulez absolument appliquer, par exemple les paramtres de
scurit exigs par l'entreprise. Assurez-vous que ces objets Stratgie de
groupe contiendront uniquement ces paramtres importants.
Utilisez l'option Blocage de l'hritage avec modration. Ce paramtre

complique la rsolution des problmes et l'administration des objets
Stratgie de groupe.
Utilisez le filtrage de scurit en cas de besoin uniquement. Utilisez le

filtrage de scurit lorsque des paramtres s'appliquent uniquement un
groupe de scurit particulier dans un conteneur. Limitez le nombre de
filtres de scurit en crant et en liant des objets Stratgie de groupe au
niveau appropri.
69
Instructions pour dterminer une stratgie de groupe pour les sites

Introduction
Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer
des paramtres l'ensemble des ordinateurs et utilisateurs se trouvant
physiquement sur ce site. Lorsque la stratgie de groupe est dfinie au niveau
du site, elle n'affecte pas les utilisateurs itinrants sur ce site s'ils ont accs au
rseau partir d'un autre site.
Instructions
Appliquez les instructions suivantes pour dterminer une stratgie de groupe

pour des sites :
!
Appliquez un objet Stratgie de groupe un site uniquement si les

paramtres sont spcifiques au site et non au domaine. La rsolution des
problmes de paramtres de stratgie de groupe lis au site peut s'avrer
complique.
Crez des objets Stratgie de groupe dans le domaine qui comporte le plus
grand nombre de contrleurs de domaine sur ce site. Un contrleur de
domaine du domaine contenant l'objet Stratgie de groupe li au site est
contact avant l'application de l'objet, quel que soit le domaine auquel
appartient l'utilisateur ou l'ordinateur.
70
Instructions de planification de l'administration des objets Stratgie

de groupe

Introduction
Veillez documenter les lments suivants relatifs votre stratgie de gestion

des objets Stratgie de groupe dans votre organisation.
Instructions
Appliquez les instructions suivantes pour planifier l'administration des objets

Stratgie de groupe :
!
Identifiez votre stratgie d'administration pour la gestion des objets

Stratgie de groupe. Dterminez quelles personnes vont crer et lier des
objets Stratgie de groupe dans votre organisation, et quelles personnes vont
mais ne pourront pas les crer. Dterminez galement la personne qui va
grer les objets Stratgie de groupe.
Organisez les objets Stratgie de groupe en fonction de la maintenance

administrative. De cette faon, vous pourrez dlguer le contrle des objets
Stratgie de groupe au groupe appropri et rduire le risque potentiel
qu'un administrateur remplace les modifications apportes par un autre
administrateur un objet Stratgie de groupe donn. Vous pouvez, par
exemple, organiser la stratgie de groupe en fonction des catgories
d'administration suivantes :
Gestion de la configuration des utilisateurs
Gestion des donnes
Distribution des logiciels
Planifiez l'audit des objets Stratgie de groupe. Votre organisation peut

vous demander d'enregistrer les modifications apportes aux objets Stratgie
de groupe ainsi que leur utilisation, afin que vous puissiez vrifier que
Active Directory applique correctement les paramtres.
71
Instructions de dploiement des objets Stratgie de groupe

Introduction
Lorsque vous planifiez l'implmentation de la stratgie de groupe, veillez

tester et documenter votre stratgie de groupe.
Instructions
Appliquez les instructions suivantes pour dployer des objets Stratgie

de groupe :
!
Testez les paramtres de stratgie de groupe. Testez les rsultats des

objets Stratgie de groupe dans diffrentes situations. Bon nombre des
organisations de moyenne et grande taille crent une version miniature de
leur environnement de production pour l'utiliser comme banc d'essai .
Dans les petites entreprises, qui ne disposent pas des mmes ressources,
implmentez la stratgie de groupe dans l'environnement de production en
dehors des heures de pointe, et mettez en place une stratgie de rgression
afin de corriger tout problme qui surviendrait. Les stratgies de test
incluent :
L'ouverture de session en tant qu'utilisateur reprsentatif sur des stations
de travail reprsentatives, afin de vrifier que les paramtres de stratgie
de groupe prvus ont bien t appliqus et qu'aucun conflit d'hritage ne
se produit. Vous pouvez utiliser l'Assistant Modlisation de stratgie de
groupe et l'Assistant Rsultats de stratgie de groupe pour dterminer
quels paramtres de stratgie de groupe ont t appliqus et partir de
quels objets Stratgie de groupe.
L'ouverture de session dans toutes les conditions envisageables, afin de
vous assurer que les paramtres de stratgie de groupe sont appliqus de
faon homogne.
Le test des ordinateurs portables en les connectant au rseau depuis les
diffrents sites sur lesquels les utilisateurs sont susceptibles d'ouvrir une
session.
72

!
Documentez le plan de stratgie de groupe. Conservez toujours la liste

dtaille de tous les objets Stratgie de groupe, afin de facilement rsoudre
les problmes et grer la stratgie de groupe. Pensez inclure les
informations suivantes dans votre liste :
Le nom et la fonction de chaque objet Stratgie de groupe.
Les paramtres de stratgie de groupe de chaque objet Stratgie de
groupe.
Les liaisons d'objets Stratgie de groupe un site, un domaine ou une
unit d'organisation.
Tout paramtre spcial appliqu l'objet Stratgie de groupe (Appliqu,
dsactivation partielle ou totale, par exemple).
73
Application pratique : Implmentation d'une stratgie de groupe

Pour commencer la prsentation Implmentation d'une stratgie de groupe,

ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia,
puis sur le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre
invit par l'instructeur.
Objectif
Dans cette application pratique, vous allez dterminer les effets de l'application
de certains paramtres de stratgie de groupe et de l'hritage des objets Stratgie
de groupe.
Instructions
La prsentation Implmentation d'une stratgie de groupe inclut des exercices

de type QCM et glisser-dplacer destins tester vos connaissances. Lisez les
instructions et commencez la prsentation sous l'onglet Effets des paramtres
Stratgie de groupe.
74
Atelier A : Implmentation d'une stratgie de groupe

Objectifs
Dure approximative
de cet atelier :
75 minutes
!
crer et configurer des objets Stratgie de groupe ;
lier des objets Stratgie de groupe ;
vrifier les paramtres de stratgie de groupe.

!
connatre la console Gestion de stratgie de groupe ;
connatre l'diteur d'objets de stratgie de groupe et l'Assistant Modlisation

75
Exercice 1
Cration et configuration d'objets Stratgie de groupe
Dans cet exercice, vous allez crer une unit d'organisation pour le service Comptabilit et sparer
les units d'organisation pour les groupes Crances et Dettes au sein du service Comptabilit. Vous
allez ensuite crer et configurer des objets Stratgie de groupe pour les groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.
Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de l'objet Stratgie de
groupe de l'entreprise. Vous allez crer un objet Stratgie de groupe standard Accounting pour
supprimer la commande Excuter du menu Dmarrer et supprimer la commande Arrter des
utilisateurs et ordinateurs. Les rgles de l'entreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et qu'ils comportent au moins huit caractres. Chaque mot de passe
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de l'organisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.
Tches
1.
Crer la structure trois

units d'organisation.
a.

(Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd, si vous n'tes pas dj
connect.
b. Utilisez la commande Excuter en tant que pour ouvrir la
console Utilisateurs et ordinateurs Active Directory. Utilisez

Votre_Domaine\Administrateur comme nom d'utilisateur et le mot
de passe P@ssw0rd, puis crez les units d'organisation suivantes :
2.
Crer l'objet Stratgie de

groupe Accounting et
vrifier que les paramtres
cls sont propags
l'ensemble des utilisateurs
dans Accounting.
a.
Accounting
Accounts Receivable
Accounts Payable
Crez un nouvel objet Stratgie de groupe.
b. Liez l'objet Stratgie de groupe l'unit d'organisation Accounting.

c.
Configurez les paramtres de stratgie de groupe suivants :
Supprimer le menu Excuter du menu Dmarrer
Supprimer et empcher l'accs la commande Arrter
Appliqu
76
Tches
3.
4.
5.
6.
Copier l'objet Stratgie de

groupe Accounting et lui
donner le nom de Accounts
Receivable.
a.
Configurer l'objet Stratgie

de groupe Accounts
Receivable.
"
Copier l'objet Stratgie de

groupe Accounting et lui
donnez le nom de Accounts
Payable.
a.
Configurez l'objet Stratgie

de groupe Accounts
Payable.
"
Copiez l'objet Stratgie de groupe Accounting.
b. Donnez le nom de Accounts Receivable la copie.
Modifiez l'objet Stratgie de groupe Accounts Receivable pour dfinir

les stratgies sur la valeur suivante :
Supprimer l'application Ajouter ou supprimer des

programmes
Copiez l'objet Stratgie de groupe Accounting.
b. Donnez le nom de Accounts Payable la copie.
Modifiez l'objet Stratgie de groupe Accounts Payable pour dfinir les

stratgies sur la valeur suivante :
Dsactiver le verrouillage de l'ordinateur (le chemin

d'accs cette option est Configuration utilisateur\Modles
d'administration\Systme\Options Ctrl+Alt+Suppr).
Exercice 2
Liaison d'objets Stratgie de groupe
Dans cet exercice, vous allez lier des objets Stratgie de groupe l'unit d'organisation approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.
Tches
"
"
Lier les objets Stratgie de

groupe Accounts Receivable
et Accounts Payable l'unit
d'organisation approprie.
Dans la console Gestion de stratgie de groupe, liez les units

d'organisation suivantes l'objet Stratgie de groupe appropri :
Accounts Receivable
Accounts Payable
77
78
Exercice 3
Vrification des paramtres de stratgie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour vrifier
les paramtres de stratgie de groupe que vous avez configurs dans les exercices prcdents.
Tches
1.
2.
Utiliser l'Assistant
Modlisation de stratgie
de groupe pour vrifier les
objets Stratgie de groupe
Accounting.
a.
Passer en revue les rsultats

de l'Assistant Modlisation
de stratgie de groupe pour
vrifier les paramtres de
stratgie de groupe.
a.
Dans la console Gestion de stratgie de groupe, ouvrez l'Assistant

Modlisation de stratgie de groupe.
b. Acceptez les valeurs par dfaut pour chaque unit d'organisation
Accounting.
Affichez les trois rsultats de modlisation que vous avez crs
l'tape prcdente.
b. Passez les paramtres en revue pour vous assurer de leur homognit.
Module 6 : Dploiement et
gestion des logiciels l'aide
d'une stratgie de groupe
Table des matires
Vue d'ensemble
Leon : Prsentation de la gestion du

dploiement de logiciels
Leon : Dploiement de logiciels
Leon : Configuration du dploiement

des logiciels
19
Leon : Maintenance des logiciels

dploys
28
Leon : Rsolution des problmes lis

au dploiement de logiciels
37
Leon : Planification d'une stratgie de

45
Atelier A : Dploiement et gestion

des logiciels l'aide d'une stratgie
de groupe
53
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
iii
Prsentation :
120 minutes
Atelier :
60 minutes
Ce module fournit aux stagiaires des informations sur le dploiement et la

gestion des logiciels l'aide de la stratgie de groupe dans Microsoft Windows
Server 2003. Le module met l'accent sur les concepts de base du dploiement
de logiciels ; sur la configuration, la maintenance et le dpannage des logiciels
dploys, et sur la planification du dploiement de logiciels.
suivantes :
Documents de cours
expliquer les concepts de base du dploiement de logiciels l'aide de la

dployer des logiciels l'aide de la stratgie de groupe ;
configurer le dploiement de logiciels l'aide de la stratgie de groupe ;
assurer la maintenance des logiciels dploys l'aide de la stratgie de

groupe ;
rsoudre quelques problmes courants lis au dploiement des logiciels ;
planifier une stratgie de dploiement de logiciels.
Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint

2194A_06.ppt.
Prparation

!

raliser l'atelier ;
lire l'Annexe B Publication des packages d'Installateur non-Windows sur

le CD-ROM du stagiaire ;
lire l'Annexe C Utilisation de DFS sur le CD-ROM du stagiaire ;
lire le livre blanc Windows Installer Service Overview (en anglais) sous
Documentation supplmentaire sur la page Web du CD-ROM du
stagiaire ;
lire le livre blanc Windows 2000 Server Software Installation and

Maintenance (en anglais) sous Documentation supplmentaire sur la page
Web du CD-ROM du stagiaire.
iv

ce module.
connaissances.
Procdures,
et ateliers

une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.
Procdures
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent
des tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Ateliers
du module.
Leon : Prsentation de la gestion du dploiement de logiciels

Les informations de cette leon prsentent les connaissances de base requises
pour permettre aux stagiaires de grer le dploiement de logiciels. Prsentez la
gestion du dploiement de logiciels en dcrivant brivement chaque phase
d'installation logicielle, en vitant de trop entrer dans les dtails de chaque phase.
Prsentez Microsoft Windows Installer et dcrivez son rle dans l'installation
et la maintenance des logiciels. Analysez quelques-uns des problmes courants
auxquels les administrateurs sont confronts lors du dploiement et de la
gestion de logiciel au sein d'une organisation.
Il se peut que les stagiaires aient des questions portant sur des packages autres
que Windows Installer. Lisez l'Annexe B Publication des packages
d'Installateur non-Windows sur le CD-ROM du stagiaire pour plus
d'informations sur l'utilisation de packages autres que Windows installer.

Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de dployer des logiciels. Prsentez le
processus de dploiement des logiciels. Dcrivez le processus de cration d'un
point de distribution de logiciels. Discutez des consignes de cration d'un point
de distribution de logiciels dans la leon sur la planification. Discutez des
avantages lis la publication des logiciels plutt qu' leur installation.
Expliquez la distinction entre affecter un logiciel un utilisateur et l'affecter
un ordinateur. Expliquez quand il peut tre plus appropri d'affecter un logiciel
un utilisateur ou des ordinateurs. Montrez comment les utilisateurs peuvent
utiliser Ajouter ou supprimer des programmes du Panneau de configuration
pour installer des logiciels. Expliquez le processus utilis lorsqu'un utilisateur
clique double-clique sur un type de fichier inconnu. Illustrez la procdure
d'utilisation de la stratgie de groupe pour l'affectation et la publication du
package de logiciels. Montrez comment modifier les options de dploiement
pour une application.
Expliquez aux stagiaires qu'ils peuvent configurer les options par dfaut
d'installation logicielle pour les objets Stratgie de groupe courants (GPO,
Group Policy Object) lorsqu'ils ajoutent simultanment plusieurs applications
un objet Stratgie de groupe et qu'ils veulent utiliser les mmes options pour
elles par dfaut. Bien que les stagiaires aient peut-tre dfini globalement les
paramtres par dfaut pour de nouveaux packages dans l'objet Stratgie de
groupe, ils peuvent ultrieurement modifier certains de ces mmes paramtres
en ditant les proprits du package.
vi
options relatives aux logiciels dploys.
Au cours de l'application pratique et la fin de la leon, demandez aux

stagiaires de se reporter au scnario d'entreprise pour dployer des logiciels
l'aide de la stratgie de groupe.
Leon : Configuration du dploiement des logiciels

requises pour permettre aux stagiaires de configurer le dploiement de logiciels.
Prsentez la configuration du dploiement de logiciels. Expliquez comment
vous utilisez des catgories de logiciels pour classer des applications dans
Ajouter ou supprimer des programmes. Expliquez le concept de gestion des
extensions de noms de fichiers l'aide du composant Installation de logiciel de
la stratgie de groupe. Prcisez qu'une liste des extensions de noms de fichiers
et des applications qui leur sont associes sont stockes dans le service
d'annuaire Active Directory. Illustrez le concept d'ajout de modifications un
package de logiciels. Indiquez aux stagiaires l'onglet Modifications de la bote
de dialogue des proprits pour une application publie, et dcrivez comment
ajouter un fichier de transformation.

stagiaires de se reporter au scnario d'entreprise lorsqu'ils configurent le
dploiement de logiciels.
Leon : Maintenance des logiciels dploys

requises pour permettre aux stagiaires d'assurer la maintenance des logiciels
dploys. Prsentez le concept de maintenance des logiciels dploys. Illustrez
la procdure utilise pour le dploiement d'une mise niveau obligatoire ou
facultative. Montrez comment redployer des logiciels. Insistez sur le fait qu'un
redploiement exige que vous obteniez les fichiers d'application mis jour ainsi
qu'un nouveau fichier de package Windows Installer. Expliquez le processus
utilis pour la suppression de logiciels dploys. Illustrez la procdure utilise
pour la suppression de logiciels dploys. Prcisez que lorsque vous configurez
un objet Stratgie de groupe, le logiciel est automatiquement supprim.

stagiaires de se reporter au scnario d'entreprise pour assurer la maintenance
des logiciels dploys.
Leon : Rsolution des problmes lis au dploiement de logiciels

requises pour permettre aux stagiaires de rsoudre des problmes courants lis
au dploiement des logiciels. Indiquez aux stagiaires qu'ils peuvent tre
confronts des problmes lors du dploiement de logiciels l'aide de la
stratgie de groupe. Prsentez quelques-uns problmes les plus courants
auxquels ils pourraient tre confronts, ainsi que les stratgies suggres
pour les rsoudre.
vii
Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires

de se reporter au scnario d'entreprise lorsqu'ils procdent au dpannage d'un
dploiement de logiciels.
Leon : Planification d'une stratgie de dploiement de logiciels

Les informations de cette leon prsentent les comptences et les connaissances
requises pour que les stagiaires puissent planifier une stratgie de dploiement de
logiciels en appliquant les instruction de planification des points de distribution
de logiciels, les objets Stratgie de groupe et la maintenance des logiciels. La
section de ce cours relative la planification suppose que l'ingnieur systme a
reu une conception d'Active Directory mais qu'il doit dvelopper une stratgie
pour le dploiement de logiciels l'aide de la stratgie de groupe.
Il est important de comprendre le systme de fichiers DFS (DFS, Distributed
File System) pour la planification des points de distribution de logiciels. Ce
cours n'enseigne pas le concept de DFS. En consquence, lisez l'Annexe C
Utilisation de DFS sur le CD-ROM du stagiaire et encouragez les stagiaires
faire de mme.
Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires

de se reporter au scnario d'entreprise lorsqu'ils planifient une stratgie de
dploiement de logiciels. Expliquez le scnario avec les stagiaires et dites-leur
qui sera leur partenaire de domaine. Dterminez les paramtres requis pour que
les stagiaires remplissent les objectifs du scnario. Demandez aux stagiaires de
se tenir prts argumenter leurs dcisions.
Atelier A : Dploiement et gestion des logiciels l'aide d'une

stratgie de groupe
L'atelier de ce module donne aux stagiaires l'occasion de dployer et de grer
des logiciels l'aide de la stratgie de groupe. Les stagiaires prpareront leur
contrleur de domaine destin hberger les logiciels installs l'aide de la
stratgie de groupe, puis ils vrifieront les paramtres d'affectation des logiciels.
En travaillant sur le contrleur de domaine qui leur est affect, les stagiaires
vrifieront les paramtres d'installation logicielle en se connectant en tant
qu'utilisateur recevant des paramtres pour l'objet Stratgie de groupe cr
dans le cadre de la tche prcdente. Les stagiaires testeront les paramtres
en examinant les nouveaux logiciels installs pour cet utilisateur.
Pour prparer la publication des logiciels, les stagiaires supprimeront le package
qu'ils avaient affect dans l'exercice prcdent, puis utiliseront ce mme
package pour comparer les diffrences. Aprs suppression du package affect,
les stagiaires diteront la stratgie de groupe pour publier une application et
vrifieront les paramtres de publication des logiciels. Ils supprimeront ensuite
les logiciels dploys prcdemment en ditant la stratgie de groupe.
Pour finir, les stagiaires mettront niveau les logiciels qu'ils ont dploys.
Lorsque la mise niveau sera termine, les stagiaires vrifieront que celle-ci
a bien install la nouvelle application.
viii
L'atelier de ce module exige que la console Gestion des stratgies de groupe

(GPMC, Group Policy Management Console), un composant logiciel
enfichable MMC (Microsoft Management Console), soit installe. Pour
prparer les ordinateurs des stagiaires remplir cette condition, vrifiez que les
stagiaires ont effectu l'application pratique Cration et configuration d'objets
Stratgie de groupe du Module 5. S'ils ne l'ont pas ralise, ils doivent installer
la console Gestion des stratgies de groupe partir de \\LONDON\Setup.
ci-dessous.
!
Elle cre l'objet Stratgie de groupe de dploiement de logiciels de l'atelier.
Elle affectation l'application Cosmo 1.
Elle publie l'application Cosmo 1.
Elle met niveau l'application Cosmo 1 l'aide de l'application Cosmo 2.
Vue d'ensemble

Introduction
Microsoft Windows Server 2003 comporte une fonctionnalit appele

Installation et maintenance du logiciel qui utilise le service d'annuaire Active
Directory, la stratgie de groupe et Microsoft Windows Installer pour installer,
grer et supprimer des logiciels sur les ordinateurs dans votre organisation.
L'utilisation d'une mthode de gestion de dploiement de logiciels base sur une
stratgie garantit que les applications dont les utilisateurs ont besoin pour faire
leur travail sont disponibles o et quand elles sont requises.
Objectifs

!
expliquer les concepts de base du dploiement de logiciels l'aide de la

dployer des logiciels l'aide de la stratgie de groupe ;
configurer le dploiement de logiciels l'aide de la stratgie de groupe ;
assurer la maintenance des logiciels dploys l'aide de la stratgie de

groupe ;
rsoudre quelques problmes courants lis au dploiement des logiciels ;
planifier une stratgie de dploiement de logiciels.
Leon : Prsentation de la gestion du dploiement

de logiciels

Introduction
Lorsque vous grez des logiciels l'aide de l'extension Installation de logiciel

de la stratgie de groupe, les utilisateurs ont un accs immdiat au logiciel dont
ils ont besoin pour faire leur travail, et ils travaillent de manire transparente
avec le logiciel pendant toute sa dure de vie. Le cycle de vie des logiciels
est compos de quatre phases : prparation, dploiement, maintenance et
suppression. La stratgie de groupe Installation de logiciels utilise la
technologie Microsoft Windows Installer pour grer le processus d'installation.
!
dcrire chaque phase du processus d'installation et de maintenance du

logiciel de dploiement de logiciels ;
expliquer comment vous utilisez Windows Installer pour installer les

logiciels et assurer leur maintenance.
Processus d'installation et de maintenance de logiciels

Introduction
Windows Server 2003 vous permet d'utiliser la stratgie de groupe pour grer le
processus de dploiement de logiciels de manire centralise ou partir d'un
emplacement. Vous pouvez appliquer des paramtres de stratgie de groupe
des utilisateurs ou des ordinateurs dans un site, un domaine ou une unit
d'organisation pour automatiser l'installation, la mise niveau ou la suppression
de logiciels. L'application de paramtres de stratgie de groupe des logiciels
vous permet de grer les diverses phases du dploiement de logiciels sans
dployer ceux-ci individuellement sur chaque ordinateur.
Processus
La liste suivante dcrit chaque phase du processus d'installation et de

maintenance du logiciel :
1. Prparation. Vous devez dterminer tout d'abord si vous pouvez dployer
le logiciel l'aide de la structure des objets Stratgie de groupe courante.
Vous devez galement identifier les risques lis l'utilisation de
l'infrastructure courante susceptibles d'empcher l'installation logicielle.
Prparez les fichiers permettant le dploiement d'une application l'aide de
la stratgie de groupe en copiant les fichiers de package Windows Installer
pour une application dans un point de distribution de logiciels, qui peut
tre un dossier partag sur un serveur. Vous pouvez acqurir un fichier
de package Windows Installer auprs du fournisseur de l'application, ou
en crer un l'aide d'un utilitaire tiers.
2. Dploiement. Vous crez un objet Stratgie de groupe qui installe le logiciel
sur l'ordinateur et relie l'objet Stratgie de groupe un conteneur Active
Directory appropri. Le logiciel est install au dmarrage de l'ordinateur
ou lorsqu'un utilisateur dmarre l'application.
3. Maintenance. Vous procdez la mise niveau d'un logiciel avec une

nouvelle version, ou vous redployez un logiciel avec un Service Pack
ou une mise niveau du logiciel. Le logiciel est alors mis niveau ou
redploy automatiquement au dmarrage de l'ordinateur ou lorsqu'un
utilisateur dmarre l'application.
4. Suppression. Pour liminer un logiciel qui n'est plus requis, supprimez
les paramtres du package de logiciels dans l'objet Stratgie de groupe
l'origine de son dploiement. Le logiciel est automatiquement supprim au
dmarrage de l'ordinateur ou lorsqu'un utilisateur ouvre une session.
Dfinition de Windows Installer

Introduction
Windows Server 2003 utilise Windows Installer pour permettre la stratgie

de groupe de dployer et de grer des logiciels. Ce composant automatise
l'installation et la suppression d'applications en appliquant durant le processus
d'installation un jeu de rgles de configuration dfinies de faon centralise.
Composants de
Windows Installer
Windows Installer contient deux composants :

!
Le service Windows Installer. Ce service ct client automatise intgralement

le processus d'installation et de configuration logicielle. Le service Windows
Installer peut galement modifier ou rparer une application installe
existante. Il installe une application directement partir du CD-ROM ou
l'aide de la stratgie de groupe. Pour installer une application, le service
Windows Installer a besoin d'un package Windows Installer.
Le package Windows Installer. Ce fichier de package contient toutes les

informations dont le service Windows Installer a besoin pour installer ou
dsinstaller des logiciels. Un fichier de package contient :
Un fichier Windows Installer portant une extension .msi.
Tout fichier source externe requis pour installer ou dsinstaller
le logiciel.
Un rsum des informations standard concernant le logiciel et
le package.
Les fichiers du produit ou une rfrence un point d'installation o
ces fichiers se trouvent.
Avantages
Les avantages de l'utilisation de la technologie Windows Installer sont

les suivants :
!
Installations personnalises. Des fonctionnalits optionnelles dans une

application, telles que des images clipart ou un thsaurus, peuvent tre
visibles dans un programme sans que la fonctionnalit ne soit installe.
Bien que les commandes du menu soient accessibles, la fonctionnalit n'est
pas installe avant que l'utilisateur n'accde la commande dans le menu.
Cette mthode d'installation contribue rduire la fois la complexit
de l'application et la quantit d'espace qu'elle occupe sur le disque dur.
Applications tolrantes aux pannes. Si un fichier critique est supprim ou

endommag, l'application rcupre automatiquement une nouvelle copie
du fichier partir de la source d'installation, sans que l'utilisateur n'ait
intervenir.
Suppression propre. Windows Installer dsinstalle des applications sans

laisser de fichiers orphelins ni endommager une autre application par
inadvertance par exemple, lorsqu'un utilisateur supprime un fichier
partag dont une autre application a besoin. De plus, Windows Installer
supprime tous les paramtres de registre lis l'application et stocke dans
une base de donnes les transactions d'installation et les fichiers journaux
qui en dcoulent.
Remarque Lorsqu'il n'est pas plausible d'utiliser un logiciel de

reconditionnement pour reconditionner une application, ou lorsqu'un fichier
de package Windows Installer n'est pas disponible, utilisez des fichiers .zap
(packages autres que Windows Installer) pour publier les applications.
Pour obtenir des informations sur les packages autres que Windows Installer,
reportez-vous l'annexe B Publication des packages d'Installateur nonWindows sur le CD-ROM du stagiaire. Consultez galement le livre blanc
Windows Installer Service Overview (en anglais) sous Documentation
supplmentaire sur la page Web du CD-ROM du stagiaire.

Introduction
Le dploiement de logiciels garantit que les applications requises sont

disponibles partir de chaque ordinateur auquel l'utilisateur se connecte.
Du point de vue de l'utilisateur, les logiciels sont toujours disponibles et
fonctionnels. Les administrateurs peuvent installer l'avance les logiciels pour
les utilisateurs ou permettre ceux-ci d'installer au coup par coup les logiciels
dont ils ont besoin.
!
expliquer le processus du dploiement de logiciels l'aide de la stratgie

de groupe ;
expliquer le rle de l'affectation et de la publication de logiciels ;
crer un point de distribution de logiciels pour dployer ces derniers ;
crer un objet Stratgie de groupe pour affecter des logiciels ou les publier ;
dcrire les options par dfaut d'installation de logiciels ;
modifier les options d'installation de logiciels.
Vue d'ensemble du processus de dploiement de logiciels

Introduction
Lors du dploiement de logiciels, vous spcifiez comment les applications sont

installes et gres dans votre organisation.
Processus
Excutez les tches suivantes pour utiliser la stratgie de groupe pour le

dploiement de nouveaux logiciels :
1. Crez un point de distribution de logiciels. Ce dossier partag sur votre
serveur contient les fichiers de package et de logiciels permettant le
dploiement de logiciels. Lorsque des logiciels sont installs sur un
ordinateur local, Windows Installer copie des fichiers partir de ce point
de distribution. Le fait de rassembler les fichiers en un mme endroit pour
chaque application simplifie l'administration.
2. Utilisez un objet Stratgie de groupe pour le dploiement des logiciels.
Vous devez crer ou modifier en consquence un objet Stratgie de groupe
pour le conteneur dans lequel vous souhaitez dployer l'application.
Vous pouvez configurer l'objet Stratgie de groupe pour le dploiement de
logiciels pour un compte d'utilisateur ou d'ordinateur. Cette tche inclut
la slection du type de dploiement dont vous avez besoin.
3. Modifiez les proprits de dploiement des logiciels. En fonction de vos
besoins, vous pouvez modifier les proprits qui avaient t dfinies durant
le dploiement initial des logiciels.
Affectation de logiciels et publication de logiciels

Introduction
L'affectation de logiciels et la publication de logiciels constituent les deux types

de dploiement.
Pourquoi affecter
un logiciel ?
L'affectation des logiciels vous permet de vous assurer que l'utilisateur peut en
disposer en permanence. Des raccourcis dans le menu Dmarrer et des icnes
sur le Bureau correspondant aux logiciels apparaissant lorsque l'utilisateur
ouvre une session. Par exemple, si l'utilisateur ouvre un fichier qui utilise
Microsoft Excel sur un ordinateur qui ne comporte pas Excel, mais que ce
logiciel a t affect l'utilisateur, Windows Installer installe Excel sur cet
ordinateur lorsque l'utilisateur ouvre le fichier concern.
En outre, l'affectation de logiciels fait que ceux-ci sont tolrants aux pannes.
Si, pour une raison quelconque, l'utilisateur supprime un logiciel, Windows
Installer le rinstalle lorsque l'utilisateur se reconnecte et dmarre l'application.
Pourquoi publier
un logiciel ?
La publication des logiciels vous permet de vous assurer qu'ils sont disponibles
aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows
Installer n'ajoute pas de raccourcis sur le Bureau de l'utilisateur ou dans le menu
Dmarrer, et aucune entre n'est enregistre dans le registre local. Comme les
utilisateurs doivent installer des logiciels publis, vous ne pouvez publier des
logiciels qu'auprs d'utilisateurs, pas auprs d'ordinateurs.
10
Mthodes d'affectation
et de publication de
logiciels
Mthode de
dploiement
Vous pouvez affecter et publier des logiciels l'aide de l'une des mthodes du
tableau suivant.
Mthode 1
Mthode 2
Affectation
Durant la configuration de l'utilisateur.

Lorsque vous affectez un logiciel un
utilisateur, le logiciel est publi sur le Bureau
de l'utilisateur lorsque celui-ci se connecte.
L'installation ne commence pas tant que
l'utilisateur ne double-clique pas sur l'icne
de l'application ou sur un fichier qui lui est
associ ; cette mthode est appele Activation
de document. Si l'utilisateur n'active pas
l'application, le logiciel n'est pas install,
ce qui conomise de l'espace sur le disque
dur et permet de gagner du temps.
Durant la configuration de l'ordinateur.

Lorsque vous affectez un logiciel un
ordinateur, aucune publication n'a lieu.
Le logiciel est install automatiquement
au dmarrage de l'ordinateur. L'affectation
d'un logiciel un ordinateur garantit la
disponibilit de certaines applications sur
cet ordinateur, quelle que soit la personne
qui l'utilise. Vous ne pouvez pas affecter
de logiciel un ordinateur servant de
Publication
l'aide d'Ajouter ou supprimer des

programmes. L'utilisateur peut ouvrir le
Panneau de configuration et double-cliquer sur
Ajouter ou supprimer des programmes pour
afficher les applications disponibles.
L'utilisateur peut slectionner une application
puis cliquer sur Ajouter.
l'aide de l'activation de document.

Lorsque vous publiez une application dans
Active Directory, les extensions de noms
de fichiers des documents qu'elle prend en
charge sont enregistres dans Active
Directory. Si un utilisateur double-clique
sur un type de fichier inconnu, l'ordinateur
envoie une requte Active Directory
pour dterminer si l'une des applications
est associe l'extension. Si Active
Directory contient l'application requise,
l'ordinateur l'installe.
Cration d'un point de distribution de logiciels

Introduction
Pour dployer des logiciels pour des utilisateurs ou en assurer la disponibilit

pour que ceux-ci les installent quand ils en ont besoin, crez un ou plusieurs
points de distribution de logiciels dans lesquels vous copierez les logiciels
concerns.
Procdure
Pour crer un point de distribution de logiciels, procdez comme suit :

1. Crez un dossier partag.
2. Crez les dossiers d'applications appropris dans le dossier partag.
3. Dfinissez l'autorisation approprie pour le dossier partag. Affectez aux
utilisateurs l'autorisation en lecture (Read) sur le systme de fichier NTFS
afin qu'ils puissent accder aux fichiers d'installation logicielle requis dans
le point de distribution de logiciels.
4. Copiez dans les dossiers appropris les packages Windows Installer ainsi
que les fichiers connexes.
11
12
Utilisation d'un objet Stratgie de groupe pour le dploiement de

logiciels

Introduction
Aprs avoir cr un point de distribution de logiciels, crez un objet Stratgie

de groupe qui dploie ces applications, puis reliez l'objet Stratgie de groupe au
conteneur qui contient les utilisateurs ou les ordinateurs auprs desquels vous
souhaitez dployer des logiciels.
Important N'affectez ni ne publiez plusieurs fois un package Windows Installer
dans un mme objet Stratgie de groupe. Par exemple, si vous affectez
Microsoft Office XP aux ordinateurs affects par un objet Stratgie de groupe,
ne l'affectez ni ne le publiez aux utilisateurs affects par ce mme objet
Stratgie de groupe.
Procdure
Pour utiliser un objet Stratgie de groupe pour le dploiement de logiciels,

1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, pointez sur Nouveau, puis
cliquez sur Package.
3. Dans la bote de dialogue Ouvrir un fichier, naviguez jusqu'au point
de distribution de logiciels l'aide du nom UNC (Universal Naming
Convention) par exemple, \\Nom_Serveur\Nom_Partage
slectionnez le fichier de package, puis cliquez sur Ouvrir.
4. Dans la bote de dialogue Dploiement du logiciel, slectionnez une
mthode de dploiement, puis cliquez sur OK.
13
Options par dfaut pour installation logicielle

Introduction
Vous pouvez configurer les options par dfaut d'installation logicielle

pour l'objet Stratgie de groupe courant lorsque vous souhaitez ajouter
simultanment plusieurs applications un objet Stratgie de groupe ou utiliser
les mmes options pour elles par dfaut.
Options
Le tableau suivant rpertorie les options par dfaut d'installation logicielle.

Option
Description
Emplacement des
packages par
dfaut
Emplacement du point de distribution de logiciels qui

contient les fichiers de package .msi Vous pouvez spcifier
tout emplacement contenant le package de logiciels, mais
assurez-vous que le point de distribution est un chemin UNC
plutt qu'une unit locale.
Utilisez l'option Afficher la boite de dialogue de dploiement
de logiciel pour afficher une bote de dialogue pour chaque
fichier de package que vous ajoutez l'objet Stratgie de
groupe. Cette bote de dialogue vous invite publier ou
affecter le nouveau fichier de package.
Lors de l'ajout de
nouveaux packages
dans les paramtres
utilisateur
Utilisez l'option Publier pour publier automatiquement par

dfaut un nouveau fichier de package d'installation sous
Configuration utilisateur (cette option n'apparat pas sous
Configuration ordinateur). Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre publies.
Utilisez l'option Attribuer pour affecter automatiquement un
nouveau fichier de package. Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre affectes.
Utilisez l'option Avanc pour obtenir un meilleur contrle sur
une base par package par exemple, lorsque vous utilisez des
transformations.
14

(suite)
Option
Description
Options de
l'interface
utilisateur de
l'installation
Les packages de Windows Installer sont souvent fournis avec

deux interfaces de configuration. L'interface De base installe
les logiciels en utilisant des valeurs par dfaut. L'interface
Toutes invite l'utilisateur entrer des valeurs. Vous pouvez
choisir quelle interface afficher pour les utilisateurs durant la
configuration.
Remarque Pour plus d'informations sur les options des logiciels dploys,
reportez-vous la rubrique Options par dfaut pour installation logicielle
de la page d'annexe du Module 6 sur le CD-ROM du stagiaire.
15
Modification des options d'installation logicielle

Introduction
Un objet Stratgie de groupe peut contenir plusieurs paramtres qui affectent la

manire dont une application est installe, gre et supprime. Vous pouvez
dfinir globalement dans l'objet Stratgie de groupe les paramtres par dfaut
pour les nouveaux packages. Vous pouvez modifier ultrieurement certains de
ces paramtres en ditant les proprits du package dans l'extension Installation
de logiciel.
Aprs avoir dploy un package de logiciels, vous pouvez modifier les
proprits qui avaient t dfinies durant le dploiement initial des logiciels.
Vous pouvez, par exemple, empcher que les utilisateurs n'installent un package
de logiciels l'aide de l'activation de document.
Procdure de
configuration des
options par dfaut
d'installation logicielle
Pour configurer les options par dfaut d'installation logicielle, procdez

comme suit :
avec le bouton droit sur Installation logicielle, puis cliquez sur Proprits.
3. Dans l'onglet Gnral, configurez les options suivantes d'installation
logicielle :
Emplacement par dfaut du package
Lors de l'ajout de nouveaux packages aux paramtres utilisateur
Options de l'interface utilisateur de l'installation
4. Dans l'onglet Avances, slectionnez l'option Dsinstaller les applications
lorsqu'elles se trouvent en dehors de l'tendue de la gestion.
16
Procdure de
modification des options
relatives aux packages
de logiciels dploys
Pour modifier les proprits de dploiement de logiciels d'un package de

logiciels, procdez comme suit :
1. Dans Installation logicielle, cliquez avec le bouton droit sur le package
dploy, puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits de l'application, dans l'onglet
Dploiement, modifiez les options suivantes du package de logiciels
dploy :
Type de dploiement
Options de dploiement
Options de l'interface utilisateur de l'installation
17
Application pratique : Dploiement de logiciels

Objectifs
Dans cette application pratique, vous allez crer un objet Stratgie de groupe
l'aide d'un package .msi pour publier une application.
Scnario
Northwind Traders veut s'assurer que tout le personnel informatique peut grer
le dploiement de logiciels dans toute l'organisation. Avant que l'quipe
informatique ne dploie des logiciels dans toute l'organisation, vous devez
garantir un environnement scuris. Vous utiliserez le package des outils
de support de Windows comme application de test. Vous devez dployer
correctement cette application dans l'environnement de test avant de la
diffuser dans l'environnement de production.
! Dploiement de logiciels
1. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser
(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous travaillez).
le bouton droit sur Gestion des stratgies de groupe, puis cliquez sur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK.
4. Dans Gestion des stratgies de groupe, dveloppez Fort, puis Domaines,
dveloppez votre_domaine, puis dveloppez et cliquez ensuite sur Objets
5. Cliquez avec le bouton droit sur Objets de stratgie de groupe, cliquez sur
Nouveau, tapez Practice Software Deployment puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Practice Software Deployment, puis
cliquez sur Editer.
7. Dans l'diteur des objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez Paramtres du logiciel, puis cliquez sur
Installation logicielle.
18
8. Cliquez avec le bouton droit sur Installation logicielle, pointez sur

Nouveau, puis cliquez sur Package.
9. Dans la bote de dialogue Ouvrir, naviguez jusqu' \\London\Labfiles\
Lab6\COSMO1, cliquez sur COSMO1.MSI, puis cliquez sur Ouvrir.
10. Dans la bote de dialogue Dploiement du logiciel, cliquez sur OK.
11. Fermez l'diteur des objets de stratgie de groupe.
12. Dans Gestion des stratgies de groupe, dveloppez l'unit d'organisation
Nom_Ordinateur, cliquez avec le bouton droit sur l'unit d'organisation
Recherche, cliquez sur Link an Existing GPO, puis sur Practice Software
Deployment, puis cliquez sur OK.
13. Fermez Gestion des stratgies de groupe.
19
Leon : Configuration du dploiement des logiciels

Introduction
Installation de logiciel dans la stratgie de groupe inclut des options de

configuration de logiciels dploys. Vous pouvez dployer plusieurs
configurations diffrentes d'une application et contrler comment cette
application est affecte ou publie chaque fois que les fonctions d'un utilisateur
changent. Vous pouvez galement simplifier la tche de dploiement de
logiciels en catgorisant les programmes rpertoris dans Ajouter ou
supprimer des programmes, en associant des extensions de noms de fichiers
avec des applications, et en ajoutant des modifications aux logiciels dploys.
!
expliquer le rle des catgories de logiciels ;
crer des catgories de logiciels pour classer des applications dans Ajouter
ou supprimer des programmes ;
expliquer pourquoi il est utile d'associer des extensions de noms de fichiers

des packages de logiciels ;
associer des extensions de noms de fichiers des applications l'aide de

Installation de logiciel ;
expliquer le rle de l'ajout de modifications aux logiciels ;
ajouter des modifications un package de logiciels afin de permettre

diffrents groupes dans une organisation d'utiliser ce package de logiciels
de diffrentes manires.
20
Dfinition des catgories de logiciels

Introduction
Vous utilisez des catgories de logiciels pour organiser des logiciels affects et
publis en groupes logiques, afin que les utilisateurs puissent trouver aisment
les applications dans Ajouter ou supprimer des programmes du Panneau de
configuration. Windows Server 2003 est fourni sans catgories de logiciels
prdfinies.
Pourquoi crer des

catgories de logiciels
Vous pouvez crer des catgories de logiciels pour regrouper diffrentes

applications sous un en-tte spcifique. Au lieu de vous en remettre une liste
alphabtique des applications disponibles par dfaut, vous pouvez organiser les
logiciels en catgories, telles que Graphiques, Microsoft Office et Comptabilit.
Les utilisateurs peuvent alors choisir dans les catgories quelles applications
installer dans Ajouter ou supprimer des programmes.
tendue et conditions
requises
Les catgories de logiciels recouvrent plusieurs domaines. Vous les dfinissez

une seule fois pour toute une fort. Vous pouvez utiliser la mme liste de
catgories de logiciels dans toutes les stratgies dans la fort.
La catgorisation des applications exige tout d'abord la cration d'une catgorie,
puis l'affectation des applications la catgorie. Vous pouvez rpertorier des
packages sous plusieurs catgories.
21
Cration de catgories de logiciels

Introduction
La catgorisation des logiciels exige tout d'abord la cration d'une catgorie de

logiciels, puis l'affectation de logiciels la catgorie.
Procdure de cration
d'une catgorie
Pour crer une catgorie, procdez comme suit :

avec le bouton droit sur Installation logicielle, puis cliquez sur Package.
3. Dans l'onglet Catgories, cliquez sur Ajouter pour entrer une nouvelle
catgorie.
4. Dans la zone Catgorie, tapez le nom de la catgorie puis cliquez deux fois
sur OK.
Procdure d'affectation
d'un package de
logiciels une catgorie
Pour affecter un package de logiciels une catgorie, procdez comme suit :

1. Crez ou ditez un objet Stratgie de groupe contenant le package de
logiciels catgoriser.
2. Dans l'arborescence de la console, dveloppez Paramtres du logiciel,
puis cliquez sur Installation logicielle.
3. Dans le volet de dtails, cliquez avec le bouton droit sur le package de
logiciels, puis cliquez sur Proprits.
4. Dans l'onglet Catgories, affectez une ou plusieurs catgories au package
de logiciels en cliquant sur la catgorie dans la liste Catgories disponibles,
cliquez ensuite sur Slectionner, puis sur OK.
22
Dfinition de l'association de logiciels

Introduction
Pour dterminer quels logiciels les utilisateurs installent lorsqu'ils slectionnent

un fichier, vous pouvez choisir une extension de nom de fichier et configurer
une priorit d'installation des applications associes l'extension.
Pourquoi associer des

extensions aux
applications ?
Un ordinateur client gre une liste des extensions et des applications

enregistres qui utilisent ces extensions. Lorsqu'un utilisateur double-clique sur
un type de fichier inconnu, Windows Installer utilise cette liste pour installer
une application. Les administrateurs ne peuvent contrler le contenu de cette
liste, mais ils peuvent dterminer la priorit d'installation ou de dmarrage des
applications lors d'une activation de document.
Exemple
Par exemple, il se peut que votre organisation ait besoin d'utiliser la fois
Microsoft Word 2000 et Word 2002. Chaque traitement de texte peut tre
utilis dans un dpartement diffrent, mais ces deux applications utilisent
l'extension de fichier .doc. Vous devez ajuster les priorits de l'extension
pour chaque dpartement de sorte que le traitement de texte prfr est
install lorsque l'utilisateur active un document.
tendue
Vous grez des associations d'application en fonction de chaque objet Stratgie

de groupe. La modification de l'ordre de priorit dans un objet Stratgie de
groupe n'affecte que les utilisateurs auxquels l'objet Stratgie de groupe
s'applique. Ainsi, si vous dfinissez Word 2002 comme l'application par dfaut
pour un objet Stratgie de groupe, ce ne sera le cas que pour les utilisateurs
dans cet objet Stratgie de groupe.
23
Comment associer les extensions de noms de fichiers des

applications

Introduction
Lorsque vous dployez des logiciels l'aide de la stratgie de groupe, Active

Directory cre une liste des extensions de noms de fichiers qui sont associs
l'application. Lorsque vous dfinissez des ordres de priorit d'applications pour
les extensions, Windows Installer interroge Active Directory concernant cette
association.
Important Vous ne pouvez pas crer de nouvelles associations de noms de
fichier dans Installation de logiciel. En fonction des associations intgres des
applications dployes, vous ne pouvez dfinir un ordre de priorit que pour les
applications auxquelles plusieurs extensions sont associes.
Procdure
Pour modifier l'ordre de priorit pour une application, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe que vous avez utilis pour dployer
l'application.
2. Dveloppez Configuration utilisateur, puis Paramtres du logiciel,
cliquez avec le bouton droit sur Installation de logiciel, puis cliquez sur
Proprits.
3. Dans la bote de dialogue Proprits de installation de logiciel, dans
l'onglet Extensions de fichiers, slectionnez une extension dans la liste
droulante.
24
4. Sous Priorit de l'application, cliquez sur Monter ou Descendre pour

dfinir l'ordre de priorit pour l'extension que vous avez slectionne.
La premire application rpertorie dans Windows Installer est celle qu'il
installe si un document portant l'extension slectionne est appel avant que
l'application n'ait t installe.
Remarque Vous ne pouvez associer des types de document qu'avec des
applications que vous avez dployes l'aide de la stratgie de groupe.
Par exemple, vous ne pouvez pas associer l'extension .doc Word 2002
moins d'avoir dploy Word 2002 l'aide de la stratgie de groupe.
25
Dfinition de la modification de logiciels

Introduction
Des modifications sont associes au package Windows Installer au moment

du dploiement plutt que lorsque Windows Installer utilise le package pour
installer ou modifier l'application.
Pourquoi ajouter des

modifications ?
Le dploiement de plusieurs configurations d'une application permet

diffrents groupes dans votre organisation d'utiliser un package de logiciels de
diffrentes manires. Vous pouvez utiliser des modifications de logiciels, ou
fichiers .mst (appels aussi fichiers de transformation), pour dployer plusieurs
configurations d'une application. Un fichier .mst est un package de logiciels
personnaliss qui modifie la manire dont Windows Installer installe le package
.msi associ.
Windows Installer applique des modifications aux packages selon l'ordre que
vous spcifiez. Pour enregistrer les modifications dans un fichier .mst, excutez
l'Assistant d'installation personnalise, puis choisissez le fichier .msi sur lequel
baser les transformations. Vous devez dterminer l'ordre d'application des
fichiers de transformation avant d'affecter ou de publier l'application.
Exemple
Supposons qu'une grande entreprise souhaite dployer Microsoft Office XP,

mais que les besoins des divers dpartements pour la suite Office varient
considrablement dans l'organisation. Plutt que de configurer manuellement
l'installation de chaque dpartement, vous pouvez utiliser diffrents objets
Stratgie de groupe et fichiers .mst en combinaison avec les fichiers .msi par
dfaut pour chaque dpartement, afin de dployer plusieurs configurations
d'Office XP. Dans cet exemple, vous excuteriez l'Assistant d'installation
personnalise d'Office XP partir du Kit de ressources techniques d'Office
pour crer le fichier de transformation.
26
Comment ajouter des modifications un package de logiciels

Introduction
Vous ne pouvez ajouter et supprimer de modifications que lors du dploiement

initial d'un package de logiciels. Le fichier de transformation doit exister avant
que vous ne tentiez d'ajouter une modification un package que vous dployez.
Procdure
Pour ajouter des modifications un package de logiciels, procdez comme suit :

1. Ouvrez la bote de dialogue Proprits pour le package de l'application.
2. Dans l'onglet Modifications, cliquez sur Ajouter.
3. Dans la bote de dialogue Ouvrir, slectionnez le chemin et le nom du
fichier de modification (.mst), cliquez sur Ouvrir, puis sur OK.
Important Ne cliquez pas sur OK avant d'avoir termin la configuration
des modifications. Lorsque vous cliquez sur OK, vous affectez ou publiez
immdiatement le package. Si vous ne configurez pas correctement les
modifications, vous devez dsinstaller le package ou le mettre niveau avec
une version correctement configure.
Vous pouvez galement ajouter plusieurs modifications. Windows Installer
applique les modifications en fonction de l'ordre que vous spcifiez dans la liste
Modifications. Pour modifier la liste, cliquez sur une modification, puis cliquez
sur Monter ou Descendre.
27
Application pratique : Configuration du dploiement des logiciels

Objectifs
Dans cette application pratique, vous allez crer une catgorie de logiciels, puis
affecter un objet Stratgie de groupe de logiciels cette catgorie.
Scnario
Northwind Traders dploie un grand nombre d'applications spcifiques au

groupe Comptabilit. Vous avez dcid de crer une catgorie de logiciel
appele Accounting (Comptabilit), afin que le personnel comptable puisse
trouver rapidement les applications dont il a besoin. Comme tout le personnel
comptable n'a pas besoin de toutes les applications comptables, vous avez
dcid de publier les applications plutt que de les affecter.
! Configuration du dploiement des logiciels

1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de groupe
Practice Software Deployment pour crer une catgorie de logiciels
appele Comptabilit.
4. Slectionnez la catgorie Comptabilit pour le logiciel COSMO1 que vous
avez publi dans l'objet Stratgie de groupe Practice Software Deployment.
28
Leon : Maintenance des logiciels dploys

Introduction
Aprs avoir dploy des logiciels, il peut tre ncessaire de les modifier afin
d'assurer la maintenance ou la mise niveau des logiciels des utilisateurs pour
que ceux-ci disposent de la version la plus jour. Windows Server 2003
comporte trois options pour la maintenance de logiciels : mise niveau des
versions des logiciels, redploiement de logiciel et suppression de logiciel.
!
dcrire les options de mise niveau des logiciels dploys ;
mettre niveau des logiciels dploys l'aide de la stratgie de groupe ;
dcrire les options de redploiement de logiciels ;
redployer des logiciels l'aide de la stratgie de groupe ;
dcrire les options de suppression des logiciels dploys ;
supprimer des logiciels dploys l'aide de la stratgie de groupe.
29
Types de mises niveau de logiciels

Introduction
Les tches dans une organisation sont varies et peuvent changer. Vous pouvez
utiliser la stratgie de groupe pour dployer et grer des mises niveau de
logiciels afin de rpondre aux besoins des divers dpartements dans votre
organisation. Les mises niveau entranent gnralement des modifications
importantes des logiciels et possdent de nouveaux numros de version.
Gnralement, de nombreux fichiers changent dans le cadre d'une mise niveau.
Objectif des mises

niveau
Plusieurs vnements dans le cycle de vie d'une application peuvent imposer

une mise niveau, citons pour exemple :
Mthodes de mise
niveau
Une nouvelle version du logiciel vient de sortir comportant des nouvelles

fonctionnalits amliores.
Des correctifs et des amliorations fonctionnelles ou lies la scurit ont

t apports depuis la dernire version du logiciel.
Une organisation dcide d'utiliser le logiciel d'un autre fournisseur.
Il existe trois types de mises niveau :

!
Mises niveau obligatoires. Ces mises niveau remplacent

automatiquement une version ancienne du logiciel par une version mise
niveau. Par exemple, si les utilisateurs se servent actuellement de la
version 1.0 du logiciel, cette version est supprime, et la version 2.0
du logiciel est installe lors du prochain dmarrage de l'ordinateur ou
d'ouverture de session par l'utilisateur.
30

!
Mises niveau facultatives. Ces mises niveau permettent aux utilisateurs

de dcider quand mettre leur version niveau. Par exemple, les utilisateurs
peuvent dterminer s'ils veulent passer la version 2.0 du logiciel ou
continuer utiliser la version 1.0.
Mises niveau slectives. Si certains utilisateurs ont besoin d'une mise

niveau mais pas tous, vous pouvez crer plusieurs objets Stratgie de groupe
s'appliquant aux utilisateurs qui ont besoin de la mise niveau, et crer les
packages de logiciels appropris dans ces objets Stratgie de groupe.
31
Mise niveau des logiciels dploys

Introduction
Vous utiliserez Installation de logiciel pour tablir la procdure de mise

niveau d'un logiciel existant vers la version actuelle.
Procdure
Pour dployer une mise niveau, procdez comme suit :

1. Dployez la nouvelle version du logiciel.
2. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur la nouvelle
version, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits, dans l'onglet Mises niveau, dans
la section Packages qui seront mis niveau par ce package, cliquez sur
Ajouter, puis slectionnez la version prcdente (en cours) de l'application.
Vous pouvez mettre une application niveau l'aide de l'objet Stratgie de
groupe en cours ou en slectionnant un objet Stratgie de groupe spcifique.
Si les deux versions du logiciel sont des packages Windows Installer natifs,
cette tape est excute automatiquement.
4. Cliquez sur le Package peut mettre niveau le package existant ou sur
Dsinstaller le package existant, puis installer le package de mise
niveau, puis cliquez sur OK.
5. Slectionnez le type de mise niveau :
Pour excuter une mise niveau obligatoire, cochez la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.
Pour excuter une mise niveau facultative, ne cochez pas la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.
32
Fonctionnement du redploiement de logiciels

Introduction
Un Redploiement est l'application de Service Packs et de mises niveau de

logiciels des logiciels dploys. Vous pouvez redployer un package dploy
pour forcer une rinstallation du logiciel. Un redploiement peut tre ncessaire
si le package de logiciels dploy prcdemment est mis jour mais conserve la
mme version, ou en cas de problmes d'interoprabilit ou de virus qu'une
rinstallation du logiciel permettra de rsoudre.
Mthodes de
redploiement
Lorsque vous marquez un fichier package pour redploiement, le logiciel

est publi auprs de chaque personne ayant reu l'autorisation d'accder
l'application, par affectation ou par publication. Ensuite, en fonction de la
manire dont le package original avait t dploy, l'un des trois scnarios
suivants se produit :
!
Lorsque vous affectez des logiciels un utilisateur, le menu Dmarrer,

les raccourcis du Bureau et les paramtres de registre qui concernaient
les logiciels sont mis jour lors de la prochaine ouverture de session
par l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel,
le Service Pack ou la mise jour du logiciel est appliqu automatiquement.
Lorsque vous affectez un logiciel un ordinateur, le Service Pack ou la

mise niveau du logiciel est appliqu automatiquement lors du prochain
dmarrage de l'ordinateur.
Lorsque vous publiez et installez le logiciel, le menu Dmarrer, les

raccourcis du Bureau et les paramtres de registre qui concernaient le
logiciel sont mis jour lors de la prochaine ouverture de session par
l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel, le Service
Pack ou la mise niveau du logiciel est appliqu automatiquement.
33
Comment redployer un logiciel

Introduction
Utilisez Installation de logiciel pour tablir la procdure de redploiement d'un

package de logiciels. Avant le redploiement, vrifiez que le service inclut un
nouveau fichier de package Windows Installer (fichier .msi). Si ce n'est pas le
cas, vous ne pouvez pas redployer le logiciel, car seul le nouveau ficher de
package contient des instructions pour le dploiement des nouveaux fichiers
que contient le Service Pack ou la mise niveau du logiciel.
Procdure
Pour redployer un package de logiciels, procdez comme suit :

1. Procurez-vous le Service Pack ou la mise niveau du logiciel auprs
du fournisseur de l'application et placez les fichiers dans les dossiers
d'installation appropri.
2. Editez l'objet Stratgie de groupe qui avait dploy le logiciel l'origine.
3. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur le nom
du fichier de package, pointez sur Toutes les tches, puis cliquez sur
Redploiement des applications.
4. Dans la bote de dialogue, cliquez sur Oui.
Remarque Pour obtenir des informations sur comment procder la mise
niveau de logiciels stocks sur les serveurs du rseau, recherchez l'article
226936 : Corriger une installation de logiciel stocke sur un serveur rseau et
dploye l'aide de l'Installateur de logiciel Microsoft sur la page Support en
ligne du site Web de Microsoft l'adresse
http://support.microsoft.com/default.aspx?LN=FR&x=9&y=13.
34
Mthodes de suppression de logiciels dploys

Introduction
Il peut tre ncessaire de supprimer un logiciel si le support d'une version n'est

plus assur ou si les utilisateurs n'ont plus besoin du logiciel. Vous pouvez
forcer la suppression du logiciel concern ou laisser aux utilisateurs l'option
d'utiliser l'ancien logiciel.
Mthodes de
suppression
Il existe deux mthodes de suppression :

!
Suppression force. Vous pouvez forcer la suppression du logiciel, ce qui a

pour effet de le supprimer automatiquement d'un ordinateur lors du prochain
dmarrage de celui-ci ou lors de la prochaine ouverture de session d'un
utilisateur ce qui se produit dans le cas d'un paramtre de stratgie de
groupe d'un utilisateur. La suppression a lieu avant que le Bureau
n'apparaisse.
Suppression facultative. Vous pouvez supprimer le logiciel dans Installation

de logiciel sans forcer sa suppression physique. Le logiciel n'est pas
rellement supprim dans les ordinateurs. Le logiciel n'apparat plus dans
Ajouter ou supprimer des programmes, mais les utilisateurs peuvent
encore l'utiliser. Si les utilisateurs suppriment le logiciel manuellement, ils
ne peuvent pas le rinstaller.
Suppression de logiciels dploys

Introduction
Lorsque vous utilisez la stratgie de groupe pour dployer des logiciels, vous
pouvez configurer un objet Stratgie de groupe pour supprimer un logiciel
arriv expiration ou qui n'est plus requis par votre organisation. Vous pouvez
galement supprimer un ancien logiciel en configurant l'objet Stratgie de
groupe pour permettre aux utilisateurs de procder une mise niveau
facultative vers un nouveau package de logiciels.
Procdure
Pour supprimer le logiciel dploy, procdez comme suit :

1. Ouvrez l'objet Stratgie de groupe utilis l'origine pour dployer
le logiciel.
2. Dans Installation de logiciel, cliquez avec le bouton droit sur le nom du
package, pointez sur Toutes les tches, puis cliquez sur Supprimer.
3. Dans la bote de dialogue Suppression de logiciel, cliquez sur l'une des
options suivantes, puis cliquez sur OK.
Dsinstaller immdiatement le logiciel des utilisateurs et des
ordinateurs.
Autoriser les utilisateurs continuer utiliser le logiciel, mais
interdire de nouvelles installations.
Remarque Vous devez vous assurer que les utilisateurs redmarrent leurs
ordinateurs si la modification affecte l'ordinateur ou qu'ils ouvrent une session
si la modification affecte l'utilisateur.
35
36
Application pratique : Maintenance des logiciels dploys

Objectifs
Dans cette application pratique, vous allez mettre niveau le logiciel dploy
puis le supprimer.
Scnario
Vous testez la maintenance d'un logiciel dploy antrieurement. Vous devez

dterminer les tapes ncessaires au dploiement de la mise niveau d'une
application.
! Maintenance des logiciels dploys

1. Ouvrez une session sous Votre_Domaine\Administrateur.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de
groupe Practice Software Deployment pour crer un nouveau
package d'installation logicielle pour
\\London\Labfiles\Lab6\COSMO2\COSMO2.MSI.
4. Dfinissez les proprits du package Cosmo 2 pour mettre niveau le
package Cosmo 1.
5. Supprimez le logiciel dploy Cosmo 1 parce que sa dure d'valuation est
parvenue expiration.
37
Leon : Rsolution des problmes lis au dploiement

de logiciels

Introduction
Vous pouvez tre confront des problmes lorsque vous utilisez la stratgie de
groupe pour dployer des logiciels. Il existe plusieurs mthodes pour vous aider
identifier ces problmes et les rsoudre.
Un lment important de la rsolution des problmes de stratgie de groupe
est de tenir compte des dpendances entre composants. Par exemple, le
dploiement de logiciels fait appel la stratgie de groupe, laquelle fait appel
Active Directory. Active Directory fait appel la configuration correcte des
services de rseau. Lorsque vous tentez de rsoudre des problmes dans un
composant, vrifiez si les composants, les services et les ressources auxquels ce
composant fait appel fonctionnent correctement. Les journaux des vnements
peuvent vous aider identifier des problmes que ce type de dpendance
hirarchique peut entraner.
!
expliquer certains des problmes courants susceptibles de se produire lors

de l'utilisation de la stratgie de groupe pour le dploiement de logiciels ;
dterminer la cause profonde d'un problme en excutant quelques tests ;
rsoudre des problmes d'installation logicielle lors de l'utilisation de la

stratgie de groupe.
38
Problmes courants lis l'utilisation de la stratgie de groupe

pour dployer des logiciels

Introduction
Certains problmes courants peuvent survenir lorsque vous utilisez la stratgie de

groupe pour le dploiement de logiciels. L'identification des symptmes et des
causes possibles constitue la premire tape de la rsolution de ces problmes.
Les symptmes et leurs

causes possibles
Le tableau suivant rpertorie les symptmes et leurs causes possibles :
Symptme
Causes possibles
Les applications n'apparaissent pas

dans Ajouter ou supprimer des
programmes
L'application avait t affecte au lieu d'tre publie, elle n'avait jamais t

dploye ou elle l'avait t dans une unit d'organisation errone, ou bien
des conflits de stratgie de groupe peuvent interdire son dploiement. Il est
possible d'affecter un utilisateur une application un niveau d'Active
Directory (par exemple, au niveau domaine), puis d'en interdire l'accs
l'utilisateur un niveau infrieur (par exemple, au niveau unit
d'organisation).
L'application avait t affecte des ordinateurs et, dans la plupart des
cas, la stratgie d'ordinateur prend le pas sur la stratgie d'utilisateur. Par
exemple, si Word avait t affect un utilisateur, mais que Word a t
marqu pour suppression obligatoire dans un ordinateur, l'utilisateur ne
peut ouvrir Word lorsqu'il ouvre une session sur l'ordinateur.
L'objet Stratgie de groupe n'avait pas t appliqu. Les raisons possibles
sont les suivantes : L'objet Stratgie de groupe ne s'appliquait pas
l'utilisateur ou l'ordinateur par suite d'un conflit et de priorit d'objet
Stratgie de groupe, de filtrage de groupe de scurit, de filtrage WMI ;
parce que les options Appliqu et Blocage de l'hritage sont actives,
que l'objet Stratgie de groupe est reli un conteneur incorrect ou est
partiellement ou totalement dsactiv. Par exemple, l'utilisateur est membre
d'un groupe de scurit dont le filtrage lui permet d'viter les effets de cet
objet Stratgie de groupe.
39
(suite)
Symptme
Causes possibles
Les applications n'apparaissent pas

dans le menu Dmarrer
L'application avait t publie au lieu d'tre affecte, n'avait jamais t

dploye, ou dploye dans une mauvaise unit d'organisation.
L'objet Stratgie de groupe n'avait pas t appliqu.
Les applications apparaissent

dans le menu Dmarrer ou
dans Ajouter ou supprimer des
programmes, mais ne peuvent
tre installes
Le point de distribution de logiciel est peut-tre inaccessible. Il est probable

que le point de distribution de logiciels est inaccessible sur le serveur hte
ou que les utilisateurs affects ne disposent pas des autorisations requises.
Vrifiez que les utilisateurs disposent au moins de l'autorisation en Lecture
de NTFS pour le point de distribution de logiciel.
Des applications installes antrieurement peuvent empcher l'installation
de nouvelles applications.
40
Comment dterminer la cause du problme

Introduction
Aprs avoir identifi la cause possible d'un problme, l'tape suivante consiste
dterminer la cause principale. Pour ce faire, dterminez si le point de
distribution de logiciels est disponible, installez manuellement le package .msi,
dterminez l'objet Stratgie de groupe qui est appliqu l'aide du Jeu de
stratgies rsultant (RSoP, Resultant Set of Policies), et crez le fichier journal
Windows Installer.
Procdure de
vrification de
disponibilit du point de
distribution de logiciels
Avant d'utiliser cette procdure de diagnostic, vrifiez que le point de

distribution de logiciels est disponible pour excuter les tches suivantes :
1. Connexion au serveur l'aide du chemin UNC menant au point de
distribution de logiciels. Par exemple, net use *
\\Nom_Serveur\Nom_Partage
Une unit mappe sur le point de distribution de logiciels sur le serveur
destination apparat, ou bien un message apparat indiquant que le point de
distribution de logiciels n'est pas disponible.
2. Excutez l'une des tches suivantes :
Si le chemin du rseau n'est pas disponible, vrifiez que le point de
distribution de logiciels est accessible partir du serveur hbergeant le
dossier partag et essayez de relancer l'installation.
Si le point de distribution de logiciels est disponible, vous pouvez tester
une installation manuelle pour vrifier que le fichier du package
d'installation fonctionne comme prvu.
Procdure d'installation
manuelle du package
Windows Installer
41
Pour installer manuellement le package Windows Installer, procdez

comme suit :
1. l'invite de commande, tapez msiexec /I lecteur:\Package.msi
O lecteur reprsente le lecteur sur lequel rside le package d'installation,
package.msi est le fichier MSI du package d'installation pour l'application
que vous installez et le commutateur /I, l'option d'installation d'un package
bas sur le chemin qui suit ce commutateur.
2. Excutez l'une des tches suivantes :
Si l'installation manuelle russit, vrifiez le paramtre d'installation
logicielle de l'objet Stratgie de groupe pour vous assurer que
l'utilisateur peut installer cette application et qu'aucune autre stratgie
n'entre en conflit avec celle-ci.
Si l'installation manuelle choue, vrifiez les paramtres d'autorisation
pour le point de distribution de logiciels. L'utilisateur qui essaie
d'installer le logiciel a besoin au moins des autorisations Lire pour
installer l'application.
N'oubliez pas de supprimer manuellement l'application installe car il ne s'agit
pas d'une application gre.
Procdure pour
dterminer si l'objet
Stratgie de groupe
est appliqu
Vous pouvez utiliser les rsultats de la stratgie de groupe pour dterminer si

un objet Stratgie de groupe a t appliqu, ainsi que son emplacement. Pour
dterminer le jeu de stratgies rsultant, excutez les tches suivantes :
1. Crez un Jeu de stratgies rsultant l'aide de l'Assistant Rsultats de
stratgie de groupe puis, sous Configuration utilisateur, cliquez sur
Installation de logiciel.
L'origine de toutes les applications apparat par rapport l'objet Stratgie de
groupe partir duquel l'application avait t dploye.
2. l'aide de cette information, dterminez si les paramtres dans la chane
d'hritage de l'objet Stratgie de groupe entranent des problmes
d'installation de l'application.
Procdure d'activation
de journalisation et
cration du fichier
journal Windows
Installer
Lorsque vous activez la journalisation dans Windows Installer, celui-ci cre

par dfaut des entres dans le journal des vnements de Windows. Les
vnements que vous devez surveiller apparaissent sous les en-ttes Installation
de logiciel, MsiInstaller et Gestion des applications. Ces entres fournissent des
informations utiles concernant le problme que vous rencontrez dans le cadre
d'un dploiement de logiciel.
Pour activer la journalisation dans Windows Installer, procdez comme suit :
1. Ouvrez Gestion de la stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Editer.
2. Dans l'diteur de stratgie de groupe, sous Configuration ordinateur,
dveloppez Modles d'administration, dveloppez Composants
Windows, puis cliquez sur Windows Installer.
3. Cliquez avec le bouton droit sur Journalisation, puis cliquez sur
Proprits.
42
Lors de l'excution d'une installation manuelle, vous pouvez dfinir divers

niveaux de journalisation pour vous aider dterminer tout problme affectant
l'installation logicielle.
Remarque Dans cette fentre, vous pouvez dfinir les options de journalisation
pour Windows Installer, configurer les installations utilisateur et activer ou
dsactiver les points de contrle de restauration du systme. Vous pouvez
utiliser les points de contrle pour restaurer les systmes des utilisateurs en
un tat antrieur en cas de problme avec l'installateur.
Pour crer un fichier journal, procdez comme suit :
!
Sur la ligne de commande, tapez msiexec /I <chemin_vers_le_package>

/l[x] <chemin_vers_le_fichier_journal> et appuyez sur ENTRE.
O x est le niveau de journalisation.
Remarque Pour plus d'informations sur les options disponibles pour la

commande msiexcec, reportez-vous au Centre d'aide et de support. Recherchez
l'article 223300 : Activation de l'enregistrement de Windows Installer sur
la page Support en ligne du site Web de Microsoft l'adresse
http://support.microsoft.com/default.aspx?LN=FR&x=9&y=13.
Avertissement Revenez l'tat normal de journalisation aprs avoir tabli le
diagnostic parce que la journalisation affecte considrablement les
performances de l'ordinateur client.
Le fichier journal est cr dans le dossier %windir% moins d'indication
contraire dans la ligne de commande. Vous pouvez ensuite consulter ce fichier
journal avec toute visionneuse de texte, tel que le Bloc-notes.
43
Comment rsoudre les problmes d'installation logicielle lors de

l'utilisation de la stratgie de groupe

Introduction
Aprs avoir identifi la cause principale d'un problme, la dernire tape

consiste remdier au problme ou, si possible, fournir une mthode
alternative.
Mthodes de rsolution
Pour rsoudre un problme d'installation logicielle lors de l'utilisation de la

stratgie de groupe :
!
Modifiez l'objet Stratgie de groupe pour qu'il effectue une affectation au

lieu d'une publication, et inversement si une application avait t dploye
de manire incorrecte.
Rsolvez tout ce qui empchait l'application de l'objet Stratgie de groupe.

Si l'objet Stratgie de groupe avait t appliqu un jeu d'utilisateurs erron,
une modification pourrait entraner la dsinstallation de l'application sur les
ordinateurs de ces anciens utilisateurs. Envoyez-leur un message pour les en
informer. Vous pouvez utiliser RSoP pour dterminer pourquoi l'objet
Stratgie de groupe n'avait pas t appliqu.
Modifiez les autorisations sur le dossier partag ou sur les fichiers NTFS
pour permettre un accs en lecture (Lire) aux utilisateurs ou aux ordinateurs
installant l'application.
Utilisez MSIZap.exe pour supprimer dans le registre les composants des

applications installes antrieurement qui empchent l'installation de
nouvelles applications.
44
Application pratique : Rsolution des problmes lis au


Objectifs
Dans cette application pratique, vous allez crer un fichier journal Windows
Installer.
Scnario
Northwind Traders est confront des problmes avec une application critique
dploye l'aide de la stratgie de groupe. Votre responsable vous a demand
de dterminer la cause des problmes.
! Crer un fichier journal Windows Installer

3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de groupe
Practice Software Deployment pour crer un fichier journal Windows
Installer pour cet objet Stratgie de groupe.
45
Leon : Planification d'une stratgie de dploiement

de logiciels

Introduction
Lorsque vous planifiez un dploiement de logiciel, examinez les besoins

logiciels de l'organisation pour toute la structure Active Directory et les objets
Stratgie de groupe existants. Dterminez les mthodes que vous utiliserez pour
dployer le logiciel. Vous devez disposer d'un plan de dploiement de logiciel
avant de commencer le dploiement.
!
expliquer les instructions de planification des points de distribution de

logiciels ;
expliquer les instructions de planification d'un dploiement de logiciels

l'aide de la stratgie de groupe ;
expliquer les instructions de planification de la maintenance des logiciels.
46
Instructions de planification des points de distribution de logiciels

Introduction
Avant de crer des points de distribution de logiciels pour permettre aux

utilisateurs d'installer des logiciels, vous devez dcider si votre organisation
utilisera une approche centralise pour le dploiement de logiciels. En
implmentant une combinaison des instructions suivantes, vous minimiserez le
nombre de problmes et de mthodes de dpannage lorsque des problmes de
dploiement surviendront.
Instructions
Appliquez les instructions suivantes lorsque vous envisagez de crer des points
de distribution de logiciels :
!
Utilisez un systme de fichiers DFS (Distributed File System) bas sur un

domaine pour les points de distribution de logiciels. DFS fournit un point de
distribution de logiciels centralis pour toutes les applications, publies ou
affectes. Tirez profit des fonctionnalits de redondance et d'quilibrage de
charge de DFS. Crez dans chaque site un rplica de DFS pour le point de
distribution de logiciels, partir duquel de nombreux utilisateurs installeront
les applications. Les ordinateurs clients tenteront ensuite d'installer les
logiciels dploys partir d'un rplica de DFS dans leur propre site, ce qui
rduira le trafic rseau entre des liaisons de rseau tendu (WAN, Wide
Area Network) lentes.
Spcifiez un emplacement par dfaut pour les packages. Utilisez cet

emplacement pour pointer sur le point de distribution de logiciels unique
dans lequel se trouvent les fichiers de package. Un emplacement par dfaut
pour les packages vous permet de dployer de nouveaux packages vers un
point de distribution de logiciels. Par ailleurs, la maintenance d'une seule
source comme rfrentiel de logiciels vous permet de suivre les problmes
plus aisment.
47
Organisez les applications par fonction. Une organisation fonctionnelle

simplifie la localisation des applications lorsque vous crez des stratgies de
logiciels. Crez, par exemple, un dossier Outils graphiques dans le dossier
partag Distribution de logiciels. Crez sous ce dossier Outils graphiques un
dossier pour chaque application graphique que vous envisagez de dployer.
Essayez d'utiliser des noms de dossiers qui soient cohrents avec les
catgories de logiciels pour les applications.
Configurez les autorisations NTFS. Utilisez l'autorisation Lecture seule pour

les utilisateurs et Contrle total pour les administrateurs de ces fichiers.
Utilisez un dossier partag cach. Par exemple, utilisez packages$ si vous

souhaitez rduire la probabilit d'installation manuelle du package par les
utilisateurs en utilisant le dossier partag.
Procdez l'audit d'accs aux objets pour les fichiers Windows Installer.
Vous pouvez vrifier les autorisations utilisateurs ou groupes d'accs ces
fichiers.
Remarque Pour plus d'informations sur DFS, reportez-vous l'annexe C,

Utilisation de DFS, sur le CD-ROM du stagiaire.
48
Instructions de planification d'un dploiement de logiciels l'aide

de la stratgie de groupe

Introduction
Tenez compte des instructions suivantes lorsque vous planifiez votre

dploiement de logiciels l'aide de la stratgie de groupe.
Instructions
Appliquez les instructions suivantes :

!
Dployez les fichiers package en plusieurs phases. Avant d'assurer tous les
utilisateurs la disponibilit des fichiers package, dployez-les en plusieurs
phases ou bien auprs d'un groupe d'utilisateurs pilotes. Un dploiement
graduel associ des tests vous aide identifier et rsoudre les problmes
lis aux packages avant de procder au dploiement gnralis d'une
application dans une organisation. Il contribue aussi rduire le trafic
rseau et la charge sur les serveurs des points de distribution de logiciels en
chelonnant les demandes d'installation manant des utilisateurs. N'oubliez
pas d'utiliser les commentaires des utilisateurs pilotes afin de rationaliser et
d'amliorer votre processus de dploiement.
Classez les applications pour votre organisation. Utilisez des catgories

permettant aux utilisateurs de trouver facilement une application dans
Ajouter ou supprimer des programmes. Crez, par exemple, les
catgories d'applications Ventes et Comptabilit. Vous pouvez placer
une application dans plusieurs catgories, selon les cas.
Utilisez autant que possible des fichiers de transformation pour les

packages. Dterminez si vous avez besoin de ces fichiers de modification de
logiciels. Avant de procder au dploiement du package gnrique dans
toute l'organisation, tablissez des options communes d'installation par
dfaut pour des groupes d'utilisateurs spcifiques et utilisez la modification
de logiciels pour fournir ces groupes une installation personnalise. La
cration anticipe d'options communes d'installation par dfaut rduit le
risque que les utilisateurs n'installent le package gnrique avant que le
fichier de transformation ne soit cr.
49
Dterminez les conflits potentiels dans les extensions de noms de fichiers.

Ces conflits surviennent lorsque plusieurs applications tentent d'enregistrer
la mme extension. Dterminez les conflits parmi les applications que vous
avez installes l'aide de la stratgie de groupe et parmi celles installes
l'aide d'autres mthodes. Configurez en consquence l'ordre de priorit
des extensions. Il vaut mieux prendre cette dcision un niveau de
l'organisation permettant de garantir que le plan rpond tous les besoins
de l'organisation. Aprs qu'une dcision a t prise, n'oubliez pas de la
documenter afin de vous permettre de rsoudre rapidement les conflits
d'extensions ultrieurement.
Dployez les logiciels un niveau lev dans la hirarchie Active Directory.

Dterminez le conteneur de niveau le plus lev regroupant les utilisateurs
et les ordinateurs auprs desquels vous envisagez de dployer l'application.
Crez et reliez ce conteneur l'objet Stratgie de groupe qui dploie ce
package de logiciels. Comme les paramtres de stratgie de groupe
s'appliquent par dfaut aux conteneurs Active Directory enfants, il est
efficace d'affecter ou de publier des logiciels en reliant un objet Stratgie
de groupe un domaine ou une unit d'organisation parent.
50
Instructions de planification de maintenance de logiciels

Introduction
Tenez compte des instruction suivantes lorsque vous planifiez la maintenance

de logiciels l'aide de la stratgie de groupe.
Instructions

!
Dterminez s'il est prfrable de dployer la mise jour graduellement, ou

rapidement vers tous les utilisateurs et ordinateurs. Envisagez d'excuter
un dploiement graduel lorsque la mise jour n'est pas critique et que
l'application est volumineuse et s'applique de nombreux utilisateurs et
ordinateurs. Cela rduit non seulement la charge sur les serveurs des points
de distribution de logiciels et sur le rseau, mais constitue galement un
systme d'alerte prcoce si un problme se produit durant la mise niveau,
alors que seul un sous-ensemble d'utilisateurs ou d'ordinateurs est affect.
Si l'application est petite, appliquez-la un petit nombre d'utilisateurs ou
d'ordinateurs. S'il s'agit d'une mise jour critique, appliquez-la
immdiatement tous les utilisateurs et ordinateurs.
Dterminez si la mise niveau sera obligatoire ou facultative. Si la mise

niveau est critique, rendez-la obligatoire. Dans le cas contraire, rendez-la
facultative, ce que les utilisateurs prfrent. Si vous ne souhaitez pas
prendre en charge plusieurs versions d'une application, dterminez une
priode de transition approprie pendant laquelle les deux versions sont
disponibles. Durant cette priode, utilisez la mise niveau facultative puis
rendez-la obligatoire la fin de la priode de transition. Ainsi, une mise
niveau graduelle est effectue sur la base du volontariat.
51
Application pratique : Planification d'une stratgie de dploiement

de logiciels

Objectifs
Dans cette application pratique, vous allez dterminer un plan de dploiement

d'une application pour tous les utilisateurs et un plan de publication d'une
application.
Scnario
Votre organisation vient de dvelopper rcemment son march dans le secteur

graphique. Elle a acquis plusieurs applications graphiques et une licence de site
pour l'Application 1. Vous devez planifier une stratgie de dploiement de
logiciels afin de dployer les applications vers tous les utilisateurs.
! Planifier une stratgie de dploiement des logiciels

1. Qu'allez-vous inclure dans votre plan ?
Les rponses varient. Votre plan peut inclure :
Affectation de l'Application 1 un objet Stratgie de groupe au
niveau du domaine.
Pour le point de distribution de logiciels, affectation des
autorisations Lire aux utilisateurs authentifis, et Contrle total aux
administrateurs du domaine. Application des mmes autorisations
au dossier NTFS.
Application l'objet Stratgie de groupe afin d'authentifier les
utilisateurs et leur affecter l'objet Stratgie de groupe.
____________________________________________________________
____________________________________________________________
52
2. Une autre socit de graphisme, Fabrikam, Inc., vous a confi des fins de
tests dans votre entreprise des copies d'valuation de sa suite graphique,
dans l'espoir que vous achterez une licence de site. Afin d'viter toute
intrusion vis vis vos utilisateurs, comment envisagez-vous de publier
l'application ?
Les rponses varient. Votre plan peut inclure :
Cration d'un point de distribution de logiciels pour le stockage de
toutes les applications d'valuation.
Cration des objets Stratgie de groupe dans une unit d'organisation
ddie afin de les regrouper ensemble. Comme vous devrez peut-tre
supprimer ultrieurement le logiciel, utiliser l'option Dsinstaller si
cet objet Stratgie de groupe n'est plus applicable.
____________________________________________________________
____________________________________________________________
Atelier A : Dploiement et gestion des logiciels l'aide

d'une stratgie de groupe

Objectifs
Dure approximative
de cet atelier :
60 minutes
!
affecter des logiciels des utilisateurs l'aide de la stratgie de groupe ;
publier des logiciels des utilisateurs l'aide de la stratgie de groupe ;
supprimer des logiciels dploys l'aide de la stratgie de groupe ;
mettre niveau des logiciels dploys l'aide de la stratgie de groupe.

!
possder les connaissances et comptences requises pour crer des objets

Stratgie de groupe ;
tre familiaris avec l'utilisation des outils de ligne de commande ;
connatre le processus d'installation logicielle.
53
54
Exercice 1
Affectation de logiciel
Dans cet exercice, vous prparerez votre contrleur de domaine hberger le logiciel que vous
installerez au moyen d'une stratgie de groupe. Vous utiliserez votre contrleur de domaine attitr
pour crer les objets Stratgie de groupe requis pour la prise en charge de l'installation du logiciel.
Scnario
Northwind Traders a dcid d'utiliser l'installation logicielle pour dployer l'application Cosmo 1
qu'elle vient d'acqurir. Votre tche consiste comparer les deux mthodes disponibles pour
l'installation de l'application : affectation de logiciel et publication de logiciel.
Tches
1.
Crer un objet Stratgie de

groupe pour affecter le
package d'installation du
logiciel Cosmo 1 l'unit
d'organisation Sales de votre
domaine
a.

b. Utilisez Excuter en tant que pour dmarrer la gestion de la stratgie
de groupe sous Votre_Domaine\Administrateur avec le mot de passe

P@ssw0rd.
c.
Crez l'objet Stratgie de groupe Lab Software Deployment et

reliez-le l'unit d'organisation HR sous l'unit d'organisation
Nom_Ordinateur dans Votre_Domaine.
d. Utilisez le package Cosmo1.msi situ sur
\\LONDON\Labfiles\Lab6\COSMO1.
2.
Accorder Suzanne Duprez

le droit d'ouvrir une session
localement.
a.
Utilisez Excuter en tant que pour dmarrer la stratgie de scurit du

contrleur de domaine sous Votre_Domaine\Administrateur avec le
b. Accordez Suzanne Duprez le droit d'ouvrir une session localement.

c.
Excutez gpupdate sous Votre_Domaine\Administrateur.
55
Exercice 2
Vrification de l'affectation du logiciel
Dans cet exercice, vous devez vrifier que l'affectation de logiciel s'est droule normalement.
Vous ouvrirez une session en tant qu'utilisateur test et vrifierez si le logiciel attribu l'exercice
prcdent est install.
Tches
1.
Fermer la session, puis

ouvrir une nouvelle session
en tant que suzannedup
partir de votre domaine
"
Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.
Cosmo 1 apparat-il dans le menu Tous les programmes ? Expliquez pourquoi.
2.
Ouvrir le package de
logiciels partir de
l'lment du menu Tous
les programmes que vous
avez cr pour lui.
Que se passe-t-il lorsque vous tentez d'ouvrir le logiciel ?
56
Exercice 3
Suppression d'un logiciel affect
Dans cet exercice, vous supprimerez le logiciel affect dans l'exercice prcdent. Vous avez men
bien le dploiement du logiciel en affectant un package des utilisateurs. Vous pouvez dsormais
valuer l'option de publication l'aide de ce mme package. Vous devez supprimer le logiciel pour
pouvoir crer un package en vue de publier l'application.
Tches
"
a.
Supprimer l'application
Cosmo 1
Ouvrez une session sous le nom Nwtradersx\Nom_ OrdinateurUser

b. Utilisez la commande Excuter en tant que pour dmarrer la
console Gestion des stratgies de groupe en tant que

Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
c.
Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.
d. Vrifiez que l'application a t supprime immdiatement pour les
utilisateurs et les ordinateurs.
57
Exercice 4
Publication de logiciel
Dans cet exercice, vous modifierez une stratgie de groupe pour publier une application. Vous
publierez un logiciel dans le but de mieux apprhender les diffrences entre la publication et
l'affectation d'un logiciel.
Tches
1.
Ouvrir Gestion des

stratgies de groupe.
a.
Utilisez Excutez en tant que.
b. Lorsque vous y serez invit, ouvrez une session avec le mot de passe
P@ssw0rd
2.
Naviguer jusqu' votre

stratgie de dploiement
de logiciel et dition de
la stratgie.
3.
Crer un package
d'installation logicielle pour
la publication du package
Cosmo 1.
"
Dans le point de distribution de logiciel de l'instructeur o se trouve le

package, cliquez sur Cosmo1.msi.
58
Exercice 5
Vrification de la publication du logiciel
Dans cet exercice, vous vrifierez que le logiciel publi dans l'exercice prcdent est install et
fonctionne normalement. Vous ouvrirez une session en tant qu'utilisateur test et vrifierez les
paramtres de publication du logiciel dfinis l'exercice 4.
Tches
1.
Ouvrir une session sous le

nom Suzanne Duprez partir
de votre domaine.
"
Utilisez le mot de passe P@ssw0rd.
2.
Installer le logiciel publi.
"
Dans le Panneau de configuration, utilisez Ajouter ou supprimer

des programmes.
3.
Vrifier que le logiciel publi

a t install.
"
Dans le menu Tous les programmes, vrifiez l'installation de

Cosmo 1.
4.
Ouvrir une session sous

Votre_Domaine\
ComputerNameUser.
L'application est-elle installe pour cet utilisateur ? Expliquez pourquoi.
Cosmo 1 est-il list dans Ajouter ou supprimer des programmes ? Pourquoi (pas) ?
59
Exercice 6
Mise niveau d'un logiciel dploy
Dans cet exercice, vous mettrez niveau le logiciel dploy en modifiant la stratgie de groupe.
Northwind Traders a acquis une mise niveau pour l'application Cosmo. Tous les ordinateurs
doivent tre mis niveau vers la dernire version de ce logiciel. Vous tes responsable de la
stratgie de groupe en termes de rponse aux besoins de l'entreprise. Lorsque vous utiliserez la
stratgie de groupe, vous remarquerez qu'il n'est pas ncessaire de mettre manuellement niveau
chaque utilisateur ou ordinateur. La direction aimerait que vous pilotiez la mise niveau du logiciel
afin de s'assurer que vous pouvez rsoudre tout problme survenant durant le processus avant de
dployer le logiciel dans toute l'organisation.
Tches
1.
Mettre niveau de
Cosmo 1.
a.
Utilisez Excuter en tant que pour ouvrir Gestion des stratgies

de groupe.
b. Editez la stratgie de dploiement de logiciel pour crer un package
de mise niveau.
2.
Vrifier la mise niveau de

Cosmo 1.
a.
Vrifiez que l'application existante est supprime avant d'installer la

nouvelle application.
b. Vrifiez que Cosmo 2 a remplac Cosmo 1.
de sites pour grer la
rplication Active Directory
Table des matires
Vue d'ensemble
Leon : Prsentation de la rplication
Active Directory
1
2
Leon : Cration et configuration de sites
15
Leon : Gestion de la topologie de site
30
Leon : Rsolution des checs de

rplication
38
Leon : Planification d'un site
51
Atelier A : Implmentation de sites pour

grer la rplication Active Directory
63
Module 7 : Implmentation de sites pour grer la rplication Active Directory
iii
Prsentation :
165 minutes
Atelier :
30 minutes
Ce module permet aux stagiaires d'acqurir les comptences et connaissances

requises pour implmenter des sites, puis grer et contrler la rplication
au sein du service d'annuaire Active Directory dans Microsoft
Windows Server 2003. Le module prsente les concepts de base de la
rplication et des sites dans Active Directory. Ces concepts sont les suivants :
la cration, la configuration et la gestion de sites ; le contrle et la rsolution
des checs de rplication ; la planification d'une stratgie de site.
suivantes :
Documents de cours
dcrire les composants et le processus de la rplication ;
crer et configurer des sites ;
grer une topologie de site Active Directory ;
contrler et rsoudre les checs de rplication Active Directory ;
planifier une stratgie de site.

!
Fichier Macromedia Flash 2194A_2279a_08_a_repwithin.swf

Prparation

!

raliser l'atelier ;
lire le chapitre 3, Designing the Site Topology (en anglais), du Kit de

ressources techniques de Windows Server 2003 ;
lire le livre blanc, Active Directory in Networks Segmented by Firewalls

(en anglais), sous Documentations supplmentaires sur la page Web du
CD ROM du stagiaire.
iv

ce module.
connaissances.
Par mesure de scurit, encouragez les stagiaires utiliser la commande
Excuter en tant que pour excuter les procdures de ce module.
Procdures,
et ateliers

Procdures
Ateliers
du module.
Leon : Prsentation de la rplication Active Directory

Cette leon prsente les connaissances ncessaires aux stagiaires pour
comprendre comment la rplication amliore les performances d'Active
Directory dans un rseau. Elle introduit les concepts fondamentaux de la
rplication Active Directory. Utilisez l'animation multimdia pour dcrire les
composants et le processus de la rplication. Expliquez la diffrence entre les
mises jour d'origine et les mises jour rpliques. Prsentez le concept de
latence de rplication au cours d'une rplication normale et urgente. Insistez sur
le processus de notification de modification. Ensuite, abordez les conflits se
produisant au cours de la rplication, et expliquez comment les rsoudre. Pour
finir, expliquez comment la convergence permet d'optimiser la rplication.
Prsentez la topologie de rplication. Expliquez comment les partitions
d'annuaire autorisent la rplication entre les contrleurs de domaine durant la
rplication. Discutez de la finalit de la topologie de rplication. La diapositive
de cette rubrique est anime. La premire diapositive illustre la topologie de
rplication dans un seul domaine ; la seconde le fait dans plusieurs domaines.
Expliquez le rle des objets de connexion dans la rplication. Utilisez les
diapositives animes pour illustrer les modifications qui se produisent dans la
topologie de rplication lorsqu'un nouveau serveur de catalogue global est
ajout la fort. Utilisez la diapositive anime pour expliquer comment le
Vrificateur de cohrence de connaissances (KCC, Knowledge Consistency
Checker) permet la gnration automatique de la topologie de rplication.
Expliquez les diffrences entre le processus de rplication d'attributs valeurs
multiples lis et la rplication normale dans Active Directory.
Indiquez aux stagiaires les annexes du CD-ROM consulter pour plus
d'informations sur les numros de squence de mise jour (USN, Update
Sequence Number), l'ajustage de la rplication et la configuration des entres
dans Active Directory.

stagiaires d'analyser la configuration de rplication qui est en place dans
l'environnement de la classe.
vi

Dans cette leon, les stagiaires acquirent les comptences et les connaissances
ncessaires la comprhension des sites. La leon met l'accent sur la rplication
dans les sites. L'utilisation de sites en dehors de la rplication n'est pas traite
dans ce module. Prsentez les objets site et sous-rseau, puis expliquez
comment utiliser les sites pour optimiser la rplication Active Directory.
Expliquez ce que sont les sites. Les stagiaires connaissant dj les concepts
fondamentaux relatifs aux sites, faites-les participer ce dbat.
Utilisez la rubrique Rplication l'intrieur des sites et rplication entre les sites
pour rsumer les diffrences entre la rplication dans des sites et entre des sites.
Dmontrez comment crer des sites et des sous-rseaux, crer et configurer des
liens de sites et crer des ponts entre liens de sites. Expliquez pourquoi les
stagiaires doivent commencer par dsactiver le pontage par dfaut de tous les
liens de sites avant de crer des ponts entre liens de sites. Insistez sur le fait que
les liens de sites crs dans Sites et services Active Directory et les ponts entre
liens de sites fonctionnent indpendamment les uns des autres.

stagiaires de se reporter au scnario d'entreprise lorsqu'ils crent et configurent
des sites.

Cette leon prsente les comptences et connaissances dont les stagiaires ont
besoin pour grer la topologie des sites Active Directory. Elle introduit le
concept d'un serveur de tte de pont, le gnrateur de topologie inter-sites
utilis dans la rplication Active Directory et comment imposer et actualiser la
rplication manuellement.

stagiaires de se reporter au scnario d'entreprise lorsqu'ils grent la topologie
de site.
Leon : Rsolution des checs de rplication

Dans cette leon, les stagiaires acquirent les comptences et connaissances
ncessaires pour contrler et rsoudre les problmes courants de la rplication
Active Directory. Prsentez les utilitaires et les outils de ligne de commande qui
existent pour contrler et rsoudre les problmes lis la rplication Active
Directory. Dcrivez les problmes courants que les stagiaires risquent de
rencontrer en grant la rplication Active Directory et recommandez des
stratgies pour les rsoudre.

stagiaires de se reporter au scnario d'entreprise lorsqu'ils procdent la
rsolution des checs de rplication.
Faites remarquer que, dans l'application pratique, l'utilisation de l'outil de ligne
de commande Dcdiag gnrera une erreur lors du test inter-sites. Cette erreur
est parfaitement normale car les stagiaires ont cr leurs propres sites et les ont
relis des sous-rseaux crs dans une application pratique prcdente.
L'erreur se produit car les sous-rseaux n'existent pas.

Cette leon prsente les comptences et connaissances dont les stagiaires
ont besoin pour planifier une stratgie de site. Rappelez aux stagiaires les
diffrences entre la conception Active Directory et la stratgie de planification
Active Directory, qui est aborde dans la premire rubrique Vue d'ensemble
du processus de la planification des sites. Abordez les instructions que les
stagiaires peuvent utiliser pour dterminer la planification, l'intervalle et le
protocole des liens de sites, la ncessit d'utiliser des ponts entre liens de sites
et un serveur de tte de pont de rplication et la ncessit de scuriser la
rplication Active Directory.
Dans l'application pratique la fin de la leon, demandez aux stagiaires de se

rfrer au scnario d'entreprise lorsqu'ils planifient un site.
Atelier A : Implmentation de sites pour grer la rplication

Active Directory
Dans cet atelier, les stagiaires crent et configurent des sites, des liens de sites,
des ponts entre liens de sites et des planifications de rplication du contrleur
de domaines. Ils vont galement dpanner et vrifier la rplication entre sites.
la fin de l'atelier, demandez-leur s'ils ont des questions.
Pour cet atelier, les stagiaires doivent travailler par quipe de deux. Un
ordinateur est configur en tant que domaine racine de la fort et l'autre
en tant que domaine enfant. Avant de prparer les ordinateurs des stagiaires,
assurez-vous qu'ils ont termin l'atelier du Module 2.
ci-dessous.
!
Elle rtrograde le contrleur de domaine corpx.nwtradersx.msft.
Elle cre un contrleur de domaine rpliqu pour la fort nwtradersx.msft.
Elle cre un nouvel objet site.
Elle cre un nouvel objet sous-rseau.
Elle cre un nouvel objet lien de sites.
vii
Vue d'ensemble

Introduction
L'excution d'une rplication dans le service d'annuaire Microsoft

Windows Server 2003 Active Directory implique le transfert et la
maintenance des donnes Active Directory entre les contrleurs de domaine
du rseau. Active Directory utilise un modle de rplication multimatre.
Multimatre signifie qu'il y a plusieurs contrleurs de domaine, galement
appels principaux, qui ont l'autorisation de modifier ou de contrler les mmes
donnes. Dans ce modle de rplication, toute modification des donnes d'un
contrleur de domaine doit tre rplique sur tous les autres. En comprenant le
fonctionnement du modle de rplication Active Directory, vous pouvez grer
le trafic rseau de la rplication et assurer la cohrence des donnes Active
Directory travers votre rseau.
Objectifs

!
dcrire les composants et le processus de la rplication ;
crer et configurer des sites ;
grer une topologie de site Active Directory ;
contrler et rsoudre les checs de rplication Active Directory ;
planifier une stratgie de site.
Leon : Prsentation de la rplication Active Directory

Introduction
Lorsqu'un utilisateur ou un administrateur excute une action qui entrane

une mise jour d'Active Directory, un contrleur de domaine appropri est
automatiquement dsign pour excuter la mise jour. Cette modification
est effectue de manire transparente sur l'un des contrleurs de domaine.
Active Directory utilise la rplication multimatre avec cohrence relche
pour s'assurer que tous les contrleurs de domaine sont bien mis jour. En
connaissant le processus et la topologie de rplication, vous serez mme
de grer efficacement la rplication dans Active Directory.
La Rplication est le processus de mise jour des donnes contenues dans
Active Directory d'un contrleur de domaine vers les autres contrleurs de
domaine du rseau. Ce processus synchronise le dplacement des donnes
mises jour entre les contrleurs de domaine. La synchronisation garantit que
toutes les donnes contenues dans Active Directory sont accessibles par tous
les contrleurs de domaine et les ordinateurs clients d'un rseau.
!
dcrire le fonctionnement de la rplication Active Directory ;
expliquer la finalit de la rplication d'attributs valeurs multiples lis ;
expliquez comment les partitions d'annuaire autorisent la rplication entre

les contrleurs de domaine durant la rplication ;
discutez de la finalit de la topologie de rplication ;
expliquer comment le KCC permet de gnrer automatiquement la topologie

de rplication ;
expliquer comment Active Directory modifie la topologie de rplication

lorsque vous ajoutez un nouveau serveur de catalogue global la fort.
Prsentation multimdia : Rplication l'intrieur de sites

Pour commencer la prsentation Rplication l'intrieur de sites, ouvrez la

page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
l'instructeur.
Objectifs

suivantes :
Points cls
dfinir la rplication et prvoir quel moment elle a lieu ;
dcrire comment s'effectue la rplication ;
dcrire les conflits de rplication et comment ils sont rsolus.
Voici les points cls de la rplication Active Directory dans un site :

!
A quel moment la rplication se produit-elle ? Lorsque :

un objet est ajout Active Directory ;
une modification est apporte aux valeurs d'attribut d'un objet ;
une modification est apporte au nom d'un conteneur d'objet ;
un objet est supprim de l'annuaire.
Notification de modification. Lorsqu'une modification intervient sur un

contrleur de domaine, celui-ci notifie ses partenaires de rplication
l'intrieur du mme site. Ce processus est appel notification de modification.
Latence de rplication. Le dlai coul entre la modification et la mise

jour effective de tous les contrleurs de domaine d'un site. La latence de
rplication par dfaut est de 15 secondes.
Rplication urgente. Au lieu d'attendre ces 15 secondes, les mises jour

des attributs de scurit sensibles dclenchent une notification de
modification immdiate.

!
Convergence. Chaque mise jour dans Active Directory finit par tre
propage chaque contrleur de domaine dans le site qui hberge la
partition sur laquelle porte la mise jour effectue. Cette propagation
complte est appele convergence.
Blocage de propagation. Il s'agit d'un processus empchant les rplications

inutiles. Chaque contrleur de domaine affecte chaque attribut ou objet
modifi un numro de squence de mise jour (USN, Update Sequence
Number) pour viter une rplication inutile.
Conflits. Des conflits peuvent se produire lorsque des mises jour

simultanes se produisant sur deux rplicas matres distincts sont
incohrentes. Active Directory rsout trois types de conflits : les conflits
d'attributs, de conteneurs supprims et de noms uniques relatifs (RDN,
Relative Distinguished Name).
Horodatage global unique. Active Directory gre un horodatage qui

contient le numro de version, la date de dernire modification et un
identificateur GUID (Globally Unique Identifier) de serveur qu'Active
Directory a cr durant le dclenchement de la mise jour.
Remarque Pour plus d'informations sur les numros USN, consultez la

rubrique Rplication l'intrieur de sites de la page d'annexe du Module 7
sur le CD-ROM du stagiaire.
Rplication d'attributs valeurs multiples lis

Introduction
Le processus de rplication d'attributs valeurs multiples lis est diffrent de

celui de la rplication normale dans Active Directory.
Attributs valeurs
multiples lis et niveaux
fonctionnels de la fort
Le processus qui rplique les attributs valeurs multiples lis varie en fonction
du niveau fonctionnel de la fort :
!
Lorsque le niveau fonctionnel de la fort est antrieur

Windows Server 2003, toute modification apporte l'appartenance de
groupe dclenche la rplication de toute la liste des membres. Dans ce cas,
l'attribut member valeurs multiples est considr comme un seul attribut
dans le cadre de la rplication. Cette rplication augmente les risques
d'crasement d'une modification d'appartenance excute par un autre
administrateur ou un autre contrleur de domaine avant la rplication de
la premire modification.
Lorsque le niveau fonctionnel de la fort est dfini sur

Windows Server 2003, une valeur individuelle rplique les modifications
aux attributs valeurs multiples lis. Cette amlioration rplique les
modifications uniquement aux informations d'appartenance et non toute
la liste des membres.
Remarque Pour plus d'informations sur le rglage de la rplication et la

configuration des entres dans Active Directory, consultez la rubrique
Rplication d'attributs valeurs multiples lis de la page d'annexe du
Module 7 sur le CD-ROM du stagiaire.
Dfinition des partitions d'annuaire

Introduction
La base de donnes Active Directory est divise de manire logique en

plusieurs partitions : d'annuaire, du schma, de la configuration, du domaine et
d'application. Chaque partition est une unit de rplication et possde sa propre
topologie de rplication. La rplication est excute entre les rplicas des
partitions d'annuaire. Tous les contrleurs de domaine de la mme fort ont
au moins deux partitions d'annuaire en commun : celles du schma et de la
configuration. De plus, tous les contrleurs de domaine partagent une partition
de domaine commune.
Dfinition d'une partition

de schma
Chaque fort possde une seule partition de schma. Cette partition de schma
est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient
les dfinitions de tous les objets et attributs crs dans l'annuaire, ainsi que les
rgles qui permettent de les crer et de les manipuler. Les donnes du schma
sont rpliques dans tous les contrleurs de domaine de la fort. C'est pourquoi
les objets doivent tre conformes aux dfinitions d'objet et d'attribut du schma.

de configuration
Chaque fort possde une seule partition de configuration. Stocke dans tous les
contrleurs de domaine de la mme fort, la partition de configuration contient
les donnes sur la structure Active Directory de l'ensemble de la fort, dont les
domaines et les sites existants, les contrleurs de domaine existants dans chaque
fort et les services disponibles. Les donnes de la configuration sont rpliques
dans tous les contrleurs de domaine de la fort.

de domaine
Chaque fort peut comporter plusieurs partitions de domaine. Les partitions de

domaine sont stockes dans chaque contrleur de domaine d'un domaine donn.
Une partition de domaine contient les donnes sur tous les objets propres au
domaine et crs dans ce domaine, dont les utilisateurs, les groupes, les
ordinateurs et les units d'organisation. La partition de domaine est rplique
dans tous les contrleurs de domaine de ce domaine. Tous les objets de chaque
partition de domaine d'une fort sont stocks dans le catalogue global avec un
seul sous-ensemble de leurs valeurs d'attribut.

d'applications
Les partitions d'applications stockent les donnes sur les applications dans
Active Directory. Chaque application dtermine comment elle stocke, classe et
utilise ses propres donnes. Pour viter toute rplication inutile des partitions
d'applications, vous pouvez dsigner les contrleurs de domaine qui en
hbergent dans une fort. la diffrence d'une partition de domaine, une
partition d'applications ne peut pas stocker les principaux objets de scurit,
tels que les comptes d'utilisateurs. De plus, les donnes contenues dans une
partition d'applications ne sont pas stockes dans le catalogue global.
Comme exemple de partition d'applications, si vous utilisez un systme DNS
qui est intgr Active Directory, vous avez deux partitions d'applications pour
les zones DNS : ForestDNSZones et DomainDNSZones.
!
ForestDNSZones fait partie d'une fort. Tous les contrleurs de domaine et

les serveurs DNS d'une fort reoivent un rplica de cette partition. Une
partition d'applications d'une fort entire stocke les donnes de la zone
de la fort.
DomainDNSZones est unique pour chaque domaine. Tous les contrleurs de

domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de
cette partition. Les partitions d'applications stocke la zone DNS du domaine
dans la DomainDNSZones <nom_domaine>.
Chaque domaine possde une partition DomainDNSZones, mais il n'existe

qu'une partition ForestDNSZones. Aucune donne DNS n'est rplique sur
le serveur de catalogue global.
Dfinition de la topologie de rplication

Introduction
La topologie de rplication est l'itinraire suivi par les donnes de la rplication

travers un rseau. La rplication se produit entre deux contrleurs de domaine
la fois. Avec le temps, la rplication synchronise les donnes dans Active
Directory pour toute une fort de contrleurs de domaine. Pour crer une
topologie de rplication, Active Directory doit dterminer quels contrleurs
de domaine rpliquent les donnes avec les autres contrleurs de domaine.
Rplication de partitions
Active Directory cre une topologie de rplication base sur les donnes
stockes dans Active Directory. La topologie de rplication peut diffrer pour
les partitions de schma, de configuration, de domaines et d'applications.
Tous les contrleurs de domaine d'une mme fort partageant les partitions de
schma et de configuration, Active Directory rplique ces partitions de schma
et de configuration sur tous les contrleurs de domaine. Les contrleurs de
domaine du mme domaine rpliquent galement la partition du domaine.
De plus, les contrleurs de domaine qui hbergent une partition d'applications
rpliquent la partition d'applications.
Pour optimiser le trafic de la rplication, un contrleur de domaine peut avoir
plusieurs partenaires de rplication pour diffrentes partitions. Active Directory
rplique les mises jour d'annuaire dans tous les contrleurs de domaine qui
contiennent la partition mise jour dans la fort.
Objets de connexion
Les contrleurs de domaine qui sont lis par des objets de connexion sont
appels partenaires de rplication. Les liens qui relient les partenaires de
rplication sont appels objets de connexion. Les objets de connexion sont crs
dans chaque contrleur de domaine et pointent vers un autre contrleur de
domaine pour une source de donnes de rplication. Les objets de connexion
reprsentent un chemin de rplication sens unique entre deux objets serveur.
La topologie de rplication par dfaut d'un site est un anneau bidirectionnel,
compos de deux objets de connexion unidirectionnels complmentaires entre
deux contrleurs de domaine adjacents. Cette topologie amliore la tolrance
de pannes lorsque l'un des contrleurs de domaine est dconnect.
Si ncessaire, Active Directory cre des objets de connexion supplmentaires
pour limiter statistiquement un maximum de trois le nombre de tronons
emprunts pour rpliquer une mise jour provenant de tous les rplicas d'une
partition donne dans un anneau.
10
Gnration automatique de la topologie de rplication

Introduction
Lorsque vous ajoutez des contrleurs de domaine un site, Active Directory

utilise le Vrificateur de cohrence de connaissances (KCC, Knowledge
Consistency Checker) pour tablir un chemin de rplication entre les
contrleurs de domaine.
Dfinition du KCC
KCC est un processus intgr qui s'excute sur chaque contrleur de domaine et
gnre la topologie de rplication pour toutes les partitions d'annuaire contenues
dans ce contrleur de domaine. Le vrificateur KCC s'excute intervalles
dfinis par dfaut toutes les 15 minutes et dsigne les itinraires de
rplication entre contrleurs de domaine les plus judicieux disponibles ce
moment-l.
Comment fonctionne le
vrificateur KCC
Pour gnrer automatiquement une topologie de rplication, le KCC value les

donnes de la partition de configuration des sites, le cot de l'envoi des donnes
entre ces sites (en fonction de la valeur relative des chemins de rplication), tout
objet de connexion existant et les protocoles de rplication qu'il peut utiliser
entre les sites. Ensuite, le KCC calcule les meilleures connexions pour envoyer
les partitions d'annuaire d'un contrleur de domaine vers les autres contrleurs.
Si la rplication devient impossible dans un site ou un point de dfaillance
unique, le KCC tablit automatiquement de nouveaux objets de connexion entre
les contrleurs de domaine pour maintenir la rplication Active Directory.
Comment sont crs les

objets de connexion
supplmentaires ?
Vous pouvez crer des objets de connexion manuellement ou automatiquement.

Lorsque vous excutez le KCC sur le contrleur de domaine de destination,vous
crez automatiquement des objets de connexion. Pour les crer manuellement,
utilisez Sites et services Active Directory.
KCC et objets de
connexion
L'algorithme du KCC est conu pour associer des contrleurs de domaine

des partitions d'annuaire communes. Cette opration gnre des objets de
connexion complmentaires entre partenaires de rplication et cre deux
sources de contrleurs de domaine pour chaque contrleur lorsque c'est
possible. La rplication partir de n'importe quelle partition utilise un objet
de connexion.
Par exemple, pour rpliquer entirement les donnes d'annuaire entre le
contrleur de domaine A et le contrleur de domaine B, il faut deux objets
de connexion.
!
Un objet de connexion active la rplication du contrleur A vers le

contrleur B. Cet objet existe dans l'objet NTDS Settings du contrleur B.
Un second objet de connexion active la rplication du contrleur B vers le

contrleur A. Cet objet existe dans l'objet NTDS Settings du contrleur A.
11
12
Catalogue global et rplication de partitions

Introduction
Un serveur de catalogue global est un contrleur de domaine qui stocke deux

partitions pour toute la fort les partitions de schma et de configuration
plus une copie en lecture/criture de la partition de son propre domaine et un
rplica partiel de toutes les autres partitions de domaine dans la fort. Ces
rplicas partiels contiennent un sous-ensemble en lecture seule des donnes
de chaque partition de domaine.
Comment la rplication
affecte-t-elle le serveur
de catalogue global ?
Lorsque vous ajoutez un nouveau domaine une fort, la partition de

configuration stocke les donnes sur ce nouveau domaine. Active Directory
rplique la partition de configuration sur tous les contrleurs de domaine, y
compris les serveurs de catalogue global, lors d'une rplication normale dans
toute la fort. Chaque serveur de catalogue global devient un rplica partiel du
nouveau domaine en contactant un contrleur de domaine pour ce domaine et
en obtenant les donnes du rplica partiel. La partition de configuration fournit
galement aux contrleurs de domaine la liste de tous les serveurs de catalogue
global de la fort.
Les serveurs de catalogue global enregistrent les enregistrements DNS
spciaux dans la zone DNS qui correspond au domaine racine de fort. Ces
enregistrements, crits uniquement dans la zone DNS racine de la fort, aident
les clients et les serveurs localiser les serveurs de catalogue global travers
la fort.
13
Application pratique : Prsentation de la rplication

Active Directory

Objectifs
Dans cette application pratique, vous allez analyser la configuration de la

rplication Active Directory.
Instructions
Vous travaillerez avec votre partenaire.
Scnario
Northwind Traders rencontre des problmes de conflits de rplication.

Vous devez trouver ce qui provoque les conflits de rplication et comment les
rsoudre.
! Analyser la rplication Active Directory

1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser (o
Nom_Ordinateur est le nom de l'ordinateur avec lequel vous travaillez)
le bouton droit sur Sites et services Active Directory, puis cliquez sur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
4. Dveloppez Sites, puis Premier-Site-par-defaut, puis Servers, puis
Nom_Ordinateur, cliquez sur NTDS Settings, cliquez avec le bouton droit
sur NTDS Settings, puis cliquez sur Proprits.
5. Dans la bote de dialogue Proprits de NTDS Settings, dans l'onglet
Connexions, notez les partenaires de rplication de votre ordinateur, puis
cliquez sur Annuler.
14
6. Dans le volet de dtails, cliquez avec le bouton droit sur l'objet de

connexion list, puis cliquez sur Proprits.
7. Dans la bote de dialogue Proprits de <gnr automatiquement>,
cliquez sur Transport, notez les transports disponibles, puis cliquez
sur RPC.
8. Cliquez sur Modifier la planification, notez la planification des horaires de
rplication, puis cliquez sur Annuler deux fois.
15

Introduction
La rplication garantit que toutes les donnes contenues dans Active Directory
sont jour dans tous les contrleurs de domaine et stations de travail d'un
rseau. De nombreux rseaux sont composs de plusieurs rseaux plus petits,
et les liens qui les connectent peuvent avoir des dbits varis.
Vous utilisez des sites dans Active Directory pour contrler la rplication et
d'autres types de trafic Active Directory travers les diffrentes liaisons du
rseau. Lorsque vous configurez la rplication entre les sites, vous pouvez
utiliser des objets sous-rseau, des liens de sites et des ponts entre les liens pour
faciliter le contrle de la topologie de rplication. La fiabilit et l'efficacit
d'une topologie de rplication dpendent de la configuration des liens et des
ponts entre les sites.
!
expliquer la fonction des sites et des objets sous-rseau ;
expliquer la fonction des liens de sites et de leurs attributs ;
dcrire la diffrence entre la rplication entre sites et la rplication dans

les sites ;
crer et configurer des sites et des sous-rseaux ;
crer et configurer des liens de sites ;
expliquer l'objectif de la dsactivation du pontage par dfaut de tous les

liens de sites ;
crer un pont entre liens de sites.
16
Dfinition des sites et des objets sous-rseau

Introduction
Vous utilisez des sites pour contrler le trafic de rplications, le trafic li aux
connexions et les requtes des clients sur le serveur de catalogue global.
Dfinition des sites
Dans Active Directory, les sites facilitent la dfinition de la structure physique

d'un rseau. Un ensemble de plages d'adresses de sous-rseaux TCP/IP
dfinissent un site, qui son tour dfinit un groupe de contrleurs de domaine
partageant les mmes dbits et cots. Les sites sont composs d'objets serveurs,
qui contiennent eux-mmes les objets de connexion autorisant la rplication.
Dfinition des objets

sous-rseau
Les objets sous-rseau identifient les adresses rseau utilises par mapper les
ordinateurs avec les sites. Un sous-rseau est un segment d'un rseau TCP/IP
auquel un ensemble d'adresses IP logiques est attribu. Les objets sous-rseau
se mappant au rseau physique, les sites font de mme. Par exemple, si trois
sous-rseaux sont situs dans trois campus universitaires de la mme ville et
que ces campus sont relis par des connexions haut dbit et disponibilit
leve, vous pouvez associer chacun de ces sous-rseaux un site.
Un site peut comporter un ou plusieurs sous-rseaux. Par exemple, pour un
rseau compos de trois sous-rseaux Redmond et deux Paris, vous pouvez
crer un site Redmond, un Paris et ajouter les sous-rseaux aux sites
respectifs.
Premier site par dfaut
Lorsque vous installez le premier contrleur de domaine d'une fort,

Active Directory cre un site par dfaut. Par dfaut, ce site est appel PremierSite-par-defaut. Vous pouvez le renommer de manire plus descriptive.
Lorsque vous crez votre premier domaine d'une fort, Active Directory le
place automatiquement dans le site par dfaut.
17
Dfinition des liens de sites

Introduction
Pour que deux sites changent des donnes de rplication, ils doivent tre
connects par un lien de sites, avec un chemin logique que le vrificateur
KCC utilise pour tablir la rplication entre les sites.
Pourquoi crer un
lien de sites ?
Lorsque vous crez des sites supplmentaires, vous devez slectionner au moins
un lien de sites pour chaque site. Sans au moins un lien de sites, les connexions
ne peuvent tre tablies entre les ordinateurs des diffrents sites, et la
rplication entre sites ne peut donc pas avoir lieu. Les liens de sites
supplmentaires ne se crent pas automatiquement. Pour ce faire, vous devez
utiliser Sites et services Active Directory.
Lien de sites par dfaut
Lorsque vous crez le premier domaine d'une fort, Active Directory cre un
lien de sites par dfaut appel DEFAULTIPSITELINK. Il inclut le premier site
et est situ dans le conteneur IP d'Active Directory. Vous pouvez le renommer.
Attributs du lien de sites
Lorsque vous crez un lien de sites, vous devez slectionner le protocole de

transport qui sera utilis, lui donner un nom et lui ajouter plusieurs sites. Les
caractristiques du lien de sites sont dtermines par ses attributs, que vous
pouvez configurer dans le lien de sorte que tous les sites connects par un seul
lien utilisent le mme chemin de rplication et le mme protocole de transport.
La configuration des attributs des liens de sites fait partie de la configuration de
la rplication entre sites. Ces attributs dterminent les caractristiques de la
connexion, tels que le cot, la frquence de la rplication et les protocoles.
18
Cot des liens de sites
Le cot des liens de sites est un nombre sans unit de mesure qui reprsente le
dbit relatif, la fiabilit et la prfrabilit du rseau sous-jacent. Plus le cot d'un
lien est bas, plus sa priorit est leve, ce qui en fait un chemin privilgi. Par
exemple, votre organisation a deux sites relis entre eux, un dans le Colorado et
un au Chili : une connexion haut dbit et une connexion distante de secours.
Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion.
La connexion haut dbit tant prfrable la connexion distante, configurez-la
avec un cot infrieur celui du lien de sites de la connexion distante. Lorsque le
lien de sites avec la connexion haut dbit a un cot infrieur, sa priorit est plus
leve. Il est donc utilis en priorit ds que possible.
En dfinissant le cot du lien de sites, vous pouvez dterminer la priorit
relative de chaque lien de sites. La valeur par dfaut du cot est de 100 et peut
s'chelonner de 1 99999.
Planification de la
rplication des liens
de sites
La planification des horaires de rplication est un autre attribut des liens de sites
que vous pouvez configurez. Lors de cette opration, vous spcifiez les horaires
de disponibilit du lien pour la rplication. Souvent, la disponibilit de
rplication est configure des heures o le trafic rseau est peu important :
par exemple entre 2h00 et 5h00 du matin.
Plus le nombre d'heures pendant lesquelles un lien est disponible pour la
rplication est restreint, plus le dlai de latence entre les sites connects par
ce lien est grand. C'est pourquoi il faut trouver l'quilibre entre le besoin de
rplication d'un lien pendant les heures faible charge de travail et le besoin
d'informations actualises dans chaque site connect par ce lien.
Frquence de rplication
des liens de sites
Lorsque vous configurez la frquence de rplication, vous spcifiez le nombre de

minutes que Active Directory doit attendre avant d'utiliser le lien pour vrifier si
des mises jour sont disponibles. La valeur par dfaut de la frquence de
rplication est de 180 minutes. Vous devez choisir une valeur comprise entre 15
minutes et une semaine. La frquence de rplication ne s'applique qu'aux heures
pendant lesquelles le lien est programm pour tre disponible.
Des intervalles plus longs entre les cycles de rplication rduisent le trafic
rseau et augmentent le dlai de latence entre les sites. Des intervalles plus
courts augmentent le trafic rseau et rduisent le dlai de latence. C'est
pourquoi il faut trouver l'quilibre entre le besoin de rduire le trafic rseau et
le besoin d'informations actualises dans chaque site connect par ce lien.
Protocoles de transport
des liens de sites
19
Un protocole de transport est un langage commun partag par les ordinateurs

pour communiquer entre eux pendant la rplication. Active Directory n'utilise
qu'un seul protocole pour la rplication dans un site. Lorsque vous crez un lien
de sites, vous devez en choisir un parmi les protocoles suivants :
!
RPC (Remote Procedure Call, Appel de procdure distante) sur IP. RPC
est le protocole par dfaut. Protocole standard de l'industrie pour les
communications clients/serveur, RPC sur IP fournit une connectivit fiable
et haut dbit entre les sites. Entre les sites, RPC sur IP permet une
rplication de toutes les partitions Active Directory. RPC sur IP est le
meilleur protocole de transport pour la rplication entre sites.
SMTP (Simple Mail Transfer Protocol). Le protocole SMTP prend en

charge la rplication du schma, de la configuration et du catalogue global
entre les sites et entre les domaines. Vous ne pouvez pas l'utiliser pour
la rplication de la partition de domaine, car certaines oprations de
domaine par exemple, la Stratgie de groupe requirent la prise en
charge du service de rplication de fichiers (FRS, File Replication Service),
qui n'est pas compatible avec le transport asynchrone de la rplication. Si
vous choisissez SMTP, vous devez installer et configurer une autorit de
certificat pour signer les messages SMTP et garantir l'authenticit des mises
jour de l'annuaire. De plus, SMTP ne fournit pas le mme niveau de
compression des donnes que RPC sur IP.
20
Rplication l'intrieur des sites et rplication entre les sites

Rplication l'intrieur
de sites
Rplication entre sites
Les principales caractristiques ou hypothses de la rplication l'intrieur des

sites sont les suivantes :
!
Les connexions rseau d'un site sont fiables et ont suffisamment de bande
passante disponible.
Le trafic de rplications l'intrieur d'un site n'est pas compress car un site
suppose la prsence de liaisons rseau rapides et trs fiables. Le fait de ne
pas compresser le trafic de rplications rduit la charge de traitement des
contrleurs de domaine. Cependant, le trafic non compress peut augmenter
la bande passante rseau ncessaire aux messages de rplication.
Un processus de notification de modification lance la rplication l'intrieur

d'un site.
Les principales caractristiques ou hypothses de la rplication entre sites sont

les suivantes :
!
La bande passante rserve aux liaisons rseau entre les sites est limite et
risque de ne pas tre fiable.
Le trafic de rplications entre les sites est conu pour optimiser la bande
passante en compressant tout le trafic de rplications entre les sites. Avant
d'tre transmis, ce trafic est compress de 10 15 pour cent par rapport
sa taille originale. Bien que la compression optimise la bande passante
du rseau, elle entrane une charge de traitement supplmentaire des
contrleurs de domaine lors de la compression et de la dcompression
des donnes de la rplication.

!
21
La rplication entre les sites se produit automatiquement ds que vous avez

dfini les valeurs configurables, telles que la planification et l'intervalle de
rplication. Vous pouvez planifier la rplication aux heures creuses ou
conomiques. Par dfaut, les modifications sont rpliques entre les sites
selon une planification que vous dfinissez manuellement et non pas en
fonction du moment auquel se produisent les modifications. La planification
dtermine le moment de la rplication. L'intervalle spcifie la manire dont
les contrleurs de domaine vont vrifier la prsence de modifications
pendant la priode de rplication planifie.
22
Comment crer et configurer des sites et des sous-rseaux

Introduction
Pour grer la rplication entre sites l'aide de sites, vous devez crer des sites et
des sous-rseaux supplmentaires et dlguer le contrle des sites. La cration
d'un site implique de nommer ce nouveau site et de lui associer un lien de sites.
Pour crer des sites, vous devez vous connecter en tant que membre du groupe
Administrateurs de l'entreprise ou du groupe Admins du domaine dans le
domaine racine de la fort.
Procdure de cration
d'un site
Pour crer un site, excutez les oprations suivantes :

1. Ouvrez Sites et services Active Directory dans le menu Outils
d'administration.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sites,
puis cliquez sur Nouveau site.
3. Dans la zone Nom, nommez le nouveau site.
4. Cliquez sur un objet lien de sites, puis cliquez deux fois sur OK.
Procdure de cration
d'un objet sous-rseau
Aprs avoir cr des sites, vous crez des sous-rseaux et les associez avec
les sites.
Pour crer un objet sous-rseau, excutez les oprations suivantes :
1. Dans Sites et Services Active Directory, dans l'arborescence de la console,
double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis
cliquez sur Nouveau sous-rseau.
2. Dans la zone Adresse, entrez l'adresse IP du sous-rseau.
3. Dans la zone Masque, tapez le masque de sous-rseau qui dcrit la plage
d'adresses du sous-rseau.
4. Slectionnez le site associer ce sous-rseau, puis cliquez sur OK.
Procdure de
modification de
l'association d'un site
un sous-rseau
23
Pour associer un site un objet sous-rseau, excutez les oprations suivantes :

1. Dans Sites et services Active Directory, dveloppez Sites, puis Subnets, et
dans l'arborescence de la console, cliquez avec le bouton droit sur le sousrseau associer au site, puis cliquez sur Proprits.
2. Dans l'onglet Gnral, dans la zone Site, cliquez sur le site associer avec
ce sous-rseau, puis cliquez sur OK.
Procdure de
dplacement d'un
vers un autre site
Pour dplacer un contrleur de domaine vers un autre site, excutez les

1. Dans Sites et services Active Directory, dveloppez Sites, puis le site
contenant le contrleur de domaine, dveloppez Servers, et dans
l'arborescence de la console, cliquez avec le bouton droit sur le contrleur
de domaine, puis cliquez sur Dplacer.
2. Dans la bote de dialogue Dplacer un serveur, dans la liste Nom du site,
slectionnez le site qui doit contenir le contrleur de domaine, puis cliquez
sur OK.
Remarque Il peut s'avrer ncessaire de modifier l'adresse IP du contrleur de
domaine en adresse mappe sur le site qui doit le contenir.
du contrle des sites
Vous pouvez utiliser l'Assistant Dlgation de contrle dans Sites et services

Active Directory pour dlguer le contrle d'un site d'autres groupes. Pour
dlguer le contrle, excutez les oprations suivantes :
1. Ouvrez la console Site et services Active Directory.
2. Effectuez l'une des oprations suivantes :
Pour dlguer le contrle de tous les sites, liens de sites, ponts de liens
de sites et objets sous-rseau, cliquez avec le bouton droit sur Sites, puis
cliquez sur Dlgation de contrle.
Pour dlguer le contrle d'un site spcifique, dveloppez Sites, cliquez
avec le bouton droit sur le site, puis cliquez sur Dlguer le contrle.
3. Utilisez l'Assistant Dlgation de contrle pour excuter la dlgation.
24
Comment crer et configurer des liens de sites

Introduction
Dans Active Directory, vous pouvez crer des liens de sites pour mapper des
connexions entre plusieurs sites. Lorsque vous configurez des liens de sites,
vous pouvez dfinir leurs proprits : le cot, l'intervalle de rplication, la
planification et les sites associs au lien.
Procdure de cration
de liens de sites
Pour crer un lien de sites, excutez les oprations suivantes :

1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole qu'utilisera le lien, puis cliquez sur Lien vers un nouveau site.
2. Dans la zone Nom, nommez le lien.
3. Cliquez sur les sites connecter, cliquez sur Ajouter, puis sur OK.
Procdure de
configuration des
liens de sites
25
Pour configurer les liens de sites, excutez les oprations suivantes :

1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez sur IP ou SMTP en fonction du protocole qui a t
configur pour le lien.
2. Cliquez avec le bouton droit sur le lien de sites, puis cliquez sur Proprits.
3. Dans l'onglet Gnral de la bote de dialogue Proprits, modifiez les
valeurs des associations de site (cot, intervalle de rplication et
planification), si ncessaire, puis cliquez sur OK.
4. Excutez l'une des oprations suivantes :
Dans la zone Sites absents de ce lien de sites, cliquez sur le site
ajouter, puis sur Ajouter.
Dans la zone Sites prsents dans ce lien de sites, cliquez sur le site
supprimer, puis sur Supprimer.
Dans la zone Cot, entrez une valeur pour le cot de la rplication.
Cliquez sur Modifier la planification, slectionnez le bloc d'heures que
vous souhaitez planifier, puis cliquez sur Rplication non disponible ou
sur Rplication disponible, puis sur OK.
26
Pourquoi dsactiver le pontage par dfaut de tous les liens

de sites ?

Introduction
Un pont de lien de sites cre une chane de liens que les contrleurs de domaine
des diffrents sites de ces liens peuvent utiliser pour communiquer directement.
Le pontage s'avre pratique pour cantonner le vrificateur KCC dans les
chemins dsigns par la topologie des liens. Par dfaut, le pontage est activ et
tous les liens de sites sont considrs comme transitifs. C'est--dire que tous les
liens d'un transport donn appartiennent implicitement un seul pont de liens
pour ce transport. Ainsi, dans un rseau IP entirement rout, il est inutile de
configurer des ponts de liens de sites. Si votre rseau IP n'est pas entirement
rout, vous pouvez dsactiver le pontage pour inhiber la fonction de liens
transitifs du transport IP, puis configurer des ponts de liens pour former le
vritable acheminement de votre rseau.
Exemple
Un pont de liens de sites permet des liens qui partagent un site intermdiaire
commun d'acheminer les donnes via ce site et de produire un chemin transitif
qui reprsente le cumul des liens de sites individuels. Par exemple, lorsqu'un
pont de liens est dsactiv et qu'il y a un pont entre le site A et le site B et un
entre le site B et le site C, le vrificateur KCC peut en dduire un chemin
transitif rout entre le site A et le site C, pour un cot qui sera la somme des
cots des liens de sites. Dans cet exemple, le site B intermdiaire est considr
par le KCC uniquement pour le routage IP entre A et C. Le KCC ne se soucie
pas si le site B a une copie du domaine donn dont il tente de calculer la
topologie. Le pontage s'avre pratique pour cantonner le vrificateur KCC
dans les chemins dsigns par la topologie des liens.
27
Comment crer un pont de liens de sites ?

Introduction
Avant de crer de nouveaux ponts de liens de sites, vous devez commencer par
dsactiver le pontage par dfaut de tous les liens pour permettre la cration de
nouveaux ponts.
Procdure permettant de
dsactiver le pontage
par dfaut de tous les
liens de sites
Pour dsactiver le pontage par dfaut de tous les liens de sites, excutez les
1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site
protocole pour lequel vous souhaitez dsactiver le pontage de tous les liens,
puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits, dsactivez la case cocher Relier
tous les liens du site, puis cliquez sur OK.
Procdure de cration
d'un pont entre liens
de sites
Pour crer un pont de liens de sites, excutez les oprations suivantes :

1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
protocole pour lequel vous souhaitez crer un pont de liens de sites, puis
cliquez sur Nouveau pont entre liens de sites.
2. Dans la zone Nom, nommez le pont entre liens de sites.
3. Cliquez sur tous les liens relier, cliquez sur Ajouter, puis sur OK.
28
Application pratique : Cration et configuration de sites

Objectifs
Dans cette application pratique, vous allez crer des objets sous-rseau et site IP
dans Active Directory et associer les sous-rseaux avec les sites. Ensuite, vous
dplacerez des objets serveur dans le site cr, vous crerez des liens IP entre
les sites et vous configurerez les valeurs de la rplication : cot, planification et
intervalle des liens.
Instructions
Vous travaillerez par quipes de deux organises par domaine. La configuration

de votre domaine possde deux contrleurs de domaine dans Premier-Site-pardefaut.
Scnario
Northwind Traders est rparti gographiquement avec de nombreux liens de

rseau tendu (WAN, Wide Area Network) qui relient ces rgions. La bande
passante des liens du rseau WAN est de faible capacit. Pour optimiser la
rplication et minimiser l'utilisation de la bande passante des liens WAN, vous
devez configurer Active Directory pour autoriser la cration de topologie en
fonction des connexions LAN (Local Area Network) et WAN.
Les objets sous-rseau et site IP d'Active Directory sont configurs en fonction
du rseau physique de Northwind Traders. Les sites du rseau d'entreprise ont
dj t configurs.
Cration d'un objet
sous-rseau et site
! Crer un objet site et sous-rseau

1. Ouvrez une session en tant qu'utilisateur Nwtradersx\Nom_OrdinateurUser
le bouton droit sur Sites et services Active Directory, puis cliquez sur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, puis
le mot de passe P@ssw0rd et cliquez sur OK.
29
4. Dveloppez Sites, puis crez un objet site.

a. Crez un site nomm Nom_OrdinateurSite (o Nom_Ordinateur est le
nom d'hte de votre ordinateur).
b. Reliez-le au lien DEFAULTIPSITELINK.
5. Crez un objet sous-rseau IP, puis associez-le un site.
a. Crez un nouvel objet sous-rseau avec l'ID rseau 10.10.n.0 (o n est
votre numro de stagiaire) et le masque de sous-rseau 255.255.255.0.
b. Associez l'objet sous-rseau votre site Nom_OrdinateurSite.
6. Actualisez Sites et services Active Directory et vrifiez que la rplication a
eu lieu et que vous pouvez voir le sous-rseau cr par votre partenaire.
Cration et
configuration des
liens entre sites
! Crer des liens de sites IP entre votre site et celui de votre partenaire
1. Crez un lien de sites IP appel Votre_Ordinateur-Ordinateur_Partenaire.
2. Ajoutez les sites Votre_OrdinateurSite et Ordinateur_PartenaireSite au
nouveau lien de sites.
3. Configurez les proprits du lien Votre_OrdinateurOrdinateur_PartenaireSite en dfinissant le cot de la rplication 50, une
frquence de 15 minutes et une planification quotidienne qui exclut toute
rplication entre 6h00 et 8h00 du matin.
4. Dplacez Votre_Ordinateur dans le site que vous avez cr.
Remarque L'intervalle de rplication entre les sites est dfini sur 15 minutes,
mais vous pouvez dclencher la rplication manuellement pour que les mises
jour se produisent quand elles sont ncessaires.
30

Introduction
Pour satisfaire les besoins en rplication d'une organisation, vous pouvez tre
amen excuter manuellement certaines tches de gestion de la topologie
de site. Ces tches comprennent l'identification des serveurs de tte de pont
privilgis, l'actualisation de la topologie de rplication et l'imposition de la
rplication.
!
expliquer le rle d'un serveur de tte de pont ;
expliquer le rle du gnrateur de topologie inter-sites ;
crer un serveur de tte de pont privilgi ;
actualiser la topologie de rplication en :

identifiant le contrleur de domaine qui joue le rle de gnrateur de
topologie inter-sites dans un site,
mettant jour la liste des serveurs de tte de pont ;
imposer la rplication sur une connexion.
31
Dfinition d'un serveur de tte de pont

Introduction
Le serveur de tte de pont est un contrleur de domaine que vous dsignez

pour envoyer et recevoir les donnes rpliques dans chaque site. Celui du site
d'origine collecte toutes les modifications de la rplication et les envoie celui
du site destinataire, qui rplique les modifications dans tous les contrleurs de
domaine du site.
Serveur de tte de pont

requis par partition
Vous devez dsigner un serveur de tte de pont pour chaque partition du site.
Par exemple, un contrleur de domaine peut tre serveur de tte de pont pour
les partitions de configuration et de schma de l'ensemble de la fort, ainsi que
pour la partition de domaine du domaine qu'il reprsente. Si le site contient
d'autres domaines, vous devez affecter un serveur de tte de pont chacun
d'eux.
Le serveur de tte de pont de chaque site est slectionn automatiquement, ou
vous pouvez dsigner une liste de serveurs de tte de pont privilgis. Pour
garantir la fiabilit des mises jour de l'annuaire, un serveur de tte de pont
privilgi doit bnficier d'une puissance de traitement et d'une largeur de
bande suffisantes pour compresser, envoyer, recevoir et dcompresser les
donnes de la rplication avec efficacit. Active Directory utilise un seul
serveur de tte de pont la fois. Si le premier serveur privilgi devient
indisponible, le prochain dans la liste des privilgis est utilis.
Si votre dploiement utilise un pare-feu pour protger un site, vous devez
dsigner le serveur proxy du pare-feu en tant que serveur de tte de pont
privilgi, ce qui en fait le point de contact pour l'change des donnes avec les
autres sites. Dans le cas contraire, Active Directory risque d'chouer rpliquer
les donnes d'annuaire.
32
Dfinition du gnrateur de topologie inter-sites

Introduction
Le gnrateur de topologie inter-sites est un processus Active Directory qui

dfinit la rplication entre les sites d'un rseau. Dans chaque site, un contrleur
de domaine est automatiquement dsign pour tre le gnrateur de topologie
inter-sites. Cette action tant effectue par le gnrateur, vous n'avez pas
intervenir pour dterminer la topologie de la rplication et les rles des serveurs
de tte de pont.
Fonctions
Le contrleur de domaine qui joue le rle de gnrateur de topologie inter-sites

excute deux fonctions :
!
Il slectionne automatiquement un ou plusieurs contrleurs de domaine pour

devenir des serveurs de tte de pont. Ainsi, si l'un d'eux devient
indisponible, il en slectionne automatiquement un autre, si possible.
Il excute le vrificateur KCC pour dterminer la topologie de rplication et

les objets de connexion rsultants que le serveur de tte de pont peut utiliser
pour communiquer avec les serveurs de tte de pont des autres sites.
33
Comment crer un serveur de tte de pont privilgi

Introduction
Vous utilisez Sites et services Active Directory pour dsigner un contrleur de

domaine en tant que serveur de tte de pont afin de spcifier le contrleur de
domaine que Active Directory prfre comme destinataire pour la rplication
entre les sites.
Procdure
Pour crer un serveur de tte de pont, excutez les oprations suivantes :

1. Dans Sites et services Active Directory, dveloppez Sites, puis le site
contenant le serveur configurer, dveloppez Servers, et dans
l'arborescence de la console, cliquez avec le bouton droit sur le contrleur
de domaine qui doit devenir un serveur de tte de pont privilgi, puis
cliquez sur Proprits.
2. Choisissez le ou les transports inter-sites pour lesquels ce serveur deviendra
serveur de tte de pont privilgi, cliquez sur Ajouter, puis sur OK.
34
Comment actualiser la topologie de rplication

Introduction
Procdure
d'identification du
qui joue le rle de
gnrateur de topologie
inter-sites
Pour actualiser la topologie de rplication, commencez par dterminer si vous

souhaitez actualiser la topologie de la rplication entre sites ou l'intrieur
d'un site.
!
Pour la rgnrer entre les sites, excutez le vrificateur KCC sur le

contrleur de domaine qui joue le rle de gnrateur de topologie inter-sites.
Pour la rgnrer l'intrieur d'un site, excutez le vrificateur KCC sur un

contrleur de domaine qui n'est pas gnrateur de topologie inter-sites.
Pour identifier le contrleur de domaine qui joue le rle de gnrateur de

topologie inter-sites dans le site, excutez les oprations suivantes :
1. Dans Sites et services Active Directory, dvelopper Sites, puis slectionnez
le site.
2. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Site
Settings, puis cliquez sur Proprits.
Le site et le serveur qui joue le rle de gnrateur de topologie inter-sites
apparaissent dans la page de proprits sous Gnrateur de topologie
inter-sites.
Procdure permettant
d'imposer l'excution
du KCC
Pour imposer l'excution du vrificateur KCC, excutez les oprations suivantes :

1. Dans Sites et services Active Directory, dans l'arborescence de la console,
dveloppez Sites, puis le site qui contient le serveur sur lequel excuter le
KCC, dveloppez Servers, puis slectionnez l'objet serveur du contrleur de
domaine sur lequel excuter le KCC.
2. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Settings,
cliquez sur Toutes les tches, puis sur Vrification de la topologie de
rplication.
35
Comment imposer la rplication sur une connexion

Introduction
Pour imposer la rplication sur une connexion, utilisez Sites et services

Active Directory. Vous pouvez tre amen le faire si le journal des
vnements affiche des incohrences dans la rplication ou si vous recevez
un message sur la console du contrleur de domaine signalant des problmes
de rplication.
Procdure
Pour imposer la rplication sur une connexion, excutez les oprations

suivantes :
1. Dans Sites et services Active Directory, dveloppez le contrleur de
domaine du site qui contient la connexion que vous utilisez pour rpliquer
les donnes d'annuaire.
2. Dans l'arborescence de la console, cliquez sur NTDS Settings.
3. Dans le volet de dtails, cliquez avec le bouton droit sur la connexion que
vous utilisez pour rpliquer les donnes d'annuaire, puis cliquez sur
Rpliquer maintenant.
36
Application pratique : Lancement manuel d'une rplication

Objectifs
Dans cette application pratique, vous verrez les objets de connexion en cours,
vous supprimerez un objet de connexion gnr automatiquement, puis vous
actualiserez la topologie de rplication. Vous vrifierez galement si Active
Directory a recr l'objet de connexion.
Instructions
Vous travaillerez par quipes de deux organises par domaine.
Scnario
Le groupe de test de Northwind Traders excute de nombreux tests de

vrification dans Active Directory. Si un objet de connexion est supprim, vous
devez assurer la rgnration rapide de la topologie de rplication. Pour vrifier
qu'un objet de connexion peut tre rgnr, actualisez manuellement la
topologie de rplication aprs la suppression d'un objet de connexion.
Lancement manuel
d'une rplication
! Lancer une rplication manuellement

1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser, avec le
a. Dmarrez Sites et services Active Directory en tant que
Nwtradersx\Administrateur en utilisant Excuter en tant que.
b. Connectez-vous votre Nom_Ordinateur en cliquant du bouton droit sur
Sites et services Active Directory dans l'arborescence de la console,
puis cliquez sur Se connecter au contrleur de domaine.
2. Affichez les objets de connexion en cours.
3. Dveloppez Nom_OrdinateurSite, recherchez les paramtres NTDS de
votre serveur, puis analysez les proprits des objets de connexion.
D'o les objets de connexion seront-ils rpliqus et quel transport de
rplication utiliseront-ils ?
L'objet de connexion spcifie que la rplication partira de
Ordinateur_PartenaireSite et utilisera le transport RPC.
____________________________________________________________
37
4. Supprimez un objet de connexion gnr automatiquement.

a. Accdez aux paramtres NTDS de votre ordinateur.
b. Dans le volet de dtails, supprimez l'objet de connexion.
5. Actualisez la topologie de rplication.
a. Dveloppez Votre_OrdinateurSite, puis dans l'arborescence de la
console, slectionnez votre serveur.
b. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Settings,
puis dans le menu Toutes les tches, cliquez sur Vrification de la
topologie de rplication.
Vrification de la
recration de l'objet
de connexion
! Vrifier que l'objet de connexion que vous avez supprim a t recr

1. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sites et
services Active Directory, puis cliquez sur Actualiser.
2. Dveloppez Nom_OrdinateurSite, naviguez jusqu'aux paramtres NTDS de
votre serveur, puis vrifiez dans le volet de dtails que l'objet de connexion
a t cr automatiquement.
38
Leon : Rsolution des checs de rplication

Introduction
Vous pouvez rencontrer des problmes de rplication dans Active Directory.

Bien qu'il soit possible de rsoudre la plupart des problmes l'aide de Sites
et services Active Directory, des utilitaires avancs et des outils de ligne de
commande existent pour analyser les problmes de rplication. Parmi les
problmes courants, on trouve la non-reconnaissance des nouveaux comptes
d'utilisateurs, les donnes d'annuaire primes ou les contrleurs de domaine
indisponibles.
Pour contrler, diagnostiquer et rsoudre ces problmes de rplication, vous
pouvez utiliser l'utilitaire Active Directory Replication Monitor (moniteur de
rplication) et les outils de ligne de commande Repadmin.exe et Dcdiag.exe.
Ces lments se trouvent dans Windows Server 2003 Support Tools, prsents
sur le CD-ROM de Windows Server 2003.
!
expliquer les problmes courants de rplication ;
expliquer le rle du moniteur de rplication ;
configurer Active Directory Replication Monitor pour afficher la rplication

entre des contrleurs de domaine ;
expliquer la fonction de l'outil de ligne de commande Repadmin.exe ;
expliquer la fonction de l'outil de ligne de commande Dcdiag.exe ;
dterminer l'origine d'un problme l'aide de tests ;
rsoudre les problmes de la rplication.
39
Problmes courants lis la rplication

Introduction
Lorsque vous rencontrez des problmes de rplication dans Active Directory,

commencez par identifier les symptmes et les causes possibles.
Symptmes et causes
possibles
Le tableau suivant numre les principaux symptmes et leurs causes probables.

Symptme
Causes possibles
La rplication ne se termine
pas ou n'a pas lieu
Les sites qui contiennent les stations de travail et les

contrleurs de domaine ne sont pas relis par des
liens entre les contrleurs de domaine et les autres
sites du rseau.
Il n'y a aucun serveur de tte de pont dans le site.
La rplication est lente
La topologie et la planification des liens de sites

entranent le passage des donnes de la rplication
travers de nombreuses sries de sites avant de
mettre jour tous les sites.
Les ordinateurs clients

n'obtiennent que lentement
les rponses leurs requtes
d'authentification, de donnes
d'annuaire et autres services
Les clients envoient des requtes d'authentification,

de donnes et de services un contrleur de
domaine travers une connexion bas dbit.
Aucun contrleur de domaine n'est connect dans le
site des clients.
Il n'y a pas assez de contrleurs de domaine pour
rpondre la demande des stations de travail.
La rplication augmente le
trafic rseau
La largeur de bande actuelle ne suffit pas pour grer

la quantit de trafic de rplications.
La topologie de site est incorrecte.
Le vrificateur KCC ne
parvient pas terminer la
topologie pour le nom unique
du site
Il y a une exception dans le KCC.
40
Dfinition du Moniteur de rplication

Introduction
Pour rgler les modles du trafic de rplications, vous devez pouvoir afficher
le trafic de rplications travers votre rseau. Le Moniteur de rplication peut
accomplir cette tche.
Dfinition
Le Moniteur de rplication affiche graphiquement la topologie de rplication

des connexions entre les serveurs du mme site. Vous pouvez afficher l'tat
de bas niveau et les performances de la rplication entre les contrleurs de
domaine. Vous pouvez galement utiliser des fonctions insres dans des API
(Application Programming Interface), ce qui facilite la rdaction d'un script de
rplication avec seulement quelques lignes de code.
Fonctions
Moniteur de rplication :
!
Affiche la rplication des donnes directement et transitivement.
Affiche chaque valeur USN, le nombre de tentatives de rplication qui

ont chou pour une raison quelconque et les indicateurs utiliss pour
des partenaires de rplication directs. Si l'chec correspond ou dpasse
une valeur dfinie par l'administrateur, le Moniteur de rplication peut
l'enregistrer dans un journal d'vnements et envoyer une notification par
message lectronique.
Interroge le serveur intervalles dfinis par l'administrateur pour obtenir les

statistiques jour et l'tat de la rplication, et pour enregistrer l'historique
dans un fichier journal.
Montre les objets qui ne sont pas encore rpliqus d'un ordinateur donn.
Synchronise les partitions Active Directory entre deux contrleurs de

domaine.
Dclenche l'excution du KCC pour recalculer la topologie de rplication.
Vous pouvez excuter le Moniteur de rplication sur tout contrleur

de domaine, serveur membre ou ordinateur autonome qui excute
Remarque Pour plus d'informations sur la surveillance de la rplication
dans Active Directory, consultez le Centre d'aide et de support de
41
42
Comment configurer le Moniteur de rplication

Introduction
Vous utilisez le Moniteur de rplication pour afficher la rplication entre les

contrleurs de domaine, les serveurs membres et les ordinateurs autonomes
d'un domaine.
Procdure
Pour configurer le Moniteur de rplication, excutez les oprations suivantes :

1. Pour ouvrir le Moniteur de rplication d'Active Directory, cliquez sur
Dmarrer, click Excuter, tapez replmon et cliquez sur OK.
2. Dans le menu View, cliquez sur Options.
3. Dans la page Active Directory Replication Monitor Options, dans l'onglet
Status Logging, cliquez sur Display Changed Attributes when
Replication Occurs, puis sur OK.
4. Dans le volet droit de la console, cliquez avec le bouton droit sur
Monitored servers, puis cliquez sur Add Monitored Server.
5. Dans la bote de dialogue Add Server to Monitor, cliquez sur Add the
server explicitly by name, puis sur Next.
6. Dans la zone Enter the name of the server to monitor explicitly, tapez le
nom du serveur, puis cliquez sur Finish.
43
Dfinition de l'outil Repadmin

Introduction
L'outil de ligne de commande Repadmin.exe vous permet d'afficher la

topologie de rplication du point de vue de chaque contrleur de domaine. Vous
pouvez galement utiliser Repadmin.exe pour crer la topologie de rplication
manuellement, pour forcer des vnements de rplication entre des contrleurs
de domaine et pour afficher les mtadonnes de la rplication (informations sur
les donnes) et mettre jour l'tat des vecteurs.
Syntaxe de Repadmin
Pour excuter la commande repadmin, utilisez la syntaxe suivante :

repadmin commande arguments [/u:[domaine\]utilisateur
/pw:{mot_de_passe|*}]
Exemples d'utilisation
de la commande
repadmin
Les exemples suivants contiennent certains des arguments de commande

disponibles pour la commande repadmin :
!
Pour afficher les partenaires de rplication du contrleur de domaine

nomm domaincontroller1, utilisez la syntaxe :
repadmin /showreps domaincontroller1.contoso.msft
Pour afficher la plus haute valeur USN du contrleur de domaine nomm

domaincontroller2, utilisez la syntaxe :
repadmin /showvector dc=contoso,dc=msft
domaincontroller2.contoso.msft
Pour afficher les objets de connexion du contrleur de domaine nomm

domaincontroller1, utilisez la syntaxe :
repadmin /showconn domaincontroller1.microsoft.com
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande repadmin, l'invite, excutez repadmin /?, puis lisez les
instructions d'usage.
44
Dfinition de l'outil Dcdiag

Introduction
Utilisez l'outil de ligne de commande Dcdiag.exe pour analyser l'tat d'un

contrleur de domaine et signaler tout problme. L'outil Dcdiag.exe excute une
srie de tests pour vrifier diffrents aspects du systme. Ces tests vrifient le
fonctionnement de la connectivit, de la rplication, de l'intgrit de la
topologie et la sant inter-sites.
Syntaxe de Dcdiag
l'invite, tapez :
dcdiag commutateurs [/v /f:LogFile /ferr:ErrLog ]
Le tableau suivant dcrit les trois commutateurs les plus courants disponibles
avec la commande dcdiag.
Commutateur
Description
/v
Fournit des informations plus dtailles. Avec /v, la sortie de dcdiag

fournit de nombreuses informations qui peuvent vous aider
rsoudre un problme.
/f:LogFile
Redirige le rsultat vers un fichier journal spcifi.
/ferr:ErrLog
Redirige le rsultat d'erreur fatale vers un fichier journal spcifi.
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande dcdiag, l'invite excutez dcdiag /? et lisez les instructions
d'usage.
45
Comment dterminer la cause du problme

Introduction
Excutez des tests l'aide des outils de ligne de commande Repadmin.exe et

Dcdiag.exe pour identifier l'origine du problme.
Mthodes de test
Le tableau suivant numre les causes possibles et propose une ou plusieurs

mthodes de test pour identifier l'origine du problme.
Cause possible
Mthode de test
Les sites ne sont pas

relis par des liens
de sites
Vrifiez que la topologie gnre est entirement relie pour

tous les contrleurs de domaine l'aide de la syntaxe :
dcdiag /test:Topology /v
Aucun serveur de
tte de pont n'existe
dans le site
Affichez la liste des serveurs de tte de pont actuels l'aide

de la syntaxe :
repadmin /bridgeheads domaincontroller1.contoso.msft /
verbose
La topologie de site
et la planification
sont inefficaces
Affichez les objets de connexion du contrleur de domaine

nomm domaincontroller1 l'aide de la syntaxe :
repadmin /latency domaincontroller1.contoso.msft /
verbose
Aucun contrleur
de domaine n'est
connect dans le site
Testez l'inscription des contrleurs de domaine dans DNS,

leur rponse une commande Ping et leur connectivit
LDAP/RPC l'aide de la syntaxe :
dcdiag /test:Connectivity /v
Vrifiez galement la rapidit de la rplication entre les
contrleurs de domaine l'aide de la syntaxe :
dcdiag /test:Replications /v
46

(suite)
Cause possible
Mthode de test
Il n'y a pas assez

de contrleurs de
domaine pour faire
face aux demandes
des ordinateurs
clients
Affichez les compteurs suivants du moniteur systme

NTDS :
Requtes KDC AS = nombre de requtes AS des services
KDC par seconde. Les clients utilisent les requtes AS
pour obtenir un ticket d'accord de ticket (TGT, Ticket
Granting Ticket).
Requtes KDC TGS = nombre de requtes TGS (Ticket
Granting Service, Service d'accord de ticket) par seconde.
Les clients utilisent les requtes TGS pour obtenir un
ticket d'accs une ressource.
Authentifications Kerberos = nombre d'utilisations de
ticket par seconde des clients pour accder un
contrleur de domaine pour s'authentifier auprs du
contrleur.
La topologie de site
est incorrecte
Vrifiez la planification des liens de sites l'aide de Sites et

services Active Directory.
Vrifiez si des checs empchent ou retardent la rplication
inter-sites l'aide des syntaxes :
repadmin /latency
dcdiag /test:Intersite /v
Une exception se
produit dans le KCC
Vrifiez si le KCC termine tous les tests sans erreur l'aide

de la syntaxe :
dcdiag /test:kccevent /v
47
Comment rsoudre les problmes de rplication

Introduction
Aprs avoir identifi la cause principale d'un problme, la dernire tape

consiste remdier au problme ou, si possible, fournir une solution. Pour
rsoudre la plupart des problmes, utilisez Sites et services Active Directory.
Mthodes de rsolution
Le tableau suivant numre les mthodes de rsolution de certains problmes de

rplication courants.
Cause
Mthode de rsolution
Les sites ne sont pas

relis par des liens de
sites
Crez un lien de sites entre le site en cours et un site

reli d'autres sites du rseau.
Aucun serveur de tte de

pont n'existe dans le site
Ajoutez un contrleur de domaine la liste des serveurs

de tte de pont privilgis.
Supprimez tous les contrleurs de domaine de la liste
des serveurs de tte de pont privilgis.
La topologie de site et
la planification sont
inefficaces
Modifiez la topologie de site et la planification pour

augmenter la frquence des rplications.
Aucun contrleur de
domaine n'est connect
dans le site
Installez ou modifiez des contrleurs de domaine.
Planifiez la rplication pendant les heures creuses o

la bande passante du rseau est disponible pour cette
opration.
Associez un sous-rseau qui est desservi correctement
par un site avec le site client.
Installez une connexion avec davantage de bande
passante.
Il n'y a pas assez de

pour faire face aux
demandes des
ordinateurs clients
Installez des contrleurs de domaine supplmentaires.
48

(suite)
Cause
Mthode de rsolution
La topologie de site est

incorrecte
Modifiez la topologie de site et vrifiez que les liens de

sites correspondent bien aux liens WAN du rseau.
Il y a une exception dans

le KCC
Activez la journalisation du KCC. Pour enregistrer

davantage d'informations, augmentez la valeur des
entres de Registre 9 Internal Processing et 1
Knowledge Consistency Checker jusqu' 3, puis
patientez 15 minutes. Les entres du Registre sont
situes l'emplacement suivant :
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\NTDS\Diagnostics
Excutez repadmin /kcc, puis rtablissez la valeur de
l'entre du Registre 0. Par dfaut, le KCC enregistre
uniquement les vnements les plus importants. Vous
pouvez augmenter le niveau de dtails en redfinissant
la valeur dans l'entre Replication Events du journal des
vnements des Services d'annuaire.
49
Application pratique : Rsolution des checs de rplication

Objectifs
Dans cette application pratique, vous allez utiliser les outils de ligne de
commande Repadmin et Dcdiag pour analyser l'tat de la rplication dans votre
site et pour diagnostiquer le fonctionnement de votre contrleur de domaine.
Scnario
Utilisez Repadmin.exe et Dcdiag.exe pour dclencher la rplication, puis

analysez l'architecture de rplication. Ces outils fournissent des informations
fondamentales dtailles pour faciliter la comprhension de ce qui ralentit ou
interromps la rplication.
Utilisation de
Repadmin.exe pour
la rsolution des
problmes
! Dpannage des checs de la rplication Active Directory l'aide de

Repadmin.exe
1. Ouvrez l'invite de commande en tant que Votre_Domaine\Administrateur

l'aide de Excuter en tant que.
2. l'invite, tapez Repadmin /? et appuyez sur ENTRE.
3. Lisez les informations de l'cran d'aide pour vous familiariser avec cette
commande.
4. Excutez repadmin /replsummary et analysez le rsultat. Notez l'tat de la
rplication et le nombre d'erreurs.
5. Excutez repadmin /showconn Votre_ordinateur et analysez le rsultat.
Notez les informations sur les donnes de rplication reues du site de votre
partenaire. Notez galement la syntaxe des noms uniques obligatoires pour
Repadmin.
6. Excutez la commande une deuxime fois avec Ordinateur_Partenaire et
analysez le rsultat.
50
7. Excutez repadmin /replicate Votre_Ordinateur Ordinateur_Partenaire

CN=Configuration,DC=nwtradersx,DC=msft /force
Vrifiez que le rsultat affiche une rplication russie de la partition de
configuration dans votre serveur depuis celui de votre partenaire.
8. Excutez repadmin /showrepl /verbose et analysez le rsultat. Notez
qu'elle spcifie des numros USN utiliss pendant la rplication, les
identificateurs GUID de votre serveur, les voisins entrants et le nom DNS
utilis pour rparer le serveur de votre partenaire.
Utilisation de Dcdiag.exe
pour rsoudre les
checs de la rplication
! Rsoudre les checs de la rplication Active Directory l'aide de

Dcdiag.exe
1. Excutez dcdiag /? et analysez la structure de la commande pour

comprendre les options disponibles.
2. Excutez dcdiag et analysez le rsultat. Notez que les tests s'excutent sur
les partitions locales pour vrifier leur intgrit.
3. Excutez dcdiag /e. Excutez cette commande avec dcdiag /e /v afin de
documenter le rsultat de tous les diagnostics.
Remarque Pour plus d'informations sur le diagnostic de l'architecture de
rplication, consultez le kit de ressources.
51

Introduction
Lorsque que vous planifiez une stratgie de site, vous dterminez la

planification, les intervalles et les protocoles des liens de sites ; vous valuez la
ncessit de ponts de liens de sites ; vous dsignez des serveurs de tte de pont
et vous scurisez la rplication Active Directory.
Dans cette leon, on suppose que la topologie de site conue par l'architecte
du systme vous a t donne. Cette architecture spcifie le nombre et
l'emplacement des sites, les liens reliant chaque site et leur cot, les besoins en
disponibilit des sites pour une exploitation autonome, le nombre d'utilisateurs
et les stratgies de scurit des sites.
!
expliquer le processus de planification des sites ;
expliquer les instructions pour dterminer la planification, l'intervalle et le

protocole des liens de sites ;
expliquer les instructions pour dterminer la ncessit des ponts de liens

de sites ;
expliquer les instructions pour dterminer les besoins en serveur de tte

de pont ;
expliquer les instructions pour scuriser la rplication Active Directory.
52
Vue d'ensemble du processus de la planification des sites

Introduction
De la conception de votre structure Active Directory, vont rsulter les dcisions

techniques ncessaires pour rpondre aux besoins de votre organisation.
Le passage de la fin de la conception limplmentation relle est appel
planification.
Composants de
conception de la
topologie de site
En tant qu'ingnieur systme, vous pouvez vous attendre recevoir le document

de conception de la topologie de site avec les composants suivants :
!
Nombre et emplacement des sites dans l'organisation.
Liens reliant chaque site, et leur cot.
Besoins en disponibilit des sites pour leur exploitation autonome en cas de

dfaillance du rseau WAN.
Nombre d'utilisateurs et recommandation indiquant si les services de

connexion doivent locaux dans le site.
Stratgies de scurit de site que l'Assistant Dlgation de contrle et

d'autres fonctionnalits d'Active Directory implmentent.
Remarque Pour plus d'informations sur la conception de la topologie de site,

lisez le chapitre 3, Designing the Site Topology (en anglais), du Kit de
ressources techniques de Windows Server 2003.
Composants de
planification de la
topologie de site
Avant d'implmenter la conception, vous devez l'affiner. La diapositive contient

les composants de la planification de la topologie de site de votre document.
53
Instructions permettant de dterminer la planification, l'intervalle et

le protocole des liens de sites

Introduction
Lorsque vous planifiez les liens de sites, vous dterminer la planification,

l'intervalle et le protocole de rplication qu'utilisera votre organisation.
Instructions

!
Dterminez la planification des liens de sites. Tentez de programmer la

rplication pendant les heures o peu de bande passante est utilise afin
de minimiser le trafic de rplications pendant les heures de pointe. Par
exemple, planifiez le lien utiliser une fois par jour et uniquement la nuit.
Ou, pour compenser l'augmentation du dlai d'attente provoque par la
rplication excute hors des heures ouvrables, programmez cette opration
toutes les heures chaque jour.
Dterminez l'intervalle des liens de sites. Pour contrler l'intervalle de

rplication, dfinissez le nombre de minutes entre chaque tentative de
rplication sur les liens de site. En gnral, on utilise une frquence par
dfaut de 15 minutes et une autre frquence plus longue pour les liens de
sites qui correspondent aux connexions lentes des succursales. La frquence
plus longue utilise le lien plus efficacement, mais augmente la latence de
rplication.
54

!
Dterminez le protocole des liens de sites. Utilisez RPC. N'utilisez SMTP

que comme mthode de transport de sauvegarde ou lorsqu'un lien du rseau
ne prend pas RPC en charge. SMTP pouvant stocker les messages et donc
les transmettre, utilisez-le sur les rseaux dont la fiabilit n'est pas assure.
SMTP prend en charge la rplication du schma, de la configuration, du
catalogue global et des partitions d'annuaire. Cependant, vous ne pouvez pas
l'utiliser pour rpliquer la partition de domaine entre les contrleurs de
domaine qui appartiennent ce domaine.
Remarque Pour utiliser plusieurs planifications de rplication avec le mme

protocole, crez plusieurs liens de sites avec diffrentes configurations.
55
Instructions permettant de dterminer la ncessit de ponts de

liens de sites

Introduction
Si vous utilisez de nombreux liens de sites, le plan doit comprendre un plan

pour les ponts entre les liens.
Instructions
Utilisez les instructions suivantes pour dterminer si vous avez besoin de ponts
entre les liens de sites. Envisagez la cration de ponts de liens de sites dans les
cas suivants :
!
Les contrleurs de domaine ne se connectent pas chacun des autres

contrleurs de la fort. Votre rseau peut empcher ce type de connexion
lorsqu'un pare-feu limite la rplication des contrleurs de domaine
uniquement aux autres contrleurs sur des sous-rseaux spcifiques.
Dsactivez le pontage par dfaut et crez les ponts de liens ncessaires
pour dsigner les contrleurs de domaine d'un site spcifique qui peuvent
se connecter aux autres contrleurs des autres sites.
De nombreux sites existent et le niveau fonctionnel de la fort n'est pas

Windows Server 2003. Envisagez de dsactiver le pontage par dfaut et
crez les ponts ncessaires pour assurer la rplication entre tous les sites de
tous les domaines. Tenez compte des sites sans contrleurs de domaine pour
les domaines qui ont des contrleurs de domaine dans les sites adjacents.
56

!
Votre rseau IP n'est pas entirement rout. Dsactivez la fonction

transitive de lien de sites pour le transport IP, par exemple, si un pare-feu
autorise la rplication uniquement depuis les contrleurs de domaine d'un
emplacement ou d'un sous-rseau spcifique. Lorsque le pontage par dfaut
est dsactiv pour tous les sites, tous les liens de sites IP sont considrs
intransitifs. C'est pourquoi vous devez configurer les ponts de liens pour
tablir le comportement du routage rel de votre rseau. Spcifiez au moins
deux liens de sites pour crer un objet pont de liens pour un transport intersites donn, gnralement RPC sur TCP/IP.
Remarque Pour plus d'informations sur l'algorithme utilis pour calculer les
chemins des sites, consultez Instructions permettant de dterminer la ncessit
de ponts de liens de sites de la page d'annexe du Module 7 sur le CD-ROM du
stagiaire.
57
Instructions permettant de dterminer la ncessit de serveurs de

tte de pont

Introduction
Vous pouvez dcider d'utiliser le serveur de tte de pont choisi

automatiquement par le gnrateur de topologie inter-sites parmi les contrleurs
de domaines disponibles ou une liste de privilgis plus petite configurer
manuellement. Dans tous les cas, vous devez tout de mme envisager la
ncessit de serveurs de tte de pont dans votre rseau.
Instructions
Utilisez les instructions suivantes pour dterminer la ncessit des serveurs de

tte de pont :
!
Si vous souhaitez viter que certains contrleurs de domaine du site soient

des serveurs de tte de pont, utilisez les serveurs de tte de pont privilgis.
Certains contrleurs risquent de ne pas tre assez puissants pour rpliquer de
manire fiable entre les sites. Dans le cas contraire, autorisez le gnrateur
de topologie inter-sites slectionner automatiquement les serveurs de tte
de pont.
Crez une liste de serveurs de tte de pont privilgis. Mettez dans cette
liste les serveurs que le gnrateur de topologie inter-sites doit utiliser.
Si :
vous configurez manuellement un contrleur de domaine en tant que
serveur de tte de pont privilgi pour un site, le gnrateur n'utilisera
que celui-ci ;
vous configurez plusieurs contrleurs de domaine dans le mme site en
tant que serveurs de tte de pont privilgis, le gnrateur en choisira un
arbitrairement ;
la liste des serveurs de tte de pont privilgis ne comprend qu'un
contrleur de domaine, la tolrance de panne est rduite lorsque celui-ci
devient indisponible ;
le serveur de tte de pont privilgi est indisponible, le gnrateur
affecte d'autres serveurs de tte de pont privilgis configurs.
58

!
Crez plusieurs serveurs de tte de pont pour plusieurs partitions

d'annuaire. Un serveur de tte de pont tant dsign pour chaque partition
d'annuaire, il peut y en avoir plusieurs dans le mme site.
Par exemple, vous avez deux sites, Redmond et Charlotte, et deux
domaines, contoso.msft et nwtraders.msft. Chaque site a un contrleur
de domaine pour chaque domaine. La rplication des partitions d'annuaire
des deux domaines peut avoir lieu entre Redmond et Charlotte car les
contrleurs de domaine de nwtraders.msft et contoso.msft sont configurs
en tant que serveurs de tte de pont dans chaque site.
59
Instructions de scurisation de la rplication Active Directory

Introduction
Lorsqu'un ou plusieurs pare-feu sparent les contrleurs de domaine et les

membres des domaines dans Active Directory, vous devez configurer ces parefeu de sorte qu'ils autorisent les ordinateurs authentifier les ressources qui
rsident de l'autre ct du pare-feu.
Instructions
Appliquez les instructions suivantes pour scuriser la rplication

Active Directory :
!
Utilisez un port ou un protocole spcifique pour chaque instance d'Active

Directory. En gnral, le service d'annuaire et FRS utilisent des ports
allous dynamiquement qui requirent des pare-feu pour avoir une plage de
ports ouverts. Bien que vous ne puissiez pas cantonner FRS un port fixe,
vous pouvez cantonner le service d'annuaire sur un port statique l'aide de
l'entre de Registre suivante :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\
Parameters]
"TCP/IP Port"=dword:0000c000
Aprs avoir modifi cette cl de Registre et redmarr le contrleur de

domaine, le service d'annuaire utilise le port TCP cit dans l'entre de
Registre. Dans cet exemple, le port est 49152 (0000c000 en hexa).
!
Limitez la plage des ports RPC. Vous pouvez utiliser la cl de Registre pour
limiter la plage de ports RPC dynamiques affecte par un ordinateur donn.
Pour ce faire, dfinissez la cl de Registre suivante :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet]
"Ports"=REG_MULTI_SZ:5000-5020
Ce paramtre dmarre la plage de ports dynamiques 5000 ou au-dessus et

comprend au moins 20 ports. Si d'autres applications utilisant un port RPC
dynamique sont installes sur un ordinateur, augmentez cette plage.
60

!
Etablissez des approbations explicites entre les domaines. Lorsque vous

tablissez une approbation entre des contrleurs de diffrents domaines, ils
communiquent entre eux l'aide de ports et de protocoles spcifiques.
Validez et authentifiez une approbation. Vous utilisez des ports et des

protocoles spcifiques pour valider l'approbation entre deux contrleurs de
domaine dans diffrents domaines.
Remarque Pour plus d'informations sur les numros de port et les protocoles
spcifiques utiliss pour la rplication Active Directory, consultez la rubrique
Instructions de scurisation de la rplication Active Directory du Module 7
dans les annexes du CD-ROM du stagiaire.
Remarque Pour plus d'informations sur la configuration et la scurisation de la
rplication entre les sites qui utilisent des pare-feu, lisez le livre blanc, Active
Directory in Networks Segmented by Firewalls (en anglais), sous Documentation
supplmentaire de la page Web situe sur le CD-ROM du stagiaire.
61
Application pratique : Planification d'un site

Objectifs
Dans cette application pratique, vous allez dterminer la planification des liens
de sites, la dure du nouveau lien de sites et la configuration des ponts de liens
de sites et des serveurs de tte de pont privilgis.
Scnario
Votre organisation a enregistr des bnfices record l'anne dernire. Pour

continuer sur cette lance, il a t dcid de dvelopper ses activits New
Delhi. Votre organisation a la configuration suivante :
!
Une liaison rseau de 384 kilobits par seconde (Kbits/s) entre le site existant
Hyderabad et New Delhi. Des rapports historiques indiquent qu'il y a parfois
des problmes de connexion intermittents sur cette liaison. En d'autres
termes, cette liaison n'est pas fiable.
Une scurit physique adquate existe dans le nouveau bureau central de

New Delhi.
Environ 3000 utilisateurs travaillent New Delhi en deux roulements de 6

22 heures, et il est prvu que ce nombre triple dans les cinq ans.
Il y aura trois contrleurs de domaine (DC, Domain Controller) dans le site

de New Delhi avec les configurations matrielles suivantes :
DC1 : Processeur 2 gigahertz (GHz) avec 1 gigaoctet (Go) de RAM
DC2 : Processeur 1 GHz avec 512 mgaoctets (Mo) de RAM
DC3 : Processeur 450 MHz avec 512 Mo de RAM
Voici les exigences pour la nouvelle configuration :

Interdire le trafic de rplications pendant les heures ouvrables New
Delhi car il rduit la bande passante disponible pour les transferts de
fichiers et de donnes.
Minimiser l'impact potentiel de la rplication sur les performances des
contrleurs de domaine dans le site de New Delhi.
62
! Planifier un site
1. Que doit contenir votre plan pour que la planification, la frquence et la
priode de la rplication garantissent que le trafic de rplications n'affecte
pas ngativement les transferts de donnes pendant les heures ouvrables sur
la liaison WAN du site de New Delhi ?
Exclure la tranche horaire de 6 22 heures dans la planification. Pour
tenir compte de l'vnement final de rplication, modifiez l'horaire
d'exclusion de dbut en le dfinissant 5h30. Puis dfinissez la
rplication par dfaut toutes les 30 ou 60 minutes au lieu de 180 minutes
pour augmenter le nombre d'vnements de rplication en dehors des
heures ouvrables.
____________________________________________________________
____________________________________________________________
2. Allez-vous configurer un serveur de tte de pont privilgi, et si oui, quels
serveurs de New Delhi utiliserez-vous ?
Oui. Un serveur de tte de pont privilgi permettra de d'acheminer le
trafic de rplications sur un seul serveur du site, rduisant ainsi la
quantit de donnes transfres sur la liaison WAN. Utilisez le serveur
dont le processeur est le plus rapide. Il est le mieux appropri pour
cette tche car le pourcentage de charge qui est plac dans le processeur
de ce serveur est infrieur aux autres.
____________________________________________________________
____________________________________________________________
3. Quelle configuration de pont de liens de sites utiliseriez-vous pour le site de
New Delhi ?
Le paramtre Relier tous les liens du site est le plus appropri car, dans
ce cas, vous n'avez pas besoin de configurer manuellement des ponts de
liens de sites et l'architecture de rplication peut changer
automatiquement en cas d'checs.
____________________________________________________________
____________________________________________________________
63
Atelier A : Implmentation de sites pour grer la

rplication Active Directory

Objectifs
!
crer et configurer un site, des liens de sites et des ponts entre les liens
de sites ;
configurer les planifications de rplication pour les contrleurs de domaine ;
dpanner et vrifier la rplication entre sites.

!
possder les connaissances et comptences requises pour crer des comptes

d'utilisateurs ;
connatre les sous-rseaux TCP/IP.
64
Scnario
Vous tes un ingnieur systme de la socit Northwind Traders. Votre

suprieur vous a demand de piloter et de tester l'architecture de rplication.
Pour chaque fort de l'entreprise, vous devez tablir des standards de rplication
et les tester. L'organisation souhaitant rduire les cots d'exploitation des
connexions de la rplication, cette opration n'aura lieu qu'une fois par jour et
les connexions seront maintenues deux heures au maximum.
Vous devez crer une configuration pilote de sorte que le groupe de conception
logicielle de l'entreprise puisse tester la rplication Active Directory et le
transfert des fichiers d'application. Pour vrifier la taille et l'impact de la
rplication Active Directory, vous allez crer plusieurs sites dans un
environnement LAN et collecter des informations sur les transferts de donnes
au sein du rseau l'aide de tests logiciels que vous excuterez sur chaque site.
L o c'est ncessaire, crez un nouvel objet sous-rseau avec l'ID rseau
10.10.n.0 (o n est votre numro de stagiaire + 100 (par exemple, si votre
numro de stagiaire est 10, utilisez 110) et le masque de sous-rseau
255.255.255.0.
Dure approximative de
cet atelier :
45 minutes
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Compltez le tableau suivant avant de commencer le premier exercice.
lment
1.
Nom du contrleur de
domaine racine de la fort
2.
Nom du contrleur de
domaine enfant
3.
Nom de votre domaine
4.
Nom de domaine pleinement

qualifi pour votre domaine
5.
Nom de votre site
Nom
65
66
Exercice 1
Cration d'un contrleur de domaine rpliqu
Dans cet exercice, vous allez supprimer Active Directory dans le contrleur de domaine du
domaine enfant en prparation la cration de sites pour la rplication Active Directory. Vous
installerez ensuite ce serveur comme contrleur de domaine rpliqu dans la fort nwtradersx.msft.
Tches
Important : Effectuez cette tche uniquement sur le contrleur du domaine enfant.

1.
2.

du contrleur de domaine du
domaine enfant.
Ajouter le contrleur de
domaine de la tche
prcdente en tant que
rpliqu dans le domaine
nwtradersx.msft.
"
Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser

(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd
"
Excutez dcpromo en tant que Nwtradersx\Administrateur en

utilisant Excuter en tant que avec le mot de passe P@ssw0rd
"
Ouvrez une session en tant qu'Administrateur local avec le mot de

passe P@ssw0rd
Exercice 2
Cration et configuration d'un site pour votre domaine
Dans cet exercice, vous allez crer et configurer un site pour votre ordinateur dans la fort
nwtradersx.msft.
Tches
1.
Crer dans Active Directory

un objet de site pour le
domaine.
"
Crez un site nomm LABNom_OrdinateurSite.
2.
Configurer les proprits du

lien de sites en dfinissant le
cot, l'intervalle et la
planification de la
rplication.
"
Dfinissez les proprits suivantes :
Rplication = 50
Intervalle = 60
Planifiez hors de la tranche horaire 18h00 6h00, du lundi au

vendredi, pour le lien.
67
68
Exercice 3
Rsolution des problmes lis la rplication entre sites
Dans cet exercice, vous allez rassembler des informations sur la rplication, puis diagnostiquer son
tat. Excutez replmon, dcdiag et repadmin pour afficher l'tat de la rplication dans votre site.
Tches
1.
Excutez replmon
"
Utilisez Excuter en tant que pour excuter replmon en tant que

Nwtradersx\Administrateur avec le mot de passe P@ssw0rd
Quel est le nom unique de votre contrleur de domaine ?
Quel est le dernier USN mis jour et utilis pour la partition de domaine ? Dans Sites et services Active
Directory, imposez un cycle de rplication et enregistrez toute modification de l'USN. Quelles modifications
se sont produites ?
2.
Excutez dcdiag pour

afficher l'tat de la
rplication, puis excutez
des tests sur votre contrleur
de domaine.
"
Analysez le rsultat du diagnostic pour rpondre la question suivante.
Des erreurs apparaissent-elles pour votre contrleur de domaine ?
3.
Excutez repadmin pour

afficher l'tat de la
rplication sur votre
"
Analysez le rsultat pour rpondre aux questions suivantes.
Quels serveurs sont vos partenaires de rplication ? Des erreurs sont-elles rpertories ?
du placement des
Table des matires
Vue d'ensemble
Leon : Implmentation du catalogue

global dans Active Directory
Leon : Dtermination du placement

de contrleurs de domaine dans
Active Directory
14
Leon : Planification du placement des

24
Atelier A : Implmentation du placement

des contrleurs de domaine
34
iii
Prsentation :
75 minutes
Atelier :
30 minutes
Ce module permet aux stagiaires d'acqurir les connaissances et les

comptences ncessaires pour planifier le placement des contrleurs de
domaine dans un rseau de service d'annuaire Active Directory. Le module
met l'accent sur le placement et la planification relatives aux contrleurs de
domaine, incluant des serveurs de catalogue global et des serveurs DNS
intgrs Active Directory, ainsi que des consignes de mise en cache de
l'appartenance au groupe universel pour un site Active Directory.
suivantes :
Documents de cours
implmenter le catalogue global dans Active Directory ;
dterminer le placement des contrleurs de domaine dans Active Directory ;
planifier le placement des contrleurs de domaine dans Active Directory.

!
Fichier Macromedia Flash 2194A_2279a_9_a_GC.swf

Prparation

!
lire tous les documents de cours relatifs ce module. Tout au long du

raliser l'atelier ;
lire la rubrique Planning Domain Controller Placement du chapitre 3,

Designing the Site Topology , dans Designing and Deploying Directory
and Security Services du kit de dploiement Windows Server 2003
Deployment Kit (en anglais) l'adresse suivante :
http://www.microsoft.com/reskit.
iv

ce module.
connaissances.
Par mesure de scurit, encouragez les stagiaires utiliser la commande
Excuter en tant que pour excuter les procdures de ce module.
Procdures,
et ateliers

Procdures
Ateliers
du module.
Leon : Implmentation du catalogue global dans Active Directory

Les informations de cette leon prsentent les connaissances requises pour
permettre aux stagiaires d'implmenter un catalogue global dans Active
Directory. Commencez par passer en revue l'objet et les fonctions d'un serveur
de catalogue global. Ne consacrez pas trop de temps cette discussion, car les
stagiaires sont dj familiariss avec les serveurs de catalogue global. Montrez
comment activer des serveurs de catalogue global et expliquez quand et
comment les personnaliser. Dcrivez le rle de la mise en cache de
l'appartenance au groupe universel.
Remarque Cette leon ne comporte pas d'application pratique ou d'exercice en
atelier portant sur la personnalisation du catalogue global, car cela exigerait des
stagiaires qu'ils modifient le schma.
Utilisez la prsentation multimdia pour expliquer le rle des groupes
universels dans le processus de connexion. Cette prsentation multimdia
associe vido et animation. Les squences vido fournissent le scnario et
montrent aux stagiaires comment ils peuvent utiliser les informations figurant
dans les squences d'animation.
Montrez comment activer la mise en cache de l'appartenance au groupe
universel. Indiquez aux stagiaires qu'ils trouveront dans les annexes des
informations supplmentaires concernant les informations d'identification et
les attributs mis en cache dans un serveur de catalogue global.

rfrer au scnario d'entreprise lorsqu'ils placent un catalogue global dans
Active Directory.
vi
Leon : Dtermination du placement de contrleurs de domaine

dans Active Directory
Les informations de cette leon prsentent les comptences et les connaissances
requises pour que les stagiaires dterminent le placement de contrleurs de
domaine dans Active Directory l'aide d'Active Directory Sizer. Prsentez
Active Directory Sizer et dcrivez les paramtres importants que les stagiaires
doivent spcifier lorsqu'ils excutent celui-ci. Comme chaque page d'entre
d'Active Directory Sizer ne ncessite pas d'explication particulire, le module
n'explique que les paramtres complexes. Montrez comment utiliser Active
Directory Sizer.
Expliquez aux stagiaires que les procdures pour Active Directory Sizer sont
bases sur la version d'Active Directory Sizer pour Windows 2000.
Dans l'application pratique la fin de la leon, demandez aux stagiaires de

se rfrer au scnario d'entreprise lorsqu'ils dterminent le placement de
contrleurs de domaine l'aide d'Active Directory Sizer.
Leon : Planification du placement des contrleurs de domaine

Les informations dans cette leon prsentent les comptences et les
connaissances requises pour que les stagiaires appliquent les instructions de
planification d'une stratgie de placement de contrleur de domaine. Dcrivez
les instructions de placement dans Active Directory de contrleurs de domaine,
de serveurs de catalogue global et de serveurs DNS intgrs Active Directory.
Dcrivez galement les instructions d'activation de la mise en cache de
l'appartenance au groupe universel dans un site.
sites et catalogues globaux.

rfrer au scnario d'entreprise lorsqu'ils placent des contrleurs de domaine.
Atelier A : Implmentation du placement des contrleurs de domaine

Dans l'atelier de ce module, les stagiaires entrent dans Active Directory Sizer
des informations du scnario pour dterminer combien de contrleurs de
domaine, de serveurs de catalogue global et de serveur de tte de pont
privilgis placer sur chaque site Northwind Traders. Ils activeront galement la
mise en cache de l'appartenance au groupe universel. Discutez de ces questions
dans l'exercice en atelier pour vous assurer que les stagiaires ont obtenu des
rsultats similaires. Lorsque les stagiaires auront termin l'atelier, demandezleur s'ils ont des questions formuler.
vii
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et les
modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Important L'atelier de ce module dpend galement de la configuration de la
classe spcifie dans la section Informations sur la personnalisation la fin du
Guide de configuration automatise de la classe du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
Les ateliers de ce module exigent que les ordinateurs de chaque groupe de

stagiaires (groupes de deux) soient configurs comme contrleurs de domaine
dans leur propre fort. Pour prparer les ordinateurs des stagiaires afin qu'ils
remplissent cette condition, excutez les instructions des guides de
configuration automatise et manuelle de ce cours, puis effectuez les ateliers
du Module 7, Implmentation de sites pour grer la rplication Active
L'excution de l'atelier de ce module modifie la configuration de l'atelier en
activant la mise en cache de l'appartenance au groupe universel dans chaque
LabNom_OrdinateurSite.
Vue d'ensemble

Introduction
Un contrleur de domaine est un ordinateur qui excute Microsoft Windows

Server 2003 et qui stocke un rplica de l'annuaire du domaine. La possession
de plusieurs contrleurs de domaine dans un domaine permet de bnficier de la
tolrance de pannes. Si un contrleur de domaine est hors connexion, un autre
contrleur peut assurer toutes les fonctions requises, comme l'enregistrement de
modifications dans le service d'annuaire Active Directory. Les contrleurs de
domaine grent tous les aspects d'interaction dans le domaine des utilisateurs,
comme la localisation d'objets Active Directory et la validation des tentatives
d'ouverture de session par les utilisateurs.
Comme un domaine peut contenir un ou plusieurs contrleurs de domaine, et
que ceux-ci excutent diverses fonctions cls, le placement de contrleurs de
domaine est une tche importante dans l'implmentation d'Active Directory.
Objectifs

!
implmenter le catalogue global dans Active Directory ;
dterminer le placement des contrleurs de domaine dans Active Directory ;
planifier le placement des contrleurs de domaine dans Active Directory.
Leon : Implmentation du catalogue global dans

Active Directory

Introduction
Le catalogue global est le rfrentiel central des informations concernant les

objets d'une fort dans Active Directory. La mise en cache de l'appartenance
au groupe universel dans Windows Server 2003 rduit le trafic et amliore le
temps de connexion entre des liaisons lentes de rseau tendu (WAN, Wide
Area Network). Vous devez comprendre les serveurs de catalogue global et la
mise en cache de l'appartenance au groupe universel pour planifier le placement
de contrleurs de domaine dans votre rseau.
!
dfinir le rle d'un serveur de catalogue global ;
activer un serveur de catalogue global ;
expliquer les lments prendre en considration pour la personnalisation

d'un serveur de catalogue global ;
personnaliser un serveur de catalogue global ;
expliquer la finalit de la mise en cache de l'appartenance au groupe

universel ;
expliquer le rle des groupes universels dans le processus de connexion ;
activer la mise en cache de l'appartenance au groupe universel pour un site.
Rappel sur la fonction d'un serveur de catalogue global

Introduction
Active Directory cre automatiquement sur le premier contrleur de domaine de

la fort un catalogue global, connu sous le nom de serveur de catalogue global.
Vous pouvez ajouter des fonctionnalits de catalogue global d'autres
contrleurs de domaine ou transfrer l'emplacement par dfaut du catalogue
global vers un autre contrleur de domaine.
Fonctions cls
Un serveur de catalogue global excute les fonctions cls suivantes :

!
Il permet les connexions au rseau en fournissant un contrleur de

domaine des informations sur l'appartenance au groupe universel lors
du dclenchement d'une procdure de connexion.
Il trouve les informations d'annuaire quel que soit le domaine de la fort

qui contient effectivement les donnes.
Catalogue global et
authentification du nom
Un catalogue global rsout les noms d'utilisateur principal lorsque le contrleur

de domaine procdant l'authentification ne connat pas le compte. Par
exemple, si un compte d'utilisateur est situ dans exemple1.nwtraders.msft,
et que l'utilisateur dcide d'ouvrir une session sous le nom d'utilisateur
principal user1@exemple1.nwtraders.msft partir d'un ordinateur situ
dans exemple2.nwtraders.msft, le contrleur de domaine situ dans
exemple2.nwtraders.msft ne pourra pas trouver le compte d'utilisateur ; il
contactera alors un serveur de catalogue global pour terminer le processus
de connexion.
Catalogue global et
appartenance au groupe
universel
Un catalogue global fournit des informations concernant l'appartenance au

groupe universel dans un environnement plusieurs domaines. Contrairement
aux appartenances au groupe global, qu'Active Directory stocke dans chaque
domaine, les appartenances au groupe universel ne sont stockes que dans un
catalogue global. Par exemple, lorsqu'un utilisateur appartenant un groupe
universel se connecte un domaine dfini selon le niveau fonctionnel de
domaine de Windows 2000 natif ou de Windows Server 2003, le catalogue
global fournit des informations de l'appartenance au groupe universel
concernant le compte d'utilisateur.
Que se passe-t-il en
l'absence de catalogue
global ?
Si un catalogue global n'est pas disponible lorsqu'un utilisateur ouvre une

session sur un domaine s'excutant dans le niveau fonctionnel de domaine de
Windows 2000 natif ou Windows Server 2003, le contrleur de domaine qui
traite la demande de connexion de l'utilisateur refuse la requte, et l'utilisateur
ne peut pas ouvrir de session.
Si aucun contrleur de domaine n'est disponible pour traiter une demande de
connexion d'un utilisateur, le contrleur de domaine traite la demande de
connexion l'aide des informations d'identification de l'utilisateur en mmoire
cache. Cette fonctionnalit permet des utilisateurs d'ouvrir une session sur des
ordinateurs portables lorsqu'ils ne sont pas connects au rseau d'entreprise.
Le compte Administrateur du domaine peut toujours ouvrir une session, mme
lorsqu'aucun serveur de catalogue global n'est disponible.
Important Les ordinateurs clients doivent avoir accs un serveur de catalogue
global pour ouvrir une session. Par consquent, dans la plupart des cas, vous
devez disposer d'au moins un serveur de catalogue global dans chaque site
pour bnficier des avantages de rduction du trafic sur le rseau que permet
l'utilisation de sites.
Remarque Pour plus d'informations sur les informations d'identification en
mmoire cache, reportez-vous la rubrique Rappel sur la fonction d'un
serveur de catalogue global de la page d'annexe du Module 8 sur le CD-ROM
du stagiaire.
Comment activer un serveur de catalogue global

Introduction
Pour excuter cette procdure, vous devez tre membre du groupe Admins du
domaine ou du groupe Administrateurs de l'entreprise dans Active Directory,
ou bien les autorisations appropries doivent vous avoir t dlgues.
Procdure
Pour activer un serveur de catalogue global, procdez comme suit :

1. Ouvrez la console Sites et services Active Directory.
2. Dans l'arborescence de la console, naviguez jusqu'au contrleur de domaine
qui hbergera le catalogue global.
3. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Settings,
puis cliquez sur Proprits.
4. Activez la case cocher Catalogue global, puis cliquez sur OK.
Remarque L'activation d'un serveur de catalogue global peut entraner un trafic
de rplications supplmentaire pendant que le serveur rcupre une copie
initiale complte de tout le catalogue global. Le contrleur de domaine ne
s'annonce pas comme serveur de catalogue global avant d'avoir reu les
informations du catalogue global via la rplication.
quel moment personnaliser un serveur de catalogue global

Introduction
Vous souhaiterez parfois personnaliser le serveur de catalogue global pour

inclure des attributs supplmentaires. Toutefois, pesez bien le pour et le contre
car les modifications d'attributs peuvent affecter le trafic sur le rseau.
Par dfaut, le serveur de catalogue global contient les attributs d'objet les
plus courants pour chaque objet dans toute la fort. Les applications et les
utilisateurs peuvent interroger ces attributs. Vous pouvez, par exemple, trouver
un utilisateur par son prnom, son nom, son adresse de messagerie ou toute
autre proprit courante d'un compte d'utilisateur.
lments prendre en
considration
Prenez en considration les lments suivants pour dterminer s'il convient

d'ajouter un attribut un serveur de catalogue global :
!
n'ajoutez que des attributs que les utilisateurs ou les applications de votre
organisation interrogent frquemment ou auxquels il est souvent fait
rfrence ;
dterminez la frquence de mise jour d'un attribut durant la rplication.

Active Directory rplique tous les attributs qui sont stocks dans le catalogue
global dans chaque serveur de catalogue global dans la fort. Plus l'attribut est
rduit, plus faible est l'impact sur la rplication. Si l'attribut est consquent,
mais change rarement, son impact lors d'une rplication est moindre par
rapport celui d'un attribut rduit qui fait souvent l'objet de modifications.
Remarque Pour plus d'informations sur les attributs dans un serveur de

catalogue global, reportez-vous la rubrique quel moment personnaliser un
serveur de catalogue global de la page d'annexe du Module 8 sur le CD-ROM
du stagiaire.
Comment personnaliser un serveur de catalogue global

Introduction
Pour excuter cette procdure, vous devez tre membre du groupe

Administrateurs du schma dans Active Directory, ou des autorisations
appropries doivent vous avoir t dlgues.
Procdure
Pour ajouter un attribut un serveur de catalogue global, procdez comme suit :

1. Crez une nouvelle console MMC personnalise :
a. Cliquez sur Dmarrer, puis sur Excuter, tapez regsvr32
schmmgmt.dll et cliquez sur OK.
b. cliquez sur Dmarrer, sur Excuter, tapez mmc et appuyez sur
ENTRE.
c. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant
logiciel enfichable.
d. Dans la bote de dialogue Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur Ajouter.
e. Dans la bote de dialogue Ajout d'un composant logiciel enfichable
autonome, double-cliquez sur Schma Active Directory, puis cliquez
sur Fermer.
f. Dans la bote de dialogue Ajouter/Supprimer un composant logiciel
enfichable, cliquez sur OK.
g. Dans le menu Fichier, cliquez sur Enregistrer sous.
h. Dans la zone Enregistrer sous, tapez Schma Active Directory et
cliquez sur Enregistrer.
i. Fermez la console MMC personnalise.
2. Cliquez sur Dmarrer, sur Tous les programmes, puis sur Outils
d'administration, et enfin sur Schma Active Directory.msc.
3. Dans l'arborescence de la console, dveloppez Schma Active Directory,
puis cliquez sur Attributs.
4. Dans le volet de dtails, cliquez avec le bouton droit sur l'attribut que vous
souhaitez ajouter au serveur de catalogue global, puis cliquez sur Proprits.
5. Cliquez sur Rpliquer cet attribut dans le catalogue global, puis cliquez
sur OK.
Avertissement Si le niveau fonctionnel de la fort n'est pas dfini selon
Windows Server 2003, l'ajout d'un nouvel attribut au serveur de catalogue
global entrane une synchronisation complte de ce serveur.
Dfinition de la mise en cache de l'appartenance au

groupe universel

Introduction
Les limitations lies la bande passante du rseau et au matriel serveur

peuvent entraver pour une organisation l'implantation d'un serveur de catalogue
global dans de petites succursales. Pour ces sites, vous pouvez dployer des
contrleurs de domaine excutant Windows Server 2003, puis activer la mise
en cache de l'appartenance au groupe universel pour le site.
Pourquoi utiliser la
mise en cache de
l'appartenance au
groupe universel ?
Un contrleur de domaine dans un site dont la mise en cache de l'appartenance

au groupe universel est active stocke les informations localement aprs la
premire tentative d'ouverture de session d'un utilisateur. Le contrleur de
domaine rcupre les informations de l'appartenance au groupe universel pour
l'utilisateur partir d'un serveur de catalogue global dans un autre site. Il met
ensuite ces informations de manire permanente en mmoire cache et les
actualise priodiquement. Lors de la prochaine tentative d'ouverture de session
de l'utilisateur, le contrleur de domaine rcupre les informations de
l'appartenance au groupe universel partir de sa mmoire cache locale sans
contacter un serveur de catalogue global.
de la mise en cache de
l'appartenance au
groupe universel
Par dfaut, les informations de l'appartenance au groupe universel contenues

dans la mmoire cache de chaque contrleur de domaine sont actualises toutes
les huit heures. Pour actualiser la mmoire cache, les contrleurs de domaine
excutant Windows Server 2003 envoient une demande de confirmation de
l'appartenance au groupe universel un serveur de catalogue global dsign.
Windows Server 2003 met simultanment jour jusqu' 500 appartenances de
groupe universel.
10
Prsentation multimdia : Rle des groupes universels dans le

processus d'ouverture de session

Pour commencer la prsentation Rle des groupes universels dans le processus

d'ouverture de session, ouvrez la page Web du CD-ROM du stagiaire, cliquez
sur Multimdia, puis cliquez sur le titre de la prsentation. N'ouvrez pas cette
prsentation avant d'y tre invit par l'instructeur.
Objectifs

suivantes :
Points cls
dcrire le rle de l'appartenance au groupe dans l'authentification et

l'autorisation ;
expliquer comment l'appartenance au groupe universel est stocke dans

le catalogue global ;
dcrire le rle du catalogue global au cours de l'authentification et de

l'autorisation ;
dterminer quel moment un serveur de catalogue global doit tre plac

sur un site distant ;
dterminer quel moment la mise en cache de l'appartenance au groupe

universel doit tre active ;
dcrire le rle de l'appartenance au groupe dans l'authentification et

l'autorisation.
Les points cls de cette prsentation sont les suivants :

!
L'appartenance au groupe universel est un lment essentiel intervenant

dans une ouverture de session. Si le contrleur de domaine ne parvient pas
dfinir l'appartenance de l'utilisateur au groupe universel, celui-ci se
voit refuser une connexion interactive. Pour complter le processus de
connexion, l'ordinateur client sur lequel l'utilisateur excute la connexion
interactive doit pouvoir accder un serveur de catalogue global ou aux
informations en mmoire cache.
11
Lorsqu'un utilisateur ouvre une session, le contrleur de domaine qui

authentifie l'utilisateur doit tre en mesure de contacter un serveur de
catalogue global pour numrer les appartenances de l'utilisateur au groupe
universel. Si le contrleur de domaine accde au serveur de catalogue global
par l'intermdiaire d'un WAN, les utilisateurs ne peuvent ouvrir de session si
la liaison avec le WAN est hors service.
Si une connexion WAN peut supporter le trafic de rplications, localisez un

serveur de catalogue global sur le site. Si le trafic de rplications est une
charge pour la liaison WAN, activez la mise en cache de l'appartenance au
groupe universel dans le site.
12
Comment activer la mise en cache de l'appartenance au groupe

universel pour un site

Introduction
Pour excuter cette procdure, vous devez tre membre du groupe Admins du
domaine dans le domaine racine de la fort ou du groupe Administrateurs de
l'entreprise dans Active Directory, ou bien les autorisations appropries doivent
vous avoir t dlgues.
Procdure
Procdez comme suit pour activer la mise en cache de l'appartenance au groupe

universel pour un site ne comportant pas de serveur de catalogue global :
1. Dans la console Sites et services Active Directory, dans l'arborescence de
la console, dveloppez les sites, puis cliquez sur celui pour lequel vous
souhaitez activer la mise en cache de l'appartenance au groupe universel.
2. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Site
Settings, puis cliquez sur Proprits.
3. Cochez la case Activer la mise en cache de l'appartenance au groupe
universel, slectionnez un site sur lequel ce site actualise sa mmoire cache,
puis cliquez sur OK.
Remarque Par dfaut, un contrleur de domaine actualise la mmoire cache
sur le site le plus proche possdant un serveur de catalogue global. Vous pouvez
slectionner un autre site possdant un serveur de catalogue global sur lequel
actualiser la mmoire cache.
13
Application pratique : Implmentation du catalogue global dans

Active Directory

Objectif
Dans cette application pratique, vous allez activer un serveur de

catalogue global.
Scnario
Votre organisation compte 4000 utilisateurs dans une fort plusieurs

domaines. Un contrleur de domaine existe dans une succursale comptant
200 utilisateurs, lesquels font partie d'un domaine comptant 2000 comptes
d'utilisateurs. Vous souhaitez permettre aux utilisateurs d'ouvrir une session
sur le domaine, mme si la liaison WAN n'est pas disponible.
! Activer un serveur de catalogue global

1. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser
(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous travaillez)
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez du
bouton droit sur Sites et services Active Directory, puis cliquez sur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur,
avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK.
4. Utilisez la console Sites et services Active Directory pour accder aux
proprits NTDS pour votre contrleur de domaine.
5. Vrifiez que la case Catalogue global est coche, puis cliquez sur OK.
6. Fermez la console Sites et services Active Directory.
14
Leon : Dtermination du placement de contrleurs de

domaine dans Active Directory

Introduction
Avant de placer des contrleurs de domaine dans des sites, vous devez
dterminer le nombre de contrleurs de domaine dont votre organisation a
besoin ainsi que leurs configurations matrielles. Active Directory Sizer est un
programme excutable qui vous aide excuter ces deux tches, afin de vous
permettre de minimiser le cot et de conserver un niveau de service efficace
pour vos utilisateurs.
!
expliquer la finalit d'Active Directory Sizer ;
dcrire les paramtres d'Active Directory Sizer ;
dterminer le placement de contrleurs de domaine l'aide d'Active

Directory Sizer.
15
Dfinition d'Active Directory Sizer

Introduction
Active Directory Sizer (ADSizer.exe) vous aide estimer la configuration

matrielle requise pour dployer Active Directory en fonction du profil de
l'organisation, des informations sur le domaine et de la topologie du site.
Que fournit Active

Directory Sizer ?
Vous utilisez Active Directory Sizer pour obtenir des estimations du

nombre de :
!
Contrleurs de domaine par domaine par site.
Serveurs de catalogue global par domaine par site.
Processeurs par ordinateur, ainsi que leur type.
Disques requis pour stocker les donnes Active Directory.
Active Directory Sizer fournit galement des estimations approximatives pour

les besoins ou paramtres suivants :
!
Quantit de mmoire
Configuration rseau requise
Taille de la base de donnes du domaine
Taille de la base de donnes du catalogue global
Bande passante requise pour la rplication inter-sites
16
Paramtres pour Active Directory Sizer

Introduction
lments prendre
en considration
Lorsque vous excutez Active Directory Sizer, il collecte les informations

suivantes sur chaque domaine afin de vous permettre de placer les contrleurs
de domaine avec prcision :
!
Nombre d'utilisateurs
Attributs par utilisateur
Groupes auxquels un utilisateur appartient
Taux d'ouverture de sessions durant les heures de pointe
Taux d'expiration des mots de passe
Nombre d'ordinateurs
Limite d'utilisation des processeurs
Administration
Informations concernant DNS (Domain Name System)
Lorsque vous entrez des informations fondamentales dans certains paramtres

d'Active Directory Sizer, tenez compte des facteurs suivants :
!
Pourcentage des utilisateurs actifs simultanment aux heures de pointe.

Si la plupart des utilisateurs ouvrent une session une heure de pointe,
spcifiez une valeur de 100 pour cent. Gnralement, ce paramtre concerne
un fournisseur de services Internet (ISP, Internet Service Provider), qui peut
avoir un million d'utilisateurs dans un domaine, mais dont tous ne sont pas
actifs simultanment. Bien qu'il soit utile de connatre le nombre total
d'utilisateurs pour calculer la taille de la base de donnes, Active Directory
Sizer n'utilise que le nombre d'utilisateurs simultans pour calculer le trafic
de connexions du client.
17
Nombre moyen de groupes auxquels l'utilisateur appartient. Ce nombre

peut affecter le temps requis par un contrleur de domaine pour traiter
une demande de connexion parce que l'accs des utilisateurs dpend des
autorisations d'accs pour chaque groupe. Durant le processus de connexion,
le contrleur de domaine ajoute chaque identificateur de scurit (SID,
Security IDentifier) de groupe au jeton de scurit de l'utilisateur. Ce
paramtre concerne tous les types de groupes local, global et universel.
Taux moyen d'ouverture de sessions par seconde durant une heure de

pointe. Si vous ne connaissez pas ce taux, utilisez la mthode suivante
pour l'estimer :
a. Dterminez combien d'utilisateurs simultans dans votre organisation
sont susceptibles d'ouvrir une session sur le systme durant une heure
de pointe. Par exemple, entre 8 heures et 9 heures du matin.
b. Divisez ce nombre par 3600 secondes pour obtenir le taux moyen de
connexions par seconde.
Cette estimation suppose que pour chaque connexion interactive,
Windows 2003 Server excute en moyenne 15 connexions rseau. Si les
utilisateurs ouvrent une session sur plus de deux ordinateurs, ajustez le
taux de connexion en consquence.
Limite d'utilisation moyenne requise des processeurs pour chaque

contrleur de domaine. Cette limite n'est applicable que pour Active
Directory. Si vous envisagez d'utiliser le contrleur de domaine pour
hberger des services autres que Active Directory, envisagez de spcifier
une valeur infrieure pour tenir compte du taux d'utilisation moyen de ces
services par le processeur.
Spcifier une valeur infrieure permet au contrleur de domaine de faire
face une augmentation soudaine de la charge de travail. Cependant, si
vous rduisez trop cette valeur, il se peut que Active Directory Sizer suggre
davantage de contrleurs de domaine qu'il n'est ncessaire pour grer une
charge de travail typique.
Exigences d'administration. Gnralement, vous excutez certaines

oprations sur l'annuaire en ajoutant, en supprimant ou en modifiant des
objets selon une base quotidienne, hebdomadaire ou annuelle. Avant de
stipuler vos besoins administratifs, dterminez si votre domaine comporte
plusieurs administrateurs, ou si plusieurs utilisateurs sont autoriss ajouter,
supprimer et modifier des objets dans le domaine, et incluez ces donnes
dans votre estimation.
Si une application utilise Active Directory, n'ajoutez pas ici ces informations.
18

!
Besoins DNS. Ne spcifiez des valeurs dans ces paramtres que si vous
utilisez un DNS intgr Active Directory.
Vieillissement et nettoyage. Le vieillissement est le processus
d'identification des enregistrements de ressource que DNS a cr
dynamiquement, et que l'ordinateur client qui a cr les enregistrements
n'a pas mis jour en temps utile. Les enregistrements qui sont identifis
par ce processus sont considrs tre obsoltes. La possession de
nombreux enregistrements de ressource vieillissants peut causer des
problmes. Par exemple, ils prennent de la place sur le serveur et les
performances du serveur DNS peuvent en ptir, parce qu'un serveur
risque d'utiliser un enregistrement de ressource vieillissant pour
rpondre une requte. Pour rsoudre ces problmes, le serveur
DNS dans Windows Server 2003 peut nettoyer des enregistrements
vieillissants. Le nettoyage est le processus de suppression des
enregistrements de ressources obsoltes dans les bases de donnes de
la zone du serveur DNS.
NoRefreshInterval. Cette valeur dtermine la frquence d'actualisation
d'un enregistrement. Notez que le serveur continue accepter des mises
jour durant cet intervalle.
Remarque Pour plus d'informations sur le vieillissement et le nettoyage,

consultez l'aide de la console DNS MMC.
19
Comment utiliser Active Directory Sizer

Introduction
Vous utilisez Active Directory Sizer pour dterminer le placement des

Procdure
Pour utiliser Active Directory Sizer, procdez comme suit :

Important Active Directory Sizer n'est pas install par dfaut. Vous pouvez le
tlcharger et l'installer partir de l'adresse :
http://download.microsoft.com/download/win2000platform/ASsizer/
1.0/NT5/EN-US/setup.exe.
Dans cette salle, vous pouvez installer Active Directory Sizer en excutant
\\london\setup\adsizer\ADSIZER.exe et en compltant l'assistant de
configuration.
1. Cliquez sur Dmarrer, pointez sur Programmes, cliquez sur Active
Directory Sizer, cliquez sur File, puis sur New.
2. Dans Active Directory Sizer Wizard, spcifiez un nom pour le domaine puis
cliquez sur Next.
3. Dans la page User Accounts, spcifiez le nombre total d'utilisateurs ainsi
que le nombre d'utilisateurs connects durant les heures de pointe, spcifiez
le nombre d'attributs supplmentaires par utilisateur, puis cliquez sur Next.
4. Dans la page User Accounts suivante, spcifiez le nombre moyen de
groupes auxquels un utilisateur appartiendra, spcifiez le nombre de jours
pour l'expiration des mots de passe, spcifiez un taux d'ouverture de session
moyen pour Interactive, Batch et Network, puis cliquez sur Next.
5. Dans la page Computers and Other Objects, spcifiez le nombre
d'ordinateurs excutant Windows 2000, le nombre des autres ordinateurs, et
le nombre des autres objets qui seront publis dans Active Directory, puis
cliquez sur Next.
20
6. Dans la page Computers and Other Objects suivante, acceptez les valeurs
par dfaut pour l'utilisation du processeur et le type de processeur prfr,
puis cliquez sur Next.
7. Dans la page Administration, spcifiez des valeurs pour les options
Interval, Add, Delete et Modify, puis cliquez sur Next.
8. Dans la page Exchange 2000, spcifiez si vous envisagez d'utiliser
Exchange, spcifiez le nombre moyen de messages par jour et le nombre de
destinataires, le nombre de serveurs Exchange et de groupes de routage, puis
cliquez sur Next.
9. Dans la page Services Using Active Directory, slectionnez si vous
envisagez d'utiliser un service DNS intgr Active Directory, spcifiez les
connexions d'appel entrant, et utilisez les valeurs par dfaut pour le bail
DHCP (Dynamic Host Configuration Protocol) et NoRefreshInterval, puis
cliquez sur Next.
10. Dans la page Services Using Active Directory suivante, slectionnez les
valeurs pour les services sous Active Directory, cliquez sur Next, puis
cliquez sur Finish.
Aprs avoir excut les tapes de l'Assistant, si vous tes dans un environnement
plusieurs domaines ou sites, vous pouvez utiliser l'arborescence de la console
pour crer des domaines ou des sites supplmentaires, puis rpartir les utilisateurs
entre les domaines ou sites appropris.
Rapport d'Active
Directory Sizer
Lorsque la procdure est termine, le rapport Active Directory Sizer affiche les
informations suivantes :
!
Le nombre d'objets et de contrleurs de domaine dont ce domaine a besoin.

Disposez toujours d'au moins deux contrleurs de domaine par domaine afin
de bnficier de la tolrance de pannes.
La taille d'Active Directory et du catalogue global.
Le nombre de serveurs de catalogue global et de serveurs de tte de pont

dans chaque domaine. Active Directory Sizer prsuppose les conditions
suivantes :
Un serveur de tte de pont est un serveur de catalogue global.
Un serveur de tte de pont par site mme si le site contient plusieurs
domaines.
Le trafic de rplications inter-sites. Cliquer sur un site montre le volume

total de trafic de rplications entrant et sortant pour ce site. Toute la
rplication inter-sites est base sur des appels de procdure distante (RPC,
Remote Procedure Call). Active Directory Sizer tient compte de la
compression lorsqu'il calcule la quantit du trafic de rplications.
21
Remarque Active Directory Sizer suggre des recommandations matrielles

bases sur les informations que les principaux fournisseurs incluent avec leurs
produits courants. Vous pouvez installer un contrleur de domaine sur une
configuration matrielle diffrente. Active Directory Sizer utilise un algorithme
bas sur l'volutivit des serveurs plutt que sur l'ajout de serveurs. Par
consquent, l'utilisation d'un nombre plus rduit d'ordinateurs, fournissant un
bon support matriel pour la charge de travail de votre domaine, vous permet
de rduire le dlai de latence de rplication dans le systme.
Comme l'algorithme est bas sur l'volutivit des serveurs, ces
recommandations peuvent ne pas convenir aux exigences de tolrance
de pannes pour un domaine ou un site.
22
Application pratique : Dtermination du placement de contrleurs

de domaine dans Active Directory

Objectifs
Dans cette application pratique, vous allez dterminer le placement de

contrleurs de domaine l'aide d'Active Directory Sizer.
Scnario
Woodgrove Bank est une petite banque locale possdant cinq agences
Chicago. La banque compte 375 employs : 300 employs au sige et 15
employs dans chaque agence. Woodgrove Bank a choisi d'utiliser :
!
Une stratgie base sur un seul domaine
Le nom de domaine corp.woodgrove.msft
Une stratgie base sur un seul site, sans serveurs dans les agences
Utilisez Active Directory Sizer pour vous aider dvelopper un plan de

placement pour les contrleurs de domaine de Woodgrove Bank.
! Dterminer le placement du serveur

2. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur Active
Directory Sizer, puis cliquez sur Active Directory Sizer.
3. Dans la bote de dialogue Active Directory Sizer, cliquez sur File, puis
sur New.
4. Lorsque vous y serez invit, tapez le nom du domaine, puis cliquez
sur Next.
23
5. Dans la page User Accounts, tapez le nombre d'utilisateurs, puis cliquez

sur Finish.
Dans l'arborescence de la console, le domaine corp.woodgrove.msft apparat
sous Domain Configuration et, sous Site Configuration, le site par dfaut
Default-First-Site. Dans le volet de dtails, consultez le nombre de serveurs
qu'Active Directory Sizer vous recommande de placer dans le site.
6. Fermez Active Directory Sizer.
24
Leon : Planification du placement des contrleurs

de domaine

Introduction
La planification du placement des contrleurs de domaine vous aide

dterminer les besoins matriels de votre organisation et vous vite de les sousestimer. Elle garantit aussi que vous ne surchargez pas les contrleurs de
domaine excutant Windows Server 2003.
Avant de planifier le placement des contrleurs de domaine, vous devez
concevoir et dployer la topologie d'un site Active Directory. Pour
Windows Server 2003, le service DNS a t soigneusement intgr dans la
conception et l'implmentation d'Active Directory. Par consquent, lorsque
vous dployez ensemble Active Directory et Windows Server 2003, vous devez
galement planifier le placement des serveurs DNS intgrs Active Directory.
!
expliquer les instructions de placement des contrleurs de domaine ;
expliquer les instructions de placement des serveurs de catalogue global ;
expliquer les instructions d'activation de la mise en cache de l'appartenance

au groupe universel ;
expliquer les instructions de placement des serveurs DNS intgrs

Active Directory.
25
Instructions de placement des contrleurs de domaine

Introduction
Suivez les instructions de placement des contrleurs de domaine afin de

minimiser le temps de rponse aux requtes des utilisateurs et bnficier de
la tolrance de pannes.
Instructions
Appliquez les instructions suivantes pour placer des contrleurs de domaine :

!
Placez un contrleur de domaine dans un site si :

Le site comporte de nombreux utilisateurs. Lorsque ces utilisateurs
ouvrent une session, ils peuvent contacter un contrleur de domaine
local pour authentification au lieu de contacter un contrleur de domaine
distant par le biais d'une liaison WAN.
Des applications orientes site seront utilises dans le site. Ces
applications peuvent ainsi accder un compte d'utilisateur et d'autres
informations partir d'un contrleur de domaine local.
Le site contient des ressources de serveur auxquelles les utilisateurs
peuvent accder lorsque la liaison avec le WAN n'est pas disponible. Si
la liaison avec le WAN n'est pas disponible et qu'aucun contrleur de
domaine local n'est disponible pour traiter les demandes de connexion,
les utilisateurs ouvrent une session l'aide d'informations de connexion
en mmoire cache. Ils ne peuvent accder des ressources sur un autre
ordinateur que celui sur lequel ils sont connects. Si les utilisateurs
doivent pouvoir accder des ressources sur d'autres ordinateurs sur le
rseau, configurez le contrleur de domaine comme serveur de catalogue
global. Ou bien activez au minimum la mise en cache de l'appartenance
au groupe universel pour le site.
26

!
Ne placez pas un contrleur de domaine dans un site dont la scurit

physique ou la maintenance est inadquate. Si un intrus peut accder
physiquement un serveur, il lui est beaucoup plus facile de contourner les
paramtres de scurit et d'accder aux donnes critiques de l'entreprise ou
de les modifier. En l'absence de personnel assurant la maintenance des
ordinateurs locaux, une panne matrielle ou logicielle sur un contrleur
de domaine peut interrompre le service pendant une dure prohibitive.
Dterminez le nombre de contrleurs de domaine en fonction du nombre

d'utilisateurs et des performances requises. Utilisez Active Directory Sizer
pour dterminer un processeur spcifique, la taille de la mmoire et les
valeurs du rseau. Tenez compte galement des besoins en termes de
tolrance de pannes. Si Active Directory Sizer ne recommande qu'un seul
contrleur de domaine pour un site, mais que les utilisateurs doivent pouvoir
ouvrir une session et accder des ressources locales bases sur un serveur
en cas de rupture de liaison avec un WAN, envisagez de placer un second
contrleur de domaine dans le site afin de rpondre vos besoins en termes
de tolrance de pannes.
27
Instructions de placement des serveurs de catalogue global

Introduction
Dans un environnement idal, chaque site comporte un serveur de catalogue

global pouvant traiter des demandes d'interrogation Active Directory.
Cependant, une surabondance de serveurs de catalogue global peut augmenter
considrablement le trafic rseau par suite de la rplication partielle de tous les
objets de tous les domaines. Par consquent, basez votre plan de placement des
serveurs de catalogue global en fonction des capacits de votre rseau.
Instructions
Appliquez les instructions suivantes pour placer des serveurs de catalogue

global dans des sites :
!
Vrifiez qu'un serveur de catalogue global dispose de suffisamment de

place sur son disque. Le disque doit tre en mesure de contenir des
rpliques partielles de tous les objets de tous les autres domaines dans
Active Directory.
Vrifiez qu'un serveur de catalogue global peut rpondre immdiatement

aux requtes des clients et aux demandes d'authentification. Si un site
comporte de nombreux utilisateurs ou si l'authentification de connexion est
lente, envisagez de placer plusieurs serveurs de catalogue global dans le site.
Prvoyez suffisamment de bande passante pour le WAN. Une bande

passante importante est ncessaire pour prendre en charge le trafic de
rplications du catalogue global.
28

!
Prvoyez la redondance des serveurs de catalogue global. Si vous avez

accs un second serveur de catalogue global sur votre rseau, il vous
aidera vous protger en cas de panne du serveur de catalogue global. Si
les serveurs sont distants, des serveurs de catalogue global redondants ne
protgeront pas votre organisation contre les pannes de WAN.
Faites de tous les contrleurs de domaine des serveurs de catalogue global

si vous n'avez qu'un domaine dans une fort. Comme il n'y a qu'un seul
domaine, faire de chaque contrleur de domaine un serveur de catalogue
global n'augmentera pas le trafic de rplications. Par ailleurs, cela permettra
chaque contrleur de domaine de rsoudre localement les requtes
adresses au catalogue global, au lieu de devoir contacter un serveur de
catalogue global sur le rseau.
Remarque Dans un environnement de fort domaine unique, les contrleurs

de domaine ne contactent pas un serveur de catalogue global lorsqu'ils
authentifient des utilisateurs, parce que toutes les informations du groupe
universel sont garanties tre stockes sur le contrleur de domaine.
Remarque Pour plus d'informations sur le catalogue global et les sites, reportezvous la rubrique Instructions de placement des serveurs de catalogue global
29
Instructions d'activation de la mise en cache de l'appartenance au

groupe universel

Introduction
Lorsque vous devez dterminer sur quels sites activer la mise en cache de
l'appartenance au groupe universel, dveloppez un plan bas sur l'aptitude de
la structure de votre rseau grer le trafic de rplications et de requtes.
Instructions
Appliquez les instructions suivantes pour dterminer s'il faut activer la mise en
cache de l'appartenance au groupe universel pour un site :
!
Activez la mise en cache de l'appartenance au groupe universel dans des

sites remplissant les conditions suivantes :
Des limitations lies au matriel ou la bande passante vous empchent
de placer des serveurs de catalogue global dans le site.
Un ou plusieurs contrleurs de domaine local sont disponibles.
La perte de connectivit avec le serveur de catalogue global peut tre
frquente ou prolonge.
L'accs aux ressources du rseau ne peut tre interrompu.
Si ces conditions s'appliquent, cela ne signifie pas que vous devez activer
la mise en cache de l'appartenance au groupe universel dans un site ; elles
indique plutt que l'utilisation de cette fonctionnalit pourrait assurer la
redondance requise.
N'activez pas la mise en cache de l'appartenance au groupe universel si la

perte de connectivit risque d'affecter la connectivit aux autres ressources
du rseau. Par exemple, n'activez pas la mise en cache de l'appartenance au
groupe universel dans de petits bureaux satellite sans serveurs locaux.
30

!
Envisagez des solutions alternatives avant d'activer la mise en cache de

l'appartenance au groupe universel. Les solutions alternatives suivantes
peuvent indiquer des situations pour lesquelles la mise en cache de
l'appartenance au groupe universel n'est pas approprie.
Prvoir des serveurs de catalogue global locaux. Ceci vous aide
protger chaque site contre les pannes WAN. Ceci peut se rvler
impossible si des limitations matrielles ou des restrictions lies la
bande passante font obstacle la conversion de contrleurs de domaine
locaux en serveurs de catalogue global.
Prvoir des connexions WAN redondantes. De nombreux rseaux locaux
(LAN, Local Area Network) disposent de connexions WAN redondantes
en cas d'urgence. En rgle gnrale, ces connexions disposent de moins
de bande passante disponible que des connexions plus permanentes,
mais elles sont gnralement suffisantes jusqu' ce que la connectivit
du rseau ait t rtablie.
Faire de tous les contrleurs de domaine des serveurs de catalogue
global. Si la fort ne compte qu'un seul domaine, un serveur de
catalogue global n'est pas contact durant l'authentification. Cependant,
un serveur de catalogue global est encore utilis pour des recherches
dans un catalogue global.
31
Instructions de placement des serveurs DNS intgrs

Active Directory

Introduction
La disponibilit de DNS affecte directement celle d'Active Directory. Les

ordinateurs clients utilisent DNS pour localiser des contrleurs de domaine,
lesquels font appel DNS pour localiser d'autres contrleurs de domaine.
Mme si des serveurs DNS sont dploys dans le rseau, il peut tre ncessaire
d'ajuster le nombre et le placement de serveurs DNS pour rpondre aux besoins
des ordinateurs clients et des contrleurs de domaine.
Instructions
Appliquez les instructions suivantes pour dterminer le placement de serveurs

DNS dans des sites :
!
Placez au moins un serveur DNS dans chaque site. Les serveurs DNS du
site doivent faire autorit concernant les enregistrements du localisateur de
contrleur de domaine du site, afin que toutes les requtes DNS pour les
contrleurs de domaine dans le site soient rsolues par le serveur DNS local.
Par ailleurs, les contrleurs de domaine vrifient priodiquement que les
entres sur le serveur matre principal sont correctes pour chaque
enregistrement du localisateur.
Utilisez un DNS intgr Active Directory qui utilise une partition

d'application. Utilisez cette approche pour tous les serveurs DNS dans
le domaine. Excutez le service DNS sur un ou plusieurs contrleurs
de domaine pour chaque site dans lequel ces contrleurs de domaine
apparaissent.
32

!
Utilisez un DNS local si un DNS intgr Active Directory est dj utilis.

La connexion prend souvent plus de temps lorsque le serveur DNS n'est pas
situ localement, parce que l'ordinateur client doit contacter le serveur DNS
par le biais de la liaison WAN pour localiser un contrleur de domaine afin
d'authentifier l'utilisateur. Si un DNS intgr Active Directory est dj
utilis sur votre rseau et si vous disposez d'un contrleur de domaine local,
envisagez de faire de celui-ci un serveur DNS. Ceci permettra aux
ordinateurs clients de rsoudre localement toutes les requtes DNS, au
lieu de passer par le WAN.
Configurez des contrleurs de domaine avec des adresses IP pour au moins

deux serveurs DNS. Les deux serveurs DNS sont un serveur local prfr et
un serveur alternatif. Le serveur alternatif peut tre situ dans le site local ou
distance si vous ne possdez qu'un seul serveur DNS dans le site local.
Remarque Pour plus d'informations sur DNS, reportez-vous au Module 2,

Implmentation d'une structure de fort et de domaine Active Directory , du
cours 2194, Planification, implmentation et maintenance d'une infrastructure
33
Application pratique multimdia : Placement de contrleurs

de domaine

Pour commencer la prsentation multimdia Placement de contrleurs

de domaine, ouvrez la page Web du CD-ROM du stagiaire, cliquez sur
Objectif
Dans cette application pratique, vous allez planifier le placement de contrleurs

de domaine Active Directory dans une organisation.
Instructions
L'activit Placement de contrleurs de domaine inclut des exercices de type

QCM et glisser-dplacer destins tester vos connaissances. Cliquez sur
Multimdia, puis sur Placement de contrleurs de domaine. Lisez les
instructions, puis commencez l'application pratique.
34
Atelier A : Implmentation du placement des contrleurs

de domaine

Objectifs
Scnario
Dure approximative
de cet atelier :
30 minutes
!
dterminer le placement de contrleurs de domaine l'aide d'Active

Directory Sizer ;
activer la mise en cache de l'appartenance au groupe universel et spcifier

les sites que les contrleurs de domaine contacteront pour actualiser la
mmoire cache.

!
savoir comment fonctionne le processus d'ouverture de session ;
savoir comment les sites, les sous-rseaux, les contrleurs de domaine et les
serveurs de catalogue global affectent le processus de connexion.
Northwind Traders est une banque d'affaires comportant 200 agences rparties
entre l'Illinois, l'Indiana et l'Ohio. Chaque centre rgional possde son propre
personnel informatique qui rend des comptes au personnel informatique du
groupe, bas au sige de la banque Chicago. Northwind Traders a choisi une
stratgie de domaine unique avec pour nom de domaine corp.nwtraders.msft.
Il inclura trois sites : Chicago, Indianapolis et Columbus.
Exercice 1
Dtermination du placement de contrleurs de domaine l'aide
d'Active Directory Sizer
Dans cet exercice, vous allez entrer dans Active Directory Sizer des informations du scnario pour
dterminer combien de contrleurs de domaine, de serveurs de catalogue global et de serveurs de
tte de pont privilgis placer sur chaque site pour Northwind Traders.
Scnario
Northwind Traders a choisi :
!
Une stratgie base sur un seul domaine.
Le nom de domaine corp.nwtraders.msft.
Trois sites : Chicago, Indianapolis et Columbus.
Les oprations sur le site de Chicago sont stratgiques pour Northwind Traders. Les utilisateurs
situs dans ce site doivent pouvoir ouvrir une session et accder aux ressources du rseau 24 heures
sur 24, 7 jours sur 7.
La direction de Northwind Traders vous a fourni les informations suivantes concernant le nombre
d'utilisateurs dans chaque centre rgional.
Site
Nombre d'agences
Nombre total d'utilisateurs
Chicago
100
2675
Indianapolis
60
1350
Columbus
35
925
195
4950
Total
35
36
Vous avez consult le personnel informatique dans les centres rgionaux concernant leur rseau et
leurs stations de travail. Ils vous ont fourni les informations suivantes.
lment
Informations
Pourcentage d'utilisateurs actifs simultanment aux heures de pointe
90
Moyenne des attributs supplmentaires
25
Moyenne des groupes par utilisateur
30
Expiration des mots de passe en nombre de jours
45
Taux maximum moyen d'ouverture de sessions interactives par seconde
Taux maximum moyen d'ouverture de session par lot par seconde
Taux maximum moyen d'ouverture de sessions de traitement par lot par seconde
25
Ordinateurs Windows 2000
4000
Autres ordinateurs
1000
Autres objets publier
2030
Utilisation moyenne souhaite par processeur
60 %
Processeur prfr pour contrleur de domaine
Auto select
Nombre de processeurs dans les contrleurs de domaine
Auto select
Ajout d'objets par semaine
20
Suppression d'objets par semaine
15
Modification d'objets par semaine
500
Microsoft Exchange 2000
Oui
Messages Microsoft Exchange 2000
75
Destinataires par message Microsoft Exchange 2000
15
Serveurs Exchange
Groupes de routage Exchange
DNS Windows 2000
Oui
Connexions d'appel entrant
100
Expiration des baux DHCP en nombre de jours
12
Paramtre DNS NoRefreshInterval en jours
Autres services Active Directory
Aucun
Tches
1.
Ouvrir un nouveau projet

dans Active Directory Sizer,
puis spcifier les
informations requises.
37
a.
Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser

(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
b. Dans l'Assistant Active Directory Sizer, utilisez les informations
fournies dans le scnario pour complter celui-ci lorsque vous y serez

invit.
2.
3.
4.
Crer trois sites dans Active

Directory Sizer.
"
Rpartir les utilisateurs dans

les sites que vous venez de
crer.
a.
Visualiser le rapport du site

dans Active Directory Sizer.
"
Crez les trois site suivants :
Chicago
Indianapolis
Columbus
Utilisez Active Directory Sizer.
b. Dplacez tous les utilisateurs du site Default-First-Site.
Notez la rpartition recommande des contrleurs de domaine, des

serveurs de tte de pont et des catalogues globaux pour chaque site.
Combien de contrleurs de domaine Active Directory Sizer recommande-t-il pour le site de Chicago ?
Combien de contrleurs de domaine allez-vous recommander pour le site de Chicago ?
38
Exercice 2
Activation de la mise en cache de l'appartenance au groupe
universel
Dans cet exercice, vous allez activer la mise en cache de l'appartenance au groupe universel pour un
site, et spcifier quel site vous utiliserez pour actualiser la mmoire cache.
Scnario
L'une des agences de Northwind Traders a connu une telle croissance que vous avez cr un
nouveau site pour elle dans Active Directory, dans lequel vous avez plac un contrleur de domaine
qui n'est pas un serveur de catalogue global. Vous devez vous assurer que les utilisateurs peuvent
ouvrir une session et accder aux ressources sur les serveurs locaux, mme en cas de rupture de
liaison avec le WAN. Cependant, la liaison WAN avec le sige du groupe est fortement utilise
pendant la journe pour grer le trafic des sessions avec les macro-ordinateurs. Vous devez
minimiser la quantit de trafic de rplications Active Directory qui est envoye sur la liaison WAN.
Tches
"
a.
Activer la mise en cache de

l'appartenance au groupe
universel pour le site
LABNom_OrdinateurSite,
et la configurer pour que
l'actualisation se fasse
partir du site Premier-Sitepar-defaut.

b. Utilisez Excuter en tant que pour dmarrer la console Utilisateurs et
ordinateurs Active Directory Nwtradersx\Administrateur avec le mot

de passe P@ssw0rd.
Module 9 : Gestion des

matres d'oprations
Table des matires
Vue d'ensemble
Leon : Prsentation des rles de

matre d'oprations
Leon : Transfert et prise de rles

de matres d'oprations
11
Leon : Planification du placement

des matres d'opration
24
Atelier A : Gestion des matres

d'oprations
36
iii
Prsentation :
60 minutes
Atelier :
30 minutes
Objectifs
Documents de cours
Ce module permet aux stagiaires de comprendre l'objectif de chaque rle de

matre d'oprations, leur explique comment transfrer et prendre le rle de
matres d'oprations et comment prvoir le placement des matres d'oprations
dans le service d'annuaire Active Directory.
suivantes :
!
expliquer la finalit de chacun des cinq rles de matre d'oprations dans

Active Directory ;
transfrer et prendre les rles de matre d'oprations dans Active Directory ;
planifier le placement des matres d'oprations dans Active Directory.

!
Fichier Macromedia Flash 2194A_2279a_9_a_GC.swf

Prparation

!
lire tous les documents du module et les documents associs situs sur les
CD-ROM du stagiaire et de l'instructeur, anticiper les questions que les
stagiaires sont susceptibles de poser et prparer des rponses appropries
pour chacune de ces questions ;
raliser l'atelier ;
iv

ce module.
connaissances.
Procdures,
applications

Procdures
Ateliers
du module.
Leon : Prsentation des rles de matre d'oprations

Ce cours dcrit l'objectif des cinq rles de matre d'oprations pris en charge par
Active Directory.
Lors de la prsentation des cinq rles de matres d'oprations, dcrivez la
finalit de chacun d'eux ainsi que leur fonctionnement au niveau du domaine
et de la fort. Avant de prsenter la rubrique Dfinition de l'mulateur PDC,
dfinissez les termes contrleur principal de domaine (PDC, Primary
Domain Controller) et contrleur secondaire de domaine (BDC, Backup
Domain Controller). Indiquez aux stagiaires les annexes consulter pour plus
d'informations sur la gestion de la synchronisation de l'heure dans une fort.
Leon : Transfert et prise de rles de matres d'oprations

Cette leon dcrit les procdures de transfert et de prise de rles de matres
d'oprations.
Lors de la prsentation de la rubrique Transfert des rles de matres
d'oprations, assurez-vous que les stagiaires savent quel moment et
comment effectuer des transferts de rles de matres d'oprations.
Lors de la prsentation de la rubrique quel moment prendre les rles
de matres d'oprations, assurez-vous que les stagiaires comprennent les
implications de chaque rle de matre d'oprations.
Dmontrez les procdures de localisation d'un matre d'oprations, de transfert
d'un rle de matre d'oprations et de prise de rle de matre d'oprations.
la fin de cette leon, demandez aux stagiaires de transfrer le rle de matre

d'infrastructure dans leur domaine.
Leon : Planification du placement des matres d'opration

Cette leon prsente les instructions relatives au placement des matres
d'oprations et des cinq rles de matres d'oprations d'une part, et de la prise
de rles de matres d'oprations d'autre part.
Lors de la prsentation des rubriques de cette leon, servez-vous de vos
expriences personnelles ventuelles dans le placement des matres d'oprations
pour donner du relief ces rubriques.
Lors de la prsentation de la rubrique Instructions de placement du matre
d'mulateur PDC, indiquez aux stagiaires les pages d'annexes de leur CD-ROM
pour plus d'informations sur le placement du matre d'mulateur PDC et la
rduction de la charge de travail sur l'mulateur PDC.
la fin de cette leon, demandez aux stagiaires de terminer l'application

pratique multimdia, Placement des matres d'oprations.
vi
Atelier A : Gestion des matres d'oprations

Dans cet atelier, les stagiaires vont prendre et transfrer un rle de matre
d'oprations. Les stagiaires travailleront par quipe de deux. Dans le premier
exercice, ils muleront une dfaillance du serveur jouant le rle de matre
d'infrastructure et endosseront ce rle. Dans le second exercice, ils utiliseront
Ntdsutil.exe pour transfrer plusieurs rles d'un serveur l'autre.
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et
les modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Les ateliers de ce module exigent que les ordinateurs de chaque groupe de

stagiaires (groupes de deux) soient configurs comme contrleurs de domaine
dans leur propre fort. Pour prparer les ordinateurs des stagiaires afin
qu'ils remplissent cette condition, excutez les instructions des guides de
configuration automatise et manuelle de ce cours, puis effectuez les ateliers
du Module 7, Implmentation de sites pour grer la rplication Active
L'excution de l'atelier de ce module dplace l'mulateur PDC, le matre
d'infrastructure et les rles de matre des identificateurs relatifs (RID, Relative
IDentifer) vers le second ordinateur du domaine.
Remarque Si le matre d'infrastructure a t transfr vers le deuxime
ordinateur du domaine au cours de l'application pratique, il sera ramen vers
le premier ordinateur du domaine durant cet atelier.
Vue d'ensemble

Introduction
Un matre d'oprations est un contrleur de domaine qui excute un rle

spcifique au sein du service d'annuaire Active Directory. Connatre les rles
de matres d'oprations spcifiques de chaque contrleur de domaine d'un
rseau Active Directory peut vous aider rpliquer les donnes et utiliser
efficacement la bande passante du rseau. Ce module dcrit les rles de matres
d'oprations, le transfert et la prise de rles de matre d'oprations ainsi que la
planification du placement des matres d'oprations.
Objectifs

!
expliquer la finalit de chacun des cinq rles de matre d'oprations dans

Active Directory ;
transfrer et prendre les rles de matre d'oprations dans Active Directory ;
planifier le placement des matres d'oprations dans Active Directory.
Leon : Prsentation des rles de matre d'oprations

Introduction
Active Directory dfinit cinq rles de matres d'oprations : le contrleur de

schma, le matre d'attribution de noms de domaine, l'mulateur PDC (Primary
Domain Controller), le matre des identificateurs relatifs (RID, Relative
IDentifier) et le matre d'infrastructure. Cette leon prsente l'objectif de chaque
rle de matre d'oprations.
!
expliquez la fonction du contrleur de schma ;
expliquer la fonction d'un matre d'attribution de noms de domaine ;
expliquer la fonction d'un mulateur PDC ;
expliquer la fonction d'un matre RID ;
expliquez la fonction d'un matre d'infrastructure.
Dfinition d'un contrleur de schma

Introduction
Le schma Active Directory dfinit les types d'objets et les types

d'informations qui s'y rapportent pouvant tre stocks dans Active Directory.
Active Directory stocke ces dfinitions sous forme d'objets. Active Directory
gre les objets du schma l'aide des mmes oprations de gestion d'objet que
celles qu'il utilise pour grer les autres objets de l'annuaire.
Rles du contrleur
de schma
Le contrleur de schma excute les rles suivants :

!
il contrle toutes les mises jour d'origine apportes au schma ;
il contient la liste principale des classes d'objets et des attributs utiliss pour
la cration de tous les objets Active Directory ;
il rplique les mises jour apportes au schma Active Directory sur tous
les contrleurs de domaine de la fort en utilisant la rplication de la
partition de schma ;
il autorise uniquement les membres du groupe Administrateurs du schma

modifier le schma.
Chaque fort possde un seul contrleur de schma. Cela permet d'viter les
conflits qu'entraneraient des tentatives de mise jour simultanes du schma
par plusieurs contrleurs de domaine. Si le contrleur de schma n'est pas
disponible, vous ne pouvez pas modifier le schma ou installer des applications
qui le modifient.
Dfinition d'un matre d'attribution de noms de domaine

Introduction
Lorsque vous ajoutez ou supprimez un domaine dans une fort, cette

modification est enregistre dans Active Directory.
Rles du matre
d'attribution de
noms de domaine
Le matre d'attribution de noms de domaine contrle l'ajout ou la suppression

de domaines dans la fort. Il n'existe qu'un matre d'attribution de noms de
domaine dans chaque fort.
Lorsque vous ajoutez un domaine la fort, seul le contrleur de domaine
possdant le rle de matre d'attribution des noms de domaine peut ajouter le
nouveau domaine. Le matre d'attribution de noms de domaine empche que
plusieurs domaines portant le mme nom soient ajouts la fort. Lorsque vous
utilisez l'Assistant Installation de Active Directory pour crer un domaine enfant,
il contacte le matre d'attribution des noms de domaine pour demander l'ajout ou
la suppression. Si le matre d'attribution des noms de domaine est indisponible,
vous n'avez pas la possibilit d'ajouter ni de supprimer des domaines.
Dfinition de l'mulateur PDC

Introduction
L'mulateur PDC agit comme un contrleur de domaine principal Microsoft

Windows NT pour prendre en charge les contrleurs secondaires de domaine
excutant Windows NT dans un domaine en mode mixte. la cration d'un
domaine, Active Directory attribue le rle d'mulateur PDC au premier
contrleur de domaine du nouveau domaine.
Rles de
l'mulateur PDC
L'mulateur PDC excute les rles suivants :

!
il agit en tant que contrleur de domaine principal pour tous les

contrleurs secondaires de domaine existants. Si un domaine contient des
contrleurs secondaires de domaine ou des ordinateurs clients excutant
Windows NT 4.0 ou une version antrieure, l'mulateur PDC fonctionne en
tant que contrleur de domaine principal Windows NT ; l'mulateur PDC
rplique les modifications apportes l'annuaire sur tous les contrleurs
secondaires de domaine excutant Windows NT ;
il gre les modifications de mot de passe des ordinateurs excutant

Windows NT, Microsoft Windows 95 ou Windows 98. Active
Directory inscrit directement les modifications de mot de passe dans
l'mulateur PDC ;
il minimise la latence de rplication des modifications de mot de passe.

Le dlai ncessaire pour qu'un contrleur de domaine reoive une
modification apporte un autre contrleur de domaine est appel latence
de rplication. Lorsque le mot de passe d'un ordinateur client excutant
Windows 2000 ou une version ultrieure est modifi sur un contrleur de
domaine, ce dernier transmet immdiatement la modification l'mulateur
PDC. Si une authentification de connexion choue sur un autre contrleur
de domaine du fait d'un mauvais mot de passe, ce contrleur de domaine
transmet la demande d'authentification l'mulateur PDC avant de rejeter
la tentative de connexion ;

!
il synchronise l'heure de tous les contrleurs de domaine du domaine en

fonction de son heure. Le protocole d'authentification Kerberos version 5
exige que l'heure des contrleurs de domaine soient synchrones pour
autoriser l'authentification. Les ordinateurs clients d'un domaine
synchronisent galement leur heure sur celle du contrleur de domaine
authentifiant l'utilisateur ;
il interdit toute possibilit d'crasement des Objets de stratgie de groupe

(GPO, Group Policy Object). Par dfaut, la Stratgie de groupe rduit les
risques de conflits de rplication en s'excutant sur le contrleur de domaine
jouant le rle d'mulateur PDC pour ce domaine.
Remarque Pour plus d'informations sur la gestion de la synchronisation des

heures, consultez la rubrique Dfinition de l'mulateur PDC de la page
d'annexe du Module 9 sur le CD-ROM du stagiaire.
Dfinition d'un matre RID

Introduction
Le matre des identificateurs relatifs (ou matre RID) est un contrleur de

domaine qui alloue des blocs d'identificateurs relatifs chaque contrleur
de domaine du domaine. Chaque fois qu'un contrleur de domaine cre une
nouvelle entit de scurit, telle qu'un objet utilisateur, groupe ou ordinateur,
il attribut un identificateur de scurit (SID, Security IDentifier) cet objet.
Cet identificateur consiste en un identificateur de scurit de domaine, qui est
le mme pour toutes les entits de scurit cres dans le domaine, et en un
identificateur relatif qui est unique pour chaque entit de scurit cre dans le
domaine.
Prise en charge de
la cration et des
dplacements d'objets
par le matre RID
Le matre RID prend en charge la cration et les dplacements d'objets

comme suit :
!
Cration d'objets. Pour permettre une opration multimatre de crer

des objets sur un contrleur de domaine, le matre RID alloue un bloc
d'identificateurs relatifs un contrleur de domaine. Lorsqu'un contrleur
de domaine requiert un bloc d'identificateurs relatifs supplmentaires,
il contacte le matre RID qui lui alloue un nouveau bloc d'identificateurs
relatifs, puis les attribue de nouveaux objets.
Lorsque la rserve d'identificateurs relatifs d'un contrleur de domaine est
vide et que le matre RID est indisponible, la cration d'entit de scurit
sur ce contrleur de domaine est impossible. L'utilitaire de diagnostic du
contrleur de domaine (commande dcdiag) vous permet d'afficher
l'attribution de rserve d'identificateurs relatifs.
Remarque Vous pouvez installer l'utilitaire Dcdiag en installant les outils
de support situs dans le dossier \Support\Tools du CD-ROM du produit.

!
Dplacement d'objets. Lorsque vous dplacez un objet d'un domaine

l'autre, le dplacement est initi sur le matre RID qui contient l'objet.
De cette faon, il n'y a pas de duplication des objets.
Si vous dplaciez un objet sans qu'un seul matre conserve cette
information, vous pourriez dplacer l'objet vers plusieurs domaines
sans savoir qu'un dplacement prcdent a dj eu lieu.
Lors d'un dplacement d'un domaine un autre, le matre RID supprime l'objet
du domaine d'origine.
Dfinition d'un matre d'infrastructure

Introduction
Le matre d'infrastructure est un contrleur de domaine qui met jour les

rfrences des objets de son domaine qui pointent vers les objets d'un autre
domaine. La rfrence contient l'identificateur global unique (GUID, Globally
Unique IDentifier) de l'objet, son nom unique et ventuellement un
identificateur de scurit (SID). Active Directory met rgulirement jour le
nom unique et l'identificateur de scurit afin de reflter les modifications
apportes l'objet, par exemple lorsqu'un objet a t dplac au sein d'un
domaine ou entre des domaines ou qu'il a t supprim.
Identification de
l'appartenance
un groupe
Si l'identificateur de scurit ou le nom unique d'un compte d'utilisateur ou d'un

groupe est modifi dans un autre domaine, Active Directory doit mettre jour
l'appartenance au groupe de votre domaine faisant rfrence l'utilisateur ou au
groupe modifi. Le matre d'infrastructure du domaine dans lequel rside le
groupe (ou la rfrence) met jour l'appartenance au groupe en rpliquant la
modification sur l'ensemble du domaine.
Le matre d'infrastructure met jour l'identification de l'objet en fonction des
rgles suivantes :
!
Si l'objet est dplac, son nom unique change car il reprsente son
emplacement exact dans l'annuaire.
Si l'objet est dplac au sein du domaine, son identificateur de scurit ne

change pas.
Si l'objet est dplac vers un autre domaine, l'identificateur de scurit

change afin de reflter le nouvel identificateur de scurit du domaine.
L'identificateur global unique ne change pas quel que soit l'emplacement

car il est unique sur tous les domaines.
Remarque Dans une fort de domaines unique, le matre d'infrastructure est

inutile puisque aucune rfrence des objets externes ne doit tre mise jour.
10
Matre d'infrastructure
et catalogue global
Ne nommez pas matre d'infrastructure un contrleur de domaine qui hberge le

catalogue global. Si le matre d'infrastructure et le catalogue global sont sur le
mme ordinateur, le matre d'infrastructure ne fonctionne pas car il ne renferme
aucune rfrence aux objets qu'il ne contient pas.
Rgulirement, le matre d'infrastructure d'un domaine examine les rfrences
aux objets non conservs sur ce contrleur de domaine dans son rplica
des donnes de l'annuaire. Il demande un serveur de catalogue global
les informations en cours relatives au nom unique et l'identificateur de
scurit de chaque objet rfrenc. Si ces informations ont chang, le matre
d'infrastructure reproduit la modification dans son rplica local, puis rplique
les modifications sur les autres contrleurs de domaine du domaine.
11
Leon : Transfert et prise de rles de matres

d'oprations

Introduction
Cette leon dcrit le transfert et la prise de rles de matres d'oprations.

Elle explique comment dterminer le dtenteur d'un rle de matre d'oprations
et comment transfrer et prendre un rle de matre d'oprations.
!
expliquer l'objectif d'un transfert de rle de matre d'oprations ;
expliquer l'objectif d'une prise de rle de matre d'oprations ;
dterminer le dtenteur d'un rle de matre d'oprations ;
transfrer un rle de matre d'oprations ;
prendre un rle de matre d'oprations.
12
Transfert des rles de matres d'oprations

Introduction
Les rles de matres d'oprations sont mis en place dans une fort lors de
l'implmentation de la structure du domaine et de la fort. Un transfert de rle
de matre d'oprations ne doit intervenir qu'en cas de modification majeure de
l'infrastructure du domaine. De telles modifications comprennent le retrait d'un
contrleur de domaine dtenant un rle et l'ajout d'un nouveau contrleur de
domaine mieux mme d'excuter un rle spcifique. Le transfert d'un rle
de matre d'oprations implique son dplacement d'un contrleur de domaine
en activit vers un autre. Pour que ce transfert puisse avoir lieu, les deux
contrleurs de domaine doivent fonctionner, tre actifs et connects au rseau.
Implications du transfert
d'un rle
Aucune perte de donnes ne se produit lors du transfert d'un rle de matre

d'oprations. Active Directory rplique l'annuaire du matre d'oprations en
cours sur le nouveau contrleur de domaine, ce qui permet d'tre certain que
le matre d'oprations dispose des informations les plus rcentes. Ce transfert
utilise le mcanisme de rplication d'annuaire.
Autorisations
ncessaires
13
Pour transfrer un rle de matre d'oprations, vous devez disposer des

autorisations appropries. Le tableau suivant prsente la liste des groupes
dont vous devez faire partie pour effectuer ce transfert.
Matre d'oprations
Groupe autoris
Contrleur de schma
L'autorisation Changer le contrleur de schma est

accorde par dfaut au groupe Administrateurs du schma.
Matre d'attribution de
noms de domaine
L'autorisation Changer le matre de domaine est accorde

par dfaut au groupe Administrateurs de l'entreprise.
mulateur PDC
L'autorisation Modifier le PDC est accorde par dfaut au

groupe Admins du domaine.
Matre RID
L'autorisation Changer le matre Rid est accorde par

dfaut au groupe Admins du domaine.
L'autorisation Changer le matre d'infrastructure est

accorde par dfaut au groupe Admins du domaine.
Remarque Lorsqu'un contrleur de domaine est rtrograd au rang de serveur

membre, il abandonne les rles de matre d'oprations qu'il dtenait aux autres
contrleurs de domaine. Pour pouvoir dterminer les contrleurs de domaine
qui doivent obtenir les rles, transfrez ces derniers avant de procder la
rtrogradation.
14
quel moment prendre les rles de matres d'oprations

Introduction
Prendre un rle de matre d'oprations signifie imposer ce rle un autre

contrleur de domaine, qui ne peut pas contacter le contrleur de domaine
dfaillant lors de la prise du rle. Pour prendre un rle, vous devez tre membre
d'un groupe autoris.
Implications de la
prise d'un rle
La prise d'un rle de matre d'oprations est une mesure drastique. Cette
opration doit tre effectue uniquement si le matre des oprations en cours est
dfinitivement indisponible et si ce rle ne peut pas tre transfr. Le dtenteur
du rle prcdent tant indisponible au cours de la prise, vous ne pouvez pas le
reconfigurer ou l'informer qu'un autre contrleur de domaine dtient maintenant
le rle de matre d'oprations.
Pour rduire les risques, n'effectuez cette prise de rle que si le rle de matre
d'oprations dfaillant affecte les performances d'Active Directory de faon
inacceptable. Estimez l'effet produit en comparant l'impact d'une indisponibilit
du rle de matre d'oprations la charge de travail lie au fait de remettre le
dtenteur du rle prcdent en ligne aprs la prise du rle.
Important Avant de prendre un rle, dconnectez dfinitivement le contrleur
de domaine jouant le rle de matre d'oprations du rseau.
Si vous rparez le dtenteur du rle prcdent et le ramenez en ligne aprs la
prise du rle de matre d'oprations, le dtenteur du rle prcdent attend la
fin d'un cycle de rplication complet avant de reprendre le rle de matre
d'oprations. Il peut ainsi dterminer l'existence ventuelle d'un autre matre
d'oprations avant de revenir en ligne. S'il en dtecte un, il se reconfigure
lui-mme de manire ne plus excuter le rle en question.
15
Pendant que les rles de matres d'oprations sont indisponibles, Active

Directory continue de fonctionner. Si le dtenteur du rle est dconnect pour
une courte dure, la prise du rle peut se rvler inutile. Le tableau suivant
dcrit les risques et les consquences de la remise en service d'un matre
d'oprations aprs la prise d'un rle.
Recommandation pour
une remise en service
aprs une prise de rle
Rle de matre
d'oprations
Consquences de
l'indisponibilit du rle
Risques d'une
restauration incorrecte
Contrleur de schma
Le schma ne peut pas

tre modifi.
Des conflits peuvent tre

introduits dans le schma
si les deux contrleurs de
schma tentent de le
modifier en mme temps.
Ce conflit peut gnrer
un schma fragment.
Non recommande. Peut

avoir pour rsultat une
fort corrompue et vous
obliger reconstruire la
fort en entier.
Matre d'attribution de
noms de domaine
Vous ne pouvez ni ajouter

ni supprimer de domaines
dans la fort.
L'ajout et la suppression
de domaines, ainsi que
le nettoyage des
mtadonnes sont
impossibles. Des domaines
peuvent s'afficher de faon
incorrecte, mme s'ils sont
toujours dans la fort.

vous obliger reconstruire
les domaines.
mulateur PDC
Vous ne pouvez pas

modifier les mots de passe
des ordinateurs clients sur
lesquels le logiciel client
Active Directory n'est pas
install. La rplication n'a
pas lieu sur les contrleurs
secondaires de domaine
Windows NT 4.0.
La validation des mots

de passe peut russir ou
chouer de faon alatoire.
La rplication des
modifications de mot
de passe dans tout le
domaine est plus lente.
Autorise.
L'authentification des
utilisateurs peut tre
erratique pendant un
moment, mais l'opration
n'entrane aucun dommage
permanent.
Retarde l'affichage des

listes d'appartenance aux
groupes mises jour dans
l'interface utilisateur lors
du dplacement des
utilisateurs entre les
groupes.
Affiche des noms

d'utilisateurs
inappropris dans les
listes d'appartenance
aux groupes aprs le
dplacement d'utilisateurs
entre les groupes.
Autorise. Peut avoir

un impact sur les
performances du
dtenant le rle, mais
n'endommage pas
l'annuaire.
Matre RID
Par la suite, les contrleurs

de domaine ne peuvent
plus crer d'objets
d'annuaire car
chacun de leurs
pools d'identificateurs
relatifs est vide.
Des pools d'identificateurs

relatifs en double peuvent
tre affects aux
contrleurs de domaine,
ce qui peut entraner une
corruption des donnes
dans l'annuaire et des
risques de scurit et
d'accs non autoriss.

entraner une corruption
des donnes vous obligeant
reconstruire le domaine.
16
Comment dterminer le dtenteur d'un rle de matre d'oprations

Introduction
Procdure de
dtermination du
matre RID, de
l'mulateur PDC et du
matre d'infrastructure
Avant d'envisager le dplacement d'un rle de matre d'oprations, identifiez le

contrleur de domaine qui dtient un rle de matre d'oprations particulier.
Seuls les utilisateurs authentifis ont l'autorisation de localiser les rles de
matre d'oprations. Selon le rle de matre d'oprations, utilisez l'un des
composants logiciels enfichables Active Directory suivants :
!
Utilisateurs et ordinateurs Active Directory (rles de matre d'infrastructure,

mulateur PDC et matre RID).
Domaines et approbations Active Directory (rle de matre d'attribution de

noms de domaine).
Schma Active Directory (rle de contrleur de schma).
Pour dterminer quel contrleur de domaine excute le rle de matre RID,

d'mulateur PDC ou de matre d'infrastructure, procdez comme suit.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
domaine pour lequel vous souhaitez afficher les matres d'oprations,
puis cliquez sur Matres d'oprations.
3. Dans les onglets RID, CDP et Infrastructure, sous Matres d'oprations,
visualisez le nom de l'actuel matre d'oprations.
Procdure de
dtermination du
matre d'attribution
de noms de domaine
Pour dterminer quel contrleur de domaine excute le rle de matre

d'attribution de noms de domaine, procdez comme suit :
2. Cliquez avec le bouton droit sur Domaines et approbations Active
Directory, puis cliquez sur Matre d'oprations.
3. Dans la bote de dialogue Modifier le matre d'oprations, examinez le
nom de l'actuel matre d'attribution de noms de domaine.
Procdure de
dtermination du
contrleur de schma
17
Pour dterminer quel contrleur de domaine excute le rle de contrleur de

schma, procdez comme suit :
1. Enregistrez le composant logiciel enfichable Schma Active Directory en
excutant la commande suivante :
regsvr32.exe %systemroot%\system32\schmmgmt.dll
2. Cliquez sur OK.
3. Crez une console MMC (Microsoft Management Console) personnalise,
puis ajoutez-lui le composant logiciel enfichable Schma Active Directory.
4. Dans l'arborescence de la console, dveloppez puis cliquez avec le bouton
droit sur Schma Active Directory, puis cliquez sur Matre d'oprations.
5. Dans la bote de dialogue Modifier le matre d'oprations, examinez le
nom de l'actuel contrleur de schma.
Remarque Pour identifier le matre d'oprations d'un domaine diffrent,
connectez-vous celui-ci avant de cliquer sur Matres d'oprations l'tape 4.
Pour identifier le matre d'oprations d'une fort diffrente, connectez-vous au
domaine en tapant le nom de domaine de la fort avant de cliquer sur Matres
d'oprations.
18
Comment transfrer un rle de matre d'oprations

Introduction
Le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory

vous permet de transfrer les trois rles de matre d'oprations au niveau du
systme. Pour transfrer le rle de matre d'attribution de noms de domaine,
utilisez le composant logiciel enfichable Domaines et approbations Active
Directory. Pour transfrer le rle de contrleur de schma Active Directory,
utilisez l'outil Schma Active Directory.
Procdure de transfert
des rles de matre RID,
d'mulateur PDC et de
matre d'infrastructure
Pour transfrer le rle de matre RID, d'mulateur PDC ou de matre

d'infrastructure, procdez comme suit :
Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se
3. Dans la liste Ou slectionner un contrleur de domaine disponible,
cliquez sur le contrleur de domaine qui deviendra le nouveau matre
d'oprations, puis sur OK.
domaine contenant le serveur qui deviendra le nouveau matre d'oprations,
5. Dans l'onglet RID, CDP et Infrastructure, sous Matres d'oprations,
visualisez, cliquez sur Modifier, puis sur Oui.
Attention Veillez ne pas transfrer le rle de matre d'infrastructure sur un
contrleur de domaine hbergeant le catalogue global.
du rle de matre
d'attribution de
noms de domaine
19
Pour transfrer le rle de matre d'attribution de noms de domaine sur un

autre contrleur de domaine, procdez comme suit :
Domaines et approbations Active Directory, puis cliquez sur Se
3. Dans la liste Ou slectionner un contrleur de domaine disponible,
cliquez sur le contrleur de domaine qui deviendra le nouveau matre
d'attribution de noms de domaine, puis sur OK.
Domaines et approbations Active Directory, puis cliquez sur Matre
d'oprations.
5. Lorsque le nom du contrleur de domaine slectionn l'tape 3 apparat,
cliquez sur Modifier, puis sur Oui.
du rle de contrleur
de schma
Pour transfrer le rle de matre d'oprations du schma, procdez comme suit :

1. Ouvrez Schma Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma
Active Directory, puis cliquez sur Changer le contrleur de domaine.
3. Cliquez sur Spcifiez un nom, entrez le nom du contrleur de domaine
auquel vous souhaitez transfrer le rle de contrleur de schma, puis
cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma
Active Directory, puis cliquez sur Matre d'oprations.
5. Lorsque le nom du contrleur de domaine saisi l'tape 3 apparat, cliquez
sur Modifier, puis sur Oui.
Remarque Avant de pouvoir utiliser le composant logiciel enfichable Schma
Active Directory, vous devez utiliser Regsvr32.exe pour enregistrer ce
composant, Schmmgmt.dll, puis crer une nouvelle console MMC personnalise.
20
Comment prendre un rle de matre d'oprations

Introduction
L'outil de ligne de commande Ntdsutil vous permet de prendre le rle de matre

d'oprations. La procdure varie lgrement selon le rle en question. Les rles
d'mulateur PDC et de matre d'infrastructure pouvant tre pris sans perte de
donnes, cette opration peut tre effectue via la console Utilisateurs et
ordinateurs Active Directory. Pour prendre les autres rles, utilisez uniquement
l'utilitaire Ntdsutil afin d'viter une prise accidentelle de ces rles.
Tches de rcupration
Pour effectuer une rcupration suite la dfaillance d'un matre RID, d'un
contrleur de schma ou d'un matre d'attribution de noms de domaine,
1. Dconnectez l'actuel matre d'oprations du rseau avant de prendre le rle.
2. Pour effectuer l'opration, utilisez la commande ntdsutil.
3. Attendez que toutes les mises jour apportes par le contrleur de domaine
dfaillant aient t rpliques sur le contrleur de domaine qui va prendre
le rle.
4. Assurez-vous que le contrleur de domaine dont le rle va tre pris soit
supprim du domaine et jamais restaur.
5. Avant de reconnecter cet ordinateur au rseau, reformatez la partition
contenant les fichiers du systme d'exploitation du matre d'oprations
d'origine et rinstallez Microsoft Windows Server 2003.
Procdure de prise
d'un rle l'aide
de Utilisateurs et
ordinateurs Active
Directory
21
Pour prendre un rle de matre d'oprations pour l'mulateur PDC ou le matre

d'infrastructure, procdez comme suit :
domaine pour lequel vous souhaitez prendre un rle de matre d'oprations,
L'affichage des donnes peut prendre quelques secondes car le composant
Utilisateurs et ordinateurs Active Directory attend une rponse de l'actuel
dtenteur du rle de matre d'oprations.
3. Dans la bote de dialogue Matre d'oprations, sous l'onglet
Infrastructure, CDP ou RID, cliquez sur Modifier.
4. Dans la bote de dialogue Active Directory, cliquez sur Oui.
5. Lorsqu'une bote de dialogue Active Directory vous indique que cet
ordinateur n'est pas un partenaire de rplication, cliquez sur Oui.
6. Lorsqu'une bote de dialogue Active Directory vous indique qu'un transfert
est impossible, cliquez sur Oui.
7. Dans la bote de dialogue Active Directory, cliquez sur OK, puis sur
Fermer.
8. Fermez la fentre Utilisateurs et ordinateurs Active Directory.
Procdure de prise d'un

rle l'aide de Ntdsutil
Pour prendre un rle de matre d'oprations l'aide de la commande ntdsutil,

1. Dans la bote de dialogue Excuter, tapez cmd et cliquez sur OK.
2. l'invite, tapez ntdsutil et appuyez sur ENTRE.
3. l'invite de commande de ntdsutil, tapez roles et appuyez sur ENTRE.
4. l'invite fsmo maintenance, tapez connections et appuyez sur ENTRE.
5. l'invite server connections, tapez connect to server suivi du nom de
domaine complet du contrleur de domaine qui sera le nouveau dtenteur
du rle, puis appuyez sur ENTRE.
6. Tapez quit et appuyez sur ENTRE.
7. l'invite de commande fsmo maintenance, tapez l'une des commandes
suivantes pour prendre le matre d'oprations appropri, puis appuyez sur
ENTRE. Tapez ensuite quit et appuyez sur ENTRE.
Seize RID master
Seize PDC
Seize infrastructure master
Seize domain naming master
Seize schema master
8. l'invite ntdsutil, tapez quit puis appuyez sur ENTRE.
22
Application pratique : Transfert des rles de matres d'oprations

Objectifs
!
dterminer le contrleur de domaine qui excutera le rle de matre

d'infrastructure dans votre domaine ;
transfrer le rle de matre d'infrastructure un autre serveur du domaine.
Instructions
Travaillez avec un partenaire dont le contrleur de domaine appartient au mme

domaine Active Directory que le vtre. Cette application pratique ne pouvant tre
effectue que sur un serveur du domaine, travaillez ensemble sur un serveur.
Scnario
Northwind Traders labore un plan de rcupration d'urgence. Il est important

de comprendre la rpartition des rles de matres d'oprations. L'quipe
d'implmentation d'Active Directory a dcid que le rle de matre
d'infrastructure serait plac sur un autre serveur que celui qui le dtient
actuellement.
23
! Transfrer le rle de matre d'infrastructure

le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis
suivant, tapez le nom d'utilisateur Nwtradersx\Administrateur avec le mot
de passe P@ssw0rd, puis cliquez sur OK.
nwtradersx.msft, puis cliquez sur Matres d'oprations.
5. Sous l'onglet Infrastructure, dans le champ Matre d'oprations, notez
le nom du matre d'oprations en cours, puis cliquez sur Fermer.
____________________________________________________________
____________________________________________________________
nwtradersx.msft, puis cliquez sur Se connecter au contrleur de
domaine.
7. Dans la liste Ou slectionner un contrleur de domaine disponible de la
bote de dialogue Se connecter au contrleur de domaine, slectionnez le
serveur qui n'excute pas le rle de matre d'infrastructure pour l'instant et
cliquez sur OK.
nwtradersx.msft, puis cliquez sur Matres d'oprations.
9. Sous l'onglet Infrastructure, cliquez sur Modifier.
10. Dans la bote de dialogue Active Directory, cliquez sur Oui, puis sur OK.
11. Dans la bote de dialogue Matres d'oprations, remarquez que le matre
d'oprations a t transfr sur le contrleur de domaine slectionn, puis
cliquez sur Fermer.
12. Fermez la fentre Utilisateurs et ordinateurs Active Directory.
24
Leon : Planification du placement des matres

d'opration

Introduction
Cette leon dcrit les rgles de base du placement et de la prise de rles de

matres d'oprations.
!
expliquer les instructions de placement des matres d'oprations ;
expliquer les instructions de placement du contrleur de schma ;
expliquer les instructions de placement du matre d'attribution de noms

de domaine ;
expliquer les instructions de placement de l'mulateur PDC ;
expliquer les instructions de placement du matre RID ;
expliquer les instructions de placement du matre d'infrastructure ;
expliquer les instructions de la prise de rles de matre d'oprations.
25
Instructions de placement des matres d'oprations

Introduction
Windows Server 2003 place automatiquement les rles de matres d'oprations

sur les contrleurs de domaine. Ce placement fonctionne bien dans le cas d'une
fort dploye sur quelques contrleurs de domaine dans un site. Dans le cas
d'une fort prsentant de nombreux contrleurs de domaine ou plusieurs sites,
toutefois, vous devez prvoir le placement des rles de matre d'oprations afin
d'optimiser les performances et de minimiser les risques en cas de perte du
Instructions
Pour placer les matres d'oprations, suivez ces instructions :

!
Dans une fort de domaine unique, laissez tous les rles de matres
d'oprations sur le premier contrleur de domaine de la fort. Dsignez
chaque contrleur de domaine en tant que serveur de catalogue global car
les donnes de ce dernier ne contiennent que les donnes du domaine.
Dans une fort de plusieurs domaines, suivez ces instructions :

Dans le domaine racine de la fort :
Si tous les contrleurs de domaine sont galement des serveurs de
catalogue global, confiez tous les rles au premier contrleur de
domaine de la fort.
Si tous les contrleurs de domaine ne sont pas galement des serveurs
de catalogue global, dplacez tous les matres d'oprations sur un
contrleur de domaine qui n'est pas un serveur de catalogue global.
Dans chaque domaine enfant, laissez les rles d'mulateur PDC, de
matre RID et de matre d'infrastructure sur le premier serveur du
domaine et assurez-vous que ce serveur ne soit jamais dsign comme
serveur de catalogue global.
26

!
Dans chaque serveur dtenant un ou plusieurs rles de matre d'oprations,

dsignez un autre contrleur de domaine dans le mme domaine comme
matre d'oprations en attente. Le matre d'oprations en attente :
ne doit pas tre un serveur de catalogue global, sauf dans un
environnement de domaine unique o tous les contrleurs de domaine
le sont galement ;
doit disposer d'une connexion de rplication cre manuellement au
contrleur de domaine pour lequel il est le matre d'oprations en attente
et doit se trouver dans le mme site.
27
Instructions de placement du contrleur de schma

Introduction
Le contrleur de schma est un rle de matre d'oprations au niveau de la

fort. Il contrle toutes les mises jour d'origine apportes au schma. Si le
contrleur de schma est indisponible, le schma ne peut pas tre modifi. Par
dfaut, le premier contrleur de domaine d'une nouvelle fort excute le rle de
contrleur de schma.
Instructions
Pour dterminer le placement du contrleur de schma, suivez ces instructions :

!
Nommez un contrleur de domaine disponibilit leve comme contrleur

de schma. Le schma dfinissant tous les objets que Active Directory peut
stocker, il est essentiel pour ce dernier d'enregistrer toutes les modifications
apportes au schma.
Un contrleur de domaine hautement disponible utilise du matriel
informatique qui lui permet de demeurer oprationnel mme en cas de
dfaillance matrielle. Par exemple, le fait de disposer de disques RAID
(Redundant Array of Independent Disks) peut permettre au contrleur de
domaine de continuer fonctionner lorsqu'un disque est dfaillant.
Il n'est pas ncessaire que le contrleur de schma soit un contrleur de

domaine haute capacit. Cela n'est pas ncessaire car les modifications du
schma sont peu frquentes, la charge moyenne du serveur moyenne est
minime et le trafic moyen de rplication n'est pas un problme global.
Un contrleur de domaine haute capacit est un contrleur disposant
d'une puissance de traitement comparativement suprieure celle des
autres contrleurs de domaine afin de pouvoir supporter la charge de
travail supplmentaire lie au rle de matre d'oprations. Il est dot d'un
processeur plus rapide et dispose ventuellement de plus de mmoire
et de bande passante.
28
Instructions de placement du matre d'attribution de noms de

domaine

Introduction
Le matre d'attribution de noms de domaine est un rle de matre d'oprations

au niveau de la fort. Il contrle l'ajout ou la suppression des domaines dans la
fort. Par dfaut, le premier contrleur de domaine d'une nouvelle fort excute
le rle de matre d'attribution de noms de domaine.
Instructions
Pour dterminer le placement du matre d'attribution de noms de domaine,

suivez ces instructions :
!
Utilisez un contrleur de domaine disponibilit leve comme matre

d'attribution de noms de domaine. Cette haute disponibilit est ncessaire
lors de l'ajout ou de la suppression d'un domaine ou de la fort.
Il n'est pas ncessaire que le matre d'attribution de noms de domaine soit

un contrleur de domaine haute capacit. L'ajout et la suppression de
domaines sont des tches peu frquentes et la charge moyenne du serveur
est minime.
Remarque Si la fort est configure pour un niveau fonctionnel Windows 2000

mode natif, vous devez placer le matre d'attribution de noms de domaine sur un
serveur hbergeant le catalogue global. Si la fort est configure pour un niveau
fonctionnel Windows Server 2003, il n'est pas ncessaire de placer le matre
d'attribution de noms de domaine sur un serveur hbergeant le catalogue global.
29
Instructions de placement du matre d'mulateur PDC

Introduction
L'mulateur PDC est un rle de matre d'oprations au niveau du domaine.

Il agit en tant que contrleur de domaine principal sous Windows NT
pour prendre en charge les contrleurs secondaires de domaine excutant
Windows NT dans un domaine paramtr pour une fonctionnalit de domaine
Windows version prliminaire ou Windows 2000 mixte. Le premier contrleur
de domaine cr dans un nouveau domaine est dsign comme mulateur PDC.
Instructions
Pour dterminer le placement de l'mulateur PDC, suivez ces instructions :

!
Utilisez un contrleur de domaine hautement disponible comme mulateur

PDC. Tous les contrleurs de domaine accdent frquemment l'mulateur
PDC pour les modifications de mot de passe, le transfert de mots de passe
incorrects lors des ouvertures de session, la synchronisation de l'heure et la
prise en charge des contrleurs secondaires de domaine et des clients
excutant Windows NT et les versions antrieures.
Utilisez un contrleur de domaine haute capacit comme mulateur PDC.

Du fait de la charge de travail supporte par ce contrleur de domaine,
effectuez l'une des oprations suivantes :
Augmentez la puissance de traitement du contrleur de domaine.
Ne faites pas du contrleur de domaine un serveur de catalogue global.
Rduisez la priorit et le poids de l'enregistrement de service (SRV) afin
de favoriser l'authentification des autres contrleurs de domaine du site.
30

!
Il n'est pas ncessaire que le contrleur de domaine en attente soit un

partenaire de rplication direct. La prise du rle d'mulateur PDC
n'entranant aucune perte de donnes, il est inutile de rduire la latence de
rplication.
Placez ce contrleur de domaine de faon centralise pour qu'il puisse

s'adapter la majorit des utilisateurs du domaine. Cette opration rduira
la charge de trafic rseau.
Remarque Pour plus d'informations sur le positionnement du matre

d'mulateur PDC et sur la rduction de la charge de travail de l'mulateur PDC,
consultez la rubrique Instructions de placement du matre d'mulateur PDC
31
Instructions de placement du matre RID

Introduction
Le matre RID alloue des blocs d'identificateurs relatifs chaque contrleur

de domaine du domaine. Chaque fois qu'un contrleur de domaine cre une
nouvelle entit de scurit, telle qu'un objet utilisateur, groupe ou ordinateur,
il attribue un identificateur de scurit (SID) unique cet objet. Il n'existe
qu'un matre RID dans chaque domaine.
Instructions
Pour dterminer le placement du matre RID, suivez ces instructions :

!
Utilisez un contrleur de domaine hautement disponible comme matre RID.

Cette haute disponibilit est essentielle la cration continue des entits de
scurit et permet d'viter la ncessit d'une prise de rle de matre
d'oprations.
Il n'est pas ncessaire que le matre RID soit un contrleur de domaine

haute capacit. En gnral, les entits de scurit sont cres de faon
continue et n'entranent pas de pic d'utilisation du processeur. De mme, les
identificateurs relatifs tant distribus par blocs de 500 chaque contrleur
de domaine, la charge moyenne du serveur et le trafic de rplication sont
minimes.
Placez le matre RID dans un site dans lequel un grand nombre d'objets
principaux de scurit sont crs, tels que des objets utilisateur et groupe.
Cette localisation est courante lorsqu'un groupe d'administrateurs cre tous
les comptes d'utilisateurs de l'organisation puisque la plupart de ces comptes
se trouvant aux mmes endroits que les utilisateurs, les consquences
ventuelles d'une dfaillance de la liaison rseau restent minimes.
Si la plupart des comptes d'utilisateurs ne sont pas crs dans un site,

placez le matre RID au centre de votre rseau. Cette opration rduira la
charge du trafic rseau.
Configurez le matre RID en tant que partenaire de rplication direct du

matre RID secondaire ou en attente. Cette configuration rduit les risques
de pertes de donnes lors de la prise du rle car elle diminue la latence de
rplication.
32
Instructions de placement du matre d'infrastructure

Introduction
Le matre d'infrastructure est charg d'effectuer rapidement les mises jour des
rfrences entre les domaines, par exemple les modifications d'appartenance
un groupe contenant des comptes d'utilisateurs d'autres domaines. Il n'existe
qu'un matre d'infrastructure dans un domaine.
Instructions
Pour dterminer le placement du matre d'infrastructure, suivez ces instructions :

!
Il n'est pas ncessaire que le matre d'infrastructure soit un contrleur de

domaine hautement disponible. Il n'existe aucune perte potentielle des
donnes contrles par ce matre d'oprations. En outre, l'impact d'une
dconnexion de courte dure du matre d'infrastructure est ngligeable
car elle n'affecte pas les utilisateurs.
Il n'est pas ncessaire que le matre d'infrastructure soit un contrleur

de domaine haute capacit. Le matre d'infrastructure n'utilise pas les
ressources du serveur intensivement.
vitez de confier le rle de matre d'infrastructure un contrleur de

domaine qui hberge le catalogue global. Si un contrleur de domaine
jouant le rle de matre d'infrastructure est galement un serveur de
catalogue global, les rfrences des objets inter-domaines de ce domaine
ne sont pas mises jour.
Placez le matre d'infrastructure dans le mme site qu'un serveur de

catalogue global. Le matre d'infrastructure doit communiquer avec un
serveur de catalogue global pour mettre jour ses rfrences multidomaines.
33
Instructions relatives la prise de rles de matres d'oprations

Introduction
Ne prenez les rles de matre d'oprations que lorsque vous ne pouvez pas
restaurer le contrleur de domaine propritaire du rle par exemple,
lorsqu'un contrleur de domaine est physiquement dtruit et ne peut tre
restaur l'aide d'un support de sauvegarde. Avant de prendre un rle de matre
d'oprations, dconnectez physiquement le contrleur de domaine du rseau.
Instructions
Pour rsoudre les problmes de dfaillance des matres d'oprations, procdez

comme suit :
!
Calculez la dure estime de la panne. Si la panne doit tre brve, attendez

que le propritaire du rle redevienne disponible avant d'excuter une
fonction associe au rle. Si la panne est plus longue, la prise du rle de
matre d'oprations peut se rvler ncessaire. Cette dcision dpend du rle
et de la dure prvue de la panne.
Pour prendre le rle d'un matre d'mulateur PDC, procdez comme suit :
!
Rparez rapidement la dfaillance d'un mulateur PDC. Un utilisateur

excutant Windows NT Workstation, Windows NT 4.0, Windows 95 ou
Windows 98 sans client Active Directory ne peut pas changer son mot
de passe sans que son ordinateur ne communique avec l'mulateur PDC.
Si son mot de passe a expir, cet utilisateur ne peut plus se connecter. Si
l'mulateur PDC doit rester hors connexion pendant une dure relativement
longue, prenez le rle d'mulateur PDC d'un contrleur de domaine matre
d'oprations.
Pour prendre le rle d'un matre d'infrastructure, procdez comme suit :

!
Plutt que de rsoudre une perte temporaire du matre d'infrastructure,

attendez. La perte temporaire demeure transparente pour les utilisateurs et
les administrateurs, sauf si vous avez rcemment dplac ou renomm un
grand nombre de comptes. Si vous prvoyez une panne relativement longue
et que vous devez rsoudre le problme, prenez le rle de matre
d'infrastructure.
34
Pour prendre le rle de contrleur de schma, de matre RID et de matre

d'attribution de noms de domaine, procdez comme suit :
!
Plutt que de rsoudre une perte temporaire du contrleur de schma, du

matre d'attribution de noms de domaine ou du matre RID, attendez. Ces
rles demeurent transparents pour les utilisateurs et ne gnent gnralement
pas votre travail d'administrateur.
Dconnectez physiquement le contrleur de domaine du rseau afin de vous

assurer que cette panne est permanente. Un contrleur de domaine dont le
rle de contrleur de schma, de matre d'attribution de noms de domaine ou
de matre RID a t pris ne doit jamais revenir en ligne.
35
Application pratique multimdia : Placement des matres

d'oprations

Pour commencer la prsentation Placement des matres d'oprations, ouvrez la

page Web du CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le titre
de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.
Objectif
Dans cet exercice, vous allez planifier le placement d'un matre d'oprations.
Instructions
Les questionnaires choix multiples et les exercices de glisser-dplacer de cette

activit vont vous permettre de tester vos connaissances. Lisez les instructions,
puis commencez l'application pratique.
36
Atelier A : Gestion des matres d'oprations

Objectifs
la fin de cet atelier, vous serez mme de transfrer et prendre des rles de
matres d'oprations dans Active Directory.
Avant de commencer cet atelier, vous devez connatre la fonction de chacun

des cinq rles de matres d'oprations dans Active Directory.
Scnario
Vous tes administrateur et responsable de la gestion des rles de matres

d'oprations uniques chez Northwind Traders. Vous allez prendre un rle de
matre d'oprations, puis transfrer des rles de matres d'oprations selon le
plan labor pour eux par l'quipe de conception Active Directory.
Dure approximative
de cet atelier :
30 minutes
37
Exercice 1
Prise de rles de matres d'oprations
Dans cet exercice, vous allez utiliser Ntdsutil.exe pour prendre le rle de matres d'infrastructure du
serveur de votre partenaire. Le contrleur de domaine jouant le rle de matre d'infrastructure a subi
une surtension du fait du dysfonctionnement de son onduleur (UPS, Uninterruptible Power Supply).
Le problme est d une boisson renverse sur le botier. L'ordinateur ne fonctionne plus.
Tches
1.
Important : Excutez cette tche sur les deux serveurs du
domaine.
Utiliser le composant
identifier le serveur
excutant le rle de matre
d'infrastructure dans votre
domaine.
Quel serveur excute le rle de matre d'infrastructure ?
2.
Pour simuler une dfaillance

du serveur, teindre celui
dtenant le rle de matre
d'infrastructure dans votre
domaine.
3.
Utiliser Ntdsutil.exe pour

prendre le rle de matre
d'infrastructure.
Important : Excutez cette tche uniquement sur le serveur

dtenant le rle de matre d'infrastructure.
a.

b. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de

c.
Dans la bote de dialogue Excuter en tant que, cliquez sur

L'utilisateur suivant, tapez Nwtradersx\Administrateur comme nom
Important : N'excutez cette tche que sur le serveur qui ne
dtient pas le rle de matre d'infrastructure.
4.
Redmarrez le serveur que

vous avez teint l'tape 2.
38
Exercice 2
Transfert des rles de matres d'oprations
Dans cet exercice, vous allez transfrer les rles de matre d'oprations un autre serveur. L'quipe
informatique (IT) de Northwind Traders a dcid de placer les rles d'mulateur PDC et de matre
RID sur un serveur ne dtenant pas les rles de contrleur de schma et de matre d'attribution de
noms de domaine. Vous devez transfrer les rles d'mulateur PDC et de matre RID sur l'autre
serveur.
Tches
1.
Transfrer le rle de
l'mulateur PDC un autre
serveur dans votre domaine.
a.

b. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de

c.

L'utilisateur suivant, tapez Nwtradersx\Administrateur comme nom
Important : Excutez cette tche uniquement sur le serveur
actuellement propritaire des rles d'mulateur PDC et de
matre RID.
2.
Transfrer le rle de matre

RID sur votre serveur.
a.

b. Cliquer sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis cliquez sur Excuter en tant que.

c.

L'utilisateur suivant, tapez Nwtradersx\Administrateur comme
nom d'utilisateur, puis le mot de passe P@ssw0rd et cliquez sur OK.
Important : N'excutez cette tche que sur le serveur qui ne
dtient pas le rle de matre RID.
3.
Utiliser la console
vrifier que les rles ont
bien t transfrs.
Important : Excutez cette tche sur les deux serveurs du

domaine.
Module 10 : Maintenance
d'Active Directory
Table des matires
Vue d'ensemble
Leon : Prsentation de la maintenance

d'Active Directory
Leon : Dplacement et dfragmentation

de la base de donnes Active Directory
Leon : Sauvegarde d'Active Directory
13
Leon : Restauration d'Active Directory
19
Leon : Planification du contrle

d'Active Directory
30
Atelier A : Maintenance d'Active Directory
38
iii
Prsentation :
60 minutes
Atelier :
45 minutes
Ce module fournit aux stagiaires des informations sur la maintenance du service

d'annuaire Active Directory. Il se concentre sur la dfragmentation, le
dplacement, la sauvegarde, la restauration et le contrle d'une base de donnes
Active Directory.
suivantes :
Documents de cours
dcrire les relations entre la modification des donnes et la maintenance

d'une base de donnes Active Directory ;
dplacer et dfragmenter une base de donnes Active Directory ;
sauvegarder Active Directory ;
restaurer Active Directory en utilisant les modes de restauration principale,

normale ou force;
excuter les instructions de contrle d'Active Directory.

!
Fichier Macromedia Flash 2194A_2279a_11_a_datamod.swf
Fichier Macromedia Flash 2194A_2279_11_i_restore.swf

Prparation

!

raliser l'atelier ;
iv

ce module.
connaissances.
Tout au long du module, insistez sur le fait que les stagiaires doivent avoir
sauvegard correctement les donnes d'tat systme avant d'effectuer toute
procdure susceptible d'affecter la base de donnes. La compression de disque
NTFS n'est pas prise en charge pour la base de donnes et les fichiers journaux.
En outre, et par mesure de scurit, envisagez d'utiliser la commande Excuter
en tant que pour effectuer toutes les procdures de ce module.
Remarque Reportez-vous galement la page Active Directory
Operations Guide disponible l'adresse
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
prodtechnol/ad/windows2000/downloads/adopsgd.asp (en anglais), notamment
la section consacre aux mthodes conseilles en matire de maintenance et
de sauvegarde de base de donnes.
Procdures,
et ateliers

Procdures
Ateliers
du module.
Leon : Prsentation de la maintenance d'Active Directory

Dans cette leon, une animation multimdia prsente les concepts dcrits
dans ce module. Cette animation explique comment modifier des donnes
et dans quelle mesure cette modification va affecter les performances et la
fragmentation de la base de donnes ainsi que l'intgrit des donnes. Utilisez
cette animation pour dcrire les relations entre la modification de donnes et la
maintenance d'une base de donnes Active Directory.
Avant d'animer chaque leon, expliquez ce qui suit :
!
En gnral, la base de donnes Active Directory ne requiert qu'une

sauvegarde rgulire, cependant, veillez grer au mieux l'espace disque.
Vous devez contrler l'espace disque libre sur les partitions de stockage de
la base de donnes Active Directory et fournir des avertissements aux seuils
d'espace disque logique suivants :
Partition Ntds.dit : plus de 20 % de la taille du fichier Ntds.dit ou
500 mgaoctets (Mo).
Partition des fichiers journaux : plus de 20 % de la taille des fichiers
journaux combins ou 500 Mo.
Fichier Ntds.dit et fichiers journaux sur le mme volume : plus d'un
gigaoctet (Go) ou 20 % de la taille totale du fichier Ntds.dit et des
fichiers journaux.
vi
Expliquez galement aux stagiaires que s'ils dfinissent des seuils d'alerte, ils
doivent diviser par deux les seuils d'avertissement ci-dessus. Aprs suppression
d'objets dans la base de donnes, Active Directory conserve les objets de
dsactivation ( tombstone ) pendant 60 jours (par dfaut). Durant ce laps
de temps, il n'est pas possible de supprimer ces enregistrements. Lors d'une
suppression grande chelle, comme la suppression du catalogue global d'un
contrleur de domaine, Active Directory n'adapte pas automatiquement l'espace
au niveau du systme de fichiers. Ce qui n'a donc aucun impact sur le
fonctionnement de la base de donnes, mais la rsulte en un fichier plus
volumineux.
Leon : Dplacement et dfragmentation de la base de donnes

Active Directory
Cette leon prsente les comptences et les connaissances requises pour
dplacer et dfragmenter une base de donnes Active Directory. La section
Vue d'ensemble explique pour quelle raison et quel moment une base de
donnes Active Directory doit tre dplace vers un nouvel emplacement, et
pourquoi dfragmenter une base de donnes Active Directory.
Cette leon prsente les procdures de dplacement et de dfragmentation hors
connexion. L'animation multimdia de la leon prcdente, Prsentation de la
maintenance d'Active Directory, dcrit les diffrences entre la dfragmentation
en ligne, qui se produit automatiquement lors du processus de nettoyage de
la mmoire, et la dfragmentation hors connexion, qui doit tre effectue
manuellement.
Assurez-vous que les stagiaires comprennent la diffrence entre l'utilisation du
compte Administrateur en Mode restauration Active Directory et en mode de
fonctionnement normal. En Mode restauration Active Directory, les comptes de
domaine ne sont pas accessibles car la base de donnes Active Directory n'est
pas charge. Le mode Mode restauration Active Directory utilise une base de
donnes de compte d'utilisateur local cre lorsque l'Assistant Installation
de Active Directory vous a invit fournir un mot de passe pour le Mode
restauration Active Directory. Insistez sur la ncessit de dfinir un mot de
passe diffrent du mot de passe administrateur de domaine.

se rfrer au scnario d'entreprise pour dplacer la base de donnes Active
Directory, d'effectuer un contrle d'intgrit de la base de donnes et une
analyse smantique de la base de donnes dfragmente, puis de reconfigurer
Active Directory.
vii

sauvegarder une base de donnes Active Directory. Elle dcrit galement les
composants des donnes d'tat systme et explique comment sauvegarder
celles-ci l'aide de l'Assistant Utilitaire de sauvegarde.
Indiquez aux stagiaires les annexes consulter pour obtenir de plus amples
informations sur la sauvegarde d'Active Directory l'aide de l'outil de ligne
de commande Ntbackup.

rfrer au scnario d'entreprise pour sauvegarder les donnes d'tat systme de
l'ordinateur.

effectuer une restauration principale, normale (non force) et force. Une
animation multimdia explique les diffrences entre ces trois modes de
restauration. La leon prsente galement les procdures de restauration
principale, normale et force.
Invitez les stagiaires consulter les annexes pour obtenir une description des
options avances qu'ils peuvent slectionner dans le cadre d'une restauration
principale.
Insistez sur le fait que lorsque vous effectuez une restauration des donnes
d'tat systme, l'Assistant Utilitaire de sauvegarde crase les donnes existantes.
Pour plus d'informations sur les noms LDAP (Lightweight Directory Access
Protocol) utiliss pour effectuer une restauration force, reportez-vous au
Module 1, Introduction l'infrastructure Active Directory , du cours 2194,
Planification, implmentation et maintenance d'une infrastructure Active
Directory Microsoft Windows Server 2003.

se rfrer au scnario d'entreprise pour restaurer la dernire sauvegarde avant
de supprimer les units d'organisation de test et vrifier que l'opration de
restauration s'est bien droule.
Leon : Planification du contrle d'Active Directory

contrler une base de donnes Active Directory. La leon explique pourquoi
Active Directory requiert un contrle, dcrit les vnements et les compteurs
de performance contrler, et fournit les instructions de contrle de l'intgrit
d'Active Directory.
vnements et les compteurs de performance contrler.
viii

Dans cet atelier, les stagiaires vont sauvegarder et restaurer Active Directory, puis
vrifier les rsultats d'une restauration Active Directory. Lorsque les stagiaires
auront termin l'atelier, demandez-leur s'ils ont des questions formuler.
Pour l'atelier de ce module, les ordinateurs des stagiaires doivent figurer dans
un domaine racine de la fort partag. Avant de configurer les ordinateurs des
stagiaires, assurez-vous qu'ils ont termin l'atelier du Module 7.
ci-dessous.
!
Elle cre une unit d'organisation.
Elle cre deux comptes d'utilisateurs dans l'unit d'organisation.
Elle sauvegarde l'unit d'organisation.
Elle supprime l'unit d'organisation.
Elle effectue une restauration force de l'unit d'organisation.
Vue d'ensemble

Introduction
Les informations du service d'annuaire Active Directory dans Microsoft

Windows Server 2003 sont stockes dans une base de donnes transactionnelle,
laquelle facilite le maintien de l'intgrit des donnes en cas de dfaillance. Le
terme dfaillance fait rfrence toute panne matrielle, panne logicielle ou
perte complte du systme (par exemple, dans le cas d'un incendie).
La base de donnes Active Directory utilise des fichiers journaux de transactions
pour rcuprer les donnes corrompues dans une copie locale de la base de
donnes. Aprs rcupration des donnes, Active Directory utilise la rplication
pour obtenir des donnes d'autres contrleurs du domaine. Les interactions entre
les composants Active Directory servent de base Active Directory pour
rassembler et sauvegarder des informations sur les donnes corrompues.
Lorsque les contrleurs de domaine ne fonctionnent pas en raison de problmes
matriels ou logiciels, les utilisateurs risquent de ne pas pouvoir accder aux
ressources ou de ne pas pouvoir se connecter au rseau.
Objectifs

!
dcrire les relations entre la modification des donnes et la maintenance

d'une base de donnes Active Directory ;
dplacer et dfragmenter une base de donnes Active Directory ;
sauvegarder Active Directory ;
restaurer Active Directory en utilisant les modes de restauration principale,

normale ou force ;
excuter les instructions de contrle d'Active Directory.
Leon : Prsentation de la maintenance

d'Active Directory

Introduction
La maintenance d'une base de donnes Active Directory est une tche

essentielle que vous devez programmer intervalle rgulier pour garantir,
en cas d'incident, la rcupration des donnes corrompues ou perdues, et la
rparation de la base de donnes Active Directory.
Active Directory a son propre moteur de base de donnes, ESE (Extensible
Storage Engine, Moteur de stockage extensible), qui gre le stockage de tous
les objets Active Directory dans une base de donnes Active Directory. En
comprenant comment les modifications apportes aux attributs dans Active
Directory sont insres dans la base de donnes, vous comprendrez dans quelle
mesure la modification des donnes affecte les performances de la base de
donnes, sa fragmentation et l'intgrit des donnes.
!
expliquer comment les donnes sont modifies dans Active Directory et

dans quelle mesure ces modifications affectent les performances de la
base de donnes, sa fragmentation et l'intgrit des donnes ;
dcrire la base de donnes Active Directory et les fichiers journaux.
Prsentation multimdia : Processus de modification des donnes

Active Directory

Pour commencer la prsentation Processus de modification des donnes

Active Directory, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez
sur Multimdia, puis cliquez sur le titre de la prsentation. N'ouvrez pas cette
prsentation avant d'y tre invit par l'instructeur.
Objectifs
la fin de cette prsentation, vous serez mme d'effectuer les tches suivantes :
Points cls
dcrire le processus de modification des donnes ;
dcrire dans quelle mesure le processus de modification des donnes affecte

les performances de la base de donnes, sa fragmentation et l'intgrit de
ses donnes.
Les points cls du processus de modification des donnes Active Directory sont
les suivants :
!
Une transaction est un ensemble de modifications et de mtadonnes

associes.
Le processus de base de modification des donnes comprend six tapes :

La demande d'criture dclenche une transaction.
Active Directory crit la transaction en mmoire, dans le tampon
des transactions.
Active Directory inscrit la transaction dans le journal des transactions.
Active Directory transfre la transaction du tampon vers la base
de donnes.
Active Directory compare la base de donnes et les fichiers journaux
pour vrifier que la transaction a t valide dans la base de donnes.
Active Directory actualise le fichier de points de vrification.

!
La mise en cache et la journalisation amliorent les performances de la base

de donnes en permettant Active Directory de traiter plusieurs transactions
supplmentaires avant de les crire dans la base de donnes.
Dans le cadre du processus de nettoyage de la mmoire, Active Directory

excute une dfragmentation en ligne des intervalles prdfinis (toutes les
12 heures par dfaut). La dfragmentation en ligne rsout les problmes de
performances, mais elle ne rduit pas la taille de la base de donnes.
Le contrleur de domaine n'est pas disponible pour Active Directory

lorsque vous excutez une dfragmentation hors ligne. N'excutez une
dfragmentation hors ligne que lorsque vous devez rduire la taille de
Ntds.dit, et que vous avez rsolu tout problme pouvant survenir en mettant
le contrleur de domaine hors ligne.
Veillez sauvegarder chaque partition Active Directory un rythme plus

soutenu que la dure de vie des objets de dsactivation pour prserver vos
donnes en cas de dfaillance matrielle ou rseau.
Lors d'une sauvegarde d'Active Directory, tous les composants systme et

les services distribus la base d'Active Directory sont automatiquement
sauvegards. Ces donnes sont appeles donnes d'tat systme.
Base de donnes Active Directory et fichiers journaux

Introduction
Le moteur de base de donnes d'Active Directory, ESE, stocke tous les objets
d'Active Directory. Le moteur ESE utilise des transactions et des fichiers
journaux pour garantir l'intgrit de la base de donnes Active Directory.
Fichiers d'Active
Directory
Active Directory inclut les fichiers suivants :

!
Ntds.dit. La base de donnes Active Directory qui stocke tous les objets
d'Active Directory au niveau du contrleur de domaine. L'extension .dit fait
rfrence l'arborescence des informations de l'annuaire. Son emplacement
par dfaut est le dossier %systemroot%\NTDS. Active Directory enregistre
chaque transaction dans un ou plusieurs fichiers journaux associs au fichier
Ntds.dit.
Edb*.log. Le fichier journal des transactions dont le nom par dfaut est
Edb.log et d'une capacit de 10 mgaoctets (Mo). Lorsque le fichier Edb.log
est satur, Active Directory cre un autre fichier dnomm Edbnnnnn.log
(o nnnnn correspond l'ordre chronologique de cration).
Edb.chk. Un fichier de points de vrification que la base de donnes utilise

pour garder une trace des donnes qui ne sont pas encore crites dans le
fichier de base de donnes Active Directory. Le fichier de points de
vrification est un pointeur qui conserve des donnes de statut entre la
mmoire et le fichier de la base de donnes sur le disque. Il indique le point
de dbut partir duquel les informations doivent tre rcupres en cas de
dfaillance.
Res1.log et Res2.log. Les fichiers journaux rservs de transactions. La

quantit d'espace disque rserve sur un disque ou dans un dossier pour les
journaux de transactions est de 20 Mo. Cet espace disque rserv offre aux
fichiers journaux de transactions une marge suffisante de fermeture si le
reste de l'espace disque est utilis.
Leon : Dplacement et dfragmentation de la base de

donnes Active Directory

Introduction
Au fil du temps, la fragmentation de la base de donnes se produit au fur et

mesure que des enregistrements sont ajouts ou supprims. Lorsque les
enregistrements sont fragments, l'ordinateur doit parcourir la base de donnes
Active Directory pour rechercher tous les enregistrements, et ce, chaque fois
que cette dernire est ouverte. Cette recherche ralentit le temps de rponse de
la base de donnes. La fragmentation diminue galement les performances
gnrales des oprations de la base de donnes Active Directory.
Pourquoi
dfragmenter ?
Pour surmonter les problmes lis la fragmentation, vous devez dfragmenter

la base de donnes Active Directory. La dfragmentation est le processus de
rcriture des enregistrements dans la base de donnes Active Directory dans
des secteurs contigus afin d'accrotre la vitesse d'accs et d'extraction. Lorsque
les enregistrements sont mis jour, Active Directory enregistre ces mises jour
dans le plus large espace contigu de la base de donnes Active Directory.
Pourquoi dplacer la
base de donnes et les
fichiers journaux ?
Vous dplacez une base de donnes vers un nouvel emplacement lorsque vous
dfragmentez cette dernire. Dplacer la base de donnes ne supprimera pas
la base de donnes originale. Vous pouvez donc utiliser la base de donnes
originale si la base de donnes dfragmente ne fonctionne pas ou est
corrompue. De mme, si votre espace disque est limit, vous pouvez ajouter
un autre disque dur pour y placer la base de donnes.
Enfin, vous pouvez dplacer les fichiers de la base de donnes en vue
d'effectuer une opration de maintenance matrielle. Si le disque de stockage
des fichiers doit tre mis niveau ou doit subir une opration de maintenance,
vous pouvez dplacer les fichiers vers un autre emplacement de faon
temporaire ou permanente.
!
dplacer la base de donnes Active Directory et les fichiers journaux ;
dfragmenter la base de donnes Active Directory.
Comment dplacer la base de donnes Active Directory et les

fichiers journaux

Introduction
En cas d'espace disque insuffisant sur la partition de stockage de la base

de donnes et/ou des fichiers journaux, vous devez dplacer les fichiers
correspondants vers un nouvel emplacement.
Pourquoi utiliser
Ntdsutil pour dplacer
la base de donnes ?
Vous devez utiliser l'outil de ligne de commande Ntdsutil en Mode restauration

Active Directory pour dplacer la base de donnes d'un emplacement vers un
autre emplacement sur un disque. Si le chemin d'accs aux fichiers de la base de
donnes que vous dplacez change, vous devez toujours utiliser l'outil Ntdsutil
pour dplacer lesdits fichiers, et pas simplement les copier. De cette faon, vous
tes certain que la cl de Registre est mise jour avec le chemin d'accs vers
le nouvel emplacement et qu'Active Directory redmarre partir du nouvel
emplacement.
Procdure
Pour dplacer la base de donnes Active Directory, excutez les tapes suivantes :
1. Par prcaution, sauvegardez Active Directory.
Vous pouvez sauvegarder Active Directory en ligne si, dans l'Assistant de
sauvegarde, vous choisissez de tout sauvegarder sur l'ordinateur ou de ne
sauvegarder que les donnes d'tat systme.
2. Redmarrez le contrleur de domaine, appuyez sur F8 pour afficher le menu
Menu d'options avances de Windows, slectionnez Mode restauration
Active Directory, puis appuyez sur ENTRE.
3. Ouvrez une session en utilisant le compte d'administrateur et le mot de passe
dfini pour le compte Administrateur local dans le Gestionnaire de comptes
de scurit (SAM, Security Accounts Manager).
Remarque Ce compte Administrateur est diffrent du compte d'administrateur

de domaine. Lors du redmarrage du contrleur de domaine en Mode
restauration Active Directory, l'ordinateur charge les comptes d'utilisateurs
partir de la ruche SAM locale du Registre. Pour vrifier que l'ordinateur utilise
les comptes locaux, tapez net user l'invite. Notez que le nom de l'ordinateur
local, plutt que le nom de domaine, prcde le nom du compte. Notez
galement que la liste des utilisateurs ne correspond pas aux utilisateurs
crs dans le domaine.
4. l'invite de commande, tapez ntdsutil et appuyez sur ENTRE.
5. Tapez files est appuyez sur ENTRE.
6. l'invite files, et aprs avoir dfini un emplacement offrant suffisamment
d'espace pour y stocker la base de donnes, tapez move DB to
<drive>:\<directory> (o <drive> et <directory> correspondent au chemin
d'accs sur l'ordinateur local o vous voulez placer la base de donnes), puis
appuyez sur ENTRE.
Remarque Vous devez spcifier un chemin d'accs au rpertoire. Si le chemin
d'accs contient des espaces, il doit tre mis entre guillemets (par exemple,
C:\Nouveau dossier ).
La base de donnes Ntds.dit est dplace vers l'emplacement spcifi.
7. Tapez quit et appuyez sur ENTRE. Pour revenir l'invite, tapez de
nouveau quit.
8. Redmarrez le contrleur de domaine.
Remarque Vous pouvez galement dplacer les fichiers journaux des
transactions vers un nouvel emplacement. La commande
Move logs to <drive>:\<directory> sert dplacer les fichiers journaux des
transactions vers le nouveau rpertoire dfini par <drive>:\<directory> et
mettre jour les cls de Registre. Le service d'annuaire redmarre alors partir
du nouvel emplacement.
Vous devez galement effectuer une sauvegarde de l'tat systme aprs
dplacement des fichiers pour garantir que les restaurations futures utilisent le
chemin d'accs adquat.
Comment dfragmenter une base de donnes Active Directory

Introduction
La dfragmentation en ligne se produit automatiquement lors du processus

de nettoyage de la mmoire. Par contre, la dfragmentation hors connexion
s'effectue manuellement.
Pourquoi effectuer une

dfragmentation hors
connexion ?
Vous pouvez excuter la dfragmentation hors connexion si vous voulez crer

une nouvelle version compacte de la base de donnes d'origine. Effectuez
la dfragmentation hors connexion uniquement si vous pouvez rcuprer
une grande quantit d'espace disque pour d'autres tches. Par exemple, si le
contrleur de domaine avait servi auparavant de serveur de catalogue global
pour une fort plusieurs domaines, vous pouvez librer une grande quantit
d'espace disque en effectuant la dfragmentation hors connexion.
Exigences d'espace
disque
Pour effectuer la dfragmentation, le disque actuel de la base de donnes doit

avoir une quantit d'espace disque libre quivalente 15 % minimum de la
taille actuelle de la base de donnes, et ce, des fins de stockage temporaire
lors du processus de recration de l'index. De plus, le disque cible de la base
de donnes doit avoir un espace disque libre quivalent au minimum la taille
actuelle de la base de donnes pour pouvoir y stocker le fichier de la base de
donnes compresse.
Procdure
Pour dfragmenter une base de donnes Active Directory hors connexion,

excutez les tapes suivantes :
1. Sauvegardez les donnes d'tat systme.
2. Redmarrez le contrleur de domaine, appuyez sur F8 pour afficher le menu
Menu d'options avances de Windows, slectionnez Mode restauration
Active Directory, puis appuyez sur ENTRE.
3. Ouvrez une session en utilisant le compte Administrateur et le mot de passe
dfini pour le compte Administrateur local dans le Gestionnaire des comptes
de scurit (SAM) hors connexion.
5. Tapez files est appuyez sur ENTRE.
10
6. l'invite files, tapez compact to <drive>:\<directory> (o <drive> et

<directory> dfinissent le chemin d'accs) et appuyez sur ENTRE.
Cette tape permet de dfinir un emplacement avec suffisamment d'espace
disque libre pour y stocker la base de donnes compresse.
Remarque Si le chemin d'accs contient des espaces, il doit tre mis entre
guillemets (par exemple, C:\Nouveau dossier ).
Une nouvelle base de donnes Ntds.dit est cre l'emplacement spcifi.
7. Tapez quit et appuyez sur ENTRE. Pour revenir l'invite, tapez de
nouveau quit.
8. Remplacez l'ancien fichier Ntds.dit par le nouveau fichier dans le chemin
d'accs de la base de donnes Active Directory.
11
Application pratique : Dplacement et dfragmentation de la base

de donnes Active Directory

Objectifs
Dans cette application pratique, vous allez dplacer la base de donnes de votre
contrleur de domaine vers un autre emplacement pour effectuer ensuite une
dfragmentation hors connexion. Vous allez galement effectuer un contrle
d'intgrit et une analyse smantique de la base de donnes dfragmente.
Instructions
Vous travaillerez avec un partenaire dans le domaine Active Directory qui

contient votre contrleur de domaine et celui de votre partenaire.
Scnario
Northwind Traders a dfini un programme de maintenance pour la mise hors

connexion des contrleurs de domaine et la mise niveau du disque dur. Une
fois la mise niveau termine, vous allez dplacer la base de donnes Active
Directory vers le nouveau disque dur.
! Dplacement et dfragmentation d'une base de donnes

Active Directory
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser (o

Nom_Ordinateur correspond au nom de votre ordinateur) avec un mot de
passe P@ssw0rd.
2. Ouvrez une invite de commandes en tant que Nwtradersx\Administrateur
avec un mot de passe P@ssw0rd.
3. l'invite, tapez shutdown /r /d p:2:4 et appuyez sur ENTRE.
4. Redmarrer votre contrleur de domaine en Mode restauration Active
Directory.
5. Ouvrez une session en tant qu'Administrateur avec le mot de passe
P@ssw0rd.
7. l'invite ntdsutil, tapez files et appuyez sur ENTRE pour dfinir le mode
de maintenance de fichier de Ntdsutil.
12
8. l'invite file maintenance, tapez move db to c:\moved-db et appuyez

sur ENTRE pour dplacer la base de donnes Active Directory vers
C:\moved-db.
9. Dfragmentez la base de donnes dplace.
a. l'invite file maintenance, tapez compact to c:\defrag et appuyez sur
ENTRE.
b. Dans l'Explorateur Windows, copiez la base de donnes dfragmente
dans le dossier moved-db.
Notez que le fichier copi est moins volumineux que le fichier d'origine.
c. Supprimez \Windows\NTDS\*.log.
10. l'invite file maintenance, tapez integrity puis quit pour effectuer un
contrle d'intgrit de la base de donnes.
11. Effectuez une analyse smantique de la base de donnes.
a. l'invite ntdsutil, tapez Semantic Database Analysis.
b. l'invite semantic checker, tapez Go.
13

Introduction
La sauvegarde d'Active Directory est essentielle pour la maintenance de la base

de donnes Active Directory. Vous pouvez sauvegarder Active Directory en
utilisant l'interface utilisateur graphique et les outils de ligne de commande de
la famille Windows Server 2003.
Pourquoi effectuer une

sauvegarde ?
Sauvegarder frquemment les donnes d'tat systme des contrleurs de

domaine vous permet de restaurer des donnes toujours actualises. En
dfinissant un programme de sauvegarde rgulire, vous avez plus de
chance de pouvoir rcuprer toutes les donnes en cas de ncessit.
Pour garantir une bonne sauvegarde, englobant au moins les donnes d'tat
systme et le contenu du disque systme, vous devez connatre la dure de vie des
objets de dsactivation. Par dfaut, les objets de dsactivation ont une dure de
vie de 60 jours. Toute sauvegarde ultrieure 60 jours n'est pas une sauvegarde
correcte. Planifiez la sauvegarde d'au moins deux contrleurs de domaine dans
chaque domaine, dont l'un est dtenteur du rle de matre des oprations. Pour
chaque domaine, vous devez conserver au moins une sauvegarde pour permettre
une restauration force des donnes en cas de besoin.
!
dcrire les composants des donnes d'tat systme ;
sauvegarder Active Directory.
14
Composants des donnes d'tat systme

Introduction
Plusieurs fonctions dans Windows Server 2003 facilitent la sauvegarde

d'Active Directory. Vous pouvez sauvegarder Active Directory lors de vos
procdures de sauvegarde rgulire sans interrompre le fonctionnement du
rseau ou du contrleur de domaine sauvegarder.
Composants
Les donnes d'tat systme d'un contrleur de domaine englobent les

composants suivants :
!
Active Directory. Les donnes d'tat systme ne contiennent pas Active

Directory, sauf si le serveur sur lequel vous sauvegardez ces donnes est
un contrleur de domaine. Active Directory n'est prsent qu'au niveau des
Dossier partag SYSVOL. Ce dossier partag contient les modles Stratgie

de groupe et les scripts d'ouverture de session. Le dossier partag SYSVOL
est prsent uniquement au niveau des contrleurs de domaine.
Registre. Ce rfrentiel de base de donnes contient des informations sur la

configuration de l'ordinateur.
Fichiers de dmarrage du systme. Windows Server 2003 requiert ces fichiers

lors de la phase de dmarrage initial. Ils incluent les fichiers systme et
de dmarrage sous la protection de fichier Windows et sont utiliss par
Windows pour charger, configurer et excuter le systme d'exploitation.
Base de donnes des inscriptions de classe COM+. Cette base de donnes

contient des informations sur les applications des services de composants.
Base de donnes des services de certificats. Cette base de donnes contient

les certificats qu'un serveur excutant Windows Server 2003 utilise pour
authentifier les utilisateurs. La base de donnes des services de certificat est
prsente uniquement si le serveur fonctionne comme serveur de certificats.
Les donnes d'tat du systme comportent la majorit des lments de la

configuration d'un systme. Cependant, elles peuvent ne pas inclure toutes les
informations dont vous avez besoin pour rcuprer des donnes aprs un
incident systme. Veillez donc sauvegarder tous les volumes systme et de
dmarrage, notamment l'tat systme, lorsque vous sauvegardez votre serveur.
quel moment
sauvegarder les
donnes d'tat systme
Vous pouvez sauvegarder :

!
les donnes d'tat systme seules ;
les donnes d'tat systme dans le cadre d'une procdure de sauvegarde

rgulire ;
les donnes d'tat systme lorsque le contrleur de domaine est hors

connexion.
15
16
Comment sauvegarder Active Directory

Introduction
Pour sauvegarder les donnes d'tat systme, vous devez appartenir au groupe
Administrateurs ou Oprateurs de sauvegarde sur l'ordinateur local, ou vous
devez avoir reu les autorisations adquates (dlgation). Si l'ordinateur se
trouve dans un domaine, les membres du groupe Admins du domaine peuvent
excuter la procdure.
Vous pouvez uniquement sauvegarder les donnes d'tat systme sur un
ordinateur local. Vous ne pouvez pas sauvegarder les donnes d'tat systme
sur un ordinateur distant.
Procdure
Pour sauvegarder les donnes d'tat systme, excutez les tapes suivantes :
1. Dans le menu Dmarrer, pointez sur Tous les programmes, sur
Accessoires et sur Outils systme, puis cliquez sur Utilitaire de
sauvegarde.
2. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
3. Dans la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des
fichiers et des paramtres, puis sur Suivant.
4. Dans la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser
choisir les fichiers sauvegarder, puis sur Suivant.
5. Dans la page lments sauvegarder, dveloppez Poste de travail,
activez la case cocher System State, puis cliquez sur Suivant.
6. Dans la page Type, nom et destination de la sauvegarde, cliquez sur
Parcourir. Slectionnez ensuite un emplacement pour la sauvegarde et
cliquez sur Enregistrer, puis sur Suivant.
7. Dans la page Fin de l'Assistant Sauvegarde ou Restauration, cliquez
sur Terminer.
8. Dans la page Sauvegarde en cours, cliquez sur Fermer.
17
Vous pouvez utiliser les options de sauvegarde avances de l'Utilitaire de

sauvegarde pour dfinir ou configurer des paramtres, comme la vrification
des donnes, la compression matrielle et les tiquettes de support. Vous
pouvez galement lier la tche de sauvegarde une tche prcdente ou
programmer la sauvegarde pour une date ultrieure. La vrification des donnes
permet de contrler les diffrences entre les fichiers sauvegards partir du
contrleur de domaine et les fichiers copis sur le support de sauvegarde.
L'Utilitaire de sauvegarde rassemble les rsultats de la vrification dans
l'Observateur d'vnements.
Important Pour une rcupration d'urgence complte, sauvegardez le contenu
de tous les disques durs ainsi que les donnes d'tat systme. Pour effectuer
cette sauvegarde, vous devez excuter l'Utilitaire de sauvegarde. Dans la
page Que voulez-vous sauvegarder ?, activez la case cocher Toutes les
informations sur cet ordinateur.
Remarque Pour plus d'informations sur la sauvegarde des donnes d'tat
systme l'aide de l'outil de ligne de commande Ntbackup, reportez-vous la
rubrique Comment sauvegarder Active Directory de la page d'annexe du
Module 10 sur le CD-ROM du stagiaire.
18
Application pratique : Sauvegarde d'Active Directory

Objectifs
Dans cette application pratique, vous allez crer une unit d'organisation que
vous supprimerez aprs sauvegarde des donnes d'tat systme de l'ordinateur.
Instructions

contient votre contrleur de domaine et celui de votre partenaire.
Scnario
Northwind Traders a dvelopp des procdures de rcupration d'urgence.

Vous devez tester les procdures de sauvegarde pour vous assurer qu'elles sont
adquates avant de les implmenter dans l'organisation.
! Sauvegarder Active Directory

2. Dmarrez le composant Utilisateurs et ordinateurs Active Directory en tant
que Nwtradersx\Administrateur avec un mot de passe P@ssw0rd et
l'aide de la commande Excuter en tant que.
3. Crez une unit d'organisation baptise PracticeNom_OrdinateurOU dans
votre domaine.
4. Affichez les proprits de cet objet et notez le numro de la squence de
mise jour.
____________________________________________________________
____________________________________________________________
5. Dmarrez l'Utilitaire de sauvegarde en tant que Nwtradersx\Administrateur
avec un mot de passe P@ssw0rd en utilisant la commande Excuter en tant
que puis effectuez une sauvegarde de l'tat systme.
6. Supprimez l'unit d'organisation PracticeNom_OrdinateurOU.
19

Introduction
Dans Windows Server 2003, vous pouvez restaurer la base de donnes

Active Directory si cette dernire a t corrompue ou dtruite suite une
dfaillance matrielle ou logicielle. Vous devez restaurer la base de donnes
Active Directory lorsque des objets dans Active Directory ont t modifis
ou supprims.
Vous pouvez restaurer des donnes rpliques dans un contrleur de domaine
de plusieurs faons. Vous pouvez rinstaller le contrleur de domaine, puis
laisser le processus de rplication normale alimenter le nouveau contrleur
de domaine avec les donnes de ses rplicas. Vous pouvez galement utiliser
l'Utilitaire de sauvegarde pour restaurer des donnes rpliques partir d'un
support de sauvegarde sans rinstaller le systme d'exploitation ou reconfigurer
le contrleur de domaine.
!
comparer les modes de restauration principale, normale et force ;
effectuer une restauration principale ;
effectuer une restauration normale ;
effectuer une restauration force.
20
Prsentation multimdia : Mthodes de restauration

d'Active Directory

Emplacement du fichier
Pour lancer la prsentation Mthodes de restauration d'Active Directory, ouvrez

la page Web du CD-ROM du stagiaire, cliquez sur Multimdia, puis sur le titre
de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.
Objectif
la fin de cette prsentation, vous serez mme de choisir le mode de

restauration appropri.
Instructions
Cliquez sur les rubriques ou sous-rubriques dans la partie gauche de l'cran

pour parcourir les informations requises. Chaque rubrique contient une
animation courte et de brves informations. Vous devrez peut-tre faire dfiler
les donnes l'cran pour lire l'intgralit des informations des onglets.
Points cls
Lorsque vous sauvegardez un contrleur de domaine, vous sauvegardez toutes

les donnes d'Active Directory prsentes sur ce serveur ainsi que des
composants systme comme SYSVOL et le Registre.
Lorsque vous restaurez Active Directory, vous restaurez toutes les donnes
sauvegardes. Ce retour l'tat prcdent peut influencer les paramtres de
la stratgie de groupe et les relations d'approbations entre les domaines.
21
Vous pouvez utiliser l'une des trois mthodes suivantes de restauration

Active Directory partir du support de sauvegarde : restauration principale,
normale ou force.
!
Restauration principale. Cette mthode de restauration reconstruit le

premier contrleur de domaine dans un domaine lorsqu'il n'est pas possible
de reconstruire le domaine d'une autre faon. Effectuez une restauration
principale uniquement lorsque tous les contrleurs du domaine sont perdus
et que vous souhaitez reconstruire le domaine partir de la sauvegarde.
Restauration normale. Cette mthode de restauration rtablit les donnes

Active Directory dans l'tat o elles taient avant la sauvegarde, puis met
jour les donnes par le biais du processus de rplication normale. Effectuez
une restauration normale uniquement lorsque vous souhaitez restaurer un
seul contrleur de domaine son tat prcdent.
Restauration force. Vous effectuez cette restauration en tandem avec la

restauration normale. Une restauration force balise des donnes spcifiques
comme donnes actuelles et empche la rplication d'craser ces donnes.
Les donnes forces sont ensuite rpliques dans tout le domaine.
Effectuez une restauration force pour restaurer des objets individuels dans
un domaine comportant plusieurs contrleurs de domaine. Lorsque vous
effectuez une restauration force, vous perdez tous les changements
apports aprs la sauvegarde aux objets de la restauration.
Importance de la dure
de vie des objets de
dsactivation
Vous ne pouvez pas restaurer Active Directory partir d'une sauvegarde qui
est plus vieille que la dure de vie des objets de dsactivation, laquelle est
de 60 jours par dfaut. Un contrleur de domaine garde une trace des objets
supprims pour ce laps de temps uniquement. En prsence de plusieurs
contrleurs de domaine et si la dure de vie de la sauvegarde est infrieure
celle des objets de dsactivation, restaurez la sauvegarde dont vous disposez
et lancez une rplication entre les contrleurs de domaine pour mettre jour
Active Directory. Si vous n'avez qu'un seul contrleur de domaine, vous
perdrez toutes les modifications apportes aprs la sauvegarde.
22
Comment excuter une restauration principale

Introduction
Pour excuter une restauration principale, vous devez appartenir au groupe

Administrateurs de l'ordinateur local, ou vous devez avoir reu les autorisations
adquates (dlgation). Si l'ordinateur se trouve dans un domaine, les membres
du groupe Admins du domaine peuvent excuter la procdure.
Procdure
Pour effectuer une restauration principale d'Active Directory, excutez les

tapes suivantes :
1. Redmarrer votre contrleur de domaine en Mode restauration
Active Directory.
2. Dmarrez l'Utilitaire de sauvegarde.
3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur
mode avanc.
4. Dans la page Utilitaire Sauvegarde en mode avanc, sous l'onglet
Restaurer et grer le mdia, slectionnez les lments restaurer, puis
cliquez sur Dmarrer.
5. Dans la bote de dialogue Avertissement, cliquez sur OK.
6. Dans la bote de dialogue Confirmation de restauration, cliquez
sur Avanc.
23
7. Dans la bote de dialogue Options de restauration avances, cliquez sur

Lors de la restauration de jeux de donnes rpliqus, marquer les
donnes restaures en tant que donnes principales pour tous les
rplicas, puis cliquez deux fois sur OK.
Important Cette option garantit que les donnes FRS (File Replication
Service) sont rpliques vers les autres serveurs. Slectionnez cette option
si vous voulez restaurer le premier ensemble de rplicas sur le rseau.
8. Dans la bote de dialogue Restauration en cours, cliquez sur Fermer.
9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Remarque Pour plus d'informations sur les options avances d'une restauration
principale, reportez-vous la rubrique Comment excuter une restauration
principale de la page d'annexe du Module 10 sur le CD-ROM du stagiaire.
24
Comment excuter une restauration normale

Introduction
Vous pouvez restaurer Active Directory de manire non force lorsque vous
remplacez un contrleur de domaine dfectueux ou rparez une base de donnes
Active Directory endommage.
Procdure
Pour effectuer une restauration normale d'Active Directory, excutez les

tapes suivantes :
Active Directory.
2. Dmarrez l'Utilitaire de sauvegarde.
3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant.
4. Dans la page Sauvegarder ou restaurer, cliquez sur Restaurer des
fichiers et des paramtres.
5. Dans la page Que voulez-vous restaurer, sous lments restaurer,
dveloppez la liste, activez la case cocher System State, puis cliquez
sur Suivant.
6. Dans la page Fin de l'Assistant Sauvegarde ou Restauration, cliquez
sur Terminer.
7. Dans la bote de dialogue Avertissement, cliquez sur OK.
8. Dans la bote de dialogue Restauration en cours, cliquez sur Fermer.

9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Avertissement Lorsque vous effectuez la restauration de donnes d'tat
systme, l'Utilitaire de sauvegarde remplace les donnes d'tat systme
prsentes sur votre ordinateur par celles que vous restaurez, y compris les
donnes d'tat systme non lies Active Directory. En fonction de la dure
de vie de ces donnes d'tat systme, vous pouvez avoir perdu les dernires
modifications apportes l'ordinateur. Pour rduire ce risque, sauvegardez les
donnes d'tat systme rgulirement.
25
26
Comment excuter une restauration force

Introduction
Contrairement une restauration normale, une restauration force ncessite

l'utilisation d'un outil de ligne de commande distinct, appel Ntdsutil.
Les autres utilitaires de sauvegarde, notamment les utilitaires systme
Windows Server 2003, ne peuvent pas effectuer de restauration force.
Pourquoi utiliser
Ntdsutil pour une
restauration force ?
L'outil de ligne de commande Ntdsutil est un fichier excutable utilis pour

baliser des objets Active Directory comme forcs de manire ce qu'ils
reoivent un numro de version suprieur au numro actuel. En balisant des
objets, vous garantissez le fait que les donnes modifies dernirement dans
d'autres contrleurs de domaine ne vont pas craser les donnes d'tat systme
lors de la rplication.
Procdure
Pour effectuer une restauration force, excutez les tapes suivantes :

Active Directory.
2. Restaurez Active Directory dans son emplacement d'origine.
3. Si vous devez effectuer une restauration force au niveau du dossier
SYSVOL, restaurez Active Directory dans un autre emplacement par
l'intermdiaire de l'Utilitaire de sauvegarde. Surtout, ne redmarrez pas
votre ordinateur aprs la restauration, mme si un message vous y invite.
Si vous n'effectuez pas une restauration force au niveau du dossier
SYSVOL, passez l'tape 4.
4. l'invite, excutez Ntdsutil.exe.
5. l'invite ntdsutil, tapez authoritative restore.
6. l'invite authoritative restore, tapez
restore subtree nom_unique_de_l'objet (o nom_unique_de_l'objet
correspond au nom unique, ou chemin d'accs, de l'objet). Par exemple,
pour restaurer une unit d'organisation nomme Sales, prsente directement
sous le domaine contoso.msft, tapez
restore subtree OU=Sales,DC=contoso,DC=msft
7. Tapez quit et appuyez sur ENTRE.
27
8. Tapez de nouveau quit, puis appuyez sur ENTRE pour quitter ntdsutil.
10. Aprs publication du dossier SYSVOL par le systme FRS, copiez le
dossier SYSVOL et uniquement les dossiers de la stratgie de groupe
correspondant aux objets de la stratgie de groupe restaurs depuis le nouvel
emplacement vers les emplacements existants.
11. Pour vrifier que l'opration de copie s'est bien droule, examinez le
contenu du dossier SYSVOL\Domaine, o Domaine correspond au nom
de domaine.
Remarque Pour plus d'informations sur les noms d'utilisateur uniques,
reportez-vous au Module 1, Introduction l'infrastructure Active Directory ,
du cours 2194, Planification, implmentation et maintenance d'une
28
Application pratique : Restauration d'Active Directory

Objectifs
Dans cette application pratique, vous allez restaurer la dernire sauvegarde

avant de supprimer les units d'organisation de test. Vous allez galement
vrifier que l'opration de restauration s'est bien droule en examinant les
donnes qui font autorit.
Instructions

contient votre contrleur de domaine et celui de votre partenaire. Effectuez
cette procdure uniquement pour le contrleur de domaine dsign comme
serveur de restauration.
Scnario
Northwind Traders a dvelopp des procdures de rcupration d'urgence. Vous

devez tester les procdures d'une restauration force avant de les implmenter
dans l'organisation.
29
! Effectuer une restauration force d'Active Directory

1. Redmarrez votre contrleur de domaine en Mode restauration
Active Directory.
2. Ouvrez une session en tant qu'Administrateur avec le mot de passe
P@ssw0rd.
3. Dmarrez l'Utilitaire de sauvegarde et restaurez les donnes d'tat systme
partir de la sauvegarde cre dans le cadre de l'application pratique
Sauvegarde Active Directory.
4. l'invite de commande, excutez ntdsutil en mode de restauration force.
5. Marquez les units d'organisation prcdemment supprimes
comme forces.
8. Vrifiez que l'unit d'organisation cre dans le cadre de l'application
pratique Sauvegarde d'Active Directory a bien t restaure.
9. Affichez les proprits de l'unit d'organisation restaure et notez le numro
de squence de mise jour.
____________________________________________________________
30
Leon : Planification du contrle d'Active Directory

Introduction
Contrler le service d'annuaire Active Directory distribu et les services sur

lesquels il repose permet de maintenir la cohrence des donnes d'annuaire et
le niveau requis de service dans la fort. Vous pouvez contrler les principaux
indicateurs pour identifier et rsoudre des problmes mineurs avant qu'ils
n'entranent des coupures de service plus ou moins longues.
La plupart des organisations avec de nombreux domaines ou sites distants
requirent un systme de contrle automatis, comme Microsoft Operations
Manager 2002 (MOM) pour contrler les principaux indicateurs. En utilisant un
systme de contrle automatis pour consolider les informations et rsoudre
rapidement les problmes, vous pouvez grer correctement Active Directory.
!
expliquer pourquoi vous devez contrler Active Directory et quels niveaux

de contrler sont adquats ;
identifier les vnements contrler ;
identifier les compteurs de performance contrler ;
appliquer les instructions de contrle de l'intgrit d'Active Directory.
31
Vue d'ensemble du contrle d'Active Directory

Introduction
Un contrle rentable consiste bien valuer le niveau de contrle requis pour

votre environnement.
Pourquoi effectuer
un contrle ?
Le contrle d'Active Directory vous aide rsoudre les problmes au bon

moment. Les utilisateurs bnficient d'une fiabilit accrue des applications
dpendantes du serveur, d'ouvertures de session plus rapides, d'une meilleure
fiabilit des ressources et d'une rduction des appels au Support technique.
Le contrle d'Active Directory vous apporte une vue centralise d'Active
Directory travers la fort. En analysant les principaux indicateurs, vous
pouvez amliorer la fiabilit du systme et mieux comprendre comment le
systme opre. En outre, le contrle vous donne une meilleure flexibilit de
programmation et vous aide mieux grer votre charge de travail car vous
pouvez identifier les problmes plus vite et les rsoudre avant qu'ils ne prennent
des proportions lourdes.
Le contrle d'Active Directory vous garantit galement que :
!
tous les services requis prenant en charge Active Directory fonctionnent sur
chaque contrleur de domaine ;
les requtes LDAP (Lightweight Directory Access Protocol) sont prises en

charge rapidement ;
les contrleurs de domaine n'enregistrent pas des niveaux levs

d'exploitation du processeur.
32
Niveaux de contrle
Vous pouvez contrler Active Directory trois niveaux :

!
Contrle de base ou minimal des vnements et des compteurs de

performance.
Contrle avanc des services de base d'Active Directory, du temps de

rponse du contrleur de domaine et de la rplication l'chelle de la fort.
Les scripts spcialiss sont requis en gnral pour fournir des niveaux de
contrle avancs.
Contrle sophistiqu, comme celui fourni par Microsoft Operations

Manager, pour activer le contrle au niveau de l'entreprise. Les solutions de
contrle sophistiqu rassemblent et consolident les donnes en utilisant des
agents ou des services locaux qui rassemblent et distribuent les donnes
de contrle.
Les solutions de contrle sophistiqu tirent galement parti de la topologie
de rseau physique pour rduire le trafic rseau et accrotre les
performances. Dans un environnement complexe, ce niveau de contrle
sophistiqu peut s'avrer ncessaire pour rassembler des donnes
ncessaires la prise de dcisions adquates.
Windows Server 2003 offre une puissante suite d'interfaces et de services que
les dveloppeurs peuvent utiliser pour laborer des solutions de contrle
sophistiqu.
Comment dterminer
le niveau de contrle
requis
Pour dterminer le niveau de contrle requis, comparez les cots de ralisation

d'une solution de contrle aux cots lis aux coupures de services et le temps
consacr tablir un diagnostic et rsoudre les problmes.
Le niveau de contrle requis va dpendre de la taille de votre entreprise et
des exigences de service. Pour les organisations qui disposent de peu de
domaines et de contrleurs de domaine ou qui doivent contrler uniquement
un ordinateur, la liste des indicateurs contrler fournie dans ce module ainsi
que les outils Windows Server 2003 sont suffisants.
Les organisations avec beaucoup de domaines, de contrleurs de domaine ou
de sites ainsi que les organisations ne pouvant pas se permettre une perte de
productivit rsultant d'une coupure de service voudront peut-tre utiliser une
solution de contrle sophistiqu, dveloppe avec des scripts internes ou
achete expressment, comme Microsoft Operations Manager.
33
vnements contrler

Introduction
Un contrleur de domaine dans une entreprise de grande taille gnre tous

les jours des centaines d'vnements lis Active Directory. Une solution
de contrle efficace peut fortement rduire le nombre d'vnements en les
consolidant au niveau de chaque contrleur de domaine et entre plusieurs
contrleurs de domaine. Mme si beaucoup de ces vnements ne sont pas
suffisamment importants pour dclencher une alerte, ils peuvent tre consigns
dans un rapport hebdomadaire.
Types d'vnement
Le contrle de base peut inclure les vnements suivants, lesquels fournissent

les meilleurs indicateurs quant l'intgrit gnrale du contrleur de domaine.
vnement
Description
Exemples
vnements du contrleur
de domaine du rseau
Ces vnements indiquent :
6005, 6006, 11151

et 5773
"
quel moment le service de journalisation des

vnements a commenc et s'est termin ;
"
si un contrleur de domaine ne peut pas enregistrer les

noms DNS (Domain Name System).
Utilisez ces vnements pour identifier quel moment le

systme fonctionnait. Les vnements DNS indiquent
l'importance de la rsolution de nom DNS dans
l'environnement.
vnements de la
fonctionnalit principale
Active Directory
Ces vnements indiquent les problmes lis la

fonctionnalit principale d'Active Directory.
Svrit = erreur
34
(suite)
vnement
Description
Exemples
vnements de rplication
Ces vnements peuvent indiquer des problmes de rplication

SYSVOL ou au niveau de l'application de la stratgie de groupe.
Svrit = erreur ;
utilisateur = systme
vnements
d'authentification
Ces vnements peuvent indiquer des problmes lis

diffrents lments :
Svrit =
avertissement ;
svrit = erreur ;
Rapport 11
hebdomadaire
"
"
"
"
Maintenance d'une mme dure dans toute la fort

Protocole d'authentification Kerberos version 5
Protocole d'authentification par dfaut
Service Netlogon et protocole requis pour le
fonctionnement correct du contrleur de domaine
Remarque Pour plus d'informations sur les options avances d'une restauration
principale, reportez-vous la rubrique vnements contrler de la page
d'annexe du Module 10 sur le CD-ROM du stagiaire.
35
Compteurs de performance contrler

Introduction
Lorsque vous effectuez un contrle de base, vous pouvez galement utiliser

les compteurs de performance pour contrler l'intgrit gnrale du contrleur
de domaine.
Types de compteurs de
performance
Le contrle de base comprend les types de compteurs de performance suivants.
Compteurs de performance
Description
Exemples
Compteurs de performance pour

le contrle de la quantit de
donnes rpliques
Sauf indication contraire, utilisez les

lignes de base dj dfinies pour affecter
des ces compteurs de performance.
Nb d'octets DRA compresss

entrants, Nb d'octets DRA
compresss sortants, Nb d'octets
DRA sortants non compresss et
Nombre total d'octets DRA sortants

le contrle des fonctions et
services principaux d'Active
Directory
Sauf indication contraire, dfinissez des

lignes de base pour affecter des seuils
ces compteurs de performance.
Sous-oprations de recherche
Active Directory/s.,
% Temps processeurLSASS,
Recherches LDAP/s., Octet priv
et Nombre de handlesLSASS
Compteurs de performance de
contrle des volumes de scurit
cls
Sauf indication contraire, dfinissez des

lignes de base pour affecter des seuils
ces compteurs de performance.
Authentifications NTLM, Requtes

KDC AS et Authentifications
Kerberos/s.

le contrle des principaux
indicateurs du systme
d'exploitation
Utilisez ces compteurs de performance

pour contrler les principaux indicateurs
du systme d'exploitation. Ces compteurs
exercent un impact direct sur les
performances d'Active Directory.
Dfauts de page/s., Taille de file

d'attente du disque actuelle,
Longueur de la file du processeur,
Changements de contexte/s. et
Temps d'activit systme
Remarque Pour plus d'informations sur les compteurs de performance, les

intervalles conseills, les niveaux des seuils et le degr d'importance, reportezvous la rubrique Compteurs de performance contrler de la page
d'annexe du Module 10 sur le CD-ROM des stagiaires.
36
Instructions de contrle d'Active Directory

Introduction
Mme si chaque organisation a des besoins spcifiques en termes de contrle,

veillez suivre les instructions gnrales lorsque vous concevez un systme
d'analyse.
Les petites organisations pourront trouver que les instructions suivantes, les
utilitaires fournis avec Windows Server 2003 et quelques scripts particuliers
suffisent pour fournir un service d'annuaire fiable. Les organisations de
plus grande envergure pourront ncessiter une solution de contrle plus
sophistique, pouvant fournir une vue centrale de plusieurs contrleurs de
domaine, lesquels sont des agents ou des services qui consolident et filtrent
les vnements, les compteurs et les indicateurs.
Instructions
Suivez les instructions suivantes pour dterminer comment concevoir et

implmenter des solutions de contrle.
!
Associez des actions prcises aux avertissements et alertes gnrs par

le systme de contrle. Pour conserver une intgrit parfaite de votre
infrastructure Active Directory, vous devez disposer d'un plan de
contingence prcis pour traiter efficacement les diffrents messages
gnrs par Active Directory.
Gnrez des alertes uniquement pour indiquer un problme ncessitant une

attention toute particulire. Le systme de contrle ne doit pas gnrer des
alertes superflues qui pourraient surcharger l'oprateur charg de rsoudre
les problmes.
Contrlez les services de base d'Active Directory. Certains services sont

essentiels au bon fonctionnement d'Active Directory, notamment les
services DNS, FRS, KDC (Key Distribution Center), Netlogon et
Windows Time (W32time).
Dterminez une ligne de base fiable pour les seuils afin de dfinir la limite
de transmission d'avertissements et d'alertes. Vous devez connatre les
niveaux de fonctionnement normal avant de dterminer si une action est
requise. En dfinissant une ligne de base, vous pouvez rassembler
suffisamment de donnes pour dcider d'un plan d'action en cas d'incident.
37
Vrifiez l'espace disque libre pour les fichiers journaux et la base de

donnes Active Directory. Les volumes de disque contenant le fichier de la
base de donnes Active Directory, Ntds.dit, ainsi que les fichiers journaux
doivent avoir suffisamment d'espace libre pour prendre en charge
l'utilisation et l'volution quotidienne. Une alerte doit tre gnre si
l'espace disque libre est infrieur 50 Mo ou 10 % de la taille du volume.
L'intervalle conseill pour le contrle de l'espace disque est d'une heure.
Rduisez l'utilisation des ressources lors du contrle d'Active Directory.

Ci-dessous, vous trouverez quelques recommandations pour rduire
l'utilisation des ressources :
Le contrle ne doit pas solliciter de la mmoire au point de diminuer
les performances du systme et la fourniture du service principal.
Les ordinateurs contrls ne doivent pas consacrer plus de 5 % de
l'exploitation du processeur la solution de contrle.
La solution de contrle doit gnrer un minimum de trafic rseau au sein
de l'environnement distribu.
Le nombre total de compteurs de performance et la frquence de collecte
des donnes doivent tre limits au maximum. De cette faon, vous ne
sollicitez pas trop le systme, tout en collectant des donnes essentielles
en temps voulu.
Les scripts doivent tre excuts en local, et non distance, pour rduire
la bande passante du rseau et la latence.
38

Objectifs
Dure approximative
de cet atelier :
45 minutes
!
sauvegarder une base de donnes Active Directory ;
effectuer une restauration force d'une base de donnes Active Directory.

!
disposer de connaissances et d'une exprience en matire de rplication

d'Active Directory ;
avoir une exprience en matire de cration d'objets Active Directory.
39
Exercice 1
Sauvegarde d'Active Directory
Dans cet exercice, vous allez crer une unit d'organisation et un ensemble de comptes d'utilisateurs
dans l'unit d'organisation. Ensuite, vous allez sauvegarder les donnes d'tat systme au niveau du
contrleur de domaine, puis supprimer l'unit d'organisation.
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre contrleur
de domaine et celui de votre partenaire. Vous excuterez les tapes de votre ct, puis vrifierez
avec votre partenaire que la sauvegarde comprend les donnes que vous avez tous les deux cres.
Scnario
Northwind Traders ouvre une nouvelle division dans le dpartement marketing destine
encourager la prise de conscience de l'environnement au sein de l'organisation. Vous devez crer
l'objet Active Directory adquat, qui devra comporter la nouvelle division et cinq comptes
d'utilisateurs pour les personnes qui travailleront dans cette division. Northwind Traders a choisi
un mot de passe standard pour tous les nouveaux comptes d'utilisateurs, savoir St@rTr3k!.
Vous allez dsactiver les comptes d'utilisateurs jusqu'au lancement officiel de la nouvelle division.
La direction de Northwind Traders souhaite que vous utilisiez cette unit d'organisation pour tester
sa procdure de rcupration d'urgence. Aprs avoir cr la structure de base de la nouvelle unit
d'organisation, vous devez supprimer l'objet, puis vrifiez que vous pouvez le rcuprer en utilisant
les procdures de sauvegarde et de restauration.
Tches
1.
Ouvrir le domaine
nwtradersx.msft et crer une
unit d'organisation.
a.

(o Nom_Ordinateur correspond au nom de votre ordinateur) avec un
b. Crez l'unit d'organisation suivante :
2.
Crer des comptes

d'utilisateurs dans l'unit
d'organisation
LabNom_OrdinateurOU.
"
LabNom_OrdinateurOU
Crez les comptes d'utilisateurs suivants dans l'unit d'organisation

LabNom_OrdinateurOU :
Prnom = Nom_Ordinateur. Nom = User1. Nom d'ouverture de

session = Nom_OrdinateurUser1
Prnom = Nom_Ordinateur. Nom = User2. Nom d'ouverture de

session = Nom_OrdinateurUser2
3.
Lancer la rplication avec le

contrleur de domaine de
votre partenaire.
Remarque : Si l'unit d'organisation de votre partenaire ne s'affiche

pas, effectuez de nouveau la rplication sur l'objet de connexion partir
du serveur de votre partenaire.
4.
Sauvegarder les donnes

d'tat systme de votre
Important : Vrifiez que vous avez paramtr la sauvegarde

pour qu'elle utilise la journalisation dtaille.
"
Sauvegardez les donnes d'tat systme dans le fichier

c:\MOC\2194\backup.bkf.
40
Tches
5.
Afficher le journal de la
session sauvegarde.
"
Notez le nom des fichiers des donnes d'tat systme et leur

emplacement.
Important : Chaque stagiaire doit effectuer les tches ci-aprs.

6.
7.
Supprimer l'unit
d'organisation cre
prcdemment, confirmer la
suppression des deux objets
et forcer la rplication si
ncessaire.
a.
Lancer la rplication avec le

contrleur de domaine de
votre partenaire.
a.
Supprimez l'unit d'organisation que vous avez cre plus tt.
b. l'invite, cliquez sur Oui.
Ouvrez une session sous le nom Nwtradersx\Administrateur en

utilisant la commande Excuter en tant que avec un mot de passe
P@ssw0rd.
b. Vrifiez que l'unit d'organisation a bien t supprime.
41
Exercice 2
Restauration d'Active Directory
Dans cet exercice, vous allez tester les fonctions de rcupration d'urgence en effectuant une
restauration force de l'unit d'organisation supprime l'exercice 1.
Scnario
Lors du test des fonctions de rcupration d'urgence de Northwind Traders, vous allez essayer
de rcuprer une unit d'organisation supprime accidentellement ainsi que les objets utilisateur
du conteneur.
Tches
1.
Redmarrer votre contrleur

de domaine en Mode
restauration Active
Directory.
a.
Ouvrez une invite de commande en tant que

Nwtradersx\Administrateur en utilisant la commande Excuter en
tant que et avec un mot de passe P@ssw0rd
b. Aprs le redmarrage de votre contrleur, ouvrez une session en tant
qu'Administrateur avec le mot de passe P@ssw0rd
2.
Restaurer l'tat systme

du contrleur de domaine
partir de la dernire
sauvegarde.
3.
Marquer l'unit
d'organisation restaure
comment faisant autorit.
c.
l'affichage d'un message indiquant l'activation du mode sans chec

de Windows, cliquez sur OK.
"
Utilisez l'unit d'organisation LabNom_OrdinateurOU.
42
Exercice 3
Vrification des rsultats d'une restauration d'Active Directory
Dans cet exercice, vous allez travailler conjointement avec votre partenaire pour vrifier que les
objets supprims ont bien t restaurs et rpliqus dans les contrleurs de domaine. Excutez
chacune des tapes indpendamment de votre partenaire. Assurez-vous que votre partenaire a
ralis chaque exercice avant de continuer.
Scnario
Vous tes dans la phase finale du cycle de test de la rcupration d'urgence. Vous devez prsent
vrifier que le processus de restauration force fonctionne comme prvu. Vous allez dterminer si
les objets rcuprs ont t restaurs dans la base de donnes Active Directory afin de documenter
la procdure de rcupration d'urgence pour une utilisation future.
Tches
"
Lancer une rplication avec

le contrleur de domaine de
votre partenaire et vrifier
que la restauration force de
l'unit d'organisation s'est
bien droule.
Remarque : Si l'unit d'organisation de votre partenaire ne s'affiche
pas, effectuez de nouveau la rplication sur l'objet connexion partir
du serveur de votre partenaire.
Module 11 : Planification
et implmentation d'une
infrastructure Active Directory
Table des matires
Vue d'ensemble
Leon : Cration d'un plan

pour Tailspin Toys
Atelier A : Cration d'un plan

pour Tailspin Toys
Leon : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys
23
Atelier B : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys
24
Module 11 : Planification et implmentation d'une infrastructure Active Directory
iii
Prsentation :
30 minutes
Ateliers :
165 minutes
Ce module fournit aux stagiaires les comptences et connaissances ncessaires

la planification et l'implmentation d'une infrastructure du service d'annuaire
Active Directory en fonction des besoins d'une entreprise fictive nomme
Tailspin Toys.
suivantes :
Documents de cours
revoir la conception d'Active Directory et crer un plan d'implmentation

d'Active Directory pour Tailspin Toys ;
implmenter une infrastructure Active Directory pour Tailspin Toys.
Pour animer ce module, vous devez disposer du ficher Microsoft

PowerPoint 2194A_11.ppt.
Prparation

!

raliser les ateliers ;
tudier les questions relatives aux ateliers et les rponses proposes ;

anticiper autant que possible les rponses que les stagiaires sont susceptibles
de donner et prparer des rponses appropries en consquence.
iv

ce module.
Ce module ne prsente aucune nouvelle information technique. En effet, il est
compos de deux ateliers au cours desquels les stagiaires vont crer un plan
d'implmentation d'Active Directory puis implmenter l'infrastructure Active
Directory en fonction de ce plan. Ce module n'inclut aucun lment requis,
aucune application pratique ni documentation supplmentaire.
Suggestions gnrales
relatives aux ateliers
Les ateliers de ce module utilisent une application d'atelier interactive, appele

Navigateur d'atelier, qui permet aux stagiaires de rechercher des informations
dans un environnement bas sur un scnario. Ralisez les ateliers l'avance afin
de vous familiariser avec le Navigateur d'atelier et d'tre mme de rpondre
aux questions du stagiaire relatives l'environnement de l'atelier.
Pour commencer l'atelier, ouvrez Microsoft Internet Explorer et cliquez sur le
nom de l'atelier. Prsentez la nature de l'atelier aux stagiaires, puis lancez les
entretiens vido sur le projecteur de classe.
Dans chaque atelier, expliquez aux stagiaires que les messages lectroniques
envoys par Linda Meisner contiennent des consignes spcifiques pour raliser
l'atelier. Linda Meisner est responsable du groupe Ingnierie et conception de
l'entreprise fictive Tailspin Toys.
Les transcriptions de chaque entretien vido apparaissent en regard de chacun
d'eux. Demandez aux stagiaires de revoir le texte de l'entretien lors de l'atelier
sans relancer la vido. De cette manire, ils ne drangent pas les autres
stagiaires en lanant plusieurs fois la vido.
Leon : Cration d'un plan d'implmentation d'Active Directory

pour Tailspin Toys
Cette leon prsente les informations dont les stagiaires ont besoin pour crer
un plan d'implmentation d'Active Directory pour une entreprise fictive appele
Tailspin Toys.
Commencez par passer en revue les composants d'un plan de conception et
d'implmentation Active Directory. Vous allez de cette manire rafrachir la
mmoire des stagiaires sur les points prendre en considration pour crer le
plan d'implmentation d'Active Directory au cours de l'atelier.
Prsentez la socit Tailspin Toys et le personnel cl aux stagiaires. Le
personnel va communiquer avec les stagiaires par l'intermdiaire de vidos
et de messages lectroniques. L'atelier repose sur une application interactive
appele Navigateur d'atelier, que les stagiaires utilisent pour lire et regarder des
informations de scnario relatives la conception et au plan d'implmentation
pour Tailspin Toys. Demandez aux stagiaires de jouer le rle des ingnieurs
systme de Tailspin Toys. Ils vont utiliser un concept qui a t dvelopp
par des architectes de systme pour prendre des dcisions relatives
l'implmentation. Demandez aux stagiaires de s'inspirer de leur propre
exprience lors de l'excution des ateliers de ce cours.
Effectuez les exercices de l'atelier avec toute la classe.
Atelier A : Cration d'un plan d'implmentation d'Active Directory

pour Tailspin Toys
Divisez la classe en groupes de quatre stagiaires. Accordez leurs 20
30 minutes pour travailler sur l'atelier et prparer les rponses, puis consacrez
environ 15 minutes au commentaire de l'ensemble des rponses.
Le premier atelier consiste crer un plan, soulignez donc que les rponses
peuvent varier. Essayez de faciliter la discussion entre les stagiaires. Les
stagiaires peuvent avoir des opinions diffrentes s'ils sont capables de justifier
leurs positions.
Pour une question de temps, il peut tre prudent de faire cet exercice en
prvoyant une discussion entre les stagiaires anime par un instructeur. Certains
sujets peuvent faire l'objet de longues discussions, n'oubliez donc pas de limiter
le temps de discussion 5 ou 10 minutes pour chaque exercice. Ces ateliers
ont t conus pour une classe complte. Si vos stagiaires ne sont pas assez
nombreux, pensez supprimer certaines parties du scnario de l'atelier. Par
exemple, si votre classe est compose de huit stagiaires, vous pouvez choisir
de planifier et d'implmenter une infrastructure Active Directory pour Tailspin
Toys, Contoso, Ltd et Wingtip Toys uniquement.
Leon : Implmentation de l'infrastructure Active Directory pour

Tailspin Toys
Aucune rubrique n'est associe cette leon. Si certains stagiaires ne savent
pas encore trs bien comment commencer l'implmentation de l'infrastructure
Active Directory, prsentez brivement la squence des tches de haut niveau
qu'ils doivent effectuer.
Atelier B : Implmentation de l'infrastructure Active Directory pour

Tailspin Toys
Sparez la classe en plusieurs groupes, en fonction du scnario prsent. Vous
pouvez personnaliser l'atelier en fonction de la taille de la classe. Si votre classe
est complte, vous pouvez implmenter la solution entire pour les six socits
du scnario. Vrifiez la solution de l'atelier B en la comparant au plan que les
stagiaires dveloppent dans l'atelier A. Mettez en vidence la partie vrification
de l'atelier. Les stagiaires testent leur implmentation en ouvrant une session
en tant qu'utilisateur pour vrifier que les diffrentes parties de leur
implmentation fonctionnent correctement. Soulignez que l'atelier est
termin uniquement lorsque la vrification du plan a abouti.
Lorsque l'atelier est termin, demandez aux stagiaires s'ils souhaitent poser des
questions relatives l'atelier ou s'ils ont des problmes quant au plan et la
manire dont ils l'ont implment. De mme, sondez-les pour savoir s'ils ont
abord l'implmentation de manire diffrente.
Vue d'ensemble

Introduction
Dans ce module, vous allez mettre en pratique les connaissances et

comptences acquises dans ce cours afin de planifier puis d'implmenter une
infrastructure de service d'annuaire Active Directory. Vous allez implmenter
Active Directory en fonction des besoins professionnels d'une entreprise fictive
appele Tailspin Toys.
Objectifs

!
revoir la conception d'Active Directory et crer un plan d'implmentation

d'Active Directory pour Tailspin Toys ;
implmenter une infrastructure Active Directory pour Tailspin Toys.
Leon : Cration d'un plan d'implmentation d'Active


Introduction
Ce module prsente une tude de cas relative une entreprise fictive appele
Tailspin Toys. Les ateliers de ce module portent sur les efforts de l'entreprise
pour planifier et implmenter Active Directory au sein de la socit, en
collaboration avec des partenaires et des fournisseurs de services. Dans les
ateliers de ce module, vous allez utiliser une application interactive, le
Navigateur d'atelier, afin d'analyser des informations bases sur un scnario.
!
identifier les composants d'un plan d'implmentation d'Active Directory ;
dcrire l'entreprise fictive ;
identifier le personnel cl de Tailspin Toys ;
dcrire l'environnement de l'atelier.
Rappel sur les composants du plan d'implmentation

Introduction
L'quipe Ingnierie et conception de Tailspin Toys a men bien son processus

de rvision des objectifs commerciaux de l'entreprise. L'quipe a des
recommandations qui affectent l'implmentation d'Active Directory. Passez
en revue les documents de conception et de planification ainsi que les
recommandations, puis crez un plan d'implmentation d'Active Directory.
Composants de
conception d'Active
Directory
L'quipe des concepteurs a cr les composants principaux suivants de la

conception d'Active Directory :
Composants du plan
d'implmentation
d'Active Directory
la conception de la fort et du domaine ;
la conception de l'unit d'organisation ;
la conception du site.
Le plan d'implmentation d'Active Directory permet de dterminer comment

Tailspin Toys implmente la conception d'Active Directory. Tenez compte de
toutes les recommandations que l'quipe Ingnierie et conception vous donne
pour finaliser votre plan d'implmentation. Le plan d'implmentation d'Active
Directory peut contenir les composants principaux suivants :
!
Stratgie de compte
Plan d'implmentation d'unit d'organisation
Plan de stratgie de groupe
Plan de dploiement de logiciels
Plan d'implmentation du site
Plan de placement du contrleur de domaine
Prsentation de Tailspin Toys

Introduction
Le sige social de Tailspin Toys se trouve New York. La socit emploie

3000 personnes dans tout les tats-Unis. Au fil des annes, la socit a largi
son activit vers les jeux de plateau, une ligne exclusive d'animaux en peluche,
de jeux de construction, de poupes et de jouets enfourcher. Pour mieux
prendre en compte la croissance de la socit, elle a ouvert une filiale de
production et de distribution Fayetteville, dans l'Arkansas.
Plans venir
Pour suivre le rythme de la concurrence de l'industrie des jeux lectroniques,

Tailspin Toys s'est port acqureur de deux petites entreprises de fabrication
de jeux lectroniques, Contoso, Ltd et Wingtip Toys. Wingtip Toys, situ
Houston (Texas) fabrique une gamme d'animaux robotiss qui rencontre en
franc succs. Elle contrle galement une usine de production Austin (Texas).
Contoso, Ltd se trouve Palo Alto, en Californie. Elle commercialise des jeux
vido compatibles avec plusieurs consoles de jeux. Contoso, Ltd gre une
installation de recherche et dveloppement San Ramon (Californie).
Deux socits, Trey Research et A. Datum Corporation apportent les
fournitures lectroniques et d'emballage Tailspin Toys. Tailspin Toys
utilise ces fournitures pour concevoir puis distribuer sa ligne de produits
sur de nouveaux marchs. Trey Research a install son sige social Helena
(Montana), et exploite une usine Fargo (Dakota du Nord). A. Datum
Corporation l'a install Davenport (Iowa), et exploite une usine Eden Prairie
(Minnesota). Les deux socits estiment que leur main d'uvre va augmenter
de 30 50 pour cent dans les trois prochaines annes en fonction du plan
d'entreprise dvelopp par Tailspin Toys.
Tailspin Toys a dcid de faire appel un fournisseur externe, Consolidated
Messenger, pour grer les ressources humaines (HR, Human Resources).
Le sige social de Consolidated Messenger se trouve Chicago (Illinois).
La socit a ouvert une succursale La Jolla, en Californie.
Personnel de Tailspin Toys

Introduction
Les ateliers A et B commencent par une courte prsentation vido anime

par plusieurs employs de Tailspin Toys, qui font tat des problmatiques
de planification et d'implmentation d'Active Directory. Les employs ne
reprsentent qu'une petite partie des rles que devront tenir les concepteurs et
les implmenteurs afin de crer un plan d'implmentation d'Active Directory
pour une organisation.
Personnel cl
Vous allez entendre les employs suivants :

!
Jack S. Richins. En tant que Prsident directeur gnral (PDG) de Tailspin

Toys, Jack expose souvent les motivations des dcisions.
Tad Orman. En tant que directeur des nouvelles technologies, Tad est
responsable de la bonne marche du dveloppement et de l'implmentation
d'une conception d'Active Directory dans l'ensemble de Tailspin Toys,
Contoso, Ltd, Wingtip Toys, ses fournisseurs, Trey Research, A. Datum
Corporation et son fournisseur externe, Consolidated Messenger.
Linda Meisner. En tant que responsable de groupe de l'quipe Ingnierie

et conception, Linda vous a demand de planifier et d'implmenter une
infrastructure Active Directory au sein de Tailspin Toys et de ses partenaires
et fournisseurs. Au cours de l'atelier, c'est Linda qui va vous donner toutes
les instructions.
Prsentation de l'environnement de l'atelier

Points cls
Pour commencer l'atelier, cliquez sur Internet Explorer sur le Bureau.

Chaque atelier contient les lments suivants :
!
Entretiens. Les responsables de la socit prsentent le scnario et les

recommandations pour implmenter Active Directory dans Tailspin Toys.
Messages lectroniques. Ces messages contiennent des informations

dtailles pour chaque scnario de l'atelier. Ceux que vous recevez de la
part de Linda contiennent les objectifs.
Intranet. Informations de base relatives Tailspin Toys, notamment

l'historique de la socit, l'organigramme et l'emplacement de la socit.
Fichiers rseau. Il s'agit d'un serveur de fichiers qui contient des dossiers
avec des documents pertinents dont vous pourriez avoir besoin pour
effectuer l'atelier.
Aide. Instructions sur la manire d'utiliser le Navigateur d'atelier.
! Raliser l'atelier
1. Lisez les messages lectroniques de Linda pour connatre les objectifs de
l'atelier.
2. Lisez les documents relatifs la conception d'Active Directory afin de crer
un plan d'implmentation.
3. Commentez vos rponses avec la classe.
Atelier A : Cration d'un plan d'implmentation

d'Active Directory pour Tailspin Toys

Objectifs
!
crer un plan d'implmentation d'Active Directory pour Tailspin Toys et

ses partenaires ;
implmenter l'infrastructure Active Directory pour Tailspin Toys et ses

partenaires.

!
comprendre les composants d'Active Directory ;
comprendre comment Active Directory utilise les services DNS

(Domain Name System) ;
comprendre les autorisations et les relations d'approbations Active

Directory ;
avoir des connaissances et des comptences en matire de cration de

comptes d'utilisateurs, de comptes de groupes et de comptes d'ordinateurs.
avoir des connaissances et des comptences en matire de cration et de

configuration de sites et de liens ;
avoir des connaissances et des comptences pour placer des contrleurs

de domaine ;
avoir des connaissances et des comptences en matire d'implmentation de

avoir des connaissances et des comptences en matire de dploiement de

logiciels l'aide de la stratgie de groupe.
Scnario
Tailspin Toys vous a engag pour dvelopper son plan d'implmentation

d'Active Directory. Lisez attentivement ce document avant de commencer les
exercices de cet atelier. Ensuite, reportez-vous au Navigateur d'atelier pour
obtenir des instructions relatives l'activit en cours, l'infrastructure et
la conception propose, qui est fonction des recommandations de l'quipe
Ingnierie et conception.
Important Vous pouvez dessiner votre diagramme sur une feuille de papier
ou utiliser Microsoft Visio pour documenter votre solution.
Dure approximative
de cet atelier :
45 minutes
Exercice 1
Planification de la structure de fort
Dans cet exercice, vous allez choisir la manire d'implmenter une structure de
fort Active Directory pour l'entreprise Tailspin Toys. Utilisez les informations
du Navigateur d'atelier que l'quipe Ingnierie et conception de Tailspin Toys a
dvelopp. De mme, utilisez les entres de la part de vos collgues pour
laborer le plan d'implmentation.
! Documenter le plan pour la structure de fort

!
Nom de la socit
Utilisez le tableau ci-dessous pour prendre vos dcisions.
Domaines supplmentaires
Nombre de
contrleurs
de domaine
10
Exercice 2
Planification de la structure de l'unit d'organisation
Dans cet exercice, vous allez choisir la manire d'implmenter une structure
d'unit d'organisation pour l'entreprise Tailspin Toys et ses partenaires.
Conformez-vous aux instructions dveloppes par l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
Scnario
Dterminez, puis documentez une structure d'unit d'organisation pour

l'entreprise Tailspin Toys. Etant donn que vous allez travailler en groupes
de quatre, vous pouvez utiliser 16 graphiques pour mener bien cette tche.
! Documenter le plan pour la structure d'unit d'organisation

1. Quelle approche allez-vous utiliser pour implmenter des units
d'organisation dans l'entreprise ? Documentez vos dcisions dans les
graphiques ci-dessous.
Domaine
Unit d'organisation1
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
11
12
Domaine
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
Domaine
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
13
14
Domaine
Utilisateur1
Utilisateur6
Utilisateur11
Utilisateur2
Utilisateur7
Utilisateur12
Utilisateur3
Utilisateur8
Utilisateur13
Utilisateur4
Utilisateur9
Utilisateur14
Utilisateur5
Utilisateur10
Utilisateur15
Groupe1
Groupe6
Groupe11
Groupe2
Groupe7
Groupe12
Groupe3
Groupe8
Groupe13
Groupe4
Groupe9
Groupe14
Groupe5
Groupe10
Groupe15
15
Exercice 3
Planification des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez choisir la manire d'implmenter des comptes
d'utilisateurs, des comptes de groupes et des comptes d'ordinateurs pour
l'entreprise Tailspin Toys et ses partenaires. Tenez compte des critres de
dcision dans l'entreprise et des types de comptes de groupes que vous devez
crer. Conformez-vous aux instructions de l'quipe Ingnierie et conception.
Reportez-vous au Navigateur d'atelier pour obtenir les instructions et autres
informations dont vous avez besoin pour prendre vos dcisions.
! Documenter la convention d'attribution de nom pour les comptes

d'utilisateurs, de groupes et d'ordinateurs
Quelles conventions d'attribution de nom allez-vous utiliser pour crer les

comptes d'utilisateurs, de groupes et d'ordinateurs ?
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
16
Exercice 4
Planification des conditions requises de stratgie de groupe
Dans cet exercice, vous allez choisir la manire d'implmenter une stratgie de
groupe dans l'environnement de Tailspin Toys. Tenez compte des conditions
requises de Tailspin Toys et de ses partenaires, notamment les instructions de
l'quipe Ingnierie et conception. Reportez-vous au Navigateur d'atelier pour
obtenir les instructions et autres informations dont vous avez besoin pour
prendre vos dcisions.
! Documenter les conditions requises de stratgie de groupe

!
Quels lments allez-vous implmenter grce la stratgie de groupe ?

____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
17
Exercice 5
Planification du dploiement de logiciels
Dans cet exercice, vous allez choisir les logiciels que vous allez dployer dans
l'environnement de l'entreprise et la manire d'utiliser au mieux les mthodes
de distribution votre disposition. Aidez-vous des instructions et des autres
informations du Navigateur d'atelier pour prendre vos dcisions.
! Documenter le plan de dploiements de logiciels

!
Quels logiciels allez-vous dployer chez Tailspin Toys et ses partenaires ?

Comment allez-vous les dployer ?
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
18
Exercice 6
Planification des sites et du placement des contrleurs de domaine
Dans cet exercice, vous allez dterminer les sites que vous allez crer, le cas
chant. Vous allez galement planifier la distribution des contrleurs de
domaine dans l'entreprise en fonction des rles qu'ils ralisent. Aidez-vous des
instructions cres par l'quipe Ingnierie et conception ainsi que d'autres
informations du Navigateur d'atelier pour prendre vos dcisions.
! Documenter les noms et les emplacements des sites

!
Quels sites allez-vous crer pour l'entreprise Tailspin Toys ?

Documentez vos rponses dans le tableau ci-dessous.
Nom du site
Emplacement
! Documenter l'emplacement des contrleurs de domaine

!
O allez-vous placer les rles du contrleur de domaine dans chaque

socit de l'entreprise Tailspin Toys ? Documentez vos rponses dans le
tableau ci-dessous.
Domaine
Contrleur de domaine
Emplacement
19
20
Exercice 7
Planification des approbations
Dans cet exercice, vous allez choisir la meilleure approche pour implmenter
les approbations. Conformez-vous aux instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir des instructions
et d'autres informations ncessaires. En fonction du scnario fournit par l'quipe
de conception, choisissez le nombre et le type d'approbations crer dans
l'entreprise. Tenez compte des consquences de vos dcisions sur la scurit.
! Documenter les relations d'approbation

!
Quels types d'approbations allez-vous tablir pour chaque socit de

l'entreprise Tailspin Toys ? O allez-vous crer ces approbations ?
Documentez vos dcisions dans le tableau ci-dessous.
Approbation de fort
Destination de
l'approbation
Type d'approbation
21
Exercice 8
Planification de la rcupration d'urgence
Dans cet exercice, vous allez choisir la meilleure approche utiliser pour
planifier la rcupration d'urgence. Aidez-vous des instructions de l'quipe de
conception. Reportez-vous au Navigateur d'atelier pour obtenir les informations
ncessaires pour prendre vos dcisions.
Scnario
Tailspin Toys a besoin d'un excellent plan de rcupration d'urgence.

L'entreprise doit tre mme de rcuprer rapidement les ventuelles pertes
de donnes et les vnements catastrophiques qui pourraient dsactiver le
traitement de donnes. Votre quipe doit concevoir une solution pour satisfaire
ces conditions requises.
! Documenter le plan de rcupration d'urgence

!
Quel est le plan de rcupration d'urgence ?

____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
22
Exercice 9
Vrification du plan d'implmentation
Dans cet exercice, vous allez dterminer si les composants cl du plan
d'implmentation fonctionnent comme prvu pour l'entreprise Tailspin Toys
et ses partenaires. Aidez-vous des instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
! Vrifier l'implmentation d'Active Directory chez Tailspin Toys

!
Quelles parties de l'implmentation allez vous tester ? Comment allez-vous

tester l'implmentation ? Documentez vos rponses. Vous allez utiliser ce
plan de test pour vrifier l'implmentation l'issue de l'atelier B.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
23
Leon : Implmentation de l'infrastructure

Active Directory pour Tailspin Toys

Introduction
Dans cette leon, vous allez implmenter une solution pour Tailspin Toys en
fonction du plan d'implmentation d'Active Directory que vous avez cr au
cours de l'atelier de la leon prcdente.
Objectif de la leon
A l'issue de cette leon, vous serez mme d'implmenter l'infrastructure

Active Directory pour Tailspin Toys.
24
Atelier B : Implmentation de l'infrastructure Active


Objectifs
A l'issue de cet atelier, vous serez mme d'implmenter l'infrastructure

Active Directory pour Tailspin Toys.
Scnario
Dure approximative
de cet atelier :
120 minutes
comprendre les composants d'Active Directory ;
comprendre comment Active Directory utilise les services DNS ;
comprendre les autorisations et les relations d'approbations

Active Directory ;
avoir des connaissances et des comptences en matire de cration de

comptes d'utilisateurs, de comptes de groupes et de comptes d'ordinateurs ;
avoir des connaissances et des comptences en matire de cration et de

configuration de sites et de liens ;
avoir des connaissances et des comptences pour placer des contrleurs

de domaine ;
avoir des connaissances et des comptences en matire d'implmentation de

avoir des connaissances et des comptences en matire de dploiement de

logiciels l'aide de la stratgie de groupe.
Tailspin Toys vous a engag pour implmenter son infrastructure Active

Directory. Utilisez le Navigateur d'atelier pour en savoir plus sur l'activit en
cours, sur l'infrastructure et sur la conception propose de l'entreprise, qui est
fonction des recommandations de l'quipe Ingnierie et conception. Terminez
le plan d'implmentation avant de commencer les exercices de cet atelier.
25
Exercice 0
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Important : Configurez le serveur London comme rfrence pour la zone .msft. Cette
zone sera dlgue chaque contrleur de domaine du stagiaire de l'atelier qui sert
de rfrence pour cette zone. Les stagiaires vont configurer leur ordinateur afin de
transfrer des requtes DNS vers le serveur London de cet atelier.
Tches
Procdure dtaille
"
a.
Configurer l'ordinateur de
l'instructeur afin de dlguer
les domaines DNS.
Cliquez sur Dmarrer, pointez sur Outils d'administration puis

cliquez sur DNS.
b. Dveloppez Zones de recherch directe, cliquez avec le bouton
droit sur la zone msft puis cliquez sur Nouvelle dlgation.

c.
Dans la page Bienvenue, cliquez sur Suivant.
d. Dans la page Nom du domaine dlgu, entrez domaine_x
(reportez-vous la colonne Domaine du tableau de l'exercice 2 pour

dterminer la valeur de domaine_x), puis cliquez sur Suivant.
Important ! Vous devez entrer le nom d'un seul serveur de chaque
domaine. Assurez-vous que le serveur que vous avez choisi partir de
chaque domaine est configur en tant que contrleur du domaine racine
de la fort dans l'atelier.
e.
Dans la page Serveurs de noms, cliquez sur Ajouter.
f.
Dans la page Nouvel enregistrement de ressource, entrez le nom de

domaine pleinement qualifi (FQDN, Fully Qualified Domain Name)
du serveur et l'adresse IP puis cliquez sur OK.
g.
Dans la page Serveurs de noms, cliquez sur Suivant.
h. Dans la page L'Assistant Nouvelle dlgation est termin,

i.
Reprenez les tapes b h pour chaque domaine du stagiaire de la

configuration.
26
Exercice 1
Suppression d'Active Directory et modification du nom de
votre serveur
Dans cet exercice, vous allez supprimer Active Directory de votre ordinateur en prparation de
l'implmentation du plan que vous avez dvelopp dans l'atelier prcdent. Vous allez ensuite
renommer votre serveur en fonction du rle qu'il va jouer dans l'implmentation.
Le tableau ci-dessous rpertorie les informations relatives aux nouveaux noms de serveur.
Ancien nom
Nouveau nom
Vancouver
NYDC1
Denver
FYDC1
Perth
HODC1
Brisbane
AUDC1
Lisbon
PADC1
Bonn
SRDC1
Lima
HEDC1
Santiago
FADC1
Bangalore
DADC1
Singapore
EPDC1
Casablanca
CHDC1
Tunis
LJDC1
Acapulco
NYDC2
Miami
FYDC2
Auckland
HODC2
Suva
AUDC2
Stockholm
PADC2
Moscow
SRDC2
Caracas
HEDC2
Montevideo
FADC2
Manila
DADC2
Tokyo
EPDC2
Khartoum
CHDC2
Nairobi
LJDC2
Tches
1.

de votre contrleur de
domaine.
"
Ouvrez une session sur votre domaine en tant qu'Administrateur
2.
Renommer votre serveur

conformment au tableau
prcdent.
"
Ouvrez une session sur votre serveur en tant qu'Administrateur
Exercice 2
Cration de forts et d'arborescences
Dans cet exercice, vous allez utiliser le plan d'implmentation de l'atelier A afin de crer les forts
et les arborescences de domaine appropries.
Le tableau suivant rpertorie les six serveurs racines de la fort et leurs noms de domaine
correspondants.
Serveur racine de la fort
Domaine
NYDC1
newyork.tailspintoys.msft
HODC1
houston.wingtiptoys.msft
PADC1
paloalto.contoso.msft
HEDC1
helena.treyresearch.msft
DADC1
davenport.adatum.msft
CHDC1
chicago.consolidatedmessenger.msft
Le tableau suivant rpertorie les six arborescences supplmentaires des forts existantes et leurs
noms de domaine correspondants.
Serveur
Domaine
FYDC1
fayetteville.tailspintoys.msft
AUDC1
austin.wingtiptoys.msft
SRDC1
sanramon.contoso.msft
FADC1
fargo.treyresearch.msft
EPDC1
edenprairie.adatum.msft
LJDC1
lajolla.consolidatedmessenger.msft
Le tableau suivant rpertorie les serveurs supplmentaires et leurs noms de domaine existants
correspondants.
Serveur
Domaine
NYDC2
newyork.tailspintoys.msft
FYDC2
fayetteville.tailspintoys.msft
HODC2
houston.wingtiptoys.msft
AUDC2
austin.wingtiptoys.msft
PADC2
paloalto.contoso.msft
SRDC2
sanramon.contoso.msft
HEDC2
helena.treyresearch.msft
FADC2
fargo.treyresearch.msft
DADC2
davenport.adatum.msft
EPDC2
edenprairie.adatum.msft
CHDC2
chicago.consolidatedmessenger.msft
LJDC2
lajolla.consolidatedmessenger.msft
27
28
Scnario
En tant que membre de l'quipe Ingnierie et conception, vous devez crer la structure logique
d'Active Directory que vous allez utiliser dans l'implmentation d'Active Directory pour
Tailspin Toys.
Tches
1.
Installer Active Directory

sur les six serveurs racines
de la fort puis crer les
domaines.
"
Installez Active Directory sur les six serveurs racines de la fort puis
crez les domaines en fonction des informations du premier tableau de
l'exercice 2.
2.

pour crer les six
arborescences
supplmentaires dans
les forts existantes puis
crer les domaines.
a.
Installez Active Directory pour crer les six arborescences

supplmentaires dans les forts existantes puis crez les domaines
en fonction des informations du second tableau de l'exercice 2.
c.
Vrifiez que le service de rsolution DNS du contrleur du domaine

enfant pointe sur le contrleur du domaine racine de la fort du
partenaire ou sur le serveur London.

sur les autres ordinateurs
de la classe et configurer
chacun d'eux en tant que
serveur supplmentaire dans
les domaines existants.
a.
Installez Active Directory sur les autres ordinateurs de la classe et

configurez chacun d'eux en tant que serveur supplmentaire dans les
domaines existants en fonction des informations du troisime tableau
de l'exercice 2.
3.
b. Ouvrez une session sur votre serveur en tant qu'Administrateur
avec le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
b. Ouvrez une session sur votre serveur en tant qu'Administrateur avec

c.
Vrifiez que le systme de rsolution DNS du contrleur de domaine

supplmentaire pointe sur le contrleur de domaine du domaine qu'il
rejoint ou sur le serveur London.
29
Exercice 3
Cration de la structure de l'unit d'organisation
Dans cet exercice, vous allez crer une structure d'unit d'organisation conformment votre plan
d'implmentation d'Active Directory.
Tches
"
"
Crer la structure
d'unit d'organisation
conformment votre
plan d'implmentation
d'Active Directory.
Spcifiez le nom d'une unit d'organisation partir de votre plan de

l'atelier A.
30
Exercice 4
Cration des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez crer des comptes d'utilisateurs, des comptes de groupes et des
comptes d'ordinateurs conformment au plan que vous avez dvelopp dans l'atelier A. Utilisez
le fichier Lab11users.csv pour importer plusieurs comptes ou les crer manuellement. Le fichier
d'importation contient 100 comptes utilisateur et comptes d'ordinateur gnriques et 50 comptes de
groupe gnriques que vous avez la possibilit de modifier et d'importer dans votre infrastructure
Active Directory.
Tches
"
a.
Crer des comptes

d'utilisateurs, des comptes
de groupes et des comptes
d'ordinateurs.
Ouvrez une session en tant qu'Administrateur avec le mot de passe

P@ssw0rd.
b. Utilisez le fichier CSVD intitul Lab11users.csv situ dans
C:\MOC\2194\Labfiles\Setup.
Exercice 5
Cration de la stratgie de groupe
Dans cet exercice, vous allez crer des objets Stratgie de groupe pour configurer les paramtres de
stratgie de groupe.
Tches
1.
Ouvrir Gestion de stratgie

de groupe.
a.
Utilisez Excuter en tant que pour ouvrir Gestion de stratgie de

groupe.
b. Utilisez un mot de passe P@ssw0rd.

2.
Naviguer jusqu' votre

domaine puis crer une
nouvelle stratgie.
3.
Etablir un lien entre l'objet

Stratgie de groupe et votre
domaine.
"
Slectionnez les paramtres appropris de la stratgie de groupe en

fonction du plan de l'atelier A.
31
32
Exercice 6
Dploiement de logiciels l'aide d'une stratgie de groupe
Dans cet exercice, vous allez crer un package d'installation de logiciels afin de dployer
Microsoft Office XP vers un groupe de votre domaine.
Tches
1.
Ouvrir Gestion de stratgie

de groupe.
a.
Utilisez Excuter en tant que pour ouvrir Gestion de stratgie

de groupe.
b. Utilisez un mot de passe P@ssw0rd.

2.
Naviguer vers la stratgie de

domaine de votre domaine
puis diter la stratgie.
3.
Crer un package
d'installation de logiciels
afin d'attribuer Office XP
un groupe de votre domaine.
"
Utilisez le package Proplus.msi situ sur le point de distribution des

logiciels de l'instructeur.
33
Exercice 7
Placement des rles de matre d'oprations et des serveurs de
catalogue global
Dans cet exercice, vous allez transfrer certains rles de matre d'oprations et activer le serveur de
catalogue global.
Tches
Important : Effectuez les tches suivantes sur NYDC2, FYDC2, HODC2, AUDC2, PADC2, SRDC2,
HEDC2, FADC2, DADC2, EPDC2, CHDC2 et LJDC2.
"
Transfrer PDC, RID et

les rles de matre
d'infrastructure vers le
second serveur de chaque
emplacement.
"
Ouvrez une session sur votre serveur en tant qu'Administrateur avec le

mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
34
Exercice 8
Cration d'approbations de forts
Dans cet exercice, vous aller augmenter le niveau fonctionnel de chaque domaine et fort, puis
crer des approbations de forts.
Tches
Important : Effectuez la tche suivante sur le premier contrleur de domaine de chaque domaine.
1.
Augmenter le niveau
fonctionnel de chaque
domaine vers Microsoft
2.
Sur le serveur racine de

chaque fort, augmenter
le niveau fonctionnel
de chaque fort vers
"
Ouvrez une session sur votre serveur en tant qu'Administrateur avec

Important : Crez une approbation de fort bidirectionnelle entre newyork.tailspintoys.msft et

houston.wingtiptoys.msft. Crez une approbation de fort bidirectionnelle supplmentaire entre
newyork.tailspintoys.msft et paloalto.contoso.msft. Effectuez la tche suivante sur NYDC1, avec
l'aide des administrateurs de HODC1 et PADC1.
3.
Crer des approbations de

forts bidirectionnelles.
"
Dans la page Nom d'utilisateur et mot de passe, demandez

l'administrateur de HODC1 d'entrer un nom d'utilisateur
Administrateur et un mot de passe pour l'administrateur du
domaine houston.wingtiptoys.com.
Important : Crez des approbations unidirectionnelles de sorte que helena.treyresearch.msft,

davenport.adatum.msft et chicago.consolidatedmessenger.msft approuvent newyork.tailspintoys.msft.
Effectuez cette tche sur NYDC1 avec l'aide des administrateurs de HEDC1, DADC1 et CHDC1.
4.
Crer des approbations de

forts unidirectionnelles.
"
Dans la page Nom d'utilisateur et mot de passe, demandez

l'administrateur de HEDC1 d'entrer le nom d'utilisateur
Administrateur et un mot de passe pour l'administrateur du
domaine helena.treyresearch.msft.
Exercice 9
Vrification de l'implmentation d'Active Directory
Dans cet exercice, vous allez vrifier l'implmentation d'Active Directory pour vous assurer les
composants cls de l'infrastructure fonctionnent comme prvu.
Scnario
L'implmentation d'Active Directory est dsormais termine. Ouvrez une session en tant
qu'utilisateur de test afin de vrifier que les composants de l'implmentation fonctionnent comme
prvu. Accordez une attention toute particulire l'accs aux ressources dans les forts ou les
domaines si les plans de scurit exigent ce niveau de restriction. Faites galement attention
l'hritage des paramtres de la stratgie et aux paramtres de dploiement de logiciels dans la
stratgie de groupe. Linda Meisner, de Tailspin Toys, attend que vous lui transmettiez un rapport
d'tat relatif ces composants d'implmentation cls. Elle a galement demand votre quipe
d'approuver les fonctionnalits la fin du plan d'implmentation. Linda a prvu des runions afin
de cder l'implmentation l'quipe des oprations, compose d'administrateurs systme et de
l'organisation informatique. Votre quipe reste disposition en cas de problmes.
Tches
1.
Ouvrir une session en tant

qu'utilisateur depuis
Tailspin Toys.
2.
Vrifier l'accs aux

ressources.
35

Pi Mad 2003 Server

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Pi Mad 2003 Server

Transféré par

Droits d'auteur :

Formats disponibles

Planification, implmentation

Table des matires

Module 1 : Introduction l'infrastructure Active Directory

Module 2 : Implmentation d'une structure de fort et de domaine

Module 3 : Implmentation de la structure d'une unit d'organisation

Module 4 : Implmentation de comptes d'utilisateurs, de groupes et

Module 5 : Implmentation d'une stratgie de groupe

Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie

Module 7 : Implmentation de sites pour grer la rplication

Module 8 : Implmentation du placement des contrleurs de domaine

Module 9 : Gestion des matres d'oprations

Module 10 : Maintenance d'Active Directory

Module 11 : Planification et implmentation d'une infrastructure

Profil des stagiaires

Ce cours s'adresse aux personnes employes ou recherchant un emploi comme

Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de

Avancs : Personnes exprimentes occupant actuellement un poste

Les professionnels prparant l'examen 70-294 du programme MCP

Au terme de ce cours, les stagiaires disposeront des connaissances techniques

la fin de ce cours, les stagiaires seront mme d'effectuer les tches

dcrire les composants logiques et physiques d'Active Directory ;

crer et configurer une structure fort et domaine l'aide de la conception

planifier et implmenter une structure d'unit d'organisation ;

planifier et implmenter des comptes d'utilisateurs, de groupes et

planifier et implmenter une stratgie de groupe pour grer de faon

implmenter des sites pour grer et contrler la rplication Active

planifier et implmenter le placement des contrleurs de domaine, des

planifier et grer les matres d'oprations ;

sauvegarder, restaurer et assurer la maintenance d'Active Directory ;

planifier et implmenter une infrastructure Active Directory base sur une

Module 1 : Introduction l'infrastructure Active Directory

Module 1 : Introduction l'infrastructure Active Directory (suite)

Module 2 : Implmentation d'une structure de fort et de domaine

Module 2 : Implmentation d'une structure de fort et de domaine

Atelier 2 : Implmentation d'Active Directory

Module 3 : Implmentation de la structure d'une unit

Contrle des acquis du premier jour

Atelier 3 : Implmentation de la structure d'une unit

Module 4 : Implmentation de comptes d'utilisateurs, de groupes

Module 4 : Implmentation de comptes d'utilisateurs, de groupes

Atelier 4 : Implmentation d'une stratgie de compte et d'audit

Module 5 : Implmentation d'une stratgie de groupe

Contrle des acquis du deuxime jour

Module 5 : Implmentation d'une stratgie de groupe (suite)

Atelier : 5 : Implmentation d'une stratgie de groupe

Module 6 : Dploiement et gestion des logiciels l'aide d'une

Atelier 6 : Dploiement et gestion des logiciels l'aide d'une

Contrle des acquis du troisime jour

Module 7 : Implmentation de sites pour grer la rplication

Module 7 : Implmentation de sites pour grer la rplication

Module 7 : Implmentation de sites pour grer la rplication

Atelier 7 : Implmentation de sites pour grer la rplication

Module 8 : Implmentation du placement des contrleurs de

Atelier 8 : Implmentation du placement des contrleurs de

Module 9 : Gestion des matres d'oprations

Contrle des acquis du quatrime jour

Atelier 9 : Gestion des matres d'oprations

Module 10 : Maintenance d'Active Directory

Module 10 : Maintenance d'ActiveDirectory (suite)

Atelier 10 : Maintenance d'Active Directory

Atelier 10 : Maintenance d'ActiveDirectory (suite)

Module 11 : Planification et implmentation d'une infrastructure

Atelier 11A : Cration d'un plan d'implmentation d'Active

Module 11 : Planification et implmentation d'une infrastructure

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR

DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR