Vous êtes sur la page 1sur 696

Planification, implmentation

et maintenance d'une
infrastructure Active Directory

Microsoft Windows

Server 2003

Guide pdagogique
Cours n : 2194A

Rf. n : X09-84841
dit en : 05/2003
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.

Cours n : 2194A
Rf. n : X09-84841
dit le : 05/2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 iii

Table des matires


Introduction
Introduction .............................................................................................................1
Documents de cours ................................................................................................2
Conditions pralables ..............................................................................................4
Plan du cours ...........................................................................................................5
Configuration...........................................................................................................7
Programme MOC ....................................................................................................9
Programme MCP ...................................................................................................11
Logistique ..............................................................................................................14
Module 1 : Introduction l'infrastructure Active Directory
Vue d'ensemble........................................................................................................1
Leon : Architecture d'Active Directory..................................................................2
Leon : Fonctionnement d'Active Directory..........................................................11
Leon : Analyse d'Active Directory ......................................................................21
Leon : Processus de conception, de planification et d'implmentation
d'Active Directory .................................................................................................32
Module 2 : Implmentation d'une structure de fort et de domaine
Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'une structure de fort et de domaine .........................................2
Leon : Analyse du systme DNS intgr Active Directory...............................23
Leon : Augmentation des niveaux fonctionnels de la fort et du domaine ..........38
Leon : Cration de relations d'approbation ..........................................................44
Atelier A : Implmentation d'Active Directory .....................................................57
Module 3 : Implmentation de la structure d'une unit d'organisation
Vue d'ensemble........................................................................................................1
Leon : Cration et gestion d'units d'organisation .................................................2
Leon : Dlgation du contrle administratif des units d'organisation ................14
Leon : Planification d'une stratgie d'unit d'organisation...................................25
Atelier A : Implmentation de la structure d'une unit d'organisation...................36
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et
d'ordinateurs
Vue d'ensemble........................................................................................................1
Leon : Prsentation des comptes............................................................................2
Leon : Cration et gestion de plusieurs comptes..................................................11
Leon : Implmentation des suffixes UPN............................................................24
Leon : Dplacement d'objets dans Active Directory............................................35
Leon : Planification d'une stratgie de compte d'utilisateur, de groupe et
d'ordinateur............................................................................................................45
Leon : Planification d'une stratgie d'audit Active Directory ..............................59
Atelier A : Implmentation d'une stratgie de compte et d'audit...........................65
iv Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Module 5 : Implmentation d'une stratgie de groupe


Vue d'ensemble........................................................................................................1
Leon : Cration et configuration d'objets Stratgie de groupe ...............................2
Leon : Configuration des frquences d'actualisation et des paramtres de
stratgie de groupe.................................................................................................19
Leon : Gestion des objets Stratgie de groupe .....................................................32
Leon : Vrification et rsolution des problmes lis la stratgie de groupe......47
Leon : Dlgation du contrle administratif de la stratgie de groupe ................56
Leon : Planification d'une stratgie de groupe pour l'entreprise ..........................66
Atelier A : Implmentation d'une stratgie de groupe ...........................................74
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la gestion du dploiement de logiciels ..............................2
Leon : Dploiement de logiciels ............................................................................7
Leon : Configuration du dploiement des logiciels .............................................19
Leon : Maintenance des logiciels dploys..........................................................28
Leon : Rsolution des problmes lis au dploiement de logiciels......................37
Leon : Planification d'une stratgie de dploiement de logiciels .........................45
Atelier A : Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe ...............................................................................................................53
Module 7 : Implmentation de sites pour grer la rplication
Active Directory
Vue d'ensemble........................................................................................................1
Leon : Prsentation de la rplication Active Directory ..........................................2
Leon : Cration et configuration de sites .............................................................15
Leon : Gestion de la topologie de site..................................................................30
Leon : Rsolution des checs de rplication ........................................................38
Leon : Planification d'un site................................................................................51
Atelier A : Implmentation de sites pour grer la rplication Active Directory ....63
Module 8 : Implmentation du placement des contrleurs de domaine
Vue d'ensemble........................................................................................................1
Leon : Implmentation du catalogue global dans Active Directory.......................2
Leon : Dtermination du placement de contrleurs de domaine dans Active
Directory................................................................................................................14
Leon : Planification du placement des contrleurs de domaine...........................24
Atelier A : Implmentation du placement des contrleurs de domaine .................34
Module 9 : Gestion des matres d'oprations
Vue d'ensemble........................................................................................................1
Leon : Prsentation des rles de matre d'oprations .............................................2
Leon : Transfert et prise de rles de matres d'oprations....................................11
Leon : Planification du placement des matres d'opration..................................24
Atelier A : Gestion des matres d'oprations .........................................................36
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 v

Module 10 : Maintenance d'Active Directory


Vue d'ensemble........................................................................................................1
Leon : Prsentation de la maintenance d'Active Directory ....................................2
Leon : Dplacement et dfragmentation de la base de donnes
Active Directory ......................................................................................................6
Leon : Sauvegarde d'Active Directory.................................................................13
Leon : Restauration d'Active Directory ...............................................................19
Leon : Planification du contrle d'Active Directory ............................................30
Atelier A : Maintenance d'Active Directory..........................................................38
Module 11 : Planification et implmentation d'une infrastructure
Active Directory
Vue d'ensemble........................................................................................................1
Leon : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................2
Atelier A : Cration d'un plan d'implmentation d'Active Directory pour
Tailspin Toys ...........................................................................................................7
Leon : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................23
Atelier B : Implmentation de l'infrastructure Active Directory pour
Tailspin Toys .........................................................................................................24
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 vii

propos de ce cours
Cette section dcrit brivement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances pralables requises.
Description Ce cours anim par un instructeur et rparti sur cinq journes comporte des
lments individualiss et des composants facilits par la prsence de
l'instructeur. Il fournit aux stagiaires les comptences et les connaissances
requises pour planifier, implmenter et dpanner une infrastructure de service
d'annuaire Active Directory dans Microsoft Windows Server 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de fort, le systme DNS
(Domain Name System), la topologie de site et la rplication, la structure
d'unit d'organisation et la dlgation de l'administration, la stratgie de groupe
ainsi que les stratgies de comptes d'utilisateurs, de groupes et d'ordinateurs.
Profil des stagiaires Ce cours s'adresse aux personnes employes ou recherchant un emploi comme
ingnieur systme dans une organisation d'entreprise, de moyenne ou de grande
envergure.
Les stagiaires doivent rpondre l'un des critres suivants :
! Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de
stagiaires englobe les personnes sans connaissances techniques, exerant
actuellement une fonction sans rapport avec l'informatique et qui souhaitent
obtenir et valider des connaissances techniques au niveau ingnierie dans
l'optique d'un changement de carrire.
! Avancs : Personnes exprimentes occupant actuellement un poste
d'informaticien de base et pour qui les fonctions d'ingnierie serveur
Windows sont tout fait nouvelles. Ce groupe comprend les administrateurs
systme de niveau 2 ou les personnes charges du support technique sous
Windows, UNIX ou Novell NetWare et qui ne disposent pas des
connaissances et des comptences requises pour implmenter et dpanner
un rseau s'appuyant sur Windows Server 2003 Server Active Directory.
! Les professionnels prparant l'examen 70-294 du programme MCP
(Microsoft Certified Professional), Planification, implmentation et
maintenance d'une infrastructure Active Directory sous Microsoft Windows
Server 2003, qui constitue l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).

Au terme de ce cours, les stagiaires disposeront des connaissances techniques


ncessaires pour effectuer les tches lies Active Directory dcrites dans ce
cours.

Remarque Le cours 2194A ne s'adresse pas aux personnes suivantes :


ingnieurs systme, dveloppeurs et programmeurs Windows NT,
Windows 2000, UNIX/Linux ou Novell NetWare expriments, utilisateurs
finaux professionnels et particuliers.
viii Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Connaissances Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
pralables 2189A, Planification et maintenance d'une infrastructure rseau Microsoft
Windows Server 2003, ou disposer de connaissances et comptences quivalentes.

Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA


Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).

Objectifs la fin de ce cours, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les composants logiques et physiques d'Active Directory ;
! crer et configurer une structure fort et domaine l'aide de la conception
d'infrastructure d'Active Directory ;
! planifier et implmenter une structure d'unit d'organisation ;
! planifier et implmenter des comptes d'utilisateurs, de groupes et
d'ordinateurs dans Active Directory ;
! planifier et implmenter une stratgie de groupe pour grer de faon
centralise des utilisateurs et les ordinateurs dans une entreprise ;
! dployer, grer et dpanner les logiciels mis en uvre l'aide d'une stratgie
de groupe ;
! implmenter des sites pour grer et contrler la rplication Active
Directory ;
! planifier et implmenter le placement des contrleurs de domaine, des
serveurs de catalogue global et des serveurs DNS intgrs Active
Directory ;
! planifier et grer les matres d'oprations ;
! sauvegarder, restaurer et assurer la maintenance d'Active Directory ;
! planifier et implmenter une infrastructure Active Directory base sur une
conception de service d'annuaire fournie par un architecte d'entreprise.
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 ix

Calendrier du cours
Voici une estimation horaire du droulement du cours. Il est possible que vos
horaires soient diffrents de ceux indiqus dans le tableau suivant :

Premier jour
Dbut Fin Module
9:00 9:30 Introduction
9:30 10:30 Module 1 : Introduction l'infrastructure Active Directory
10:30 10:45 Pause
10:45 11:15 Module 1 : Introduction l'infrastructure Active Directory (suite)
11:15 12:00 Module 2 : Implmentation d'une structure de fort et de domaine
Active Directory
12:00 1:00 Djeuner
1:00 2:15 Module 2 : Implmentation d'une structure de fort et de domaine
Active Directory (suite)
2:15 2:30 Pause
2:30 3:30 Atelier 2 : Implmentation d'Active Directory
3:30 5:00 Module 3 : Implmentation de la structure d'une unit
d'organisation

Deuxime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du premier jour
9:30 10:15 Atelier 3 : Implmentation de la structure d'une unit
d'organisation
10:15 10:30 Pause
10:30 12:00 Module 4 : Implmentation de comptes d'utilisateurs, de groupes
et d'ordinateurs
12:00 1:00 Djeuner
1:00 1:30 Module 4 : Implmentation de comptes d'utilisateurs, de groupes
et d'ordinateurs (suite)
1:30 2:30 Atelier 4 : Implmentation d'une stratgie de compte et d'audit
2:30 2:45 Pause
2:45 4:45 Module 5 : Implmentation d'une stratgie de groupe
x Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Troisime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du deuxime jour
9:30 10:30 Module 5 : Implmentation d'une stratgie de groupe (suite)
10:30 10:45 Pause
10:45 12:00 Atelier : 5 : Implmentation d'une stratgie de groupe
12:00 1:00 Djeuner
1:00 3:00 Module 6 : Dploiement et gestion des logiciels l'aide d'une
stratgie de groupe
3:00 3:15 Pause
3:15 4:15 Atelier 6 : Dploiement et gestion des logiciels l'aide d'une
stratgie de groupe

Quatrime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du troisime jour
9:30 10:45 Module 7 : Implmentation de sites pour grer la rplication
Active Directory
10:45 11:00 Pause
11:00 12:00 Module 7 : Implmentation de sites pour grer la rplication
Active Directory (suite)
12:00 1:00 Djeuner
1:00 1:30 Module 7 : Implmentation de sites pour grer la rplication
Active Directory (suite)
1:30 2:00 Atelier 7 : Implmentation de sites pour grer la rplication
Active Directory
2:00 2:15 Pause
2:15 3:30 Module 8 : Implmentation du placement des contrleurs de
domaine
3:30 4:00 Atelier 8 : Implmentation du placement des contrleurs de
domaine
4:00 5:00 Module 9 : Gestion des matres d'oprations
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 xi

Cinquime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du quatrime jour
9:30 10:00 Atelier 9 : Gestion des matres d'oprations
10:00 11:00 Module 10 : Maintenance d'Active Directory
11:00 11:15 Pause
11:15 11:45 Module 10 : Maintenance d'ActiveDirectory (suite)
11:45 12:00 Atelier 10 : Maintenance d'Active Directory
12:00 1:00 Djeuner
1:00 1:30 Atelier 10 : Maintenance d'ActiveDirectory (suite)
1:30 1:45 Module 11 : Planification et implmentation d'une infrastructure
Active Directory
1:45 2:30 Atelier 11A : Cration d'un plan d'implmentation d'Active
Directory pour Tailspin Toys
2:30 2:45 Pause
2:45 3:00 Module 11 : Planification et implmentation d'une infrastructure
Active Directory (suite)
3:00 5:00 Atelier 11B : Implmentation de l'infrastructure Active Directory
pour Tailspin Toys
xii Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Contenu du CD-ROM de l'instructeur


Le CD-ROM de l'instructeur contient les fichiers et dossiers dcrits ci-dessous :
! Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous
double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM et vous
permet de parcourir le CD-ROM du stagiaire ou de l'instructeur.
! Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance
Autorun.exe.
! Default.htm. Ce fichier ouvre les pages Web destines l'instructeur.
! Readme.txt. Ce fichier dcrit l'installation des logiciels permettant d'afficher
le CD-ROM de l'instructeur et son contenu. Il explique galement comment
ouvrir les pages Web destines l'instructeur.
! 2194A_ms.doc. Ce fichier contient le Guide de configuration manuelle de la
classe. Il contient les tapes excuter pour configurer manuellement les
ordinateurs de la classe.
! 2194A_sg.doc. Ce fichier contient le Guide de configuration automatise de
la classe. Il fournit une description de la configuration de la classe et des
conditions requises, des instructions relatives l'utilisation des scripts de
configuration automatise de la classe et la liste de vrification de la
configuration de la classe.
! Errorlog. Ce dossier peut contenir un journal des erreurs.
! Powerpnt. Ce dossier contient les diapositives Microsoft PowerPoint
utilises dans ce cours.
! Pptview. Ce dossier contient la visionneuse Microsoft PowerPoint 97 que
vous pouvez utiliser pour afficher les diapositives PowerPoint si vous ne
disposez pas de PowerPoint 2002. N'utilisez pas cette version en classe.
! Setup. Ce dossier contient les fichiers ncessaires pour installer le cours et
les logiciels associs sur les ordinateurs de la classe.
! Student. Ce dossier contient les pages Web destines aux stagiaires.
Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions du contrle des acquis et des ateliers, les fichiers des ateliers, les
prsentations multimdias et les sites Web se rapportant au cours.
! Tools. Ce dossier contient les fichiers et les utilitaires employs pour
achever la configuration de l'ordinateur de l'instructeur.
! Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 xiii

Contenu du CD-ROM du stagiaire


Le CD-ROM du stagiaire contient les fichiers et dossiers dcrits ci-dessous :
! Autorun.exe. Lorsque le CD-ROM est insr dans le lecteur, ou lorsque vous
double-cliquez sur Autorun.exe, ce fichier lance le CD-ROM du stagiaire et
vous permet de le parcourir.
! Autorun.inf. Lorsque le CD-ROM est insr dans le lecteur, ce fichier lance
Autorun.exe.
! Default.htm. Ce fichier ouvre la page Web destine aux stagiaires.
Ces pages comportent des liens renvoyant des ressources ayant un rapport
avec ce cours, notamment des lectures complmentaires, les rponses aux
questions de contrle des acquis et des ateliers, les fichiers des ateliers, des
prsentations multimdias et des sites Web se rapportant au cours.
! Readme.txt. Ce fichier explique comment installer le logiciel permettant
d'afficher le CD-ROM du stagiaire et son contenu, et comment ouvrir la
page Web destine au stagiaire.
! Addread. Ce dossier contient des lectures complmentaires ayant un rapport
avec ce cours.
! Appendix. Ce dossier contient les annexes de ce cours.
! Flash. Ce dossier contient le programme d'installation du plug-in
Macromedia Flash 6.0.
! Fonts. Ce dossier contient les polices ventuellement requises pour afficher
les documents Microsoft Word inclus dans ce cours.
! Labfiles. Ce dossier contient les fichiers utiliss dans les ateliers. Certains de
ces fichiers peuvent aussi tre employs pour prparer les ordinateurs des
stagiaires en vue des ateliers.
! Media. Ce dossier contient les fichiers utiliss dans les prsentations
multimdias de ce cours.
! Mplayer. Ce dossier contient le fichier d'installation du lecteur multimdia
Microsoft Windows Media.
! Webfiles. Ce dossier contient les fichiers requis pour afficher la page Web
du cours. Pour accder aux pages Web, ouvrez l'Explorateur Windows, puis
double-cliquez sur Default.htm ou Autorun.exe dans le rpertoire racine
du CD-ROM.
! Wordview. Ce dossier contient la visionneuse Word, utilise pour afficher
tous les fichiers Word (.doc) situs sur le CD-ROM.
xiv Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003

Conventions typographiques
Les conventions suivantes sont utilises dans les documents du cours afin de
distinguer les diffrents lments de texte :
Convention Utilisation

Gras Reprsente des commandes, options de commande et lments


de syntaxe qui doivent tre taps tels qu'ils sont prsents. Cette
mise en forme de caractres dsigne galement les commandes
de menu et les boutons, les titres et options de bote de dialogue
ainsi que les noms de menu.
Italique Dans les syntaxes ou le texte descriptif, reprsente les noms
d'argument ou les espaces rservs aux variables. Cette mise en
forme de caractres est galement utilise pour introduire des
termes nouveaux, citer des titres d'ouvrage et mettre en valeur
des lments du texte.
Majuscules initiales Reprsentent les noms de domaine, d'utilisateur, d'ordinateur, de
rpertoire, de dossier et de fichier (sauf lorsqu'il s'agit de noms
avec respect de la casse). Sauf indication contraire, vous pouvez
taper les noms de rpertoire ou de fichier en minuscules dans les
botes de dialogue ou l'invite.
MAJUSCULES Reprsentent les noms de touche ainsi que les squences et les
combinaisons de touches, par exemple, ALT+ESPACE.
espacement Reprsente les exemples de code ou les exemples de texte
fixe affichs l'cran.
[] Dans les syntaxes, dlimitent les lments facultatifs. Par
exemple, [fichier] dans la syntaxe d'une commande indique que
vous pouvez taper un nom de fichier dans la commande. Tapez
uniquement les informations indiques entre crochets, et non les
crochets proprement dits.
{} Dans les syntaxes, dlimitent les lments obligatoires. Tapez
uniquement les informations indiques entre accolades, et non
les accolades proprement dites.
| Dans les syntaxes, spare les lments mutuellement exclusifs
d'un choix.
! Reprsente une procdure compose d'tapes squentielles.
... Dans les syntaxes, indiquent que l'lment prcdent peut tre
rpt.
. Reprsente une partie omise dans un exemple de code.
.
.
Introduction

Table des matires

Introduction 1
Documents de cours 2
Conditions pralables 4
Plan du cours 5
Configuration 7
Programme MOC 9
Programme MCP 11
Logistique 14
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Introduction iii

Notes de l'instructeur
Prsentation : Ce module donne aux stagiaires une vue d'ensemble du contenu du cours, des
30 minutes documents et de l'organisation du cours 2194A : Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Documents de cours Pour animer ce cours, vous devez disposer des lments suivants :
! Guide pdagogique
! CD-ROM de l'instructeur

Prparation Pour prparer ce cours, vous devez raliser les diffrentes tapes dcrites dans
la Liste de prparation au cours fournie avec les documents de cours de
l'instructeur.
iv Introduction

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.
Introduction Accueillez les stagiaires et prsentez-vous. Donnez un bref aperu
de vos acquis afin d'tablir votre crdibilit en tant qu'instructeur.
Invitez les stagiaires se prsenter en indiquant leur exprience,
leur connaissance du produit et leurs attentes concernant ce cours.
Notez sur un tableau blanc ou feuilles mobiles les attentes des stagiaires afin
de pouvoir vous y rfrer pendant le cours.
Documents de cours Signalez aux stagiaires que tout ce dont ils ont besoin pour ce cours leur est
fourni leur arrive.
Demandez aux stagiaires d'inscrire leur nom de chaque ct de la fiche.
Dcrivez le contenu du manuel de travail et du CD-ROM des stagiaires.
Indiquez aux stagiaires o ils peuvent envoyer leurs commentaires et
impressions sur le cours.
Montrez comment ouvrir la page Web fournie sur le CD-ROM des stagiaires en
double-cliquant sur Autorun.exe ou Default.htm dans le dossier Student du
CD-ROM de l'instructeur.
Conditions pralables Dcrivez les connaissances pralables requises pour suivre ce cours. De cette
faon, vous pourrez identifier les stagiaires qui n'ont pas l'exprience ou les
acquis suffisants pour assister ce cours.
Plan du cours Dcrivez brivement chacun des modules en soulignant ce que les stagiaires
apprendront. Ne soyez pas trop prcis, car le cours est prsent en dtail dans
le module 1.
Montrez de quelle manire ce cours rpondra aux attentes des stagiaires,
en faisant le lien avec le contenu des diffrents modules.
Orientez les stagiaires vers la prsentation multimdia Rles dans les systmes
d'information. Pour commencer la prsentation, ouvrez la page Web sur le
CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le titre de la
prsentation.
Configuration Prsentez toutes les informations de configuration requises pour ce cours,
y compris les fichiers de cours et la configuration de la classe.
Pour visualiser les simulations de ce cours, cliquez sur l'icne Lancement
multimdia. En haut de la fentre de simulation, cliquez avec le bouton droit
sur la barre d'outils. Vrifiez que la fonction Masquer automatiquement est
active, puis appuyez deux fois sur F11.
Pour visualiser les animations de ce cours, cliquez sur l'icne Lancement
multimdia. Aprs avoir ouvert l'animation, appuyez sur F11 pour la visualiser
en mode plein cran.
Introduction v

Programme MOC Expliquez ce qu'est le programme MOC (Microsoft Official Curriculum) et


prsentez la liste des cours supplmentaires recommands.
Renvoyez les stagiaires la page Web Microsoft Official Curriculum l'adresse
http://www.eu.microsoft.com/france/formation/ pour plus d'informations sur
les cours.
Programme MCP Donnez aux stagiaires des informations sur le programme MCP (Microsoft
Certified Professional), les examens de certification relatifs ce cours et les
diffrentes certifications possibles.
Logistique Dcrivez l'organisation du cours : heures de cours, prolongation des horaires
d'ouverture du btiment pour les ateliers, stationnement, toilettes, repas,
tlphone, bote aux lettres ou messagerie et zones fumeurs.
Indiquez aux stagiaires si vos locaux disposent d'un accs Internet qu'ils
pourront utiliser aux heures de pause.
Assurez-vous galement que les stagiaires sont informs des ventuelles
dispositions concernant le recyclage papier.
Introduction 1

Introduction

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


2 Introduction

Documents de cours

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Votre kit de cours contient les documents dtaills cidessous.
! Fiche. Inscrivez votre nom des deux cts de la fiche.
! Manuel de travail du stagiaire. Ce manuel contient les sujets traits dans
le cours, ainsi que les exercices raliss pendant les ateliers pratiques.
! CD-ROM du stagiaire. Ce CD-ROM contient la page Web destine aux
stagiaires. Cette page comporte des liens renvoyant des ressources ayant
un rapport avec ce cours, notamment des lectures complmentaires, les
rponses aux questions de contrle des acquis et des ateliers, les fichiers
des ateliers, les prsentations multimdias et les sites Web se rapportant
au cours.

Remarque Pour ouvrir la page Web du stagiaire, insrez le CD-ROM du


stagiaire dans le lecteur, puis double-cliquez la racine sur Autorun.exe ou
Default.htm.

! Objectifs. Ce cours inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour
aider les stagiaires identifier les difficults ou en conclusion pour valider
leurs connaissances.
! valuation du cours. Pour nous donner vos impressions sur le cours, le
centre de formation ou l'instructeur, vous aurez la possibilit de remplir un
formulaire d'valuation en ligne la fin du cours.
! Logiciel d'valuation. Une copie d'valuation du logiciel Microsoft
Windows Server 2003 est fournie pour votre usage personnel uniquement.
Pour envoyer des commentaires supplmentaires ou obtenir des
informations sur le programme MCP (Microsoft Certified Professional),
envoyez un message lectronique l'adresse mcphelp@microsoft.com.
Introduction 3

Documentation supplmentaire dans Microsoft Press

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Les ouvrages de Microsoft Press sur Microsoft Windows Server 2003 peuvent
vous aider dans votre travail, de la planification et de l'valuation au
dploiement et la prise en charge existante. Ils vous fournissent des
informations techniques prcises qui vous permettront de tirer parti des
fonctionnalits et amliorations cls de Windows Server 2003. Les ouvrages
suivants reprsentent un complment aux connaissances fournies dans ce cours.
Titre ISBN

Microsoft Windows Server 2003 0-7356-1354-0


Administrator's Pocket Consultant
(en anglais)
Active Directory Services for Microsoft 0-7356-1577-2
Windows Server 2003 Technical
Reference (en anglais)
Microsoft Windows Server 2003 0-7356-1367-2
Administrator's Companion (en anglais)
Microsoft Windows Server 2003 0-7356-1486-5
Deployment Kit (en anglais)
Migrating from Microsoft 0-7356-1940-9
Windows NT Server 4.0 to Microsoft
Windows Server 2003 (en anglais)
Microsoft Windows Server 2003 Security 0-7356-1574-8
Administrator's Companion (en anglais)
4 Introduction

Conditions pralables

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Pour tirer pleinement parti de ce cours, vous devez avoir suivi le cours 2189A,
Planification et maintenance d'une infrastructure rseau Microsoft Windows
Server 2003, ou possder des connaissances quivalentes.

Remarque Vous devez avoir suivi la formation CompTIA A+ et CompTIA


Network+ ou possder des connaissances quivalentes pour participer au
programme MOC (Microsoft Official Curriculum). Les certifications A+ et
Network+ sont recommandes mais ne sont pas obligatoires. Pour connatre les
conditions pralables aux examens de certification A+ et Network+, consultez
le site http://www.comptia.org (en anglais).
Introduction 5

Plan du cours

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Le module 1, Introduction l'infrastructure Active Directory , prsente aux
stagiaires l'infrastructure du service d'annuaire Active Directory, sa structure
physique et logique, ainsi que sa fonction de service d'annuaire. Le module
prsente galement les composants logiciels enfichables MMC (Microsoft
Management Console) et les outils de ligne de commande vous permettant
d'analyser les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
Le module 2, Implmentation d'une structure de fort et de domaine Active
Directory , prsente les conditions requises pour installer Active Directory,
le processus de cration d'une fort et d'une structure de domaine l'aide de
l'Assistant Installation de Active Directory, ainsi que les tches effectuer
aprs l'installation. Il explique galement comment configurer le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine, et crer des relations
d'approbation.
Le module 3, Implmentation d'une structure d'unit d'organisation , fournit
aux stagiaires les connaissances et les comptences ncessaires pour crer des
units d'organisation, dlguer les tches d'administration courantes,
personnaliser la dlgation des tches d'administration d'une unit
d'organisation et planifier l'implmentation de la structure d'une unit
d'organisation.
Le module 4, Implmentation des comptes d'utilisateur, de groupe et
d'ordinateur , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter des comptes d'utilisateurs, de
groupes et d'ordinateurs Active Directory. Ce module explique comment crer
et grer plusieurs comptes d'utilisateurs et d'ordinateurs. Il fournit galement la
procdure d'implmentation des suffixes de nom principal d'utilisateur (UPN,
User Principal Name).
6 Introduction

Le module 5, Implmentation d'une stratgie de groupe , fournit aux


stagiaires les connaissances et les comptences ncessaires pour planifier et
implmenter une stratgie de groupe afin de grer de faon centralise les
utilisateurs et les ordinateurs d'une entreprise.
Le module 6, Dploiement et gestion des logiciels l'aide d'une stratgie
de groupe , explique comment dployer et grer le logiciel l'aide d'une
stratgie de groupe. Ce module met l'accent sur les concepts de base relatifs
au dploiement, la configuration, la gestion de logiciels, la rsolution des
problmes lis au logiciel dploy, ainsi qu' la planification du dploiement de
logiciels.
Le module 7, Implmentation de sites pour grer la rplication Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour implmenter des sites qui vous permettront de grer et
d'analyser la rplication dans Active Directory. Ce module prsente les
concepts de base de la rplication et des sites dans Active Directory, et plus
prcisment : la cration, la configuration et la gestion de sites ; l'analyse et la
rsolution des checs de rplication ; la planification d'une stratgie de site.
Le module 8, Implmentation du placement des contrleurs de domaine ,
prsente aux stagiaires les emplacements des contrleurs de domaine. Ce
module met l'accent sur la planification du placement des contrleurs de
domaine, ce qui inclut les serveurs de catalogue global et les serveurs DNS
intgrs Active Directory. Il prsente galement les instructions de mise en
cache, pour un site, des informations relatives l'appartenance au groupe
universel.
Le module 9, Gestion des matres d'oprations , prsente aux stagiaires la
gestion des matres d'oprations dans Active Directory. Il dcrit la fonction de
chacun des cinq types de matres d'oprations, comment transfrer et prendre le
rle de matre des oprations et comment planifier une stratgie de placement
des matres d'oprations.
Le module 10, Maintenance d'Active Directory , explique les concepts de
bases relatifs la gestion de la disponibilit d'Active Directory, notamment
comment dfragmenter, dplacer, sauvegarder, restaurer et analyser une base de
donnes Active Directory.
Le module 11, Planification et implmentation d'une infrastructure Active
Directory , fournit aux stagiaires les connaissances et les comptences
ncessaires pour planifier et implmenter une infrastructure de service Active
Directory partir des besoins d'une entreprise fictive.
Introduction 7

Configuration

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Fichiers de cours Les fichiers de ce cours qui sont associs aux ateliers se trouvent dans le
dossier \MOC\2194\Labfiles sur les ordinateurs des stagiaires. Les fichiers de
distribution de Windows Server 2003 se trouvent dans le rpertoire partag
\\London\OS.
Configuration La configuration de la classe est une configuration de fort unique comportant
de la classe deux domaines, comme l'illustre la diapositive.
Chaque ordinateur de stagiaire excute Windows Server 2003 en tant que
serveur membre du domaine nwtraders.msft. Chaque ordinateur de stagiaire
possde l'une des adresses TCP/IP suivantes : de 192.168.x.1 192.168.x.24,
de gauche droite sur la diapositive, x tant le numro de rseau de la classe.
L'ordinateur principal de l'instructeur, London, est un contrleur de domaine
pour le domaine racine de la fort, nwtraders.msft. Son adresse TCP/IP est
192.168.x.200 et il excute le service WINS (Windows Internet Name Service),
le protocole DHCP (Dynamic Host Configuration Protocol) et les services DNS
pour l'environnement de la classe. Il contient galement les diapositives
Microsoft PowerPoint et les dossiers partags des fichiers des ateliers.
L'ordinateur supplmentaire de l'instructeur a pour nom Glasgow. Son adresse
TCP/IP est 192.168.x.201. Il s'agit d'un contrleur de domaine pour le domaine
enfant corp.nwtraders.msft. Il assure essentiellement la prise en charge des
dmonstrations et des ateliers de l'instructeur.
Les outils d'administration et de support sont installs sur les deux ordinateurs
de l'instructeur. Seuls les outils de support sont installs sur les ordinateurs des
stagiaires. Les stagiaires installeront les outils d'administration sur leurs postes
lors du Module 1.
8 Introduction

La structure de domaine est modifie au cours du Module 2, la diffrence


de la structure dcrite prcdemment, la nouvelle structure possde des forts
distinctes pour chaque paire d'ordinateurs stagiaire. Chaque paire correspondra
un domaine racine de fort et un domaine enfant. La structure de domaine
sera de nouveau modifie au cours du Module 7, afin que les ordinateurs de
chaque paire deviennent des contrleurs de domaine d'un mme domaine. Ces
changements sont ncessaires pour complter et renforcer les exercices des
ateliers.
Introduction 9

Programme MOC

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Microsoft Formations et Certifications dveloppe le programme MOC,
y compris MSDN Training, pour les professionnels de l'informatique qui
conoivent, dveloppent, prennent en charge, implmentent ou grent des
solutions en utilisant des produits et des technologies Microsoft. Ces cours,
dispenss par un instructeur et disponibles en ligne, offrent une formation
complte base sur les comptences.
Autres cours Chaque cours se rfre d'une certaine manire un autre cours. Celui-ci
recommands peut tre une comptence requise, un cours complmentaire d'une srie
recommande ou un cours permettant d'acqurir une formation supplmentaire.
Nous vous conseillons d'assister aux cours suivants dans l'ordre de leur
classement :
! Cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003
! Cours 2149A, Maintenance d'un environnement Microsoft Windows
Server 2003
! Cours 2177A, Implmentation d'une infrastructure rseau Microsoft
Windows Server 2003 : htes rseau
10 Introduction

Programme MOC (suite)

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


! Cours 2182A, Implmentation, administration et maintenance d'une
infrastructure rseau Microsoft Windows Server 2003 : services rseau
! Cours 2189A, Planification et maintenance d'une infrastructure rseau
Microsoft Windows Server 2003
! Cours 2194A, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003

Il se peut que d'autres cours traitant de ces sujets soient disponibles l'avenir.
Par consquent, si vous souhaitez des informations mises jour propos des
formations recommandes, consultez le site Web Formations et Certifications.
Informations Microsoft Pour plus d'informations, consultez le site Web Microsoft Formations et
Formations et Certifications l'adresse http://www.eu.microsoft.com/france/formation.
Certifications
Introduction 11

Programme MCP

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Microsoft Formations et Certifications propose diverses certifications pour les
dveloppeurs et les professionnels de l'informatique. Le programme MCP est
un programme de certification renomm qui valide votre exprience et vos
connaissances pour assurer votre comptitivit sur un march de l'emploi en
pleine volution.
Examen de certification Ce cours aide les stagiaires prparer l'examen 70-294 : Planification,
implmentation et maintenance d'une infrastructure Active Directory sous
Microsoft Windows Server 2003.
L'examen 70-294 reprsente l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).
Certifications MCP Le programme MCP comprend les certifications ci-dessous.
! MCSA sur Microsoft Windows Server 2003
La certification MCSA (Microsoft Certified Systems Administrator) est
destine aux professionnels qui implmentent, grent et rsolvent les
problmes des environnements rseau et systme existants fonds sur des
plates-formes Microsoft Windows 2000, y compris la famille Windows
Server 2003. Leurs tches d'implmentation comprennent l'installation et la
configuration d'au moins une partie de ces systmes. En matire de gestion,
leurs responsabilits englobent l'administration et le support technique de
ces systmes.
! MCSE sur Microsoft Windows Server 2003
La certification MCSE est la principale certification pour les professionnels
dont le rle consiste analyser les besoins des entreprises pour ensuite
concevoir et implmenter des infrastructures de solutions d'entreprise
fondes sur la plate-forme Microsoft Windows 2000 et les logiciels serveurs
de Microsoft, dont la famille des serveurs Windows Server 2003. Leurs
tches d'implmentation comprennent l'installation, la configuration et la
rsolution des problmes de systmes rseau.
12 Introduction

! MCAD
La certification MCAD (Microsoft Certified Application Developer) pour
Microsoft .NET est destine aux professionnels qui utilisent les technologies
Microsoft pour dvelopper et maintenir, au niveau de leur service, des
applications, des composants, des clients Web ou de bureau, ou des services
principaux de donnes. Cette certification est galement destine ceux
qui travaillent dans des quipes de dveloppement d'applications
professionnelles. Elle couvre des tches allant du dveloppement et
du dploiement la maintenance de ces solutions.
! MCSD
La certification MCSD (Microsoft Certified Solution Developer) est
la principale certification pour les professionnels qui conoivent et
dveloppent des solutions d'entreprise de pointe l'aide d'outils de
dveloppement, de technologies, de plates-formes Microsoft et de
l'architecture Microsoft Windows DNA. Parmi les types d'applications que
les titulaires d'une certification MCSD sont susceptibles de dvelopper,
citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les
tches qu'ils assument vont de l'analyse des besoins de l'entreprise la
maintenance des solutions mises en uvre.
! MCDBA sur Microsoft SQL Server 2000
La certification MCDBA (Microsoft Certified Database Administrator) est
la principale certification l'intention des professionnels chargs de
l'implmentation et de l'administration de bases de donnes Microsoft
SQL Server. Cette certification valide les comptences dans les domaines
suivants : mise jour d'anciens modles de bases de donnes physiques,
dveloppement de modles de donnes logiques, cration de bases de
donnes physiques, cration de services de donnes au moyen de Transact-
SQL, gestion et maintenance des bases de donnes, configuration et gestion
de la scurit, surveillance et optimisation des bases de donnes, et
installation et configuration de SQL Server.
! MCP
La certification MCP (Microsoft Certified Professional) s'adresse aux
individus qui possdent les comptences ncessaires pour implmenter un
produit ou une technologie Microsoft au sein d'une solution d'entreprise
dans une organisation. Il est ncessaire de bnficier d'une exprience
pratique du produit pour obtenir cette certification.
! MCT
La certification MCT (Microsoft Certified Trainer) valide les comptences
pdagogiques et techniques des personnes qui dispensent des cours MOC
dans les centres de formation technique agrs Microsoft CTEC (Certified
Technical Education Center).
Introduction 13

Conditions requises Les critres retenus varient en fonction des certifications. Ils dpendent des
pour l'obtention des produits et des responsabilits professionnelles auxquels s'applique chacune de
certifications ces certifications. Pour devenir MCP, vous devez tre reu des examens de
certification rigoureux qui permettent d'valuer de manires prcise et fiable
vos comptences et vos connaissances techniques.

Pour plus d'informations Consultez le site Web Formations et Certifications


de Microsoft France l'adresse http://www.microsoft.com/france/formation/
cert/mcp/default.asp.
Vous pouvez aussi envoyer un courrier lectronique l'adresse
mcphelp@microsoft.com pour toute question concernant les certifications.

Acquisition des Les cours MOC et MSDN Training peuvent vous aider dvelopper les
comptences valides comptences ncessaires pour assumer vos fonctions. Ils renforcent galement
par un examen MCP l'exprience que vous avez acquise lors de l'utilisation des produits et
technologies Microsoft. Cependant, il n'existe pas de correspondance directe
entre les cours de formation MOC et MSDN, et les examens MCP. Le seul suivi
des cours ne garantit pas ncessairement la russite aux examens MCP : de
l'exprience et des connaissances pratiques sont galement ncessaires.
Pour prparer les examens MCP, vous pouvez utiliser les guides de prparation
disponibles pour chaque examen. Chaque guide de prparation contient des
informations spcifiques un examen, telles que la liste des sujets sur lesquels
vous serez interrog. Ces guides sont disponibles sur le site Web Formations et
Certifications de Microsoft France l'adresse http://www.microsoft.com/
france/formation/cert/mcp/default.asp.
14 Introduction

Logistique

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Module 1 : Introduction
l'infrastructure Active
Directory
Table des matires

Vue d'ensemble 1
Leon : Architecture d'Active Directory 2
Leon : Fonctionnement d'Active
Directory 11
Leon : Analyse d'Active Directory 21
Leon : Processus de conception, de
planification et d'implmentation
d'Active Directory 32
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 1 : Introduction l'infrastructure Active Directory iii

Notes de l'instructeur
Prsentation : Ce module prsente aux stagiaires l'infrastructure du service d'annuaire Active
90 minutes Directory, sa structure physique et logique, et sa fonction d'annuaire. Le
module prsente galement les composants logiciels enfichables MMC, les
Atelier : outils de ligne de commande et l'environnement d'excution de scripts
0 minute Windows (Windows Script Host) vous permettant d'analyser les composants
Active Directory, ainsi que ses processus de conception, de planification et
d'implmentation.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire l'architecture d'Active Directory ;
! dcrire le fonctionnement d'Active Directory ;
! utiliser des composants logiciels enfichables MMC d'administration pour
analyser les composants d'Active Directory ;
! dcrire les processus de conception, de planification et d'implmentation
d'Active Directory.

Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_01.ppt
! Fichier Macromedia Flash 2194A_2279a_01_a_logical.swf
! Fichier Macromedia Flash 2194A_2279a_01_a_physical.swf
! Fichier Macromedia Flash 2194A_2279a_1_a_SSO.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! visionner les prsentations multimdias ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv Module 1 : Introduction l'infrastructure Active Directory

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider les connaissances la fin de la
journe. Vous pouvez aussi les traiter en dbut de journe pour passer en
revue les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer leurs rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 1 : Introduction l'infrastructure Active Directory v

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, chaque atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
permettant d'effectuer la tche (par exemple : partir de la console Utilisateurs
et ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Architecture d'Active Directory


Cette section dcrit les mthodes pdagogiques mettre en uvre pour cette
leon. Cette leon dcrit la fonction d'Active Directory, sa structure physique et
logique, ainsi que les rles de matre d'oprations.
Lorsque vous prsentez la rubrique Rle d'Active Directory, dcrivez la
fonction d'Active Directory dans Microsoft Windows Server 2003, ainsi que
sa fonction en tant que service d'annuaire rseau ; dcrivez galement comment
il aide les administrateurs grer les ressources prsentes sur un rseau.
Utilisez l'animation Structure logique d'Active Directory pour prsenter la
structure logique d'Active Directory. Prsentez l'animation toute la classe ou,
si les stagiaires disposent d'un casque, demandez-leur de la visionner
individuellement. Les stagiaires peuvent effectuer l'exercice la fin de
l'animation en groupe ou individuellement. Utilisez l'exercice comme point de
dpart de discussion sur le contenu de l'animation. Aprs l'introduction, vous
pouvez utiliser les boutons de navigation pour accder une autre rubrique de
l'animation.
Utilisez l'animation Structure physique d'Active Directory pour prsenter la
structure physique d'Active Directory, et montrer comment les structures
logique et physique fonctionnent conjointement pour rpondre aux impratifs
organisationnels. Lorsque les stagiaires auront fini de visionner l'animation
multimdia, rsumez-en les points cls. Assurez-vous que les stagiaires ont
compris les points ci-dessous.
! Le concept de sites en tant qu'objets physiquement distincts. Faites
remarquer comment les sites optimisent le trafic de connexions et de
rplications.
! Le concept de contrleurs de domaine comme objets physiquement
distincts, diffrents des domaines.
vi Module 1 : Introduction l'infrastructure Active Directory

Lorsque vous prsentez la rubrique Dfinition des matres d'oprations, ne


dcrivez que la fonction de chaque rle. Lorsque vous dcrivez le rle de matre
du schma, ne consacrez pas trop de temps dcrire le schma. Celui-ci sera
dcrit plus loin dans le module. Les dtails sur la gestion des contrleurs
de domaine qui grent ces rles sont dcrits dans le Module 9, Gestion
des matres d'oprations , du cours 2194, Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Application pratique Cette leon ne comporte pas d'application pratique.

Leon : Fonctionnement d'Active Directory


Cette leon dcrit la fonction d'Active Directory en tant que service d'annuaire.
Elle prsente galement les comptences et les connaissances requises pour
que les stagiaires comprennent comment Active Directory peut les aider
administrer les ressources et rsoudre les problmes susceptibles de survenir
lorsqu'ils tentent d'accder ces ressources.
Expliquez la fonction d'Active Directory en tant que service d'annuaire. Prenez
l'exemple d'un annuaire tlphonique pour dcrire la fonctionnalit d'un service
d'annuaire. De mme qu'un annuaire tlphonique permet de retrouver un
numro de tlphone en fonction d'un nom, Active Directory permet de
localiser des ressources en fonction des attributs qui la dcrivent.
Lorsque vous expliquez le rle du catalogue global, assurez-vous que les
stagiaires comprennent que celui-ci s'tend au niveau de la fort, et qu'il ne
contient qu'un sous-ensemble des attributs de chaque objet stock dans Active
Directory. Les attributs de chaque objet stock dans le catalogue global sont
suffisants pour permettre Active Directory de localiser la ressource que
l'objet reprsente.
Lorsque vous dcrivez le schma Active Directory, assurez-vous que les
stagiaires qui ont travaill avec Active Directory dans Microsoft
Windows 2000 comprennent l'importance de dsactiver les modifications de
schma. Il s'agit d'une nouvelle fonctionnalit dans Windows Server 2003.
Lorsque vous prsentez la rubrique Dfinition d'un nom unique et d'un nom
unique relatif, insistez sur la faon d'utiliser le protocole LDAP (Lightweight
Directory Access Protocol) pour communiquer avec Active Directory. Vrifiez
galement que les stagiaires savent crer une chane de requte LDAP.
Utilisez l'animation Ouverture de session unique avec Active Directory pour
montrer aux stagiaires comment les valeurs d'attributs, le catalogue global et le
protocole LDAP fonctionnent conjointement pour permettre d'accder aux
ressources et d'autres fonctions Active Directory.
Application pratique Cette leon ne comporte pas d'application pratique.
Module 1 : Introduction l'infrastructure Active Directory vii

Leon : Analyse d'Active Directory


Cette leon prsente les composants logiciels enfichables MMC et les outils
de ligne de commande permettant aux stagiaires de grer Active Directory et
d'analyser les objets Active Directory qui sont prsents dans la leon
Architecture d'Active Directory.
Les stagiaires doivent tre dj familiariss avec les modles d'administration
centraliss et dcentraliss dans Active Directory. Utilisez la rubrique Gestion
d'Active Directory pour rviser ces modles.
Utilisez la rubrique Outils et composants logiciels enfichables d'administration
d'Active Directory pour dcrire les composants logiciels enfichables MMC les
plus frquents, utiliss pour grer Active Directory. Ne consacrez pas trop de
temps aux fonctionnalits de chaque outil.
Les stagiaires doivent galement tre familiariss avec les composants logiciels
enfichables d'administration de l'interface graphique utilisateur (GUI, Graphical
User Interface). N'utilisez la rubrique Comment analyser Active Directory que
pour rviser leur utilisation. Indiquez aux stagiaires les annexes consulter pour
plus d'informations sur l'utilisation de ADSI Edit.
Application pratique la fin de la leon, les stagiaires devront analyser la structure Active Directory
de la fort de la classe l'aide des composants Utilisateurs et ordinateurs Active
Directory, Domaines et approbations Active Directory et Sites et services
Active Directory.

Leon : Processus de conception, de planification et


d'implmentation d'Active Directory
Cette leon donne une vue d'ensemble des processus de conception, de
planification et d'implmentation d'Active Directory. Assurez-vous que
les stagiaires comprennent la diffrence entre conception, planification et
implmentation.
Application pratique Cette leon ne comporte pas d'application pratique.
Module 1 : Introduction l'infrastructure Active Directory 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Ce module prsente la structure physique et logique du service d'annuaire
Active Directory, et sa fonction en tant qu'annuaire. Le module prsente
galement les composants logiciels enfichables, les outils de ligne de
commande et l'environnement d'excution de scripts Windows vous permettant
de grer les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implmentation.
Objectifs la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! dcrire l'architecture d'Active Directory ;
! dcrire le fonctionnement d'Active Directory ;
! utiliser des composants logiciels enfichables d'administration pour analyser
Active Directory ;
! dcrire les processus de conception, de planification et d'implmentation
d'Active Directory.
2 Module 1 : Introduction l'infrastructure Active Directory

Leon : Architecture d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Active Directory inclut des composants qui constituent sa structure logique et
physique. Vous devez planifier les structures logique et physique d'Active
Directory pour rpondre vos impratifs organisationnels. Pour grer Active
Directory, vous devez comprendre le rle de ces composants et comment
les utiliser.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire la fonction d'Active Directory ;
! dcrire la structure logique d'Active Directory ;
! dcrire la structure physique d'Active Directory ;
! dcrire les rles de matre d'oprations.
Module 1 : Introduction l'infrastructure Active Directory 3

Rle d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Active Directory stocke des informations sur les utilisateurs, les ordinateurs et
les ressources du rseau, afin de permettre aux utilisateurs et aux applications
d'accder ces ressources. Il constitue un moyen cohrent de nommer, de
dcrire, de localiser, d'accder, de grer et de scuriser les informations
concernant ces ressources.
Fonction d'Active Active Directory fournit les fonctions ci-dessous :
Directory
! Centralisation du contrle des ressources du rseau. La centralisation du
contrle des ressources, comme les serveurs, les fichiers partags et les
imprimantes, permet aux seuls utilisateurs autoriss d'accder aux
ressources dans Active Directory.
! Centralisation et dcentralisation de la gestion des ressources. Les
administrateurs peuvent grer des ordinateurs clients distribus, des services
rseau et des applications partir d'un emplacement centralis l'aide d'une
interface de gestion cohrente, ou distribuer des tches d'administration en
dlguant le contrle des ressources d'autres administrateurs.
! Stockage des objets de manire scurise dans une structure logique. Active
Directory stocke toutes les ressources sous forme d'objets dans une structure
logique hirarchique scurise.
! Optimisation du trafic rseau. La structure physique d'Active Directory
vous permet d'utiliser plus efficacement la bande passante du rseau. Il
garantit, par exemple, que lorsque des utilisateurs se connectent au rseau,
ils sont authentifis par l'autorit d'authentification la plus proche de
l'utilisateur, rduisant d'autant la quantit de trafic rseau.
4 Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Structure logique d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier Pour commencer la prsentation Structure logique d'Active Directory, ouvrez
la page Web sur le CD-ROM du stagiaire, cliquez sur Multimdia, puis sur
le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit
par l'instructeur.
Objectifs la fin de cette prsentation, vous serez mme d'effectuer les tches
suivantes :
! dfinir les lments de la structure logique d'Active Directory ;
! discuter du rle de ces lments.

Points cls Active Directory offre un stockage scuris pour les informations concernant
les objets dans sa structure logique hirarchique. Les objets Active Directory
reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d'autres. Lorsque vous aurez
compris le rle et la fonction de ces objets, vous pourrez effectuer des tches
diverses, comme l'installation, la configuration, la gestion et le dpannage
d'Active Directory.
La structure logique d'Active Directory inclut les composants suivants :
! Les objets. Il s'agit des composants les plus lmentaires de la structure
logique. Les classes d'objets sont des modles pour les types d'objets que
vous pouvez crer dans Active Directory. Chaque classe d'objet est dfinie
par une liste d'attributs, qui dfinit les valeurs possibles que vous pouvez
associer un objet. Chaque objet possde une combinaison unique de
valeurs d'attributs.
! Les units d'organisation (OU, Organizational Unit). Vous utilisez ces
objets conteneurs pour organiser d'autres objets de telle manire qu'ils
prennent en compte vos objectifs administratifs. La disposition de ces objets
par unit d'organisation simplifie la recherche et la gestion des objets. Vous
pouvez galement dlguer l'autorit de gestion d'une unit d'organisation.
Les units d'organisation peuvent tre imbriques les unes dans les autres,
ce qui simplifie d'autant la gestion d'objets.
Module 1 : Introduction l'infrastructure Active Directory 5

! Les domaines. Units fonctionnelles centrales dans la structure logique


d'Active Directory, les domaines sont un ensemble d'objets dfinis
administrativement qui partagent une base de donnes d'annuaire commune,
des stratgies de scurit et des relations d'approbation avec d'autres
domaines. Les domaines disposent des trois fonctions suivantes :
Une limite d'administration pour objets
Une mthode de gestion de la scurit pour les ressources partages
Une unit de rplication pour les objets
! Les arborescences de domaines. Les domaines regroups en structures
hirarchiques sont appels arborescences de domaines. Lorsque vous
ajoutez un second domaine une arborescence, il devient enfant du domaine
racine de l'arborescence. Le domaine auquel un domaine enfant est attach
est appel domaine parent. Un domaine enfant peut son tour avoir son
propre domaine enfant.
Le nom d'un domaine enfant est associ celui de son domaine parent
pour former son nom DNS (Domain Name System) unique, par exemple
corp.nwtraders.msft. De cette manire, une arborescence a un espace de
noms contigu.
! Les forts. Une fort est une instance complte d'Active Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique
deux niveaux, qui est recommande pour la plupart des organisations, tous
les domaines enfants sont des enfants du domaine racine de la fort afin de
former une arborescence contigu.
Le premier domaine de la fort est appel le domaine racine de la fort.
Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft.
Par dfaut, les informations dans Active Directory ne sont partages qu'
l'intrieur de la fort. Ainsi, la fort est une limite de scurit pour les
informations contenues dans l'instance d'Active Directory.
6 Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Structure physique d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier Pour commencer la prsentation Structure physique d'Active Directory, ouvrez
la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.
Objectifs la fin de cette prsentation, vous serez mme d'effectuer les tches
suivantes :
! dfinir les lments de la structure physique d'Active Directory ;
! discuter du rle de ces lments.

Points cls Contrairement la structure logique, qui modlise des exigences


administratives, la structure physique d'Active Directory optimise le trafic
rseau en dterminant o et quand se produit un trafic de connexions et de
rplications. Pour optimiser l'utilisation par Active Directory de la bande
passante du rseau, vous devez en comprendre la structure physique. Les
lments de la structure physique d'Active Directory sont :
! Les contrleurs de domaine. Ces ordinateurs excutent Microsoft
Windows Server 2003 ou Windows 2000 Server et Active Directory.
Chaque contrleur de domaine excute des fonctions de stockage et de
rplication. Un contrleur de domaine ne peut grer qu'un seul domaine.
Pour assurer une disponibilit permanente d'Active Directory, chaque
domaine doit disposer de plusieurs contrleurs de domaine.
Module 1 : Introduction l'infrastructure Active Directory 7

! Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein d'un mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication l'intrieur du site ; autrement dit, le temps requis pour qu'une
modification effectue sur un contrleur de domaine soit rplique sur
d'autres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser l'utilisation de la bande passante entre des contrleurs de
domaines situs des emplacements diffrents.

Remarque Pour plus d'informations sur les sites Active Directory, reportez-
vous au Module 7, Implmentation de sites pour grer la rplication
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.

! Partitions Active Directory. Chaque contrleur de domaine contient les


partitions Active Directory suivantes :
La partition de domaine contient les rplicas de tous les objets de ce
domaine. La partition de domaine n'est rplique que dans d'autres
contrleurs appartenant au mme domaine.
La partition de configuration contient la topologie de la fort. La
topologie est un enregistrement de tous les contrleurs de domaine et des
connexions entre eux dans une fort.
La partition de schma contient le schma tendu au niveau de la fort.
Chaque fort comporte un schma de sorte que la dfinition de chaque
classe d'objet est cohrente. Les partitions de configuration et de schma
sont rpliques dans chaque contrleur de domaine dans la fort.
Les partitions d'applications facultatives contiennent des objets non lis
la scurit et utiliss par une ou plusieurs applications. Les partitions
d'applications sont rpliques dans des contrleurs de domaine spcifis
dans la fort.

Remarque Pour plus d'informations sur les partitions Active Directory,


reportez-vous au Module 7, Implmentation de sites pour grer la
rplication Active Directory , du cours 2194, Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
8 Module 1 : Introduction l'infrastructure Active Directory

Dfinition des matres d'oprations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsqu'un domaine est modifi, la modification est rplique sur tous les
contrleurs du domaine. Certaines modifications, telles que celles apportes au
schma, sont rpliques dans tous les domaines de la fort. Cette rplication est
appele rplication multimatre.
Oprations de matre Lors d'une rplication multimatre, un conflit de rplication peut se produire si
unique des mises jour d'origine sont effectues simultanment sur le mme attribut
d'un objet sur de deux contrleurs de domaine. Pour viter des conflits de
rplication, vous utiliserez une rplication matre unique, qui dsigne un
contrleur de domaine comme tant le seul sur lequel certaines modifications
de l'annuaire peuvent tre effectues. Ainsi, des modifications ne peuvent
intervenir simultanment sur diffrents endroits du rseau. Active Directory
utilise une rplication matre unique pour des modifications importantes,
comme l'ajout d'un nouveau domaine ou une modification dans le schma au
niveau de la fort.
Rles de matre Les oprations utilisant une rplication matre unique sont regroupes dans
d'oprations des rles spcifiques dans une fort ou un domaine. Ces rles sont appels
rles de matre d'oprations. Pour chaque rle de matre d'oprations, seul le
contrleur de domaine possdant ce rle peut effectuer les modifications dans
l'annuaire correspondant. Le contrleur de domaine responsable d'un rle
particulier est appel matre d'oprations pour ce rle. Active Directory
stocke les informations concernant le contrleur de domaine qui joue un
rle spcifique.
Module 1 : Introduction l'infrastructure Active Directory 9

Active Directory dfinit cinq rles de matre d'oprations, chacun possdant un


emplacement par dfaut. Les rles de matre d'oprations s'tendent au niveau
d'une fort ou d'un domaine.
! Rles tendus au niveau d'une fort. Particuliers une fort, les rles
tendus au niveau d'une fort sont :
Le contrleur de schma. Il contrle toutes les mises jour du schma.
Le schma contient la liste principale des classes et des attributs d'objets
utiliss pour crer tous les objets Active Directory, comme les
utilisateurs, les ordinateurs et les imprimantes.
Le matre d'attribution des noms de domaine. Il contrle l'ajout ou la
suppression de domaines dans la fort. Lorsque vous ajoutez un domaine
la fort, seul le contrleur de domaine possdant le rle de matre
d'attribution des noms de domaine peut ajouter le nouveau domaine.
L'ensemble de la fort ne contient qu'un seul contrleur de schma et qu'un
seul matre d'attribution des noms de domaine.
! Rles tendus au niveau d'un domaine. Particuliers chaque domaine dans
une fort, les rles couvrant un domaine sont :
L'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrleur principal de domaine
Windows NT pour la prise en charge de tout contrleur secondaire de
domaine (BDC, Backup Domain Controller) excutant Microsoft
Windows NT au sein d'un domaine en mode mixte. Ce type de domaine
possde des contrleurs de domaine excutant Windows NT 4.0.
L'mulateur PDC est le premier contrleur de domaine que vous crez
dans un nouveau domaine.
Le matre des identificateurs relatifs (matre RID). Lorsqu'un nouvel
objet est cr, le contrleur de domaine cre une nouvelle entit de
scurit qui reprsente l'objet et auquel elle affecte un identificateur de
scurit (SID, Security IDentifier) unique. Cet identificateur consiste en
un identificateur de scurit de domaine, qui est le mme pour toutes les
entits de scurit cres dans le domaine, et en un identificateur relatif
(RID, Relative IDentifier) qui est unique pour chaque entit de scurit
cre dans le domaine. Le matre RID alloue des blocs d'identificateurs
relatifs chaque contrleur de domaine du domaine. Le contrleur de
domaine affecte ensuite un matre RID aux objets crs partir de son
bloc de matres RID allous.
10 Module 1 : Introduction l'infrastructure Active Directory

Le matre d'infrastructure. Lorsque des objets sont dplacs d'un


domaine vers un autre, le matre d'infrastructure met jour dans son
domaine les rfrences d'objets qui pointent sur l'objet dans l'autre
domaine. La rfrence d'objet contient l'identificateur global unique
(GUID, Globally Unique IDentifier) de l'objet, son nom unique, et un
identificateur de scurit. Active Directory met rgulirement jour le
nom unique et l'identificateur de scurit sur la rfrence d'objet afin de
reflter les modifications apportes l'objet rel, par exemple des
dplacements l'intrieur d'un domaine et entre domaines, et la
suppression de l'objet.
Dans une fort, chaque domaine possde ses propres mulateur PDC, matre
RID et matre d'infrastructure.

Remarque Pour plus d'informations sur les rles de matre d'oprations,


reportez-vous au Module 9, Gestion des matres d'oprations , du
cours 2194, Planification, implmentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.
Module 1 : Introduction l'infrastructure Active Directory 11

Leon : Fonctionnement d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon prsente la fonction d'Active Directory en tant que service
d'annuaire. Comprendre le fonctionnement d'Active Directory vous aidera
grer les ressources et rsoudre les problmes d'accs ces ressources.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire la fonction d'Active Directory en tant que service d'annuaire ;
! dfinir le rle du schma Active Directory et son utilisation ;
! dfinir le rle du catalogue global ;
! dterminer le nom unique et le nom unique relatif d'un objet
Active Directory ;
! dcrire comment Active Directory active l'ouverture de session unique.
12 Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un service d'annuaire

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans de grands rseaux, les ressources sont partages par de nombreux
utilisateurs et applications. Pour permettre aux utilisateurs et aux applications
d'accder ces ressources et aux informations les concernant, une mthode
cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et
scuriser les informations concernant ces ressources. Un service d'annuaire
remplit cette fonction.
Dfinition d'un service Un service d'annuaire est un rfrentiel d'informations structur concernant
d'annuaire les personnes et les ressources d'une organisation. Dans un rseau
Windows Server 2003, le service d'annuaire s'appelle Active Directory.
Fonctionnalits Active Directory dispose des fonctionnalits suivantes :
d'Active Directory
! Accs pour les utilisateurs et les applications aux informations concernant
des objets. Ces informations sont stockes sous forme de valeurs d'attributs.
Vous pouvez rechercher des objets selon leur classe d'objet, leurs attributs,
leurs valeurs d'attributs et leur emplacement au sein de la structure Active
Directory ou selon toute combinaison de ces valeurs.
! Transparence des protocoles et de la topologie physique du rseau. Un
utilisateur sur un rseau peut accder toute ressource, une imprimante par
exemple, sans savoir o celle-ci se trouve ou comment elle est connecte
physiquement au rseau.
Module 1 : Introduction l'infrastructure Active Directory 13

! Possibilit de stockage d'un trs grand nombre d'objets. Comme il est


organis en partitions, Active Directory peut rpondre aux besoins issus de
la croissance d'une organisation. Par exemple, un annuaire peut ainsi passer
d'un serveur unique contenant quelques centaines d'objets des milliers de
serveurs contenant des millions d'objets.
! Possibilit d'excution en tant que service indpendant du systme
d'exploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalit de Microsoft Active Directory permettant de
rsoudre certains scnarios de dploiement lis des applications utilisant
un annuaire. AD/AM s'excute comme un service indpendant du systme
d'exploitation qui, en tant que tel, ne ncessite pas de dploiement sur un
contrleur de domaine. L'excution en tant que service indpendant du
systme d'exploitation signifie que plusieurs instances AD/AM peuvent
s'excuter simultanment sur un serveur unique, chaque instance tant
configurable de manire indpendante.

Remarque Pour plus d'informations sur AD/AM, reportez-vous la page


Introduction to Windows Server 2003 Active Directory in Application
Mode l'adresse suivante :
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
(en anglais).
14 Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un schma

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Le schma Active Directory dfinit les genres d'objets, les types d'informations
concernant ces objets, et la configuration de scurit par dfaut pour les objets
pouvant tre stocks dans Active Directory.
Dfinition du schma Le schma Active Directory contient les dfinitions de tous les objets,
Active Directory comme les utilisateurs, les ordinateurs et les imprimantes stocks dans
Active Directory. Les contrleurs de domaine excutant Windows Server 2003
ne comportent qu'un seul schma pour toute une fort. Ainsi, tous les objets
crs dans Active Directory se conforment aux mmes rgles.
Le schma possde deux types de dfinitions : les classes d'objets et les
attributs. Les classes d'objets comme utilisateur, ordinateur et imprimante
dcrivent les objets d'annuaire possibles que vous pouvez crer. Chaque
classe d'objet est un ensemble d'attributs.
Les attributs sont dfinis sparment des classes d'objets. Chaque attribut n'est
dfini qu'une seule fois et peut tre utilis dans plusieurs classes d'objets. Par
exemple, l'attribut Description est utilis dans de nombreuses classes d'objets,
mais il n'est dfini qu'une seule fois dans le schma afin de prserver la
cohrence.
Schma Active Directory Vous pouvez crer de nouveaux types d'objets dans Active Directory en
et extensibilit dveloppant le schma. Par exemple, pour une application de serveur de
messagerie, vous pouvez dvelopper la classe d'utilisateur dans Active
Directory en lui ajoutant de nouveaux attributs stockant des informations
supplmentaires, telles que les adresses de messagerie des utilisateurs.

Remarque Pour plus d'informations sur le dveloppement du schma Active


Directory, consultez l'article en ligne Extending the Schema (en anglais)
dans la bibliothque MSDN.
Module 1 : Introduction l'infrastructure Active Directory 15

Modifications et Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des
dsactivation de schma modifications apportes un schma en les dsactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalits d'extensibilit d'Active
Directory.
Vous pouvez galement redfinir une classe ou un attribut de schma. Vous
pourriez, par exemple, modifier la syntaxe de la chane Unicode d'un attribut
appel SalesManager pour en faire un nom unique.
16 Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un catalogue global

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans Active Directory, les ressources peuvent tre partages parmi des
domaines et des forts. Le catalogue global d'Active Directory permet de
rechercher des ressources parmi des domaines et des forts de manire
transparente pour l'utilisateur. Par exemple, si vous recherchez toutes les
imprimantes prsentes dans une fort, un serveur de catalogue global traite la
requte dans le catalogue global, puis renvoie les rsultats. En l'absence de
serveur de catalogue global, cette requte exigerait une recherche dans chaque
domaine de la fort.
Dfinition du catalogue Le catalogue global est un rfrentiel d'informations qui contient un sous-
global ensemble des attributs de tous les objets d'Active Directory. Les membres du
groupe Administrateurs du schma peuvent modifier les attributs stocks dans
le catalogue global, en fonction des impratifs d'une organisation. Le catalogue
global contient :
! les attributs les plus frquemment utiliss dans les requtes, comme les nom
et prnom d'un utilisateur, et son nom d'ouverture de session ;
! les informations requises pour dterminer l'emplacement de tout objet dans
l'annuaire ;
! un sous-ensemble d'attributs par dfaut pour chaque type d'objet ;
! les autorisations d'accs pour chaque objet et attribut stock dans le
catalogue global. Si vous recherchez un objet pour lequel vous ne possdez
pas les autorisations de visualisation requises, cet objet n'apparatra pas dans
les rsultats de la recherche. Les autorisations d'accs garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un
droit d'accs.

Dfinition d'un serveur Un serveur de catalogue global est un contrleur de domaine qui traite
de catalogue global efficacement les requtes intraforts dans le catalogue global. Le premier
contrleur de domaine que vous crez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer
des serveurs de catalogue global supplmentaires pour quilibrer le trafic
li aux authentifications de connexion et aux requtes.
Module 1 : Introduction l'infrastructure Active Directory 17

Fonctions du catalogue Le catalogue global permet aux utilisateurs d'excuter deux fonctions
global importantes :
! trouver les informations Active Directory en tout point de la fort,
indpendamment de l'emplacement des donnes ;
! utiliser les informations d'appartenance au groupe universel pour se
connecter au rseau.

Remarque Pour plus d'informations sur le catalogue global, reportez-vous au


Module 8, Implmentation de l'emplacement des contrleurs de domaine ,
du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.
18 Module 1 : Introduction l'infrastructure Active Directory

Dfinition d'un nom unique et d'un nom unique relatif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier
des objets dans une base de donnes Active Directory. Le protocole LDAP est
un sous-ensemble de la norme ISO X.500 relative aux services d'annuaire. Il
utilise les informations portant sur la structure d'un annuaire pour trouver des
objets individuels possdant chacun un nom unique.
Dfinition Le protocole LDAP utilise un nom reprsentant un objet Active Directory par
une srie de composants concernant la structure logique. Cette reprsentation,
appele nom unique de l'objet, identifie le domaine dans lequel se trouve l'objet
ainsi que le chemin complet permettant d'accder celui-ci. Un nom de ce type
ne peut tre qu'unique dans une fort Active Directory.
Le nom unique relatif d'un objet identifie l'objet de manire unique dans son
conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le
mme nom. Le nom unique relatif est toujours le premier composant du nom
unique, mais il n'est pas toujours un nom usuel.
Module 1 : Introduction l'infrastructure Active Directory 19

Exemple de nom unique Chaque lment de la structure logique de l'utilisatrice Laura Bartoli de l'unit
d'organisation Sales (Ventes) du domaine Contoso.msft est reprsent dans le
nom unique suivant :
CN=Laura Bartoli,OU=Sales,DC=contoso,DC=msft

! CN (Common Name) est le nom usuel de l'objet dans son conteneur.


! OU (Organizational Unit) est l'unit d'organisation qui contient
l'objet.Plusieurs valeurs d'OU peuvent exister si l'objet se trouve dans une
unit d'organisation imbrique.
! DC (Domain Component) est un composant de domaine, tel que com
ou msft . Il existe toujours au moins deux composants de domaine, voire
davantage si le domaine est un domaine enfant.

Les composants de domaine du nom unique sont bass sur le DNS (Domain
Name System).
Exemple de nom Dans l'exemple suivant, Sales est le nom unique relatif d'une unit
unique relatif d'organisation reprsente par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft
20 Module 1 : Introduction l'infrastructure Active Directory

Prsentation multimdia : Ouverture de session unique avec


Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier Pour commencer la prsentation Ouverture de session unique avec Active
Directory, ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur
Multimdia, puis sur le titre de la prsentation. N'ouvrez pas cette prsentation
avant d'y tre invit par l'instructeur.
Objectifs la fin de cette prsentation, vous serez mme d'effectuer les tches
suivantes :
! dcrire la procdure utilise par Active Directory pour activer une ouverture
de session unique ;
! discuter de l'importance d'une ouverture de session unique.

Points cls L'activation d'une ouverture de session unique permet Active Directory de
rendre transparents pour l'utilisateur les processus complexes d'authentification
et d'autorisation. Les utilisateurs n'ont pas besoin de grer plusieurs ensembles
d'autorisations.
Une ouverture de session unique consiste en :
! une authentification, qui vrifie les autorisations de la tentative de connexion ;
! une autorisation, qui vrifie que la demande de connexion est autorise.

En tant qu'ingnieur systme, vous devez comprendre le fonctionnement de ces


processus afin d'optimiser et de dpanner votre structure Active Directory.
Module 1 : Introduction l'infrastructure Active Directory 21

Leon : Analyse d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Sous Windows Server 2003, les administrateurs disposent de composants
logiciels enfichables et d'outils de ligne de commande pour grer Active
Directory. Cette leon prsente ces composants et outils, et explique comment
les utiliser pour analyser la structure logique et physique d'Active Directory.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer comment Active Directory est conu pour permettre une gestion
centralise et dcentralise ;
! dcrire les composants logiciels enfichables d'administration d'Active
Directory et les outils de ligne de commande courants ;
! analyser la structure logique et physique d'Active Directory.
22 Module 1 : Introduction l'infrastructure Active Directory

Gestion d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction L'utilisation d'Active Directory vous permet de grer un grand nombre
d'utilisateurs, d'ordinateurs, d'imprimantes et de ressources rseau partir
d'un emplacement centralis, l'aide des outils et des composants logiciels
enfichables d'administration de Windows Server 2003. Active Directory prend
galement en charge l'administration dcentralise. Un administrateur possdant
l'autorit requise peut dlguer un ensemble slectionn de privilges
administratifs d'autres utilisateurs ou groupes dans une organisation.
Prise en charge par Active Directory inclut plusieurs fonctionnalits de prise en charge de la gestion
Active Directory de la centralise :
gestion centralise
! Informations concernant tous les objets et leurs attributs. Les attributs
contiennent des donnes qui dcrivent la ressource que l'objet identifie ;
comme les informations concernant toutes les ressources du rseau sont
stockes dans Active Directory, un administrateur peut grer et administrer
ces ressources de faon centralise.
! Vous pouvez interroger Active Directory l'aide de protocoles tels que
LDAP. Vous pouvez aisment localiser des informations concernant des
objets en recherchant des attributs slectionns de l'objet, l'aide d'outils
prenant en charge le protocole LDAP.
! Vous pouvez grouper en units d'organisation des objets possdant des
exigences similaires en termes d'administration et de scurit. Les units
d'organisation offrent plusieurs niveaux d'autorit administrative, de sorte
que vous pouvez appliquer des paramtres de stratgie de groupe et dlguer
le contrle administratif. Cette dlgation simplifie le travail de gestion de
ces objets et vous permet de structurer Active Directory en fonction des
impratifs de votre organisation.
! Vous pouvez spcifier des paramtres de stratgie de groupe pour un site,
un domaine, ou une unit d'organisation. Active Directory applique ensuite
ces paramtres de stratgie de groupe tous les utilisateurs et ordinateurs
l'intrieur du conteneur.
Module 1 : Introduction l'infrastructure Active Directory 23

Prise en charge par Active Directory prend galement en charge la gestion dcentralise. Vous
Active Directory de la pouvez affecter des autorisations et accorder des droits aux utilisateurs de
gestion dcentralise manire trs spcifique. Vous pouvez, par exemple, dlguer des privilges
administratifs sur certains objets aux quipes de ventes et de marketing d'une
organisation.
Vous pouvez dlguer l'affectation des autorisations :
! pour des units d'organisation spcifiques diffrents groupes de Domaine
local ; par exemple, dlgation de l'autorisation Contrle total pour l'unit
d'organisation Sales ;
! pour modifier des attributs spcifiques d'un objet dans une unit
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numro de tlphone d'un utilisateur et de rinitialiser les
mots de passe sur l'objet compte d'utilisateur ;
! pour excuter la mme tche, par exemple rinitialiser les mots de passe,
dans toutes les units d'organisation d'un domaine.
24 Module 1 : Introduction l'infrastructure Active Directory

Outils et composants logiciels enfichables d'administration


d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Windows Server 2003 comporte plusieurs composants logiciels enfichables
et outils de ligne de commande permettant de grer Active Directory.
Vous pouvez galement grer Active Directory l'aide d'objets ADSI
(Active Directory Service Interfaces) partir de l'environnement d'excution
de scripts Windows. ADSI est une interface simple mais nanmoins puissante
d'Active Directory permettant de crer des scripts rutilisables pour la gestion
d'Active Directory.
Composants logiciels Le tableau suivant dcrit quelques composants logiciels enfichables
enfichables d'administration courants permettant de grer Active Directory.
d'administration

Composant
logiciel enfichable Description

Utilisateurs et ordinateurs Cette console MMC (Microsoft Management Console) est utilise pour la gestion et
Active Directory la publication d'informations dans Active Directory. Vous pouvez grer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs un
domaine, grer des stratgies de compte ainsi que des droits d'utilisateur, et procder
l'audit de la stratgie.
Domaines et approbations Cette console MMC est utilise pour grer des approbations de domaines et de forts,
Active Directory ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forts.
Sites et services Active Cette console MMC vous permet de grer la rplication de donnes d'annuaire.
Directory
Schma Active Directory Cette console MMC vous permet de grer le schma. Il n'est pas disponible par
dfaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.
Module 1 : Introduction l'infrastructure Active Directory 25

Remarque Vous pouvez utiliser galement l'diteur ADSI Edit pour visualiser,
crer, modifier et supprimer des objets dans Active Directory. L'diteur ADSI
Edit n'est pas install par dfaut. Pour en bnficier, installez les outils de
support de Windows Server 2003 partir du dossier \Support\Tools sur le
CD-ROM du produit.

Vous pouvez personnaliser les consoles d'administration afin qu'elles


correspondent aux tches d'administration que vous dlguez d'autres
administrateurs. Vous pouvez galement regrouper dans une mme console
toutes les consoles requises pour chaque fonction d'administration.
Outils de ligne de Le tableau suivant dcrit quelques outils courants de ligne de commande,
commande utilisables lorsque vous grez Active Directory.
d'administration

Outil Description

Dsadd Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des units d'organisation et des contacts.
Dsmod Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des units d'organisation et des contacts.
Dsquery Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units d'organisation et des partitions.
Dsmove Dplace un objet unique, l'intrieur d'un domaine, vers un nouvel emplacement
dans Active Directory ou renomme un objet unique sans le dplacer.
Dsrm Supprime un objet dans Active Directory.
Dsget Affiche des attributs slectionns d'un ordinateur, d'un contact, d'un groupe, d'une
unit d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.
Csvde Importe et exporte des donnes Active Directory l'aide d'un format de sparation
par virgule.
Ldifde Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des donnes
d'autres services d'annuaire.

Remarque Pour plus d'informations sur les outils de ligne de commande


fournis par Windows Server 2003, reportez-vous la section Gestion
d'Active Directory partir de la ligne de commande dans Aide et Support.
26 Module 1 : Introduction l'infrastructure Active Directory

Environnement Bien que Windows Server 2003 fournisse plusieurs composants logiciels
d'excution de scripts enfichables et outils de ligne de commande pour grer Active Directory, ceux-ci
Windows ne sont pas adapts pour des oprations de commandes destines effectuer des
modifications dans Active Directory impliquant des conditions complexes. En
pareils cas, vous pouvez procder plus rapidement des modifications l'aide
de scripts. Vous pouvez, par exemple, remplacer le premier chiffre de
l'extension tlphonique de tous les employs transfrs dans le btiment 5,
en remplaant alors les chiffres 3 et 4 par le chiffre 5.
Vous pouvez crer des scripts partir de l'environnement d'excution de scripts
Windows utilisant ADSI pour excuter les tches suivantes :
! extraire les informations concernant les objets Active Directory ;
! ajouter des objets dans Active Directory ;
! modifier les valeurs d'attributs pour les objets Active Directory ;
! supprimer des objets dans Active Directory ;
! tendre le schma Active Directory.

ADSI utilise le protocole LDAP pour communiquer avec Active Directory.


Module 1 : Introduction l'infrastructure Active Directory 27

Comment analyser Active Directory ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez visualiser la structure logique et physique d'Active Directory
l'aide des composants Utilisateurs et ordinateurs Active Directory, Sites et
services Active Directory et Domaines et approbations Active Directory.
Procdure Procdez comme suit pour visualiser la structure logique et physique d'Active
Directory :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory et visualisez
les units d'organisation dans Active Directory. Pour ce faire, procdez
comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
b. Dans l'arborescence de la console, dveloppez Utilisateurs et
ordinateurs Active Directory.
c. Dans l'arborescence de la console, dveloppez le domaine dont vous
dsirez visualiser les units d'organisation.
d. Affichez la page Proprits pour chaque conteneur figurant dans
l'arborescence de la console.
e. Dterminez le type d'objet en utilisant les informations de classe d'objet
sous l'onglet Objet. La classe d'objet pour units d'organisation est
Unit d'organisation.
2. Ouvrez Domaines et approbations Active Directory pour visualiser la
structure logique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Domaines et approbations
Active Directory.
b. Dans le volet gauche, dveloppez le nud qui reprsente le domaine
racine de la fort pour visualiser les domaines qui constituent la structure
logique d'Active Directory.
28 Module 1 : Introduction l'infrastructure Active Directory

3. Ouvrez Sites et services Active Directory pour visualiser la structure


physique d'Active Directory. Pour ce faire, procdez comme suit :
a. Cliquez sur Dmarrer, pointez sur Tous les programmes, puis
sur Outils d'administration, puis cliquez sur Sites et services
Active Directory.
b. Dans l'arborescence de la console, dveloppez Sites, puis le dossier
reprsentant le site dont vous dsirez visualiser la liste de serveurs.
c. Cliquez sur Servers pour visualiser la liste de serveurs dans le
volet droit.

Remarque Pour plus d'informations, reportez-vous la section Comment


analyser Active Directory du Module 1 situe en annexe sur le CD-ROM
du stagiaire.
Module 1 : Introduction l'infrastructure Active Directory 29

Application pratique : Analyse de la structure d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Vous allez analyser dans cette application pratique la structure logique et
physique d'Active Directory.
Scnario Vous commencez aujourd'hui travailler comme ingnieur systme chez
Northwind Traders. Votre responsable vous a demand d'tudier la structure
logique et physique d'Active Directory chez Northwind Traders.
Application pratique ! Analyser la structure par dfaut des objets Active Directory l'aide de
la console Utilisateurs et ordinateurs Active Directory
1. Ouvrez une session sous le nom nwtraders\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Installez le jeu d'outils d'administration Windows Server 2003. Pour ce
faire, procdez comme suit :
a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez nwtraders\administrateur comme nom
d'utilisateur, puis le mot de passe P@ssw0rd et cliquez sur OK.
c. l'invite de commande, tapez \\London\OS\i386\Adminpak.msi et
appuyez sur ENTRE.
d. Dans la bote de dialogue Tlchargement de fichier, cliquez sur
Ouvrir, puis terminez l'installation.
e. Fermez la fentre d'invite de commande.
3. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
4. Activez les fonctionnalits avances.
30 Module 1 : Introduction l'infrastructure Active Directory

5. Dveloppez nwtraders.msft, et trouvez l'objet Locations. Quel est le type


de l'objet ?
L'objet Locations est une unit d'organisation.
____________________________________________________________

____________________________________________________________

6. Dveloppez Locations. Quels sont les types d'objets dans le dossier ?


L'unit d'organisation Locations contient 25 units d'organisation, dont
chacune porte le nom d'une ville diffrente.
____________________________________________________________

____________________________________________________________

7. Les objets du dossier Locations reprsentent des emplacements


gographiques dans une organisation. Chaque emplacement contient trois
objets. Quel est le rle de ces objets ?
Chaque unit d'organisation nom_ville contient trois units
d'organisation appeles Users, Computers et Groups. Ces units
d'organisation sont conues pour recevoir respectivement des objets
utilisateurs, ordinateurs et groupes.
____________________________________________________________

____________________________________________________________

8. Ouvrez l'un des conteneurs reprsentant un emplacement, puis ouvrez le


conteneur Users.
Que remarquez-vous propos des objets qui se trouvent dans ce conteneur ?
Tous les objets utilisateur sont dsactivs.
____________________________________________________________

! Analyser la structure par dfaut d'Active Directory l'aide du


composant Sites et services Active Directory
1. Ouvrez la console Site et services Active Directory.
2. Dveloppez Sites, cliquez avec le bouton droit sur Premier-Site-par-
defaut, puis cliquez sur Proprits.
Module 1 : Introduction l'infrastructure Active Directory 31

3. Sous l'onglet Scurit, affichez les autorisations correspondant au groupe


Admins du domaine. Quelles sont les autorisations ?
Le groupe Admins du domaine possde les autorisations Lire, crire,
Crer tous les objets enfants, Ouvrir la file d'attente de connecteurs et
Autorisations spciales sur le site Premier-Site-par-defaut.
____________________________________________________________

____________________________________________________________

4. Visualisez les autorisations affectes au groupe Admins du domaine pour


l'objet Premier-Site-par-defaut\Servers\London. Que remarquez-vous ?
Admins du domaine possde les autorisations Contrle total sur l'objet
serveur London, mais pas pour le site Premier-Site-par-defaut.
____________________________________________________________

____________________________________________________________

! Analyser la structure par dfaut d'Active Directory l'aide de


Domaines et approbations Active Directory
1. Ouvrez la console Domaines et approbations Active Directory.
2. Dveloppez nwtraders.msft, puis visualisez les proprits pour
nwtraders.msft.
Que remarquez-vous ?
Cette tape indique les approbations en place pour le domaine.
____________________________________________________________

3. Choisissez de grer le domaine corp.nwtraders.msft. Remarquez ce qui se


produit.
Cette tape vous amne Utilisateurs et ordinateurs Active Directory.
____________________________________________________________
32 Module 1 : Introduction l'infrastructure Active Directory

Leon : Processus de conception, de planification et


d'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon fournit une vue d'ensemble des processus de conception, de
planification et d'implmentation d'Active Directory.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! faire la distinction entre la conception, la planification et l'implmentation
d'Active Directory ;
! dcrire les phases du processus de conception d'Active Directory ;
! dcrire les phases du processus de planification d'Active Directory ;
! dcrire les phases du processus d'implmentation d'Active Directory.
Module 1 : Introduction l'infrastructure Active Directory 33

Vue d'ensemble de la conception, de la planification et de


l'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction L'implmentation d'Active Directory commence par la cration de sa
conception, autrement dit, de son architecture. Cette conception vous permet
ensuite de planifier Active Directory avant son implmentation.
Conception d'Active Un ou plusieurs architectes de systmes crent la conception d'Active
Directory Directory, en se basant sur les besoins d'une entreprise. Ces besoins
dterminent les spcifications fonctionnelles pour la conception.
Plan d'implmentation Le plan d'implmentation d'Active Directory dtermine la mise en uvre de
d'Active Directory la conception d'Active Directory en fonction de l'infrastructure matrielle de
l'organisation.Par exemple, la conception d'Active Directory peut spcifier le
nombre de contrleurs de domaine pour chaque domaine sur la base de la
configuration d'un serveur spcifique.Cependant, si cette configuration n'est pas
disponible, lors de la phase de planification vous pouvez dcider de modifier le
nombre de serveurs afin de rpondre aux besoins de l'entreprise.
Aprs avoir implment Active Directory, vous devez grer et assurer
la maintenance d'Active Directory afin de garantir disponibilit, fiabilit
et scurit du rseau. Ce cours dcrit les phases de planification et
d'implmentation. La conception dtaille d'Active Directory dpasse
le cadre de ce cours.
Implmentation Durant le dploiement d'Active Directory, les ingnieurs systme :
d'Active Directory
! crent la structure du domaine et de la fort, et dploient les serveurs ;
! crent la structure de l'unit d'organisation ;
! crent les comptes d'utilisateur et d'ordinateur ;
! crent les groupes de scurit et de distribution ;
! crent les objets Stratgie de groupe (GPO, Group Policy Object) qu'ils
appliquent aux domaines, aux sites et aux units d'organisation ;
! crent les stratgies de distribution de logiciels.
34 Module 1 : Introduction l'infrastructure Active Directory

Processus de conception d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Une conception d'Active Directory inclut plusieurs tches. Chacune dfinit les
besoins fonctionnels pour un composant de l'implmentation d'Active Directory.
Tches incluses Le processus de conception d'Active Directory inclut les tches suivantes :
dans le processus
de conception ! Collecte d'informations sur l'organisation. Cette premire tche dfinit les
d'Active Directory besoins en service d'annuaire et les besoins de l'entreprise concernant le
projet. Les informations sur l'organisation incluent notamment un profil
organisationnel de haut niveau, les implantations gographiques de
l'organisation, l'infrastructure technique et du rseau, et les plans lis
aux modifications apporter dans l'organisation.
! Analyse des informations sur l'organisation. Vous devez analyser les
informations collectes pour valuer leur pertinence et leur valeur par
rapport au processus de conception. Vous devez ensuite dterminer quelles
sont les informations les plus importantes et quels composants de la
conception d'Active Directory ces informations affecteront. Soyez prt
appliquer ces informations dans l'ensemble du processus de conception.
! Analyse des options de conception. Lorsque vous analysez des besoins
d'entreprise spcifiques, plusieurs options de conception peuvent y
rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais
d'une conception de domaine ou d'une structure d'unit d'organisation.
Comme chaque choix que vous faites affecte les autres composants de la
conception, restez flexible dans votre approche de la conception durant tout
le processus.
Module 1 : Introduction l'infrastructure Active Directory 35

! Slection d'une conception. Dveloppez plusieurs conceptions d'Active


Directory, puis comparez leurs points forts et leurs points faibles. Lorsque
vous slectionnez une conception, analysez les besoins d'entreprise qui
entrent en conflit et tenez compte de leurs effets sur les choix de vos
conceptions. Il se peut qu'aucune des conceptions soumises ne fasse
l'unanimit. Choisissez la conception qui rpond le mieux vos besoins
d'entreprise et qui reprsente globalement le meilleur choix.
! Affinage de la conception. La premire version de votre plan de conception
est susceptible d'tre modifie avant la phase pilote de l'implmentation.
Le processus de conception est itratif parce que vous devez tenir compte
de nombreuses variables lorsque vous concevez une infrastructure Active
Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre
conception pour prendre en compte tous les besoins d'entreprise.

Rsultat du processus Le rsultat de la phase de conception d'Active Directory inclut les lments
de conception d'Active ci dessous.
Directory
! La conception du domaine et de la fort. La conception de la fort inclut des
informations comme le nombre de forts requis, les consignes de cration
des approbations et le nom de domaine pleinement qualifi (FQDN, Fully
Qualified Domain Name) pour le domaine racine de chaque fort. La
conception inclut galement la stratgie de contrle des modifications de
la fort, qui identifie les processus de proprit et d'approbation pour les
modifications de la configuration prsentant un impact sur toute la fort.
Identifiez la personne charge de dterminer la stratgie de contrle des
modifications de chaque fort dans l'organisation. Si votre plan de
conception comporte plusieurs forts, vous pouvez valuer si des
approbations de forts sont requises pour rpartir les ressources du
rseau parmi les forts.
La conception du domaine indique le nombre de domaines requis dans
chaque fort, le domaine qui sera le domaine racine pour chaque fort et la
hirarchie des domaines si la conception comporte plusieurs domaines. La
conception du domaine inclut galement le nom DNS pour chaque domaine
et les relations d'approbation entre domaines.
! La conception de l'unit d'organisation. Elle indique comment vous crerez
les units d'organisation pour chaque domaine dans la fort. Incluez une
description de l'autorit d'administration qui sera applique chaque unit
d'organisation, et qui cette mme autorit sera dlgue. Pour finir, incluez
la stratgie utilise pour appliquer la stratgie de groupe la structure de
l'unit d'organisation.
! La conception du site. Elle spcifie le nombre et l'emplacement des
sites dans l'organisation, les liens requis pour relier les sites et le cot
de ces liens.
36 Module 1 : Introduction l'infrastructure Active Directory

Processus de planification d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Le rsultat du processus de planification est le plan d'implmentation d'Active
Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les
besoins fonctionnels pour un composant spcifique de l'implmentation
d'Active Directory.
Composant d'un plan Un plan Active Directory inclut les composants suivants :
Active Directory
! Stratgie de compte. Elle inclut des informations comme les consignes
d'attribution de nom aux comptes et la stratgie de verrouillage, la
stratgie en matire de mots de passe et les consignes portant sur la
scurit des objets.
! Stratgie d'audit. Elle dtermine comment suivre les modifications
apportes aux objets Active Directory.
! Plan d'implmentation d'unit d'organisation. Il dfinit quelles units
d'organisation crer et comment. Par exemple, si la conception d'unit
d'organisation spcifie que ces units seront cres gographiquement et
organises par division l'intrieur de chaque zone gographique, le plan
d'implmentation des units d'organisation dfinit les units implmenter,
telles que celles des ventes, des ressources humaines et de production. Le
plan fournit galement des consignes portant sur la dlgation d'autorit.
! Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets
de stratgie de groupe, et comment cette stratgie sera implmente.
! Plan d'implmentation du site. Il spcifie les sites, les liens qui les relient,
et les liaisons de sites planifies. Il spcifie galement la planification et
l'intervalle de rplication ainsi que les consignes en matire de scurisation
et de configuration de la rplication entre sites.
Module 1 : Introduction l'infrastructure Active Directory 37

! Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la


stratgie de groupe pour dployer de nouveaux logiciels et des mises
niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de
logiciels sont obligatoires ou facultatives.
! Plan de placement des serveurs. Il spcifie le placement des contrleurs de
domaine, des serveurs de catalogue global, des serveurs DNS intgrs
Active Directory et des matres d'oprations. Il spcifie galement si vous
activerez la mise en cache des appartenances un groupe universel pour les
sites ne possdant pas de serveur de catalogue global.

Lorsque tous les plans de composant sont termins, vous devez les combiner
pour former le plan complet d'implmentation d'Active Directory.
38 Module 1 : Introduction l'infrastructure Active Directory

Processus d'implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Une fois le plan d'implmentation d'Active Directory en place, vous pouvez
commencer implmenter Active Directory conformment votre plan de
conception.
Processus Vous devez excuter les tches ci-dessous pour implmenter Active Directory.
d'implmentation
! Implmentation de la fort, du domaine et de la structure DNS. Crez le
domaine racine de la fort, les arborescences de domaines et tout autre
domaine enfant constituant la fort et la hirarchie des domaines.
! Cration des units d'organisation et des groupes de scurit. Crez la
structure d'unit d'organisation pour chaque domaine dans chaque fort,
crez des groupes de scurit et dlguez l'autorit administrative des
groupes administratifs dans chaque unit d'organisation.
! Cration des comptes d'utilisateur et d'ordinateur. Importez les comptes
d'utilisateur dans Active Directory.
! Cration des objets Stratgie de groupe. Crez des objets Stratgie de
groupe bass sur la stratgie de groupe, puis reliez-les des sites, des
domaines ou des units d'organisation.
! Implmentation des sites. Crez des sites en fonction du plan des sites,
crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et
dployez sur les sites des contrleurs de domaine, des serveurs de catalogue
global, des serveurs DNS et des matres d'oprations.
Module 2 : Implmentation
d'une structure de fort
et de domaine Active
Table des matires
Directory
Vue d'ensemble 1
Leon : Cration d'une structure de fort
et de domaine 2
Leon : Analyse du systme DNS intgr
Active Directory 23
Leon : Augmentation des niveaux
fonctionnels de la fort et du domaine 38
Leon : Cration de relations
d'approbation 44
Atelier A : Implmentation
d'Active Directory 57
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory iii

Notes de l'instructeur
Prsentation : Ce module dcrit la configuration requise du service d'annuaire Active
120 minutes Directory, explique comment crer une structure de fort et de domaine grce
l'Assistant Installation de Active Directory et prsente les tches que vous
Atelier : devez effectuer aprs l'installation. Il explique galement la manire d'analyser
60 minutes le systme DNS (Domain Name System) dans un environnement Active
Directory, d'augmenter les niveaux fonctionnels de la fort et du domaine et de
crer des relations d'approbation.
Objectifs la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer une structure de fort et de domaine ;
! analyser le systme DNS intgr Active Directory ;
! augmenter le niveau fonctionnel d'une fort et d'un domaine ;
! crer des relations d'approbation entre des domaines et des forts.

Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! fichier Microsoft PowerPoint 2194A_02.ppt
! fichier Macromedia Flash 2194A_2279a_02_a_dns.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module, anticiper les questions
que les stagiaires sont susceptibles de poser et prparer des rponses
appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire le kit de dploiement Windows Server 2003 Deployment Kit (en
anglais) et le kit de ressources techniques Windows Server 2003 pour vous
familiariser avec les procdures d'installation d'Active Directory et les
mthodes conseilles.
iv Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory v

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire. Ils
peuvent galement se reporter aux applications pratiques et aux procdures du
module.

Leon : Cration d'une structure de fort et de domaine


Cette section dcrit les mthodes pdagogiques mettre en uvre pour
cette leon.
Cette leon apporte aux stagiaires les comptences et connaissances ncessaires
pour crer des structures de fort et de domaine. Elle explique comment
s'assurer qu'Active Directory a t install correctement, et comment identifier
et rsoudre certains problmes courants qui peuvent survenir lors d'une
l'installation d'Active Directory.
Dans la rubrique Conditions requises pour installer Active Directory,
n'expliquez pas la configuration DNS requise en dtail. Les stagiaires ont
simplement besoin de comprendre que seuls les serveurs DNS rpondant
certaines conditions sont intgrs Active Directory. L'intgration du systme
DNS Active Directory est explique dans la leon Analyse du systme DNS
intgr Active Directory.
Utilisez la rubrique Processus d'installation d'Active Directory pour expliquer
les modifications apportes un serveur sur lequel est install Microsoft
Windows Server 2003 lorsqu'il est converti en contrleur de domaine. Utilisez
cette rubrique conjointement avec la rubrique suivante Comment crer une
structure de fort et de domaine. Lorsque vous expliquez la procdure
effectuer pour crer la structure de fort et de domaine Active Directory, faites
le point sur les modifications apportes suite chaque tape, telles qu'elles sont
rpertories dans la rubrique Processus d'installation d'Active Directory.
Assurez-vous que les stagiaires ont bien compris que les contrleurs de
domaine rpliqus sont indispensables dans un domaine pour assurer une
tolrance de pannes avant de prsenter la rubrique Comment ajouter un
contrleur de domaine rpliqu.
vi Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Windows Server 2003 propose une nouvelle fonctionnalit permettant de


renommer un contrleur de domaine. Lors de la prsentation de la rubrique
Comment renommer un contrleur de domaine, assurez-vous que les stagiaires
ont bien compris que lorsque vous renommez un contrleur de domaine et que
vous modifiez son suffixe DNS principal, vous n'avez pas dplac le contrleur
de domaine vers un nouveau domaine Active Directory.

Remarque Montrez la procdure permettant de renommer un contrleur de


domaine, mais n'effectuez pas la tche. Si vous dcidez toutefois d'effectuer
cette tche, assurez-vous de redonner l'ordinateur son nom d'origine.

Lors de la prsentation de la rubrique Comment supprimer un contrleur


de domaine d'Active Directory, commentez les oprations effectues par
l'Assistant Installation de Active Directory lors de la suppression d'Active
Directory. Indiquez aux stagiaires que certaines oprations sont communes
tous les contrleurs de domaine, tandis que d'autres dpendent du type de
contrleur de domaine supprim. Insistez sur le fait que lorsque l'on supprime
un contrleur de domaine qui excute un rle spcialis (un serveur de
catalogue global ou un matre d'oprations, par exemple), vous devez
pralablement prendre ou transfrer le rle vers un autre contrleur de domaine
avant de supprimer ce dernier.

Important Ne supprimez pas Active Directory du contrleur de domaine


London.

L'objectif de la rubrique Comment vrifier l'installation d'Active Directory est


de prsenter aux stagiaires la procdure permettant d'analyser les modifications
apportes un serveur Windows Server 2003 aprs avoir install Active
Directory. Soulignez que le processus d'installation d'Active Directory modifie
galement la base de donnes DNS, et que ces modifications sont dcrites dans
la leon Analyse du systme DNS intgr Active Directory de ce module.
Prsentez les options de dpannage permettant de rsoudre les problmes
susceptibles de survenir lors de l'installation d'Active Directory grce la
rubrique Comment rsoudre les problmes lis l'installation d'Active
Directory. Prsentez les problmes courants se produisant lors de l'installation
d'Active Directory et proposez des stratgies permettant de les rsoudre.
Application pratique A la fin de la leon, demandez aux stagiaires de crer un domaine enfant
l'intrieur du domaine nwtraders.msft. Attribuez un nom de domaine enfant
corpx chaque stagiaire, o x est le dernier numro de l'adresse IP de
l'ordinateur du stagiaire. Lorsque les stagiaires ont renseign la dernire page
de l'Assistant Installation de Active Directory, commencez la leon suivante
pendant l'installation d'Active Directory.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory vii

Leon : Analyse du systme DNS intgr Active Directory


Cette leon dcrit le format des enregistrements de ressources SRV (Service
Resource Record), qui sont les enregistrements DNS que les contrleurs de
domaine enregistrent. Elle explique galement utiliser les enregistrements SRV
pour trouver les fournisseurs de ressources. Lorsque les stagiaires ont bien
compris comment le systme DNS est intgr Active Directory, ils sont en
mesure de rsoudre les problmes lis au DNS (problmes d'ouverture de
session du client, par exemple).
Dans la rubrique Espaces de noms DNS et Active Directory, dcrivez comment
le systme DNS est intgr Active Directory. Prsentez les fonctions
principales que fournit le systme DNS dans un rseau qui utilise Active
Directory. Expliquez les relations entre l'espace de noms DNS et l'espace de
noms Active Directory. Soulignez la manire dont vous pouvez utiliser le
systme DNS pour trouver les ordinateurs qui excutent des rles particuliers
dans un domaine Active Directory en intgrant les espaces de noms DNS et
Active Directory. Expliquez que le nom d'hte DNS d'un ordinateur est
identique celui du compte d'ordinateur stock dans Active Directory.
Avant de prsenter la rubrique Dfinition des zones intgres Active
Directory, passez brivement en revue les zones DNS et le modle de matre
unique que fournit le systme DNS. Bien que ces connaissances soient une
condition pralable pour suivre ce cours, le fait de les rviser aidera les
stagiaires comprendre les avantages de l'utilisation d'un systme DNS intgr
Active Directory. Demandez aux stagiaires de se reporter aux annexes pour
obtenir des informations relatives la rplication DNS et aux options de
rplication de zone dont ils disposent.
Les rubriques Dfinition des enregistrements de ressources SRV et
Enregistrements SRV enregistrs par les contrleurs de domaine permettent de
s'assurer que les stagiaires sont capables d'identifier les services fournis par un
contrleur de domaine partir des enregistrements SRV enregistrs dans Active
Directory. Ces rubriques apportent les connaissances fondamentales pour que
les stagiaires comprennent comment les ordinateurs clients utilisent le systme
DNS pour trouver les contrleurs et services de domaine. Ces informations sont
prsentes dans l'animation intitule Comment les ordinateurs clients utilisent
le systme DNS pour localiser des contrleurs et services de domaine . Aprs
avoir visualis la prsentation multimdia, rsumez les points cls. Demandez
aux stagiaires de se reporter aux annexes pour obtenir des informations relatives
au recouvrement de site et la configuration des valeurs de priorit et de poids
dans les enregistrements SRV.
Application pratique A la fin de la leon, demandez aux stagiaires d'analyser les enregistrements
SRV enregistrs dans leur contrleur de domaine.
viii Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Augmentation des niveaux fonctionnels de la fort et du


domaine
Cette leon prsente les fonctionnalits actives selon la fonctionnalit de la
fort et du domaine, ainsi que la manire d'augmenter la fonctionnalit d'une
fort et d'un domaine.
Dans la rubrique Dfinition des fonctionnalits des forts et des domaines,
dcrivez certaines fonctionnalits qui sont actives chaque niveau fonctionnel
des forts et des domaines. Les fonctionnalits rpertories dans les notes du
stagiaire sont incompltes. Une liste exhaustive de ces fonctionnalits est
disponible dans Aide et Support de Windows Server 2003. Les fonctionnalits
rpertories dans le manuel de travail sont expliques ultrieurement dans ce
module ou dans des modules suivants. Ne passez pas trop de temps expliquer
le niveau fonctionnel de Windows Server 2003 version prliminaire. En effet,
ce cours ne porte pas sur la migration partir de Microsoft Windows NT 4.0.

Important Assurez-vous que les stagiaires ont bien compris que le niveau
fonctionnel d'un domaine ou d'une fort ne peut plus tre diminu aprs avoir
t augment.

Dans la rubrique Conditions requises pour activer les nouvelles fonctionnalits


de Windows Server 2003, assurez-vous que les stagiaires ont bien compris
qu'ils doivent augmenter le niveau fonctionnel de chaque domaine avant
d'augmenter celui de la fort.
Application pratique A la fin de la leon, demandez aux stagiaires d'augmenter le niveau fonctionnel
du domaine au niveau de Windows Server 2003. Pendant qu'ils effectuent cette
application pratique, augmentez les niveaux fonctionnels de nwtraders.msft et
corp.nwtraders.msft au niveau de Windows Server 2003.

Leon : Cration de relations d'approbation


Cette leon prsente les types d'approbations, leur fonctionnement et la
mthode de cration, de vrification et d'annulation des relations d'approbation.
Dans la rubrique Types d'approbations, expliquez en premier lieu la transitivit
de l'approbation. Expliquez ensuite les approbations sortantes, entrantes et
bidirectionnelles. Expliquez enfin les diffrents types d'approbations
(raccourcies, de fort, externes et de domaine [realm]).
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory ix

Si une fort n'utilise que les approbations transitives entre les domaines parents
et enfants, expliquez qu'il peut tre ncessaire de rechercher la ressource dans
toute la hirarchie, en fonction de son emplacement dans la hirarchie de la
fort. Les approbations raccourcies aident surmonter ce problme. Lorsque
vous expliquez le fonctionnement des approbations au sein d'une fort, assurez-
vous que les stagiaires comprennent bien l'utilit des approbations raccourcies
pour rduire le temps ncessaire la recherche des ressources.
La rubrique Comment fonctionnent les approbations entre les forts comporte
une diapositive anime. Lorsque vous expliquerez le fonctionnement des
approbations dans une fort, soulignez qu'une fort est une limite de scurit
dans Windows Server 2003. Insistez sur le rle du protocole d'authentification
Kerberos version 5 dans l'authentification de l'utilisateur. Indiquez aux
stagiaires les annexes consulter pour plus d'informations sur le filtrage des
identificateurs de scurit (SID, Security IDentifier).
Application pratique A la fin de la leon, demandez aux stagiaires de crer une approbation
raccourcie entre leur domaine et un autre domaine dans leur fort
nwtraders.msft. Cette application pratique ncessite de crer des groupes
d'au moins deux stagiaires chacun.

Atelier A : Implmentation d'Active Directory


L'atelier de ce module va permettre aux stagiaires d'installer Active Directory et
de crer une structure de fort et de domaine. Ils vont prparer leurs contrleurs
de domaine pour l'installation en supprimant d'Active Directory un domaine
enfant pralablement install. Les stagiaires travailleront par deux. L'un
installera le domaine racine de la fort tandis que l'autre installera un domaine
enfant. Les stagiaires vont ensuite augmenter les niveaux fonctionnels de la
fort et du domaine pour prparer la cration d'une approbation de fort. Puis,
ils creront une approbation de fort.
x Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

La configuration de la classe requiert que vous utilisiez le tableau suivant pour


attribuer des noms de domaine aux stagiaires.
Nom de l'ordinateur Domaine racine de la fort Domaine enfant

Vancouver Nwtraders1.msft
Denver Corp1.Nwtraders1.msft
Perth Nwtraders2.msft
Brisbane Corp2.Nwtraders2.msft
Lisbon Nwtraders3.msft
Bonn Corp3.Nwtraders3.msft
Lima Nwtraders4.msft
Santiago Corp4.Nwtraders4.msft
Bangalore Nwtraders5.msft
Singapore Corp5.Nwtraders5.msft
Casablanca Nwtraders6.msft
Tunis Corp6.Nwtraders6.msft
Acapulco Nwtraders7.msft
Miami Corp7.Nwtraders7.msft
Auckland Nwtraders8.msft
Suva Corp8.Nwtraders8.msft
Stockholm Nwtraders9.msft
Moscow Corp9.Nwtraders9.msft
Caracas Nwtraders10.msft
Montevideo Corp10.Ntraders10.msft.
Manila Nwtraders11.msft
Tokyo Corp11. Nwtraders11.msft
Khartoum Nwtraders12.msft
Nairobi Corp12. Nwtraders12.msft

Important Si la rplication ne se produit pas entre un domaine racine de la fort


et un domaine enfant, utilisez Sites et services Active Directory pour vrifier la
topologie de la rplication. La vrification de la topologie de la rplication va
lancer le KCC, qui, d'une manire gnrale, rsout les problmes lis la
rplication.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory xi

Informations sur la personnalisation


Cette section identifie la configuration requise pour l'atelier de ce module et les
changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).
Dans cet atelier, les stagiaires vont crer un contrleur du domaine racine de la
fort pour un nouveau domaine rpertori dans le tableau ci-dessus. Ils vont
installer le systme DNS sur ce contrleur lors de ce processus. Le cas chant,
assurez-vous que les ordinateurs des stagiaires qui sont les contrleurs du
domaine racine de la fort pointent vers eux-mmes pour la rsolution de noms
DNS. Si ce n'est pas le cas, les stagiaires risquent d'avoir des problmes pour
raliser la rplication.

Configuration de l'atelier
Les conditions de configuration ci-aprs s'appliquent l'atelier de ce module.
Configuration requise 1 Pour l'atelier de ce module, l'instructeur doit crer une dlgation de domaine
DNS conformment aux instructions du Guide de configuration manuelle de la
classe pour configurer le service DNS sur l'ordinateur London. Si cette tape est
omise, les stagiaires ne peuvent pas rsoudre les noms hors de leur fort.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Chaque paire d'ordinateurs stagiaire existera dans une fort distincte.
! Chaque fort du stagiaire disposera d'une approbation de fort
bidirectionnelle avec la fort de la classe, nwtraders.msft.
! Chaque domaine et fort sera lev au niveau fonctionnel de
Windows Server 2003.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Ce module prsente la configuration requise du service d'annuaire Active
Directory et explique comment crer une structure de fort et de domaine
l'aide de l'Assistant Installation de Active Directory. Il fournit galement les
connaissances et comptences ncessaires pour analyser le systme DNS
(Domain Name System) dans un environnement Active Directory, augmenter
les niveaux fonctionnels de la fort et du domaine et crer des relations
d'approbation.
Objectifs la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! crer une structure de fort et de domaine ;
! analyser le systme DNS intgr Active Directory ;
! augmenter le niveau fonctionnel d'une fort et d'un domaine ;
! crer des relations d'approbation entre des domaines.
2 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Cration d'une structure de fort et de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon fournit les comptences et connaissances ncessaires pour crer une
structure de fort et de domaine. Vous allez apprendre vrifier qu'Active
Directory a t install correctement, identifier et rsoudre les problmes
courants qui peuvent survenir lors de l'installation d'Active Directory.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! identifier les conditions requises pour installer Active Directory ;
! dcrire le processus d'installation d'Active Directory ;
! crer une structure de fort et de domaine ;
! ajouter un contrleur de domaine rpliqu un domaine ;
! renommer un contrleur de domaine ;
! supprimer un contrleur de domaine d'Active Directory ;
! vrifier une installation d'Active Directory ;
! rsoudre les problmes lis l'installation d'Active Directory ;
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 3

Conditions requises pour installer Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Avant d'installer Active Directory, vous devez vous assurer que l'ordinateur
devant tre configur comme contrleur de domaine satisfait certaines
conditions de configuration relatives au matriel et au systme d'exploitation.
De plus, le contrleur de domaine doit tre en mesure d'accder un serveur
DNS satisfaisant certaines conditions de configuration pour prendre en charge
l'intgration Active Directory.
Configuration requise La liste ci-dessous identifie la configuration requise pour une installation
pour les contrleurs de d'Active Directory.
domaine
! Un ordinateur quip de Microsoft Windows Server 2003 Standard
Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003,
Web Edition, ne prend pas en charge Active Directory.
! 250 mgaoctets (Mo) d'espace disque disponible au minimum 200 Mo
pour la base de donnes Active Directory et 50 Mo pour les fichiers
journaux des transactions de la base de donnes Active Directory. La taille
des fichiers journaux et des fichiers de la base de donnes Active Directory
dpend du nombre d'objets dans le domaine et de leur type ; un espace
disque supplmentaire est ncessaire si le contrleur de domaine est
galement un serveur de catalogue global.
! Une partition ou un volume format avec le systme de fichiers NTFS. La
partition NTFS est ncessaire pour le dossier SYSVOL.
! Les privilges administratifs ncessaires pour la cration, le cas chant,
d'un domaine dans un rseau Windows Server 2003 existant.
4 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

! Protocole TCP/IP install et configur pour utiliser le systme DNS.


! Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge
les conditions requises rpertories dans le tableau ci-dessous.
Condition requise Description

Enregistrements de ressources Les enregistrements de ressources SRV sont des enregistrements DNS qui
SRV (obligatoires) identifient les ordinateurs qui hbergent des services spcifiques dans un rseau
Windows Server 2003. Le serveur DNS qui prend en charge le dploiement
d'Active Directory doit galement prendre en charge les enregistrements de
ressources SRV. Si ce n'est pas le cas, vous devez configurer le systme DNS
localement lors du processus d'installation d'Active Directory ou le configurer
manuellement aprs l'installation d'Active Directory.
Mises jour dynamiques Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent
(facultatives) en charge les mises jour dynamiques. Le protocole de mise jour dynamique
permet aux serveurs et aux clients voluant dans un environnement DNS d'ajouter
et de modifier automatiquement des enregistrements dans la base de donnes DNS,
ce qui permet de rduire les tches administratives. Si vous utilisez un logiciel DNS
qui prend en charge des enregistrements de ressources SRV mais pas le protocole
de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV
manuellement dans la base de donnes DNS.
Transferts de zone Dans un transfert de zone incrmentiel, les modifications apportes une zone d'un
incrmentiels (facultatif) serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires pour
cette zone. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois
recommands car ils permettent d'conomiser de la bande passante rseau en
permettant uniquement aux enregistrements de ressources nouveaux ou modifis
d'tre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier de base de
donnes de zone entier.

Remarque Pour plus d'informations sur les enregistrements de ressources


SRV, sur les mises jour dynamiques et les transferts de zone
incrmentiels, reportez-vous la section Windows 2000 DNS de la
rubrique Documentation supplmentaire sur le CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 5

Processus d'installation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Pour dmarrer le processus d'installation d'Active Directory, lancez l'Assistant
Installation de Active Directory. Lors de l'installation, un certain nombre de
modifications sont apportes au serveur Windows Server 2003 sur lequel est
install Active Directory. La connaissance de ces modifications va vous
permettre de rsoudre les problmes susceptibles de survenir aprs l'installation.
Processus d'installation Le processus d'installation excute les tches suivantes :
! Dmarrage du protocole d'authentification Kerberos version 5
! Dfinition de la stratgie de l'autorit de scurit locale (LSA, Local
Security Authority). Le paramtre indique que ce serveur est un contrleur
de domaine.
! Cration de partitions Active Directory. Une partition de rpertoire est une
partie de l'espace de noms du rpertoire. Chaque partition du rpertoire
contient une hirarchie, ou une sous-arborescence, des objets d'annuaire de
l'arborescence de rpertoire. Lors de l'installation, les partitions ci-dessous
sont cres sur le premier contrleur de domaine d'une fort :
partition d'annuaire de schma
partition d'annuaire de configuration
partition d'annuaire de domaine
zone DNS de la fort
partition de la zone DNS du domaine
Les partitions sont alors mises jour par l'intermdiaire de la rplication sur
chaque contrleur de domaine subsquent cr dans la fort.

Remarque Pour plus d'informations sur les partitions d'annuaire, reportez-


vous au module 7, Implmentation de sites pour grer la rplication Active
Directory , du cours 2194, Planification, implmentation et maintenance
d'une infrastructure Active Directory Microsoft Windows Server 2003.
6 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

! Cration de la base de donnes Active Directory et des fichiers journaux.


L'emplacement par dfaut de la base de donnes et des fichiers journaux est
systemroot\Ntds.

Remarque Pour amliorer les performances, placez la base de donnes et


les fichiers journaux sur des disques durs distincts. De cette manire, les
oprations de lecture et d'criture ralises dans la base de donnes et dans
les fichiers journaux n'entrent pas en concurrence pour les ressources en
entre et en sortie.

! Cration du domaine racine de la fort. Si le serveur est le premier


contrleur de domaine du rseau, le processus d'installation cre le domaine
racine de la fort, puis attribue les rles de matre d'oprations au contrleur
de domaine, notamment :
l'mulateur de contrleur principal de domaine (PDC, Primary Domain
Controller)
le matre d'oprations des identificateurs relatifs (RID, Relative
IDentifier)
le matre de nommage de domaine
le contrleur de schma
le matre d'infrastructure

Remarque Vous pouvez attribuer les rles de matre d'oprations un autre


contrleur de domaine lorsque vous ajoutez des contrleurs de domaine
rpliqus au domaine.

! Cration du dossier volume systme partag. Cette structure de dossiers est


hberge sur tous les contrleurs de domaine Windows Server 2003 et
contient les dossiers suivants :
le dossier partag SYSVOL, qui contient des informations relatives la
stratgie de groupe ;
le dossier partag Net Logon, qui contient les scripts de connexion des
ordinateurs qui ne sont pas quips de Windows Server 2003.
! Configuration de l'appartenance du contrleur de domaine sur un site
appropri. Si l'adresse IP du serveur que vous souhaitez promouvoir
contrleur de domaine se trouve dans la plage d'adresses d'un sous-rseau
donn dfini dans Active Directory, l'Assistant configure l'appartenance du
contrleur de domaine dans le site associ au sous-rseau.
Si aucun objet de sous-rseau n'est dfini ou si l'adresse IP du serveur ne se
trouve pas dans la plage des objets de sous-rseau prsents dans Active
Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier
site configur automatiquement lorsque vous crez le premier contrleur de
domaine dans une fort).
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 7

L'Assistant Installation de Active Directory cre un objet serveur pour le


contrleur de domaine dans le site appropri. L'objet serveur contient les
informations ncessaires pour la rplication. Cet objet serveur contient une
rfrence l'objet ordinateur de l'unit d'organisation Domain Controllers
qui reprsente le contrleur de domaine en cours de cration.

Remarque Si un objet serveur pour ce domaine existe dj dans le


conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine,
l'Assistant le supprime, puis le cre nouveau car il suppose que vous
rinstallez Active Directory.

! Activation de la scurit sur le service d'annuaire et sur les dossiers de


rplication de fichier. Ceci vous permet de contrler l'accs des utilisateurs
aux objets Active Directory.
! Application du mot de passe fournit par l'utilisateur au compte
administrateur. Vous utilisez ce compte pour lancer le contrleur de
domaine en mode Restauration des services d'annuaire.
8 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment crer une structure de fort et de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous utilisez l'Assistant Installation de Active Directory pour crer une
structure de fort et de domaine. Lorsque vous installez Active Directory dans
un rseau pour la premire fois, vous devez crer un domaine racine de la fort.
Aprs avoir cr le domaine racine de la fort, utilisez l'Assistant pour crer une
arborescence et des domaines enfants supplmentaires.
Procdure de cration L'Assistant Installation de Active Directory vous accompagne tout au long du
du domaine racine de la processus d'installation et vous donne des informations, qui diffrent en
fort fonction des options que vous slectionnez.
Pour crer un domaine racine de la fort, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom
du programme.
L'Assistant vrifie les points suivants :
l'utilisateur actuellement connect est un membre du groupe local
Administrateurs ;
l'ordinateur est quip d'un systme d'exploitation prenant en charge
Active Directory ;
une installation prcdente ou une suppression d'Active Directory n'a pas
eu lieu sans un redmarrage de l'ordinateur ; une installation ou une
suppression d'Active Directory n'est pas en cours.
Si l'un des ces quatre points ne se vrifie pas, un message d'erreur s'affiche
et vous quittez l'Assistant.
2. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 9

3. Dans la page Compatibilit du systme d'exploitation, cliquez sur


Suivant.

Attention La page Compatibilit du systme d'exploitation contient des


informations relatives la compatibilit des systmes d'exploitation
Windows antrieurs. Windows Server 2003 implmente un niveau de
scurit plus lev que celui de Windows 2000. Vous devez installer le
client Active Directory sous Windows 95 et Microsoft Windows NT (avec
Service Pack 3) afin d'activer l'authentification par un contrleur de
domaine Windows Server 2003.

4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de


domaine pour un nouveau domaine, puis cliquez sur Suivant.
5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une
nouvelle fort, puis sur Suivant.
6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du
nouveau domaine, puis cliquez sur Suivant.
7. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS, puis
cliquez sur Suivant.
Le nom NetBIOS permet d'identifier le domaine sur les ordinateurs clients
quips de versions antrieures de Windows et Windows NT. L'Assistant
identifie que le nom de domaine NetBIOS est unique. Si ce n'est pas le cas,
il vous invite modifier le nom.
8. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, puis cliquez sur Suivant.
9. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement. Cliquez ensuite sur Suivant.
10. Dans la page Diagnostics des inscriptions DNS, assurez-vous qu'un
serveur DNS existant va faire autorit pour cette fort ou, le cas chant,
cliquez sur Installer et configurer le serveur DNS sur cet ordinateur et
dfinir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS
de prfrence. Cliquez ensuite sur Suivant.
11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les
autorisations par dfaut des objets utilisateur et groupe compatibles avec
des serveurs quips de versions antrieures de Windows ou Windows NT,
ou seulement avec des serveurs quips de Windows Server 2003.
12. A l'invite, indiquez le mot de passe pour le mode Restauration des services
d'annuaire.
Les contrleurs de domaine Windows Server 2003 grent une petite version
de la base de donnes des comptes de Microsoft Windows NT 4.0. Le seul
compte de cette base de donnes est le compte Administrateur. Il est requis
pour l'authentification au dmarrage de l'ordinateur en mode Restauration
des services d'annuaire, tant donn qu'Active Directory n'est pas dmarr
dans ce mode.
10 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Remarque Pour obtenir de plus amples informations relatives la manire


de modifier le mot de passe du mode Restauration des services d'annuaire,
reportez-vous Ntdsutil : rfrence de la ligne de commande dans Aide
et Support de Windows Server 2003.

13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
14. A l'invite, redmarrez l'ordinateur.

Procdure de cration La procdure de cration d'un domaine enfant l'aide de l'Assistant Installation
d'un domaine enfant de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.
Page de l'Assistant Installation
de Active Directory Nouvelle tape raliser

Crer un nouveau domaine Cliquez sur Domaine enfant dans une arborescence de domaine
existante.
Informations d'identification rseau Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du
compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.
Installation d'un domaine enfant Vrifiez le domaine parent, puis tapez le nom du nouveau domaine
enfant.

Lorsque vous utilisez l'Assistant Installation de Active Directory pour crer ou


supprimer un domaine enfant, il contacte le matre de nommage de domaine
pour demander l'ajout ou la suppression. Le matre de nommage de domaine
doit imprativement s'assurer que les noms de domaine sont uniques. Si le
matre de nommage de domaine est indisponible, vous n'avez pas la possibilit
d'ajouter ni de supprimer des domaines.
Procdure de cration La procdure de cration d'une arborescence l'aide de l'Assistant Installation
d'une arborescence de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.
Page de l'Assistant Installation
de Active Directory Nouvelle tape raliser

Crer un nouveau domaine Cliquez sur Arborescence de domaine dans une fort existante.
Informations d'identification rseau Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du
compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.
Nouvelle arborescence de domaine Tapez le nom DNS complet du nouveau domaine.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 11

Comment ajouter un contrleur de domaine rpliqu

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Pour activer la tolrance de pannes au cas o le contrleur de domaine se
dconnecte de manire inattendue, vous devez disposer d'au moins deux
contrleurs de domaine dans un seul domaine. Etant donn que tous les
contrleurs de domaine d'un domaine rpliquent les donnes spcifiques au
domaine de l'un vers un autre, l'installation de plusieurs contrleurs de domaine
dans le domaine active automatiquement la tolrance de pannes pour les
donnes enregistres dans Active Directory. Si un contrleur de domaine
tombe en panne, les contrleurs de domaine restants fournissent les services
d'authentification et assurent l'accs aux objets d'Active Directory, de telle sorte
que le domaine, puisse continuer fonctionner.
Procdure Avant de commencer l'installation, dterminez si vous allez effectuer la
rplication initiale d'Active Directory par le biais du rseau partir d'un
contrleur de domaine proximit ou d'un support sauvegard.
Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur
de domaine rpliqu va tre install :
! sur un site sur lequel un autre contrleur de domaine existe ;
! sur un nouveau site connect un site existant par un rseau grande
vitesse.

Choisissez de rpliquer Active Directory partir d'un support de sauvegarde si


vous souhaitez installer le premier contrleur de domaine sur un site distant
pour un domaine existant.
Lorsque vous copiez des informations relatives au domaine partir de fichiers
de sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur
l'tat du systme d'un contrleur de domaine excutant Windows Server 2003
partir du domaine dans lequel ce serveur membre va devenir un contrleur de
domaine supplmentaire. Ensuite, vous devez restaurer la sauvegarde de l'tat
du systme sur le serveur sur lequel vous installez Active Directory.
12 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Important Si un contrleur de domaine qui a t sauvegard contient une


partition d'annuaire de l'application, cette partition ne sera pas restaure sur le
nouveau contrleur de domaine. Si le contrleur de domaine partir duquel
vous avez restaur les donnes sur l'tat du systme tait un serveur de
catalogue global, vous aurez la possibilit de faire de ce nouveau contrleur de
domaine un serveur de catalogue global.

Pour installer un contrleur de domaine rpliqu, procdez comme suit :


1. Excutez dcpromo. Pour installer un contrleur de domaine supplmentaire
partir des fichiers de sauvegarde, excutez dcpromo avec l'option /adv.
2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de
domaine supplmentaire pour un domaine existant.
Sinon, si vous lancez l'Assistant Installation de Active Directory avec
l'option /adv, choisissez l'une des options suivantes sur la page Copie des
informations du domaine en cours :
Via le rseau.
partir des fichiers de restauration de cette sauvegarde, puis
indiquez l'emplacement des fichiers de sauvegarde restaurs.
3. Sur la page Informations d'identification rseau, tapez le nom
d'utilisateur, le mot de passe et le domaine utilisateur du compte d'utilisateur
que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe Admins du domaine
pour le domaine cible.
4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de
domaine pour lequel ce serveur deviendra un contrleur de domaine
supplmentaire.
5. Dans la page Dossiers de la base de donnes et du journal, indiquez
l'emplacement dans lequel vous souhaitez installer les dossiers de la base de
donnes et du journal, ou cliquez sur Parcourir pour choisir un
emplacement.
6. Dans la page Volume systme partag, tapez l'emplacement dans lequel
vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour
choisir un emplacement.
7. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe du mode de restauration des
services d'annuaire, puis cliquez sur Suivant.
8. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
9. Lorsque le systme vous y invite, redmarrez l'ordinateur.

Remarque Pour plus d'informations sur la sauvegarde et la restauration


d'Active Directory, consultez le Module 10, Maintenance d'Active
Directory , du cours 2194, Planification, implmentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 13

Comment renommer un contrleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans Windows Server 2003, vous avez la possibilit de renommer un
contrleur de domaine aprs l'avoir install. Pour ce faire, vous devez disposer
des droits Administrateurs du domaine. Lorsque vous renommez un contrleur
de domaine, vous devez ajouter le nouveau nom du contrleur de domaine et
supprimer l'ancien des bases de donnes DNS et Active Directory. Vous pouvez
renommer un contrleur de domaine uniquement si le niveau fonctionnel du
domaine est dfini sur Windows Server 2003.
Procdure Pour renommer un contrleur de domaine, procdez comme suit :
1. Dans le Panneau de configuration, double-cliquez sur l'icne Systme.
2. Dans la bote de dialogue Proprits Systme, sous l'onglet Nom de
l'ordinateur, cliquez sur Modifier.
3. Losrque vous y tes invit, confirmez que vous souhaitez renommer le
contrleur de domaine.
4. Entrez le nom complet de l'ordinateur (notamment le suffixe DNS
principal), puis cliquez sur OK.

Remarque Le fait de renommer ce contrleur de domaine risque de le rendre


provisoirement indisponible aux utilisateurs et aux ordinateurs.

Lorsque vous renommez un contrleur de domaine, vous pouvez modifier son


suffixe DNS principal. Toutefois, cette modification ne permet pas de dplacer
le contrleur de domaine vers un nouveau domaine Active Directory. Par
exemple, si vous renommez le serveur dc2.nwtraders.msft en dc1.contoso.msft,
l'ordinateur reste un contrleur de domaine pour le domaine nwtraders.msft,
mme si le suffixe DNS principal est contoso.msft. Pour dplacer un contrleur
de domaine vers un autre domaine, vous devez pralablement rtrograder le
contrleur de domaine, puis le promouvoir au titre de contrleur de domaine
dans le nouveau domaine.
14 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment supprimer un contrleur de domaine d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans Windows Server 2003, vous avez la possibilit de supprimer un
contrleur de domaine qui n'est plus ncessaire ou qui a t endommag par une
catastrophe naturelle. S'il s'agit du dernier contrleur de domaine, le domaine va
tre supprim de la fort lors du retrait du contrleur de domaine. Si ce domaine
est le dernier de la fort, le retrait du contrleur de domaine va supprimer la
fort.
Procdure de Pour supprimer un contrleur de domaine qui est en ligne et qui n'est plus
suppression d'un ncessaire, procdez comme suit :
contrleur de domaine
qui est en ligne 1. Ouvrez l'Assistant Installation de Active Directory.
2. Dans la page Supprimer Active Directory, s'il s'agit du dernier contrleur
de domaine du domaine, cochez la case Ce serveur est le dernier
contrleur de domaine du domaine, puis cliquez sur Suivant.
3. Dans la page Mot de passe administrateur, tapez le nouveau mot de passe
administrateur dans les botes de dialogue Nouveau mot de passe
administrateur et Confirmer le mot de passe, puis cliquez sur Suivant.
4. Dans la page Rsum, passez en revue le rsum, puis cliquez sur Suivant.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 15

Procdure de Pour supprimer un contrleur de domaine endommag et qui ne peut pas tre
suppression d'un dmarr partir d'Active Directory, redmarrez le contrleur de domaine en
contrleur de domaine Mode restauration Active Directory (contrleurs de domaine Windows), puis
endommag excutez la commande ntdsutil l'aide de l'option de nettoyage des
mtadonnes. Pour ce faire, procdez comme suit :
1. l'invite, tapez la commande suivante et appuyez sur ENTRE.
Ntdsutil.exe: metadata cleanup

2. A l'invite Metadata cleanup, tapez la commande suivante et appuyez sur


ENTRE.
metadata cleanup: connections

3. A l'invite Server connections, tapez la squence de commandes suivante


pour vous connecter au contrleur de domaine du domaine qui contient le
contrleur de domaine endommag :
Server connections: Connect to server Nom_Serveur FQDN
Server connections: quit

4. A l'invite Metadata cleanup, slectionnez la cible des oprations en entrant


la commande suivante :
metadata cleanup: select operation target

5. A l'invite Select operation target, tapez la squence de commandes suivante


afin d'identifier et de slectionner le contrleur de domaine endommag :
select operation target: list sites
select operation target: select site numro
select operation target: list servers in site
select operation target: select server numro
select operation target: quit

6. A l'invite Metadata cleanup, tapez la commande suivante pour supprimer le


contrleur de domaine endommag d'Active Directory :
metadata cleanup: remove selected server
metadata cleanup: quit

Important Lorsque vous supprimez un contrleur de domaine qui est serveur


de catalogue global, assurez-vous que les utilisateurs peuvent disposer d'un
autre catalogue global avant de supprimer le contrleur de domaine. De mme,
si le contrleur de domaine dtient un rle de matre d'oprations, vous devez
transfrer ce rle vers un autre contrleur de domaine avant de le supprimer.
Pour obtenir des informations relatives au transfert d'un rle de matre
d'oprations vers un autre contrleur de domaine, reportez-vous au Module 9,
Gestion des matres d'oprations , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory Microsoft
Windows Server 2003.
16 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment vrifier l'installation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Le processus d'installation d'Active Directory cre un certain nombre d'objets
par dfaut dans la base de donnes Active Directory. Il cre galement le
dossier systme partag ainsi que la base de donnes et les fichiers journaux.
Vrifiez l'installation d'Active Directory lorsque l'Assistant a termin
l'installation et que le nouveau contrleur de domaine redmarre.

Remarque Si vous avez modifi l'emplacement de la base de donnes et des


fichiers journaux de l'annuaire lors de l'installation, remplacez %systemroot%
par l'emplacement correct. Par exemple, pour la classe, l'emplacement est
C:\WINNT.

Vrification de la Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers
cration de la structure partags ncessaires ont t crs. Si le dossier SYSVOL n'a pas t cr
de dossiers SYSVOL et correctement, les donnes du dossier SYSVOL (Stratgie de groupe et scripts,
de ses dossiers par exemple) ne seront pas rpliques entre les contrleurs de domaine.
partags
Pour vrifier que la structure de dossiers a t cre, excutez la procdure
suivante :
! Cliquez sur Dmarrer, puis sur Excuter, tapez %systemroot%\sysvol et
cliquez sur OK.
L'Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit
contenir les sous dossiers domain, staging, staging areas et sysvol.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 17

Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
! l'invite de commande, tapez net share et appuyez sur ENTRE.

La liste suivante des dossiers partags doit s'afficher sur l'ordinateur.


Nom du
partage Enregistrements Remarque

NETLOGON %systemroot%\SYSVOL\sysvol\domaine\ Partage de serveur


SCRIPTS d'accs
SYSVOL %systemroot%\SYSVOL\sysvol Partage de serveur
d'accs

Vrification de la Pour vrifier que la base de donnes et les fichiers journaux d'Active Directory
cration de la base de ont t crs, excutez la procdure suivante :
donnes et des fichiers
journaux d'Active ! Cliquez sur Dmarrer, sur Excuter, tapez %systemroot%\ntds et cliquez
Directory sur OK.

L'Explorateur Windows affiche le contenu du dossier Ntds, qui doit comporter


les fichiers suivants :
! Ntds.dit. Il s'agit du fichier de la base de donnes de l'annuaire.
! Edb.*. Il s'agit des fichiers journaux des transactions et de points de
vrification.
! Res*.log. Il s'agit des fichiers journaux rservs.
18 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Vrification de la Lors de l'installation d'Active Directory sur le premier contrleur de domaine


cration de la structure d'un nouveau domaine, plusieurs objets par dfaut sont crs. Ces objets
Active Directory par peuvent tre des conteneurs, des utilisateurs, des ordinateurs, des groupes et des
dfaut units d'organisation.
Affichez ces objets par dfaut l'aide du composant logiciel enfichable
Utilisateurs et ordinateurs Active Directory. Le tableau suivant prsente
l'objectif de certains de ces objets par dfaut.
Objet Description

Builtin Dtient les groupes de scurit intgrs par dfaut.


Computers Emplacement par dfaut des comptes d'ordinateurs.
Domain Controllers Unit d'organisation et emplacement par dfaut des
comptes d'ordinateurs du contrleur de domaine.
ForeignSecurityPrincipals Dtient les identificateurs de scurit (SID, Security
IDentifier) des domaines externes approuvs.
Users Emplacement par dfaut des comptes d'utilisateurs et de
groupes.
LostAndFound Conteneur par dfaut des objets orphelins.
NTDS Quotas Enregistre les spcifications relatives au quota. Les objets
Quota dterminent le nombre d'objets d'annuaire qu'une
entit de scurit peut dtenir dans Active Directory.
Program Data Emplacement de stockage par dfaut des donnes
d'application.
System Enregistre les paramtre systme intgrs.

Analyse des journaux Aprs avoir install Active Directory, jetez un oeil dans les journaux des
des vnements pour vnements pour prendre connaissance des ventuelles erreurs qui se sont
voir les erreurs produites lors du processus d'installation. Les messages d'erreur gnrs lors de
l'installation sont enregistrs dans les journaux Systme, Service d'annuaire,
Serveur DNS et Service de rplication de fichier.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 19

Comment rsoudre les problmes lis l'installation d'Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lors de l'installation d'Active Directory, vous risquez de rencontrer certains
problmes. Ces problmes peuvent tre le rsultat d'informations
d'identification de scurit invalides, de l'utilisation de noms qui ne sont pas
uniques, d'un rseau qui n'est pas fiable ou de ressources insuffisantes.
Problmes courants Le tableau suivant dcrit certains problmes courants que vous tes susceptible
lis l'installation de rencontrer lors de l'installation d'Active Directory, ainsi que les stratgies
permettant de les rsoudre.
Problme Solution

Accs refus lors de Fermez la session, puis ouvrez-l de nouveau l'aide d'un compte appartenant au
l'installation ou de l'ajout de groupe Administrateurs local.
contrleurs de domaine Fournissez les informations d'identification d'un compte d'utilisateur membre des
groupes Admins du domaine et Administrateurs de l'entreprise.
Les noms de domaine DNS Modifiez le nom de sorte qu'il soit unique.
ou NetBIOS ne sont pas
uniques
20 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

(suite)
Problme Solution

Le domaine ne peut pas tre Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez
contact promouvoir au titre de contrleur de domaine et au moins l'un des contrleurs de
domaine du domaine. Utilisez la commande ping partir de l'invite de commande
pour tester la connexion avec un contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur
du domaine en vous connectant un contrleur de domaine l'aide de
son nom DNS. Pour ce faire, l'invite de commande, tapez le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de
domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter
au contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t configur
correctement en vrifiant les enregistrements A que les contrleurs de domaine
enregistrent dans la base de donnes DNS.
Espace disque insuffisant Augmentez la taille de la partition ou installez la base de donnes et les fichiers
journaux Active Directory sur des partitions distinctes.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 21

Application pratique : Cration d'un domaine enfant

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez installer Active Directory et crer un
domaine enfant dans le domaine racine de la fort nwtraders.msft. Aprs
l'installation d'Active Directory, vous allez vrifier la cration du dossier de
volume de systme partag, ainsi que celle de la base de donnes et des fichiers
journaux.
Scnario La socit Northwind Traders ouvre des bureaux de nouveaux emplacements.
Vous devez crer de nouveaux domaines dans le domaine nwtraders.msft pour
chaque nouveau bureau.
Application pratique ! Installer Active Directory et crer le domaine enfant
1. Connectez-vous en tant que Nwtraders\Nom_OrdinateurUser avec le mot
de passe P@ssw0rd (o Nom_Ordinateur est le nom de l'ordinateur sur
lequel vous travaillez).
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
4. l'invite de commandes, tapez dcpromo et appuyez sur ENTRE.
5. Dans la page Assistant Installation de Active Directory, cliquez sur
Suivant.
6. Dans la page Compatibilit du systme d'exploitation, cliquez sur
Suivant.
7. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de
domaine pour un nouveau domaine, puis cliquez sur Suivant.
8. Dans la page Crer un nouveau domaine, cliquez sur Domaine enfant
dans une arborescence de domaine existante, puis sur Suivant.
22 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

9. Dans la page Informations d'identification rseau, tapez Administrateur


comme nom d'utilisateur, P@ssw0rd comme mot de passe, assurez-vous
que nwtraders.msft est le domaine, puis cliquez sur Suivant.
10. Sur la page Installation d'un domaine enfant, assurez-vous que le
domaine parent est nwtraders.msft, tapez le nom de domaine enfant corpx
o x est le dernier numro de votre adresse IP, puis cliquez sur Suivant.
11. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS corpx,
puis cliquez sur Suivant.
12. Dans la page Dossier de la base de donnes et du journal, acceptez la
slection par dfaut, puis cliquez sur Suivant.
13. Dans la page Volume systme partag, acceptez l'emplacement par dfaut
d'installation du dossier SYSVOL, puis cliquez sur Suivant.
14. Dans la page Diagnostics des inscriptions DNS, assurez-vous que les
paramtres de configuration DNS sont exacts, puis cliquez sur Suivant.
15. Dans la page Autorisations, cliquez sur Autorisations compatibles
uniquement avec les systmes d'exploitation Windows 2000 ou
Windows Server 2003, puis cliquez sur Suivant.
16. Sur la page Mot de passe administrateur de restauration des services
d'annuaire, tapez et confirmez le mot de passe P@ssw0rd et cliquez sur
Suivant.
17. Passez en revue la page Rsum, cliquez sur Suivant pour commencer
l'installation, puis sur Terminer.
18. Lorsque vous y tes invit, redmarrez l'ordinateur.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 23

Leon : Analyse du systme DNS intgr Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Windows Server 2003 exige qu'une infrastructure DNS soit en place avant
d'installer Active Directory. Il est important de comprendre comment DNS et
Active Directory sont intgrs et comment les ordinateurs clients utilisent le
systme DNS lors de l'ouverture de session afin de rsoudre les problmes lis
au systme DNS (problmes d'ouverture de session client, par exemple).
Cette leon dcrit le format des enregistrements de ressources SRV
(enregistrements DNS que les contrleurs de domaine enregistrent) et explique
comment Active Directory utilise ces enregistrements pour rechercher les
fournisseurs de ressources.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les relations entre les espaces de noms du systme DNS et d'Active
Directory ;
! expliquer la finalit des zones intgres Active Directory ;
! dcrire la finalit des enregistrements SRV ;
! dcrire les enregistrements SRV enregistrs par les contrleurs de domaine ;
! analyser les enregistrements DNS enregistrs par un contrleur de domaine ;
! dcrire comment les ordinateurs clients utilisent le systme DNS pour
rechercher des contrleurs et des services de domaine.
24 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Espaces de noms DNS et Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les domaines DNS et Active Directory utilisent des noms de domaine
identiques pour diffrents espaces de noms. En utilisant des noms de domaine
identiques, les ordinateurs d'un rseau Windows Server 2003 peuvent utiliser le
systme DNS pour rechercher des contrleurs de domaine et d'autres
ordinateurs qui fournissent des services Active Directory.
Relations entre l'espace Les domaines et les ordinateurs sont reprsents par des enregistrements de
de noms DNS et ressources dans l'espace de noms DNS et par des objets Active Directory dans
l'espace de noms l'espace de noms Active Directory.
Active Directory
Le nom d'hte DNS d'un ordinateur est identique celui du compte d'ordinateur
stock dans Active Directory. Le nom de domaine DNS (galement appel
suffixe DNS principal) et le domaine Active Directory auquel appartient
l'ordinateur ont le mme nom. Par exemple, un ordinateur appel Computer1
appartenant au domaine Active Directory appel training.microsoft.msft ont le
nom FQDN suivant :
computer1.training.microsoft.msft

Intgration du systme L'intgration du systme DNS et d'Active Directory est essentielle car un
DNS et d'Active ordinateur client d'un rseau Windows Server 2003 doit pouvoir rechercher un
Directory contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session
sur un domaine ou utiliser les services proposs par Active Directory. Les
clients recherchent les contrleurs de domaine et les services grce aux
enregistrements de ressources A et aux enregistrements SRV. L'enregistrement
de ressources A contient le nom FQDN et l'adresse IP du contrleur de
domaine. L'enregistrement SRV contient le nom FQDN du contrleur de
domaine et le nom du service que fournit le contrleur de domaine.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 25

Dfinition des zones intgres Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction L'intgration DNS et Active Directory offre la possibilit d'intgrer des
zones DNS dans une base de donnes Active Directory. Une zone est une
partie de l'espace de noms de domaine possdant un groupement logique
d'enregistrements de ressources, qui permet de transfrer des zones de ces
enregistrements pour fonctionner en tant qu'unit unique.
Zones intgres Active Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre
Directory des noms d'hte en adresses IP, et inversement, dans un fichier de base de
donnes suivi de l'extension .dns pour chaque zone.
Les zones intgres Active Directory sont des zones DNS principales et de
stub stockes en tant qu'objets dans la base de donnes Active Directory.
Vous pouvez stocker des objets de zone dans une partition d'application Active
Directory ou dans une partition de domaine Active Directory. Si les objets de
zone sont stocks dans une partition d'application Active Directory, seuls les
contrleurs de domaine qui souscrivent la partition d'application participent
sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de
domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine
du domaine.
26 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Avantages des zones Les zones intgres Active Directory offrent les avantages suivants :
intgres Active
Directory ! Rplication multimatre. Lorsque vous configurez les zones intgres
Active Directory, des mises jour dynamiques du systme sur le systme
DNS sont menes en fonction d'un modle de mise jour multimatre. Dans
ce modle, les serveurs DNS qui font autorit (un contrleur de domaine
excutant un serveur DNS, par exemple) sont conus en tant que source
principale pour la zone. Etant donn que la copie principale de la zone est
gre dans la base de donnes Active Directory, qui est intgralement
rplique sur tous les contrleurs de domaine, la zone peut tre mise jour
par les serveurs DNS fonctionnant sur un contrleur de domaine pour le
domaine.
Dans le modle de mise jour multimatre d'Active Directory, tout serveur
principal de la zone intgre d'annuaire peut traiter des requtes mises par
les clients DNS pour mettre jour la zone, aussi longtemps qu'un contrleur
de domaine est disponible sur le rseau.
! Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations d'accs aux enregistrements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs autoriss.
! Transferts de zone standard vers d'autres serveurs DNS. Effectue des
transferts de zone standard vers des serveurs DNS qui ne sont pas
configurs en tant que contrleur de domaine. Cela permet galement
d'effectuer des transferts de zone standard vers des serveurs DNS qui se
trouvent dans d'autres domaines. Il s'agit de la mthode requise pour
rpliquer des zones vers des serveurs DNS dans d'autres domaines.

Remarque Pour plus d'informations sur les zones intgres Active Directory
et la rplication DNS, reportez-vous la rubrique Dfinition des zones
intgres Active Directory de la page des annexes du module 2 sur le
CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 27

Dfinition des enregistrements de ressources SRV

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Pour qu'Active Directory fonctionne correctement, les ordinateurs clients
doivent tre en mesure de localiser les serveurs qui fournissent des services
spcifiques tels que l'authentification des demandes d'ouverture de session et la
recherche d'informations dans Active Directory. Active Directory stocke les
informations relatives l'emplacement des ordinateurs qui fournissent ces
services dans des enregistrements DNS connus sous le nom d'enregistrements
de ressources SRV.
Finalit des Les enregistrements de ressources SRV tablissent un lien entre un service et le
enregistrements SRV nom d'ordinateur DNS de l'ordinateur qui offre le service. Par exemple, un
enregistrement SRV peut contenir des informations permettant aux clients de
localiser un contrleur de domaine dans un domaine ou une fort spcifique.
Lorsqu'un contrleur de domaine dmarre, il enregistre les enregistrements
SRV et un enregistrement de ressources A, qui contiennent son nom
d'ordinateur DNS et son adresse IP. Un ordinateur client DNS utilise
ultrieurement ces informations combines afin de localiser le service requis
sur le contrleur de domaine appropri.
28 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Format des Tous les enregistrements SRV utilisent un format standard compos de champs
enregistrements SRV contenant les informations qu'Active Directory utilise afin de mapper un service
l'ordinateur qui fournit le service. Les enregistrements SRV utilisent le format
suivant :
_ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible
Le tableau ci-dessous prsente chaque champ d'un enregistrement SRV.
Champ Description

_Service Spcifie le nom du service, (LDAP [Lightweight Directory Access


Protocol] ou Kerberos, par exemple) fourni par le serveur qui
enregistre cet enregistrement SRV.
_Protocole Spcifie le type de protocole de transport, tel que TCP ou UDP (User
Datagram Protocol).
Nom Spcifie le nom de domaine auquel fait rfrence l'enregistrement de
ressources.
Ttl Spcifie la dure de vie (TTL, Time To Live) en secondes. C'est un
champ standard des enregistrements de ressources DNS prcisant la
dure pendant laquelle l'enregistrement est considr valide.
Classe Spcifie la valeur de la classe de l'enregistrement de ressources DNS,
qui est presque toujours IN pour le systme Internet . Il s'agit de la
seule classe prise en charge par le systme DNS de
Windows Server 2003.
Priorit Spcifie la priorit du serveur. Les clients tentent de contacter l'hte
dont la priorit est la plus faible.
Poids Indique un mcanisme d'quilibre de charge que les clients utilisent
lors de la slection d'un hte cible. Lorsque le champ de priorit est
identique pour deux ou trois enregistrements d'un mme domaine, les
clients choisissent de manire alatoire des enregistrements SRV dont
le poids est suprieur.
Port Spcifie le port sur lequel le serveur coute ce service.
Cible Spcifie le nom FQDN, galement appel nom de domaine complet,
de l'ordinateur qui fournit le service.

Remarque Pour plus d'informations sur la priorit et le poids (notamment sur


la manire de les configurer), reportez-vous la rubrique Dfinition des
enregistrements de ressources SRV de la page d'annexe du module 2 sur le
CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 29

Exemple L'exemple suivant illustre un enregistrement SRV d'un ordinateur :


_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft

L'enregistrement SRV indique que l'ordinateur possde les services ou les


caractristiques suivantes :
! Fournit le service LDAP
! Fournit le service LDAP grce au protocole de transport TCP
! Enregistre l'enregistrement SRV dans le domaine DNS contoso.msft
! Dispose d'une dure de vie (TTL, Time To Live) de 600 secondes ou de
10 minutes
! Possde un nom FQDN de london.contoso.msft
30 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Enregistrements SRV enregistrs par les contrleurs de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les enregistrements de ressources SRV sont enregistrs par les ordinateurs qui
fournissent un service Active Directory. Dans Windows Server 2003, les
contrleurs de domaine et les serveurs de catalogue global enregistrent les
services avec le systme DNS.
Comment les services Lorsqu'un contrleur de domaine dmarre, le service Ouverture de session
sont enregistrs avec le rseau install sur le contrleur de domaine utilise les mises jour dynamiques
systme DNS pour enregistrer les enregistrement de ressources SRV dans la base de donnes
DNS. Les enregistrements de ressources SRV mappent le nom du service que le
contrleur de domaine fournit sur le nom d'ordinateur DNS de ce contrleur de
domaine.
Services enregistrs Pour permettre un ordinateur de localiser un contrleur de domaine, les
avec le systme DNS contrleurs de domaine excutant Windows Server 2003 enregistrent les
enregistrements de ressources SRV en utilisant le format suivant :
_Service._Protocole.DcType._msdcs.Nom_Domaine_Dns ou
Nom_Fort_Dns

Le composant _msdcs indique un sous-domaine dans l'espace de noms DNS


spcifique Microsoft, qui permet aux ordinateurs de localiser les contrleurs
de domaine ayant des fonctions dans le domaine ou la fort de
Windows Server 2003.
Les valeurs possibles pour le composant DCType, qui est un prfixe du sous-
domaine _msdcs, spcifie les types de rles du serveur suivants :
! dc pour le contrleur de domaine
! gc pour le serveur de catalogue global
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 31

La prsence du sous-domaine _msdcs signifie que les contrleurs de domaine


excutant Windows Server 2003 enregistrent galement les enregistrements de
ressources SRV suivants :
_ldap._tcp.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns
_ldap._tcp.gc._msdcs.Nom_Fort_Dns
_ldap._tcp.Nom_Site._sites.gc._msdcs.Nom_Fort_Dns
_kerberos._tcp.dc._msdcs.Nom_Domaine_Dns
_kerberos._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_Dns

Le tableau suivant rpertorie certains enregistrements de ressources SRV


enregistrs par les contrleurs de domaine et dfinit les critres de recherche
pris en charge par chaque enregistrement.
Enregistrement SRV Permet un ordinateur de rechercher

_ldap._tcp.Nom_Domaine_Dns Un serveur LDAP dans le domaine spcifi par


Nom_Domaine_Dns.
Tous les contrleurs de domaine enregistrent cet
enregistrement.
_ldap._tcp.Nom_Site._sites.dc._msdcs.Nom_Domaine_ Un contrleur de domaine dans le domaine spcifi par
Dns Nom_Domaine_Dns et dans le site appel Nom_Site.
Nom_Site est le nom unique relatif de l'objet Site qui est
enregistr dans Active Directory.
Tous les contrleurs de domaine enregistrent cet
enregistrement.
_gc._tcp.Nom_Fort_Dns Un serveur de catalogue global dans la fort appele par
Nom_Fort_Dns. Nom_Fort_Dns est le nom de
domaine du domaine racine de la fort.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.
_gc._tcp.Nom_Site._sites. Nom_Fort_Dns Un serveur de catalogue global de la fort appele
Nom_Fort_Dns et dans le site spcifi par Nom_Site.
Seuls les contrleurs de domaine configurs en tant que
serveurs de catalogue global enregistrent cet
enregistrement.
_kerberos._tcp.Nom_Domaine_Dns Un serveur KDC (Key Distribution Center) pour le
domaine spcifi par Nom_Domaine_Dns.
Tous les contrleurs de domaine excutant le protocole
d'authentification Kerberos version 5 procdent cet
enregistrement.
_kerberos._tcp.Nom_Site. sites.Nom_Domaine_Dns Un serveur KDC pour le domaine spcifi par
Nom_Domaine_Dns dans le site spcifi par Nom_Site.
Tous les contrleurs de domaine excutant le protocole
Kerberos version 5 procdent cet enregistrement.
32 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment analyser les enregistrements enregistrs par un


contrleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez utiliser la console DNS ou l'utilitaire Nslookup pour afficher les
enregistrements de ressources SRV que les contrleurs de domaine enregistrent.
Procdure d'affichage Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la
des enregistrements console DNS, suivez la procdure suivante :
SRV grce la console
DNS 1. Ouvrez DNS partir du menu Outils d'administration.
2. Double cliquez sur Serveur (o Serveur est le nom de votre serveur DNS),
sur Zones de recherche directes, puis sur domaine (o domaine est le nom
de domaine).
3. Ouvrez les dossiers suivants dans le dossier domaine pour afficher les
enregistrements de ressources enregistrs :
_msdcs
_sites
_tcp
_udp
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 33

Procdure d'affichage Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la
des enregistrements commande Nslookup, excutez la procdure suivante :
SRV grce Nslookup
1. Ouvrez une fentre d'invite de commande, puis excutez l'utilitaire
Nslookup.
2. Tapez ls t SRV domaine (o domaine est le nom de domaine) et appuyez
sur ENTRE.
Les enregistrements de ressources SRV enregistrs sont rpertoris.
Pour enregistrer les rsultats de cette liste dans un fichier, tapez ls t SRV
domaine > nom_fichier (o nom_fichier est le nom que vous attribuez au
fichier).

Remarque Si aucune zone de recherche inverse n'est configure, Nslookup


affiche des erreurs de dpassement de dlai lorsque vous excutez l'utilitaire
pour la premire fois. En effet, Nslookup gnre une recherche inverse afin de
dterminer le nom d'hte du serveur DNS en fonction de son adresse IP. La
commande ls t procde un transfert de zone. Assurez-vous que les transferts
de zone sont activs avant d'excuter la commande.
34 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Prsentation multimdia : Utilisation de DNS par les ordinateurs


clients pour trouver un contleur de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier Pour commencer la prsentation Utilisation de DNS par les ordinateurs clients
pour trouver un contleur de domaine, ouvrez la page Web sur le CD-ROM des
stagiaires, cliquez sur Multimdia, puis sur le titre de la prsentation. N'ouvrez
pas cette prsentation avant d'y tre invit par l'instructeur.
Objectifs A la fin de cette prsentation, vous serez mme d'expliquer comment des
ordinateurs clients utilisent le systme DNS pour localiser des contrleurs et
des services de domaine.
Processus d'utilisation La procdure ci-dessous explique comme un client utilise le systme DNS pour
du systme DNS pour localiser un contrleur de domaine :
localiser un contrleur
de domaine 1. Un service sur l'ordinateur client collecte les informations sur le client et le
service requis.
2. Le service client envoie les informations collectes un serveur DNS sous
forme de requte DNS.
3. Le serveur DNS renvoie une liste d'enregistrements SRV pour les
contrleurs de domaine qui fournissent le service requis dans le domaine et
le site spcifis.
4. Le service client parcourt les enregistrements SRV et en slectionne un en
fonction de la priorit et du poids affects dans l'enregistrement SRV.
5. Le service client envoie une seconde requte DNS pour demander
l'adresse IP du contrleur de domaine spcifique.
6. Le serveur DNS retourne l'enregistrement hte pour ce contrleur de
domaine, qui contient l'adresse IP du contrleur de domaine.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 35

7. Le client utilise l'adresse IP pour contacter le contrleur de domaine et


lancer une communication avec le service requis.
Si le client ne parvient pas contacter le contrleur de domaine, il
slectionne un autre enregistrement parmi les enregistrements SRV
retourns pour trouver un contrleur de domaine alternatif.
8. Le service client place ensuite en mmoire cache le nom du contrleur de
domaine et les informations relatives aux services qu'il offre. Les requtes
suivantes du client utilisent les informations places dans la mmoire cache.

Remarque Pour plus d'informations sur le recouvrement de site, reportez-vous


la rubrique Comment les ordinateurs clients utilisent le systme DNS pour
localiser des contrleurs et services de domaine de la page d'annexe du
module 2 sur le CD-ROM du stagiaire.
36 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Application pratique : Vrification des enregistrements SRV

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez analyser les enregistrements SRV
enregistrs par votre contrleur de domaine l'aide de la console DNS.
Scnario Vous venez de crer un domaine enfant sur votre rseau. Vous souhaitez
vrifier que votre contrleur de domaine a enregistr ses enregistrements de
ressources SRV avec Active Directory.
Application pratique ! Afficher les enregistrements de ressources SRV enregistrs par votre
contrleur de domaine
1. Ouvrez une session en tant que Corpx\Administrateur avec le mot de
passe P@ssw0rd
2. Cliquez sur Ne pas afficher cette page lors de l'ouverture de la session,
puis fermez la page Grer votre serveur.
3. Cliquez sur Dmarrer, slectionnez Outils d'administration, puis cliquez
sur Stratgie de scurit du contrleur de domaine.
4. Dans l'arborescence de la console, dveloppez Stratgies locales, puis
cliquez sur Attributions des droits utilisateurs.
5. Dans le volet de dtails, double-cliquez sur Permettre l'ouverture d'une
session locale.
6. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur Ajouter un utilisateur ou un groupe.
7. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, tapez
Nwtraders\Nom_OrdinateurUser (o Nom_Ordinateur est le nom de
l'ordinateur sur lequel vous travaillez), puis cliquez sur OK.
8. Dans la bote de dialogue Proprits de Permettre l'ouverture d'une
session locale, cliquez sur OK.
9. Cliquez sur Dmarrer, sur Excuter, tapez gpupdate et cliquez sur OK.
10. Fermez la session, puis ouvrez-la en tant que
Nwtraders\Nom_OrdinateurUser avec le mot de passe P@ssw0rd.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 37

11. Dans le menu Outil d'administration, pointez sur DNS, appuyez sur la
touche Maj et maintenez-la enfonce, cliquez avec le bouton droit, puis
cliquez sur Excuter en tant que.
12. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
13. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur
L'ordinateur suivant, tapez LONDON et cliquez sur OK.
14. Dveloppez London, dveloppez Zones de recherche directes, dveloppez
nwtraders.msft, puis ouvrez les dossiers suivants dans le dossier corpx
pour afficher les enregistrements de ressources SRV qui ont t enregistrs :
_msdcs
_sites
_tcp
_udp
15. Fermez la console DNS.
38 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Augmentation des niveaux fonctionnels de la


fort et du domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les fonctionnalits des forts et des domaines dterminent quelles sont les
fonctionnalits actives d'Active Directory. Cette leon prsente ces
fonctionnalits et explique comment augmenter les fonctionnalits des forts ou
des domaines.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les fonctionnalits des forts et des domaines ;
! dcrire les conditions requises pour augmenter les niveaux fonctionnels des
forts et des domaines ;
! augmenter le niveau fonctionnel des forts et des domaines.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 39

Dfinition des fonctionnalits des forts et des domaines

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Sous Windows Server 2003, les fonctionnalits des forts et des domaines
offrent un moyen d'activer les fonctionnalits Active Directory tendues
l'chelle de la fort ou du domaine dans votre environnement rseau. Selon
votre environnement, diffrents niveaux de fonctionnalit de fort et de
fonctionnalit de domaine sont disponibles.
Dfinition de la La fonctionnalit de domaine active des fonctionnalits qui auront un impact
fonctionnalit de sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux
domaine fonctionnels de domaine sont disponibles :
! Windows 2000 mixte. Il s'agit du niveau fonctionnel par dfaut. Vous
pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000
mode natif ou Windows Server 2003. Les domaines en mode mixte peuvent
contenir des contrleurs secondaires de domaine Windows NT 4.0 mais ne
peuvent pas utiliser les fonctionnalits de groupes de scurit universels,
d'imbrication de groupes ni d'historique SID (Security IDentifier).
! Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le
domaine contient uniquement des contrleurs de domaine Windows 2000
et Windows Server 2003. Bien que les contrleurs de domaine excutant
Windows 2000 Server ne connaissent pas la fonctionnalit de domaine, les
fonctionnalits Active Directory (groupes de scurit universels, imbrication
des groupes et d'historique SID, par exemple) sont disponibles.
! Windows 2003 Server. Il s'agit du niveau fonctionnel le plus lev pour un
domaine. Vous pouvez l'utiliser uniquement si tous les contrleurs de
domaine du domaine excutent Windows Server 2003. Toutes les
fonctionnalits Active Directory pour le domaine sont disponibles.
! Windows 2003 version prliminaire. Il s'agit d'un niveau fonctionnel
particulier qui prend en charge les contrleurs de domaine Windows NT 4.0
et Windows 2003 Server.
40 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Dfinition de la La fonctionnalit de fort active les fonctionnalits travers tous les domaines
fonctionnalit de fort de votre fort. Deux niveaux fonctionnels de fort sont disponibles :
Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au
niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel
de la fort vers Windows Server 2003 afin d'activer des fonctionnalits qui ne
sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
! Les approbations de fort
! Une rplication accrue

Remarque Pour obtenir une liste exhaustive des fonctionnalits actives pour
chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la
rubrique Fonctionnalit des domaines et des forts , en ligne, dans Aide et
Support.

Important Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de


la fort aprs l'avoir augment.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 41

Conditions requises pour activer les nouvelles fonctionnalits de


Windows Server 2003

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Outre les fonctionnalits de base d'Active Directory sur les contrleurs de
domaine individuels, de nouvelles fonctionnalits Active Directory tendues
la fort et au domaine sont disponibles lorsque certaines conditions sont
satisfaites.
Conditions requises pour Pour activer les nouvelles fonctionnalits tendues au domaine, tous les
activer de nouvelles contrleurs de domaine du domaine doivent excuter Windows Server 2003,
fonctionnalits tendues et le niveau fonctionnel du domaine doit tre lev au niveau Windows
au domaine Server 2003. Pour ce faire, vous devez tre un administrateur de domaine.

Conditions requises pour Pour activer les nouvelles fonctionnalits tendues la fort, tous les
activer de nouvelles contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le
fonctionnalits tendues niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003.
la fort Pour ce faire, vous devez tre un administrateur d'entreprise.
42 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment augmenter le niveau fonctionnel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction En augmentant les fonctionnalits de la fort et du domaine vers
Windows Server 2003, vous activez certaines fonctionnalits (approbations de
fort, par exemple) qui ne sont pas disponibles d'autres niveaux fonctionnels.
Vous pouvez augmenter les fonctionnalits de la fort ou du domaine en
utilisant Domaines et approbations Active Directory.
Procdure Pour augmenter le niveau fonctionnel du domaine, procdez comme suit :
d'augmentation du
niveau fonctionnel 1. Ouvrez Domaines et approbations Active Directory.
du domaine 2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine dont vous souhaitez augmenter le niveau fonctionnel, puis
cliquez sur Augmenter le niveau fonctionnel du domaine.
3. Dans la bote de dialogue Slectionner un niveau fonctionnel du domaine
disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.

Procdure Pour augmenter le niveau fonctionnel de la fort, procdez comme suit :


d'augmentation du
niveau fonctionnel 1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
de la fort console, cliquez avec le bouton droit sur Domaine et approbations Active
Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort.
2. Dans la bote de dialogue Slectionner un niveau fonctionnel de la fort
disponible, slectionnez Windows Server 2003, puis cliquez sur
Augmenter.

Remarque Vous devez augmenter le niveau fonctionnel de tous les domaines


d'une fort vers Windows 2000 natif ou suprieur avant de pouvoir augmenter
celui de la fort.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 43

Application pratique : Augmentation du niveau fonctionnel du


domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez augmenter le niveau fonctionnel du
domaine de Windows 2000 mixte vers Windows Server 2003.
Scnario Vous venez de crer un domaine enfant en installant Active Directory sur votre
ordinateur Windows Server 2003. Vous allez prparer les approbations entre
forts en augmentant le niveau fonctionnel de votre domaine.
Application pratique
! Augmenter le niveau fonctionnel de votre contrleur de domaine de
Windows 2000 mixte vers Windows Server 2003
1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Analysez le niveau fonctionnel de votre domaine, puis augmentez-le au
niveau Windows Server 2003.
4. Fermez Domaines et approbations Active Directory.
44 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Leon : Cration de relations d'approbation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Active Directory propose une scurit travers plusieurs domaines et forts en
utilisant des approbations de domaine et de fort. Cette leon explique les types
d'approbations, leur fonctionnement et la mthode de cration, de vrification et
d'annulation des relations d'approbation.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les types d'approbations que vous pouvez tablir entre les domaines ;
! expliquer la finalit des objets Domaine approuv ;
! dcrire le fonctionnement des approbations dans une fort ;
! dcrire le fonctionnement des approbations entre les forts ;
! crer une approbation ;
! vrifier et refuser une approbation.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 45

Types d'approbations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les approbations sont des mcanismes qui permettent un utilisateur
authentifi dans son propre domaine d'accder aux ressources de tous les
domaines approuvs. Dans Windows Server 2003, il existe deux types
d'approbations : transitives et non transitives.
Approbations Dans une approbation transitive, la relation d'approbation tendue un domaine
transitives/non est automatiquement tendue tous les autres domaines qui approuvent ce
transitives domaine. Par exemple, le domaine D approuve directement le domaine E, qui
approuve directement le domaine F. Etant donn que les deux approbations sont
transitives, le domaine D approuve indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant
est un bon exemple d'approbation. Les approbations non transitives ne sont pas
automatiques et peuvent tre configures. Par exemple, une approbation non
transitive peut tre externe, comme l'approbation entre deux domaines de deux
forts distinctes.
Direction de Dans Windows Server 2003, il existe trois directions d'approbation :
l'approbation unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un
domaine B, vous avez configur une approbation unidirectionnelle entrante
entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent tre
authentifis dans le domaine Q. Si vous avez configur une approbation
unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs
du domaine Q peuvent tre authentifis dans le domaine B. Dans une
approbation bidirectionnelle, les deux domaines peuvent authentifier les
utilisateurs de l'autre domaine.
46 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Types d'approbations Windows Server 2003 prend en charge les types d'approbation suivants, dans
les catgories transitives et non transitives.
Type Transitivit A utiliser si vous souhaitez

Raccourcie Partiellement Rduire les sauts de l'authentification Kerberos.


transitive
Fort Partiellement Activer l'authentification entre les forts.
transitive
Externe Non transitive Configurer une relation d'approbation entre un
domaine d'une fort et un domaine d'une autre
fort.
Domaine Transitive ou non Approuver un domaine Kerberos externe.
transitive, au
choix de
l'utilisateur

Le type d'approbation domaine ( realm , en anglais) reprsente un ensemble


de principes de scurit dans un environnement non-Windows faisant l'objet
d'une authentification Kerberos.

Remarque Pour plus d'informations sur les domaines Kerberos, reportez-vous


la rubrique Interfonctionnement avec les implmentations RFC-1510
Kerberos en ligne, dans Aide et Support.

Les approbations raccourcies sont partiellement transitives car la transitivit de


l'approbation est uniquement tendue vers le bas de la hirarchie partir du
domaine approuv, et non vers le haut de la hirarchie. Par exemple, s'il existe
une approbation raccourcie entre le domaine E et le domaine A, Active
Directory tend l'approbation vers le domaine enfant (le domaine C), mais pas
vers le haut de la hirarchie vers le domaine racine de la fort. Les utilisateurs
du domaine E ne peuvent accder qu'aux ressources du domaine racine de la
fort par l'intermdiaire de l'approbation parent/enfant avec le domaine D et de
l'approbation arborescence/racine que le domaine D entretient avec le domaine
racine de la fort.
Les approbations de fort ne sont galement que partiellement transitives car
elles peuvent uniquement tre cres entre deux forts et ne peuvent pas tre
implicitement tendues une troisime fort. Par exemple, si la fort 1 approuve
la fort 2, et que la fort 2 approuve la fort 3, les domaines des forts 1 et 2
approuvent respectivement de manire transitive les domaines des forts 2 et 3.
Toutefois, la fort 1 n'approuve pas de manire transitive la fort 3.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 47

Dfinition des objets du domaine approuv

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsque vous configurez des approbations entre domaines de la mme fort,
entre des forts ou avec un domaine externe, les informations relatives ces
approbations sont stockes dans Active Directory de sorte qu'elles, puissent tre
extraites au moment voulu.
Objets du domaine Chaque relation d'approbation d'un domaine est reprsente par un objet connu
approuv sous le nom d'objet Domaine approuv (TDO, Trusted Domain Object). Le
TDO stocke des informations relatives l'approbation, comme sa transitivit ou
son type. A chaque cration d'une approbation, un TDO est cr et stock dans
le conteneur System du domaine de l'approbation.
Les TDO d'approbation de fort stockent des informations supplmentaires
permettant d'identifier la totalit des espaces de noms approuvs partir de la
fort de son partenaire. Lorsque vous crez une approbation de fort, chaque fort
rassemble tous les espaces de noms approuvs dans la fort de son partenaire et
stocke les informations dans un TDO. Ces informations contiennent :
! les noms d'arborescence de domaine ;
! les suffixes du nom principal du service (SPN, Service, Principal Name) ;
! les espaces de noms de l'identificateur de scurit (SID) ;

Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est
excut un service.
Lorsqu'un poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.
48 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Comment fonctionnent les approbations dans une fort

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les approbations permettent aux utilisateurs d'un domaine d'accder aux
ressources d'un autre domaine. Les relations d'approbation peuvent tre
transitives ou non transitives.

Comment les Lorsqu'un utilisateur tente d'accder une ressource d'un autre domaine, le
approbations permettent protocole d'authentification Kerberos version 5 doit dterminer si le domaine
aux utilisateurs approuver (c'est--dire le domaine qui contient la ressource laquelle tente
d'accder aux d'accder l'utilisateur) possde une relation d'approbation avec le domaine
ressources d'une fort approuv (c'est--dire le domaine dans lequel l'utilisateur tente d'ouvrir une
session).
Pour dterminer cette relation, le protocole Kerberos version 5 suit le chemin
d'approbation en utilisant le TDO afin d'obtenir une rfrence au contrleur de
domaine du domaine cible. Le contrleur de domaine cible met un ticket de
service pour le service demand. Le chemin d'approbation est le chemin d'accs
le plus court dans la hirarchie d'approbation.
Lorsqu'un utilisateur du domaine approuv tente d'accder aux ressources d'un
autre domaine, son ordinateur contacte d'abord le contrleur de domaine de son
domaine afin d'obtenir l'authentification pour la ressource. Si la ressource ne se
trouve pas dans le domaine de l'utilisateur, le contrleur de domaine utilise la
relation d'approbation avec son parent et renvoie l'ordinateur de l'utilisateur vers
un contrleur de domaine de son domaine parent.
Cette tentative de localisation de la ressource se poursuit jusqu'au sommet de
la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la
hirarchie tant qu'un contact n'est pas tablit avec un contrleur de domaine du
domaine dans lequel se trouve la ressource.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 49

Comment fonctionnent les approbations entre les forts

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Windows Server 2003 prend en charge les approbations entre forts, qui
permettent aux utilisateurs d'accder aux ressources d'une autre fort.
Lorsqu'un utilisateur tente d'accder aux ressources d'une fort approuve,
Active Directory doit pralablement rechercher les ressources. Une fois que les
ressources ont t localises, l'utilisateur peut tre authentifi et autoris
accder aux ressources. Si vous comprenez bien le fonctionnement de ce
processus, vous serez mme de rsoudre les problmes susceptibles de
survenir avec les approbations entre forts.
Comment s'effectue Ci-dessous une description de la manire dont un ordinateur client
l'accs une ressource Windows 2000 Professional ou Windows XP Professional recherche et accde
aux ressources d'une autre fort dote de serveurs Windows 2000 Server ou
Windows Server 2003.
1. Un utilisateur qui a ouvert une session sur le domaine
vancouver.nwtraders.msft tente d'accder un dossier partag de la fort
contoso.msft. L'ordinateur de l'utilisateur contacte le KDC d'un contrleur
de domaine de vancouver.nwtraders.msft et demande un ticket de service en
utilisant le SPN de l'ordinateur sur lequel rsident les ressources. Un SPN
peut tre le nom DNS d'un hte ou d'un domaine, ou le nom unique d'un
objet point de connexion de service.
2. Les ressources ne sont pas localises dans vancouver.nwtraders.msft, le
contrleur de domaine de vancouver.nwtraders.msft demande donc au
catalogue global de voir si elles se trouvent dans un autre domaine de la
fort.
Etant donn qu'un catalogue global ne contient que des informations
relatives sa propre fort, il ne trouve pas le SPN. Il recherche alors dans sa
base de donnes les informations relatives des approbations de fort qui
ont t tablies avec sa fort. S'il en trouve une, il compare les suffixes de
noms rpertoris dans le TDO de l'approbation de fort par rapport au
suffixe du SPN cible. S'il trouve une correspondance, le catalogue global
fournit les informations de routage relatives la manire de localiser les
ressources au contrleur de domaine de vancouver.nwtraders.msft.
50 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

3. Le contrleur de domaine de vancouver.nwtraders.msft envoie une


rfrence son domaine parent, nwtraders.msft, l'ordinateur de
l'utilisateur.
4. L'ordinateur de l'utilisateur contacte un contrleur de domaine de
nwtraders.msft pour obtenir une rfrence un contrleur de domaine
du domaine racine de la fort contoso.msft.
5. Grce la rfrence renvoye par le contrleur de domaine de
nwtraders.msft, l'ordinateur de l'utilisateur contacte un contrleur de
domaine de la fort contoso.msft pour obtenir un ticket de service pour le
service demand.
6. Les ressources ne se trouvent pas dans le domaine racine de la fort
contoso.msft, le contrleur de domaine contacte donc son catalogue global
pour trouver le SPN. Le catalogue global trouve une correspondance pour le
SPN et l'envoie au contrleur de domaine.
7. Le contrleur de domaine envoie une rfrence seattle.contoso.msft
l'ordinateur de l'utilisateur.
8. L'ordinateur de l'utilisateur contacte le KDC sur le contrleur de domaine de
seattle.contoso.msft et ngocie un ticket pour l'utilisateur afin de pouvoir
accder aux ressources du domaine seattle.contoso.msft.
9. L'ordinateur de l'utilisateur envoie le ticket de service l'ordinateur sur
lequel se trouvent les ressources partages, qui lit les informations
d'identification de scurit et cre un jeton d'accs permettant l'utilisateur
d'accder aux ressources.

Remarque Les approbations entre forts permettent aux utilisateurs d'une fort
d'accder aux ressources d'une autre fort. Active Directory protge les
approbations entre forts grce au filtrage SID. Pour obtenir des informations
relatives au filtrage SID, reportez-vous la rubrique Comment fonctionnent
les approbations entre les forts de la page d'annexe du module 2 sur le
CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 51

Comment crer des approbations

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez utiliser Domaines et approbations Active Directory pour crer des
relations d'approbation entre des forts ou entre des domaines de la mme fort.
Vous pouvez galement l'utiliser pour crer des approbations raccourcies.
Avant de crer une relation de fort, vous devez crer une zone secondaire de
recherche inverse sur le serveur DNS dans chaque fort qui pointe vers le
serveur DNS d'une autre fort. La cration de zones secondaires de recherche
inverse garantit que le contrleur de domaine de la fort dans laquelle vous
crez une approbation de fort est mme de localiser un contrleur de
domaine de l'autre fort et de dfinir une relation d'approbation.
Procdure Pour crer une approbation, procdez comme suit :
1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, suivez l'une des tapes ci-dessous.
Pour crer une approbation de fort, cliquez avec le bouton droit sur le
nud de domaine du domaine racine de la fort, puis cliquez sur
Proprits.
Pour crer une approbation raccourcie, cliquez avec le bouton droit sur
le nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation raccourcie, puis cliquez sur Proprits.
Pour crer une approbation externe, cliquez avec le bouton droit sur le
nud de domaine du domaine avec lequel vous souhaitez tablir une
approbation, puis cliquez sur Proprits.
Pour crer une approbation de domaine, cliquez avec le bouton droit sur
le nud de domaine du domaine que vous souhaitez administrer, puis
cliquez sur Proprits.
3. Dans l'onglet Approbation, cliquez sur Nouvelle approbation, puis sur
Suivant.
4. Dans la page d'accueil de l'Assistant Nouvelle approbation, cliquez sur
Suivant.
52 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

5. Sur la page Nom d'approbation, suivez l'une des tapes ci-dessous.


Si vous crez une approbation de fort, tapez le nom DNS de la
deuxime fort, puis cliquez sur Suivant.
Si vous crez une approbation raccourcie, tapez le nom DNS du
domaine, tapez et confirmez le mot de passe de l'approbation, puis
cliquez sur Suivant.
Si vous crez une approbation externe, tapez le nom DNS du domaine,
puis cliquez sur Suivant.
Si vous crez une approbation de domaine, tapez le nom DNS du
domaine cible, puis cliquez sur Suivant.
6. Sur la page Type d'approbation, suivez l'une des tapes suivantes :
Si vous crez une approbation de fort, cliquez sur Approbation de
fort, puis sur Suivant.
Si vous crez une approbation raccourcie, passez l'tape 7.
Si vous crez une approbation externe, cliquez sur Approbation
externe, puis sur Suivant.
Si vous crez une approbation de domaine, cliquez sur Approbation de
domaine, puis sur Suivant. Sur la page Transitivit de l'approbation,
suivez l'une des tapes suivantes :
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Non transitif, puis sur Suivant.
Pour crer une relation d'approbation avec le domaine et le domaine
Kerberos spcifi, cliquez sur Transitif, puis sur Suivant.
7. Dans la page Direction de l'approbation, suivez l'une des tapes
ci-dessous.
Pour crer une approbation bidirectionnelle, cliquez sur Bidirectionnel,
puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle entrante, cliquez sur
Sens unique : en entre, puis suivez les instructions de l'Assistant.
Pour crer une approbation unidirectionnelle sortante, cliquez sur
Sens unique : en sortie, puis suivez les instructions de l'Assistant.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 53

Comment vrifier et rvoquer une approbation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsque vous crez des approbations non transitives, vous devez parfois
vrifier et rvoquer les chemins d'approbation que vous avez crs. Vous
vrifiez une approbation afin de vous assurer qu'elle peut valider les demandes
d'authentification provenant d'autres domaines. Vous rvoquez une approbation
pour viter que le chemin d'authentification ne soit utilis lors d'une
authentification. Vous pouvez utiliser Domaines et approbations Active Directory
ou la commande netdom pour vrifier et rvoquer les chemins d'approbation.
Procdure de Pour vrifier une approbation l'aide de Domaines et approbations Active
vrification des Directory, excutez la procdure suivante :
approbations
1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez vrifier, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
vrifier, puis sur Proprits.
3. Cliquez sur Valider, puis sur Non, ne pas valider l'approbation entrante.
4. Reprenez les tapes 1 3 afin de vrifier l'approbation de l'autre domaine de
la relation.

Pour vrifier une approbation l'aide de la commande netdom, conformez-


vous l'tape ci-dessous :
! A l'invite, tapez la commande suivante et appuyez sur ENTRE.
NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Verify
54 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Procdure de rvocation Pour rvoquer une approbation l'aide de Domaines et approbations Active
des approbations Directory, excutez la procdure suivante :
1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez refuser, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
refuser, puis sur Supprimer.
3. Reprenez les tapes 1 et 2 afin de rvoquer l'approbation de l'autre domaine
de la relation d'approbation.

Pour rvoquer une approbation l'aide de la commande netdom, conformez-


vous l'tape ci-dessous :
! A l'invite, tapez la commande suivante et appuyez sur ENTRE.
NETDOM TRUST nom_domaine__approuver
/Domain:nom_domaine_approuv /Remove
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 55

Application pratique : Cration d'une approbation raccourcie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez crer et valider une approbation
raccourcie entre votre domaine et un autre domaine de votre fort.
Scnario Vous avez cr un domaine enfant dans la fort nwtraders.msft. Les
responsables des ventes d'un autre domaine doivent accder aux ressources
commerciales de votre domaine, et inversement. Vous devez dfinir une
approbation raccourcie bidirectionnelle entre les domaines.
Instructions Vous allez travailler avec un partenaire que va vous attribuer votre instructeur.
Vous allez crer l'approbation raccourcie entre votre domaine et celui de votre
partenaire.
Application pratique :
Cration de
! Crer l'approbation raccourcie
l'approbation raccourcie 1. Ouvrez une session en tant que Nwtraders\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd
2. Ouvrez Domaines et approbations Active Directory en tant que
Nwtraders\Administrateur en utilisant Excuter en tant que.
3. Crez une approbation bidirectionnelle vers le domaine de votre partenaire.
Utilisez le mot de passe P@ssw0rd de l'approbation et acceptez les
slections par dfaut.
56 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Application pratique : ! Valider l'approbation raccourcie


Validation de
l'approbation raccourcie 1. Dans l'onglet Approbation de la page Proprits, cliquez sur l'approbation
que vous avez cre avec le domaine de votre partenaire, puis cliquez sur
Proprits.
2. Sur la page Proprits, cliquez sur Valider.
3. Cliquez sur Non, ne pas valider l'approbation entrante, puis sur OK.
Si l'approbation est valide, un message de validation s'affiche. Si vous
procdez un test de validation avant que votre partenaire ait dfini une
approbation raccourcie bidirectionnelle avec votre domaine, vous allez
recevoir un message.
4. Fermez toutes les botes de dialogue, puis fermez Domaines et approbations
Active Directory.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 57

Atelier A : Implmentation d'Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs la fin de cet atelier, vous serez mme deffectuer les tches suivantes :
! supprimer un domaine enfant d'Active Directory ;
! crer un domaine racine de la fort ;
! vrifier les niveaux fonctionnels de la fort et du domaine ;
! augmenter le niveau fonctionnel d'un domaine et d'une fort ;
! crer un domaine enfant dans une fort existante ;
! crer et vrifier des approbations de fort.

Connaissances Avant de commencer cet atelier, vous devez avoir :


pralables
! des connaissances relatives aux composants qui constituent la structure
logique et physique d'Active Directory ;
! des connaissances relatives au fonctionnement des zones intgres Active
Directory et au systme DNS ;
! des connaissances relatives aux niveaux fonctionnels de la fort ;
! des connaissances relatives aux approbations de fort.

Scnario Vous tes un ingnieur systme de la socit Northwind Traders. Suite une
srie de fusions avec plusieurs socits de plus petite taille, Northwind Traders
a dcid de consolider son infrastructure Active Directory. Les organisations
individuelles doivent grer leur structure Active Directory, et tre cependant en
mesure de communiquer avec toutes les filiales. Vous allez fournir
l'infrastructure ncessaire la prise en charge de ces objectifs grce plusieurs
forts et approbations, le cas chant, entre elles.
Dure approximative
de cet atelier :
60 minutes
58 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exercice 1
Suppression d'un domaine enfant d'Active Directory
Dans cet exercice, vous allez supprimer Active Directory de votre contrleur de domaine afin de
prparer la cration d'une structure de fort et de domaine Active Directory.

Scnario
Northwind Traders doit implmenter Active Directory diffrents emplacements. L'quipe de
gestion informatique (IT) a demand aux ingnieurs d'implmenter Active Directory en utilisant des
forts spares. Vous allez travailler de manire indpendante en tant qu'administrateur local du
bureau auquel vous avez t affect. Vous allez crer un domaine racine de la fort et un domaine
enfant Active Directory grce aux serveurs prsents sur votre site. Mais en premier lieu, vous devez
rtrograder votre contrleur de domaine.

Tches Instructions spcifiques

1. Supprimer Active Directory a. Ouvrez une session an tant que Nwtraders\Nom_OrdinateurUser.


de votre contrleur de b. Utilisez Excuter en tant que pour lancer une invite de commande et
domaine. excutez dcpromo en tant que Nwtraders\Administrateur.
2. Vrifier qu'Active Directory a. Ouvrez une session en tant qu'Administrateur avec le mot de passe
a t supprim de votre P@ssw0rd.
serveur. b. Vrifiez que les partages NETLOGON et SYSVOL n'existent plus.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 59

Exercice 2
Cration d'un domaine racine de la fort Active Directory
Dans cet exercice, vous allez travailler avec un partenaire afin de crer votre fort Active Directory.
L'un de vous deux va crer le domaine racine de la fort et l'autre un domaine enfant.

Scnario
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un environnement
administratif polyvalent. En tant que filiale rgionale de Northwind Traders, vous devez coordonner
vos efforts avec la filiale de votre pays. L'une des filiales va crer le domaine racine de la fort et
l'autre un domaine enfant dans la nouvelle fort. Le domaine racine de la fort doit tre cr avant
que le domaine enfant, puisse rejoindre la fort. Vous devez coordonner vos efforts avec l'autre
filiale pour tre sr que la procdure approprie est ralise au moment opportun.
Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.
Nom de l'ordinateur Domaine racine de la fort Domaine enfant

Vancouver Nwtraders1.msft
Denver Corp1.Nwtraders1.msft
Perth Nwtraders2.msft
Brisbane Corp2.Nwtraders2.msft
Lisbon Nwtraders3.msft
Bonn Corp3.Nwtraders3.msft
Lima Nwtraders4.msft
Santiago Corp4.Nwtraders4.msft
Bangalore Nwtraders5.msft
Singapore Corp5.Nwtraders5.msft
Casablanca Nwtraders6.msft
Tunis Corp6.Nwtraders6.msft
Acapulco Nwtraders7.msft
Miami Corp7.Nwtraders7.msft
Auckland Nwtraders8.msft
Suva Corp8.Nwtraders8.msft
Stockholm Nwtraders9.msft
Moscow Corp9.Nwtraders9.msft
Caracas Nwtraders10.msft
Montevideo Corp10.Ntraders10.msft.
Manila Nwtraders11.msft
Tokyo Corp11. Nwtraders11.msft
Khartoum Nwtraders12.msft
Nairobi Corp12. Nwtraders12.msft
60 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Tches Instructions spcifiques

1. Crer un domaine racine de a. Reportez-vous au tableau pour vos attributions de domaine.


la fort. b. Ouvrez une session sur votre serveur en tant qu'Administrateur avec
le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
Vous devez installer le systme DNS en utilisant l'Assistant
Installation de Active Directory. Le service de rsolution DNS du
contrleur de domaine racine doit pointer sur London.
2. Crer deux comptes " Crez Nom_OrdinateurUser pour chaque ordinateur de la fort.
d'utilisateurs des fins
de connexion.
3. Vrifier la cration de
la nouvelle fort.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 61

Exercice 3
Cration d'un domaine enfant Active Directory
Dans cet exercice, vous allez terminer la cration de la fort Active Directory en crant un domaine
enfant l'intrieur de la racine de la fort.

Scnario
En tant qu'entreprise sur de la racine de la fort nouvellement cre, vous allez terminer la fort
en crant le premier domaine enfant. Ne suivez pas cette procdure tant que vous n'avez pas vrifi,
avec votre partenaire, que le domaine racine de la fort a t configur et qu'il fonctionne.

Tches Instructions spcifiques

1. Crer un domaine enfant. " Ouvrez une session sur votre ordinateur local en tant
qu'Administrateur avec le mot de passe P@ssw0rd
Le service de rsolution DNS du contrleur du domaine enfant
doit pointer sur le contrleur du domaine racine de la fort.

2. Vrifier l'installation du
nouveau domaine enfant.
62 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory

Exercice 4
Augmentation du niveau fonctionnel du domaine et de la fort
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Windows Server 2003.

Scnario
Northwind Traders prpare son environnement d'approbations entre forts, que l'quipe
informatique va implmenter ultrieurement. Avant d'implmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit d'approbation de fort.

Tches Instructions spcifiques

1. Augmenter le niveau " Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


fonctionnel du domaine. (o x est le numro du domaine que votre instructeur vous a attribu)
avec le mot de passe P@ssw0rd.

2. Augmenter le niveau " Vous devez augmenter le niveau en utilisant uniquement un membre de
fonctionnel de la fort. la fort.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 63

Exercice 5
Cration d'une approbation de fort
Dans cette exercice, vous allez crer une approbation de fort bidirectionnelle avec les forts
nwtraders.msft.

Scnario
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
l'augmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer l'approbation requise avec laquelle
activer les communications et l'accs aux ressources entre votre fort et la fort de la socit.

Tches Instructions spcifiques

1. Configurer la redirection " Effectuez cette tche sur le contrleur du domaine racine de la fort.
DNS.
2. Crer une approbation entre " Effectuez cette tche sur le contrleur du domaine enfant.
la fort de la classe et la
vtre, puis vrifier que
l'approbation a t cre.
THIS PAGE INTENTIONALLY LEFT BLANK
Module 3 : Implmentation
de la structure d'une unit
d'organisation
Table des matires
Vue d'ensemble 1
Leon : Cration et gestion d'units
d'organisation 2
Leon : Dlgation du contrle
administratif des units d'organisation 14
Leon : Planification d'une stratgie
d'unit d'organisation 25
Atelier A : Implmentation de la
structure d'une unit d'organisation 36
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 3 : Implmentation de la structure d'une unit d'organisation iii

Notes de l'instructeur
Prsentation : Ce module explique comment crer et grer des units d'organisation, dlguer
90 minutes des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.
Atelier :
45 minutes
Objectifs la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer et grer des units d'organisation ;
! dlguer le contrle d'une unit d'organisation ;
! planifier la stratgie d'une unit d'organisation.

Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint
2194A_03.ppt.

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire les rubriques dans Aide et Support de Microsoft
Windows Server 2003 : propos des outils de ligne de commande
du service d'annuaire, y compris Dsadd, Dsmod, Dsrm et Ldifde.
iv Module 3 : Implmentation de la structure d'une unit d'organisation

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 3 : Implmentation de la structure d'une unit d'organisation v

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Cration et gestion d'units d'organisation


Cette leon traite des connaissances et des comptences requises pour crer et
grer des units d'organisation.
La rubrique Mthodes de cration et de gestion des units d'organisation dcrit
plusieurs outils de ligne de commande prsents dans le Module 1. Comparez
les outils lorsque vous prsentez la rubrique.
Aprs avoir montr comment utiliser Dsadd, Dsmod et Dsrm, indiquez
aux stagiaires qu'ils trouveront en annexe des exemples supplmentaires
d'utilisation des outils de service d'annuaire pour grer des units d'organisation.
Lorsque vous prsentez la rubrique Comment crer et grer des units
d'organisation l'aide de l'outil Ldifde, montrez comment crer un fichier
d'entre que vous utiliserez ensuite pour crer une unit d'organisation.
Application pratique la fin de la leon, demandez aux stagiaires de crer des units d'organisation
dans le domaine que leur ordinateur hberge.

Leon : Dlgation du contrle administratif des units


d'organisation
Cette leon traite des connaissances et des comptences requises pour dlguer
des tches d'administration dans Active Directory.
Les rubriques Qu'est-ce que la dlgation de privilges administratifs ? et
Tches d'administration pour units d'organisation contiennent des informations
gnrales. Utilisez ces rubriques pour rvision.
Lorsque vous prsenterez les rubriques Comment dlguer le contrle
administratif, Comment personnaliser le contrle administratif dlgu et
Comment vrifier la dlgation d'un contrle administratif, montrez comment
effectuer ces tches. Indiquez aux stagiaires les annexes consulter pour plus
d'informations sur l'utilisation des quotas.
Application pratique la fin de la leon, demandez aux stagiaires de dlguer le contrle de tches
d'administration courantes pour diverses units d'organisation.
vi Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Planification d'une stratgie d'unit d'organisation


Cette leon traite des connaissances et des comptences requises pour planifier
la stratgie d'une unit d'organisation en fonction des besoins d'une
organisation.
Lorsque vous prsentez la rubrique Processus de planification d'une unit
d'organisation, ne donnez pas de dtails sur la manire de documenter la
structure d'une organisation. Il s'agit d'une tche complexe et il suffit que les
stagiaires aient conscience que cette tche doit tre effectue.
Application pratique la fin de la leon, demandez aux stagiaires de planifier la structure d'une unit
d'organisation pour Northwind Traders. Les stagiaires travailleront par deux.
Affectez un numro chacun des groupes ainsi forms. Ils implmenteront
cette structure dans le cadre de l'atelier.

Atelier A : Implmentation de la structure d'une unit d'organisation


Avant de commencer l'atelier, vrifiez que les stagiaires ont termin
l'application pratique Planification de la structure d'une unit d'organisation.
Ils implmenteront cette structure dans le cadre de l'atelier. Les stagiaires qui
n'ont pas termin l'application pratique de planification pourraient prouver des
difficults raliser le travail en atelier.
la fin de l'atelier, indiquez aux stagiaires combien il est important de
documenter l'excution d'une administration Active Directory avant de planifier
la structure d'une unit d'organisation. Faites remarquer que bien qu'il soit facile
de planifier la structure d'une unit d'organisation en se basant uniquement
sur des considrations gographiques ou la structure de l'entreprise, il faut
davantage de temps et d'efforts pour planifier une structure organisationnelle
qui simplifie l'administration d'Active Directory.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit
configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, effectuez les
ateliers du Module 2, Implmentation d'une structure de fort et de domaine
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft
Windows Server 2003.
Module 3 : Implmentation de la structure d'une unit d'organisation vii

En outre, cet atelier requiert la structure d'unit d'organisation suivante :


! Nom_Ordinateur
IT
Sales
HR

Remarque Sur l'ordinateur de chaque stagiaire, remplacez Nom_Ordinateur


par le nom de l'ordinateur de stagiaire sur lequel les units d'organisation
sont cres.

Pour prparer les ordinateurs des stagiaires remplir cette condition, vrifiez
que les stagiaires ont effectu l'application pratique Cration d'units
d'organisation de ce module.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre les units d'organisation suivantes dans le domaine de chaque
stagiaire :
Nom_Ordinateur
Accounting
Research
! Elle cre les groupes suivants dans l'unit d'organisation relative au service
informatique IT (Information Technology) :
DL AccountingAdmins
DL ResearchAdmins
! Chaque groupe rpertori ci-dessus se voit dlguer le contrle de l'unit
d'organisation associe au groupe.
Module 3 : Implmentation de la structure d'une unit d'organisation 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Ce module explique comment crer et grer des units d'organisation, dlguer
des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.
Objectifs la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! crer et grer des units d'organisation ;
! dlguer le contrle d'une unit d'organisation ;
! planifier la stratgie d'une unit d'organisation.
2 Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Cration et gestion d'units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon prsente les outils de ligne de commande et les composants
logiciels enfichables MMC (Microsoft Management Console) permettant la
cration et la gestion d'units d'organisation. Elle apporte galement les
comptences requises pour crer, modifier et supprimer des units
d'organisation.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire le cycle de vie d'units d'organisation ;
! dcrire les mthodes de cration d'units d'organisation ;
! grer des units d'organisation l'aide d'outils de ligne de commande de
services d'annuaire ;
! grer des units d'organisation l'aide de l'outil de ligne de commande
Ldifde ;
! crer des units d'organisation partir de l'environnement d'excution de
scripts Windows.
Module 3 : Implmentation de la structure d'une unit d'organisation 3

Prsentation de la gestion des units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les units d'organisation sont les conteneurs du service d'annuaire Active
Directory que vous utilisez pour placer des utilisateurs, des groupes, des
ordinateurs et d'autres units d'organisation. L'utilisation d'units d'organisation
vous permet de crer des conteneurs dans un domaine reprsentant les
structures hirarchique et logique de votre organisation. Vous pouvez ensuite
grer la configuration et l'utilisation de comptes et de ressources en fonction
de votre modle d'organisation. Vous pouvez, par exemple, utiliser les units
d'organisation pour appliquer automatiquement des stratgies de groupe
dfinissant des paramtres par dfaut pour les comptes d'ordinateurs et
d'utilisateurs dans Active Directory.
Cycle de vie d'units Le cycle de vie des units d'organisation inclut quatre phases :
d'organisation
! Planification. Vous planifiez au cours de cette phase la structure des units
d'organisation. Vous dterminez quelles units d'organisation vous allez
crer et comment vous en dlguerez le contrle administratif.
! Dploiement. Vous crez au cours de cette phase la structure des units
d'organisation en fonction de leur plan.
! Maintenance. Aprs avoir cr la structure des units d'organisation dans
Active Directory, vous pouvez renommer, dplacer ou modifier les units
cres en fonction des besoins permanents de l'organisation.
! Suppression. Dans Active Directory, tous les objets, y compris les units
d'organisation, occupent de l'espace dans le contrleur de domaine qui
hberge Active Directory. Lorsque des units d'organisation ne sont plus
requises, vous devez les supprimer.

Remarque Pour plus d'informations sur les units d'organisation, reportez-vous


au Module 7, Administration des accs aux objets dans les units
d'organisation du cours 2144, Administration d'un environnement
Microsoft Windows Server 2003.
4 Module 3 : Implmentation de la structure d'une unit d'organisation

Mthodes de cration et de gestion des units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Microsoft Windows Server 2003 fournit plusieurs composants logiciels
enfichables et outils de ligne de commande vous permettant de crer des units
d'organisation et de grer la configuration et l'utilisation de comptes et de
ressources dans le modle de votre organisation. Vous pouvez galement
utiliser l'environnement d'excution de scripts pour les plates-formes
Microsoft Windows, afin de grer des units d'organisation.
Mthodes de cration et La liste suivante dcrit quelques composants logiciels enfichables et outils
de gestion des units de ligne de commande vous permettant de crer et de grer des units
d'organisation d'organisation :
! Utilisateurs et ordinateurs Active Directory. Ce composant logiciel
enfichable MMC permet de crer, modifier et supprimer des units
d'organisation. Utilisez ce composant logiciel enfichable lorsque vous
n'avez que quelques units d'organisation grer, ou lorsque vous
souhaitez grer des units de manire interactive.
! Outils de service d'annuaire. Cet ensemble d'outils de ligne de commande
permet de grer des objets et d'effectuer des requtes d'informations dans
Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod
et Dsrm. L'utilisation de ces outils avec le paramtre ou vous permet
d'ajouter, de modifier et de supprimer des units d'organisation dans
Active Directory. Vous pouvez galement utiliser des scripts et des
fichiers de commandes avec ces outils pour grer des services d'annuaire.
Module 3 : Implmentation de la structure d'une unit d'organisation 5

! Ldifde (Lightweight Directory Access Protocol Data Interchange Format


Directory Exchange). Cet outil de ligne de commande permet de crer des
units d'organisation et d'autres objets Active Directory. Ldifde utilise un
fichier d'entre contenant des informations sur les objets ajouter, modifier
ou supprimer. Ces informations sont stockes sous la forme d'une srie
d'enregistrements, spars par une ligne vide dans un fichier d'entre.
! Environnement d'excution de scripts Windows. Vous pouvez crer des
units d'organisation l'aide d'applications Windows, ou l'aide de
scripts Windows avec les composants fournis par les interfaces ADSI
(Active Directory Service Interfaces). L'utilisation de scripts vous permet
de crer des units d'organisation dans le cadre d'une configuration
d'application, le cas chant.
6 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer et grer des units d'organisation l'aide d'outils


de service d'annuaire

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les outils de ligne de commande Dsadd, Dsmod et Dsrm du service d'annuaire
vous permettent de crer et de grer des units d'organisation partir de l'invite
de commande. Vous pouvez galement utiliser ces commandes dans des scripts
et des fichiers de commandes.
Procdure de cration Pour crer une unit d'organisation, excutez la commande Dsadd suivante
d'une unit partir de l'invite de commande :
d'organisation
dsadd ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe

O :
! NU_Unit_Organisation spcifie le nom unique de l'unit d'organisation
que vous dsirez ajouter. Par exemple, pour ajouter l'unit
SupportTechnique au domaine nwtraders.msft, le nom unique serait
ou=supporttechnique,dc=nwtraders,dc=msft.
! Description spcifie la description de l'unit d'organisation que vous dsirez
ajouter.
! Domaine spcifie le domaine auquel se connecter. Par dfaut, l'ordinateur
est connect au contrleur de domaine du domaine sur lequel il a ouvert
une session.
Module 3 : Implmentation de la structure d'une unit d'organisation 7

! Nom_Utilisateur spcifie le nom d'utilisateur permettant de se connecter


un serveur distant. Par dfaut, le nom de l'utilisateur connect est utilis.
Vous pouvez spcifier un nom d'utilisateur selon l'un des formats suivants :
nom d'utilisateur (par exemple, Linda)
domaine\nom d'utilisateur (par exemple, widgets\Linda)
nom d'utilisateur principal (UPN, User Principal Name) (par exemple,
Linda@widgets.microsoft.com)
! Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur
un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera
demand.
Procdure de Pour modifier la description d'une unit d'organisation, excutez la commande
modification d'une unit suivante :
d'organisation
dsmod ou NU_Unit_Organisation -desc Description -d Domaine -u
Nom_Utilisateur -p Mot_de_passe

Les paramtres qui sont transmis la commande dsmod sont les mmes que
ceux de la commande dsadd. La nouvelle description doit tre transmise
comme paramtre desc.
Procdure de Vous devez supprimer d'Active Directory les units d'organisation qui ne sont
suppression d'une unit plus utilises. Pour supprimer une unit d'organisation, excutez la commande
d'organisation suivante :
dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur -p
Mot_de_passe

Les paramtres qui sont transmis la commande dsrm sont les mmes que
ceux de la commande dsadd. Vous pouvez utiliser les paramtres
supplmentaires suivants avec dsrm :
! subtree. Spcifie de supprimer l'objet ainsi que tous les objets contenus dans
la sous-arborescence situe sous cet objet.
! Exclude. Spcifie de ne pas supprimer l'objet de base fourni par
NU_Unit_Organisation lorsque vous supprimez la sous-arborescence
situe au-dessous. Par dfaut, seul l'objet de base spcifi est supprim.
Le paramtre Exclude ne peut tre spcifi qu'avec le paramtre subtree.

Remarque Pour plus d'informations sur l'utilisation des outils de ligne de


commande Dsadd, Dsmod et Dsrm, reportez-vous au Centre d'aide et de
support de Windows Server 2003. Pour obtenir des exemples supplmentaires
d'utilisation de ces outils de ligne de commande du service d'annuaire, reportez-
vous la rubrique Comment crer et grer des units d'organisation l'aide
d'outils de service d'annuaire du Module 3, dans la page des annexes sur le
CD-ROM du stagiaire.
8 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer et grer des units d'organisation l'aide de


l'outil Ldifde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction L'outil de ligne de commande Ldifde vous permet de crer des units
d'organisation en mode Batch et de dfinir des hirarchies d'units
d'organisation. Vous pouvez galement utiliser Ldifde pour modifier et
supprimer des units d'organisation.
Procdure La premire tape excuter pour utiliser cet outil consiste crer le fichier
d'entre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la
commande Ldifde.
Procdez comme suit pour crer des units d'organisation l'aide de l'outil de
ligne de commande Ldifde :
1. Crez un fichier d'entre. L'exemple suivant montre le format du fichier :
dn: OU=ExempleOU,DC=nwtraders,DC=msft
changetype: add
objectClass: organizationalUnit

Changetype dtermine le type d'opration effectue sur l'objet Active


Directory. ObjectClass spcifie la classe de l'objet Active Directory. Dans
l'exemple prcdent, Ldifde ajoute un objet d'unit d'organisation appel
ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs
units d'organisation en ajoutant d'autres entres comme celle ci-dessus.
Chaque entre dn doit tre prcde d'une ligne vide, sauf la premire.
Module 3 : Implmentation de la structure d'une unit d'organisation 9

2. Excutez Ldifde pour crer, modifier ou supprimer des units d'organisation


en entrant la commande suivante :
C:\>ldifde -i k -f OUList.ldf -b Nom_Utilisateur Domaine
Mot_de_Passe

O :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode
par dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom du fichier d'importation ou d'exportation.
OUList.ldf est le fichier d'entre.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe
associs au compte d'utilisateur qui sera utilis pour excuter l'opration
d'importation ou d'exportation.

Remarque Pour plus d'informations sur Ldifde, reportez-vous Aide et


support de Windows Server 2003.
10 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment crer des units d'organisation l'aide de


l'environnement d'excution de scripts Windows

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction ADSI est une interface de programmation d'applications (API, Application
Programming Interface) que vous utilisez partir de l'environnement
d'excution de scripts Windows pour automatiser l'administration d'Active
Directory. ADSI utilise le protocole LDAP (Lightweight Directory Access
Protocol) pour communiquer avec Active Directory. Toutes les oprations
ADSI que vous effectuez sur Active Directory respectent la mme procdure.
Vous devez tout d'abord vous connecter Active Directory. Vous pouvez
ensuite effectuer des tches, comme extraire des informations concernant des
objets, et ajouter, modifier ou supprimer des objets. Si vous apportez des
modifications Active Directory, vous devez les enregistrer dans la base de
donnes Active Directory afin qu'elles soient conserves.
Procdure Procdez comme suit pour crer une unit d'organisation l'aide de
l'environnement d'excution de scripts Windows :
1. l'aide du Bloc-notes, crez un fichier texte portant l'extension .vbs.
Insrez dans ce fichier les commandes figurant ci-aprs sous les points a, b
et c, puis enregistrez le fichier.
a. Commencez par vous connecter au domaine dans lequel vous souhaitez
crer l'unit d'organisation, comme indiqu dans l'exemple suivant :
Set objDom = GetObject("LDAP://dc=nwtraders,dc=msft")

Important Dans l'exemple ci-dessus, LDAP doit tre en majuscules, sinon la


commande chouera.

Dans cet exemple, nwtraders.msft est le domaine dans lequel vous crez
l'unit d'organisation.
Module 3 : Implmentation de la structure d'une unit d'organisation 11

b. Crez ensuite l'unit d'organisation en spcifiant OrganizationalUnit


comme type d'objet Active Directory crer et le nom de l'unit
d'organisation, comme indiqu dans l'exemple suivant :
Set objOU = objDom.Create("OrganizationalUnit",
"ou=NouvelleOU")

Dans cet exemple, NouvelleOU est le nom de l'unit d'organisation que


vous crez.
c. Pour terminer, enregistrez ces informations dans la base de donnes
Active Directory, comme indiqu dans l'exemple suivant :
objOU.SetInfo

2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant
l'invite de commande :
wscript nom_fichier_script.vbs

Remarque Pour plus d'informations sur la cration de scripts d'administration


l'aide de l'environnement d'excution de scripts Windows, consultez le site
Microsoft Technet Script Center l'adresse suivante :
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/default.asp
Consultez galement le cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais)
12 Module 3 : Implmentation de la structure d'une unit d'organisation

Application pratique : Cration d'units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif Dans cette application pratique, vous allez crer des units d'organisation dans
le domaine hberg par votre ordinateur de stagiaire, l'aide de l'outil de ligne
de commande Ldifde.
Scnario Northwind Traders possde plusieurs succursales. La vtre contient trois
services : Informatique, Ventes (Sales) et Ressources humaines (HR, Human
Resources). En tant qu'administrateur du rseau de votre bureau, vous devez
crer trois units d'organisation pour ces services.
Module 3 : Implmentation de la structure d'une unit d'organisation 13

Application pratique ! Pour crer des units d'organisation l'aide de l'outil de ligne de
commande Ldifde
1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez le Bloc-notes pour crer un fichier d'entre pour les units
d'organisation reprsentes dans l'illustration suivante.

votre_ville

IT Sales HR

Exemple de fichier Bloc-notes pour l'exemple (sample.txt).


dn: OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit

dn: OU=IT,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit

dn: OU=Sales,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit

dn: OU=HR,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit

3. Crez les nouvelles units d'organisation l'aide de l'outil de ligne de


commande Ldifde.
14 Module 3 : Implmentation de la structure d'une unit d'organisation

Leon : Dlgation du contrle administratif des units


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon explique le rle de la dlgation de privilges administratifs, les
tches d'administration que vous pouvez dlguer, comment les dlguer et
comment vrifier que vous avez dlgu les privilges requis pour effectuer
ces tches.
Objectifs de la leon la fin de cette leon, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les conditions sous lesquelles le contrle administratif d'une unit
d'organisation peut tre dlgu ;
! dcrire des tches d'administration courantes lies aux units
d'organisation ;
! dlguer le contrle administratif d'une unit d'organisation l'aide de
l'Assistant Dlgation de Contrle ;
! personnaliser le contrle administratif dlgu en crant une tche
personnalise dlguer ;
! vrifier les privilges administratifs qui ont t dlgus.
Module 3 : Implmentation de la structure d'une unit d'organisation 15

Qu'est-ce que la dlgation de privilges administratifs ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction La raison majeure motivant la cration d'units d'organisation est de distribuer
les tches d'administration dans toute l'organisation en dlguant le contrle
administratif diffrents administrateurs. La dlgation est particulirement
importante lorsque vous dveloppez un modle d'administration dcentralis.
Qu'est-ce que la La dlgation de l'administration est le processus de dcentralisation de la
dlgation de responsabilit de la gestion d'units d'organisation d'un administrateur central
l'administration ? vers d'autres administrateurs. La capacit tablir l'accs des units
d'organisation individuelles est une fonctionnalit de scurit importante dans
Active Directory ; vous pouvez contrler l'accs jusqu'au niveau le plus bas
d'une organisation sans devoir crer de nombreux domaines Active Directory.
L'autorit dlgue au niveau du site couvrira probablement plusieurs domaines
ou, l'inverse, peut ne pas inclure de cibles dans le domaine. L'autorit
dlgue au niveau du domaine affectera tous les objets qui s'y trouvent.
L'autorit dlgue au niveau de l'unit d'organisation peut affecter cet objet
et tous ses objets enfants, ou uniquement l'objet lui-mme.
Pourquoi dlguer Vous dlguez le contrle administratif afin de permettre l'autonomie
l'administration ? administrative des organisations au niveau des services et des donnes ou, au
contraire, pour isoler les services ou les donnes dans une organisation. Vous
pouvez liminer le besoin de disposer de plusieurs comptes administrateur
ayant une autorit tendue, sur un domaine entier par exemple, mais nanmoins
utiliser le groupe prdfini Admins du domaine pour grer tout le domaine.
L'autonomie correspond la possibilit qu'ont les administrateurs d'une
organisation de prendre en charge de manire indpendante :
! tout ou partie de la gestion des services (autonomie de la gestion des
services) ;
! tout ou partie de la gestion des donnes de la base de donnes Active
Directory ou des ordinateurs membres rattachs l'annuaire (autonomie
de la gestion des donnes).
16 Module 3 : Implmentation de la structure d'une unit d'organisation

L'autonomie administrative :
! minimise le nombre d'administrateurs devant possder des droits d'accs de
haut niveau ;
! limite l'impact d'une erreur administrative une zone d'administration plus
rduite.

L'isolation correspond la possibilit qu'ont les administrateurs d'une


organisation d'empcher les autres administrateurs de :
! contrler ou d'interfrer avec la gestion des services (isolation de la gestion
des services) ;
! contrler ou visualiser un sous-ensemble de donnes dans l'annuaire ou sur
les ordinateurs membres rattachs l'annuaire (isolation de la gestion des
donnes).

Windows Server 2003 comporte des autorisations et des droits utilisateur


spcifiques qui vous permettent de dlguer le contrle administratif. En
utilisant une combinaison d'units d'organisation, de groupes et d'autorisations,
vous pouvez confrer des droits d'administration un utilisateur particulier de
telle sorte que celui-ci dispose d'un niveau appropri d'administration sur tout
un domaine, sur toutes les units d'organisation dans un domaine ou sur une
seule unit d'organisation.
Module 3 : Implmentation de la structure d'une unit d'organisation 17

Tches d'administration pour units d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Utilisez des units d'organisation pour regrouper des objets Active Directory
par type (par exemple, par utilisateurs, groupes et ordinateurs) afin de pouvoir
les grer de manire efficace.
Tches d'administration Les administrateurs excutent rgulirement les tches suivantes dans
courantes Active Directory :
! Modification des proprits sur un conteneur particulier. Par exemple,
lorsqu'un nouvel ensemble de logiciels est disponible, les administrateurs
peuvent crer une stratgie de groupe qui contrle leur distribution.
! Cration et suppression d'objets d'un type particulier. Dans une unit
d'organisation, ces types spcifiques peuvent tre les utilisateurs, les groupes
et les imprimantes. Lorsqu'un nouvel employ rejoint l'organisation, par
exemple, vous crez un compte d'utilisateur pour l'employ, puis vous
ajoutez cet employ dans l'unit ou le groupe d'organisation appropri.
! Mise jour de proprits spcifiques sur des objets d'un type donn dans
une unit d'organisation. Il se peut que la tche d'administration la plus
courante que vous effectuiez, concernant la mise jour de proprits, inclut
des tches comme la rinitialisation des mots de passe et la modification
des informations personnelles d'un employ, telles que son adresse et son
numro de tlphone en cas de dmnagement, par exemple.
18 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment dlguer le contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez utiliser l'Assistant Dlgation de Contrle pour dlguer le
contrle administratif des objets Active Directory, comme les units
d'organisation. L'utilisation de l'Assistant vous permet de dlguer des tches
d'administration courantes, telles que la cration, la suppression et la gestion
des comptes d'utilisateurs.
Procdure Excutez la procdure ci-dessous pour dlguer des tches d'administration
courantes pour une unit d'organisation.
1. Procdez comme suit pour dmarrer l'Assistant Dlgation de contrle :
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, double-cliquez sur le nud du
domaine.
c. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, cliquez ensuite sur Dlguer le contrle, puis sur
Suivant.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration courantes. Pour ce faire, procdez
comme suit :
a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter.
b. Dans la bote de dialogue Slectionner des utilisateurs, des
ordinateurs ou des groupes, tapez les noms des utilisateurs et des
groupes auxquels vous souhaitez dlguer le contrle de l'unit
d'organisation, cliquez ensuite sur OK, puis sur Suivant.
Module 3 : Implmentation de la structure d'une unit d'organisation 19

3. Affectez des tches courantes dlguer. Pour ce faire, procdez


comme suit :
a. Dans la page Tches dlguer, cliquez sur Dlguer les tches
courantes suivantes.
b. Dans la page Tches dlguer, slectionnez les tches que vous
souhaitez dlguer, puis cliquez sur Suivant.
4. Cliquez sur Terminer.

Lorsque vous dlguez le contrle de la cration d'objets dans Active Directory


un utilisateur ou un groupe, ces derniers peuvent crer un nombre d'objets
illimit. Dans Windows Server 2003, vous pouvez limiter le nombre d'objets
qu'une entit de scurit peut possder dans une partition d'annuaire, en
implmentant un quota pour cette entit.

Remarque Pour plus d'informations sur l'utilisation des quotas, reportez-vous


la rubrique Comment dlguer le contrle administratif du Module 3, dans
la page des annexes sur le CD-ROM du stagiaire.
20 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment personnaliser le contrle administratif dlgu

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Outre l'utilisation de l'Assistant Dlgation de contrle pour dlguer un
ensemble personnalis de tches d'administration, telles que la cration, la
suppression et la gestion des comptes d'utilisateurs, vous pouvez utiliser
l'Assistant pour slectionner un ensemble de tches personnalises et ne
dlguer le contrle que de ces tches.
Vous pouvez, par exemple, dlguer le contrle de tous les objets existants dans
une unit d'organisation et de tous les objets qui sont ajouts. Mais vous pouvez
galement slectionner dans l'unit d'organisation les objets dont vous souhaitez
dlguer le contrle administratif, par exemple les objets utilisateur d'une unit
d'organisation. Vous pouvez par ailleurs spcifier que vous ne souhaitez
dlguer que la cration de l'objet slectionn, ou sa suppression, ou les deux.
Procdure Procdez comme suit pour dlguer des tches d'administration personnalises
dans le cadre d'une unit d'organisation :
1. Dmarrez l'Assistant Dlgation de contrle.
2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez
dlguer des tches d'administration.
Module 3 : Implmentation de la structure d'une unit d'organisation 21

3. Affectez les tches personnalises dlguer. Pour ce faire, procdez


comme suit :
a. Dans la page Tches dlguer, cliquez sur Crer une tche
personnalise dlguer, puis cliquez sur Suivant.
b. Dans la page Type d'objet Active Directory, effectuez l'une des
oprations suivantes :
i. Cliquez sur De ce dossier et des objets qui s'y trouvent. Dlguer
aussi la cration de nouveaux objets dans ce dossier, puis cliquez
sur Suivant.
ii. Cliquez sur Seulement des objets suivants dans le dossier,
slectionnez le type d'objet Active Directory dont vous souhaitez
dlguer le contrle, puis cliquez sur Suivant.
c. Slectionnez les autorisations que vous souhaitez dlguer, puis cliquez
sur Suivant.

Remarque Pour obtenir la liste des autorisations que vous pouvez dlguer
pour les objets slectionns, ou pour dlguer la cration et la suppression
d'objets enfants parmi les objets slectionns, activez la case cocher
Spcifique aux proprits.

4. Cliquez sur Terminer.


22 Module 3 : Implmentation de la structure d'une unit d'organisation

Comment vrifier la dlgation du contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Utilisez Utilisateurs et Ordinateurs Active Directory pour vrifier que
l'Assistant Dlgation de contrle a correctement dlgu l'autorit d'effectuer
les tches.
Procdure Procdez comme suit pour vrifier la dlgation du contrle :
1. Dans la console Utilisateurs et ordinateurs Active Directory, cliquez dans le
menu Affichage sur Fonctionnalits avances.
2. Dans l'arborescence de la console, double-cliquez sur le nud du domaine.
3. Dans le volet de dtails, cliquez avec le bouton droit sur l'unit
d'organisation, puis cliquez sur Proprits.
4. Sous l'onglet Scurit, cliquez sur Paramtres avancs.
5. Sous l'onglet Autorisations, sous Entres d'autorisations, visualisez les
autorisations affectes.
Module 3 : Implmentation de la structure d'une unit d'organisation 23

Application pratique : Dlgation des tches d'administration d'une


unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif Dans cette application pratique, vous allez dlguer des tches d'administration
courantes d'units d'organisation dans le domaine hberg par votre ordinateur
de stagiaire.
Scnario Vous tes l'administrateur du rseau pour Northwind Traders. Compte tenu
de la taille de votre socit, vous n'avez pas le temps d'excuter les tches
d'administration de routine pour chaque unit d'organisation. Vous souhaitez
dlguer le contrle des units d'organisation au personnel du Support
technique et aux responsables de chaque service.
Application pratique
! Dlguer les tches d'administration courantes pour les units
d'organisation du domaine hberg par votre ordinateur de stagiaire
1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis
cliquez sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
puis le mot de passe P@ssw0rd et cliquez sur OK.
4. Crez pour le domaine un groupe de scurit local appel
DL Nom_OrdinateurAdmins dans l'unit d'organisation Nom_Ordinateur
dans votre domaine (Nom_Ordinateur tant le nom de l'ordinateur sur lequel
vous travaillez).
24 Module 3 : Implmentation de la structure d'une unit d'organisation

5. Ajoutez le groupe global Nwtraders\G Nom_OrdinateurAdmins comme


membre du groupe local de domaine DL Nom_OrdinateurAdmins.
6. Dlguez le droit de crer, supprimer et grer des comptes d'utilisateurs
dans l'unit d'organisation Nom_Ordinateur au groupe DL
Nom_OrdinateurAdmins.
7. Vrifiez que le contrle a t dlgu pour ces tches en visualisant les
autorisations affectes au groupe local de domaine pour l'unit
d'organisation Nom_Ordinateur.
Module 3 : Implmentation de la structure d'une unit d'organisation 25

Leon : Planification d'une stratgie d'unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les units d'organisation sont des conteneurs dans chaque domaine Active
Directory reprsentant les structures hirarchiques dans une organisation. Pour
crer la structure d'une unit d'organisation reprsentant au mieux la structure
de l'organisation, vous devez comprendre les facteurs qui affectent dans votre
organisation la cration d'units d'organisation. Cette leon vous apporte les
connaissances et comptences ncessaires pour planifier une stratgie d'unit
d'organisation.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire le processus de planification d'une unit d'organisation ;
! dcrire les facteurs organisationnels qui affectent la planification d'une unit
d'organisation ;
! expliquer les conditions de dtermination de la structure d'une unit
d'organisation ;
! expliquer les principes utiliss pour dterminer comment dlguer le
contrle administratif une unit d'organisation.
26 Module 3 : Implmentation de la structure d'une unit d'organisation

Processus de planification d'unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction La structure des units d'organisation dans Active Directory est base sur la
structure administrative de l'organisation. La premire tape de planification
d'une structure d'unit d'organisation consiste documenter la structure de
l'organisation.
Processus de Procdez comme suit pour planifier la stratgie d'unit d'organisation pour votre
planification d'unit organisation :
d'organisation
! Documentez la structure existante de l'organisation. Lors de la
documentation de la structure existante de l'organisation, une stratgie
consiste diviser les tches d'administration en catgories, puis
documenter les administrateurs qui sont responsables de chacune d'elles.
! Identifiez les domaines amliorer. Travaillez avec l'quipe de planification
pour identifier les domaines amliorer. Par exemple, il peut tre plus
rentable de combiner plusieurs quipes IT provenant de diffrentes
divisions. Vous pouvez identifier le personnel non informatique susceptible
de vous aider dans le processus d'administration et rduire la charge de
travail du personnel informatique. Les administrateurs peuvent ainsi se
concentrer sur les domaines o leur expertise est requise.
Module 3 : Implmentation de la structure d'une unit d'organisation 27

Utilisez ensuite les points suivants comme consignes pour votre plan de
dlgation :
! Dterminez le niveau d'administration. Dcidez ce que chaque groupe
contrlera et quel niveau vous dlguerez l'administration dans la
hirarchie administrative. Lorsque vous crez le plan, identifiez quels
groupes :
auront un contrle intgral sur les objets d'une classe particulire ; ces
groupes peuvent crer et supprimer des objets dans une classe spcifie
et modifier tous les attributs des objets dans la classe spcifie.
seront autoriss crer des objets d'une classe particulire ; par dfaut,
les utilisateurs ont le contrle intgral des objets qu'ils crent ;
seront autoriss ne modifier que des attributs spcifiques d'objets
existants d'une classe particulire.
! Identifiez chaque administrateur et compte d'utilisateur dans votre
organisation ainsi que les ressources qu'ils administrent. Ces informations
vous aideront dterminer la proprit et les autorisations affectes aux
units d'organisation que vous crez pour prendre en charge le plan de
dlgation.
28 Module 3 : Implmentation de la structure d'une unit d'organisation

Facteurs organisationnels dterminant la structure d'une unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Les facteurs qui affectent la structure d'une unit d'organisation sont : le type et
la structure du modle d'administration informatique. La comprhension de ces
facteurs vous aidera crer la structure d'une unit d'organisation la mieux
adapte vos impratifs organisationnels.
Types de modles Les organisations informatiques les plus courantes sont les suivantes :
d'administration
informatique ! Informatique centralise. Dans ce modle, l'organisation informatique ne
rend de comptes qu' une seule personne et est gnralement le groupe
responsable pour tous les services d'information et de rseau, bien que
certaines tches de routine puissent tre dlgues certains groupes
ou services.
! Informatique centralise avec gestion dcentralise. Dans ce modle, une
quipe informatique principale centralise est responsable des principaux
services d'infrastructure, mais elle dlgue la plupart des oprations
quotidiennes aux groupes informatiques situs dans des succursales,
lesquels assurent un support administratif local leurs utilisateurs.
Module 3 : Implmentation de la structure d'une unit d'organisation 29

! Informatique dcentralise. Ce type d'organisation permet diverses units


commerciales de slectionner un modle informatique appropri pour
rpondre leurs besoins. Une organisation de ce type peut comporter
plusieurs groupes informatiques avec des objectifs et des besoins divers.
Pour chaque initiative technologique affectant toute l'organisation, comme
la mise niveau d'une application de messagerie, les groupes informatiques
doivent travailler ensemble pour implmenter les modifications.
! Informatique externalise. Certaines organisations sous-traitent la gestion
de tout ou partie de leur organisation informatique. Lorsque seuls quelques
lments de l'organisation informatique sont externaliss, il devient
impratif d'implmenter un modle de dlgation en bonne et due forme.
Ainsi, le groupe informatique interne conserve le contrle de l'organisation
sans compromettre les accords de niveau de service que le sous-traitant s'est
engag fournir.

Structure d'un modle La structure du modle d'administration reflte la faon dont une organisation
d'administration gre ses ressources informatiques, comme les utilisateurs, les ordinateurs, les
informatique groupes, les imprimantes et les fichiers partags.
Les diffrentes manires selon lesquelles les modles d'administration sont
structurs incluent :
! Administration base sur l'emplacement gographique. L'organisation
informatique est centralise, par exemple au sige, mais l'administration
du rseau est distribue gographiquement (par exemple, chaque succursale
possde son propre groupe d'administration qui gre les ressources sur
place).
! Administration base sur l'organisation. Dans cette structure, l'organisation
informatique est divise en services ou en units commerciales, chacun
possdant son propre groupe informatique.
! Administration base sur une fonction business. Une organisation
informatique dcentralise base souvent son modle d'administration sur
des fonctions business dans l'organisation.
! Administration hybride. Cette structure associe les points forts de plusieurs
modles pour rpondre aux besoins d'administration de l'organisation.
30 Module 3 : Implmentation de la structure d'une unit d'organisation

Consignes de planification d'une structure d'unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction La conception d'units d'organisation est base sur le modle d'administration
informatique d'une organisation.
Instructions Utilisez les consignes suivantes pour vous aider planifier la structure d'unit
d'organisation d'une organisation. La structure peut tre base sur :
! L'emplacement gographique. Si le modle d'administration est distribu
gographiquement et si des administrateurs sont prsents dans chaque
emplacement, organisez la structure d'Active Directory par emplacement.
! L'organisation. Si l'administration informatique est base par service ou
par division, concevez Active Directory en fonction de la structure de
l'organisation. Vrifiez que vous respectez bien la structure d'administration,
plutt que l'organigramme, lorsque vous vous basez sur l'organisation. Il se
peut que l'organigramme ne corresponde pas aux besoins d'administration
d'une organisation.
! Les fonctions business. Si l'administration informatique est dcentralise,
concevez la structure d'Active Directory en vous basant sur les fonctions de
l'organisation. Ne choisissez cette approche que si la fonction informatique
n'est pas base sur l'emplacement ou l'organisation. Cette structure est idale
(c'est la mieux approprie) pour de petites organisations avec des
responsabilits professionnelles couvrant plusieurs services.
! Le modle hybride. Dans le cas d'une organisation fortement distribue avec
une fonction informatique centralise et une forte sparation de services ou
divisionnaire, concevez les units ou les domaines de niveau suprieur par
emplacement et les niveaux infrieurs par organisation. Comme les niveaux
les plus levs sont bass sur l'emplacement, ce modle est moins
susceptible d'tre modifi et, par consquent, moins susceptible d'exiger un
effort important lors d'une rorganisation.
Module 3 : Implmentation de la structure d'une unit d'organisation 31

Utilisez le diagramme suivant comme arborescence de dcision pour dterminer


la structure d'unit d'organisation approprie pour une organisation.

Fonction
Informatique
centralise ?

Oui Non

Sparation
Administration
de services ou
distribue ?
divisionnaire ?

Oui Non Oui Non

Distribue
Distribue quipes
gographi- Groupe unique
gographi- couvrant plusieurs
quement ? central
quement ? services ?

Oui Non Oui Non


Oui Non
Non

Sparation Sparation
de services ou de services ou Organisation puis Groupe unique
Organisation Fonction
divisionnaire ? divisionnaire ? emplacement central

Non Oui
Oui

Location then
Emplacement Organisation
organization
32 Module 3 : Implmentation de la structure d'une unit d'organisation

Consignes pour la dlgation du contrle administratif

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dlguez autant que possible le droit d'octroyer des autorisations afin de limiter
les cots et les difficults d'administration et, par consquent, rduire le cot
total de possession. Avant d'affecter des autorisations aux utilisateurs dans une
organisation, vous devez dterminer qui peut et ne peut pas accder un objet
et son contenu, ainsi que le type d'accs dont une personne peut ou non
disposer.
Instructions Tenez compte des consignes suivantes lorsque vous planifiez la dlgation du
contrle administratif dans votre organisation :
! Affectez le contrle au niveau le plus lev possible d'unit d'organisation et
utilisez la fonction d'hritage. Vous pouvez ensuite grer les autorisations
de manire plus efficace. Cela cre un journal d'audit plus simple et rduit
les risques d'incident si un administrateur commet une erreur alors qu'il a
ouvert une session avec un compte administrateur.

Remarque Les membres du groupe Admins du domaine peuvent toujours


s'approprier un objet dans le domaine, puis en modifier les autorisations
raison de plus pour limiter le nombre d'utilisateurs dans le groupe Admins
du domaine. Lorsqu'un membre du groupe Administrateurs cre un objet ou
se l'approprie, ce groupe devient propritaire de l'objet. Pour des besoins de
suivi, Windows Server 2003 liste le nom de ce membre.
Module 3 : Implmentation de la structure d'une unit d'organisation 33

! vitez d'affecter des autorisations au niveau proprit ou tche afin de


simplifier l'administration. Envisagez de placer des objets dans des units
d'organisation spares selon la manire dont ils seront grs, plutt que
de grer les proprits l'aide de listes de contrle d'accs discrtionnaire
(DACL, Discretionary Access Control List) distinctes pour objets dans une
unit d'organisation unique.
Lors de l'affectation d'autorisations, excutez les tches ci-dessous.
Dlguez des utilisateurs ou des groupes d'utilisateurs le droit
d'affecter des autorisations de contrle d'accs des objets. En d'autres
termes, dlguez le droit de dlguer.
Affectez des autorisations courantes ou spciales sur des objets.
Utilisez la fonction d'hritage pour permette le transfert des autorisations
de contrle d'accs aux objets enfants. Parfois, cependant, vous devrez
bloquer l'hritage pour viter qu'un objet enfant n'hrite des autorisations
dfinies sur l'objet parent. Le blocage de l'hritage rend difficile la
documentation et le dpannage des autorisations sur un objet. Par
consquent, vitez d'y avoir recours.
! Affectez des autorisations d'accs des groupes, plutt qu' des individus.
Les autorisations de groupe simplifient l'actualisation des DACL sur les
rseaux comportant de nombreux utilisateurs et objets. Par ailleurs,
l'affectation d'autorisations des groupes est une puissante fonctionnalit
car elle vous permet d'imbriquer des groupes, ce qui rduit le nombre total
d'objets grer.

Important Dlguez le contrle administratif aux groupes locaux de


domaine lorsque vous affectez des autorisations des objets dans un
domaine. Dlguez le contrle administratif des groupes globaux ou
universels lorsque vous affectez des autorisations des objets dans la
partition de configuration ou pour des attributs qui sont publis dans le
catalogue global.

! Minimisez le nombre d'administrateurs de domaine. Le groupe Admins du


domaine possde des droits spciaux dans un domaine, comme celui de
s'approprier tout objet et de dfinir des stratgies de scurit pour tout le
domaine. Lorsque vous souhaitez contrler troitement les privilges de
l'administrateur de domaine, accordez des droits d'administration aux
utilisateurs pour les diverses units d'organisation et limitez l'appartenance
dans le groupe Admins du domaine.

Remarque Pour plus d'informations sur la dlgation du contrle,


consultez le Guide de planification et de dploiement Windows Server 2003
l'adresse http://www.microsoft.com/reskit.
Consultez galement Active Directory Service Interfaces
Overview l'adresse
http://www.microsoft.com/windows2000/techinfo/howitworks/
activedirectory/adsilinks.asp (en anglais).
34 Module 3 : Implmentation de la structure d'une unit d'organisation

Application pratique : Planification d'une structure d'unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectif Dans cette application pratique, vous allez travailler avec votre partenaire sur la
planification d'une structure d'unit d'organisation pour Northwind Traders.
Scnario Northwind Traders se prpare installer Windows Server 2003 sur ses sites
de Sacramento, (Californie) et Portland (Oregon). L'quipe de conception
d'Active Directory utilisera un domaine racine vide, nwtradersx.msft, et un
sous-domaine, corpx.nwtradersx.msft, x tant un numro que votre instructeur
vous affectera.
Tous les comptes d'utilisateurs et d'ordinateurs sont dans le domaine corpx.
Northwind Traders a 1500 utilisateurs rpartis dans six services sur ces
deux sites.
Portland compte 600 utilisateurs dans les services suivants :
! Comptabilit (Accounting)
! Informatique
! Achats (Purchasing)
! Livraison (Shipping)

Sacramento compte 900 utilisateurs dans les services suivants :


! Comptabilit
! Ressouces humaines
! Informatique
! Achats
! Ventes
Module 3 : Implmentation de la structure d'une unit d'organisation 35

Dans chaque service, un administrateur local gre les comptes d'utilisateurs


et les paramtres de stratgie de groupe. Le service Informatique souhaite
dlguer le droit de grer tous les utilisateurs d'un service spcifique, ou d'un
service situ un emplacement spcifique.
Procdure Travaillez avec votre partenaire pour planifier une structure d'unit
d'organisation. Utilisez le graphique suivant pour documenter votre plan
de structure d'unit d'organisation.

La rponse suivante est une solution possible l'exercice de


l'application pratique :
Domaine Corp
Accounting
Portland
Sacramento
HR
IT
Portland
Sacramento
Purchasing
Portland
Sacramento
Sales
Shipping
36 Module 3 : Implmentation de la structure d'une unit d'organisation

Atelier A : Implmentation de la structure d'une unit


d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
! crer une unit d'organisation ;
! dlguer le contrle d'une unit d'organisation.

Connaissances Avant de travailler sur cet atelier, vous devez :


pralables
! savoir comment crer un groupe l'aide de la console Utilisateurs et
ordinateurs Active Directory ;
! possder les connaissances et les comptences requises pour crer des units
d'organisation.

Scnario Northwind Traders embauche du personnel comptable et de recherche


(Research) dans tous ses sites. De nouvelles units d'organisation doivent tre
cres sur chaque site pour les services correspondants. Chaque service possde
un administrateur local qui gre les comptes d'utilisateurs.
Vous devez crer une unit d'organisation Accounting et une autre nomme
Research dans l'unit d'organisation Nom_Ordinateur, dans votre domaine.
Vous devez, en outre, crer un groupe local de domaine DL AccountingAdmins
et DL ResearchAdmins, puis dlguer des autorisations chaque groupe afin
de grer l'unit d'organisation approprie. Vous crerez les nouveaux groupes
locaux de domaine dans l'unit d'organisation Nom_Ordinateur\IT, dans votre
domaine.
Remarque Chaque fois que corpx ou nwtradersx apparat dans l'atelier,
remplacez x par le numro affect votre domaine.

Dure approximative
de cet atelier :
45 minutes
Module 3 : Implmentation de la structure d'une unit d'organisation 37

Exercice 1
Cration d'units d'organisation
Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour crer les units
d'organisation dans votre domaine.

Tches Instructions spcifiques

1. Utiliser l'outil de ligne de " Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser
commande Dsadd pour crer avec le mot de passe P@ssw0rd.
les units d'organisation
Accounting et Research
dans l'unit d'organisation
Nom_Ordinateur, dans votre
domaine.
38 Module 3 : Implmentation de la structure d'une unit d'organisation

Exercice 2
Dlgation du contrle administratif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes que
vous crez, puis dlguer le contrle de chaque unit d'organisation au groupe appropri. Pour
terminer, vous vrifierez la dlgation du contrle.

Tches Instructions spcifiques

1. Crer les groupes locaux de a. Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser
domaine suivants dans avec le mot de passe P@ssw0rd.
l'unit d'organisation b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et
Nom_Ordinateur\IT : Ordinateurs Active Directory sous votre_domaine\Administrateur
DL AccountingAdmins avec le mot de passe P@ssw0rd.
DL ResearchAdmins
2. Ajouter le groupe global
G Nom_OrdinateurAdmins
partir du domaine
Nwtraders.msft aux groupes
locaux de domaine
DL AccountingAdmins
et DL ResearchAdmins
dans votre domaine.
3. Utiliser l'Assistant
Dlgation de Contrle pour
dlguer le droit de crer,
supprimer et grer des
comptes d'utilisateurs dans
les units d'organisation
Accounting et Research aux
les groupes locaux de
domaine appropris que
vous avez crs.
Module 3 : Implmentation de la structure d'une unit d'organisation 39

Exercice 3
Vrification de la dlgation du contrle
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL AccountingAdmins
et DL ResearchAdmins dans les units d'organisation Accounting et Research.

Tches Instructions spcifiques

1. Activer la vue Fonctions a. Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser


avances dans Utilisateurs avec le mot de passe P@ssw0rd.
et ordinateurs Active b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et
Directory. ordinateurs Active Directory sous votre_domaine\Administrateur
avec le mot de passe P@ssw0rd.
2. Visualiser les autorisations
affectes aux groupes
locaux de domaine
DL AccountingAdmins et
DL ResearchAdmins dans
votre domaine pour les
units d'organisation
Accounting et Research.
Quelles autorisations sont affectes au groupe DL AccountingAdmins ? quels objets les autorisations
s'appliquent-elles ?

Quelles autorisations sont affectes au groupe DL ResearchAdmins ? quels objets les autorisations
s'appliquent-elles ?
THIS PAGE INTENTIONALLY LEFT BLANK
Module 4 : Implmentation
de comptes d'utilisateurs,
de groupes et d'ordinateurs
Table des matires

Vue d'ensemble 1
Leon : Prsentation des comptes 2
Leon : Cration et gestion de
plusieurs comptes 11
Leon : Implmentation des
suffixes UPN 24
Leon : Dplacement d'objets dans
Active Directory 35
Leon : Planification d'une stratgie de
compte d'utilisateur, de groupe et
d'ordinateur 45
Leon : Planification d'une stratgie
d'audit Active Directory 59
Atelier A : Implmentation d'une
stratgie de compte et d'audit 65
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs iii

Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires les connaissances et les comptences
120 minutes ncessaires la planification de comptes d'utilisateurs, de groupes et
d'ordinateurs dans le service d'annuaire Active Directory dans Microsoft
Atelier : Windows Server 2003. Ce module explique comment crer plusieurs comptes
60 minutes d'utilisateurs et d'ordinateurs l'aide des outils de ligne de commande tels que
Csvde et Ldifde, et comment grer des comptes l'aide de l'environnement
d'excution de scripts Windows. Ce module explique galement comment
implmenter des suffixes de nom d'utilisateur principal (UPN, User
Principal Name).
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les types de comptes et de groupes Active Directory ;
! crer plusieurs comptes d'utilisateurs et d'ordinateurs ;
! implmenter des suffixes UPN ;
! dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
! planifier une stratgie pour des comptes d'utilisateurs, de groupes et
d'ordinateurs ;
! planifier une stratgie d'audit Active Directory.

Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_04.ppt

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.

Configuration Cette section contient les instructions suivre pour prparer l'ordinateur de
de la classe l'instructeur ou configurer la classe en vue de raliser l'atelier.

! Prparer l'atelier
Excutez le fichier de l'environnement d'excution de scripts Windows
UpnSuffixes.vbs sur le serveur London avant que les stagiaires commencent
l'atelier de ce module. Ce fichier se trouve dans le dossier
\Student\Labfiles\Setup sur le CD-ROM de l'instructeur.
iv Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs v

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Prsentation des comptes


Cette section dcrit les mthodes pdagogiques mettre en uvre pour chaque
point de cette leon.
Les informations contenues dans cette leon constituent des connaissances
pralables ce cours. Appuyez-vous sur les informations de la rubrique Types
de comptes.
Lors de la prsentation de la rubrique Types de groupes, concentrez-vous sur les
groupes de scurit. Il suffit que les stagiaires comprennent la finalit des
groupes de distribution.
Lors de la prsentation des rubriques Dfinition des groupes locaux de
domaine, Dfinition des groupes globaux et Dfinition des groupes universels,
vrifiez que les stagiaires comprennent quel moment ils doivent utiliser ces
diffrents types de groupes.
Application pratique Cette leon ne comporte pas d'application pratique.

Leon : Cration et gestion de plusieurs comptes


Lors de la prsentation de la rubrique Outils permettant de crer et grer
plusieurs comptes, vrifiez que les stagiaires ont conscience que lorsqu'ils
utilisent Csvde pour crer des comptes, ceux-ci auront des mots de passe vides.
Prsentez les procdures de cration des comptes l'aide des outils de ligne de
commande Csvde et Ldifde. Dites aux stagiaires de consulter les annexes pour
obtenir la liste des options courantes utilises avec Csvde. Crez un exemple de
script d'environnement d'excution de scripts Windows qui ajoute un compte
d'utilisateur Active Directory. Dites aux stagiaires de consulter les annexes
pour obtenir l'exemple d'un script qui cre un compte d'utilisateur.
Application pratique la fin de cette leon, les stagiaires creront un fichier de script contenant
des commandes pour crer trois comptes d'utilisateurs. Ils excuteront ensuite
ce fichier de script et utiliseront la console Utilisateurs et ordinateurs
Active Directory pour vrifier que les utilisateurs ont t crs.
vi Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Implmentation des suffixes UPN


Lors de la prsentation de la rubrique Dfinition d'un nom d'utilisateur
principal, vrifiez que les stagiaires comprennent les avantages lis
l'utilisation des UPN et les rgles d'unicit des noms d'ouverture de session
utilisateur.
Aprs avoir prsent la prsentation multimdia Fonctionnement du routage
des suffixes de noms, rsumez les points cls.
Montrez comment crer et supprimer un suffixe UPN. Montrez galement
comment activer et dsactiver le routage des suffixes de noms dans les
approbations.
Application pratique la fin de cette leon, les stagiaires creront un suffixe de nom pour un
domaine de second niveau et activeront le routage des suffixes de noms sur
deux forts.

Leon : Dplacement d'objets dans Active Directory


La procdure de dplacement d'objets Active Directory, tels qu'un compte
d'utilisateur, a de srieuses ramifications. Par exemple, lorsqu'un compte
d'utilisateur est dplac, l'utilisateur peut perdre tous ses messages
lectroniques. Lors de la prsentation de la rubrique Implications du
dplacement d'objets, vrifiez que les stagiaires comprennent ces implications.
Lors de la prsentation des rubriques Comment dplacer des objets au sein d'un
domaine ? et Comment dplacer des objets entre domaines ?, montrez comment
dplacer des objets dans un domaine et entre domaines.
Montrez galement comment utiliser LDP.exe pour afficher les proprits des
objets dplacs.
Application pratique la fin de cette leon, les stagiaires dplaceront un compte d'utilisateur d'un
domaine vers un autre, puis afficheront les proprits des identificateurs de
scurit (SID, Security IDentifier), de l'historique SID et de l'identificateur
unique global (GUID, Globally Unique IDentifier) pour vrifier qu'elles ont t
modifies.

Leon : Planification d'une stratgie de compte d'utilisateur, de


groupe et d'ordinateur
Cette leon prsente des instructions pour affecter un nom aux comptes, crer
une stratgie de mot de passe et dvelopper des stratgies pour des groupes
ainsi que pour l'authentification, l'autorisation et l'administration d'un compte.
Encouragez une discussion de groupe sur ces rubriques. Guidez ces discussions
afin que les stagiaires ne s'loignent pas du sujet et ne passent pas trop de temps
sur cette rubrique.
Application pratique la fin de cette leon, partir d'un scnario fictif, les stagiaires planifieront des
stratgies d'attribution de nom de compte, de mot de passe, d'authentification,
d'autorisation et d'administration ainsi qu'une stratgie de groupe pour une fort.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs vii

Leon : Planification d'une stratgie d'audit Active Directory


Cette leon prsente les instructions pour effectuer un audit des modifications
apportes Active Directory.
Lors de la prsentation des rubriques de cette leon, utilisez votre exprience
personnelle dans la planification d'une stratgie d'audit pour renforcer les
informations des diffrentes rubriques.
Application pratique la fin de cette leon, les stagiaires planifieront une stratgie d'audit d'aprs un
scnario donn.

Atelier A : Implmentation d'une stratgie de compte et d'audit


Dans cet atelier, les stagiaires planifieront et implmenteront une stratgie de
compte. Ils creront plusieurs comptes d'utilisateurs l'aide de l'outil de ligne
de commande Csvde. Les stagiaires creront galement un suffixe UPN, puis
rsoudront un conflit de routage de suffixe UPN entre deux forts. Enfin, en
travaillant par paire, les stagiaires dplaceront un groupe d'utilisateurs entre
leurs domaines respectifs et afficheront les modifications apportes aux
proprits des identificateurs SID et de l'historique SID des comptes dplacs.

Informations sur la personnalisation


Cette section identifie la configuration requise pour l'atelier de ce module et
les changements de configuration qui se produisent sur les ordinateurs des
stagiaires lors de cet atelier. Ces informations sont donnes pour vous aider
dupliquer ou personnaliser les cours MOC (Microsoft Official Curriculum).

Important L'atelier de ce module dpend galement de la configuration de la


classe qui est spcifie dans la section Informations sur la personnalisation la
fin du Guide de configuration automatise de la classe pour le cours 2194A,
Planification, implmentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit
configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, excutez les
instructions des guides de configuration automatise et manuelle de ce cours,
puis effectuez les ateliers du Module 2, Implmentation d'une structure
de fort et de domaine Active Directory , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
Microsoft Windows Server 2003.
viii Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre les units d'organisation suivantes dans le domaine de chaque
stagiaire :
IT Admin
IT Users
IT Groups
NWTraders Groups
Domain Local
Global
Universal
IT Test
IT Test Move
! Un groupe global G IT Admins est cr dans le domaine de chaque
stagiaire.
! 26 groupes locaux de domaine nomms DL Nom_Ordinateur OU
Administrateurs sont crs.
! Un groupe local de domaine nomm DL IT OU Administrateurs est cr.
! 26 utilisateurs nomms Nom_OrdinateurAdmin sont crs.
! Deux suffixes UPN Nom_Ordinateur sont ajouts la fort de chaque
stagiaire, un par ordinateur de la fort.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans ce module, vous allez apprendre planifier et implmenter des comptes
d'utilisateurs, de groupes et d'ordinateurs dans le service d'annuaire Active
Directory. Vous apprendrez galement crer plusieurs comptes d'utilisateurs
et d'ordinateurs et implmenter des suffixes UPN (User Principal Name).
Objectifs de la leon la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! dcrire les types de comptes et de groupes Active Directory ;
! crer plusieurs comptes d'utilisateurs et d'ordinateurs ;
! implmenter des suffixes UPN ;
! dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
! planifier une stratgie pour des comptes d'utilisateurs, de groupes et
d'ordinateurs ;
! planifier une stratgie d'audit Active Directory.
2 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Prsentation des comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon dcrit les types de comptes et de groupes que vous pouvez
crer dans Microsoft Windows Server 2003. Elle dcrit galement le
comportement des groupes globaux, des groupes locaux de domaine et
des groupes universels.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les types de comptes que vous pouvez crer dans
Windows Server 2003 ;
! dcrire les types de groupes que vous pouvez crer dans
Windows Server 2003 ;
! dcrire le comportement des groupes locaux de domaine ;
! dcrire le comportement des groupes globaux ;
! dcrire le comportement des groupes universels.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 3

Types de comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez crer trois types de comptes dans Active Directory : comptes
d'utilisateurs, de groupes et d'ordinateurs. Les comptes d'utilisateurs et
d'ordinateurs Active Directory reprsentent une entit physique, telle qu'un
ordinateur ou une personne. Vous pouvez galement utiliser les comptes
d'utilisateurs comme comptes de services ddis pour certaines applications.
Comptes d'utilisateurs Un compte d'utilisateur est un objet stock dans Active Directory qui permet
une ouverture de session unique, autrement dit un utilisateur entre son mot de
passe une seule fois lors de l'ouverture de session sur une station de travail pour
obtenir un accs authentifi aux ressources rseau.
Il existe trois types de comptes d'utilisateurs, chacun ayant une fonction
spcifique :
! Un compte d'utilisateur local permet un utilisateur d'ouvrir une session sur
un ordinateur spcifique pour accder aux ressources sur cet ordinateur.
! Un compte d'utilisateur de domaine permet un utilisateur de se connecter
au domaine pour accder aux ressources rseau, ou un ordinateur
individuel pour accder aux ressources sur cet ordinateur.
! Un compte d'utilisateur intgr permet un utilisateur d'effectuer des tches
d'administration ou d'accder temporairement aux ressources rseau.
4 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comptes d'ordinateurs Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou
Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un
domaine possde un compte d'ordinateur. l'image des comptes d'utilisateurs,
les comptes d'ordinateurs permettent d'authentifier et d'auditer l'accs d'un
ordinateur aux ressources rseau et du domaine. Chaque compte d'ordinateur
doit tre unique.
Comptes de groupes Un compte de groupe est un ensemble d'utilisateurs, d'ordinateurs ou de
groupes. Vous pouvez utiliser des groupes pour grer efficacement l'accs aux
ressources du domaine, et ainsi simplifier l'administration. Lorsque vous
utilisez des groupes, vous affectez en une fois des autorisations pour des
ressources partages, telles que des dossiers et des imprimantes, des
utilisateurs individuels.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 5

Types de groupes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Il existe deux types de groupes dans Active Directory, les groupes de
distribution et les groupes de scurit. Tous deux possdent un attribut
d'tendue, qui dtermine qui peut tre membre du groupe et quel endroit vous
pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir tout moment
un groupe de scurit en un groupe de distribution et inversement, mais
uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000
natif ou ultrieur.
Groupes de distribution Vous pouvez utiliser des groupes de distribution uniquement avec des
applications de messagerie, telles que Microsoft Exchange, pour envoyer des
messages un ensemble d'utilisateurs. La scurit n'est pas active sur les
groupes de distribution, ce qui signifie qu'ils ne peuvent pas tre rpertoris
dans des listes de contrle d'accs discrtionnaire (DACL, Discretionary Access
Control List). Pour contrler l'accs aux ressources partages, crez un groupe
de scurit.
Groupes de scurit Vous utilisez des groupes de scurit pour affecter des droits et des
autorisations aux groupes d'utilisateurs et d'ordinateurs. Les droits dterminent
les fonctions que les membres d'un groupe de scurit peuvent effectuer dans un
domaine ou une fort. Les autorisations dterminent quelles ressources sont
accessibles un membre d'un groupe sur le rseau.
Une mthode d'utilisation efficace des groupes de scurit consiste utiliser
l'imbrication, c'est dire, ajouter un groupe un autre groupe. Le groupe
imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie
l'affectation en une fois des autorisations plusieurs groupes, et rduit le trafic
que peut engendrer la rplication de l'appartenance un groupe. Dans un
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant
la mme tendue de groupe.
Les groupes de distribution et de scurit prennent en charge l'une des trois
tendues de groupe suivantes : locale de domaine, globale ou universelle. Le
niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez
crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de
scurit universels.
6 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes locaux de domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Un groupe local de domaine est un groupe de scurit ou de distribution qui
peut contenir des groupes universels, des groupes globaux ou d'autres groupes
locaux de domaine issus de ses propres domaines et comptes dans la fort. Dans
les groupes de scurit locaux de domaine, vous pouvez accorder des droits et
autorisations sur des ressources qui rsident uniquement dans le mme domaine
que celui o se trouve le groupe local de domaine.
Par exemple, vous pouvez crer un groupe de scurit local de domaine nomm
Setup et accorder des autorisations de groupe un partage nomm Setup sur
l'un des serveurs membres du domaine. Vous pouvez ajouter des groupes
globaux ou universels en tant que membres du groupe local de domaine Setup.
Les membres auront alors l'autorisation d'accder au dossier partag Setup.
Appartenance au groupe Les rgles suivantes s'appliquent l'appartenance au groupe local de domaine,
local de domaine, ainsi qu' l'tendue et aux autorisations du groupe local de domaine :
tendue et autorisations
! Appartenance. En mode Windows 2000 mixte, les groupes locaux de
domaine peuvent contenir des comptes d'utilisateurs et des groupes globaux
de n'importe quel domaine. En mode Windows 2000 natif, les groupes
locaux de domaine peuvent contenir des comptes d'utilisateurs, des groupes
globaux, des groupes universels de n'importe quel domaine approuv et des
groupes locaux de domaine issus du mme domaine.
! Peut tre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas tre membre de n'importe quel groupe. En mode
Windows 2000 natif, un groupe local de domaine peut tre membre de
groupes locaux de domaine issus du mme domaine.
! tendue. Un groupe local de domaine est visible uniquement dans son
propre domaine.
! Autorisation. Vous pouvez affecter une autorisation qui s'applique au
domaine dans lequel le groupe local de domaine existe.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 7

quel moment utiliser Utilisez un groupe local de domaine lorsque vous souhaitez affecter des
des groupes locaux de autorisations d'accs des ressources qui se situent dans le mme domaine que
domaine celui dans lequel vous crez le groupe local de domaine. Vous pouvez ajouter
des groupes globaux partageant les mmes ressources au groupe local de
domaine appropri.
8 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes globaux

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Un groupe global est un groupe de scurit ou de distribution qui peut contenir
des utilisateurs, des groupes et des ordinateurs comme membres de son propre
domaine. Vous pouvez accorder des droits et autorisations des groupes de
scurit globaux pour des ressources situes dans n'importe quel domaine de
la fort.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les
mmes tches professionnelles et ont des conditions d'accs rseau similaires,
tels que tous les comptables du service comptabilit d'une organisation.
Appartenance au groupe Les rgles suivantes s'appliquent l'appartenance au groupe global, ainsi qu'
global, tendue et l'tendue et aux autorisations du groupe global :
autorisations
! Appartenance. En mode Windows 2000 mixte, un groupe global peut
contenir des comptes d'utilisateurs du mme domaine. En mode
Windows 2000 natif et en mode Windows Server 2003, des groupes
globaux peuvent contenir des comptes d'utilisateurs et des groupes
globaux issus du mme domaine.
! Peut tre membre de. En mode Windows 2000 mixte, un groupe global
peut tre membre des groupes locaux de domaine dans n'importe
quel groupe approuv. En mode Windows 2000 mixte et en mode
Windows Server 2003, un groupe global peut tre membre de groupes
universels et de groupes locaux de domaine dans n'importe quel domaine
et tre galement membres de groupes globaux dans le mme domaine.
! tendue. Un groupe global est visible dans son domaine et tous les
domaines approuvs, ce qui inclut tous les domaines de la fort.
! Autorisations. Vous pouvez affecter une autorisation un groupe global qui
s'applique tous les domaines approuvs.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 9

quel moment utiliser Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le
des groupes globaux but de permettre aux utilisateurs d'accder des ressources spcifiques un
domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des
groupes d'utilisateurs. Un groupe local de domaine est plus appropri pour
contrler l'accs d'un utilisateur aux ressources situes dans un domaine unique.
10 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition des groupes universels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Un groupe universel est un groupe de scurit ou de distribution qui peut
contenir des utilisateurs, des groupes et des ordinateurs comme membres d'un
domaine de sa fort. Les groupes de scurit universels peuvent bnficier de
droits et autorisations sur des ressources situes dans n'importe quel domaine de
la fort.
Appartenance au groupe Les rgles suivantes s'appliquent l'appartenance au groupe universel, ainsi
universel, tendue et qu' l'tendue et aux autorisations du groupe universel :
autorisations
! Appartenance. Vous ne pouvez pas crer de groupes de scurit universels
en mode Windows 2000 mixte. En mode Windows 2000 natif et en mode
Windows Server 2003, des groupes universels peuvent contenir des comptes
d'utilisateurs, des groupes globaux et d'autres groupes universels de
n'importe quel domaine de la fort.
! Peut tre membre de. Le groupe universel ne s'applique pas au mode
Windows 2000 mixte. En mode Windows 2000 natif, un groupe universel
peut tre membre de groupes locaux de domaine et de groupes universels
de n'importe quel domaine.
! tendue. Les groupes universels sont visibles dans tous les domaines de
la fort.
! Autorisations. Vous pouvez affecter une autorisation un groupe universel
qui s'applique tous les domaines de la fort.

quel moment utiliser Utilisez les groupes universels lorsque vous souhaitez imbriquer des
des groupes universels groupes globaux. De cette manire, vous pouvez affecter des autorisations
aux ressources connexes dans plusieurs domaines. Un domaine
Windows Server 2003 doit tre en mode Windows 2000 natif ou en mode
Windows Server 2003 pour utiliser des groupes de scurit universels. Vous
pouvez utiliser des groupes de distribution universels dans un domaine
Windows Server 2003 en mode Windows 2000 mixte ou ultrieur.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 11

Leon : Cration et gestion de plusieurs comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon dcrit les diffrents outils de ligne de commande que vous pouvez
utiliser pour crer et grer plusieurs comptes d'utilisateurs.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les outils permettant de crer et grer plusieurs comptes ;
! utiliser l'outil de ligne de commande Csvde pour crer des comptes ;
! utiliser l'outil de ligne de commande Ldifde pour crer et grer des
comptes ;
! crer et grer des comptes l'aide de l'environnement d'excution de
scripts Windows.
12 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Outils permettant de crer et grer plusieurs comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Windows Server 2003 procure de nombreux outils et composants logiciels
enfichables MMC (Microsoft Management Console) pour crer
automatiquement plusieurs comptes d'utilisateurs dans Active Directory.
Certains de ces outils ncessitent l'utilisation d'un fichier texte qui contient
des informations sur les comptes d'utilisateurs que vous souhaitez crer.
Vous pouvez galement crer des scripts pour ajouter ou modifier des objets
dans Active Directory.
Utilisateurs et La console Utilisateurs et ordinateurs Active Directory est un composant
ordinateurs Active logiciel enfichable MMC que vous pouvez utiliser pour grer des comptes
Directory d'utilisateurs, d'ordinateurs et de groupes. Il convient de l'utiliser lorsque vous
grez un petit nombre de comptes.
Outils de service Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod
d'annuaire et Dsrm pour grer des comptes d'utilisateurs, d'ordinateurs et de groupes dans
Active Directory. Vous devez spcifier le type d'objet que vous souhaitez crer,
modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour
crer un compte d'utilisateur. Utilisez la commande dsrm group pour
supprimer un compte de groupe. Bien que les outils Directory Service
permettent de crer un seul objet Active Directory la fois, vous pouvez
les utiliser dans des fichiers de commandes et des scripts.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 13

Outil Csvde L'outil de ligne de commande Csvde utilise un fichier texte spar par des
virgules, galement appel format valeurs spares par des virgules (format
Csvde), comme entre pour crer plusieurs comptes dans Active Directory.
Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et
d'autres types d'objets Active Directory. Vous ne pouvez pas utiliser le format
Csvde pour supprimer ou modifier des objets dans Active Directory. Avant
d'importer un fichier Csvde, assurez-vous que le fichier est correctement
format. Le fichier d'entre :
! doit inclure le chemin d'accs au compte d'utilisateur dans Active Directory,
le type d'objet, qui est le compte d'utilisateur, et le nom d'ouverture de
session de l'utilisateur (pour Microsoft Windows NT 4.0 et ultrieur) ;
! doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte
d'utilisateur est activ ou non. Si vous ne spcifiez aucune valeur, le compte
est dsactiv ;
! peut inclure des informations personnelles, par exemple des numros de
tlphone ou des adresses personnelles. Incluez autant d'informations sur le
compte d'utilisateur que possible afin que les utilisateurs puissent effectuer
des recherches dans Active Directory ;
! ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot
de passe vide pour les comptes d'utilisateur. tant donn qu'un mot de passe
vide permet une personne non autorise d'accder au rseau grce au seul
nom d'ouverture de session de l'utilisateur, dsactivez les comptes
d'utilisateurs jusqu' ce que les utilisateurs commencent se connecter.

Pour modifier et formater le fichier texte d'entre, utilisez une application qui
possde de bonnes capacits d'dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des
virgules. Vous pouvez exporter des donnes d'Active Directory vers une
feuille de calcul Excel ou importer des donnes d'une feuille de calcul vers
Active Directory.
Outil Ldifde L'outil de ligne de commande Ldifde utilise un format valeurs spares par
des lignes pour crer, modifier et supprimer des objets dans Active Directory.
Un fichier d'entre Ldifde se compose d'une srie d'enregistrements spars par
une ligne vierge. Un enregistrement dcrit un objet annuaire unique ou un
ensemble de modifications apportes aux attributs d'un objet existant, et se
compose d'une ou plusieurs lignes dans le fichier. La plupart des applications de
base de donnes peuvent crer des fichiers que vous pouvez importer dans l'un
de ces formats. Les conditions requises pour le fichier d'entre sont identiques
celles de l'outil de ligne de commande Csvde.
Environnement Vous pouvez crer des scripts d'environnement d'excution de scripts Windows
d'excution de scripts qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour
Windows crer, modifier et supprimer des objets Active Directory. Utilisez des scripts
lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets
Active Directory, ou lorsque les critres de slection de ces objets sont
complexes.
14 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment crer des comptes l'aide de l'outil Csvde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez utiliser l'outil de ligne de commande Csvde pour crer plusieurs
comptes dans Active Directory. Vous pouvez utiliser l'outil Csvde uniquement
pour crer des comptes, en aucun cas pour les modifier.
Procdure Pour crer des comptes l'aide de l'outil de ligne de commande Csvde,
effectuez les tches suivantes :
1. Crez le fichier Csvde importer. Formatez le fichier de sorte qu'il
contienne les informations suivantes :
La ligne d'attribut. Il s'agit de la premire ligne du fichier. Elle prcise le
nom de chaque attribut que vous souhaitez dfinir pour les nouveaux
comptes d'utilisateurs. Vous pouvez placer les attributs dans n'importe
quel ordre, ils doivent tre spars par des virgules. Le code suivant est
un exemple de ligne d'attribut :
DN,objectClass,sAMAccountName,userPrincipalName,
displayName,userAccountControl

Lignes de comptes d'utilisateurs. Pour chaque compte d'utilisateur que


vous crez, le fichier d'importation contient une ligne qui prcise la
valeur de chaque attribut de la ligne d'attribut. Les rgles suivantes
s'appliquent aux valeurs contenues dans une ligne de compte
d'utilisateur :
les valeurs doivent suivre l'ordre de la ligne d'attribut ;
s'il manque une valeur pour un attribut, laissez-la vierge, mais
insrez toutes les virgules ;
si une valeur contient des virgules, mettez-la entre guillemets.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 15

Le code suivant est un exemple de ligne du compte d'utilisateur :


"cn=Laura Bartoli,ou=Human Resources,
dc=asia,dc=contoso,dc=msft",user,laurab,
laurab@contoso.msft, Laura Bartoli,514

Ce tableau fournit les attributs et valeurs de l'exemple prcdent.


Attribut Valeur

DN (nom unique) cn=Laura Bartoli,ou=Human Resources, dc=asia,dc=contoso,dc=msft


(Cela spcifie le chemin d'accs l'unit d'organisation qui contient le compte
d'utilisateur.)
objectClass user
sAMAccountName laurab
userPrincipalName laurab@contoso.msft
displayName Laura Bartoli
userAccountControl 514 (La valeur 514 dsactive le compte d'utilisateur, tandis que la valeur 512
l'active.)

Les attributs de ce tableau sont les attributs minimaux requis pour


excuter csvde.

Important Vous ne pouvez pas utiliser Csvde pour crer des comptes
d'utilisateurs activs si la stratgie du mot de passe du domaine exige une
longueur minimale ou des mots de passe complexes. Dans ce cas, utilisez une
valeur de 514 pour l'attribut userAccountControl, qui dsactive le compte
d'utilisateur, puis activez le compte l'aide de l'environnement d'excution de
scripts Windows ou de la console Utilisateurs et ordinateurs Active Directory.

2. Excutez la commande csvde en tapant la commande suivante l'invite de


commandes :
csvde i f nom_fichier b Nom_Utilisateur Domaine
Mot_de_Passe

o :
-i indique que vous importez un fichier dans Active Directory
-f indique que le paramtre qui suit est le nom du fichier que vous importez
b dfinit la commande excuter comme nom_utilisateur, domaine et
mot_de_passe.
16 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

La commande csvde procure des informations sur l'tat de la russite ou de


l'chec du processus. Elle rpertorie galement le nom du fichier afficher pour
obtenir des informations dtailles sur l'erreur. Mme si les informations sur
l'tat indiquent que le processus a russi, utilisez la console Utilisateurs et
ordinateurs Active Directory pour vrifiez certains comptes d'utilisateurs que
vous avez crs afin de vous assurer qu'ils contiennent toutes les informations
que vous avez fournies.

Remarque Pour obtenir des informations sur les options courantes avec l'outil
de ligne de commande Csvde, consultez la rubrique Comment crer des
comptes l'aide de l'outil Csvde du Module 4 dans la page des annexes
sur le CD-ROM du stagiaire. Consultez galement Aide et Support
Windows Server 2003.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 17

Comment crer et grer des comptes l'aide de l'outil Ldifde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez utiliser l'outil de ligne de commande Ldifde pour crer et modifier
plusieurs comptes.
Procdure Pour crer des comptes l'aide de l'outil de ligne de commande Ldifde,
procdez comme suit :
1. Prparez le fichier Ldifde importer.
Formatez le fichier Ldifde afin qu'il contienne un enregistrement qui se
compose d'une suite de lignes qui dcrivent une entre pour un compte
d'utilisateur ou un ensemble de modifications sur un compte d'utilisateur
dans Active Directory. L'entre du compte d'utilisateur prcise le nom
de chaque attribut que vous souhaitez dfinir pour le nouveau compte
d'utilisateur. Le schma Active Directory dfinit le nom des attributs. Pour
chaque compte d'utilisateur que vous crez, le fichier contient une ligne qui
prcise la valeur de chaque attribut de la ligne d'attribut. Les rgles
suivantes s'appliquent aux valeurs de chaque attribut :
toute ligne qui commence par un signe dise (#) est une ligne de
commentaire et est ignore lorsque vous excutez le fichier Ldifde ;
s'il manque une valeur pour un attribut, elle doit tre reprsente comme
Description_Attribut : FILL SEP.
Le code suivant est un exemple d'entre dans un fichier d'importation
Ldifde :
# Crer Laura Bartoli
dn: cn=Laura Bartoli,ou= Human Resources,
dc=asia,dc=contoso,dc=msft
Changetype: Add
objectClass: user
sAMAccountName: laurab
userPrincipalName: laurab@contoso.msft
displayName: Laura Bartoli
userAccountControl: 514
18 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Le tableau suivant fournit les attributs et valeurs de l'exemple prcdent.


Attribut Valeur de l'attribut

# Crer Laura Bartoli (Le caractre # indique que cette ligne est un
commentaire.)
DN cn=Laura Bartoli, ou=Human Resources, dc=asia,dc=contoso,dc=msft
(Cette valeur spcifie le chemin d'accs au conteneur de l'objet.)
Changetype Add
objectClass user
sAMAccountName laurab
userPrincipalName laurab@contoso.msft
displayName Laura Bartoli
userAccountControl 512

2. Excutez la commande ldifde pour importer le fichier et crer plusieurs


comptes d'utilisateurs dans Active Directory.
l'invite de commandes, tapez la commande suivante :
ldifde i k f nom_fichier -b Nom_Utilisateur Domaine
Mot_de_Passe

o :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom de fichier d'importation ou d'exportation.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe du
compte d'utilisateur qui seront utiliss pour effectuer l'opration
d'importation ou d'exportation.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 19

Comment crer et grer des comptes l'aide de l'environnement


d'excution de scripts Windows

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous pouvez crer des objets Active Directory partir de scripts
d'environnement d'excution de scripts Windows l'aide d'une interface ADSI.
Le processus de cration d'un objet Active Directory compte quatre tapes,
comme l'indique la procdure suivante.
Procdure de cration Pour crer un objet Active Directory, tel qu'un compte d'utilisateur dans un
d'un objet Active domaine, procdez comme suit :
Directory
1. Utilisez le Bloc-notes pour crer un fichier texte avec une extension .vbs.
Placez les commandes suivantes dans le fichier, puis enregistrez-le.
a. Connectez-vous au conteneur dans lequel vous souhaitez crer l'objet
Active Directory en spcifiant la requte LDAP (Lightweight Directory
Access Protocol).
Set objOU =
GetObject("LDAP://ou=management,dc=fabrikam,dc=com")

Important Dans l'exemple prcdent, LDAP doit tre inscrit en lettres


majuscules, sans quoi la commande choue.

b. Crez l'objet Active Directory et spcifiez la classe et le nom de l'objet.


Set objUser = objOU.Create("User", "cn=MyerKen")

c. Dfinissez les proprits de l'objet Active Directory.


objUser.Put "sAMAccountName", "myerken"

d. Inscrivez les informations dans la base de donnes Active Directory.


objUser.SetInfo
20 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Les proprits de certains objets Active Directory ne peuvent pas tre


dfinies lors de leur cration. Par exemple, lorsque vous crez un compte
d'utilisateur, vous ne pouvez pas activer le compte ni dfinir son mot de
passe. Vous ne pouvez dfinir ces proprits qu'aprs avoir cr l'objet,
comme illustr dans l'exemple de code suivant :
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo

e. Enregistrez le fichier avec l'extension .vbs.


2. Excutez le script en tapant la commande suivante l'invite de commandes :
Wscript.exe nom_fichier

o nom_fichier est le nom du fichier de script que vous avez cr l'tape


prcdente.

Remarque Pour qu'un exemple de script cre un compte d'utilisateur, consultez


la rubrique Comment crer et grer des comptes l'aide de l'environnement
d'excution de scripts Windows du Module 4 dans la page des annexes sur le
CD-ROM du stagiaire.

Procdure de Pour modifier la valeur d'une proprit d'un objet Active Directory, tel que le
modification de la valeur numro de tlphone d'un utilisateur, ouvrez le Bloc-notes pour crer un fichier
d'une proprit texte, ajoutez les commandes suivantes au fichier, puis excutez le fichier de
script en le dmarrant l'invite de commandes.
1. Connectez-vous l'objet dont la proprit sera modifie.
Set objUser = GetObject _
("LDAP://cn=myerken,ou=TestOU,dc=nwtraders,dc=msft")

2. Dfinissez la nouvelle valeur de la proprit, par exemple le nouveau


numro de bureau d'un employ qui a t mut.
objUser.Put "physicalDeliveryOfficeName", "Room 4358"

3. Inscrivez la modification dans Active Directory.


objUser.SetInfo

4. Enregistrez le fichier avec l'extension .vbs.


5. l'aide d'une invite de commandes, excutez le script en tapant la
commande suivante :
wscript.exe nom_fichier

o nom_fichier est le nom du fichier de script que vous avez cr l'tape


prcdente.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 21

Remarque Pour plus d'informations sur la cration de scripts d'administration


l'aide de l'environnement d'excution de scripts Windows, consultez le site Web
de Microsoft TechNet Script Center l'adresse suivante :
www.microsoft.com/technet/treeview/default.asp?url=/technet/scriptcenter/
default.asp (en anglais).
Consultez galement le Cours 2433, Microsoft Visual Basic Scripting Edition
and Microsoft Windows Script Host Essentials (en anglais).
22 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique : Cration de comptes d'utilisateurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez crer et excuter un fichier de script
qui contient des commandes pour crer un compte d'utilisateur, puis vous
vrifierez que le compte d'utilisateur a t cr.
Scnario La socit Northwind Traders a engag un nouveau commercial, Suzanne
Duprez. Vous devez lui crer un nom d'ouverture de session utilisateur. La
norme actuelle chez Northwind Traders consiste utiliser le prnom de
l'utilisateur et les trois premires lettres de son nom de famille. Vous utiliserez
un environnement d'excution de scripts Windows pour crer ce compte
d'utilisateur dans l'unit d'organisation Votre_Ordinateur\Sales.
Application pratique Pour crer le compte d'utilisateur, procdez comme suit :
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez le Bloc-notes pour crer un fichier de script qui contient des
commandes pour crer le nouveau compte d'utilisateur.
a. Ouvrez le Bloc-notes.
b. Tapez le script pour crer le compte d'utilisateur.
c. Dans le menu Fichier, cliquez sur Enregistrer sous.
d. Dans la zone Nom de fichier, tapez createusers.vbs
e. Dans la zone Types de fichiers, slectionnez Tous les fichiers.
f. Cliquez sur Enregistrer.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 23

3. Excutez le fichier de script.


a. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commandes, puis cliquez sur Excuter en tant que.
b. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez Votre_Domaine\Administrateur comme
nom d'utilisateur avec le mot de passe P@ssw0rd, puis cliquez sur OK.
c. Changez le rpertoire pour le dossier dans lequel vous avez enregistr le
fichier createusers.vbs.
d. l'invite de commandes, tapez wscript.exe createusers.vbs.
4. Utilisez la console Utilisateurs et ordinateurs Active Directory pour vrifier
que l'utilisateur a t cr.
a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans l'arborescence de la console, cliquez sur Sales.
c. Dans le volet d'informations, observez les comptes d'utilisateurs
rpertoris.

Voici un exemple de fichier de rponse.


Set objOU =
GetObject("LDAP://OU=Sales,OU=Vancouver,dc=nwtraders1,dc=msft"
)
Set objUser = objOU.Create("User", "cn=SuzanneDup")
objUser.Put "sAMAccountName", "SuzanneDup"
objUser.SetInfo
objUser.AccountDisabled = FALSE
objUser.ChangePassword "", "P@ssw0rd"
objUser.Put "userPrincipalName", "SuzanneDup@nwtraders1.msft"
objUser.SetInfo
24 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Leon : Implmentation des suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon dcrit le rle des suffixes UPN (User Principal Names). Elle
explique comment un suffixe UPN est achemin dans un environnement
approuv et comment crer, supprimer, activer, dsactiver et exclure le routage
des suffixes de noms dans des approbations entre forts.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire le rle d'un UPN ;
! expliquer le routage d'un suffixe UPN dans un environnement approuv ;
! expliquer comment les conflits de suffixes de noms sont dtects et rsolus ;
! crer et supprimer un suffixe UPN ;
! activer, dsactiver et exclure le routage des suffixes de noms dans des
approbations entre forts.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 25

Dfinition d'un nom d'utilisateur principal

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Dans un rseau Windows Server 2003, un utilisateur peut ouvrir une session
l'aide d'un nom d'utilisateur principal ou d'un nom d'ouverture de session
d'utilisateur (Windows NT 4.0 et ultrieur). Les contrleurs de domaine peuvent
utiliser le nom d'utilisateur principal ou le nom d'ouverture de session de
l'utilisateur pour authentifier la requte d'ouverture de session.
Dfinition d'un nom Un nom d'utilisateur principal est un nom d'ouverture de session qui est utilis
d'utilisateur principal uniquement pour ouvrir une session sur un rseau Windows Server 2003.
Ce nom est galement appel nom d'ouverture de session de l'utilisateur.
Le nom d'utilisateur principal se compose de deux parties spares par le
signe @, par exemple laurab@contoso.msft :
! le prfixe du nom d'utilisateur principal qui, dans cet exemple, est laurab ;
! le suffixe du nom d'utilisateur principal qui, dans cet exemple, est
contoso.msft. Par dfaut, le suffixe est le nom du domaine dans lequel le
compte d'utilisateur a t cr. Vous pouvez utiliser les autres domaines du
rseau ou des suffixes supplmentaires que vous avez crs pour configurer
d'autres suffixes pour les utilisateurs. Par exemple, vous pouvez configurer
un suffixe pour crer des noms d'ouverture de session utilisateur qui
correspondent l'adresse lectronique de l'utilisateur.

Avantages lis L'utilisation du nom d'utilisateur principal offre les avantages suivants :
l'utilisation du nom
d'utilisateur principal ! Il ne change pas lorsque vous dplacez un compte d'utilisateur vers un
domaine diffrent car le nom est unique dans la fort Active Directory.
! Il peut tre identique l'adresse lectronique de l'utilisateur car il a le mme
format qu'une adresse de messagerie standard.
26 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Rgles d'unicit des Les noms d'ouverture de session utilisateur pour des comptes d'utilisateurs de
noms d'ouverture de domaine doivent respecter les rgles d'unicit suivantes dans Active Directory :
session utilisateur
! le nom complet doit tre unique dans le conteneur dans lequel vous crez le
compte d'utilisateur ; le nom complet est utilis comme nom unique ;
! le nom d'utilisateur principal doit tre unique dans la fort.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 27

Prsentation multimdia : Fonctionnement du routage des suffixes


de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Emplacement de fichier Pour commencer la prsentation Fonctionnement du routage des suffixes
de noms, ouvrez la page Web sur le CD-ROM du stagiaire, cliquez sur
Multimdia, puis sur le titre de la prsentation. N'ouvrez pas cette prsentation
avant d'y tre invit par l'instructeur.
Objectifs la fin de cette prsentation, vous serez mme d'expliquer le fonctionnement
du routage des suffixes de noms dans Active Directory.
Points cls Le routage des suffixes de noms est un mcanisme fournissant une rsolution
de noms entre forts. Celles-ci peuvent contenir plusieurs suffixes de noms.
Lorsque deux forts Windows Server 2003 sont connectes par une approbation
de fort, les suffixes des noms de domaines qui existent dans les deux
forts routent les requtes d'authentification. C'est pourquoi, toute requte
d'authentification mise de la Fort A vers un suffixe qui rside dans la Fort
B est route avec succs vers sa ressource cible.
Les suffixes de noms qui n'existent pas dans une fort peuvent tre routs vers
une deuxime fort. Lorsqu'un nouveau domaine enfant (par exemple,
enfant.contoso.com) est ajout un suffixe de domaine de second niveau (par
exemple, contoso.com), le domaine enfant hrite de la configuration de routage
du domaine de second niveau auquel il appartient.
Tout nouveau suffixe de nom de second niveau que vous crez aprs avoir
tabli une approbation de fort est visible dans la bote de dialogue Proprits
pour cette approbation. Cependant, le routage des suffixes pour les
arborescences de domaine que vous crez aprs l'tablissement de l'approbation
est dsactiv par dfaut. Vous devez activer manuellement le routage pour ces
suffixes. Lorsque Active Directory dtecte un suffixe de nom dupliqu, le
routage du suffixe le plus rcent est dsactiv par dfaut. Vous pouvez utiliser
la bote de dialogue Proprits pour activer ou dsactiver manuellement le
routage des suffixes de noms individuels.
28 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dtection et rsolution des conflits de suffixes de noms

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsque deux forts Windows Server 2003 sont relies par une approbation de
fort, un suffixe de nom de second niveau ou un suffixe UPN qui existe dans l'une
des forts peut entrer en collision avec un suffixe de nom similaire dans la
deuxime fort. Grce la dtection de collisions, l'Assistant Nouvelle
approbation garantit qu'une seule fort fait autorit pour un suffixe de nom donn.
Dtection des collisions L'Assistant Nouvelle approbation dtecte les conflits de suffixes de noms
lorsque l'une des situations suivante se produit :
! le mme nom DNS (Domain Name System) est dj utilis ;
! le mme nom NetBIOS est dj utilis ;
! un ID de scurit du domaine (SID) est en conflit avec le SID d'un autre
suffixe de nom.

Supposons, par exemple, que vous souhaitiez tablir une approbation de fort
bidirectionnelle entre les forts contoso.com et fabrikam.com. Les forts
contoso.com et fabrikam.com ont le mme suffixe UPN : nwtraders.msft.
Lorsque vous crez l'approbation de fort bidirectionnelle, l'Assistant Nouvelle
approbation dtecte et affiche le conflit entre les deux suffixes de noms UPN.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 29

Rsolution des conflits L'Assistant Nouvelle approbation dsactive automatiquement un suffixe de nom
de domaine de second niveau si un suffixe identique existe dans une deuxime
fort. Par exemple, un conflit survient si l'une des forts s'appelle fabrikam.com
et l'autre s'appelle ventes.fabrikam.com.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il refuse l'accs ce domaine depuis l'extrieur de la fort. Cependant,
l'accs au domaine depuis l'intrieur de la fort fonctionne normalement.
Par exemple, si le domaine fabrikam.com existe dans les forts contoso.com et
nwtraders.msft, les utilisateurs de la fort contoso.com peuvent accder aux
ressources prsentes dans le domaine fabrikam.com qui rside dans la fort
contoso.com. Cependant, les utilisateurs de la fort contoso.com n'ont pas accs
aux ressources prsentes dans le domaine fabrikam.com qui est situ dans la
fort nwtraders.msft.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il vous invite enregistrer un fichier journal du conflit. Il rpertorie
ensuite les conflits dans la bote de dialogue Proprits Nom d'approbation de
fort sous l'onglet Routage des suffixes de noms, dans la colonne Routage.
30 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment crer et supprimer un suffixe UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsque vous utilisez un suffixe de nom d'utilisateur principal, vous simplifiez
les processus d'administration et d'ouverture de session utilisateur en procurant
un suffixe UPN pour tous les utilisateurs. Lors de la cration d'un compte
d'utilisateur, vous pouvez slectionner un suffixe UPN. Si ce suffixe n'existe
pas, vous pouvez l'ajouter l'aide de la console Domaines et approbations
Active Directory, condition que vous soyez membre du groupe prdfini
Administrateurs de l'entreprise.
Procdure d'ajout d'un Pour ajouter un suffixe UPN, procdez comme suit :
suffixe UPN
1. Ouvrez la console Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Proprits.
3. Sous l'onglet Suffixes UPN, tapez un autre suffixe UPN, puis cliquez sur
Ajouter.

Remarque Si vous crez un compte d'utilisateur l'aide de l'environnement


d'excution de scripts Windows ou autrement qu'avec la console Utilisateurs et
ordinateurs Active Directory, vous n'tes pas limit par les suffixes UPN qui
sont stocks dans Active Directory. Vous pouvez affecter un suffixe lors de la
cration du compte. Cependant, les suffixes que vous crez de cette faon ne
sont pas automatiquement routs sur les approbations de forts.

Procdure de Pour supprimer un suffixe UPN, procdez comme suit :


suppression d'un
suffixe UPN 1. Dans l'arborescence de la console Domaines et approbation Active
Directory, cliquez avec le bouton droit sur Domaines et approbations
Active Directory, puis cliquez sur Proprits.
2. Sous l'onglet Suffixes UPN, slectionnez le suffixe UPN que vous souhaitez
supprimer, puis cliquez sur Supprimer.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 31

Comment activer et dsactiver le routage des suffixes de noms


dans des approbations de forts

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous devez utilisez la console Domaines et approbations Active Directory pour
activer et dsactiver le routage d'un suffixe de nom.
Procdure Pour activer ou dsactiver le routage d'un suffixe de nom de second niveau,
procdez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe pour lequel vous souhaitez
activer ou dsactiver le routage, puis cliquez sur Activer ou Dsactiver.

Important Lorsque vous dsactivez le routage d'un suffixe de domaine de


second niveau, vous dsactivez galement le routage de tous les suffixes de son
domaine enfant.
32 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Pour modifier l'tat du routage d'un suffixe de nom de troisime niveau ou de


niveau suprieur, procdez comme suit :
1. Dans l'arborescence de la console, cliquez avec le bouton droit sur le nud
du domaine que vous souhaitez administrer, puis cliquez sur Proprits.
2. Sous l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaines qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation de fort que vous
souhaitez administrer, puis cliquez sur Proprits.
3. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms dans
la fort <nom de la fort>, cliquez sur le suffixe parent du suffixe dont vous
souhaitez modifier l'tat du routage, puis cliquez sur Modifier.
4. Sous Suffixes de noms prsents dans <nom de la fort>, cliquez sur le
suffixe que vous souhaitez modifier, puis sur Activer ou Dsactiver.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 33

Application pratique : Cration de suffixes UPN

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez crer un suffixe de nom pour un
domaine de second niveau, puis vous activerez le routage du suffixe de nom
entre deux forts.
Scnario La socit Northwind Traders possde une fort de plusieurs domaines.
La socit a choisi un nouveau nom de domaine, qui sera utilis pour le nom
du site Web et de l'adresse lectronique de la socit. Vous devez ajouter le
nouveau suffixe puis activer le routage.
Application pratique ! Crer un suffixe de nom et activer le routage du suffixe
1. Crez un nouveau suffixe de nom pour un domaine de second niveau
nomm Votre_Prnom.msft.
a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec
le mot de passe P@ssw0rd.
b. Utilisez Excuter en tant que pour dmarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec
le mot de passe P@ssw0rd.
c. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur
Proprits.
d. Sous l'onglet Suffixes UPN, tapez le suffixe UPN Votre_Prnom.msft,
cliquez sur Ajouter, puis sur OK.
34 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans
la fort nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
b. Dans la bote de dialogue Se connecter au contrleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Proprits.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Proprits, puis sur l'onglet Routage des suffixes de noms.
f. Dans la bote de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la fort nwtradersx, cliquez sur Votre_Prnom.msft, sur Activer,
puis cliquez deux fois sur OK.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 35

Leon : Dplacement d'objets dans Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon traite de l'historique SID et de l'implication du dplacement des
objets Active Directory. Elle explique galement comment dplacer un objet
Active Directory entre deux conteneurs d'un mme domaine, et entre deux
domaines d'une mme fort.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire le rle d'un historique SID ;
! expliquer l'implication du dplacement d'objets dans Active Directory ;
! dplacer des objets dans un domaine ;
! dplacer des objets entre domaines ;
! afficher les proprits des objets dplacs.
36 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Dfinition de l'historique SID

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lorsque vous dplacez un objet Active Directory, tel qu'un compte d'utilisateur,
les principes de scurit associs cet objet sont galement dplacs. Active
Directory assure un suivi de ces principes de scurit dans une liste intitule
Historique SID.
Rle d'un historique SID Un historique SID fournit un utilisateur migr une continuit d'accs aux
ressources. Lors de la migration d'un compte d'utilisateur vers un autre
domaine, Active Directory lui affecte un nouveau SID. L'historique SID
conserve le SID du prcdent compte d'utilisateur migr. Lorsque vous migrez
plusieurs reprises un compte d'utilisateur, l'historique SID stocke une liste de
tous les identificateurs SID affects l'utilisateur. Il met ensuite jour les
groupes et les listes de contrle d'accs ncessaires avec le SID du nouveau
compte. Les appartenances aux groupes bases sur le SID de l'ancien compte
n'existent plus.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 37

Implications du dplacement d'objets

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Pour que l'historique SID soit activ, le niveau fonctionnel du domaine doit tre
dfini sur Windows 2000 natif ou Windows Server 2003. L'historique SID est
dsactiv si le niveau fonctionnel est dfini sur Windows 2000 mixte. Lorsqu'un
objet est dplac au sein d'un domaine, le SID ou l'identificateur unique global
(GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous dplacez un objet sur plusieurs domaines d'une mme fort, Active
Directory affecte un nouveau SID l'objet mais conserve son GUID.
Implications sur la Un historique SID permet des utilisateurs migrs d'accder aux ressources
scurit d'un situes dans leurs anciens domaines. Cependant, il permet galement aux
historique SID utilisateurs de tromper l'accs aux autres domaines, c'est dire donner l'illusion
qu'une transmission provient d'un utilisateur autoris, en plaant des SID
d'autres domaines dans l'historique SID de leurs comptes d'utilisateurs.
Vous pouvez vous protger de tels comportements en appliquant un filtrage
des identificateurs SID aux relations approuves.

Attention Le filtrage des identificateurs SID est conu pour tre utilis sur des
approbations entre forts ou sur des approbations externes. Son utilisation entre
domaines d'une mme fort reprsente une application errone du filtrage des
identificateurs SID. Si vous mettez un domaine en quarantaine au sein d'une
mme fort, le filtrage des identificateurs SID supprimera les identificateurs
SID ncessaires la rplication Active Directory. Le filtrage des identificateurs
SID peut galement faire chouer l'authentification des utilisateurs issus de
domaines approuvs de faon transitive dans le domaine mis en quarantaine.

Pour empcher qu'un compte d'utilisateur qui a t dplac entre domaines


accde des ressources avec des autorisations qui sont associes l'attribut de
l'historique SID du compte, supprimez les informations relatives l'historique
SID du compte d'utilisateur.
38 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Remarque Pour plus d'informations sur la suppression d'un historique SID,


consultez l'article 295798 Procdure d'utilisation de Visual Basic Script
pour effacer l'historique SID dans la Base de connaissances Microsoft
l'adresse suivante :
http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B295758
(en anglais).

Autres implications du Le dplacement d'objets dans Active Directory a galement les implications
dplacement d'objets suivantes :
! les comptes d'utilisateurs qui ont des privilges administratifs pour l'unit
d'organisation vers laquelle le compte est dplac peuvent grer les
proprits du compte d'utilisateur dplac ;
! les restrictions lies la stratgie de groupe de l'unit d'organisation, du
domaine ou du site depuis lequel le compte d'utilisateur a t dplac ne
s'appliquent plus au compte d'utilisateur ;
! les paramtres Stratgie de groupe du nouvel emplacement s'appliquent au
compte d'utilisateur.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 39

Comment dplacer des objets au sein d'un domaine

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour
dplacer des objets dans un domaine.
Procdure Pour dplacer un objet dans un domaine, procdez comme suit :
! Dans le volet d'informations de la console Utilisateurs et ordinateurs Active
Directory, faites glissez l'objet sur le nouveau conteneur.
40 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment dplacer des objets entre domaines

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Utilisez l'outil de migration Active Directory dans Windows Server 2003 pour
dplacer des objets entre domaines d'une mme fort ou entre domaines situs
dans des forts diffrentes.
Procdure Pour migrer des utilisateurs ou des groupes d'un domaine vers un autre,
procdez comme suit :
1. Excutez l'outil de migration Active Directory.

Remarque L'outil de migration Active Directory n'est pas install par


dfaut. Vous pouvez l'installer partir du dossier \i386\ADMT sur le
CD-ROM Windows Server 2003.

2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
slectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour dplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procdant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramtres de migration et effectuer celle-ci ultrieurement, puis
cliquez sur Suivant.
b. Dans la page Slection du domaine, slectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Slection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Slection de l'unit d'organisation, cliquez sur Parcourir,
slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 41

e. Dans la page Options de l'utilisateur, dfinissez les options de


l'utilisateur, puis cliquez sur Suivant.
Ces options dterminent la migration de l'appartenance au groupe, des
profils et des paramtres de scurit.
f. Si une bote de dialogue d'avertissement apparat, cliquez sur OK.
g. Dans la page Conflits de nommage, slectionnez les options
appropries pour spcifier les actions qui seront prises en cas de conflit
de noms, puis cliquez sur Suivant.
h. Dans la page Fin de l'Assistant Migration des comptes d'utilisateurs,
cliquez sur Terminer.
i. Dans la bote de dialogue Avances de la Migration, cliquez sur
Afficher le journal pour afficher le journal des erreurs.
5. Effectuez une migration relle en rptant les tapes 2 4.l. l'tape 4.a,
slectionnez Effectuer la migration maintenant la place de Tester les
paramtres de migration et effectuer celle-ci ultrieurement.
42 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Comment utiliser LDP pour afficher les proprits des objets


dplacs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Aprs avoir dplac un utilisateur, un groupe ou un autre objet, vrifiez que ses
proprits ont t correctement mises jour. Par exemple, vrifiez les proprits
SID et Historique SID de l'objet. Pour afficher ces informations, utilisez
Ldp.exe. Vous devez installer les outils de support de Windows depuis le
dossier \Support\Tools sur le CD-ROM Windows Server 2003 avant de pouvoir
utiliser Ldp.exe.
Procdure Pour afficher les proprits d'un objet dplac, procdez comme suit :
1. Cliquez sur Dmarrer, sur Excuter, tapez ldp et cliquez sur OK.
2. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez sur
Connect.
3. Dans la bote de dialogue Connect, dans la zone Server, tapez le nom de
votre serveur, puis cliquez sur OK.
4. Dans la fentre Ldap, dans le menu Connection, cliquez sur Bind.
5. Dans la bote de dialogue Bind, tapez le nom d'utilisateur Administrateur,
le mot de passe de l'administrateur et le nom du domaine que vous souhaitez
examiner, puis cliquez sur OK.
6. Dans le menu View, cliquez sur Tree.
7. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez le
nom de domaine appropri dans la liste, puis cliquez sur OK.
8. Dans l'arborescence de la console, double-cliquez sur l'objet dont vous
souhaitez afficher les proprits.
9. Dans le volet d'informations, observez les proprits de l'objet.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 43

Application pratique : Dplacement d'objets

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez effectuer les tches suivantes :
! utiliser Ldp.exe pour examiner l'identificateur SID, l'historique SID et
l'identificateur GUID d'un objet utilisateur ;
! dplacer un objet utilisateur vers une autre unit d'organisation du mme
domaine ;
! utiliser Ldp.exe pour afficher les modifications apportes l'identificateur
SID, l'historique SID et l'identificateur GUID de l'objet utilisateur.

Scnario Votre organisation compte 2000 utilisateurs. Suzanne Duprez, une utilisatrice
de votre domaine, occupe un nouveau poste au sein de la socit. Vous devez
dplacer son objet compte utilisateur pour qu'il corresponde son nouveau rle.
Application pratique ! Dplacer un compte d'utilisateur et afficher les modifications
conscutives au dplacement
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez Ldp.exe pour examiner l'identificateur SID, l'historique SID et
l'identificateur GUID de l'objet utilisateur de Suzanne Duprez dans l'unit
d'organisation Votre_Ordinateur\Sales situe dans le domaine hberg par
votre ordinateur stagiaire.
a. Cliquez sur Dmarrer, sur Invite de commandes, tapez ldp et appuyez
sur ENTRE.
b. Dans la bote de dialogue Ldp, dans le menu Connection, cliquez sur
Connect.
c. Dans la bote de dialogue Connection, dans la zone Server, tapez le
nom de votre serveur, puis cliquez sur OK.
d. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez
sur Bind.
44 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

e. Dans la bote de dialogue Bind, tapez le nom d'utilisateur


Administrateur, le mot de passe P@ssw0rd et le nom du domaine
hberg par votre serveur, puis cliquez sur OK.
f. Dans le menu View, cliquez sur Tree.
g. Dans la bote de dialogue Tree View, dans la liste BaseDN, slectionnez
votre nom de domaine, puis cliquez sur OK.
h. Dans l'arborescence de la console, dveloppez votre domaine, double-
cliquez sur Votre_Ordinateur, sur l'objet de l'unit d'organisation Sales,
puis sur l'objet utilisateur de Suzanne Duprez.
i. Dans le volet d'informations, affichez les proprits de l'objet.
i. Quel est l'attribut objectGUID de ce compte ?
Les rponses varient.
_______________________________________________________

ii. Quel est l'attribut objectSid de ce compte ?


Les rponses varient.
_______________________________________________________

iii. Existe-t-il une entre SIDHistory pour ce compte d'utilisateur ? Si


oui, quels sont les identificateurs SID rpertoris ?
Il n'existe aucune entre SIDHistory pour ce compte.
_______________________________________________________

3. Dplacez l'objet utilisateur de Suzanne Duprez dans l'unit d'organisation


Votre_Ordinateur\HR de votre domaine.
a. Utilisez Excuter en tant que pour dmarrer la console Utilisateurs et
ordinateurs Active Directory en tant que
Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
b. Dans le volet d'informations, faites glissez l'objet utilisateur
SuzanneDup de l'unit d'organisation Votre_Ordinateur\Sales vers
l'unit d'organisation Votre_Ordinateur\HR.
4. Utilisez Ldp.exe pour afficher les modifications apportes l'identificateur
SID, l'historique SID et l'identificateur GUID de l'objet utilisateur de
Suzanne Duprez.
a. Dans l'arborescence de la console, double-cliquez sur HR, puis sur
l'objet utilisateur de Suzanne Duprez.
b. Dans le volet d'informations, affichez les proprits de l'objet.
Des modifications ont-elles t apportes l'identificateur SID,
l'historique SID ou l'identificateur GUID de ce compte ? Si oui,
lesquelles ?
Aucune modification n'a t apporte l'identificateur SID,
l'historique SID ou l'identificateur GUID du compte d'utilisateur
suite ce dplacement.
__________________________________________________________

__________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 45

Leon : Planification d'une stratgie de compte


d'utilisateur, de groupe et d'ordinateur

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Cette leon prsente des instructions pour planifier une stratgie de compte
d'utilisateur et d'ordinateur. Une stratgie de compte bien planifie permet
d'empcher une violation de la scurit dans votre rseau.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer les instructions permettant de dfinir une convention d'attribution
de nom de compte ;
! expliquer les instructions permettant de dfinir une stratgie de mot
de passe ;
! expliquer les instructions lies l'authentification, l'autorisation et
l'administration des comptes d'utilisateurs ;
! expliquer les instructions permettant de planifier une stratgie de compte
de groupe.
46 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instruction d'attribution des noms de comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Lors de la cration d'une stratgie de compte pour les forts et les domaines
situs dans le rseau de votre organisation, vous devez dfinir des conventions
d'attribution de noms de comptes.
Instructions Les instructions suivantes s'appliquent l'attribution de noms de comptes
d'utilisateurs, d'ordinateurs et de groupes dans un rseau Windows Server 2003.
! Dfinissez une convention d'attribution de nom de compte d'utilisateur pour
votre organisation, qui facilite l'identification par les autres utilisateurs
et vous permette de grer les conflits de noms d'utilisateurs pour les
utilisateurs ayant des noms similaires. La convention d'attribution de nom
doit inclure :
le prnom, les trois premiers caractres du prnom ou l'initiale du
prnom de l'utilisateur. Par exemple, utilisez Suzanne pour l'utilisatrice
Suzanne Duprez ;
l'initiale, les premires lettres du nom de famille de l'utilisateur ou son
nom complet. Par exemple, utilisez SuzanneDuprez pour l'utilisatrice
Suzanne Duprez ;
des caractres supplmentaires de prnom ou de nom de famille, ou
encore l'initiale du deuxime prnom pour rsoudre les conflits de noms.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 47

Envisagez d'utiliser :
des prfixes ou suffixes pour identifier des comptes d'utilisateurs
spciaux, tels que des fournisseurs, du personnel temps partiel et des
comptes de services ;
un autre nom de domaine pour que le suffixe UPN augmente la scurit
des sessions et simplifie les noms d'ouverture de session.
Par exemple, si votre organisation possde une arborescence de
domaine profonde qui est organise par dpartement et rgion, les
noms de domaines peuvent tre assez longs. Le suffixe UPN par
dfaut pour un utilisateur dans ce domaine peut donc tre
ventes.exemple.nwtraders.msft. Le nom d'ouverture de session d'une
utilisatrice nomme Suzanne Duprez dans ce domaine peut alors tre
SDuprez@ventes.exemple.nwtraders.msft. Cependant, si vous crez le
suffixe nwtraders ou nwtraders.msft, un utilisateur peut ouvrir une
session en ajoutant le nom d'ouverture de session le plus simple
SDuprez@nwtraders ou SDuprez@nwtraders.msft. Il n'est pas
ncessaire que ces autres suffixes UPN soient un nom DNS valide.
! Dfinissez une convention d'attribution de nom de compte d'ordinateur qui
identifie le propritaire de l'ordinateur, son emplacement et le type
d'ordinateur. Incluez les informations suivantes dans la convention
d'attribution de nom :
Convention d'attribution de nom Exemple

Nom d'utilisateur du propritaire SuzanneD1


Emplacement ou abrviation RED ou Redmond
Type d'ordinateur ou abrviation SVR ou serveur

! Dfinissez une convention d'attribution de nom de groupe qui identifie le


type de groupe, son emplacement et son rle. Incluez les informations
suivantes dans la convention d'attribution de nom :
Convention d'attribution de nom Exemple

Type de groupe G pour groupe global, UN pour groupe


universel, LD pour groupe local de
domaine
Emplacement du groupe Red pour Redmond
Rle du groupe Admins pour administrateurs
48 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instructions de dfinition d'une stratgie de mot de passe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Le rle des mots de passe dans la scurit du rseau d'une organisation est bien
souvent sous-estim et nglig. Les mots de passe constituent la premire ligne
de dfense en cas d'accs non autoris votre organisation.
La famille Windows Server 2003 inclut une nouvelle fonctionnalit qui vrifie
la complexit du mot de passe pour le compte Administrateur. Si le mot de
passe est vide ou ne rpond pas aux conditions de complexit, la bote de
dialogue Installation de Windows apparat et vous informe des dangers lis
la non-utilisation d'un mot de passe fort pour le compte Administrateur. Si vous
ne renseignez pas de mot de passe, le compte est inaccessible sur le rseau.
Instructions Une stratgie de mot de passe assure que chaque utilisateur respecte les
instructions de mot de passe que vous dterminez comme approprie pour votre
organisation. Dfinissez les lments suivants d'une stratgie de mot de passe :
! Dfinissez le paramtre de stratgie Conserver l'historique des mots de
passe pour mmoriser au moins les 24 mots de passe prcdents. De cette
manire, les utilisateurs ne peuvent pas utiliser le mme mot de passe
l'expiration de leur mot de passe actuel.
! Dfinissez le paramtre de stratgie Dure de vie maximale du mot de
passe afin que les mots de passe expirent aussi souvent que ncessaire pour
votre environnement et le niveau d'accs des utilisateurs. Ce paramtre de
stratgie empche quiconque forant un mot de passe d'accder au rseau
jusqu' expiration du mot de passe. Pour les utilisateurs qui ont un accs
Administrateur de domaine, dfinissez une dure de vie maximale du mot
de passe plus courte que pour les utilisateurs normaux.
! Dfinissez le paramtre de stratgie Dure de vie minimale du mot de
passe de sorte que les utilisateurs ne puissent pas modifier leur mot de
passe avant un certain nombre de jours. Le fait de dfinir une dure de
vie minimale du mot de passe empche les utilisateurs de modifier
continuellement leur mot de passe pour viter le paramtre de stratgie
Conserver l'historique des mots de passe puis rutiliser leur mot de
passe d'origine.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 49

! Dfinissez un paramtre de stratgie Longueur minimale du mot de passe


de sorte que les mots de passe contiennent un nombre minimum de
caractres. Les longs mots de passe, comportant au minimum huit
caractres, sont gnralement plus forts que les mots de passe courts.
Ce paramtre de stratgie empche galement les utilisateurs d'utiliser
des mots de passe vides.
! Activez le paramtre de stratgie Le mot de passe doit respecter des
exigences de complexit. Ce paramtre vrifie tous les nouveaux mots de
passe pour s'assurer qu'ils rpondent aux exigences de base d'un mot de
passe fort.
Un mot de passe fort prsente les caractristiques suivantes :
comporte au moins huit caractres ;
ne contient aucun nom d'utilisateur, nom rel ou nom de socit ;
ne contient aucun mot complet du dictionnaire ;
est significativement diffrent des prcdents mots de passe. Les mots de
passe incrmentiels (Mot_de_Passe1, Mot_de_Passe2,
Mot_de_Passe3...) sont faibles ;
contient des caractres en majuscules/minuscules, des valeurs
numriques et des symboles ;
contient des caractres ASCII tendus. Ces caractres incluent les
marques d'accentuation et les symboles spciaux utiliss pour crer des
images.
H!elZl2o et J*p2leO4>F sont des exemples de mots de passe forts.

Attention Tout intrus potentiel peut trouver des caractres ASCII tendus
dans la Table des caractres. N'utilisez pas de caractre tendu si aucune
squence de touches n'est dfinie dans le coin infrieur droit de la table des
caractres. Avant d'utiliser des caractres ASCII tendus dans votre mot de
passe, testez-les pour vrifier que les mots de passe qui contiennent des
caractres ASCII tendus sont compatibles avec les applications utilises
par votre organisation. Soyez particulirement prudent lors de l'utilisation de
caractres ASCII tendus si votre organisation utilise plusieurs systmes
d'exploitation.
50 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Le tableau suivant prsente les paramtres de stratgie minimaux recommands


pour des environnements rseau scuriss.
Paramtre Valeur

Conserver l'historique des mots de passe 24 mots de passe mmoriss


Dure de vie maximale du mot de passe 42 jours
Dure de vie minimale du mot de passe 2 jours
Longueur minimale du mot de passe 8 caractres
Le mot de passe doit respecter des exigences Activ
de complexit
Enregistrer les mots de passe en utilisant un Dsactiv
cryptage rversible

Conseil Si vous crez un domaine racine dans votre fort dans le but de placer
des comptes administrateur, envisagez d'exiger des paramtres de stratgie de
mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.
Par exemple, envisagez d'exiger une dure de vie maximale du mot de passe de
30 jours, une dure de vie minimale du mot de passe de 7 jours et une longueur
minimale de 14 caractres.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 51

Instructions d'authentification, d'autorisation et d'administration


des comptes

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction La planification d'une stratgie d'authentification, d'autorisation et
d'administration aidera protger le rseau de votre organisation. Par exemple,
implmentez une stratgie de verrouillage du compte pour prvenir toute
attaque de votre organisation. Soyez toutefois prudent lors de la cration
d'un verrouillage de compte afin de ne pas verrouiller par inadvertance des
utilisateurs autoriss.
Instructions Utilisez les instructions suivantes pour authentifier, autoriser et administrer des
comptes dans votre organisation :
! Attribuez une valeur leve au paramtre de stratgie seuil de verrouillage
de compte. Ainsi, les comptes des utilisateurs autoriss ne sont pas
verrouills en cas de saisie errone d'un mot de passe.
Windows peut verrouiller des utilisateurs autoriss s'ils modifient leur mot
de passe sur un ordinateur mais pas sur un autre. L'ordinateur qui utilise
l'ancien mot de passe tente constamment d'authentifier l'utilisateur avec le
mot de passe incorrect. Finalement, l'ordinateur verrouille le compte de
l'utilisateur jusqu' ce qu'il soit restaur. Ce problme n'existe pas dans les
organisations qui utilisent uniquement des contrleurs de domaine membres
de la famille Windows Server 2003.
! vitez d'utiliser des comptes administrateur pour rpondre aux besoins
informatiques de routine. Aussi, devez-vous penser limiter le nombre
d'administrateurs et viter d'accorder aux utilisateurs un accs
administratif. Exigez que les administrateurs ouvrent une session l'aide
d'un compte d'utilisateur normal et qu'ils utilisent la commande runas pour
effecteur toutes les tches d'administration.
! Utilisez une authentification multifactorielle. Par exemple, exigez des cartes
puce pour des comptes administrateur et l'accs distant afin de confirmer
l'identit de l'utilisateur.
52 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

! Utilisez des groupes de scurit bass sur la stratgie C-G-U-LD-A (A-G-


U-DL-P, en anglais). Cette stratgie procure une souplesse maximale tout
en rduisant la complexit de l'affectation des autorisations d'accs au
rseau. Implmentez galement un modle de scurit bas sur le rle pour
accorder les autorisations. Dans le domaine de la stratgie C-G-U-LD-A :
les comptes d'utilisateurs (C) sont ajouts aux groupes globaux (G) ;
les groupes globaux sont ajouts aux groupes universels (U) ;
les groupes universels sont ajouts aux groupes locaux de
domaine (LD) ;
les autorisations sur les ressources (A) sont affectes aux groupes locaux
de domaine.
! Dsactivez le compte Administrateur et affectez aux utilisateurs et
administrateurs le moindre privilge ncessaire pour effecteur leurs tches
professionnelles.
Vous ne pouvez jamais supprimer ou retirer le compte Administrateur du
groupe intgr Administrateurs. Cependant, il est conseill de le dsactiver.
Mme lorsqu'un compte Administrateur est dsactiv, un intrus ou un
utilisateur non autoris peut utiliser un mode scuris pour accder un
contrleur de domaine. Le seul moyen de prvenir ce problme consiste
vrifier que les serveurs sont physiquement scuriss.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 53

Instructions de planification d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction La planification d'une stratgie de groupe implique la planification de
l'utilisation des groupes globaux, groupes locaux de domaine et groupes
universels pour simplifier les tches d'administration.
Instructions Utilisez les instructions suivantes pour planifier une stratgie de groupe :
! Affectez les utilisateurs aux responsabilits professionnelles communes aux
groupes globaux. Identifiez les groupes d'aprs les tches que les membres
effectuent. Crez des groupes globaux pour ces utilisateurs, et ajoutez-y des
utilisateurs qui ont des responsabilits communes.
! Crez un groupe local de domaine pour partager les ressources. Identifiez
les ressources partages, telles que les imprimantes, fichiers et dossiers.
Crez ensuite un groupe local de domaine pour chaque ressource, et ajoutez
des utilisateurs qui ont besoin d'accder ces ressources.
! Ajoutez aux groupes locaux de domaine des groupes globaux qui exigent un
accs aux ressources. Lorsque vous souhaitez partager une ressource sur un
domaine entre plusieurs groupes globaux, ajoutez ces groupes globaux au
groupe local de domaine qui accorde l'accs la ressource partage.
! Utilisez des groupes universels pour accorder l'accs aux ressources situes
dans plusieurs domaines. Si des comptes d'utilisateurs exigent d'accder
aux partages de fichier situs dans un domaine diffrent des comptes
d'utilisateurs, crez un groupe universel pour ces utilisateurs et accordez
l'accs au groupe universel pour ces partages de fichiers.
! Utilisez des groupes universels lorsque l'appartenance est statique. Les
groupes universels fonctionnent mieux lorsque vous ajoutez des utilisateurs
qui ne sont pas susceptibles d'tre supprims frquemment du groupe
universel. Active Directory rplique chaque modification d'appartenance
dans un groupe universel, ce qui augmente le trafic rseau.
54 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Remarque Si le niveau fonctionnel de la fort est dfini sur Windows 2000


natif et qu'une modification est apporte l'appartenance d'un groupe universel,
Active Directory rplique la totalit de la liste d'appartenance sur tous les autres
serveurs de catalogue global. Si le niveau fonctionnel de la fort est dfini sur
Windows Server 2003, seules les modifications sont rpliques sur les autres
serveurs de catalogue global. En d'autres termes, des modifications plus
frquentes de l'appartenance un groupe universel ont moins d'effet sur le
rseau que dans un niveau fonctionnel de fort Windows 2000.

Planification des Utilisez le tableau suivant pour planifier des comptes de groupes : Il contient
comptes de groupes des exemples d'informations pour un groupe universel nomm U RedAccts, qui
est cr dans le domaine Redmond. Ses membres incluent des groupes globaux
des domaines London, Vancouver et Denver.
Groupe Description Emplacement Type Membres

U RedAccts Comptables Domaine Groupe G LonAccts


Redmond universel G VanAccts
G DenAccts
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 55

Application pratique : Planification d'une stratgie de compte

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez effectuer les tches suivantes :
! dterminer la stratgie d'attribution de nom de compte ;
! dterminer la stratgie de mot de passe ;
! dterminer la stratgie d'authentification, d'autorisation et d'administration ;
! dterminer la stratgie de groupe pour votre fort.

Scnario Votre socit se trouve dans un environnement d'entreprise hautement


concurrentiel. Le maintien de la scurit des informations et des secrets
commerciaux est vital. Votre organisation compte 1000 utilisateurs dans une
fort Active Directory. La fort se compose d'un domaine racine vide nomm
nwtraders.msft, d'un domaine enfant nomm corp.nwtraders.msft qui contient
tous vos groupes de comptes et d'utilisateurs. Tous les contrleurs de domaines
de votre fort excutent Windows Server 2003. Le domaine racine contient
uniquement des comptes administrateur que vous utilisez pour effectuer des
tches d'administration l'chelle de la fort.
56 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique ! Planifier une stratgie de compte


1. Quelle stratgie d'attribution de nom de compte allez-vous utiliser dans le
domaine corp ?
Les rponses varient. Une stratgie d'attribution de nom possible
consiste utiliser le prnom et l'initiale du nom de famille de
l'utilisateur. En cas de conflits de noms, rsolvez-les en utilisant au
moins deux caractres du nom de famille de l'utilisateur pour crer un
nom d'utilisateur unique.
____________________________________________________________

____________________________________________________________

2. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le


domaine corp ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :
Conserver l'historique des 24 mots de passe
mots de passe mmoriss
Dure de vie maximale du mot de pass 42 jours
Dure de vie minimale du mot de passe 2 jours
Longueur minimale du mot de passe 8 caractres
Le mot de passe doit respecter des
exigences de complexit Activ
Enregistrer les mots de passe en utilisant un
cryptage rversible Dsactiv
____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 57

3. Quels paramtres de stratgie de mot de passe allez-vous utiliser pour le


domaine racine ?
Vos paramtres de stratgie incluront au minimum les lments
suivants :
Conserver l'historique des 24 mots de passe
mots de passe mmoriss
Dure de vie maximale du mot de passe 30 jours
Dure de vie minimale du mot de passe 7 jours
Longueur minimale du mot de passe 14 caractres
Le mot de passe doit respecter des exigences
de complexit Activ
Enregistrer les mots de passe en utilisant un
cryptage rversible Dsactiv
____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________

4. Que comprendra votre stratgie d'authentification, d'autorisation et


d'administration ?
Votre stratgie devra se conformer aux indications suivantes :
Dfinissez une stratgie de verrouillage de compte qui verrouille les
comptes d'utilisateurs pendant 30 minutes aprs sept tentatives
d'ouverture de session infructueuses.
Exigez que les administrateurs ouvrent une session l'aide d'un
compte d'utilisateur normal et qu'ils effectuent toutes les tches
d'administration l'aide de la commande runas.
Exigez une authentification par carte puce pour tout accs distant
votre rseau.
Renommez et dsactivez le compte Administrateur dans chaque
domaine.
Implmentez un modle de scurit bas sur le rle lors de la
planification des groupes.
____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________
58 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

5. Que comprendra votre stratgie de groupe ?


Votre stratgie devra se conformer aux indications suivantes :
Affectez les utilisateurs aux responsabilits professionnelles
communes aux groupes globaux.
Crez un groupe local de domaine pour les ressources partages.
Ajoutez aux groupes locaux de domaine des groupes globaux qui
exigent un accs aux ressources.
N'utilisez pas des groupes universels ( l'exception des groupes
Administrateurs de l'entreprise et Administrateurs du schma dans
le domaine racine) car tous les comptes d'utilisateurs, comptes de
groupes et ressources non administratifs seront situs dans le
domaine corp.
____________________________________________________________

____________________________________________________________

____________________________________________________________

____________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 59

Leon : Planification d'une stratgie d'audit Active


Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction la fin de cette leon, vous comprendrez pourquoi il est important d'auditer
l'accs des utilisateurs Active Directory et de savoir planifier une stratgie
d'audit Active Directory.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer la ncessit d'auditer un accs Active Directory ;
! expliquer les instructions d'analyse des modifications apportes
Active Directory.
60 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Pourquoi auditer l'accs Active Directory ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Vous devez utiliser la fonctionnalit d'audit pour assurer un suivi des
activits lies la scurit sur un systme. tant donn qu'Active Directory
stocke des informations sur tous les objets qui existent dans un rseau
Windows Server 2003, vous devez assurer un suivi des modifications apportes
ces objets et leurs attributs. Par exemple, vous devrez peut-tre auditer des
modifications apportes l'appartenance un groupe ou des composants de
l'infrastructure Active Directory, tels qu'aux objets du site ou au schma
Active Directory.
Rle de l'audit Lors de l'audit d'Active Directory, vous enregistrez les modifications apportes
d'Active Directory Active Directory et les tentatives de modification infructueuses d'Active
Directory afin d'effectuer les oprations suivantes :
! enregistrer toutes les modifications apportes Active Directory.
L'enregistrement des modifications russies assure que le personnel autoris
ne procde pas des modifications non autorises sur des objets Active
Directory. Il est galement utile pour rparer des modifications incorrectes
d'Active Directory. Par exemple, si des autorisations ont t appliques au
mauvais groupe, ce qui a permis un groupe de personnes erron d'accder
aux ressources, vous pouvez utiliser le journal d'audit pour identifier quel
moment la modification a t faite et par qui ;
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 61

! assurer un suivi de l'accs une ressources ou par un compte spcifique.


Le suivi de l'accs vous aide comprendre des vnements qui se produisent
sur votre rseau. Par exemple, si une application utilise un compte de service
pour accder aux ressources et que l'application ne fonctionne pas
correctement, le journal d'audit peut vous aider identifier le problme ;
! dtecter et enregistrer les tentatives d'accs infructueuses. L'enregistrement
des tentatives infructueuses d'accs aux ressources ou de modifications
d'Active Directory vous aide identifier les risques de scurit externes
et externes.

Pour auditer des modifications apportes, avec succs ou non, des objets ou
attributs Active Directory, vous devez activer l'audit des services d'annuaire sur
tous les contrleurs de domaine et configurer une liste SACL (System Access
Control List) pour chaque objet ou attribut que vous souhaitez auditer.
62 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Instructions d'analyse des modifications apportes


Active Directory

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Introduction Des audits russis gnrent une entre d'audit lorsqu'un vnement de gestion
des comptes s'excute avec succs. Mme si les vnements de gestion des
comptes russis sont gnralement inoffensifs, ils fournissent un enregistrement
inestimable d'activits pouvant compromettre la scurit d'un rseau.
Instructions Utilisez les instructions suivantes lors de la cration d'une stratgie d'audit :
! Activez l'audit des vnements de gestion des comptes. Auditez les
modifications russies suivantes :
la cration, la modification ou la suppression des comptes de groupes
ou d'utilisateurs ;
l'activation, la dsactivation ou le changement de nom des comptes
d'utilisateurs ;
la modification des mots de passe ou de la stratgie de scurit de
l'ordinateur.
! Activez l'audit des succs des modifications de stratgie. Si l'audit de ces
modifications et des modifications de stratgie de gestion des comptes n'est
pas activ, un intrus peut potentiellement corrompre la scurit d'un rseau
sans journal d'audit.
Par exemple, si un administrateur a fait du compte d'utilisateur Sandy un
membre du groupe Oprateurs de sauvegarde, l'audit enregistrera un
vnement de gestion des comptes. Cependant, si le mme administrateur
a accord au compte Sandy le droit d'utilisateur avanc Sauvegarde des
fichiers et dossier, l'audit n'enregistrera pas d'vnement de gestion
des comptes.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 63

! Activez l'audit des checs des vnements systme. Ce paramtre de scurit


gnre un vnement lorsqu'un utilisateur tente en vain de redmarrer ou de
fermer un ordinateur ou encore de modifier la scurit du systme ou le
journal de scurit. Activez ce paramtre de stratgie d'audit pour tout
le domaine.
Des vnements d'chec dans la catgorie d'vnements systme peuvent
dtecter une activit inhabituelle, comme celle d'un intrus qui tente
d'accder votre rseau ou votre ordinateur. Le nombre d'audits gnr
lorsque ce paramtre est activ tend tre relativement faible, tandis que la
qualit des informations obtenues de ces vnements tend tre
relativement leve.
! Activez l'audit des checs des vnements de modification de stratgie et des
vnements de gestion des comptes uniquement lorsque cela est ncessaire.
Le nombre d'audit gnr lorsque ces paramtres sont activs peut tre trs
lev. Veillez alors ne les activer que lorsque cela est ncessaire.

Attention L'activation des audits des checs pour ces vnements peut
reprsenter un risque pour votre organisation. Si des utilisateurs tentent
d'accder une ressource pour laquelle ils n'ont pas d'autorisation, ils peuvent
crer tant d'audits des checs que le journal de scurit devient rapidement
plein. L'ordinateur ne peut alors plus collecter d'audits. Si le paramtre de
stratgie Audit : arrter immdiatement le systme s'il n'est pas possible
de se connecter aux audits de scurit est activ, les serveurs se fermeront
lorsque le journal sera plein. Si tel est le cas, des intrus peuvent lancer une
attaque de refus de service en utilisant votre stratgie d'audit.

Remarque Pour plus d'informations sur l'activation d'un audit, consultez le


Module 10, Implmentation de modles d'administration et d'une stratgie
d'audit , du cours 2144, Administration d'un environnement Microsoft
Windows Server 2003.
64 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Application pratique : Planification d'une stratgie d'audit

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs Dans cette application pratique, vous allez dterminer les stratgies d'audit
activer pour Active Directory.
Scnario Vous devez planifier une stratgie d'audit pour Northwind Traders, qui compte
1000 utilisateurs dans une fort Active Directory. Votre fort se compose d'un
domaine racine vide nomm nwtraders.msft et d'un domaine enfant nomm
corp.nwtraders.msft qui contient tous vos groupes de comptes et d'utilisateurs.
Application pratique
! Planifier une stratgie d'audit
Pour quels vnements allez-vous activer l'audit ?
____________________________________________________________

____________________________________________________________

Les rponses varient. La stratgie recommande consiste activer


l'audit des succs pour le systme, la modification de stratgie et la
gestion des comptes. Elle consiste aussi activer l'audit des checs pour
les vnements systme. Il n'est pas recommand d'activer l'audit des
checs pour d'autres vnements moins que vous auditiez
spcifiquement en vue de dtecter des intrusions.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 65

Atelier A : Implmentation d'une stratgie de compte


et d'audit

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR*********************


Objectifs la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
! planifier une stratgie pour des comptes d'utilisateurs, de groupes et
d'ordinateurs ;
! planifier une stratgie d'audit Active Directory ;
! crer plusieurs comptes d'utilisateurs et d'ordinateurs ;
! implmenter des suffixes UPN ;
! dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort.

Connaissances Avant de travailler sur cet atelier, vous devez :


pralables
! connatre les instructions de planification d'une stratgie de compte ;
! connatre les instructions de planification d'une stratgie d'audit.

Scnario La socit Northwind Traders implmente Windows Server 2003 sur son
rseau. Elle prvoie d'utiliser une fort avec deux domaines, savoir un
domaine racine vide et un domaine d'entreprise. Le domaine d'entreprise
contiendra les comptes d'utilisateurs, de groupes et d'ordinateurs.
Dure approximative
de cet atelier :
60 minutes
66 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 1
Planification d'une stratgie de compte et d'audit
Dans cet exercice, vous allez planifier une stratgie d'attribution de nom de compte pour la nouvelle
fort de Northwind Traders. Utilisez les instructions fournies par l'quipe d'ingnierie et de
conception.

Scnario
La nouvelle fort se composera d'un domaine racine vide nomm nwtraders.msft et d'un domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La socit possde
des bureaux dans sept villes.
Votre stratgie de compte et d'audit devra tenir compte des conditions suivantes :
! La stratgie d'attribution de nom des comptes d'utilisateurs doit permettre aux employs qui ne
connaissent que le prnom et le nom de famille d'un autre utilisateur de dterminer facilement
l'adresse lectronique de celui-ci.
! La stratgie d'attribution de nom des comptes d'ordinateurs doit permettre aux employs
d'identifier facilement l'emplacement et le rle d'un ordinateur.
! Tous les employs doivent possder une adresse lectronique de type
Nom_Utilisateur@nwtraders.msft.
! La stratgie d'audit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises d'Active Directory.

Tches

1. Planifier une stratgie d'attribution de nom de compte d'utilisateur pour la fort nwtraders.msft.
De quoi se composeront les noms de compte d'utilisateur ?

Quelle stratgie allez-vous utiliser pour rsoudre des conflits de noms de comptes d'utilisateurs ?

Qu'allez-vous utiliser comme suffixe UPN pour les comptes d'utilisateurs ?


Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 67

Tches

2. Planifier une stratgie d'attribution de nom de compte d'ordinateur pour la fort nwtraders.msft.
Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ?

Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ?

3. Planifier une stratgie de mot de passe pour la fort nwtraders.msft.


Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine nwtraders.msft ?

Quels paramtres de stratgie de mot de passe allez-vous appliquer au domaine corp.nwtraders.msft ?

4. Planifier une stratgie d'audit pour la fort nwtraders.msft.


Quels paramtres d'audit des succs allez-vous inclure votre plan ?

Quels paramtres d'audit des checs allez-vous inclure votre plan ?


68 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 2
Cration de comptes l'aide de l'outil Csvde
Dans cet exercice, vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir d'un fichier d'importation .csv cr pour vous l'aide de
Microsoft Excel.

Scnario
En tant qu'administrateur chez Northwind Traders, vous recevez quotidiennement des requtes pour
de nouveaux comptes d'utilisateurs. Un membre de l'quipe entre les requtes dans une feuille de
calcul, qui est enregistre dans un format valeurs spares par des virgules, galement appel
format .csv (Comma Separated Value). Au dbut de chaque journe de travail, vous tes charg
d'importer ce fichier dans Active Directory pour crer les comptes d'utilisateurs.

Tches Instructions spcifiques

1. Utiliser l'outil de ligne de " Le nom du fichier .csv est le mme que celui du domaine hberg par
commande Csvde pour votre ordinateur. Ce fichier se trouve dans le dossier <dossier
importer le fichier .csv dans d'installation>MOC\2194\Labfiles\Lab4 sur votre ordinateur.
Active Directory.
2. Utiliser la console
Utilisateurs et ordinateurs
Active Directory pour
dterminer les units
d'organisation, utilisateurs et
groupes nouvellement crs.
Quelles sont les units d'organisation nouvellement cres ?

Parmi les nouvelles units d'organisation, lesquelles contiennent des comptes d'utilisateurs et de groupes ?
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 69

Exercice 3
Cration d'un suffixe UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.

Scnario
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
l'aide d'un suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous allez
crer ce suffixe UPN dans votre fort pour votre ville.

Tches Instructions spcifiques

1. Crer un nouveau suffixe a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


UPN dans votre fort avec le mot de passe P@ssw0rd.
nomm Votre_Ville. b. Utilisez Excuter en tant que pour dmarrer la console Domaines et
approbations Active en tant que Votre_Domaine\Administrateur avec
le mot de passe P@ssw0rd.
2. Activer le routage du
nouveau suffixe UPN vers
la fort nwtraders.msft.
Quel est l'tat du suffixe UPN Votre_Ville aprs l'avoir activ ?

Que pouvez-vous faire pour rsoudre ce conflit de routage du suffixe UPN ?


70 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs

Exercice 4
Dplacement d'un groupe d'utilisateurs
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier partag sur
votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit d'organisation
situe dans l'autre domaine de votre fort. Enfin, vous allez vrifier que le groupe dplac possde
encore les autorisations sur le dossier partag sur votre serveur.

Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe d'utilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
d'utilisateurs doivent tre dplacs vers un autre emplacement de la fort. Il faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.

Tches Instructions spcifiques

1. Crer et partager un dossier a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


sur votre serveur nomm avec le mot de passe P@ssw0rd.
ITAdmin, puis accorder au b. Utilisez la commande Excuter en tant que pour dmarrer la console
groupe global G IT Admins Gestion de l'ordinateur en tant que Votre_Domaine\Administrateur
des autorisations NTFS avec le mot de passe P@ssw0rd.
Contrle total sur le dossier
et des autorisations Contrle
total sur le partage.
2. Utiliser Ldp.exe pour
examiner l'identificateur
SID, l'historique SID et
l'identificateur GUID de
l'objet groupe global G IT
Admins situ dans l'unit
d'organisation Admin\IT
Groups du domaine hberg
par votre ordinateur
stagiaire.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?

3. Installer l'outil de migration a. Utilisez la commande Excuter en tant que pour dmarrer une invite
Active Directory sur votre de commandes en tant que Votre_Domaine\Administrateur avec le
ordinateur. mot de passe P@ssw0rd.
b. l'invite de commandes, dmarrez l'installation en tapant
\\London\OS\ADMT\ADM_0001.MSI puis appuyez sur ENTRE
pour dmarrer l'installation.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 71

Tches

4. Utiliser l'outil de migration " Utilisez la commande Excuter en tant que pour ouvrir l'outil de
Active Directory pour migration Active Directory en tant que nwtradersx\Administrator
dplacer le groupe global G avec le mot de passe P@ssw0rd.
IT Admins et ses membres Remarque : la bote de dialogue Avance de la Migration peut
dans l'unit d'organisation indiquer la prsence d'erreurs. Ces erreurs ont t gnres lorsque
IT Test\IT Test Move situe vous avez renomm les utilisateurs et le groupe avec l'extension
dans l'autre domaine de dplace. Ignorez ces messages d'erreur.
votre fort.
5. Utiliser Ldp.exe pour Remarque : le groupe G IT Admins peut avoir t renomm
examiner l'identificateur G IT Adminsdplacs dans le cadre du processus de dplacement.
SID, l'historique SID et " Aprs avoir rpondu la question ci-dessous, dans le menu Connexion,
l'identificateur GUID de cliquez sur Quitter.
l'objet groupe global G IT
Admins de l'unit
d'organisation IT Test\IT
Test Move situe dans le
domaine de dplacement.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?

L'une des entres objectGUID, ObjectSID ou sIDHistory a-t-elle t modifie suite au dplacement ?

6. Utiliser l'Explorateur
Windows pour afficher les
autorisations affectes au
dossier ITAdmin que vous
avez cr et partag
l'tape 1.
Est-ce que le groupe auquel vous avez accord les autorisations pour ce dossier l'tape 1 possde toujours
des autorisations Contrle total sur le dossier ? Expliquez pourquoi.
THIS PAGE INTENTIONALLY LEFT BLANK
Module 5 :
Implmentation d'une
stratgie de groupe
Table des matires

Vue d'ensemble 1
Leon : Cration et configuration d'objets
Stratgie de groupe 2
Leon : Configuration des frquences
d'actualisation et des paramtres de
stratgie de groupe 19
Leon : Gestion des objets Stratgie de
groupe 32
Leon : Vrification et rsolution des
problmes lis la stratgie de groupe 47
Leon : Dlgation du contrle
administratif de la stratgie de groupe 56
Leon : Planification d'une stratgie
de groupe pour l'entreprise 66
Atelier A : Implmentation d'une
stratgie de groupe 74
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 5 : Implmentation d'une stratgie de groupe iii

Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires les connaissances et les comptences
180 minutes ncessaires pour planifier et implmenter une stratgie de groupe afin de grer
de faon centralise les utilisateurs et les ordinateurs d'une entreprise.
Atelier :
75 minutes la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer et configurer des objets Stratgie de groupe (GPO, Group Policy
Object) ;
! configurer les frquences d'actualisation de la stratgie de groupe et les
paramtres de stratgie de groupe ;
! grer les objets Stratgie de groupe ;
! vrifier et rsoudre les problmes lis la stratgie de groupe ;
! dlguer le contrle administratif de la stratgie de groupe ;
! planifier une stratgie de groupe pour l'entreprise.

Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_05.ppt
! Fichier Macromedia Flash 2144A_2274_6_A_IntroGP.swf
! Fichier Macromedia Flash 2144A_2274_6_I_GP.swf

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire le module 8, Implmentation d'une stratgie de groupe , du
cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003 ;
! lire le module 9, Administration de l'environnement utilisateur au moyen
de la stratgie de groupe , du cours 2144A, Administration d'un
environnement Microsoft Windows Server 2003 ;
! lire l'article, Enterprise Management with the Group Policy Management
Console (en anglais) l'adresse :
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
iv Module 5 : Implmentation d'une stratgie de groupe

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche.
Les stagiaires n'effectuent pas les tches en mme temps que vous. Ils se
servent des tapes dcrites pour effectuer l'application pratique la fin de
chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Module 5 : Implmentation d'une stratgie de groupe v

Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Cration et configuration d'objets Stratgie de groupe


Dans cette leon, les stagiaires passent en revue les concepts de base de
l'implmentation d'une stratgie de groupe, notamment comment spcifier un
contrleur de domaine pour la gestion des objets Stratgie de groupe (GPO,
Group Policy Object), comment filtrer les paramtres de stratgie de groupe
l'aide des filtres WMI (Windows Management Instrumentation), ou encore
comment configurer le mode de traitement par boucle de rappel de la stratgie
de groupe utilisateur.
La leon dbute par une prsentation multimdia expliquant les concepts de
base de la stratgie de groupe. Comme ces concepts sont dcrits en dtail
dans le cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003, l'animation rsume simplement les tches. Si certains stagiaires ne
connaissent pas les concepts de base de la stratgie de groupe, orientez-les vers
le module 8, Implmentation d'une stratgie de groupe , du cours 2144A.
Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
conteneurs de Stratgies de groupe.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour crer et configurer des
objets Stratgie de groupe.

Leon : Configuration des frquences d'actualisation et des


paramtres de stratgie de groupe
Dans cette leon, les stagiaires vont apprendre comment contrler le traitement
de la stratgie de groupe et comment la stratgie de groupe dtermine une
liaison lente. Indiquez l'ordre dans lequel Microsoft Windows Server 2003
traite les paramtres de stratgie de groupe pour les ordinateurs et les
utilisateurs, puis montrez les procdures de configuration du traitement de la
stratgie de groupe.
Pour plus d'informations sur le traitement des stratgies de groupe, orientez
les stagiaires vers les annexes, dans lesquelles figurent un exemple de script
d'ouverture de session et l'algorithme utilis par la stratgie de groupe pour
dtecter les liaisons lentes.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour configurer le traitement
de la stratgie de groupe.
vi Module 5 : Implmentation d'une stratgie de groupe

Leon : Gestion des objets Stratgie de groupe


Dans cette leon, les stagiaires apprennent grer des objets Stratgie de
groupe l'aide de la nouvelle fonctionnalit de gestion de stratgie de groupe
de Windows Server 2003. Rappelez aux stagiaires que lorsqu'ils installent la
console Gestion de stratgie de groupe (GPMC, Group Policy Management
Console), celle-ci remplace l'onglet Stratgie de groupe du composant
Utilisateurs et ordinateurs Active Directory.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour grer des objets Stratgie
de groupe.

Leon : Vrification et rsolution des problmes lis la stratgie


de groupe
Cette leon dcrit les diffrents utilitaires et outils de ligne de commande
utiliss pour identifier les problmes courants lis l'implmentation d'une
stratgie de groupe, ainsi que les stratgies de rsolution de ces problmes.
Orientez les stagiaires vers la page d'annexe pour plus d'informations sur
l'utilisation de l'outil de ligne de commande Gpresult.exe pour la vrification
des paramtres de stratgie de groupe, et sur l'activation de l'enregistrement
des diagnostics et de l'enregistrement des commentaires pour le contrle de la
stratgie de groupe.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour vrifier et rsoudre les
problmes lis la stratgie de groupe.

Leon : Dlgation du contrle administratif de la stratgie de


groupe
Dans cette leon, les stagiaires apprennent dlguer le contrle administratif
d'un objet Stratgie de groupe des utilisateurs qui ont besoin de ce contrle
mais ne disposent pas de privilges administratifs pour le conteneur auquel
l'objet est li.
Expliquez comment la console Gestion de stratgie de groupe a simplifi
la dlgation de stratgie de groupe. Indiquez aux stagiaires les annexes
consulter pour plus d'informations sur la dlgation du contrle administratif.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour dlguer le contrle
administratif de la stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe vii

Leon : Planification d'une stratgie de groupe pour l'entreprise


Cette leon fournit les instructions ncessaires pour planifier une stratgie de
groupe. Discutez des instructions permettant de dterminer l'hritage des objets
Stratgie de groupe, la stratgie de groupe pour des sites, domaines et units
d'organisation (OU, Organizational Unit), l'administration et le dploiement des
objets Stratgie de groupe.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour planifier une stratgie de
groupe pour l'entreprise.

Atelier A : Implmentation d'une stratgie de groupe


Dans cet atelier, les stagiaires crent et configurent des objets Stratgie
de groupe, lient des objets Stratgie de groupe et vrifient les paramtres
de stratgie de groupe. Les stagiaires travaillent de manire autonome.
Assurez-vous que la console Gestion de stratgie de groupe est installe
avant qu'ils ne dbutent l'atelier.

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 L'atelier de ce module requiert l'installation de la console Gestion de stratgie
de groupe. Avant de prparer les ordinateurs des stagiaires, assurez-vous qu'ils
ont termin l'application pratique intitule Cration et configuration d'objets
Stratgie de groupe.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre des units d'organisation Accounting (comptabilit), Accounts
Receivable (Crances) et Accounts Payable (Dettes) ;
! Elle cre des objets Stratgie de groupe Accounting, Accounts Receivable et
Accounts Payable.
Module 5 : Implmentation d'une stratgie de groupe 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction L'utilisation de la stratgie de groupe dans le service d'annuaire Active
Directory permet de grer de faon centralise les utilisateurs et les
ordinateurs d'une entreprise. Vous pouvez centraliser les stratgies en
dfinissant une stratgie de groupe pour toute une organisation au niveau du
domaine du site ou au niveau d'une unit d'organisation (OU, Organizational
Unit). Ou bien, vous pouvez dcentraliser les paramtres de stratgie de groupe
en dfinissant une stratgie de groupe pour chaque service au niveau d'une unit
d'organisation.
Vous pouvez vous assurer que chaque utilisateur dispose de l'environnement
utilisateur dont il a besoin pour travailler, tout en appliquant les stratgies de
l'organisation, notamment les rgles, les objectifs et les besoins en matire
de scurit. Par ailleurs, vous pouvez abaisser le cot total de possession en
contrlant les environnements utilisateur et ordinateur, et en rduisant de ce
fait le niveau de support technique ncessaire aux utilisateurs et la perte de
productivit lie aux erreurs des utilisateurs.
Objectifs la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! crer et configurer des objets Stratgie de groupe (GPO, Group Policy
Object) ;
! configurer les frquences d'actualisation de la stratgie de groupe et les
paramtres de stratgie de groupe ;
! grer les objets Stratgie de groupe ;
! vrifier et rsoudre les problmes lis la stratgie de groupe ;
! dlguer le contrle administratif de la stratgie de groupe ;
! planifier une stratgie de groupe pour l'entreprise.
2 Module 5 : Implmentation d'une stratgie de groupe

Leon : Cration et configuration d'objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La stratgie de groupe vous donne le contrle administratif sur les utilisateurs
et les ordinateurs de votre rseau. L'utilisation d'une stratgie de groupe vous
permet de dfinir une seule fois l'tat de l'environnement de travail d'un
utilisateur, puis de laisser Microsoft Windows Server 2003 appliquer les
paramtres de stratgie de groupe que vous avez dfinis. Vous pouvez appliquer
des paramtres de stratgie de groupe une organisation entire ou des
groupes spcifiques d'utilisateurs et d'ordinateurs.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer la finalit de la stratgie de groupe et son traitement dans Active
Directory ;
! dcrire les composants d'un objet Stratgie de groupe ;
! expliquer la finalit de la spcification d'un contrleur de domaine pour
la gestion des objets Stratgie de groupe ;
! spcifier un contrleur de domaine pour la gestion des objets Stratgie
de groupe ;
! expliquer le rle des filtres WMI (Windows Management Instrumentation) ;
! filtrer les paramtres de stratgie de groupe l'aide de filtres WMI ;
! expliquer la finalit du traitement par boucle de rappel ;
! configurer le mode de traitement par boucle de rappel de la stratgie de
groupe utilisateur.
Module 5 : Implmentation d'une stratgie de groupe 3

Prsentation multimdia : Introduction aux stratgies de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Emplacement de fichier Pour commencer la prsentation Introduction aux stratgies de groupe, ouvrez
la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia, puis sur le
titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre invit par
l'instructeur.
Objectifs la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les types de paramtres que vous pouvez dfinir dans une stratgie
de groupe ;
! dcrire la faon dont Windows Server 2003 applique des objets Stratgie de
groupe.

Types de paramtres Vous pouvez configurer des paramtres de stratgie de groupe pour dfinir les
stratgies affectant les utilisateurs et les ordinateurs. Le tableau suivant prsente
les types de paramtres que vous pouvez configurer.
Type de paramtre Description

Modles d'administration Paramtres bass sur le Registre permettant de configurer


les paramtres d'application et les environnements de
station de travail utilisateur.
Scripts Paramtres permettant de spcifier quel moment
Windows Server 2003 excute des scripts spcifiques.
Services d'installation Paramtres qui contrlent les options dont disposent les
distance utilisateurs lorsqu'ils excutent l'Assistant Installation de
clients utilis par les services d'installation distance
(RIS, Remote Installation Services).
Maintenance Internet Paramtres permettant d'administrer et de personnaliser
Explorer Microsoft Internet Explorer sur des ordinateurs excutant
Windows Server 2003.
4 Module 5 : Implmentation d'une stratgie de groupe

(suite)
Type de paramtre Description

Redirection de dossiers Paramtres permettant de stocker des dossiers de profils


d'utilisateurs spcifiques sur un serveur rseau.
Scurit Paramtres permettant de configurer la scurit des
ordinateurs locaux, du domaine et du rseau.
Installation de logiciels Paramtres permettant de centraliser la gestion des
installations, des mises jour et des suppressions de
logiciels.

Flux d'hritage Les objets Stratgie de groupe sont lis des sites, domaines et units
d'organisation. Vous pouvez dfinir des stratgies centralises qui vont affecter
l'organisation entire et des stratgies dcentralises qui affecteront un service
particulier. Il n'existe pas de hirarchie de domaines comme pour les units
d'organisation, avec les units parent-enfant.
Ordre de traitement L'ordre dans lequel Windows Server 2003 applique des objets Stratgie de
des objets Stratgie groupe est fonction du conteneur Active Directory auquel les objets Stratgie de
de groupe groupe sont lis. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux units d'organisation des domaines.
Paramtres des objets Certains paramtres des objets Stratgie de groupe sont valeurs multiples.
Stratgie de groupe Ces paramtres sont traits comme des paramtres valeur simple. En d'autres
valeurs multiples termes, si le paramtre est dfini dans plusieurs objets Stratgie de groupe,
seuls les paramtres de l'un des objets Stratgie de groupe observant les rgles
d'hritage seront appliqus.
Blocage de l'hritage Vous pouvez empcher un conteneur enfant d'hriter de tous les objets Stratgie
de groupe de ses conteneurs parents en activant le blocage de l'hritage pour
le conteneur enfant. Le blocage de l'hritage peut s'avrer utile lorsqu'un
conteneur Active Directory requiert des paramtres de stratgie de groupe
uniques.
Option Appliqu L'option Appliqu (appele Ne pas passer outre si la console Gestion de
stratgie de groupe n'est pas installe) est un attribut de la liaison, et non de
l'objet Stratgie de groupe. Si le mme objet Stratgie de groupe est li ailleurs,
l'option Appliqu ne s'applique pas cette liaison, sauf si vous modifiez
galement la liaison. Si un objet Stratgie de groupe est li plusieurs
conteneurs, vous pouvez configurer l'option Appliqu individuellement pour
chaque conteneur. Lorsque plusieurs liaisons sont dfinies sur Appliqu, les
objets Stratgie de groupe lis sont appliqus un conteneur commun. S'ils
comportent des paramtres en conflit, l'objet Stratgie de groupe le plus haut
dans la hirarchie Active Directory est prioritaire.
Filtrer des objets Vous pouvez avoir besoin de lier des objets Stratgie de groupe associs
Stratgie de groupe d'autres objets d'annuaire. En dfinissant les autorisations appropries pour les
groupes de scurit, vous pouvez filtrer la stratgie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spcifis.
Module 5 : Implmentation d'une stratgie de groupe 5

Console Gestion de La console Gestion de stratgie de groupe est compose d'un ensemble
stratgie de groupe d'interfaces programmables destines la gestion des stratgies de groupe et
d'un composant logiciel enfichable MMC (Microsoft Management Console)
bas sur ces interfaces programmables. Ensemble, les composants de la console
Gestion de stratgie de groupe unifient la gestion des stratgies de groupe dans
l'entreprise.

Remarque Pour plus d'informations sur la cration et la liaison d'objets


Stratgie de groupe et l'hritage des stratgies de groupe, reportez-vous au
module 8 Implmentation d'une stratgie de groupe du cours 2144A,
Administration d'un environnement Microsoft Windows Server 2003.
6 Module 5 : Implmentation d'une stratgie de groupe

Composants d'un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Windows Server 2003 applique les paramtres de stratgie de groupe contenus
dans l'objet Stratgie de groupe aux objets utilisateur et ordinateur du site, du
domaine ou de l'unit d'organisation associ l'objet Stratgie de groupe. Le
contenu d'un objet Stratgie de groupe est stock deux emplacements : dans
le conteneur Stratgie de groupe (GPC, Group Policy Container) et dans le
modle Stratgie de groupe (GPT, Group Policy Template).
Conteneur Stratgie Le conteneur Stratgie de groupe est un objet Active Directory qui contient
de groupe l'tat de l'objet Stratgie de groupe, les informations de version, les
informations de filtre WMI et une liste des composants dont les paramtres se
trouvent dans l'objet Stratgie de groupe. Les ordinateurs peuvent accder au
conteneur Stratgie de groupe pour localiser des modles Stratgie de groupe,
et les contrleurs de domaine peuvent y accder pour obtenir des informations
de version. Si le contrleur de domaine ne possde pas la dernire version de
l'objet Stratgie de groupe, la rplication a lieu.
Modle Stratgie Le modle Stratgie de groupe est une arborescence de dossiers situe dans le
de groupe dossier SYSVOL d'un contrleur de domaine. Lorsque vous crez un objet
Stratgie de groupe, Windows Server 2003 cre le modle Stratgie de groupe
correspondant qui contient tous les paramtres et informations de stratgie de
groupe, y compris les modles d'administration, la scurit, l'installation de
logiciel, les scripts et les paramtres de redirection de dossiers. Les ordinateurs
se connectent au dossier SYSVOL pour obtenir les paramtres.
Module 5 : Implmentation d'une stratgie de groupe 7

Le nom du dossier du modle Stratgie de groupe est l'identificateur unique


global (GUID, Globally Unique IDentifier) de l'objet Stratgie de groupe que
vous avez cr. Il est identique au GUID utilis par Active Directory pour
identifier l'objet Stratgie de groupe dans le conteneur Stratgie de groupe.
Le chemin d'accs au modle Stratgie de groupe d'un contrleur de domaine
est racine_systme\SYSVOL\sysvol.

Remarque Pour plus d'informations sur le modle Stratgie de groupe,


reportez-vous la section Composants d'un objet Stratgie de groupe
du module 5, la page Annexes du CD-ROM des stagiaires.
8 Module 5 : Implmentation d'une stratgie de groupe

Pourquoi spcifier un contrleur de domaine pour la gestion des


objets Stratgie de groupe ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La console Gestion de stratgie de groupe utilise l'mulateur de contrleur
principal de domaine (PDC, Primary Domain Controller) de chaque domaine
comme contrleur de domaine par dfaut.
Pourquoi slectionner Afin d'viter les conflits de rplication, envisagez de slectionner un contrleur
un contrleur de de domaine, d'autant plus que les donnes de l'objet Stratgie de groupe rsident
domaine particulier ? la fois dans Active Directory et dans le dossier SYSVOL. Active Directory
utilise deux mcanismes de rplication indpendants pour rpliquer les donnes
des objets Stratgie de groupe sur les diffrents contrleurs de domaine du
domaine. Si deux administrateurs modifient simultanment un mme objet
Stratgie de groupe sur des contrleurs de domaine diffrents, les modifications
de l'un des administrateurs risquent de remplacer celles de l'autre, en fonction
de la latence de rplication.
mulateur PDC Par dfaut, la console Gestion de stratgie de groupe utilise l'mulateur PDC de
chaque domaine pour garantir que tous les administrateurs utilisent le mme
contrleur de domaine. Il peut cependant arriver que vous ne souhaitiez pas
utiliser l'mulateur PDC. Par exemple, si vous vous trouvez sur un site distant,
ou si la majorit des utilisateurs ou des ordinateurs cibls par l'objet Stratgie
de groupe se trouve dans un emplacement distant, vous pouvez cibler un
contrleur de domaine cet emplacement.

Important Si plusieurs administrateurs grent un objet Stratgie de groupe


commun, il est recommand qu'ils utilisent tous le mme contrleur de domaine
pour modifier un objet Stratgie de groupe particulier, et ce, afin d'viter les
collisions au niveau des services de rplication de fichiers (FRS, File
Replication Services).
Module 5 : Implmentation d'une stratgie de groupe 9

Options de slection Vous pouvez spcifier un contrleur de domaine pour la gestion des objets
d'un contrleur de Stratgie de groupe en slectionnant l'une des options suivantes :
domaine
! Le contrleur de domaine avec le jeton de matre d'oprations pour
l'mulateur PDC. Il s'agit de l'option par dfaut, utiliser de prfrence.
! Tout contrleur de domaine disponible. Lorsque vous utilisez cette
option, vous allez probablement slectionner un contrleur de domaine du
site local.
! Tout contrleur de domaine excutant Windows Server 2003 ou version
ultrieur. Cette option n'est pas disponible dans les environnements
comportant la fois des serveurs Windows Server 2003 et Windows 2000.
! Ce contrleur de domaine. Lorsque vous utilisez cette option, vous
slectionnez le contrleur de domaine actuel.
10 Module 5 : Implmentation d'une stratgie de groupe

Comment spcifier un contrleur de domaine pour la gestion des


objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Utilisez la console Gestion de stratgie de groupe pour spcifier un contrleur
de domaine pour des domaines ou des sites.
Procdure Pour spcifier un contrleur de domaine, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort,
dveloppez Domaines, puis utilisez l'une des mthodes suivantes :
Pour spcifier un contrleur de domaine utiliser pour des oprations du
domaine, cliquez avec le bouton droit sur le domaine requis, puis cliquez
sur Modifier le contrleur de domaine.
Pour spcifier un contrleur de domaine utiliser pour des oprations
sur sites, cliquez avec le bouton droit sur Sites, puis cliquez sur
Modifier le contrleur de domaine.
2. Dans la bote de dialogue Modifier le contrleur de domaine, sous
Remplacer par, cliquez sur Ce contrleur de domaine, puis sur OK.
Module 5 : Implmentation d'une stratgie de groupe 11

Dfinition des filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Utilisez des filtres WMI pour dterminer de faon dynamique l'tendue des
objets Stratgie de groupe partir des attributs de l'utilisateur ou de l'ordinateur.
De cette faon, vous pouvez tendre les capacits de filtrage des objets Stratgie
de groupe au-del des mcanismes de filtrage des groupes de scurit qui
taient prcdemment disponibles.
Comment fonctionne Un filtre WMI est li un objet Stratgie de groupe. Lorsque vous appliquez un
un filtre WMI ? objet Stratgie de groupe l'ordinateur de destination, Active Directory value
le filtre sur l'ordinateur de destination. Un filtre WMI se compose d'une ou de
plusieurs requtes values par Active Directory en fonction de l'espace de
stockage WMI de l'ordinateur de destination. Si la valeur totale des requtes
est faux (false), Active Directory n'applique pas l'objet Stratgie de groupe.
Si toutes les requtes sont vraies (true), Active Directory applique l'objet
Stratgie de groupe. Vous crivez la requte l'aide du langage WQL (WMI
Query Language), qui est un langage similaire SQL pour interroger l'espace
de stockage WMI.
Chaque objet Stratgie de groupe ne peut comporter qu'un seul filtre WMI.
Vous pouvez en revanche lier un mme filtre WMI plusieurs objets Stratgie
de groupe. Tout comme les objets Stratgie de groupe, les filtres WMI sont
appliqus un seul objet du domaine la fois.
Utilisations des Vous pouvez utiliser des filtres WMI pour cibler des stratgies bases sur
filtres WMI diffrents objets du rseau. La liste ci-dessous fournit quelques exemples
d'utilisations de filtres WMI.
! Services. Ordinateurs sur lesquels DHCP est install et en cours d'excution.
! Inventaire matriel. Ordinateurs quips d'un processeur Pentium III et d'au
moins 128 mgaoctets (Mo) de mmoire vive.
! Configuration logicielle. Ordinateurs sur lesquels la multidiffusion est active.
12 Module 5 : Implmentation d'une stratgie de groupe

Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratgie de groupe.

Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la


section Dfinition des filtres WMI de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.
Module 5 : Implmentation d'une stratgie de groupe 13

Comment filtrer des paramtres de stratgie de groupe l'aide de


filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez crer de nouveaux filtres WMI partir du conteneur Filtres WMI
de la console Gestion de stratgie de groupe. Vous pouvez galement importer
un filtre qui a t prcdemment export.
Procdure Pour crer un filtre WMI et le lier un objet Stratgie de groupe, procdez
comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez successivement
la fort contenant l'objet Stratgie de groupe auquel ajouter un filtre WMI,
Domaines, le domaine contenant l'objet Stratgie de groupe, Filtres WMI,
cliquez avec le bouton droit sur Filtres WMI, puis sur Nouveau.
2. Dans la bote de dialogue Nouveau filtre WMI, dans la zone Nom,
entrez un nom pour la requte.
3. Dans la zone Description, entrez une description pour la requte.
4. Cliquez sur Ajouter.
5. Dans la bote de dialogue Requte WMI, dans la zone Espace de noms,
entrez le chemin d'accs l'espace de nom de la requte ou cliquez sur
Parcourir pour afficher la liste des espaces de noms disponibles.
Pour chaque requte, vous devez spcifier l'espace de noms WMI o la
requte doit tre excute. L'espace de noms par dfaut, racine\CIMv2,
devrait convenir la plupart des scnarios.
6. Dans la zone Requte, entrez une instruction de requte WQL, puis cliquez
sur OK.
7. Dans la bote de dialogue Nouveau filtre WMI, cliquez sur Enregistrer.
8. Dveloppez Objets de stratgie de groupe, puis faites glisser le filtre WMI
vers un objet Stratgie de groupe.
14 Module 5 : Implmentation d'une stratgie de groupe

Exemple de Par exemple, pour cibler les ordinateurs disposant de plus de 10 Mo d'espace
requte WQL disponible sur le lecteur C, D ou E, les partitions doivent se trouver sur un ou
plusieurs disques durs et excuter le systme de fichiers NTFS. Tapez la requte
WMI suivante :
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"

Dans cet exemple, la valeur 3 de DriveType correspond un disque dur. Les


units FreeSpace sont exprimes en octets (10 Mo = 10 485 760 octets).

Remarque Pour plus d'informations sur les filtres WMI, reportez-vous la


section Comment filtrer des paramtres de stratgie de groupe l'aide de
filtres WMI de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
Module 5 : Implmentation d'une stratgie de groupe 15

Dfinition du traitement par boucle de rappel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Par dfaut, les objets Stratgie de groupe d'un utilisateur dterminent les
paramtres appliquer lorsque l'utilisateur ouvre une session sur un ordinateur.
En revanche, le traitement par boucle de rappel applique l'ensemble des objets
Stratgie de groupe de l'ordinateur tout utilisateur qui ouvre une session sur
l'ordinateur affect par ce paramtre. Le traitement par boucle de rappel est
destin des ordinateurs usage spcial, tels que ceux des endroits publics,
des laboratoires et des classes, o il faut modifier le paramtre utilisateur en
fonction de l'ordinateur utilis.
Exemple Par exemple, l'utilisateur dont l'objet utilisateur se trouve dans l'unit
d'organisation Sales (ventes) ouvre une session sur un ordinateur. L'objet
ordinateur se trouve dans l'unit d'organisation Servers (serveurs). Les paramtres
de stratgie de groupe appliqus l'utilisateur sont bass sur les objets Stratgie
de groupe lis l'unit d'organisation Sales ou tout conteneur parent. Les
paramtres appliqus l'ordinateur sont bass sur les objets Stratgie de groupe
lis l'unit d'organisation Servers ou tout conteneur parent.
Toutefois, ce comportement par dfaut peut ne pas tre adapt certains
serveurs ou ordinateurs ddis une tche particulire. Ainsi, des applications
affectes un utilisateur ne doivent pas tre automatiquement disponibles sur
un serveur.
Modes de traitement Le traitement par boucle de rappel peut tre excut selon deux modes :
par boucle de rappel
! Mode de remplacement. Ce mode remplace les paramtres utilisateur
dfinis dans les objets Stratgie de groupe de l'ordinateur par les paramtres
utilisateur habituellement appliqus l'utilisateur.
! Mode de fusion. Ce mode combine les paramtres utilisateur dfinis dans
les objets Stratgie de groupe de l'ordinateur avec les paramtres utilisateur
habituellement appliqus l'utilisateur. En cas de paramtres en conflit, les
paramtres utilisateur des objets Stratgie de groupe de l'ordinateur sont
prioritaires sur les paramtres habituels de l'utilisateur.
16 Module 5 : Implmentation d'une stratgie de groupe

Comment configurer le mode de traitement par boucle de rappel de


la stratgie de groupe utilisateur

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour activer le traitement par boucle de rappel, slectionnez l'option Mode de
traitement par boucle de rappel de la stratgie de groupe utilisateur dans la
console Gestion de stratgie de groupe.
Procdure Pour configurer le mode de traitement par boucle de rappel de la stratgie de
groupe utilisateur, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort, Domaines, votre domaine, puis cliquez sur
Objets de stratgie de groupe.
2. Dans le volet de dtails, cliquez avec le bouton droit sur l'objet Stratgie de
groupe, puis cliquez sur Modifier.
3. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration de l'ordinateur, Modles d'administration, Systme, puis
cliquez sur Stratgie de groupe.
4. Double-cliquez sur Mode de traitement par boucle de rappel de la
stratgie de groupe utilisateur, s'il n'est pas dj slectionn, puis cliquez
sur Activ.
5. Sous Mode, cliquez sur Remplacer ou Fusionner, puis cliquez sur OK.
Module 5 : Implmentation d'une stratgie de groupe 17

Application pratique : Cration et configuration d'objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez installer la console Gestion de
stratgie de groupe, puis crer et configurer des objets Stratgie de groupe pour
votre domaine.
Scnario En tant qu'ingnieur systme chez Northwind Traders, vous tes responsable de
l'implmentation de la stratgie de groupe de l'organisation. Vous allez installer
la console Gestion de stratgie de groupe et crer des objets Stratgie de groupe
pour faire appliquer l'environnement de Bureau. Vous allez supprimer l'option
de menu Excuter pour tous les utilisateurs, puis supprimer la commande
Arrter du menu. Vous pourrez galement appliquer cette stratgie aux seuls
ordinateurs dont le lecteur C contient au moins 10 Mo d'espace disque
disponible et qui sont configurs avec le systme de fichiers NTFS.
Application pratique :
Installation de la
! Installer la console Gestion de stratgie de groupe
console Gestion de 1. Ouvrez une session dans votre domaine en tant que Nom_OrdinateurUser
stratgie de groupe (Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd.
2. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Nwtradersx\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
4. l'invite de commands, tapez \\LONDON\SETUP\GPMC.MSI et
appuyez sur ENTRE.
5. Dans la bote de dialogue Tlchargement de fichier, cliquez sur Ouvrir.
6. Dans la page Assistant Installation du logiciel Console de gestion de la
stratgie de groupe Microsoft , cliquez sur Suivant.
7. Dans la page Contrat de licence, cliquez sur J'accepte, puis sur Suivant.
18 Module 5 : Implmentation d'une stratgie de groupe

8. Dans la page Fin de l'excution de l'Assistant Installation du logiciel


Console de gestion de la stratgie de groupe Microsoft , cliquez sur
Terminer.
9. Fermez l'invite de commande.
Application
pratique : Cration et
! Crer et configurer des objets Stratgie de groupe
configuration d'objets 1. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
Stratgie de groupe le bouton droit sur Gestion de stratgie de groupe, puis cliquez sur
Excuter en tant que.
2. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez Votre_Domaine\Administrateur comme nom d'utilisateur, le
mot de passe P@ssw0rd et cliquez sur OK.
3. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe, puis cliquez sur Nouveau.
4. Donnez le nom de GPO_pratique votre objet Stratgie de groupe, puis
cliquez sur OK.
5. Cliquez avec le bouton droit sur le nom de votre domaine, cliquez sur Lier
un objet Stratgie de groupe existant, cliquez sur GPO_pratique, puis
cliquez sur OK.
6. Cliquez avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
7. Dans l'diteur d'objets de stratgie de groupe, dveloppez successivement
Configuration utilisateur, Modles d'administration, puis cliquez sur
Menu Dmarrer et Barre de tches.
8. Dans le volet de dtails, double-cliquez sur Supprimer le menu Excuter
du menu Dmarrer, cliquez sur Activ, puis sur OK.
9. Dans le volet de dtails, double-cliquez sur Supprimer et empcher l'accs
la commande Arrter, cliquez sur Activ, puis sur OK.
10. Fermez l'diteur d'objets de stratgie de groupe.
11. Dans la console Gestion de stratgie de groupe, dveloppez et cliquez avec
le bouton droit sur Filtres WMI, puis cliquez sur Nouveau.
12. Donnez le nom de Filtre_pratique au filtre WMI, cliquez sur Ajouter,
entrez la requte approprie pour extraire les informations requises, cliquez
sur OK, puis cliquez sur Enregistrer.
13. Dans l'arborescence de la console, dans la liste sous Objets de stratgie de
groupe, cliquez sur GPO_pratique.
14. Dans le volet de dtails, slectionnez Filtre_pratique dans la zone Cet
objet Stratgie de groupe est li au filtre WMI suivant.
15. Dans la bote de dialogue Gestion des stratgies de groupe, cliquez
sur Oui.
16. Fermez la console Gestion de stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 19

Leon : Configuration des frquences d'actualisation et


des paramtres de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Windows Server 2003 excute les paramtres et les stratgies d'ordinateur et
d'utilisateur selon un ordre spcifique. Comprendre le traitement des stratgies
de groupe et leur ordre d'excution vous permettra de crer les scripts
appropris et de configurer les frquences d'actualisation.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer le processus d'application de la stratgie de groupe ;
! affecter des paramtres de scripts de stratgie de groupe ;
! configurer les frquences d'actualisation des composants de la stratgie
de groupe ;
! configurer les frquences d'actualisation des contrleurs de domaine et
des ordinateurs ;
! actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un
utilisateur l'aide de Gpupdate.exe.
20 Module 5 : Implmentation d'une stratgie de groupe

quel moment la stratgie de groupe est-elle applique ?

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session,
Windows Server 2003 traite d'abord les paramtres de l'ordinateur, puis ceux
de l'utilisateur.
Ordre d'application de Lorsqu'un utilisateur dmarre un ordinateur et ouvre une session, les actions
la stratgie de groupe suivantes se dclenchent :
1. Le rseau dmarre. Le service RPCSS (Remote Procedure Call System
Service) et le MUP (Multiple Universal Naming Convention Provider)
dmarrent.
2. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'ordinateur. Cette liste dpend des facteurs suivants :
L'ordinateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
L'emplacement de l'ordinateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
3. Windows Server 2003 applique la stratgie de l'ordinateur. Il s'agit des
paramtres se trouvant sous Configuration de l'ordinateur dans la liste des
objets Stratgie de groupe obtenue. Cette liste est synchrone par dfaut, et
s'affiche dans l'ordre suivant : local, domaine, unit d'organisation, unit
d'organisation enfant. Aucune interface utilisateur n'apparat lors du
traitement des stratgies de l'ordinateur.
Module 5 : Implmentation d'une stratgie de groupe 21

4. Les scripts de dmarrage s'excutent. Par dfaut, les scripts sont masqus et
synchrones. Chaque script doit se terminer ou son dlai d'excution doit tre
coul pour que le suivant puisse dmarrer. Le dlai d'attente par dfaut est
de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe
pour modifier la valeur de ce paramtre.

Remarque Vous pouvez rgler la valeur du dlai d'attente en configurant le


temps d'attente dans Dlai d'attente maximal pour les scripts de stratgie
de groupe sous Configuration de l'ordinateur\Modles d'administration\
Systme\Scripts\. Ce paramtre affecte tous les scripts qui s'excutent.

5. L'utilisateur appuie sur la combinaison de touches CTRL-ALT-SUPPR pour


ouvrir une session.
6. Une fois que Windows Server 2003 a valid l'utilisateur, il charge le profil
utilisateur, lequel est contrl par les paramtres de stratgie de groupe en
vigueur.
7. Windows Server 2003 obtient la liste classe des objets Stratgie de groupe
pour l'utilisateur. Cette liste dpend des facteurs suivants :
L'utilisateur fait-il partie d'un domaine ? Dans ce cas, il est sujet la
stratgie de groupe via Active Directory.
Le traitement par boucle de rappel est-il activ ? Quel est l'tat du
paramtre de stratgie de bouclage ?
L'emplacement de l'utilisateur dans Active Directory.
La liste des objets Stratgie de groupe a-t-elle t modifie ?
8. Windows Server 2003 applique la stratgie de l'utilisateur, laquelle inclut les
paramtres se trouvant sous Configuration utilisateur dans la liste obtenue.
Ces paramtres sont synchrones par dfaut, et s'affichent dans l'ordre
suivant : local, domaine, unit d'organisation, unit d'organisation enfant.
Aucune interface utilisateur n'apparat lors du traitement des stratgies de
l'utilisateur.
9. Les scripts d'ouverture de session s'excutent. Par dfaut, ces scripts bass
sur la stratgie de groupe sont masqus et asynchrones.
10. L'interface utilisateur du systme d'exploitation prescrite par la stratgie de
groupe s'affiche.

Intervalle d'actualisation Les ordinateurs excutant Windows Server 2003 actualisent ou rappliquent
utilisateur ou ordinateur les paramtres de stratgie de groupe intervalles dfinis. L'actualisation des
paramtres permet de s'assurer que les paramtres de stratgie de groupe sont
appliqus aux ordinateurs et aux utilisateurs mme si ces derniers ne
redmarrent jamais leur ordinateur ou ne ferment jamais leur session.

Remarque Pour savoir quand la stratgie de groupe est applique et obtenir un


exemple de script d'ouverture de session, reportez-vous la section quel
moment la stratgie de groupe est-elle applique ? de la page d'annexe du
module 5 sur le CD-ROM du stagiaire.
22 Module 5 : Implmentation d'une stratgie de groupe

Comment affecter des paramtres de script de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous implmentez un script, vous utilisez la stratgie de groupe pour
ajouter le script au paramtre appropri du modle Stratgie de groupe afin qu'il
s'excute au dmarrage, l'arrt, l'ouverture ou la fermeture de session.
Procdure de copie Pour copier un script dans le modle Stratgie de groupe appropri, procdez
d'un script comme suit :
1. Utilisez l'Explorateur Windows pour rechercher le script sur votre
disque dur.
2. Modifiez l'objet Stratgie de groupe appropri dans la console Gestion de
stratgie de groupe, dveloppez Configuration ordinateur (pour les scripts
de dmarrage et d'arrt) ou Configuration utilisateur (pour les scripts
d'ouverture et de fermeture de session), dveloppez Paramtres Windows,
puis cliquez sur Scripts.
3. Double-cliquez sur le type de script appropri (Dmarrage, Arrter le
sytme, Ouverture de session ou Fermer la session), puis cliquez sur
Afficher les fichiers.
4. Copiez le fichier de script depuis l'Explorateur Windows dans la fentre qui
s'affiche, puis fermez la fentre.

Important Vous ne pouvez pas effectuer cette tche l'aide de la


commande Excuter en tant que : vous devez avoir ouvert une session
en tant qu'Administrateur.

Procdure d'ajout Pour ajouter un script un objet Stratgie de groupe, procdez comme suit :
du script
1. Dans la bote de dialogue Proprits du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, slectionnez un script, puis cliquez sur Ouvrir.
Module 5 : Implmentation d'une stratgie de groupe 23

3. Ajoutez les paramtres de script ncessaires, puis cliquez sur OK.

Remarque Pour plus d'informations sur la cration d'un script en langage


Microsoft Visual Basic, Scripting Edition (VBScript), reportez-vous aux
cours 2433, Microsoft Visual Basic Scripting Edition and Microsoft Windows
Script Host Essentials (en anglais) et 2439, WMI Scripting (en anglais).
24 Module 5 : Implmentation d'une stratgie de groupe

Comment configurer les frquences d'actualisation des


composants de la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Si la stratgie de groupe dtecte une liaison lente, elle paramtre un indicateur
pour signaler la liaison aux extensions ct client. Ces dernires peuvent alors
dterminer s'il est ncessaire de traiter les paramtres de stratgie de groupe
applicables.
Stratgie de groupe La stratgie de groupe compare la vitesse de connexion de la liaison au taux de
et liaisons lentes 500 kilobits par seconde (kbits/s) vitesse considre comme lente ou au
seuil de votre choix. La stratgie de groupe utilise un algorithme afin de
dterminer si une liaison est ou non considre comme lente.
Paramtres par dfaut Le tableau suivant rpertorie les paramtres par dfaut pour le traitement des
liaisons lentes.
Traitement des Modification
Extension ct client liaisons lentes Actualis possible ?

Traitement de la stratgie du Actif Actif Non


Registre
Traitement de la stratgie de Inactif Actif Oui
maintenance Internet Explorer
Traitement de la stratgie Inactif N/A Oui
d~installation de logiciels
Traitement de la stratgie de Inactif N/A Oui
redirection de dossiers
Traitement de la stratgie de scripts Inactif Actif Oui
Traitement de la stratgie de Actif Actif Non
scurit
Module 5 : Implmentation d'une stratgie de groupe 25

(suite)
Traitement des Modification
Extension ct client liaisons lentes Actualis possible ?

Traitement de la stratgie de Inactif Actif Oui


scurit IP
Traitement de la stratgie sans fil Inactif Actif Oui
Traitement de la stratgie de Actif Actif Oui
rcupration ESF
Traitement de la stratgie de quota Inactif Actif Oui
de disque

Procdure Pour configurer les composants de la stratgie de groupe qui sont actualiss et
peuvent tre modifis, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration ordinateur, Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis cliquez
sur chaque lment du tableau prcdent.
2. Cliquez sur Activ.
3. Cliquez sur Ne pas appliquer lors des traitements en tche de fond
priodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion rseau lente, puis cliquez sur OK.

Remarque Pour plus d'informations sur l'algorithme utilis par la stratgie de


groupe pour dtecter les liaisons lentes, reportez-vous la section Comment
configurer les frquences d'actualisation des composants de la stratgie de
groupe de la page d'annexe du module 5 sur le CD-ROM du stagiaire.
26 Module 5 : Implmentation d'une stratgie de groupe

Comment configurer les frquences d'actualisation des contrleurs


de domaine et des ordinateurs

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez modifier les frquences d'actualisation par dfaut en modifiant les
paramtres de modle d'administration pour une configuration utilisateur ou
ordinateur.
Intervalles Le tableau suivant rpertorie les intervalles par dfaut de l'actualisation de la
d'actualisation stratgie de groupe.
par dfaut
Type d'ordinateur Intervalle d'actualisation

Ordinateurs excutant Toutes les 90 minutes. Actualisation galement en


Windows XP Professionnel et fonction d'un dcalage alatoire de 30 minutes, ce
serveurs membres d'un qui permet d'appliquer l'quilibrage de charges au
domaine excutant Windows traitement des applications de stratgie de groupe et
Server 2003 permet de s'assurer que plusieurs ordinateurs ne
contactent pas un contrleur de domaine au mme
moment.
Contrleurs de domaine Toutes les cinq minutes. De cette faon, les
nouveaux paramtres de stratgie de groupe
critiques, tels que les paramtres de scurit, sont
appliqus au moins toutes les cinq minutes une fois
le paramtre par dfaut modifi.
Module 5 : Implmentation d'une stratgie de groupe 27

Procdure Pour configurer les frquences d'actualisation, procdez comme suit :


1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration utilisateur ou Configuration
ordinateur (selon l'objet Stratgie de groupe modifier), Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis
double-cliquez sur l'un des paramtres suivants :
Intervalle d'actualisation de la stratgie de groupe pour les
utilisateurs
Intervalle d'actualisation de la stratgie de groupe pour les
ordinateurs
Intervalle d'actualisation de la stratgie de groupe pour les
contrleurs de domaine
2. Slectionnez Activ.
3. Dfinissez l'intervalle d'actualisation en minutes.
4. Dfinissez le dcalage alatoire, puis cliquez sur OK.

Remarque Si vous avez dsactiv ces paramtres, la stratgie de groupe est


mise jour par dfaut toutes les 90 minutes. Pour spcifier que la stratgie
de groupe ne doit jamais tre mise jour lorsque l'ordinateur est en cours
d'utilisation, slectionnez l'option Dsactiver l'actualisation en tche de fond
des stratgies de groupe.
28 Module 5 : Implmentation d'une stratgie de groupe

Comment actualiser les paramtres de stratgie de groupe sur


l'ordinateur d'un utilisateur l'aide de Gpupdate.exe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez actualiser un objet Stratgie de groupe l'aide de la commande
gpupdate.
Procdure Pour actualiser les paramtres de stratgie de groupe sur l'ordinateur d'un
utilisateur l'aide de la commande gpupdate, procdez comme suit :
1. Dans la bote de dialogue Excuter, tapez cmd et appuyez sur ENTRE.
2. Tapez
gpupdate [/target:{ordinateur|utilisateur}] [/force]
[/wait:valeur] [/logoff] [/boot]

Le tableau suivant dcrit chacun des paramtres de la syntaxe de gpupdate.


Paramtre Description

/target:{ordinateur| Traite les paramtres de l'ordinateur ou les paramtres de l'utilisateur en cours,


utilisateur} selon la destination spcifie. Si vous ne spcifiez pas ce paramtre, les paramtres
ordinateur et utilisateur sont traits par dfaut.
/force Rapplique l'ensemble des paramtres et ignore le traitement des optimisations.
/wait:valeur Spcifie le dlai d'attente (en secondes) avant que la stratgie ne se termine. La valeur
par dfaut est de 600 secondes. La valeur 0 signifie aucune attente ; -1 correspond
une attente indfinie.
/logoff Ferme la session une fois l'actualisation de la stratgie termine. Ce paramtre est
obligatoire pour les extensions de stratgie de groupe ct client qui ne sont pas
excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes
lorsque l'utilisateur ouvre une session. Cette option est sans effet si aucune des
extensions appeles ne ncessite la dconnexion de l'utilisateur.
Module 5 : Implmentation d'une stratgie de groupe 29

(suite)
Paramtre Description

/boot Redmarre l'ordinateur une fois l'actualisation de la stratgie termine. Le redmarrage de


l'ordinateur est obligatoire pour les extensions de stratgie de groupe ct client qui ne sont
pas excutes dans le cadre d'un cycle d'actualisation en arrire-plan, mais sont excutes au
dmarrage de l'ordinateur. Cette option est sans effet si aucune des extensions appeles ne
ncessite le redmarrage de l'ordinateur.
30 Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Configuration des frquences d'actualisation


de la stratgie de groupe et des paramtres de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez configurer l'intervalle d'actualisation
de la stratgie de groupe pour des ordinateurs clients, puis configurer les
paramtres de stratgie de groupe pour la synchronisation des fichiers hors
connexion.
Scnario Northwind Traders repose largement sur la stratgie de groupe pour grer
les ordinateurs clients et conserver sa flexibilit l'organisation. En raison
du nombre lev d'objets Stratgie de groupe que vous devez modifier
quotidiennement, vous souhaitez diminuer le trafic rseau en rduisant de
180 minutes l'intervalle d'actualisation des ordinateurs clients et en utilisant
un dcalage alatoire de 60 minutes.
Les membres de votre organisation voyagent frquemment et utilisent des
connexions lentes d'accs distance. Ils se rendent galement souvent dans des
agences lointaines raccordes au rseau d'entreprise via des connexions haut
dbit. Ils ont besoin d'avoir accs des fichiers habituellement disponibles
uniquement via une connexion rseau un serveur de fichiers. Ces fichiers
doivent tre jour ds que l'utilisateur se connecte au rseau d'entreprise.
Vous devez configurer la disponibilit et la synchronisation des fichiers hors
connexion dans la stratgie de groupe des utilisateurs qui ont besoin de cette
fonctionnalit.
Application pratique
! Configurer les paramtres de stratgie de groupe
1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dveloppez successivement Fort, Domaines, votre domaine, Objets de
stratgie de groupe, cliquez sur Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, puis cliquez sur Modifier.
Module 5 : Implmentation d'une stratgie de groupe 31

3. Dans l'diteur d'objets de stratgie de groupe, sous Configuration


ordinateur, dveloppez successivement Modles d'administration,
Systme, puis cliquez sur Stratgie de groupe.
4. Double-cliquez sur Intervalle d'actualisation de la stratgie de groupe
pour les ordinateurs, cliquez sur Activ, entrez l'intervalle de temps
appropri, puis cliquez sur OK.
5. Dans l'diteur d'objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez successivement Modles d'administration,
Rseau, puis cliquez sur fichiers hors connexion.
6. Double-cliquez sur Synchroniser tous les fichiers hors connexion
l'ouverture de session, cliquez sur Activ, puis sur OK.
7. Fermez l'diteur d'objets de stratgie de groupe, puis fermez la console
Gestion de stratgie de groupe.
32 Module 5 : Implmentation d'une stratgie de groupe

Leon : Gestion des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous utilisez la console Gestion de stratgie de groupe pour grer les objets
Stratgie de groupe, savoir pour copier un objet Stratgie de groupe un autre
emplacement, sauvegarder un objet Stratgie de groupe, restaurer un objet
Stratgie de groupe partir de la sauvegarde, ou encore importer dans un objet
Stratgie de groupe les paramtres d'un autre objet Stratgie de groupe.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer la finalit de la copie d'un objet Stratgie de groupe ;
! copier un objet Stratgie de groupe l'aide de la console Gestion de
stratgie de groupe ;
! expliquer la finalit de la sauvegarde d'un objet Stratgie de groupe ;
! sauvegarder un objet Stratgie de groupe l'aide de la console Gestion de
stratgie de groupe ;
! expliquer la finalit de la restauration d'un objet Stratgie de groupe ;
! restaurer un objet Stratgie de groupe l'aide de la console Gestion de
stratgie de groupe ;
! expliquer la finalit de l'importation de paramtres dans un objet Stratgie
de groupe ;
! importer des paramtres dans un objet Stratgie de groupe l'aide de la
console Gestion de stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 33

Dfinition d'une opration de copie

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La copie d'un objet Stratgie de groupe transfert uniquement les paramtres
de l'objet Stratgie de groupe. L'objet Stratgie de groupe nouvellement cr
est dot d'un nouvel identificateur unique global (GUID, Globally Unique
IDentifier) et de la liste de contrle d'accs discrtionnaire (DACL,
Discretionary Access Control List) de l'objet Stratgie de groupe. Le nouvel
objet Stratgie de groupe cr est non li, car les liaisons sont une proprit de
l'objet ayant dfini l'objet Stratgie de groupe plutt qu'une proprit de l'objet
Stratgie de groupe.
Comportement de Lorsque vous copiez un objet Stratgie de groupe d'un domaine vers un autre,
mappage d'une vous devez spcifier le comportement du mappage des entits de scurit pour
opration de copie l'opration de copie. La console Gestion de stratgie de groupe offre deux
techniques de mappage pour la copie des objets Stratgie de groupe :
! Copie identique partir de la source
! Utilisation d'une table de migration pour mapper de nouvelles valeurs dans
le nouvel objet Stratgie de groupe

Pour utiliser l'une ou l'autre de ces mthodes, des rfrences aux entits de
scurit et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratgie de groupe source.
Dfinition du mappage Lorsque vous copiez des objets Stratgie de groupe dans des domaines ou des
des entits de scurit forts, la console Gestion de stratgie de groupe peut effectuer un mappage
des entits de scurit. C'est--dire qu'elle peut modifier les paramtres se
rapportant aux entits de scurit en convertissant les valeurs de ces entits
en fonction du nouvel objet Stratgie de groupe.
34 Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une table Si vous avez besoin d'une personnalisation supplmentaire, vous pouvez utiliser
de migration des scripts pour implmenter une table de migration, c'est--dire un fichier texte
XML (eXtensible Markup Language) spcifiant le mappage personnalis des
entits de scurit depuis le domaine source vers le domaine de destination. La
table de migration comporte une section de mappage des entits de scurit et
une section de mappage des chemins d'accs. Utilisez ces sections pour dfinir
des rgles de mappage spcifiques.
Module 5 : Implmentation d'une stratgie de groupe 35

Comment copier un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour copier un objet Stratgie de groupe, vous devez avoir l'autorisation
de crer des objets Stratgie de groupe dans le domaine de destination.
Procdure Pour copier un objet Stratgie de groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez Objets de
stratgie de groupe dans la fort et le domaine contenant l'objet Stratgie
de groupe copier, cliquez avec le bouton droit sur cet objet, puis cliquez
sur Copier.
2. Effectuez l'une des oprations suivantes :
Pour placer la copie de l'objet Stratgie de groupe dans le mme
domaine que l'objet source, cliquez avec le bouton droit sur Objets
de stratgie de groupe, puis cliquez sur Coller.
i. Dans la bote de dialogue Copier l'objet GPO, slectionnez Utiliser
les autorisations par dfaut pour les nouveaux objets GPO ou
Conserver les autorisations existantes, puis cliquez sur OK.
ii. Lorsque le processus de copie est termin, cliquez sur OK.
Pour placer la copie de l'objet dans un autre domaine, qu'il s'agisse de
la mme fort ou d'une autre, dveloppez le domaine de destination,
cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Coller.
i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant.
ii. Dans la page Spcification des autorisations en cours, slectionnez
Utiliser les autorisations par dfaut pour les nouveaux objets
GPO ou Prserver ou effectuer la migration des autorisations
partir des objets GPO originaux, puis cliquez sur Suivant.
36 Module 5 : Implmentation d'une stratgie de groupe

iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux
entits de scurit et aux chemins UNC, vous verrez s'afficher la
fentre mentionne l'tape suivante. Sinon, passez l'tape v.
iv. Dans la page Migration des rfrences, slectionnez Effectuant
une copie identique partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratgie de groupe
cible, slectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opration de copie termine, cliquez sur OK.

Remarque Certaines de ces tapes peuvent ne pas s'afficher si vous copiez


un objet Stratgie de groupe dans le mme domaine.
Module 5 : Implmentation d'une stratgie de groupe 37

Dfinition d'une opration de sauvegarde

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque la console Gestion de stratgie de groupe sauvegarde un objet Stratgie
de groupe, elle exporte les donnes dans le fichier de votre choix et enregistre
tous les fichiers de modle Stratgie de groupe. Vous pouvez placer l'objet
Stratgie de groupe sauvegard dans un dossier par une opration de restauration
ou d'importation. L'opration d'importation vous permet uniquement de restaurer
un objet Stratgie de groupe sauvegard dans un autre domaine.
Comment stocker Vous pouvez stocker plusieurs objets Stratgie de groupe sauvegards, y
une sauvegarde compris plusieurs versions du mme objet, dans un dossier de fichiers unique.
Quel que soit le nombre d'objets Stratgie de groupe stocks dans un dossier,
vous pouvez identifier chaque objet Stratgie de groupe l'aide de l'un des
critres suivants :
! Nom complet de l'objet Stratgie de groupe
! Identificateur GUID de l'objet Stratgie de groupe
! Description de la sauvegarde
! Date et horodatage de la sauvegarde
! Nom de domaine

Vous pouvez sauvegarder un ou plusieurs objets Stratgie de groupe dans un


emplacement de sauvegarde qui a t prcdemment spcifi, ou bien spcifier
un nouvel emplacement.

Remarque Assurez-vous que le rpertoire de sauvegarde se trouve un


emplacement scuris du systme de fichiers.
38 Module 5 : Implmentation d'une stratgie de groupe

Comment sauvegarder un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour sauvegarder un objet Stratgie de groupe, vous devez disposer des
autorisations en lecture sur l'objet Stratgie de groupe et des autorisations
crire sur l'emplacement du systme de fichiers o vous souhaitez stocker
l'objet Stratgie de groupe sauvegard.
Procdure Pour sauvegarder un objet Stratgie de groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
contenant l'objet Stratgie de groupe sauvegarder, dveloppez
successivement Domaines, le domaine contenant l'objet Stratgie de groupe,
Objets de stratgie de groupe, puis effectuez l'une des oprations suivantes :
Pour sauvegarder un seul objet Stratgie de groupe, cliquez avec le
bouton droit sur cet objet, puis cliquez sur Sauvegarder.
Pour sauvegarder tous les objets Stratgie de groupe, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur
Sauvegarder tout.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez le chemin
d'accs l'emplacement o vous souhaitez stocker l'objet Stratgie de
groupe sauvegard.
3. Entrez une description pour l'objet Stratgie de groupe sauvegarder,
puis cliquez sur Sauvegarder.
4. Une fois l'opration de sauvegarde termine, cliquez sur OK.
Module 5 : Implmentation d'une stratgie de groupe 39

Dfinition d'une opration de restauration

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction L'opration de restauration rtablit le contenu de l'objet Stratgie de groupe
dans l'tat dans lequel il tait au moment de la sauvegarde. Cette opration est
valide uniquement dans le domaine o l'objet Stratgie de groupe a t cr.
Quels objets Stratgie Vous pouvez restaurer un objet Stratgie de groupe existant ou un objet
de groupe peuvent tre supprim qui a t sauvegard. Les autorisations requises pour restaurer un
restaurs ? objet Stratgie de groupe varient selon que l'objet existe ou non dans Active
Directory lorsque vous le restaurez.
40 Module 5 : Implmentation d'une stratgie de groupe

Comment restaurer un objet Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour restaurer un objet Stratgie de groupe existant l'aide de la console
Gestion de stratgie de groupe, vous devez disposer des autorisations Modifier
les paramtres, supprimer, modifier la scurit sur cet objet. Vous devez
galement disposer de l'autorisation en lecture sur le dossier qui contient l'objet
Stratgie de groupe sauvegard.
Pour restaurer un objet Stratgie de groupe supprim qui avait t sauvegard,
vous devez disposer d'autorisations pour crer des objets Stratgie de groupe
dans le domaine, ainsi que de l'autorisation en lecture sur l'emplacement du
systme de fichiers de l'objet sauvegard.
Procdure de Pour restaurer une version antrieure d'un objet Stratgie de groupe existant,
restauration d'une procdez comme suit :
version antrieure
d'un objet Stratgie 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort
de groupe contenant l'objet Stratgie de groupe restaurer, dveloppez successivement
Domaines, le domaine contenant l'objet Stratgie de groupe, Objets de
stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie
de groupe puis cliquez sur Grer les sauvegardes.
2. Dans la bote de dialogue Gestion des sauvegardes, slectionnez l'objet
Stratgie de groupe sauvegard restaurer, puis cliquez sur Restaurer.
3. Lorsque vous tes invit restaurer la sauvegarde slectionne, cliquez
sur OK.
4. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la
restauration termine.
5. Dans la bote de dialogue Gestion des sauvegardes, slectionnez un autre
objet Stratgie de groupe restaurer ou cliquez sur Fermer pour terminer
l'opration de restauration.
Module 5 : Implmentation d'une stratgie de groupe 41

Procdure de Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste
restauration d'un objet des Objets Stratgie de groupe, effectuez l'une des oprations suivantes :
Stratgie de groupe
supprim 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe restaurer,
Domaines, puis le domaine contenant l'objet Stratgie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systme de fichiers contenant l'objet Stratgie de groupe
supprim, slectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opration de restauration.
42 Module 5 : Implmentation d'une stratgie de groupe

Dfinition d'une opration d'importation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Une opration d'importation copie l'ensemble des paramtres de stratgie de
groupe depuis l'objet Stratgie de groupe source vers l'objet Stratgie de groupe
de destination.
Pourquoi spcifier une Spcifiez une table de migration afin d'tre certain que le chemin UNC de
table de migration ? l'objet Stratgie de groupe est correctement mapp sur le chemin UNC de l'objet
Stratgie de groupe de destination. Indiquez le chemin d'accs la table de
migration approprie lorsque vous importez des paramtres de stratgie de
groupe d'un domaine dans un autre. Si vous spcifiez une table de migration,
vous devez spcifier le comportement de mappage du chemin UNC.
Si vous n'activez pas la case cocher Utiliser exclusivement la table de
migration, vous devez spcifier le comportement de mappage pour les entits
de scurit qui ne figurent pas dans la table de migration.
Si vous ne spcifiez pas de table de migration, toutes les entits de scurit sont
mappes en fonction du comportement que vous spcifiez.
Module 5 : Implmentation d'une stratgie de groupe 43

Comment importer des paramtres dans un objet Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour importer des paramtres dans un objet Stratgie de groupe, vous devez
disposer des autorisations de modification de cet objet.
Procdure Pour importer des paramtres dans un objet Stratgie de groupe, procdez
comme suit :
1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe dans lequel
importer des paramtres, Domaines, le domaine contenant l'objet Stratgie
de groupe, Objets de stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Importer des paramtres.
2. Dans la page Assistant Importation des paramtres, cliquez sur Suivant.
3. Dans la page Objet de stratgie de groupe de sauvegarde, cliquez sur
Sauvegarder.
4. Dans la bote de dialogue Sauvegarde de l'objet GPO, entrez un
emplacement et une description pour la sauvegarde de l'objet Stratgie
de groupe, puis cliquez sur Sauvegarder.
5. Une fois l'opration de sauvegarde termine, cliquez sur OK puis sur
Suivant.
6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour
rechercher le dossier de sauvegarde partir duquel vous voulez importer
des paramtres, puis cliquez sur Suivant.
44 Module 5 : Implmentation d'une stratgie de groupe

7. Dans la page Objet stratgie de groupe (GPO) source, slectionnez l'objet


Stratgie de groupe partir duquel vous voulez importer des paramtres,
puis cliquez sur Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux entits
de scurit et des chemins UNC, la bote de dialogue Migration des
rfrences s'affiche. Choisissez le mode de migration des entits de scurit
et des chemins UNC en slectionnant Effectuant une copie identique
partir de la source ou Utilisant cette table de migration pour le
mappage dans l'objet de stratgie de groupe cible, puis slectionnez
une table de migration.
8. Cliquez sur Suivant.
9. Dans la page Fin de l'Assistant Importation des paramtres, cliquez
sur Terminer.
10. Une fois l'opration d'importation termine, cliquez sur OK.
Module 5 : Implmentation d'une stratgie de groupe 45

Application pratique : Gestion des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez copier un objet Stratgie de groupe,
crer une sauvegarde de cet objet, supprimer la copie sauvegarde, puis la
restaurer.
Scnario Vous tes responsable de l'implmentation des normes de Bureau de l'entreprise
l'aide de la stratgie de groupe de votre domaine. Bien que la plupart des
groupes du domaine puissent utiliser la mme configuration de Bureau
d'entreprise, certains services ncessitent une configuration lgrement
diffrente. Vous allez crer un objet Stratgie de groupe de base, le copier
dans les diffrentes applications, puis en modifier les paramtres.
Parce que vous voulez tre certain que la sauvegarde et la restauration des
objets Stratgie de groupe fonctionnent correctement, vous souhaitez tester les
fonctionnalits de restauration et simuler le plan d'implmentation dans votre
environnement de test.
Application pratique :
Copie d'un objet
! Copier un objet Stratgie de groupe
Stratgie de groupe 1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dans votre domaine, dveloppez Objets de stratgie de groupe, cliquez
avec le bouton droit sur GPO_pratique, cliquez sur Copier, cliquez avec le
bouton droit sur Objets de stratgie de groupe, puis cliquez sur Coller.
3. Dans la bote de dialogue Copier l'objet GPO, cliquez sur OK.
4. Une fois le processus de copie termin, cliquez sur OK.
46 Module 5 : Implmentation d'une stratgie de groupe

Application pratique : ! Sauvegarder un objet Stratgie de groupe


Sauvegarde d'un objet
Stratgie de groupe 1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, puis cliquez sur Sauvegarder.
2. Dans la bote de dialogue Sauvegarde de l'objet GPO, tapez C:\ dans la
zone Emplacement, puis cliquez sur Sauvegarder.
3. Une fois l'opration termine, cliquez sur OK.

Application pratique :
Restauration d'un objet
! Supprimer et restaurer un objet Stratgie de groupe
Stratgie de groupe 1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, cliquez sur Supprimer, puis sur OK.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, slectionnez Copie de
GPO_pratique, puis cliquez sur Restaurer.
4. Lorsque vous tes invit restaurer la sauvegarde, cliquez sur OK.
5. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la sauvegarde
restaure.
6. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Fermer.
7. Vrifiez que l'objet Stratgie de groupe a bien t restaur.
8. Fermez la console Gestion de stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 47

Leon : Vrification et rsolution des problmes lis la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Il est possible que vous rencontriez des problmes lors de l'implmentation de
la stratgie de groupe. Lorsque vous rsolvez des problmes lis la stratgie
de groupe, veillez prendre en compte les dpendances entre les composants.
Par exemple, la stratgie de groupe dpend de Active Directory, lequel se fie
une configuration correcte des services du rseau.
Windows Server 2003 est dot de deux nouvelles fonctionnalits de gestion des
stratgies de groupe qui vous permettent de dterminer les effets des paramtres
de stratgie de groupe d'un utilisateur ou d'un ordinateur particulier. Il s'agit de
l'Assistant Modlisation de stratgie de groupe et des Rsultats de stratgie de
groupe.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! identifier les problmes courants lis l'implmentation de la stratgie de
groupe ;
! vrifier les paramtres de stratgie de groupe l'aide de l'Assistant
Modlisation de stratgie de groupe ;
! vrifier les paramtres de stratgie de groupe l'aide des Rsultats de
stratgie de groupe.
48 Module 5 : Implmentation d'une stratgie de groupe

Problmes courants lis l'implmentation de la stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La premire tape de la rsolution des problmes lis la stratgie de groupe
consiste identifier les symptmes et les causes possibles.
Comment vrifier si les Dans la plupart des cas, un paramtre de stratgie de groupe n'est pas appliqu
paramtres de stratgie comme prvu parce qu'un autre objet Stratgie de groupe contient une valeur
de groupe corrects sont conflictuelle pour le mme paramtre. L'objet Stratgie de groupe est prioritaire
appliqus en raison du filtrage, Blocage de l'hritage, Appliqu ou de l'ordre d'application.
Utilisez l'Assistant Modlisation de stratgie de groupe ou l'Assistant Rsultats
de stratgie de groupe pour dterminer l'objet Stratgie de groupe utilis pour le
paramtre.
Symptmes, cause Le tableau suivant rpertorie certains des symptmes courants, ainsi que les
et rsolution mthodes de rsolution possibles.
Symptme Rsolution

Vous ne parvenez pas ouvrir un objet Stratgie de Devenez membre d'un groupe de scurit avec
groupe, mme avec l'autorisation en lecture. les autorisations Lire et crire pour l'objet.
Lorsque vous essayez de modifier un objet Stratgie de Assurez-vous que le systme DNS fonctionne
groupe, le message signalant qu'il est impossible d'ouvrir correctement.
l'objet Stratgie de groupe s'affiche.
La stratgie de groupe n'est pas applique aux utilisateurs Liez les objets Stratgie de groupe uniquement
et ordinateurs d'un groupe de scurit qui les contient, des sites, domaines et units d'organisation.
alors qu'un objet Stratgie de groupe est li une unit
d'organisation contenant le groupe de scurit.
Module 5 : Implmentation d'une stratgie de groupe 49

(suite)
Symptme Rsolution

La stratgie de groupe n'affecte pas les utilisateurs et Liez un objet Stratgie de groupe une unit
ordinateurs d'un conteneur Active Directory. d'organisation qui est parente du conteneur Active
Directory. Ces paramtres sont alors appliqus par dfaut
aux utilisateurs et ordinateurs du conteneur via l'hritage.
La stratgie de groupe n'est pas applique sur Dterminez quels objets Stratgie de groupe sont
l'ordinateur client. appliqus via Active Directory et si ces objets possdent
des paramtres en conflit avec les paramtres locaux.
50 Module 5 : Implmentation d'une stratgie de groupe

Comment vrifier les paramtres de stratgie de groupe l'aide de


l'Assistant Modlisation de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous avez la possibilit de simuler un dploiement de stratgie pour les
utilisateurs et les ordinateurs avant de rellement appliquer les stratgies.
Cette fonctionnalit de la console Gestion de stratgie de groupe est appele
Jeu de stratgies rsultant (RSoP, Resultant Set of Policies) Mode de
planification. Elle requiert un contrleur de domaine excutant
Windows Server 2003 dans la fort. Pour vrifier les paramtres de stratgie de
groupe l'aide de l'Assistant Modlisation de stratgie de groupe, vous devez
d'abord crer une requte de modlisation de stratgie de groupe et afficher
cette requte.
Procdure de cration Pour crer une nouvelle requte de modlisation de stratgie de groupe,
d'une requte de procdez comme suit :
modlisation de
stratgie de groupe 1. Ouvrez la console Gestion de stratgie de groupe, naviguez jusqu' la fort
dans laquelle vous souhaitez crer une requte de modlisation de stratgie
de groupe, cliquez avec le bouton droit de la souris sur Modlisation de
stratgie de groupe, puis sur Assistant Modlisation de stratgie de groupe.
2. Sur la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant, entrez les informations requises dans les pages de l'Assistant, puis
cliquez sur Terminer.
Module 5 : Implmentation d'une stratgie de groupe 51

Procdure d'affichage Pour afficher la requte de modlisation de stratgie de groupe, procdez


de la requte de comme suit :
modlisation de
stratgie de groupe 1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie de
groupe afficher, dveloppez Modlisation de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.

Remarque Pour plus d'informations sur la vrification des paramtres


de stratgie de groupe l'aide de Gpresult.exe, reportez-vous la section
Comment vrifier les paramtres de stratgie de groupe l'aide des Rsultats
de stratgie de groupe de la page d'annexe du module 5 sur le CD-ROM du
stagiaire.
52 Module 5 : Implmentation d'une stratgie de groupe

Comment vrifier les paramtres de stratgie de groupe l'aide des


Rsultats de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de
stratgie qui sont appliqus un ordinateur, ainsi que l'utilisateur qui a ouvert
une session sur cet ordinateur. Bien que ces donnes soient similaires celles
de la modlisation de stratgie de groupe, elles sont obtenues partir de
l'ordinateur client au lieu d'tre simules sur le contrleur de domaine. Pour
obtenir des donnes l'aide des Rsultats de stratgie de groupe, l'ordinateur
client doit excuter Windows XP ou Windows Server 2003.
Procdure de cration Pour crer une requte Rsultats de stratgie de groupe, procdez comme suit :
d'une requte Rsultats
de stratgie de groupe 1. Dans la console Gestion de stratgie de groupe, accdez Rsultats de
stratgie de groupe, cliquez avec le bouton droit sur Rsultats de stratgie
de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe.
2. Dans la page Assistant Rsultats de stratgie de groupe, cliquez sur
Suivant.
3. Dans la page Slection des ordinateurs, slectionnez l'ordinateur actuel ou
cliquez sur Parcourir pour slectionner un autre ordinateur, puis cliquez sur
Suivant.
4. Dans la page Slection de l'utilisateur, slectionnez l'utilisateur actuel ou
spcifiez un utilisateur, puis cliquez sur Suivant.
5. Dans la page Aperu des slections, vrifiez les slections effectues, puis
cliquez sur Suivant.
6. Dans la page Fin de l'Assistant Rsultats de stratgie de groupe, cliquez
sur Terminer.
Module 5 : Implmentation d'une stratgie de groupe 53

Procdure d'affichage Pour afficher la requte des Rsultats de stratgie de groupe, procdez
de la requte des comme suit :
Rsultats de stratgie
de groupe 1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie
de groupe afficher, dveloppez Rsultats de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.

Remarque Vous pouvez contrler la stratgie de groupe en activant


l'enregistrement des diagnostics et l'enregistrement des commentaires. Pour plus
d'informations sur l'enregistrement de stratgie de groupe, reportez-vous la
section Comment vrifier les paramtres de stratgie de groupe l'aide des
Rsultats de stratgie de groupe de la page d'annexe du module 5 sur le
CD-ROM du stagiaire.
54 Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Vrification et rsolution des problmes lis


la stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez vrifier les paramtres de stratgie
de groupe l'aide de l'Assistant Modlisation de stratgie de groupe.
Scnario Vous souhaitez vrifier que les paramtres de stratgie de groupe que vous
prvoyez de dployer chez Northwind Traders (y compris les paramtres
utilisateur et ordinateur de votre domaine) seront appliqus et fiables. Vous
dcidez d'utiliser la console Gestion de stratgie de groupe pour vrifier les
paramtres.
Application pratique
! Vrifier les paramtres utilisateur et ordinateur pour votre domaine
1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Cliquez avec le bouton droit sur Modlisation de stratgie de groupe,
puis cliquez sur Assistant Modlisation de stratgie de groupe.
3. Dans la page Assistant Modlisation de stratgie de groupe, cliquez sur
Suivant.
4. Dans la page Slection du contrleur de domaine, cliquez sur Suivant.
5. Dans la page Slection d'ordinateurs et d'utilisateurs, dans les sections
Informations sur l'utilisateur et Informations sur l'ordinateur, cliquez
sur Parcourir, slectionnez votre domaine pour chaque section, puis cliquez
sur Suivant.
6. Dans chacune des pages suivantes de l'Assistant, cliquez sur Suivant pour
accepter les valeurs par dfaut.
7. Dans la page Fin de l'Assistant Modlisation de stratgie de groupe,
cliquez sur Terminer.
Module 5 : Implmentation d'une stratgie de groupe 55

8. Si une bote de dialogue Internet Explorer s'affiche, cliquez sur Ajouter,


dans la bote de dialogue Sites approuvs, cliquez sur Ajouter, puis cliquez
sur Fermer.
9. Affichez le rapport dans le volet de dtails, puis fermez la console Gestion
de stratgie de groupe.
56 Module 5 : Implmentation d'une stratgie de groupe

Leon : Dlgation du contrle administratif de la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez utiliser la stratgie de groupe pour dlguer certaines tches
d'autres administrateurs. Par exemple, la cration, la liaison et la modification
des objets Stratgie de groupe correspondent des autorisations distinctes que
vous pouvez dlguer sparment. La console Gestion de stratgie de groupe
simplifie la gestion des autorisations en combinant les autorisations de bas
niveau sur un objet et en les grant comme une seule unit. Utilisez la console
Gestion de stratgie de groupe pour dlguer le contrle administratif des objets
Stratgie de groupe, la stratgie de groupe pour un site, un domaine ou une
unit d'organisation, les filtres WMI.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer le fonctionnement de la dlgation des objets Stratgie de groupe ;
! expliquer le fonctionnement de la dlgation de la stratgie de groupe pour
un site, un domaine ou une unit d'organisation ;
! expliquer le fonctionnement de la dlgation des filtres WMI ;
! dlguer le contrle administratif pour la gestion des liaisons de stratgie de
groupe ;
! dlguer le contrle administratif pour la cration et la modification des
objets Stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 57

Dlgation des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez dlguer la capacit de crer des objets Stratgie de groupe dans
un domaine et d'affecter des autorisations sur un objet Stratgie de groupe
individuel l'aide de la console Gestion de stratgie de groupe.
Dlguer la capacit Par dfaut, la capacit de crer des objets Stratgie de groupe est attribue au
de crer des objets groupe Propritaires crateurs de la stratgie de groupe. Vous pouvez cependant
Stratgie de groupe dlguer ce pouvoir tout groupe ou utilisateur de deux faons diffrentes :
! Ajouter le groupe ou l'utilisateur au groupe Propritaires crateurs de la
stratgie de groupe. Il s'agit de la premire mthode, disponible avant la
console Gestion de stratgie de groupe.
! Attribuer explicitement au groupe ou l'utilisateur l'autorisation de crer
des objets Stratgie de groupe. Cette mthode est disponible uniquement via
la console Gestion de stratgie de groupe.

quel moment utiliser Dans le cas d'utilisateurs et de groupes du domaine, utilisez le groupe
le groupe Propritaires Propritaires crateurs de la stratgie de groupe pour affecter des autorisations
crateurs de la stratgie de cration d'un objet Stratgie de groupe. Ce groupe tant un groupe global du
de groupe domaine, il ne peut pas contenir de membres extrieurs au domaine. Si des
utilisateurs externes au domaine ont besoin de pouvoir crer des objets Stratgie
de groupe, procdez comme suit :
1. Crez un nouveau groupe local du domaine dans le domaine.
2. Affectez ce groupe l'autorisation de crer des objets Stratgie de groupe
dans le domaine.
3. Ajoutez ce groupe des utilisateurs de domaine externes.
58 Module 5 : Implmentation d'une stratgie de groupe

Comparaison des deux Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe
mthodes de dlgation Propritaires crateurs de la stratgie de groupe ou que vous affectiez les
autorisations utilisateur pour la cration d'objets Stratgie de groupe
directement l'aide de la console Gestion de stratgie de groupe. Les
utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et
disposer d'un contrle total sur ces objets, mais ils n'ont pas d'autorisation sur
les objets Stratgie de groupe crs par d'autres utilisateurs.
Accorder un utilisateur la possibilit de crer des objets Stratgie de groupe
dans le domaine ne signifie pas qu'il peut lier ces objets un site, un domaine
ou une unit d'organisation.
Dlguer des Vous pouvez galement grer les autorisations sur l'objet Stratgie de groupe au
autorisations sur un niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser
objet Stratgie de sur un objet Stratgie de groupe.
groupe individuel
! Lecture
! Modifier les paramtres
! Modifier les paramtres, supprimer, modifier la scurit
! Lire ( partir du filtrage de scurit)
! Paramtres personnaliss

Remarque Pour plus d'informations sur la dlgation du contrle administratif


de la stratgie de groupe, reportez-vous la rubrique Dlgation des objets
Stratgie de groupe de la page d'annexe du module 5sur le CD-ROM du
stagiaire.
Module 5 : Implmentation d'une stratgie de groupe 59

Dlgation de la stratgie de groupe pour un site, un domaine ou


une unit d'organisation

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La dlgation de la stratgie de groupe pour un site, un domaine ou une unit
d'organisation inclut la dlgation de la capacit lier des objets Stratgie de
groupe et la dlgation des autorisations pour la Modlisation de stratgie de
groupe et les Rsultats de stratgie de groupe.
Dlguer la capacit de La console Gestion de stratgie de groupe utilise une autorisation unique,
lier des objets Stratgie appele Lier les objets GPO, pour grer les attributs gPLink et gPOptions. Vous
de groupe appliquez les paramtres d'un objet Stratgie de groupe des utilisateurs et des
ordinateurs en liant l'objet Stratgie de groupe (qu'il s'agisse d'un enfant direct
ou indirectement par hritage) un site, un domaine ou une unit d'organisation
qui contient les objets utilisateur ou ordinateur.
L'autorisation Lier les objets GPO est spcifique ce site, ce domaine ou une
unit d'organisation. L'autorisation quivaut des autorisations Lire et crire sur
les attributs gPLink et gPOptions du site, du domaine ou de l'unit d'organisation.
Dlguer des Vous pouvez utiliser la Modlisation de stratgie de groupe pour simuler
autorisations pour un ensemble de stratgies pour des objets d'un domaine ou d'une unit
la Modlisation de d'organisation, ou bien vous pouvez la dlguer d'autres utilisateurs ou
stratgie de groupe groupes. Cette dlgation affecte l'utilisateur ou au groupe l'autorisation
Gnrer Jeu de stratgie rsultant (Planification), laquelle est disponible dans
toute fort dote du schma Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation de tout domaine ou
unit d'organisation. L'administrateur peut slectionner Lancer des analyses de
modlisation de stratgie de groupe, puis slectionner les proprits Nom,
S'applique , Paramtre et Hrit pour les dlgations.
60 Module 5 : Implmentation d'une stratgie de groupe

Dlguer des Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes
autorisations pour les d'enregistrement RSoP pour des objets du domaine ou de l'unit d'organisation.
Rsultats de stratgie Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer
de groupe cette autorisation d'autres utilisateurs ou groupes. Les autorisations sont
dlgues sur un domaine ou une unit d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les donnes des Rsultats de stratgie de
groupe pour tout objet de ce conteneur. Cette dlgation affecte galement
l'utilisateur ou au groupe l'autorisation Gnrer Jeu de stratgie rsultant
(Enregistrement), laquelle est disponible dans toute fort dote du schma
Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation du domaine ou de
l'unit d'organisation. L'administrateur peut slectionner Lire les donnes du
rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels
accorder cette autorisation.
Module 5 : Implmentation d'une stratgie de groupe 61

Dlgation de filtres WMI

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez dlguer la capacit de crer des filtres WMI dans un domaine et
affecter des autorisations sur ces filtres.
Dlguer la capacit de Vous crez des filtres WMI dans le conteneur Filtres WMI de la console
crer des filtres WMI Gestion de stratgie de groupe. Lorsque vous crez un nouveau filtre WMI,
Active Directory stocke celui-ci dans le conteneur WMIPolicy du conteneur
System du domaine. Les autorisations sur le conteneur WMIPolicy dterminent
les autorisations d'un utilisateur pour crer, modifier et supprimer des
filtres WMI.
Il existe deux autorisations de cration de filtres WMI :
! Propritaire crateur : permet l'utilisateur de crer de nouveaux filtres
WMI dans le domaine. N'affecte pas l'utilisateur des autorisations sur les
filtres WMI crs par d'autres utilisateurs.
! Contrle total : permet l'utilisateur de crer des filtres WMI et d'affecter
un contrle total sur tous les filtres WMI du domaine, y compris les
nouveaux filtres crs par l'utilisateur aprs que l'autorisation a t accorde.

Dlguer des Vous pouvez utiliser la console Gestion de stratgie de groupe pour dlguer
autorisations sur des autorisations sur un filtre WMI particulier. Vous pouvez affecter deux
un filtre WMI autorisations diffrentes un utilisateur ou un groupe :
! Modifier : autorise l'utilisateur ou le groupe modifier le filtre WMI.
! Contrle total : autorise l'utilisateur ou le groupe modifier, supprimer et
modifier la scurit sur le filtre WMI.
62 Module 5 : Implmentation d'une stratgie de groupe

Comment dlguer le contrle administratif de la gestion des


liaisons de stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez dlguer la capacit de grer les liaisons de stratgie de groupe en
slectionnant Grer les liaisons de stratgie de groupe dans l'Assistant
Dlgation de contrle, afin de permettre un utilisateur de lier ou de
dsactiver des liaisons d'objets Stratgie de groupe.
Procdure Pour dlguer le contrle administratif de la gestion des liaisons de stratgie de
groupe, procdez comme suit :
1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort et au domaine o vous voulez dlguer le contrle
administratif de la gestion des liaisons de stratgie de groupe, puis cliquez
sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.

Remarque Si vous prfrez la flexibilit de la bote de dialogue Proprits,


celle-ci est toujours disponible dans la console Gestion de stratgie de groupe :
cliquez sur Avances sous l'onglet Dlgation.
Module 5 : Implmentation d'une stratgie de groupe 63

Comment dlguer le contrle administratif pour la cration et la


modification d'objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Utilisez l'Assistant Dlgation de contrle pour dlguer le contrle
administratif pour la cration et la modification d'objets Stratgie de groupe.
Procdure de dlgation Pour dlguer le contrle administratif pour la cration d'objets Stratgie de
du contrle administratif groupe, procdez comme suit :
pour la cration d'objets
Stratgie de groupe 1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la cration d'objets Stratgie de groupe, puis
cliquez su Objets de stratgie de groupe.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.

Procdure de dlgation Pour dlguer le contrle administratif pour la modification d'objets Stratgie
du contrle administratif de groupe, procdez comme suit :
pour la modification
d'objets Stratgie de 1. Ouvrez la console Gestion de stratgie de groupe.
groupe
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la modification d'objets Stratgie de groupe, puis
cliquez sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
64 Module 5 : Implmentation d'une stratgie de groupe

Application pratique : Dlgation du contrle administratif de la


stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez ajouter le compte de l'administrateur
adjoint au groupe Propritaires crateurs de la stratgie de groupe, puis lui
dlguer la capacit de grer les liaisons de stratgie de groupe.
Scnario Vous avez dcid de dlguer un administrateur adjoint l'administration de
la stratgie de groupe pour les units d'organisation Accounting, Accounts
Payable (crances) et Accounts Receivable (dettes). Cette personne sera
responsable de la cration et de la suppression de liaisons d'objets Stratgie
de groupe, de la cration de nouveaux objets Stratgie de groupe et de la
modification des objets Stratgie de groupe existants. Elle grera galement
les autres objets des units d'organisation.
Application pratique
! Dlguer un utilisateur le contrle administratif de la stratgie
de groupe
1. Ouvrez la console Gestion de stratgie de groupe en tant que
Votre_Domaine\Administrateur l'aide de la commande Excuter
en tant que.
2. Dveloppez successivement Fort, Domaines, Votre_Domaine, Objets de
stratgie de groupe, puis cliquez sur GPO_pratique.
3. Sous l'onglet Dlgation, ajoutez Nwtradersx\Nom_OrdinateurUser la
liste avec les autorisations Modifier les paramtres, supprimer modifier
la scurit, puis cliquez sur OK.
4. Dans la console Gestion de stratgie de groupe, cliquez sur Votre_Domaine,
puis dans le volet de dtails, cliquez sur la liaison GPO_pratique.
5. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
6. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner, entrez
Nwtradersx\Nom_OrdinateurUser, cliquez sur Vrifier les noms, puis
sur OK.
Module 5 : Implmentation d'une stratgie de groupe 65

7. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la


zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
8. Fermez la console Gestion de stratgie de groupe.
66 Module 5 : Implmentation d'une stratgie de groupe

Leon : Planification d'une stratgie de groupe pour


l'entreprise

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous planifiez une structure Active Directory, crez un plan pour
l'hritage des objets Stratgie de groupe, l'administration et le dploiement qui
offre la gestion de stratgie de groupe la plus efficace possible pour votre
organisation.
Envisagez galement la faon dont vous allez implmenter la stratgie de
groupe pour l'organisation. Afin que votre plan offre simplicit d'utilisation et
d'administration, veillez prendre en considration la dlgation d'autorisation,
la sparation des tches d'administration, le choix d'une administration
centralise ou dcentralise, ainsi que la flexibilit de conception.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer les instructions de planification des objets Stratgie de groupe ;
! expliquer les instructions de dtermination de l'hritage des objets Stratgie
de groupe ;
! expliquer les instructions de dtermination d'une stratgie de groupe pour
les sites ;
! expliquer les instructions de planification de l'administration des objets
Stratgie de groupe ;
! expliquer les instructions de dploiement des objets Stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 67

Instructions de planification des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Crez des objets Stratgie de groupe de faon offrir une simplicit d'utilisation
et de gestion optimale, notamment via l'utilisation de l'hritage et des liaisons
multiples.
Instructions Appliquez les instructions suivantes pour planifier les objets Stratgie de
groupe :
! Appliquez les paramtres de stratgie de groupe au plus haut niveau. De
cette faon, vous bnficiez de l'hritage de stratgie de groupe. Dterminez
les paramtres communs des objets Stratgie de groupe pour le plus grand
conteneur, en commenant par le domaine, puis en liant l'objet Stratgie de
groupe de ce conteneur.
! Diminuez le nombre des objets Stratgie de groupe. Rduisez ce nombre en
utilisant plusieurs liaisons au lieu de crer plusieurs objets Stratgie de
groupe identiques. Essayez de lier un objet Stratgie de groupe au plus
grand conteneur possible, afin d'viter de crer plusieurs liaisons du mme
objet un niveau plus bas.
! Crez des objets Stratgie de groupe spcialiss. Utilisez ces objets
Stratgie de groupe pour appliquer des paramtres uniques si ncessaire.
Les objets Stratgie de groupe un niveau suprieur n'appliqueront pas les
paramtres de ces objets Stratgie de groupe spcialiss.
! Dsactivez les paramtres de configuration de l'ordinateur ou de
l'utilisateur. Lorsque vous crez un objet Stratgie de groupe destin
contenir les paramtres de l'un de ces deux niveaux (utilisateur ou
ordinateur), dsactivez l'autre zone. Cela permet d'amliorer les
performances d'application des objets Stratgie de groupe lors de la
connexion de l'utilisateur et empche l'application accidentelle des
paramtres l'autre zone.
68 Module 5 : Implmentation d'une stratgie de groupe

Instructions pour dterminer l'hritage des objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction L'hritage des objets Stratgie de groupe tient une place importante dans
l'implmentation de la stratgie de groupe d'une entreprise. C'est pourquoi vous
devez dcider l'avance d'appliquer la stratgie de groupe tout ou partie des
utilisateurs et ordinateurs.
Instructions Appliquez les instructions suivantes pour dterminer l'hritage des objets
Stratgie de groupe.
! Utilisez l'option Appliqu (Ne pas passer outre) uniquement lorsqu'elle est
requise. Utilisez cette option uniquement pour les objets Stratgie de groupe
que vous voulez absolument appliquer, par exemple les paramtres de
scurit exigs par l'entreprise. Assurez-vous que ces objets Stratgie de
groupe contiendront uniquement ces paramtres importants.
! Utilisez l'option Blocage de l'hritage avec modration. Ce paramtre
complique la rsolution des problmes et l'administration des objets
Stratgie de groupe.
! Utilisez le filtrage de scurit en cas de besoin uniquement. Utilisez le
filtrage de scurit lorsque des paramtres s'appliquent uniquement un
groupe de scurit particulier dans un conteneur. Limitez le nombre de
filtres de scurit en crant et en liant des objets Stratgie de groupe au
niveau appropri.
Module 5 : Implmentation d'une stratgie de groupe 69

Instructions pour dterminer une stratgie de groupe pour les sites

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer
des paramtres l'ensemble des ordinateurs et utilisateurs se trouvant
physiquement sur ce site. Lorsque la stratgie de groupe est dfinie au niveau
du site, elle n'affecte pas les utilisateurs itinrants sur ce site s'ils ont accs au
rseau partir d'un autre site.
Instructions Appliquez les instructions suivantes pour dterminer une stratgie de groupe
pour des sites :
! Appliquez un objet Stratgie de groupe un site uniquement si les
paramtres sont spcifiques au site et non au domaine. La rsolution des
problmes de paramtres de stratgie de groupe lis au site peut s'avrer
complique.
! Crez des objets Stratgie de groupe dans le domaine qui comporte le plus
grand nombre de contrleurs de domaine sur ce site. Un contrleur de
domaine du domaine contenant l'objet Stratgie de groupe li au site est
contact avant l'application de l'objet, quel que soit le domaine auquel
appartient l'utilisateur ou l'ordinateur.
70 Module 5 : Implmentation d'une stratgie de groupe

Instructions de planification de l'administration des objets Stratgie


de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Veillez documenter les lments suivants relatifs votre stratgie de gestion
des objets Stratgie de groupe dans votre organisation.
Instructions Appliquez les instructions suivantes pour planifier l'administration des objets
Stratgie de groupe :
! Identifiez votre stratgie d'administration pour la gestion des objets
Stratgie de groupe. Dterminez quelles personnes vont crer et lier des
objets Stratgie de groupe dans votre organisation, et quelles personnes vont
mais ne pourront pas les crer. Dterminez galement la personne qui va
grer les objets Stratgie de groupe.
! Organisez les objets Stratgie de groupe en fonction de la maintenance
administrative. De cette faon, vous pourrez dlguer le contrle des objets
Stratgie de groupe au groupe appropri et rduire le risque potentiel
qu'un administrateur remplace les modifications apportes par un autre
administrateur un objet Stratgie de groupe donn. Vous pouvez, par
exemple, organiser la stratgie de groupe en fonction des catgories
d'administration suivantes :
Gestion de la configuration des utilisateurs
Gestion des donnes
Distribution des logiciels
! Planifiez l'audit des objets Stratgie de groupe. Votre organisation peut
vous demander d'enregistrer les modifications apportes aux objets Stratgie
de groupe ainsi que leur utilisation, afin que vous puissiez vrifier que
Active Directory applique correctement les paramtres.
Module 5 : Implmentation d'une stratgie de groupe 71

Instructions de dploiement des objets Stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous planifiez l'implmentation de la stratgie de groupe, veillez
tester et documenter votre stratgie de groupe.
Instructions Appliquez les instructions suivantes pour dployer des objets Stratgie
de groupe :
! Testez les paramtres de stratgie de groupe. Testez les rsultats des
objets Stratgie de groupe dans diffrentes situations. Bon nombre des
organisations de moyenne et grande taille crent une version miniature de
leur environnement de production pour l'utiliser comme banc d'essai .
Dans les petites entreprises, qui ne disposent pas des mmes ressources,
implmentez la stratgie de groupe dans l'environnement de production en
dehors des heures de pointe, et mettez en place une stratgie de rgression
afin de corriger tout problme qui surviendrait. Les stratgies de test
incluent :
L'ouverture de session en tant qu'utilisateur reprsentatif sur des stations
de travail reprsentatives, afin de vrifier que les paramtres de stratgie
de groupe prvus ont bien t appliqus et qu'aucun conflit d'hritage ne
se produit. Vous pouvez utiliser l'Assistant Modlisation de stratgie de
groupe et l'Assistant Rsultats de stratgie de groupe pour dterminer
quels paramtres de stratgie de groupe ont t appliqus et partir de
quels objets Stratgie de groupe.
L'ouverture de session dans toutes les conditions envisageables, afin de
vous assurer que les paramtres de stratgie de groupe sont appliqus de
faon homogne.
Le test des ordinateurs portables en les connectant au rseau depuis les
diffrents sites sur lesquels les utilisateurs sont susceptibles d'ouvrir une
session.
72 Module 5 : Implmentation d'une stratgie de groupe

! Documentez le plan de stratgie de groupe. Conservez toujours la liste


dtaille de tous les objets Stratgie de groupe, afin de facilement rsoudre
les problmes et grer la stratgie de groupe. Pensez inclure les
informations suivantes dans votre liste :
Le nom et la fonction de chaque objet Stratgie de groupe.
Les paramtres de stratgie de groupe de chaque objet Stratgie de
groupe.
Les liaisons d'objets Stratgie de groupe un site, un domaine ou une
unit d'organisation.
Tout paramtre spcial appliqu l'objet Stratgie de groupe (Appliqu,
dsactivation partielle ou totale, par exemple).
Module 5 : Implmentation d'une stratgie de groupe 73

Application pratique : Implmentation d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Emplacement de fichier Pour commencer la prsentation Implmentation d'une stratgie de groupe,
ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur Multimdia,
puis sur le titre de la prsentation. N'ouvrez pas cette prsentation avant d'y tre
invit par l'instructeur.
Objectif Dans cette application pratique, vous allez dterminer les effets de l'application
de certains paramtres de stratgie de groupe et de l'hritage des objets Stratgie
de groupe.
Instructions La prsentation Implmentation d'une stratgie de groupe inclut des exercices
de type QCM et glisser-dplacer destins tester vos connaissances. Lisez les
instructions et commencez la prsentation sous l'onglet Effets des paramtres
Stratgie de groupe.
74 Module 5 : Implmentation d'une stratgie de groupe

Atelier A : Implmentation d'une stratgie de groupe

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs la fin de cet atelier, vous serez mme d'effectuer les tches suivantes :
! crer et configurer des objets Stratgie de groupe ;
! lier des objets Stratgie de groupe ;
! vrifier les paramtres de stratgie de groupe.

Conditions pralables Avant de travailler sur cet atelier, vous devez :


! connatre la console Gestion de stratgie de groupe ;
! connatre l'diteur d'objets de stratgie de groupe et l'Assistant Modlisation
de stratgie de groupe.

Dure approximative
de cet atelier :
75 minutes
Module 5 : Implmentation d'une stratgie de groupe 75

Exercice 1
Cration et configuration d'objets Stratgie de groupe
Dans cet exercice, vous allez crer une unit d'organisation pour le service Comptabilit et sparer
les units d'organisation pour les groupes Crances et Dettes au sein du service Comptabilit. Vous
allez ensuite crer et configurer des objets Stratgie de groupe pour les groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.

Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de l'objet Stratgie de
groupe de l'entreprise. Vous allez crer un objet Stratgie de groupe standard Accounting pour
supprimer la commande Excuter du menu Dmarrer et supprimer la commande Arrter des
utilisateurs et ordinateurs. Les rgles de l'entreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et qu'ils comportent au moins huit caractres. Chaque mot de passe
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de l'organisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.

Tches Instructions spcifiques

1. Crer la structure trois a. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser


units d'organisation. (Nom_Ordinateur dsignant le nom de l'ordinateur sur lequel vous
travaillez) avec le mot de passe P@ssw0rd, si vous n'tes pas dj
connect.
b. Utilisez la commande Excuter en tant que pour ouvrir la
console Utilisateurs et ordinateurs Active Directory. Utilisez
Votre_Domaine\Administrateur comme nom d'utilisateur et le mot
de passe P@ssw0rd, puis crez les units d'organisation suivantes :
Accounting
Accounts Receivable
Accounts Payable

2. Crer l'objet Stratgie de a. Crez un nouvel objet Stratgie de groupe.


groupe Accounting et b. Liez l'objet Stratgie de groupe l'unit d'organisation Accounting.
vrifier que les paramtres
cls sont propags c. Configurez les paramtres de stratgie de groupe suivants :
l'ensemble des utilisateurs Supprimer le menu Excuter du menu Dmarrer
dans Accounting. Supprimer et empcher l'accs la commande Arrter
Appliqu
76 Module 5 : Implmentation d'une stratgie de groupe

Tches Instructions spcifiques

3. Copier l'objet Stratgie de a. Copiez l'objet Stratgie de groupe Accounting.


groupe Accounting et lui b. Donnez le nom de Accounts Receivable la copie.
donner le nom de Accounts
Receivable.
4. Configurer l'objet Stratgie " Modifiez l'objet Stratgie de groupe Accounts Receivable pour dfinir
de groupe Accounts les stratgies sur la valeur suivante :
Receivable. Supprimer l'application Ajouter ou supprimer des
programmes

5. Copier l'objet Stratgie de a. Copiez l'objet Stratgie de groupe Accounting.


groupe Accounting et lui b. Donnez le nom de Accounts Payable la copie.
donnez le nom de Accounts
Payable.
6. Configurez l'objet Stratgie " Modifiez l'objet Stratgie de groupe Accounts Payable pour dfinir les
de groupe Accounts stratgies sur la valeur suivante :
Payable. Dsactiver le verrouillage de l'ordinateur (le chemin
d'accs cette option est Configuration utilisateur\Modles
d'administration\Systme\Options Ctrl+Alt+Suppr).
Module 5 : Implmentation d'une stratgie de groupe 77

Exercice 2
Liaison d'objets Stratgie de groupe
Dans cet exercice, vous allez lier des objets Stratgie de groupe l'unit d'organisation approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.

Tches Instructions spcifiques

" Lier les objets Stratgie de " Dans la console Gestion de stratgie de groupe, liez les units
groupe Accounts Receivable d'organisation suivantes l'objet Stratgie de groupe appropri :
et Accounts Payable l'unit Accounts Receivable
d'organisation approprie.
Accounts Payable
78 Module 5 : Implmentation d'une stratgie de groupe

Exercice 3
Vrification des paramtres de stratgie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour vrifier
les paramtres de stratgie de groupe que vous avez configurs dans les exercices prcdents.

Tches Instructions spcifiques

1. Utiliser l'Assistant a. Dans la console Gestion de stratgie de groupe, ouvrez l'Assistant


Modlisation de stratgie Modlisation de stratgie de groupe.
de groupe pour vrifier les b. Acceptez les valeurs par dfaut pour chaque unit d'organisation
objets Stratgie de groupe Accounting.
Accounting.
2. Passer en revue les rsultats a. Affichez les trois rsultats de modlisation que vous avez crs
de l'Assistant Modlisation l'tape prcdente.
de stratgie de groupe pour b. Passez les paramtres en revue pour vous assurer de leur homognit.
vrifier les paramtres de
stratgie de groupe.
Module 6 : Dploiement et
gestion des logiciels l'aide
d'une stratgie de groupe
Table des matires

Vue d'ensemble 1
Leon : Prsentation de la gestion du
dploiement de logiciels 2
Leon : Dploiement de logiciels 7
Leon : Configuration du dploiement
des logiciels 19
Leon : Maintenance des logiciels
dploys 28
Leon : Rsolution des problmes lis
au dploiement de logiciels 37
Leon : Planification d'une stratgie de
dploiement de logiciels 45
Atelier A : Dploiement et gestion
des logiciels l'aide d'une stratgie
de groupe 53
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.

Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.

2003 Microsoft Corporation. Tous droits rservs.

Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.

Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe iii

Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires des informations sur le dploiement et la
120 minutes gestion des logiciels l'aide de la stratgie de groupe dans Microsoft Windows
Server 2003. Le module met l'accent sur les concepts de base du dploiement
Atelier : de logiciels ; sur la configuration, la maintenance et le dpannage des logiciels
60 minutes dploys, et sur la planification du dploiement de logiciels.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! expliquer les concepts de base du dploiement de logiciels l'aide de la
stratgie de groupe ;
! dployer des logiciels l'aide de la stratgie de groupe ;
! configurer le dploiement de logiciels l'aide de la stratgie de groupe ;
! assurer la maintenance des logiciels dploys l'aide de la stratgie de
groupe ;
! rsoudre quelques problmes courants lis au dploiement des logiciels ;
! planifier une stratgie de dploiement de logiciels.

Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint
2194A_06.ppt.

Important Il est recommand d'utiliser PowerPoint 2002 ou une version


ultrieure pour afficher les diapositives de ce cours. Si vous utilisez la
Visionneuse PowerPoint ou une version antrieure de PowerPoint, il se peut
que toutes les fonctionnalits des diapositives ne s'affichent pas correctement.

Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire l'Annexe B Publication des packages d'Installateur non-Windows sur
le CD-ROM du stagiaire ;
! lire l'Annexe C Utilisation de DFS sur le CD-ROM du stagiaire ;
! lire le livre blanc Windows Installer Service Overview (en anglais) sous
Documentation supplmentaire sur la page Web du CD-ROM du
stagiaire ;
! lire le livre blanc Windows 2000 Server Software Installation and
Maintenance (en anglais) sous Documentation supplmentaire sur la page
Web du CD-ROM du stagiaire.
iv Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Comment animer ce module


Cette section contient des informations qui ont pour but de vous aider animer
ce module.

Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.

Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.

Remarque Certaines rubriques font rfrence des informations


complmentaires situes dans les annexes. Les stagiaires n'ont pas besoin de
ces informations pour excuter les tches prsentes dans ce module. Avant
d'animer la classe, passez en revue ces informations dans la page des annexes
sur le CD-ROM du stagiaire. Durant la classe, indiquez ces annexes aux
stagiaires pour obtenir des informations complmentaires.

Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.

Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent
des tapes dcrites pour effectuer l'application pratique la fin de chaque leon.

Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.

Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe v

Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.

Leon : Prsentation de la gestion du dploiement de logiciels


Les informations de cette leon prsentent les connaissances de base requises
pour permettre aux stagiaires de grer le dploiement de logiciels. Prsentez la
gestion du dploiement de logiciels en dcrivant brivement chaque phase
d'installation logicielle, en vitant de trop entrer dans les dtails de chaque phase.
Prsentez Microsoft Windows Installer et dcrivez son rle dans l'installation
et la maintenance des logiciels. Analysez quelques-uns des problmes courants
auxquels les administrateurs sont confronts lors du dploiement et de la
gestion de logiciel au sein d'une organisation.
Il se peut que les stagiaires aient des questions portant sur des packages autres
que Windows Installer. Lisez l'Annexe B Publication des packages
d'Installateur non-Windows sur le CD-ROM du stagiaire pour plus
d'informations sur l'utilisation de packages autres que Windows installer.
Application pratique Cette leon ne comporte pas d'application pratique.

Leon : Dploiement de logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de dployer des logiciels. Prsentez le
processus de dploiement des logiciels. Dcrivez le processus de cration d'un
point de distribution de logiciels. Discutez des consignes de cration d'un point
de distribution de logiciels dans la leon sur la planification. Discutez des
avantages lis la publication des logiciels plutt qu' leur installation.
Expliquez la distinction entre affecter un logiciel un utilisateur et l'affecter
un ordinateur. Expliquez quand il peut tre plus appropri d'affecter un logiciel
un utilisateur ou des ordinateurs. Montrez comment les utilisateurs peuvent
utiliser Ajouter ou supprimer des programmes du Panneau de configuration
pour installer des logiciels. Expliquez le processus utilis lorsqu'un utilisateur
clique double-clique sur un type de fichier inconnu. Illustrez la procdure
d'utilisation de la stratgie de groupe pour l'affectation et la publication du
package de logiciels. Montrez comment modifier les options de dploiement
pour une application.
Expliquez aux stagiaires qu'ils peuvent configurer les options par dfaut
d'installation logicielle pour les objets Stratgie de groupe courants (GPO,
Group Policy Object) lorsqu'ils ajoutent simultanment plusieurs applications
un objet Stratgie de groupe et qu'ils veulent utiliser les mmes options pour
elles par dfaut. Bien que les stagiaires aient peut-tre dfini globalement les
paramtres par dfaut pour de nouveaux packages dans l'objet Stratgie de
groupe, ils peuvent ultrieurement modifier certains de ces mmes paramtres
en ditant les proprits du package.
vi Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
options relatives aux logiciels dploys.
Application pratique Au cours de l'application pratique et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour dployer des logiciels
l'aide de la stratgie de groupe.

Leon : Configuration du dploiement des logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de configurer le dploiement de logiciels.
Prsentez la configuration du dploiement de logiciels. Expliquez comment
vous utilisez des catgories de logiciels pour classer des applications dans
Ajouter ou supprimer des programmes. Expliquez le concept de gestion des
extensions de noms de fichiers l'aide du composant Installation de logiciel de
la stratgie de groupe. Prcisez qu'une liste des extensions de noms de fichiers
et des applications qui leur sont associes sont stockes dans le service
d'annuaire Active Directory. Illustrez le concept d'ajout de modifications un
package de logiciels. Indiquez aux stagiaires l'onglet Modifications de la bote
de dialogue des proprits pour une application publie, et dcrivez comment
ajouter un fichier de transformation.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise lorsqu'ils configurent le
dploiement de logiciels.

Leon : Maintenance des logiciels dploys


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires d'assurer la maintenance des logiciels
dploys. Prsentez le concept de maintenance des logiciels dploys. Illustrez
la procdure utilise pour le dploiement d'une mise niveau obligatoire ou
facultative. Montrez comment redployer des logiciels. Insistez sur le fait qu'un
redploiement exige que vous obteniez les fichiers d'application mis jour ainsi
qu'un nouveau fichier de package Windows Installer. Expliquez le processus
utilis pour la suppression de logiciels dploys. Illustrez la procdure utilise
pour la suppression de logiciels dploys. Prcisez que lorsque vous configurez
un objet Stratgie de groupe, le logiciel est automatiquement supprim.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour assurer la maintenance
des logiciels dploys.

Leon : Rsolution des problmes lis au dploiement de logiciels


Les informations de cette leon prsentent les connaissances et les comptences
requises pour permettre aux stagiaires de rsoudre des problmes courants lis
au dploiement des logiciels. Indiquez aux stagiaires qu'ils peuvent tre
confronts des problmes lors du dploiement de logiciels l'aide de la
stratgie de groupe. Prsentez quelques-uns problmes les plus courants
auxquels ils pourraient tre confronts, ainsi que les stratgies suggres
pour les rsoudre.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe vii

Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires
de se reporter au scnario d'entreprise lorsqu'ils procdent au dpannage d'un
dploiement de logiciels.

Leon : Planification d'une stratgie de dploiement de logiciels


Les informations de cette leon prsentent les comptences et les connaissances
requises pour que les stagiaires puissent planifier une stratgie de dploiement de
logiciels en appliquant les instruction de planification des points de distribution
de logiciels, les objets Stratgie de groupe et la maintenance des logiciels. La
section de ce cours relative la planification suppose que l'ingnieur systme a
reu une conception d'Active Directory mais qu'il doit dvelopper une stratgie
pour le dploiement de logiciels l'aide de la stratgie de groupe.
Il est important de comprendre le systme de fichiers DFS (DFS, Distributed
File System) pour la planification des points de distribution de logiciels. Ce
cours n'enseigne pas le concept de DFS. En consquence, lisez l'Annexe C
Utilisation de DFS sur le CD-ROM du stagiaire et encouragez les stagiaires
faire de mme.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires
de se reporter au scnario d'entreprise lorsqu'ils planifient une stratgie de
dploiement de logiciels. Expliquez le scnario avec les stagiaires et dites-leur
qui sera leur partenaire de domaine. Dterminez les paramtres requis pour que
les stagiaires remplissent les objectifs du scnario. Demandez aux stagiaires de
se tenir prts argumenter leurs dcisions.

Atelier A : Dploiement et gestion des logiciels l'aide d'une


stratgie de groupe
L'atelier de ce module donne aux stagiaires l'occasion de dployer et de grer
des logiciels l'aide de la stratgie de groupe. Les stagiaires prpareront leur
contrleur de domaine destin hberger les logiciels installs l'aide de la
stratgie de groupe, puis ils vrifieront les paramtres d'affectation des logiciels.
En travaillant sur le contrleur de domaine qui leur est affect, les stagiaires
vrifieront les paramtres d'installation logicielle en se connectant en tant
qu'utilisateur recevant des paramtres pour l'objet Stratgie de groupe cr
dans le cadre de la tche prcdente. Les stagiaires testeront les paramtres
en examinant les nouveaux logiciels installs pour cet utilisateur.
Pour prparer la publication des logiciels, les stagiaires supprimeront le package
qu'ils avaient affect dans l'exercice prcdent, puis utiliseront ce mme
package pour comparer les diffrences. Aprs suppression du package affect,
les stagiaires diteront la stratgie de groupe pour publier une application et
vrifieront les paramtres de publication des logiciels. Ils supprimeront ensuite
les logiciels dploys prcdemment en ditant la stratgie de groupe.
Pour finir, les stagiaires mettront niveau les logiciels qu'ils ont dploys.
Lorsque la mise niveau sera termine, les stagiaires vrifieront que celle-ci
a bien install la nouvelle application.
viii Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise L'atelier de ce module exige que la console Gestion des stratgies de groupe
(GPMC, Group Policy Management Console), un composant logiciel
enfichable MMC (Microsoft Management Console), soit installe. Pour
prparer les ordinateurs des stagiaires remplir cette condition, vrifiez que les
stagiaires ont effectu l'application pratique Cration et configuration d'objets
Stratgie de groupe du Module 5. S'ils ne l'ont pas ralise, ils doivent installer
la console Gestion des stratgies de groupe partir de \\LONDON\Setup.

Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre l'objet Stratgie de groupe de dploiement de logiciels de l'atelier.
! Elle affectation l'application Cosmo 1.
! Elle publie l'application Cosmo 1.
! Elle met niveau l'application Cosmo 1 l'aide de l'application Cosmo 2.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 1

Vue d'ensemble

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Microsoft Windows Server 2003 comporte une fonctionnalit appele
Installation et maintenance du logiciel qui utilise le service d'annuaire Active
Directory, la stratgie de groupe et Microsoft Windows Installer pour installer,
grer et supprimer des logiciels sur les ordinateurs dans votre organisation.
L'utilisation d'une mthode de gestion de dploiement de logiciels base sur une
stratgie garantit que les applications dont les utilisateurs ont besoin pour faire
leur travail sont disponibles o et quand elles sont requises.
Objectifs la fin de ce module, vous serez mme d'effectuer les tches suivantes :
! expliquer les concepts de base du dploiement de logiciels l'aide de la
stratgie de groupe ;
! dployer des logiciels l'aide de la stratgie de groupe ;
! configurer le dploiement de logiciels l'aide de la stratgie de groupe ;
! assurer la maintenance des logiciels dploys l'aide de la stratgie de
groupe ;
! rsoudre quelques problmes courants lis au dploiement des logiciels ;
! planifier une stratgie de dploiement de logiciels.
2 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Leon : Prsentation de la gestion du dploiement


de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous grez des logiciels l'aide de l'extension Installation de logiciel
de la stratgie de groupe, les utilisateurs ont un accs immdiat au logiciel dont
ils ont besoin pour faire leur travail, et ils travaillent de manire transparente
avec le logiciel pendant toute sa dure de vie. Le cycle de vie des logiciels
est compos de quatre phases : prparation, dploiement, maintenance et
suppression. La stratgie de groupe Installation de logiciels utilise la
technologie Microsoft Windows Installer pour grer le processus d'installation.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire chaque phase du processus d'installation et de maintenance du
logiciel de dploiement de logiciels ;
! expliquer comment vous utilisez Windows Installer pour installer les
logiciels et assurer leur maintenance.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 3

Processus d'installation et de maintenance de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Windows Server 2003 vous permet d'utiliser la stratgie de groupe pour grer le
processus de dploiement de logiciels de manire centralise ou partir d'un
emplacement. Vous pouvez appliquer des paramtres de stratgie de groupe
des utilisateurs ou des ordinateurs dans un site, un domaine ou une unit
d'organisation pour automatiser l'installation, la mise niveau ou la suppression
de logiciels. L'application de paramtres de stratgie de groupe des logiciels
vous permet de grer les diverses phases du dploiement de logiciels sans
dployer ceux-ci individuellement sur chaque ordinateur.
Processus La liste suivante dcrit chaque phase du processus d'installation et de
maintenance du logiciel :
1. Prparation. Vous devez dterminer tout d'abord si vous pouvez dployer
le logiciel l'aide de la structure des objets Stratgie de groupe courante.
Vous devez galement identifier les risques lis l'utilisation de
l'infrastructure courante susceptibles d'empcher l'installation logicielle.
Prparez les fichiers permettant le dploiement d'une application l'aide de
la stratgie de groupe en copiant les fichiers de package Windows Installer
pour une application dans un point de distribution de logiciels, qui peut
tre un dossier partag sur un serveur. Vous pouvez acqurir un fichier
de package Windows Installer auprs du fournisseur de l'application, ou
en crer un l'aide d'un utilitaire tiers.
2. Dploiement. Vous crez un objet Stratgie de groupe qui installe le logiciel
sur l'ordinateur et relie l'objet Stratgie de groupe un conteneur Active
Directory appropri. Le logiciel est install au dmarrage de l'ordinateur
ou lorsqu'un utilisateur dmarre l'application.
4 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

3. Maintenance. Vous procdez la mise niveau d'un logiciel avec une


nouvelle version, ou vous redployez un logiciel avec un Service Pack
ou une mise niveau du logiciel. Le logiciel est alors mis niveau ou
redploy automatiquement au dmarrage de l'ordinateur ou lorsqu'un
utilisateur dmarre l'application.
4. Suppression. Pour liminer un logiciel qui n'est plus requis, supprimez
les paramtres du package de logiciels dans l'objet Stratgie de groupe
l'origine de son dploiement. Le logiciel est automatiquement supprim au
dmarrage de l'ordinateur ou lorsqu'un utilisateur ouvre une session.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 5

Dfinition de Windows Installer

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Windows Server 2003 utilise Windows Installer pour permettre la stratgie
de groupe de dployer et de grer des logiciels. Ce composant automatise
l'installation et la suppression d'applications en appliquant durant le processus
d'installation un jeu de rgles de configuration dfinies de faon centralise.
Composants de Windows Installer contient deux composants :
Windows Installer
! Le service Windows Installer. Ce service ct client automatise intgralement
le processus d'installation et de configuration logicielle. Le service Windows
Installer peut galement modifier ou rparer une application installe
existante. Il installe une application directement partir du CD-ROM ou
l'aide de la stratgie de groupe. Pour installer une application, le service
Windows Installer a besoin d'un package Windows Installer.
! Le package Windows Installer. Ce fichier de package contient toutes les
informations dont le service Windows Installer a besoin pour installer ou
dsinstaller des logiciels. Un fichier de package contient :
Un fichier Windows Installer portant une extension .msi.
Tout fichier source externe requis pour installer ou dsinstaller
le logiciel.
Un rsum des informations standard concernant le logiciel et
le package.
Les fichiers du produit ou une rfrence un point d'installation o
ces fichiers se trouvent.
6 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Avantages Les avantages de l'utilisation de la technologie Windows Installer sont


les suivants :
! Installations personnalises. Des fonctionnalits optionnelles dans une
application, telles que des images clipart ou un thsaurus, peuvent tre
visibles dans un programme sans que la fonctionnalit ne soit installe.
Bien que les commandes du menu soient accessibles, la fonctionnalit n'est
pas installe avant que l'utilisateur n'accde la commande dans le menu.
Cette mthode d'installation contribue rduire la fois la complexit
de l'application et la quantit d'espace qu'elle occupe sur le disque dur.
! Applications tolrantes aux pannes. Si un fichier critique est supprim ou
endommag, l'application rcupre automatiquement une nouvelle copie
du fichier partir de la source d'installation, sans que l'utilisateur n'ait
intervenir.
! Suppression propre. Windows Installer dsinstalle des applications sans
laisser de fichiers orphelins ni endommager une autre application par
inadvertance par exemple, lorsqu'un utilisateur supprime un fichier
partag dont une autre application a besoin. De plus, Windows Installer
supprime tous les paramtres de registre lis l'application et stocke dans
une base de donnes les transactions d'installation et les fichiers journaux
qui en dcoulent.

Remarque Lorsqu'il n'est pas plausible d'utiliser un logiciel de


reconditionnement pour reconditionner une application, ou lorsqu'un fichier
de package Windows Installer n'est pas disponible, utilisez des fichiers .zap
(packages autres que Windows Installer) pour publier les applications.
Pour obtenir des informations sur les packages autres que Windows Installer,
reportez-vous l'annexe B Publication des packages d'Installateur non-
Windows sur le CD-ROM du stagiaire. Consultez galement le livre blanc
Windows Installer Service Overview (en anglais) sous Documentation
supplmentaire sur la page Web du CD-ROM du stagiaire.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 7

Leon : Dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Le dploiement de logiciels garantit que les applications requises sont
disponibles partir de chaque ordinateur auquel l'utilisateur se connecte.
Du point de vue de l'utilisateur, les logiciels sont toujours disponibles et
fonctionnels. Les administrateurs peuvent installer l'avance les logiciels pour
les utilisateurs ou permettre ceux-ci d'installer au coup par coup les logiciels
dont ils ont besoin.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer le processus du dploiement de logiciels l'aide de la stratgie
de groupe ;
! expliquer le rle de l'affectation et de la publication de logiciels ;
! crer un point de distribution de logiciels pour dployer ces derniers ;
! crer un objet Stratgie de groupe pour affecter des logiciels ou les publier ;
! dcrire les options par dfaut d'installation de logiciels ;
! modifier les options d'installation de logiciels.
8 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Vue d'ensemble du processus de dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lors du dploiement de logiciels, vous spcifiez comment les applications sont
installes et gres dans votre organisation.
Processus Excutez les tches suivantes pour utiliser la stratgie de groupe pour le
dploiement de nouveaux logiciels :
1. Crez un point de distribution de logiciels. Ce dossier partag sur votre
serveur contient les fichiers de package et de logiciels permettant le
dploiement de logiciels. Lorsque des logiciels sont installs sur un
ordinateur local, Windows Installer copie des fichiers partir de ce point
de distribution. Le fait de rassembler les fichiers en un mme endroit pour
chaque application simplifie l'administration.
2. Utilisez un objet Stratgie de groupe pour le dploiement des logiciels.
Vous devez crer ou modifier en consquence un objet Stratgie de groupe
pour le conteneur dans lequel vous souhaitez dployer l'application.
Vous pouvez configurer l'objet Stratgie de groupe pour le dploiement de
logiciels pour un compte d'utilisateur ou d'ordinateur. Cette tche inclut
la slection du type de dploiement dont vous avez besoin.
3. Modifiez les proprits de dploiement des logiciels. En fonction de vos
besoins, vous pouvez modifier les proprits qui avaient t dfinies durant
le dploiement initial des logiciels.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 9

Affectation de logiciels et publication de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction L'affectation de logiciels et la publication de logiciels constituent les deux types
de dploiement.
Pourquoi affecter L'affectation des logiciels vous permet de vous assurer que l'utilisateur peut en
un logiciel ? disposer en permanence. Des raccourcis dans le menu Dmarrer et des icnes
sur le Bureau correspondant aux logiciels apparaissant lorsque l'utilisateur
ouvre une session. Par exemple, si l'utilisateur ouvre un fichier qui utilise
Microsoft Excel sur un ordinateur qui ne comporte pas Excel, mais que ce
logiciel a t affect l'utilisateur, Windows Installer installe Excel sur cet
ordinateur lorsque l'utilisateur ouvre le fichier concern.
En outre, l'affectation de logiciels fait que ceux-ci sont tolrants aux pannes.
Si, pour une raison quelconque, l'utilisateur supprime un logiciel, Windows
Installer le rinstalle lorsque l'utilisateur se reconnecte et dmarre l'application.
Pourquoi publier La publication des logiciels vous permet de vous assurer qu'ils sont disponibles
un logiciel ? aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows
Installer n'ajoute pas de raccourcis sur le Bureau de l'utilisateur ou dans le menu
Dmarrer, et aucune entre n'est enregistre dans le registre local. Comme les
utilisateurs doivent installer des logiciels publis, vous ne pouvez publier des
logiciels qu'auprs d'utilisateurs, pas auprs d'ordinateurs.
10 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Mthodes d'affectation Vous pouvez affecter et publier des logiciels l'aide de l'une des mthodes du
et de publication de tableau suivant.
logiciels

Mthode de
dploiement Mthode 1 Mthode 2

Affectation Durant la configuration de l'utilisateur. Durant la configuration de l'ordinateur.


Lorsque vous affectez un logiciel un Lorsque vous affectez un logiciel un
utilisateur, le logiciel est publi sur le Bureau ordinateur, aucune publication n'a lieu.
de l'utilisateur lorsque celui-ci se connecte. Le logiciel est install automatiquement
L'installation ne commence pas tant que au dmarrage de l'ordinateur. L'affectation
l'utilisateur ne double-clique pas sur l'icne d'un logiciel un ordinateur garantit la
de l'application ou sur un fichier qui lui est disponibilit de certaines applications sur
associ ; cette mthode est appele Activation cet ordinateur, quelle que soit la personne
de document. Si l'utilisateur n'active pas qui l'utilise. Vous ne pouvez pas affecter
l'application, le logiciel n'est pas install, de logiciel un ordinateur servant de
ce qui conomise de l'espace sur le disque contrleur de domaine.
dur et permet de gagner du temps.
Publication l'aide d'Ajouter ou supprimer des l'aide de l'activation de document.
programmes. L'utilisateur peut ouvrir le Lorsque vous publiez une application dans
Panneau de configuration et double-cliquer sur Active Directory, les extensions de noms
Ajouter ou supprimer des programmes pour de fichiers des documents qu'elle prend en
afficher les applications disponibles. charge sont enregistres dans Active
L'utilisateur peut slectionner une application Directory. Si un utilisateur double-clique
puis cliquer sur Ajouter. sur un type de fichier inconnu, l'ordinateur
envoie une requte Active Directory
pour dterminer si l'une des applications
est associe l'extension. Si Active
Directory contient l'application requise,
l'ordinateur l'installe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 11

Cration d'un point de distribution de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour dployer des logiciels pour des utilisateurs ou en assurer la disponibilit
pour que ceux-ci les installent quand ils en ont besoin, crez un ou plusieurs
points de distribution de logiciels dans lesquels vous copierez les logiciels
concerns.
Procdure Pour crer un point de distribution de logiciels, procdez comme suit :
1. Crez un dossier partag.
2. Crez les dossiers d'applications appropris dans le dossier partag.
3. Dfinissez l'autorisation approprie pour le dossier partag. Affectez aux
utilisateurs l'autorisation en lecture (Read) sur le systme de fichier NTFS
afin qu'ils puissent accder aux fichiers d'installation logicielle requis dans
le point de distribution de logiciels.
4. Copiez dans les dossiers appropris les packages Windows Installer ainsi
que les fichiers connexes.
12 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Utilisation d'un objet Stratgie de groupe pour le dploiement de


logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Aprs avoir cr un point de distribution de logiciels, crez un objet Stratgie
de groupe qui dploie ces applications, puis reliez l'objet Stratgie de groupe au
conteneur qui contient les utilisateurs ou les ordinateurs auprs desquels vous
souhaitez dployer des logiciels.

Important N'affectez ni ne publiez plusieurs fois un package Windows Installer


dans un mme objet Stratgie de groupe. Par exemple, si vous affectez
Microsoft Office XP aux ordinateurs affects par un objet Stratgie de groupe,
ne l'affectez ni ne le publiez aux utilisateurs affects par ce mme objet
Stratgie de groupe.

Procdure Pour utiliser un objet Stratgie de groupe pour le dploiement de logiciels,


procdez comme suit :
1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, pointez sur Nouveau, puis
cliquez sur Package.
3. Dans la bote de dialogue Ouvrir un fichier, naviguez jusqu'au point
de distribution de logiciels l'aide du nom UNC (Universal Naming
Convention) par exemple, \\Nom_Serveur\Nom_Partage
slectionnez le fichier de package, puis cliquez sur Ouvrir.
4. Dans la bote de dialogue Dploiement du logiciel, slectionnez une
mthode de dploiement, puis cliquez sur OK.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 13

Options par dfaut pour installation logicielle

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous pouvez configurer les options par dfaut d'installation logicielle
pour l'objet Stratgie de groupe courant lorsque vous souhaitez ajouter
simultanment plusieurs applications un objet Stratgie de groupe ou utiliser
les mmes options pour elles par dfaut.
Options Le tableau suivant rpertorie les options par dfaut d'installation logicielle.
Option Description

Emplacement des Emplacement du point de distribution de logiciels qui


packages par contient les fichiers de package .msi Vous pouvez spcifier
dfaut tout emplacement contenant le package de logiciels, mais
assurez-vous que le point de distribution est un chemin UNC
plutt qu'une unit locale.
Lors de l'ajout de Utilisez l'option Afficher la boite de dialogue de dploiement
nouveaux packages de logiciel pour afficher une bote de dialogue pour chaque
dans les paramtres fichier de package que vous ajoutez l'objet Stratgie de
utilisateur groupe. Cette bote de dialogue vous invite publier ou
affecter le nouveau fichier de package.
Utilisez l'option Publier pour publier automatiquement par
dfaut un nouveau fichier de package d'installation sous
Configuration utilisateur (cette option n'apparat pas sous
Configuration ordinateur). Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre publies.
Utilisez l'option Attribuer pour affecter automatiquement un
nouveau fichier de package. Utilisez cette option si vous
envisagez d'ajouter cet objet Stratgie de groupe plusieurs
applications devant tre affectes.
Utilisez l'option Avanc pour obtenir un meilleur contrle sur
une base par package par exemple, lorsque vous utilisez des
transformations.
14 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

(suite)
Option Description

Options de Les packages de Windows Installer sont souvent fournis avec


l'interface deux interfaces de configuration. L'interface De base installe
utilisateur de les logiciels en utilisant des valeurs par dfaut. L'interface
l'installation Toutes invite l'utilisateur entrer des valeurs. Vous pouvez
choisir quelle interface afficher pour les utilisateurs durant la
configuration.

Remarque Pour plus d'informations sur les options des logiciels dploys,
reportez-vous la rubrique Options par dfaut pour installation logicielle
de la page d'annexe du Module 6 sur le CD-ROM du stagiaire.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 15

Modification des options d'installation logicielle

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Un objet Stratgie de groupe peut contenir plusieurs paramtres qui affectent la
manire dont une application est installe, gre et supprime. Vous pouvez
dfinir globalement dans l'objet Stratgie de groupe les paramtres par dfaut
pour les nouveaux packages. Vous pouvez modifier ultrieurement certains de
ces paramtres en ditant les proprits du package dans l'extension Installation
de logiciel.
Aprs avoir dploy un package de logiciels, vous pouvez modifier les
proprits qui avaient t dfinies durant le dploiement initial des logiciels.
Vous pouvez, par exemple, empcher que les utilisateurs n'installent un package
de logiciels l'aide de l'activation de document.
Procdure de Pour configurer les options par dfaut d'installation logicielle, procdez
configuration des comme suit :
options par dfaut
d'installation logicielle 1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, puis cliquez sur Proprits.
3. Dans l'onglet Gnral, configurez les options suivantes d'installation
logicielle :
Emplacement par dfaut du package
Lors de l'ajout de nouveaux packages aux paramtres utilisateur
Options de l'interface utilisateur de l'installation
4. Dans l'onglet Avances, slectionnez l'option Dsinstaller les applications
lorsqu'elles se trouvent en dehors de l'tendue de la gestion.
16 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Procdure de Pour modifier les proprits de dploiement de logiciels d'un package de


modification des options logiciels, procdez comme suit :
relatives aux packages
de logiciels dploys 1. Dans Installation logicielle, cliquez avec le bouton droit sur le package
dploy, puis cliquez sur Proprits.
2. Dans la bote de dialogue Proprits de l'application, dans l'onglet
Dploiement, modifiez les options suivantes du package de logiciels
dploy :
Type de dploiement
Options de dploiement
Options de l'interface utilisateur de l'installation
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 17

Application pratique : Dploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez crer un objet Stratgie de groupe
l'aide d'un package .msi pour publier une application.
Scnario Northwind Traders veut s'assurer que tout le personnel informatique peut grer
le dploiement de logiciels dans toute l'organisation. Avant que l'quipe
informatique ne dploie des logiciels dans toute l'organisation, vous devez
garantir un environnement scuris. Vous utiliserez le package des outils
de support de Windows comme application de test. Vous devez dployer
correctement cette application dans l'environnement de test avant de la
diffuser dans l'environnement de production.
Application pratique ! Dploiement de logiciels
1. Ouvrez une session sous Nwtradersx\Nom_OrdinateurUser
(Nom_Ordinateur tant le nom de l'ordinateur sur lequel vous travaillez).
2. Cliquez sur Dmarrer, pointez sur Outils d'administration, cliquez avec
le bouton droit sur Gestion des stratgies de groupe, puis cliquez sur
Excuter en tant que.
3. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez votre_domaine\Administrateur comme nom d'utilisateur,
avec pour mot de passe P@ssw0rd et cliquez ensuite sur OK.
4. Dans Gestion des stratgies de groupe, dveloppez Fort, puis Domaines,
dveloppez votre_domaine, puis dveloppez et cliquez ensuite sur Objets
de stratgie de groupe.
5. Cliquez avec le bouton droit sur Objets de stratgie de groupe, cliquez sur
Nouveau, tapez Practice Software Deployment puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Practice Software Deployment, puis
cliquez sur Editer.
7. Dans l'diteur des objets de stratgie de groupe, sous Configuration
utilisateur, dveloppez Paramtres du logiciel, puis cliquez sur
Installation logicielle.
18 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

8. Cliquez avec le bouton droit sur Installation logicielle, pointez sur


Nouveau, puis cliquez sur Package.
9. Dans la bote de dialogue Ouvrir, naviguez jusqu' \\London\Labfiles\
Lab6\COSMO1, cliquez sur COSMO1.MSI, puis cliquez sur Ouvrir.
10. Dans la bote de dialogue Dploiement du logiciel, cliquez sur OK.
11. Fermez l'diteur des objets de stratgie de groupe.
12. Dans Gestion des stratgies de groupe, dveloppez l'unit d'organisation
Nom_Ordinateur, cliquez avec le bouton droit sur l'unit d'organisation
Recherche, cliquez sur Link an Existing GPO, puis sur Practice Software
Deployment, puis cliquez sur OK.
13. Fermez Gestion des stratgies de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 19

Leon : Configuration du dploiement des logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Installation de logiciel dans la stratgie de groupe inclut des options de
configuration de logiciels dploys. Vous pouvez dployer plusieurs
configurations diffrentes d'une application et contrler comment cette
application est affecte ou publie chaque fois que les fonctions d'un utilisateur
changent. Vous pouvez galement simplifier la tche de dploiement de
logiciels en catgorisant les programmes rpertoris dans Ajouter ou
supprimer des programmes, en associant des extensions de noms de fichiers
avec des applications, et en ajoutant des modifications aux logiciels dploys.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! expliquer le rle des catgories de logiciels ;
! crer des catgories de logiciels pour classer des applications dans Ajouter
ou supprimer des programmes ;
! expliquer pourquoi il est utile d'associer des extensions de noms de fichiers
des packages de logiciels ;
! associer des extensions de noms de fichiers des applications l'aide de
Installation de logiciel ;
! expliquer le rle de l'ajout de modifications aux logiciels ;
! ajouter des modifications un package de logiciels afin de permettre
diffrents groupes dans une organisation d'utiliser ce package de logiciels
de diffrentes manires.
20 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Dfinition des catgories de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous utilisez des catgories de logiciels pour organiser des logiciels affects et
publis en groupes logiques, afin que les utilisateurs puissent trouver aisment
les applications dans Ajouter ou supprimer des programmes du Panneau de
configuration. Windows Server 2003 est fourni sans catgories de logiciels
prdfinies.
Pourquoi crer des Vous pouvez crer des catgories de logiciels pour regrouper diffrentes
catgories de logiciels applications sous un en-tte spcifique. Au lieu de vous en remettre une liste
alphabtique des applications disponibles par dfaut, vous pouvez organiser les
logiciels en catgories, telles que Graphiques, Microsoft Office et Comptabilit.
Les utilisateurs peuvent alors choisir dans les catgories quelles applications
installer dans Ajouter ou supprimer des programmes.
tendue et conditions Les catgories de logiciels recouvrent plusieurs domaines. Vous les dfinissez
requises une seule fois pour toute une fort. Vous pouvez utiliser la mme liste de
catgories de logiciels dans toutes les stratgies dans la fort.
La catgorisation des applications exige tout d'abord la cration d'une catgorie,
puis l'affectation des applications la catgorie. Vous pouvez rpertorier des
packages sous plusieurs catgories.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 21

Cration de catgories de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction La catgorisation des logiciels exige tout d'abord la cration d'une catgorie de
logiciels, puis l'affectation de logiciels la catgorie.
Procdure de cration Pour crer une catgorie, procdez comme suit :
d'une catgorie
1. Crez ou ditez un objet Stratgie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que
vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le
publiez auprs d'utilisateurs), dveloppez Paramtres du logiciel, cliquez
avec le bouton droit sur Installation logicielle, puis cliquez sur Package.
3. Dans l'onglet Catgories, cliquez sur Ajouter pour entrer une nouvelle
catgorie.
4. Dans la zone Catgorie, tapez le nom de la catgorie puis cliquez deux fois
sur OK.

Procdure d'affectation Pour affecter un package de logiciels une catgorie, procdez comme suit :
d'un package de
logiciels une catgorie 1. Crez ou ditez un objet Stratgie de groupe contenant le package de
logiciels catgoriser.
2. Dans l'arborescence de la console, dveloppez Paramtres du logiciel,
puis cliquez sur Installation logicielle.
3. Dans le volet de dtails, cliquez avec le bouton droit sur le package de
logiciels, puis cliquez sur Proprits.
4. Dans l'onglet Catgories, affectez une ou plusieurs catgories au package
de logiciels en cliquant sur la catgorie dans la liste Catgories disponibles,
cliquez ensuite sur Slectionner, puis sur OK.
22 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Dfinition de l'association de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Pour dterminer quels logiciels les utilisateurs installent lorsqu'ils slectionnent
un fichier, vous pouvez choisir une extension de nom de fichier et configurer
une priorit d'installation des applications associes l'extension.
Pourquoi associer des Un ordinateur client gre une liste des extensions et des applications
extensions aux enregistres qui utilisent ces extensions. Lorsqu'un utilisateur double-clique sur
applications ? un type de fichier inconnu, Windows Installer utilise cette liste pour installer
une application. Les administrateurs ne peuvent contrler le contenu de cette
liste, mais ils peuvent dterminer la priorit d'installation ou de dmarrage des
applications lors d'une activation de document.
Exemple Par exemple, il se peut que votre organisation ait besoin d'utiliser la fois
Microsoft Word 2000 et Word 2002. Chaque traitement de texte peut tre
utilis dans un dpartement diffrent, mais ces deux applications utilisent
l'extension de fichier .doc. Vous devez ajuster les priorits de l'extension
pour chaque dpartement de sorte que le traitement de texte prfr est
install lorsque l'utilisateur active un document.
tendue Vous grez des associations d'application en fonction de chaque objet Stratgie
de groupe. La modification de l'ordre de priorit dans un objet Stratgie de
groupe n'affecte que les utilisateurs auxquels l'objet Stratgie de groupe
s'applique. Ainsi, si vous dfinissez Word 2002 comme l'application par dfaut
pour un objet Stratgie de groupe, ce ne sera le cas que pour les utilisateurs
dans cet objet Stratgie de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 23

Comment associer les extensions de noms de fichiers des


applications

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous dployez des logiciels l'aide de la stratgie de groupe, Active
Directory cre une liste des extensions de noms de fichiers qui sont associs
l'application. Lorsque vous dfinissez des ordres de priorit d'applications pour
les extensions, Windows Installer interroge Active Directory concernant cette
association.

Important Vous ne pouvez pas crer de nouvelles associations de noms de


fichier dans Installation de logiciel. En fonction des associations intgres des
applications dployes, vous ne pouvez dfinir un ordre de priorit que pour les
applications auxquelles plusieurs extensions sont associes.

Procdure Pour modifier l'ordre de priorit pour une application, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe que vous avez utilis pour dployer
l'application.
2. Dveloppez Configuration utilisateur, puis Paramtres du logiciel,
cliquez avec le bouton droit sur Installation de logiciel, puis cliquez sur
Proprits.
3. Dans la bote de dialogue Proprits de installation de logiciel, dans
l'onglet Extensions de fichiers, slectionnez une extension dans la liste
droulante.
24 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

4. Sous Priorit de l'application, cliquez sur Monter ou Descendre pour


dfinir l'ordre de priorit pour l'extension que vous avez slectionne.
La premire application rpertorie dans Windows Installer est celle qu'il
installe si un document portant l'extension slectionne est appel avant que
l'application n'ait t installe.

Remarque Vous ne pouvez associer des types de document qu'avec des


applications que vous avez dployes l'aide de la stratgie de groupe.
Par exemple, vous ne pouvez pas associer l'extension .doc Word 2002
moins d'avoir dploy Word 2002 l'aide de la stratgie de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 25

Dfinition de la modification de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Des modifications sont associes au package Windows Installer au moment
du dploiement plutt que lorsque Windows Installer utilise le package pour
installer ou modifier l'application.
Pourquoi ajouter des Le dploiement de plusieurs configurations d'une application permet
modifications ? diffrents groupes dans votre organisation d'utiliser un package de logiciels de
diffrentes manires. Vous pouvez utiliser des modifications de logiciels, ou
fichiers .mst (appels aussi fichiers de transformation), pour dployer plusieurs
configurations d'une application. Un fichier .mst est un package de logiciels
personnaliss qui modifie la manire dont Windows Installer installe le package
.msi associ.
Windows Installer applique des modifications aux packages selon l'ordre que
vous spcifiez. Pour enregistrer les modifications dans un fichier .mst, excutez
l'Assistant d'installation personnalise, puis choisissez le fichier .msi sur lequel
baser les transformations. Vous devez dterminer l'ordre d'application des
fichiers de transformation avant d'affecter ou de publier l'application.
Exemple Supposons qu'une grande entreprise souhaite dployer Microsoft Office XP,
mais que les besoins des divers dpartements pour la suite Office varient
considrablement dans l'organisation. Plutt que de configurer manuellement
l'installation de chaque dpartement, vous pouvez utiliser diffrents objets
Stratgie de groupe et fichiers .mst en combinaison avec les fichiers .msi par
dfaut pour chaque dpartement, afin de dployer plusieurs configurations
d'Office XP. Dans cet exemple, vous excuteriez l'Assistant d'installation
personnalise d'Office XP partir du Kit de ressources techniques d'Office
pour crer le fichier de transformation.
26 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Comment ajouter des modifications un package de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous ne pouvez ajouter et supprimer de modifications que lors du dploiement
initial d'un package de logiciels. Le fichier de transformation doit exister avant
que vous ne tentiez d'ajouter une modification un package que vous dployez.
Procdure Pour ajouter des modifications un package de logiciels, procdez comme suit :
1. Ouvrez la bote de dialogue Proprits pour le package de l'application.
2. Dans l'onglet Modifications, cliquez sur Ajouter.
3. Dans la bote de dialogue Ouvrir, slectionnez le chemin et le nom du
fichier de modification (.mst), cliquez sur Ouvrir, puis sur OK.

Important Ne cliquez pas sur OK avant d'avoir termin la configuration


des modifications. Lorsque vous cliquez sur OK, vous affectez ou publiez
immdiatement le package. Si vous ne configurez pas correctement les
modifications, vous devez dsinstaller le package ou le mettre niveau avec
une version correctement configure.

Vous pouvez galement ajouter plusieurs modifications. Windows Installer


applique les modifications en fonction de l'ordre que vous spcifiez dans la liste
Modifications. Pour modifier la liste, cliquez sur une modification, puis cliquez
sur Monter ou Descendre.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 27

Application pratique : Configuration du dploiement des logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez crer une catgorie de logiciels, puis
affecter un objet Stratgie de groupe de logiciels cette catgorie.
Scnario Northwind Traders dploie un grand nombre d'applications spcifiques au
groupe Comptabilit. Vous avez dcid de crer une catgorie de logiciel
appele Accounting (Comptabilit), afin que le personnel comptable puisse
trouver rapidement les applications dont il a besoin. Comme tout le personnel
comptable n'a pas besoin de toutes les applications comptables, vous avez
dcid de publier les applications plutt que de les affecter.
Application pratique
! Configuration du dploiement des logiciels
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de groupe
Practice Software Deployment pour crer une catgorie de logiciels
appele Comptabilit.
4. Slectionnez la catgorie Comptabilit pour le logiciel COSMO1 que vous
avez publi dans l'objet Stratgie de groupe Practice Software Deployment.
28 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Leon : Maintenance des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Aprs avoir dploy des logiciels, il peut tre ncessaire de les modifier afin
d'assurer la maintenance ou la mise niveau des logiciels des utilisateurs pour
que ceux-ci disposent de la version la plus jour. Windows Server 2003
comporte trois options pour la maintenance de logiciels : mise niveau des
versions des logiciels, redploiement de logiciel et suppression de logiciel.
Objectifs de la leon la fin de cette leon, vous serez mme d'effectuer les tches suivantes :
! dcrire les options de mise niveau des logiciels dploys ;
! mettre niveau des logiciels dploys l'aide de la stratgie de groupe ;
! dcrire les options de redploiement de logiciels ;
! redployer des logiciels l'aide de la stratgie de groupe ;
! dcrire les options de suppression des logiciels dploys ;
! supprimer des logiciels dploys l'aide de la stratgie de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 29

Types de mises niveau de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Les tches dans une organisation sont varies et peuvent changer. Vous pouvez
utiliser la stratgie de groupe pour dployer et grer des mises niveau de
logiciels afin de rpondre aux besoins des divers dpartements dans votre
organisation. Les mises niveau entranent gnralement des modifications
importantes des logiciels et possdent de nouveaux numros de version.
Gnralement, de nombreux fichiers changent dans le cadre d'une mise niveau.
Objectif des mises Plusieurs vnements dans le cycle de vie d'une application peuvent imposer
niveau une mise niveau, citons pour exemple :
! Une nouvelle version du logiciel vient de sortir comportant des nouvelles
fonctionnalits amliores.
! Des correctifs et des amliorations fonctionnelles ou lies la scurit ont
t apports depuis la dernire version du logiciel.
! Une organisation dcide d'utiliser le logiciel d'un autre fournisseur.

Mthodes de mise Il existe trois types de mises niveau :


niveau
! Mises niveau obligatoires. Ces mises niveau remplacent
automatiquement une version ancienne du logiciel par une version mise
niveau. Par exemple, si les utilisateurs se servent actuellement de la
version 1.0 du logiciel, cette version est supprime, et la version 2.0
du logiciel est installe lors du prochain dmarrage de l'ordinateur ou
d'ouverture de session par l'utilisateur.
30 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

! Mises niveau facultatives. Ces mises niveau permettent aux utilisateurs


de dcider quand mettre leur version niveau. Par exemple, les utilisateurs
peuvent dterminer s'ils veulent passer la version 2.0 du logiciel ou
continuer utiliser la version 1.0.
! Mises niveau slectives. Si certains utilisateurs ont besoin d'une mise
niveau mais pas tous, vous pouvez crer plusieurs objets Stratgie de groupe
s'appliquant aux utilisateurs qui ont besoin de la mise niveau, et crer les
packages de logiciels appropris dans ces objets Stratgie de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 31

Mise niveau des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Vous utiliserez Installation de logiciel pour tablir la procdure de mise
niveau d'un logiciel existant vers la version actuelle.
Procdure Pour dployer une mise niveau, procdez comme suit :
1. Dployez la nouvelle version du logiciel.
2. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur la nouvelle
version, puis cliquez sur Proprits.
3. Dans la bote de dialogue Proprits, dans l'onglet Mises niveau, dans
la section Packages qui seront mis niveau par ce package, cliquez sur
Ajouter, puis slectionnez la version prcdente (en cours) de l'application.
Vous pouvez mettre une application niveau l'aide de l'objet Stratgie de
groupe en cours ou en slectionnant un objet Stratgie de groupe spcifique.
Si les deux versions du logiciel sont des packages Windows Installer natifs,
cette tape est excute automatiquement.
4. Cliquez sur le Package peut mettre niveau le package existant ou sur
Dsinstaller le package existant, puis installer le package de mise
niveau, puis cliquez sur OK.
5. Slectionnez le type de mise niveau :
Pour excuter une mise niveau obligatoire, cochez la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.
Pour excuter une mise niveau facultative, ne cochez pas la case Mise
niveau ncessaire pour les packages existants, puis cliquez sur OK.
32 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Fonctionnement du redploiement de logiciels

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Un Redploiement est l'application de Service Packs et de mises niveau de
logiciels des logiciels dploys. Vous pouvez redployer un package dploy
pour forcer une rinstallation du logiciel. Un redploiement peut tre ncessaire
si le package de logiciels dploy prcdemment est mis jour mais conserve la
mme version, ou en cas de problmes d'interoprabilit ou de virus qu'une
rinstallation du logiciel permettra de rsoudre.
Mthodes de Lorsque vous marquez un fichier package pour redploiement, le logiciel
redploiement est publi auprs de chaque personne ayant reu l'autorisation d'accder
l'application, par affectation ou par publication. Ensuite, en fonction de la
manire dont le package original avait t dploy, l'un des trois scnarios
suivants se produit :
! Lorsque vous affectez des logiciels un utilisateur, le menu Dmarrer,
les raccourcis du Bureau et les paramtres de registre qui concernaient
les logiciels sont mis jour lors de la prochaine ouverture de session
par l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel,
le Service Pack ou la mise jour du logiciel est appliqu automatiquement.
! Lorsque vous affectez un logiciel un ordinateur, le Service Pack ou la
mise niveau du logiciel est appliqu automatiquement lors du prochain
dmarrage de l'ordinateur.
! Lorsque vous publiez et installez le logiciel, le menu Dmarrer, les
raccourcis du Bureau et les paramtres de registre qui concernaient le
logiciel sont mis jour lors de la prochaine ouverture de session par
l'utilisateur. La prochaine fois que l'utilisateur dmarre le logiciel, le Service
Pack ou la mise niveau du logiciel est appliqu automatiquement.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 33

Comment redployer un logiciel

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Utilisez Installation de logiciel pour tablir la procdure de redploiement d'un
package de logiciels. Avant le redploiement, vrifiez que le service inclut un
nouveau fichier de package Windows Installer (fichier .msi). Si ce n'est pas le
cas, vous ne pouvez pas redployer le logiciel, car seul le nouveau ficher de
package contient des instructions pour le dploiement des nouveaux fichiers
que contient le Service Pack ou la mise niveau du logiciel.
Procdure Pour redployer un package de logiciels, procdez comme suit :
1. Procurez-vous le Service Pack ou la mise niveau du logiciel auprs
du fournisseur de l'application et placez les fichiers dans les dossiers
d'installation appropri.
2. Editez l'objet Stratgie de groupe qui avait dploy le logiciel l'origine.
3. Ouvrez Installation de logiciel, cliquez avec le bouton droit sur le nom
du fichier de package, pointez sur Toutes les tches, puis cliquez sur
Redploiement des applications.
4. Dans la bote de dialogue, cliquez sur Oui.

Remarque Pour obtenir des informations sur comment procder la mise


niveau de logiciels stocks sur les serveurs du rseau, recherchez l'article
226936 : Corriger une installation de logiciel stocke sur un serveur rseau et
dploye l'aide de l'Installateur de logiciel Microsoft sur la page Support en
ligne du site Web de Microsoft l'adresse
http://support.microsoft.com/default.aspx?LN=FR&x=9&y=13.
34 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Mthodes de suppression de logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Il peut tre ncessaire de supprimer un logiciel si le support d'une version n'est
plus assur ou si les utilisateurs n'ont plus besoin du logiciel. Vous pouvez
forcer la suppression du logiciel concern ou laisser aux utilisateurs l'option
d'utiliser l'ancien logiciel.
Mthodes de Il existe deux mthodes de suppression :
suppression
! Suppression force. Vous pouvez forcer la suppression du logiciel, ce qui a
pour effet de le supprimer automatiquement d'un ordinateur lors du prochain
dmarrage de celui-ci ou lors de la prochaine ouverture de session d'un
utilisateur ce qui se produit dans le cas d'un paramtre de stratgie de
groupe d'un utilisateur. La suppression a lieu avant que le Bureau
n'apparaisse.
! Suppression facultative. Vous pouvez supprimer le logiciel dans Installation
de logiciel sans forcer sa suppression physique. Le logiciel n'est pas
rellement supprim dans les ordinateurs. Le logiciel n'apparat plus dans
Ajouter ou supprimer des programmes, mais les utilisateurs peuvent
encore l'utiliser. Si les utilisateurs suppriment le logiciel manuellement, ils
ne peuvent pas le rinstaller.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 35

Suppression de logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Introduction Lorsque vous utilisez la stratgie de groupe pour dployer des logiciels, vous
pouvez configurer un objet Stratgie de groupe pour supprimer un logiciel
arriv expiration ou qui n'est plus requis par votre organisation. Vous pouvez
galement supprimer un ancien logiciel en configurant l'objet Stratgie de
groupe pour permettre aux utilisateurs de procder une mise niveau
facultative vers un nouveau package de logiciels.
Procdure Pour supprimer le logiciel dploy, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe utilis l'origine pour dployer
le logiciel.
2. Dans Installation de logiciel, cliquez avec le bouton droit sur le nom du
package, pointez sur Toutes les tches, puis cliquez sur Supprimer.
3. Dans la bote de dialogue Suppression de logiciel, cliquez sur l'une des
options suivantes, puis cliquez sur OK.
Dsinstaller immdiatement le logiciel des utilisateurs et des
ordinateurs.
Autoriser les utilisateurs continuer utiliser le logiciel, mais
interdire de nouvelles installations.

Remarque Vous devez vous assurer que les utilisateurs redmarrent leurs
ordinateurs si la modification affecte l'ordinateur ou qu'ils ouvrent une session
si la modification affecte l'utilisateur.
36 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

Application pratique : Maintenance des logiciels dploys

********************DOCUMENT A L'USAGE EXCLUSIF DE L'INSTRUCTEUR********************


Objectifs Dans cette application pratique, vous allez mettre niveau le logiciel dploy
puis le supprimer.
Scnario Vous testez la maintenance d'un logiciel dploy antrieurement. Vous devez
dterminer les tapes ncessaires au dploiement de la mise niveau d'une
application.
Application pratique
! Maintenance des logiciels dploys
1. Ouvrez une session sous Votre_Domaine\Administrateur.
2. Ouvrez Gestion des stratgies de groupe sous
Votre_Domaine\Administrateur l'aide de Excuter en tant que.
3. Dans Gestion des stratgies de groupe, ditez l'objet Stratgie de
groupe Practice Software Deployment pour crer un nouveau
package d'installation logicielle pour
\\London\Labfiles\Lab6\COSMO2\COSMO2.MSI.
4. Dfinissez les proprits du package Cosmo 2 pour mettre niveau le
package Cosmo 1.
5. Supprimez le logiciel dploy Cosmo 1 parce que sa dure d'valuation est
parvenue expiration.