23.

Gestion des maîtres d’opérations

Introduction

Un maître d’opérations est un contrôleur de domaine qui exécute un

rôle spécifique au sein du service d’annuaire Active Directory®. Connaître les
rôles de maîtres d’opérations spécifiques de chaque contrôleur de domaine
d’un réseau Active Directory peut vous aider à répliquer les données et à
utiliser efficacement la bande passante du réseau.

Active Directory définit cinq rôles de maîtres d’opérations :

• Le contrôleur de schéma,
• Le maître d’attribution de noms de domaine,
• L’émulateur PDC (Primary Domain Controller),
• Le maître des identificateurs relatifs (RID, Relative IDentifier)
• Le maître d’infrastructure.

Définition d’un contrôleur de schéma

Introduction

Le schéma Active Directory définit les types d’objets (et les types
d’informations qui s’y rapportent) pouvant être stockés dans Active Directory.
Active Directory stocke ces définitions sous forme d’objets. Active Directory
gére les objets du schéma à l’aide des mêmes opérations de gestion d’objet
que celles qu’il utilise pour gérer les autres objets de l’annuaire.

Page : 2
23. Gestion des maîtres d’opérations

Rôles du contrôleur de schéma

Le contrôleur de schéma exécute les rôles suivants :

• il contrôle toutes les mises à jour d’origine apportées au schéma ;

• il contient la liste principale des classes d’objets et des attributs utilisés
pour la création de tous les objets Active Directory ;
• il réplique les mises à jour apportées au schéma Active Directory sur tous
les contrôleurs de domaine de la forêt en utilisant la réplication de la
partition de schéma ;
• il autorise uniquement les membres du groupe Administrateurs du
schéma à modifier le schéma.

Chaque forêt posséde un seul contrôleur de schéma. Cela permet

d'éviter les conflits qu'entraîneraient des tentatives de mise à jour simultanées
du schéma par plusieurs contrôleurs de domaine. Si le contrôleur de schéma
n'est pas disponible, vous ne pouvez pas modifier le schéma ou installer des
applications qui le modifient.

Gérer le schéma
Pour installer le composant logiciel enfichable Schéma Active
Directory

1. Cliquez sur Démarrer, cliquez sur Exécuter, tapez "regsvr32

schmmgmt.dll"

Cette commande enregistre schmmgmt.dll sur votre ordinateur.

2. Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc /a, puis cliquez sur OK.

3. Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant

logiciel enfichable, puis sur Ajouter.
4. Sous Composant logiciel enfichable, double-cliquez sur Schéma
Active Directory, cliquez sur Fermer, puis sur OK.

Page : 3
23. Gestion des maîtres d’opérations

5. Pour enregistrer cette console, dans le menu Fichier, cliquez sur

Enregistrer.
6. Dans la zone Enregistrer dans, pointez sur le répertoire
systemroot\system32.
7. Dans la zone Nom du fichier, tapez schmmgmt.msc, puis cliquez sur
Enregistrer.

8. Pour créer un raccourci dans le menu Démarrer :

• Cliquez avec le bouton droit sur Démarrer, cliquez sur Ouvrir Tous
les utilisateurs, double-cliquez sur le dossier Programmes puis
double-cliquez sur le dossier Outils d'administration.
• Dans le menu Fichier, pointez sur Nouveau, puis cliquez sur Raccourci.
• Dans l'Assistant Créer un raccourci, dans la zone Entrez
l'emplacement de l'élément, tapez schmmgmt.msc, puis cliquez
sur Suivant.

Page : 4
23. Gestion des maîtres d’opérations

• Dans la page Sélection d'un titre pour le programme, dans la zone

Entrez un nom pour ce raccourci, tapez Schéma Active Directory,
puis cliquez sur Terminer.

Pour identifier le contrôleur de schéma

1. Ouvrez le composant logiciel enfichable Schéma Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Schéma Active Directory, puis cliquez sur Maître d'opérations.
3. Sous Contrôleur de schéma actuel, affichez le maître d'opérations du
schéma actuel.

Pour ajouter un membre au groupe Administrateurs du schéma

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l'arborescence de la console, cliquez sur Utilisateurs dans le
domaine racine de la forêt.
3. Dans le volet d'informations, cliquez avec le bouton droit sur le compte
d'utilisateur que vous voulez ajouter, puis cliquez sur Propriétés.

Page : 5
23. Gestion des maîtres d’opérations

4. Cliquez sur l'onglet Membre de, puis sur Ajouter.

5. Dans la zone Entrez les noms des objets à sélectionner, tapez
Administrateurs du schéma, puis cliquez sur OK.

Pour modifier les autorisations d'un schéma

1. Ouvrez le composant logiciel enfichable Schéma Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Schéma Active Directory, puis cliquez sur Autorisations.

3. Sous l'onglet Sécurité, dans la zone Noms d'utilisateur ou de groupe,

cliquez sur le groupe dont vous souhaitez modifier les autorisations.
4. Dans la zone Autorisations pour Administrateurs, sélectionnez
Autoriser ou Refuser pour les autorisations que vous souhaitez modifier.

Page : 6
23. Gestion des maîtres d’opérations

Pour transférer le rôle de contrôleur de schéma

1. Ouvrez le composant logiciel enfichable Schéma Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Schéma Active Directory, puis cliquez sur Changer le contrôleur de
domaine.

3. Cliquez sur Spécifier le nom et tapez le nom du contrôleur de domaine

pour lequel vous souhaitez avoir le rôle de contrôleur de schéma.

4. Dans l'arborescence de la console, cliquez avec le bouton droit sur

Schéma Active Directory, puis cliquez sur Maître d'opérations.
5. Cliquez sur Modifier.

Page : 7
23. Gestion des maîtres d’opérations

Définition d'un maître d'attribution de noms de domaine

Introduction

Lorsque vous ajoutez ou supprimez un domaine dans une forêt, cette

modification est enregistrée dans Active Directory.

Rôles du maître d'attribution de noms de domaine

Le maître d'attribution de noms de domaine contrôle l'ajout ou la

suppression de domaines dans la forêt. Il n'existe qu'un maître
d'attribution de noms de domaine dans chaque forêt.
Lorsque vous ajoutez un domaine à la forêt, seul le contrôleur de
domaine possédant le rôle de maître d'attribution des noms de domaine peut
ajouter le nouveau domaine.
Le maître d'attribution de noms de domaine empêche que plusieurs
domaines portant le même nom soient ajoutés à la foret. Lorsque vous utilisez
l'Assistant Installation de Active Directory pour créer un domaine enfant, il
contacte le maître d'attribution des noms de domaine pour demander l'ajout ou
la suppression. Si le maître d'attribution des noms de domaine est indisponible,
vous n'avez pas la possibilité d'ajouter ni de supprimer des domaines.

Pour transférer le rôle de maître d'attribution de noms de domaine

1. Ouvrez Domaines et approbations Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrôleur de domaine.
3. Dans Taper le nom d'un autre contrôleur de domaine, tapez le nom
du contrôleur de domaine pour lequel vous souhaitez avoir le rôle de
maître d'attribution des noms de domaine.
4. Une autre solution consiste à cliquer sur le contrôleur de domaine dans la
liste des contrôleurs disponibles.
5. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Maître
d'opérations.
6. Cliquez sur Modifier.
Page : 8
23. Gestion des maîtres d’opérations

Définition de l'émulateur PDC

Introduction

L'émulateur PDC agit comme un contrôleur de domaine principal Microsoft

Windows NT pour prendre en charge les contrôleurs secondaires de domaine
exécutant Windows NT dans un domaine en mode mixte. A la création d'un
domaine, Active Directory attribue le rôle d'émulateur PDC au premier
contrôleur de domaine du nouveau domaine.

Rôles de l'émulateur PDC

L'émulateur PDC exécute les rôles suivants :

• il agit en tant que contrôleur de domaine principal pour tous les

contrôleurs secondaires de domaine existants : Si un domaine contient
des contrôleurs secondaires de domaine ou des ordinateurs clients
exécutant Windows NT 4.0 ou une version antérieure, l'émulateur PDC
fonctionne en tant que contrôleur de domaine principal Windows NT ;
l'émulateur PDC réplique les modifications apportées à l'annuaire sur tous
les contrôleurs secondaires de domaine exécutant Windows NT ;

• il gére les modifications de mot de passe des ordinateurs exécutant

Windows NT, Windows 95 ou 98 : Active Directory inscrit directement
les modifications de mot de passe dans l'émulateur PDC ;

• il minimise la latence de réplication des modifications de mot de

passe : Le délai nécessaire pour qu'un contrôleur de domaine reçoive une
modification apportée à un autre contrôleur de domaine est appelé latence
de réplication. Lorsque le mot de passe d'un ordinateur client exécutant
Windows 2000 ou une version ultérieure est modifié sur un contrôleur de
domaine, ce dernier transmet immédiatement la modification à l'émulateur
PDC. Si une authentification de connexion échoue sur un autre contrôleur
de domaine du fait d'un mauvais mot de passe, ce contrôleur de domaine
transmet la demande d'authentification à l'émulateur PDC avant de rejeter
la tentative de connexion ;
Page : 9
23. Gestion des maîtres d’opérations

• il synchronise l'heure de tous les contrôleurs de domaine du

domaine en fonction de son heure : Le protocole d'authentification
Kerberos version 5 exige que l'heure des contrôleurs de domaine soient
synchrones pour autoriser l'authentification. Les ordinateurs clients d'un
domaine synchronisent également leur heure sur celle du contrôleur de
domaine authentifiant l'utilisateur ;
• il interdit toute possibilité d'écrasement des Objets de stratégie de
groupe : Par défaut, la stratégie de groupe réduit les risques de conflits de
réplication en s'exécutant sur le contrôleur de domaine jouant le rôle
d'émulateur PDC pour ce domaine.

Pour identifier l'émulateur PDC

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le nœud de domaine, puis cliquez sur
Maîtres d'opérations.
3. Sous l'onglet PDC, sous Maîtres d'opérations, consultez les maîtres
d'opérations qui seront utilisés en tant qu'émulateur PDC.

Pour transférer le rôle d'émulateur PDC

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se
connecter au contrôleur de domaine.
3. Dans Taper le nom d'un autre contrôleur de domaine, tapez le nom
du contrôleur de domaine pour lequel vous souhaitez avoir le rôle
d'émulateur PDC.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les
tâches, puis cliquez sur Maîtres d'opérations.
5. Cliquez sur l'onglet PDC, puis sur Modifier.

Page : 10
23. Gestion des maîtres d’opérations

Définition d'un maître RID

Introduction

Le maître des identificateurs relatifs (ou maître RID) est un contrôleur de

domaine qui alloue des blocs d'identificateurs relatifs à chaque contrôleur de
domaine du domaine. Chaque fois qu'un contrôleur de domaine crée une
nouvelle entité de sécurité, telle qu'un objet utilisateur, groupe ou ordinateur,
il attribut un identificateur de sécurité (SID, Security IDentifier) à cet objet.
Cet identificateur consiste en un identificateur de sécurité de domaine, qui est
le même pour toutes les entités de sécurité créées dans le domaine, et en un
identificateur relatif qui est unique pour chaque entité de sécurité créée dans le
domaine.

Prise en charge de la création et des déplacements d'objets par le

maître RID

Le maître RID prend en charge la création et les déplacements d'objets

comme suit :

• Création d'objets : Pour permettre à une opération multimaître de créer

des objets sur un contrôleur de domaine, le maître RID alloue un bloc
d'identificateurs relatifs à un contrôleur de domaine. Lorsqu'un contrôleur
de domaine requiert un bloc d'identificateurs relatifs supplémentaires, il
contacte le maître RID qui lui alloue un nouveau bloc d'identificateurs
relatifs, puis les attribue à de nouveaux objets.

• Déplacement d'objets : Lorsque vous déplacez un objet d'un domaine à

l'autre, le déplacement est initié sur le maître RID qui contient l'objet. De
cette façon, il n'y a pas de duplication des objets. Si vous déplaciez un
objet sans qu'un seul maître conserve cette information, vous pourriez
déplacer l'objet vers plusieurs domaines sans savoir qu'un déplacement
précédent a déjà eu lieu. Lors d'un déplacement d'un domaine à un autre,
le maître RID supprime l'objet du domaine d'origine.

Page : 11
23. Gestion des maîtres d’opérations

Pour identifier le maître RID

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le nœud de domaine, puis cliquez sur
Maîtres d'opérations.
3. Sous l'onglet RID, sous Maîtres d'opérations, consultez le RID actuel.

Pour transférer le rôle de maître RID

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se
connecter au contrôleur de domaine.
3. Dans Taper le nom d'un autre contrôleur de domaine, tapez le nom
du contrôleur de domaine pour lequel vous souhaitez avoir le rôle de
maître RID.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les
tâches, puis cliquez sur Maîtres d'opérations.
5. Cliquez sur l'onglet RID, puis sur Modifier.

Page : 12
23. Gestion des maîtres d’opérations

Définition d'un maître d'infrastructure

Introduction

Le maître d'infrastructure est un contrôleur de domaine qui met à jour les

références des objets de son domaine qui pointent vers les objets d'un autre
domaine. La référence contient l'identificateur global unique (GUID, Globally
Unique IDentifier) de l'objet, son nom unique et éventuellement un
identificateur de sécurité (SID). Active Directory met régulièrement à jour le
nom unique et l'identificateur de sécurité afin de refléter les modifications
apportées à l'objet, par exemple lorsqu'un objet a été déplacé au sein d'un
domaine ou entre des domaines ou qu'il a été supprimé.

Identification de l'appartenance à un groupe

Si l'identificateur de sécurité ou le nom unique d'un compte d'utilisateur ou

d'un groupe est modifié dans un autre domaine, Active Directory doit mettre à
jour l'appartenance au groupe de votre domaine faisant référence à l'utilisateur
ou au groupe modifié. Le maître d'infrastructure du domaine dans lequel réside
le groupe (ou la référence) met à jour l'appartenance au groupe en répliquant
la modification sur l'ensemble du domaine.

Le maître d'infrastructure met à jour l'identification de l'objet en

fonction des règles suivantes :

• Si l'objet est déplacé, son nom unique change car il représente son
emplacement exact dans l'annuaire.
• Si l'objet est déplacé au sein du domaine, son identificateur de sécurité ne
change pas.
• Si l'objet est déplacé vers un autre domaine, l'identificateur de sécurité
change afin de refléter le nouvel identificateur de sécurité du domaine.
• L'identificateur global unique ne change pas quel que soit l'emplacement
car il est unique sur tous les domaines.

Page : 13
23. Gestion des maîtres d’opérations

Pour identifier le maître d'infrastructure

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Cliquez avec le bouton droit sur le nœud de domaine, puis cliquez sur
Maîtres d'opérations.
3. Sous l'onglet Infrastructure, sous Maître d'opérations, consultez le
nom du maître d'infrastructure actuel.

Pour transférer le rôle de maître d'infrastructure

1. Ouvrez Utilisateurs et ordinateurs Active Directory.

2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se
connecter au contrôleur de domaine.
3. Dans Taper le nom d'un autre contrôleur de domaine, tapez le nom
du contrôleur de domaine pour lequel vous souhaitez avoir le rôle de
maître d'infrastructure.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les
tâches, puis cliquez sur Maîtres d'opérations.
5. Cliquez sur l'onglet Infrastructure, puis sur Modifier.

Page : 14