À Propos Des Technologies Identité Et Accès

Parlez-nous de l’expérience de téléchargement de PDF.
Documentation Identité et accès

Les technologies d’identité et d’accès permettent de sécuriser des environnements
Active Directory locaux et uniquement dans le cloud, ainsi que des déploiements
hybrides dans lesquels certains services et applications sont hébergés dans le cloud et
d’autres, hébergés en local.
À propos des technologies Identité et accès
ｈ NOUVEAUTÉS
Nouveautés
ｅ VUE D’ENSEMBLE
Privileged Access Management pour les services Active Directory Domain Services et AD DS
Windows 10 pour l’entreprise : utiliser les appareils pour le travail
Services de domaine Active Directory
Services de fédération Active Directory (AD FS)
Solution de mot de passe d’administrateur local (LAPS) Windows
Guides de solutions et de scénarios
ｃ GUIDE PRATIQUE
Sécuriser l’accès aux ressources de la société depuis n’importe quel endroit et n’importe quel
appareil
joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification

unique et l'authentification de second facteur transparente pour accéder aux applications de
l'entreprise
Gérer les risques avec une authentification multifacteur supplémentaire pour les applications
sensibles
Gérer les risques avec le contrôle d’accès conditionnel
Versions antérieures de Windows Server
ｅ VUE D’ENSEMBLE
ｅ VUE D ENSEMBLE
Documentation des versions précédentes de Windows
Rechercher des informations spécifiques

Guides de solutions et de scénarios
Article • 09/03/2023 • 2 minutes de lecture
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016,

Windows Server 2012 R2, Windows Server 2012
Avec les solutions Microsoft d'accès et de protection des informations, vous pouvez
déployer et configurer l'accès aux ressources de la société via votre environnement local
et vos applications hébergées dans le cloud. Tout cela est possible en garantissant aussi
la protection des données de la société.
Protection de l'accès et des informations
Guide En quoi ce guide peut-il vous aider ?
Sécuriser l’accès aux Ce guide montre comment permettre aux employés d'utiliser leurs
ressources de la appareils personnels et professionnels pour accéder en toute sécurité
société depuis aux données et aux applications de l'entreprise.
n’importe quel endroit
et n’importe quel
appareil
Joindre un espace de Les employés peuvent accéder aux applications et aux données en tout
travail à partir de point, depuis n'importe quel appareil. Les employés peuvent utiliser
n’importe quel l'authentification unique dans les applications de navigateur ou
appareil en utilisant d'entreprise. Les administrateurs peuvent contrôler qui a accès aux
l’authentification ressources de l'entreprise en fonction de l'application, de l'utilisateur, de
unique et l'appareil et de l'emplacement.
l’authentification de
second facteur
transparente
Gérer les risques avec Dans ce scénario, vous activez l’authentification multifacteur en fonction
une authentification des données d’appartenance au groupe de l’utilisateur pour une
multifacteur application spécifique. Autrement dit, vous allez configurer une stratégie
supplémentaire pour d’authentification sur votre serveur de fédération pour exiger une
les applications authentification multifacteur lorsque des utilisateurs qui appartiennent à
sensibles un certain groupe demandent l’accès à une application spécifique qui
est hébergée sur un serveur Web.
Gérer les risques avec Le contrôle d’accès dans AD FS est implémenté avec des règles de
le contrôle d’accès revendication d’autorisation d’émission qui permettent d’émettre des
conditionnel revendications d’autorisation ou de refus qui déterminent si un
utilisateur ou un groupe d’utilisateurs est autorisé ou non à accéder à
des ressources sécurisées par AD FS. Les règles d’autorisation ne
peuvent être définies que sur des approbations de partie de confiance.
Guide En quoi ce guide peut-il vous aider ?
Configuration d’un Cet article fournit des instructions pas à pas pour implémenter le service
service web web d’inscription de certificats (ou stratégie d’inscription de certificats
d’inscription de (CEP)/service d’inscription de certificats (CES)) sur un port personnalisé
certificats pour le autre que 443 pour le renouvellement basé sur la clé de certificat afin de
renouvellement basé tirer parti de la fonctionnalité de renouvellement automatique de CEP et
sur les clés de CES.
certificat sur un port
personnalisé
Contrôle d'accès dynamique : Vue
d’ensemble du scénario

Dans Windows Server 2012 , vous pouvez appliquer la gouvernance des données sur vos
serveurs de fichiers pour contrôler qui peut accéder aux informations et pour auditer qui
a accédé aux informations. Le contrôle d’accès dynamique vous permet d’effectuer les
tâches suivantes :
Identifier des données grâce à une classification automatique et manuelle des

fichiers. Par exemple, vous pouvez baliser des données sur des serveurs de fichiers
dans toute l’organisation.
Contrôler l’accès aux fichiers en appliquant des stratégies sécurisées qui utilisent
des stratégies d’accès centralisées. Vous pouvez notamment définir qui a accès aux
informations d’intégrité au sein de l’organisation.
Contrôler par audit l’accès aux fichiers à l’aide de stratégies d’audit centralisées
pour établir des rapports de conformité et mener des analyses d’investigation.
Vous pouvez par exemple identifier les personnes qui ont accès à des informations
hautement confidentielles.
Appliquez la technologie de protection RMS (Rights Management Services) avec

un chiffrement RMS automatique des documents Microsoft Office confidentiels.
Par exemple, vous pouvez configurer RMS afin de chiffrer tous les documents qui
contiennent des informations issues d’organismes de la santé et de l’assurance
maladie.
Les fonctionnalités de contrôle d’accès dynamique sont fondées sur des investissements
d’infrastructure qui peuvent être utilisés par des partenaires et des applications métier.
Ces fonctionnalités peuvent s’avérer très précieuses pour les organisations qui travaillent
avec Active Directory. Cette infrastructure inclut les éléments suivants :
Un nouveau moteur d’autorisation et d’audit pour Windows capable de traiter des

expressions conditionnelles et des stratégies centralisées.
Prise en charge de l’authentification Kerberos pour les revendications d’utilisateur

et de périphérique.
Améliorations apportées à l’infrastructure de classification des fichiers (ICF).
Prise en charge de l’extensibilité RMS pour permettre aux partenaires d’élaborer

des solutions capables de chiffrer des fichiers non Microsoft.
Dans ce scénario
Les scénarios et les conseils fournis dans le tableau qui suit sont inclus dans ce contenu :
Feuille de route du contenu du contrôle d’accès

dynamique
Scénario Évaluer Plan Déployer Opérer
Scénario : Stratégie Contrôle d’accès Planifier : un Déployer une - Modélisation

d’accès centralisée dynamique : Vue déploiement de stratégie d’accès d’une
d’ensemble du stratégies centralisée stratégie
En créant des scénario d’accès (étapes de d’accès
stratégies d’accès centralisées démonstration) central
centralisées pour leurs Déployer des
fichiers, les revendications - Processus Déployer des
organisations peuvent dans les forêts pour mapper revendications
déployer et gérer de une demande dans des forêts
manière centrale des métier à une (étapes de
stratégies stratégie démonstration)
d’autorisation qui d’accès
comprennent des centrale
expressions - Délégation de
conditionnelles à l’administration
l’aide de pour les Access
revendications Control
d’utilisateur, de dynamiques
revendications de - Mécanismes
périphérique et de d’exception
propriétés de pour la
ressource. Ces planification
stratégies sont des stratégies
fondées sur des d’accès
exigences de central
conformité et
professionnelles Méthodes
réglementaires. Elles recommandées
sont créées et pour
hébergées dans l’utilisation des
Active Directory, ce revendications
qui facilite leur d’utilisateur
gestion et leur - Choisir la

déploiement. bonne
configuration
Déploiement de pour activer les
revendications dans revendications
les forêts dans votre
domaine
Dans Windows Server
d’utilisateur
2012 , ad DS conserve
- Opérations
un « dictionnaire de
pour activer les
revendications » dans
revendications
chaque forêt et tous
utilisateur
les types de
-
revendications utilisés
Considérations
au sein de la forêt
relatives à
sont définis au niveau
l’utilisation des
de la forêt Active
revendications
Directory. Il existe
utilisateur dans
plusieurs scénarios où
les listes de
un principal a besoin
contrôle
de franchir une limite
d’accès
d’approbation. Ce
discrétionnaires
scénario décrit
du serveur de
comment une
fichiers sans
revendication franchit
utiliser de
une limite
stratégies
d’approbation.
d’accès
centralisées
Utilisation des
revendications
de
périphérique et
des groupes de
sécurité de
périphérique
-
Considérations
relatives à
l’utilisation des
revendications
d’appareil
statiques
- Opérations
d’activation des
revendications
d’appareil
Outils de
déploiement
Scénario : audit Scénario : audit Planifier l’audit Déployer l’audit - Surveiller les
d’accès aux fichiers d’accès aux d’accès aux de sécurité avec stratégies
fichiers fichiers les stratégies d’accès
L’audit de sécurité est d’audit centralisées
l’un des outils les plus centralisées qui
puissants auxquels (étapes de s’appliquent
peut recourir une démonstration) sur un serveur
entreprise pour mieux de fichiers
gérer sa sécurité. La - Surveiller les

conformité aux stratégies
normes fait d’accès
notamment partie de centralisée
ses objectifs clés. Par associées aux
exemple, des normes fichiers et
industrielles telles que dossiers
Sarbanes Oxley, - Surveiller les

HIPAA et PCI attributs de
(Payment Card ressource sur
Industry) exigent que les fichiers et
les entreprises suivent les dossiers
un ensemble strict de - Surveiller les

règles liées à la types de
sécurité et à la revendications
confidentialité des - Surveiller les

données. Les audits revendications
de sécurité aident à des
déterminer la utilisateurs et
présence ou l’absence des appareils
de telles stratégies, et pendant la
prouvent donc la connexion
conformité ou le - Surveiller les

défaut de conformité définitions de
à ces normes. De plus, règle et de
les audits de sécurité stratégie
permettent de d’accès
détecter un central
comportement - Surveiller les

anormal, d’identifier définitions
et d’atténuer les d’attribut de
lacunes dans la ressource
stratégie de sécurité, - Surveiller

ainsi que de dissuader l’utilisation
tout comportement d’appareils de
irresponsable en stockage
créant un amovibles.
enregistrement de
l’activité utilisateur qui
peut être utilisé pour
une analyse
d’investigation.
Scénario : assistance Scénario : Planifier Déployer

en cas d’accès refusé assistance en cas l’assistance en l’assistance en
d’accès refusé cas d’accès cas d’accès
Aujourd’hui, lorsque refusé refusé (étapes
les utilisateurs tentent de
d’accéder à un fichier - Déterminer le démonstration)
distant sur le serveur modèle
de fichiers, le seul d’assistance
message qui leur avec refus
revient est que l’accès d’accès
est refusé. Ceci - Déterminer

génère de multiples qui doit gérer
demandes au support les demandes
technique ou aux d’accès
administrateurs - Personnaliser
informatiques qui le message
doivent identifier le d’assistance
problème. Souvent, avec refus
les administrateurs d’accès
ont du mal à recueillir - Planifier les

des informations de exceptions
contexte exactes - Déterminer le

auprès des déploiement de
utilisateurs, ce qui l’assistance
complique davantage avec refus
la résolution du d’accès
problème.
Dans Windows Server

2012 , l’objectif est
d’essayer d’aider le
travailleur de
l’information et le
propriétaire
d’entreprise des
données à traiter le
problème d’accès
refusé avant que le
service informatique
ne soit impliqué et,
lorsque le service
informatique est
impliqué, fournir
toutes les
informations
appropriées pour une
résolution rapide. L’un
des défis à relever
pour atteindre cet
objectif est qu’il
n’existe aucun moyen
central de traiter
l’accès refusé et que
chaque application le
traite différemment et,
par conséquent, dans
Windows Server 2012
, l’un des objectifs est
d’améliorer
l’expérience de refus
d’accès pour
l’Explorateur
Windows.
Scénario : chiffrement Scénario : Planifier le Déployer le

des documents Office chiffrement des déploiement chiffrement des
d’après leur documents Office du chiffrement fichiers Office
classification d’après leur des documents (étapes de
classification en fonction de démonstration)
La protection des leur
informations classification
confidentielles a
principalement pour
but de minimiser les
risques pour une
organisation. Diverses
normes de
conformité, telles que
la norme HIPAA ou la
norme PCI-DSS
(Payment Card
Industry Data Security
Standard), imposent le
chiffrement des
informations et de
nombreuses raisons
professionnelles
motivent le
chiffrement des
données
professionnelles à
caractère confidentiel.
Cependant, le
chiffrement des
informations est
coûteux et il peut
nuire à la productivité
de l’entreprise. C’est
pourquoi les
organisations ont
souvent des
approches et des
priorités différentes
en matière de
chiffrement des
données.
Pour prendre en
charge ce scénario,
Windows Server 2012
offre la possibilité de
chiffrer
automatiquement les
fichiers Windows
Office sensibles en
fonction de leur
classification. Cette
opération se fait par
le biais de tâches de
gestion des fichiers.
Ces tâches entraînent
une protection AD
RMS (Active Directory
Rights Management
Server) des
documents
confidentiels quelques
secondes après que le
fichier est identifié
comme fichier
confidentiel sur le
serveur de fichiers.
Scénario : Scénario : Planifier la Déployer la

classification des classification des classification classification
données pour mieux données pour automatique automatique des
les comprendre mieux les des fichiers fichiers (étapes
comprendre
Le recours à des de
données et des démonstration)
ressources de
stockage prend une
importance croissante
dans la plupart des
organisations. Les
administrateurs
informatiques sont
confrontés à un défi
sans cesse
grandissant : contrôler
des infrastructures de
stockage toujours
plus volumineuses et
complexes et,
simultanément,
assumer le coût total
de possession et le
maintenir à des
niveaux raisonnables.
La gestion des
ressources de
stockage n’est plus
seulement une affaire
de volume ou de
disponibilité des
données. Il s’agit aussi
de mettre en place
des stratégies
d’entreprise et de
savoir comment le
stockage est exploité
pour favoriser une
utilisation et une
conformité efficaces
avec des risques
réduits.
L’infrastructure de
classification des
fichiers aide à mieux
appréhender vos
données en
automatisant des
processus de
classification qui vous
permettront de les
gérer avec plus
d’efficacité. Les
méthodes de
classification
disponibles dans
l’infrastructure de
classification des
fichiers sont les
suivantes : manuelle,
par programme et
automatique. Ce
scénario se concentre
sur la méthode de
classification
automatique des
fichiers.
Scénario : Scénario : Planifier la Déployer

implémenter la implémenter la conservation l’implémentation
rétention des rétention des des de la
informations sur les informations sur informations conservation des
serveurs de fichiers les serveurs de sur les serveurs informations sur
fichiers de fichiers les serveurs de
La période de fichiers (étapes
rétention désigne le de
temps pendant lequel démonstration)
un document doit
être conservé avant
qu’il n’expire. La
période de rétention
peut varier en
fonction de
l’organisation. Vous
pouvez classer des
fichiers dans un
dossier avec une
période de rétention à
court, moyen ou long
terme, puis définir la
durée de chaque
période. Vous pouvez
conserver un fichier
indéfiniment en
proclamant sa mise en
suspens pour raisons
juridiques.
L’infrastructure de
classification des
fichiers et le
Gestionnaire de
ressources du serveur
de fichiers se servent
des tâches de gestion
de fichiers et de la
classification des
fichiers pour
appliquer des
périodes de rétention
pour un ensemble de
fichiers. Vous pouvez
attribuer une période
de rétention dans un
dossier, puis utiliser
une tâche de gestion
de fichiers pour
configurer la durée
d’une période de
rétention. Lorsque les
fichiers au sein du
dossier sont sur le
point d’expirer, le
propriétaire du fichier
reçoit un message de
notification. Vous
pouvez également
classer un fichier en
suspens pour raisons
juridiques pour que la
tâche de gestion de
fichiers n’entraîne pas
l’expiration du fichier.
７ Notes
Le contrôle d’accès dynamique n’est pas pris en charge dans le système ReFS
(Resilient File System).
Voir aussi
Type de contenu Références
Évaluation du produit - Guide des réviseurs de Access Control dynamiques
- Aide pour les développeurs dynamiques Access Control

Type de contenu Références
Planification - Planification d’un déploiement de stratégie d’accès central
- Planifier l’audit de l’accès aux fichiers
Déploiement - Déploiement Active Directory
- Déploiement des services de fichiers et de stockage
Opérations Référence Windows PowerShell du contrôle d’accès dynamique
|Ressources |de la communautéForum des services d’annuaire|

Scénario : Stratégie d’accès centralisée
Article • 14/04/2023

Les stratégies d’accès centralisées pour les fichiers permettent aux organisations de
déployer et gérer de manière centrale des stratégies d’autorisation qui comprennent
des expressions conditionnelles utilisant des groupes d’utilisateurs, des revendications
d’utilisateur, de revendications de périphérique et des propriétés de ressource. (Les
revendications sont des assertions sur les attributs de l’objet auquel elles sont
associées). Par exemple, pour accéder aux données HBI (high-business-impact), un
utilisateur doit être un employé à plein-temps, obtenir l’accès à partir d’un périphérique
géré et se connecter avec une carte à puce. Ces stratégies sont définies et hébergées
dans les services de domaine Active Directory (AD DS).
Les stratégies d’accès de l’organisation visent le respect d’exigences réglementaires et

de conformité. Prenons l’exemple d’une organisation qui se conforme à une exigence
professionnelle selon laquelle les informations d’identification personnelle (PII) figurant
dans les fichiers ne doivent être accessibles qu’au propriétaire du fichier et aux
employés du service des ressources humaines habilités à afficher ce type d’information.
Cette stratégie s’applique à l’ensemble des fichiers PII stockés sur les serveurs de fichiers
dans l’organisation. Dans cet exemple, vous devez être en mesure d’effectuer les
opérations suivantes :
identifier et marquer les fichiers contenant des informations d’identification

personnelle ;
identifier le groupe d’employés du service des ressources humaines habilités à

afficher ce type d’information ;
créer une stratégie d’accès centralisée qui s’applique à tous les fichiers contenant
des informations d’identification personnelle stockées sur les serveurs de fichiers
dans l’organisation.
La décision de déployer et de mettre en application une stratégie d’autorisation peut

s’appliquer à différents niveaux de l’organisation et être motivée par de nombreuses
raisons : Voici quelques exemples de types de stratégies :
Stratégie d’autorisation au niveau de l’organisation : ayant le plus souvent pour

origine le bureau Sécurité des informations, cette stratégie d’autorisation vise le
respect de la conformité ou des exigences d’organisation de haut niveau et
s’applique à toute l’organisation. Par exemple, les fichiers HBI sont accessibles
uniquement aux employés à plein-temps.
Stratégie d’autorisation de service : chaque service d’une organisation a des

exigences particulières en matière de gestion des données qui doivent être
respectées. Par exemple : le service Finance peut souhaiter limiter l’accès des
serveurs de finance aux employés de ce même service.
Stratégie de gestion des données spécifique : cette stratégie a souvent trait aux
exigences commerciales et de conformité. Elle a pour objectif de protéger l’accès
aux informations gérées. Par exemple, les établissements financiers peuvent
implémenter des murs d’informations visant à empêcher les analystes d’accéder
aux informations de courtage et aux courtiers d’accéder aux informations
d’analyse.
Stratégie basée sur le besoin de connaître. Ce type de stratégie d’autorisation est

généralement utilisé conjointement avec les types de stratégies précédents. Par
exemple, les fournisseurs doivent pouvoir accéder et modifier uniquement les
fichiers en rapport avec un projet sur lequel ils travaillent.
Les environnements réels nous enseignent également que chaque stratégie

d’autorisation doit comporter des exceptions pour permettre aux organisations de
réagir rapidement en cas de survenue de besoins métier importants. Par exemple, les
dirigeants qui ne trouvent pas leurs cartes à puce et ont besoin d’un accès rapide aux
informations HBI peuvent appeler le support technique pour obtenir une exception
temporaire d’accès à ces informations.
Les stratégies d’accès centralisées agissent comme un processus de sécurité « parapluie

» que l’organisation déploie sur tous ses serveurs. Ces stratégies améliorent les
stratégies d’accès locales ou les listes de contrôle d’accès discrétionnaire (DACL,
Discretionary Access Control List) qui sont appliquées aux fichiers et aux dossiers. Par
exemple, si une liste de contrôle d’accès discrétionnaire (DACL) sur un fichier autorise
l’accès à un utilisateur spécifique, mais qu’une stratégie centrale appliquée au fichier
restreint l’accès au même utilisateur, l’utilisateur ne peut pas obtenir l’accès au fichier. Si
la stratégie d’accès centralisée autorise l’accès, mais pas la liste de contrôle d’accès
discrétionnaire (DACL), l’utilisateur ne peut pas obtenir l’accès au fichier.
Une règle de stratégie d’accès centralisée est composée des parties logiques suivantes :
Applicabilité. Condition qui définit les données auxquelles la stratégie s’applique,

telle que Resource.BusinessImpact=High.
Conditions d’accès. liste d’une ou plusieurs entrées de contrôle d’accès (ACE) qui
définissent qui peut accéder aux données, comme Allow | Full Control |
User.EmployeeType=FTE.
Les exceptions. liste supplémentaire d’une ou plusieurs entrées de contrôle

d’accès (ACE) qui définissent une exception pour la stratégie, telle que
MemberOf(HBIExceptionGroup).
Les deux figures suivantes montrent le flux de travail des stratégies d’audit et d’accès
centralisées.
Figure 1 Concepts des stratégies d’audit et d’accès centralisées
Figure 2 Flux de travail de la stratégie d’accès centralisée
La stratégie d’autorisation centralisée combine les composants suivants :
Une liste des règles d’accès définies de manière centralisée qui ciblent des types
spécifiques d’informations, tels que HBI ou PII.
Une stratégie définie de manière centralisée qui contient une liste de règles.
Un identificateur de stratégie affecté à chaque fichier sur les serveurs de fichiers
pour pointer vers une stratégie d’accès centralisée spécifique qui doit être
appliquée pendant l’autorisation d’accès.
La figure suivante montre comment associer des stratégies en listes de stratégie pour
contrôler de manière centralisée l’accès aux fichiers.
Figure 3 Combinaison de stratégies
Dans ce scénario
Le guide suivant est à votre disposition pour les stratégies d’accès centralisée :
Planifier : un déploiement de stratégies d’accès centralisées
Déployer une stratégie d’accès centralisée (étapes de démonstration)
Contrôle d’accès dynamique : Vue d’ensemble du scénario
Fonctionnalités et rôles inclus dans ce scénario

Le tableau qui suit décrit les rôles et les fonctionnalités inclus dans ce scénario et
détaille la manière dont ils prennent en charge ce dernier.
Rôle/fonctionnalité Prise en charge de ce scénario

Rôle Services de AD DS dans Windows Server 2012 introduit une plateforme d’autorisation
domaine Active basée sur les revendications qui permet aux utilisateurs de créer des
Directory revendications d’utilisateur et d’appareil, une identité composée, (des
revendications d’utilisateur plus d’appareil), de nouveaux modèles de
stratégies d’accès centralisées (CAP, Central Access Policies), et l’utilisation
des informations de classification des fichiers dans les décisions
d’autorisation.
Rôle de serveur Les services de fichiers et de stockage fournissent des technologies qui
Services de fichiers vous permettent de configurer et de gérer un ou plusieurs serveurs de
et de stockage fichiers qui constituent sur votre réseau des emplacements centralisés où
vous pouvez stocker des fichiers et les partager avec d’autres utilisateurs.
Si vos utilisateurs réseau doivent accéder aux mêmes fichiers et
applications, ou si la sauvegarde et la gestion des fichiers centralisées sont
des éléments importants pour votre organisation, configurez un ou
plusieurs ordinateurs en tant que serveurs de fichiers en ajoutant le rôle
Services de fichiers et de stockage et les services de rôle appropriés aux
ordinateurs.
Ordinateur client Les utilisateurs peuvent accéder aux fichiers et dossiers sur le réseau via
Windows l’ordinateur client.
Déployer une stratégie d'accès
centralisée (étapes de démonstration)

Dans ce scénario, le service Sécurité du service Finance collabore avec le service

centralisé Sécurité des informations pour spécifier la nécessité de mettre en place une
stratégie d'accès centralisée afin de pouvoir protéger les informations financières
archivées stockées sur des serveurs de fichiers. Les informations financières archivées de
chaque pays sont accessibles en lecture seule par les employés du service Finance du
même pays. Un groupe d'administration des finances centralisé peut accéder aux
informations financières de tous les pays.
Le déploiement d'une stratégie d'accès centralisée comprend les phases suivantes :
Phase Description
Plan : Identifier la nécessité d’une stratégie et la Identifier la nécessité d'une stratégie et la

configuration requise pour le déploiement configuration requise pour le déploiement.
Implémenter : Configurer les composants et la Configurer les composants et la stratégie.

stratégie
Déployer la stratégie d'accès centralisée Déployer la stratégie.
Maintenance : modification et gestion Modifications et gestion intermédiaire de la

intermédiaire de stratégie stratégie.
Configurer un environnement de test

Avant de commencer, vous devez configurer un laboratoire pour tester ce scénario. Les
étapes de configuration du laboratoire sont décrites en détail dans l’Annexe B :
configurer l’environnement de test.
Plan : Identifier la nécessité d’une stratégie et

la configuration requise pour le déploiement
Cette section décrit les principales étapes de la phase de planification de votre
déploiement.
N° de Étape Exemple
l’étape
1.1 L'activité Pour protéger les informations financières stockées sur les serveurs de
commerciale fichiers, le service Sécurité du service Finance collabore avec le service
détermine centralisé Sécurité des informations pour spécifier la nécessité de
qu'une mettre en place une stratégie d'accès centralisée.
stratégie
d'accès
centralisée est
nécessaire.
1.2 Exprimer la Les documents financiers ne doivent être lus que par les membres du
stratégie service Finance. Les membres du service Finance ne doivent accéder
d'accès qu'aux documents de leur pays. Seuls les Administrateurs financiers
doivent avoir un accès en écriture. Une exception sera accordée aux
membres du groupe FinanceException. Ce groupe disposera d'un
accès en lecture.
1.3 Exprimer la Cible :

stratégie -Resource.Department contient Finance
d’accès dans
des Règles d'accès :
constructions
- Autoriser Read User.Country=Resource.Country AND
Windows
User.department = Resource.Department
Server 2012
- Autoriser contrôle total User.MemberOf(FinanceAdmin)
Exception :
Allow read memberOf(FinanceException)
1.4 Déterminer les Baliser les fichiers avec :

propriétés de - Département
fichiers - Country
nécessaires
pour la
stratégie
1.5 Déterminer les Types de revendications :

types de - Country
revendications - Département
et les groupes
nécessaires Groupes d'utilisateurs :
pour la
- FinanceAdmin
stratégie
- FinanceException
l’étape
1.6 Identifier les Appliquer la stratégie sur tous les serveurs de fichiers financiers.
serveurs sur
lesquels
appliquer
cette stratégie
Implémenter : Configurer les composants et la

stratégie
Cette section contient un exemple qui déploie une stratégie d'accès centralisée pour des
documents financiers.
l’étape
2.1 Créer des types de revendications Créez les types de revendications suivants :
- Département
- Country
2.2 Créer des propriétés de ressource Créez et activez les propriétés de ressource
suivantes :
- Département
- Country
2.3 Configurer une règle d'accès central Créez une règle Documents financiers qui
comprend la stratégie déterminée dans la
section précédente.
2.4 Configurer une stratégie d'accès Créez une stratégie d'accès centralisée
centralisée nommée Stratégie financière et ajoutez la
règle Documents financiers à cette stratégie
d'accès centralisée.
2.5 Cibler la stratégie d'accès centralisée Publiez la stratégie d'accès centralisée

sur les serveurs de fichiers Stratégie financière sur les serveurs de
fichiers.
2.6 Activer la prise en charge par le Activez la prise en charge par le contrôleur de
contrôleur de domaine Kerberos des domaine Kerberos des revendications, de
revendications, de l'authentification l'authentification composée et du blindage
composée et du blindage Kerberos. Kerberos pour contoso.com.
Dans la procédure suivante, vous allez créer deux types de revendications : Pays et
département.
Pour créer des types de revendications
1. Ouvrez Server DC1 dans le Gestionnaire Hyper-V et connectez-vous en tant que
contoso\administrateur, avec le mot de passe pass@word1.
2. Ouvrez le Centre d'administration Active Directory.
3. Cliquez sur l'icône Arborescence, développez Contrôle d'accès dynamique, puis

sélectionnez Types de revendications.
Cliquez avec le bouton droit sur Types de revendications, cliquez sur Nouveau,
puis sur Type de revendication.
 Conseil
Vous pouvez aussi ouvrir une fenêtre Créer un type de revendication dans le
volet Tâches. Dans le volet Tâches, cliquez sur Nouveau, puis sur Type de
revendication.
4. Dans la liste Attribut source, faites défiler la liste d'attributs et cliquez sur
department. department devrait apparaître dans le champ Nom complet. Cliquez
sur OK.
5. Dans le volet Tâches, cliquez sur Nouveau, puis sur Type de revendication.
6. Dans la liste Attribut source, faites défiler la liste d'attributs et cliquez sur l'attribut
c (Country-Name). Dans le champ Nom complet, tapez country.
7. Dans la section Valeurs suggérées, sélectionnez Les valeurs suivantes sont

suggérées, puis cliquez sur Ajouter.
8. Dans les champs Valeur et Nom complet, tapez US, puis cliquez sur OK.
9. Répétez l'étape ci-dessus. Dans la boîte de dialogue Ajouter une valeur suggérée,
tapez JP dans les champs Valeur et Nom complet, puis cliquez sur OK.
Commandes Windows PowerShell équivalentes
L'applet ou les applets de commande Windows PowerShell suivantes remplissent la

même fonction que la procédure précédente. Entrez chaque applet de commande sur
une seule ligne, même si elles peuvent apparaître comme renvoyées sur plusieurs lignes
ici en raison de contraintes de mise en forme.
PowerShell
New-ADClaimType country -SourceAttribute c -SuggestedValues:@((New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("US","US","")),
(New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("JP","JP","")))
New-ADClaimType department -SourceAttribute department
 Conseil
Vous pouvez utiliser la Visionneuse de l'historique de Windows PowerShell dans le

Centre d'administration Active Directory pour rechercher les applets de commande
Windows PowerShell pour chaque procédure que vous effectuez dans le Centre
d'administration Active Directory. Pour plus d’informations, voir Visionneuse de
l’historique de Windows PowerShell
L'étape suivante consiste à créer des propriétés de ressource. Lors de la procédure

suivante, vous allez créer une propriété de ressource qui est ajoutée automatiquement à
la liste Propriétés de ressource globales sur le contrôleur de domaine, pour être
disponible sur le serveur de fichiers.
Pour créer et activer des propriétés de ressource créées au

préalable
1. Dans le volet gauche du Centre d'administration Active Directory, cliquez sur

Arborescence. Développez Contrôle d'accès dynamique, puis sélectionnez
Propriétés de ressource.
2. Cliquez avec le bouton droit sur Propriétés de ressource, cliquez sur Nouveau,
puis sur Propriété de ressource de référence.
 Conseil
Vous pouvez aussi choisir une propriété de ressource dans le volet Tâches.
Cliquez sur Nouveau, puis sur Propriété de ressource de référence.
3. Dans la liste Sélectionner un type de revendication pour partager ses valeurs

suggérées, cliquez sur country.
4. Dans le champ Nom complet, tapez country, puis cliquez sur OK.
5. Double-cliquez sur la liste Propriétés de ressource et faites-la défiler jusqu'à la

propriété de ressource Department. Cliquez dessus avec le bouton droit, puis
cliquez sur Activer. Cette opération permet d'activer la propriété de ressource
intégrée Department.
6. Dans la liste Propriétés de ressource dans le volet de navigation du Centre

d'administration Active Directory, vous aurez maintenant deux propriétés de
ressource activées :
Pays ou région
department

PowerShell
New-ADResourceProperty Country -IsSecured $true -ResourcePropertyValueType

MS-DS-MultivaluedChoice -SharesValuesWith country
Set-ADResourceProperty Department_MS -Enabled $true
Add-ADResourcePropertyListMember "Global Resource Property List" -Members

Country
Add-ADResourcePropertyListMember "Global Resource Property List" -Members

Department_MS
L'étape suivante consiste à créer des règles d'accès central qui définissent qui peut
accéder aux ressources. Dans ce scénario, les règles professionnelles sont les suivantes :
Les documents financiers ne doivent être lus que par les membres du département
Finance.
Les membres du département Finance ne doivent accéder qu'aux documents de

leur propre pays.
Seuls les Administrateurs financiers doivent avoir un accès en écriture.
Une exception sera accordée aux membres du groupe FinanceException. Ce

groupe disposera d'un accès en lecture.
L'administrateur et le propriétaire du document disposeront toujours d'un accès

total.
Ou, pour exprimer les règles avec des constructions Windows Server 2012 :
Ciblage : Resource.Department contient Finance
Règles d'accès :
Allow Read User.Country=Resource.Country AND User.department =

Resource.Department
Allow Full control User.MemberOf(FinanceAdmin)
Allow Read User.MemberOf(FinanceException)
Pour créer une règle d'accès central

Arborescence, sélectionnez Contrôle d'accès dynamique, puis cliquez sur Règles
d'accès central.
2. Cliquez avec le bouton droit sur Règles d'accès central, cliquez sur Nouveau, puis
sur Règle d'accès central.
3. Dans le champ Nom, tapez Règle pour les documents financiers.
4. Dans la section Ressources cibles, cliquez sur Modifier puis, dans la boîte de
dialogue Règle d'accès central, cliquez sur Ajouter une condition. Ajoutez la
condition suivante : [Ressource] [Département] [Égal] [Valeur] [Finance], puis
cliquez sur OK.
5. Dans la section Autorisations, sélectionnez Utiliser les autorisations suivantes en

tant qu'autorisations actuelles, cliquez sur Modifier puis, dans la boîte de
dialogue Paramètres de sécurité avancés pour Autorisations, cliquez sur Ajouter.
７ Notes
L'option Utiliser les autorisations suivantes en tant qu'autorisations

proposées vous permet de créer la stratégie avec des phases intermédiaires.
Pour plus d’informations sur la procédure à suivre, reportez-vous à la section
Maintenir : Modifier et mettre en place la stratégie dans cette rubrique.
6. Dans la boîte de dialogue Autorisations pour Autorisations, cliquez sur

Sélectionnez un principal, tapez Utilisateurs authentifiés, puis cliquez sur OK.
7. Dans la boîte de dialogue Autorisations d’entrée pour Autorisations, cliquez sur

Ajouter une condition et ajoutez les conditions suivantes : [Utilisateur] [pays]
[N’importe lequel] [Ressource] [Pays] Cliquez sur Ajouter une condition.
[Et]
Cliquez sur [Utilisateur] [Department] [N'importe lequel de] [Ressource]
[Department]. Affectez la valeur Lecture à Autorisations.
8. Cliquez sur OK, puis sur Ajouter. Cliquez sur Sélectionnez un principal, tapez
AdminFinance, puis cliquez sur OK.
9. Sélectionnez les autorisations Modification, Lecture et exécution, Lecture,

Écriture, puis cliquez sur OK.
10. Cliquez sur Ajouter, sur Sélectionnez un principal, tapez FinanceException, puis
cliquez sur OK. Sélectionnez les autorisations Lecture et Lecture et exécution.
11. Cliquez sur OK à trois reprises pour terminer et revenir au Centre d'administration
Active Directory.

PowerShell
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = "O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-
1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-
1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER." +
$countryClaimType.Name + " Any_of @RESOURCE." +
$countryResourceProperty.Name + ") && (@USER." + $departmentClaimType.Name +
" Any_of @RESOURCE." + $departmentResourceProperty.Name + ")))"
$resourceCondition = "(@RESOURCE." + $departmentResourceProperty.Name + "

Contains {`"Finance`"})"
New-ADCentralAccessRule "Finance Documents Rule" -CurrentAcl $currentAcl -

ResourceCondition $resourceCondition
） Important
Dans l'exemple d'applet de commande ci-dessus, les identificateurs de sécurité

(SID) du groupe FinanceAdmin et des utilisateurs sont déterminés au moment de la
création et diffèreront dans votre exemple. Par exemple, la valeur de SID fournie (S-
1-5-21-1787166779-1215870801-2157059049-1113) pour FinanceAdmins doit être
remplacée par le SID du groupe FinanceAdmin que vous devrez créer dans votre
déploiement. Vous pouvez utiliser Windows PowerShell pour rechercher la valeur
de SID de ce groupe, assigner cette valeur à une variable, puis utiliser la variable ici.
Pour plus d’informations, voir Conseil Windows PowerShell : Travailler avec SIDs.
Vous devriez maintenant avoir une règle d'accès central qui permet aux utilisateurs
d'accéder à des documents du même pays et du même service. Cette règle autorise le
groupe FinanceAdmin à modifier les documents et le groupe FinanceException à lire les
documents. Elle cible uniquement les documents classifiés comme financiers.
Pour ajouter une règle d'accès central à une stratégie d'accès

centralisée
Contrôle d'accès dynamique, puis sur Stratégies d'accès centralisées.
2. Dans le volet Tâches, cliquez sur Nouveau, puis sur Stratégie d'accès centralisée.
3. Dans Créer une stratégie d'accès centralisée, tapez Stratégie Finance dans la zone
Nom.
4. Dans Règles d'accès central membres, cliquez sur Ajouter.
5. Double-cliquez sur la Règle pour les documents financiers pour l'ajouter à la liste
Ajoutez les règles d'accès central suivantes, puis cliquez sur OK.
6. Cliquez sur OK pour terminer. Vous devriez maintenant avoir une stratégie d'accès
centralisée nommée Stratégie Finance.

PowerShell
New-ADCentralAccessPolicy "Finance Policy" Add-ADCentralAccessPolicyMember
-Identity "Finance Policy"
-Member "Finance Documents Rule"
Pour appliquer la stratégie d'accès centralisée sur les serveurs de

fichiers à l'aide de la stratégie de groupe
1. Dans l'écran d'accueil, dans la zone Rechercher, tapez Gestion des stratégies de
groupe. Double-cliquez sur Gestion des stratégies de groupe.
 Conseil
Si le paramètre Afficher les outils d’administration est désactivé, le dossier

Outils d’administration et son contenu ne figurent pas dans les résultats
Paramètres.
 Conseil
Dans votre environnement de production, vous devez créer une unité

d'organisation Serveur de fichiers et y ajouter tous les serveurs de fichiers
auxquels vous souhaitez appliquer cette stratégie. Vous pouvez ensuite créer
une stratégie de groupe et ajouter cette unité d'organisation à cette stratégie.
2. Lors de cette étape, vous allez modifier l'objet de stratégie de groupe que vous
avez créé dans la section Créer le contrôleur de domaine dans l'environnement de
test pour inclure la stratégie d'accès centralisée que vous avez créée. Dans l’éditeur
de gestion stratégie de groupe, accédez à et sélectionnez l’unité d’organisation
dans le domaine (contoso.com dans cet exemple) : Gestion de Stratégie de
groupe, Forêt : contoso.com, Domaines, contoso.com, Contoso, FileServerOU.
3. Cliquez avec le bouton droit sur FlexibleAccessGPO, puis sur Modifier.
4. Dans la fenêtre de l'Éditeur de gestion des stratégies de groupe, accédez à

Configuration ordinateur, développez Stratégies, Paramètres Windows, puis
cliquez sur Paramètres de sécurité.
5. Développez Système de fichiers, cliquez avec le bouton droit sur Stratégie d'accès
centralisée, puis cliquez sur Gérer les stratégies d'accès centralisées.
6. Dans la boîte de dialogue Configuration des stratégies d'accès centralisées,

ajoutez Stratégie Finance, puis cliquez sur OK.
7. Accédez à Configuration avancée de la stratégie d'audit et développez cette

option.
8. Développez Stratégies d'audit et sélectionnez Accès à l'objet.
9. Double-cliquez sur Auditer la stratégie d'accès centralisée intermédiaire. Cochez

les trois cases, puis cliquez sur OK. Cette étape permet au système de recevoir les
événements d'audit liés aux stratégies d'accès centralisées intermédiaires.
10. Double-cliquez sur Auditer les propriétés du système de fichiers. Cochez les trois
cases, puis cliquez sur OK.
11. Fermez l’Éditeur de gestion des stratégies de groupe. Vous avez maintenant inclus
la stratégie d'accès centralisée à la stratégie de groupe.
Pour que les contrôleurs de domaine d'un domaine fournissent des revendications ou
des données d'autorisation de périphérique, ils doivent être configurés pour prendre en
charge le contrôle d'accès dynamique.
Pour activer la prise en charge des revendications et de

l'authentification composée pour contoso.com
1. Ouvrez Gestion des stratégies de groupe, cliquez sur contoso.com, puis sur
Contrôleurs de domaine.
2. Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut,
puis cliquez sur Modifier.
3. Dans la fenêtre Éditeur de gestion des stratégies de groupe, double-cliquez sur

Configuration ordinateur, Stratégies, Modèles d'administration, Système, puis
Contrôleur de domaine Kerberos.
4. Double-cliquez sur Prise en charge par le contrôleur de domaine Kerberos des

revendications, de l’authentification composée et du blindage Kerberos. Dans la
boîte de dialogue Prise en charge par le contrôleur de domaine Kerberos des
revendications, de l’authentification composée et du blindage Kerberos, cliquez
sur Activé et sélectionnez Pris en charge dans la liste déroulante Options. (Vous
devez activer ce paramètre pour utiliser les revendications utilisateur dans les
stratégies d'accès centralisées.)
5. Fermez la fenêtre Gestion des stratégies de groupe.
6. Ouvrez une invite de commandes et tapez gpupdate /force .
Déployer la stratégie d'accès centralisée

l’étape
l’étape
3.1 Assigner la stratégie d'accès centralisée aux Assignez la stratégie d'accès centralisée
dossiers partagés appropriés sur le serveur au dossier partagé approprié sur le
de fichiers. serveur de fichiers.
3.2 Vérifier que l'accès est configuré Vérifiez l'accès pour les utilisateurs de
correctement. différents pays et services.
Lors de cette étape, vous allez assigner la stratégie d'accès centralisée à un serveur de
fichiers. Vous allez vous connecter à un serveur de fichiers qui reçoit la stratégie d'accès
centralisée que vous avez créée lors des étapes précédentes et assigner la stratégie à un
dossier partagé.
Pour assigner une stratégie d'accès centralisée à un serveur de

fichiers
1. Dans le Gestionnaire Hyper-V, connectez-vous au serveur FILE1. Connectez-vous

au serveur avec le compte contoso\Administrateur et le mot de passe
pass@word1.
2. Ouvrez une invite de commandes avec élévation de privilèges et tapez gpupdate

/force. Cette commande permet de s'assurer que les modifications apportées à la
stratégie de groupe prennent effet sur votre serveur.
3. Vous devez aussi actualiser les propriétés de ressource globales à partir d'Active
Directory. Ouvrez une fenêtre Windows PowerShell avec élévation de privilèges et
tapez Update-FSRMClassificationpropertyDefinition . Appuyez sur Entrée et fermez
Windows PowerShell.
 Conseil
Vous pouvez aussi actualiser les propriétés de ressource globales en vous

connectant au serveur de fichiers. Pour actualiser les propriétés de ressource
globales à partir du serveur de fichiers, procédez comme suit :
a. Ouvrez une session sur le serveur de fichiers FILE1 en tant que
contoso\administrateur avec le mot de passe pass@word1.
b. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Pour ouvrir le
Gestionnaire de ressources du serveur de fichiers, cliquez sur Démarrer,
tapez gestionnaire de ressources du serveur de fichiers, puis cliquez sur
Gestionnaire de ressources du serveur de fichiers.
c. Dans le Gestionnaire de ressources du serveur de fichiers, cliquez sur
Gestion de la classification de fichiers, cliquez avec le bouton droit sur
Propriétés de classification, puis cliquez sur Actualiser.
4. Ouvrez l'Explorateur Windows et, dans le volet gauche, cliquez sur le lecteur D.
Cliquez avec le bouton droit sur le dossier Finance Documents, puis cliquez sur
Propriétés.
5. Cliquez sur l'onglet Classification, sur Country, puis sélectionnez US dans le champ
Valeur.
6. Cliquez sur Department, puis sélectionnez Finance dans le champ Valeur et cliquez
sur Appliquer.
７ Notes
Souvenez-vous que la stratégie d'accès centralisée a été configurée pour

cibler les fichiers du service Finance. Les étapes précédentes marquent tous
les documents du dossier avec les attributs Country et Department.
7. Cliquez sur l'onglet Sécurité, puis sur Avancé. Cliquez sur l'onglet Stratégie
centralisée.
8. Cliquez sur Modifier, sélectionnez Stratégie Finance dans le menu déroulant, puis
cliquez sur Appliquer. La Règle pour les documents financiers est mentionnée
dans la stratégie. Développez l'élément pour afficher toutes les autorisations que
vous avez définies lors de la création de la règle dans Active Directory.
9. Cliquez sur OK pour revenir à Windows Explorer.
Lors de l'étape suivante, vous allez vous assurer que l'accès est configuré correctement.
L'attribut Department approprié doit être défini pour les comptes d'utilisateur (pour le
définir, utilisez le Centre d'administration Active Directory). Le plus simple pour afficher
les résultats effectifs de la nouvelle stratégie consiste à utiliser l'onglet Accès effectif
dans l'Explorateur Windows. L'onglet Accès effectif montre les droits d'accès pour un
compte d'utilisateur donné.
Pour examiner l'accès pour différents utilisateurs

1. Dans le Gestionnaire Hyper-V, connectez-vous au serveur FILE1. Ouvrez une
session sur le serveur avec le compte contoso\administrateur. Accédez à D:\ dans
l'Explorateur Windows. Cliquez avec le bouton droit sur le dossier Finance
Documents, puis cliquez sur Propriétés.
2. Cliquez sur l'onglet Sécurité, sur Avancé, puis sur l'onglet Accès effectif.
3. Pour examiner les autorisations d’un utilisateur, cliquez sur Sélectionner un

utilisateur, tapez le nom de l’utilisateur, puis cliquez sur Afficher l’accès effectif
pour afficher les droits d’accès effectifs. Par exemple :
Myriam Delesalle (MDelesalle) travaille au service Finance et doit avoir un

accès en lecture au dossier.
Miles Reid (MReid) est membre du groupe FinanceAdmin et doit avoir un

accès en modification au dossier.
Esther Valle (EValle) ne travaille pas au service Finance. Toutefois, elle est
membre du groupe FinanceException et doit avoir un accès en lecture.
Maira Wenzel (MWenzel) ne travaille pas au service Finance et n'est pas

membre du groupe FinanceAdmin ou FinanceException. Elle ne doit pas avoir
accès au dossier.
Notez la dernière colonne nommée Accès limité par dans la fenêtre d'accès
effectif. Elle indique les portes qui appliquent les autorisations de cette personne.
Dans ce cas, les autorisations Partager et NTFS accordent un contrôle total à tous
les utilisateurs. Toutefois, la stratégie d'accès centralisée limite l'accès en fonction
des règles que vous avez configurées précédemment.
Maintenance : modification et gestion

intermédiaire de la stratégie
l’étape
4,1 Configurer les revendications de Définissez le paramètre de stratégie de

périphérique pour les clients. groupe pour activer les revendications de
périphérique.
4,2 Activer une revendication pour les Activez le type de revendication

périphériques. « country » pour les périphériques.
4.3 Ajouter une stratégie intermédiaire à la Modifiez la règle Documents financiers

règle d'accès central existante que vous pour ajouter une stratégie intermédiaire.
souhaitez modifier.
l’étape
4.4 Afficher les résultats de la stratégie Vérifiez les autorisations d'Ester Velle.
intermédiaire.
Pour configurer le paramètre de stratégie de groupe pour activer

les revendications pour les périphériques
1. Connectez-vous à DC1, ouvrez Gestion des stratégies de groupe, cliquez sur

contoso.com, sur Stratégie de domaine par défaut, cliquez avec le bouton droit et
sélectionnez Modifier.
2. Dans la fenêtre Éditeur de gestion des stratégies de groupe, accédez à

Configuration ordinateur, Stratégies, Modèles d'administration, Système et
Kerberos.
3. Sélectionnez Prise en charge par le client Kerberos des revendications, de

l'authentification composée et du blindage Kerberos et cliquez sur Activer.
Pour activer une revendication pour les périphériques

contoso\Administrateur, avec le mot de passe pass@word1.
2. Dans le menu Outils, ouvrez le Centre d'administration Active Directory.
3. Cliquez sur Arborescence, développez Contrôle d'accès dynamique, double-

cliquez sur Types de revendications, puis double-cliquez sur la revendication
country.
4. Dans Les revendications de ce type peuvent être émises pour les classes
suivantes, cochez la case Ordinateur. Cliquez sur OK.
Les cases Utilisateur et
Ordinateur doivent maintenant être toutes deux cochées. La revendication country
peut maintenant être utilisée avec les périphériques et les utilisateurs.
L'étape suivante consiste à créer une règle de stratégie intermédiaire. Les stratégies
intermédiaires peuvent servir à contrôler les effets d'une nouvelle entrée de stratégie
avant son activation. Lors de l'étape suivante, vous allez créer une entrée de stratégie
intermédiaire et contrôler son effet sur votre dossier partagé.
Pour créer une règle de stratégie intermédiaire et l'ajouter à la
stratégie d'accès centralisée

contoso\Administrateur, avec le mot de passe pass@word1.
2. Ouvrez le Centre d'administration Active Directory.
3. Cliquez sur Arborescence, développez Contrôle d'accès dynamique et

sélectionnez Règles d'accès central.
4. Cliquez avec le bouton droit sur le dossier Règle pour les documents financiers,
puis cliquez sur Propriétés.
5. Dans la section Autorisations proposées, cochez la case Activer la configuration

intermédiaire des autorisations, cliquez sur Modifier, puis sur Ajouter. Dans la
fenêtre Autorisations pour Autorisations proposées, cliquez sur le lien
Sélectionnez un principal, tapez Utilisateurs authentifiés, puis cliquez sur OK.
6. Cliquez sur le lien Ajouter une condition et ajoutez la condition suivante :

[Utilisateur] [pays] [N’importe lequel] [Ressource] [Pays].
7. Cliquez à nouveau sur Ajouter une condition, puis ajoutez la condition suivante :
[Et] [Appareil] [pays] [N’importe lequel] [Ressource] [Pays]
8. Cliquez de nouveau sur Ajouter une condition et ajoutez la condition suivante.

[Et]
[Utilisateur] [Groupe] [Membre de n’importe quel] [Valeur](FinanceException)
9. Pour définir le groupe FinanceException, cliquez sur Ajouter des éléments et, dans
la fenêtre Sélectionner Utilisateur, Ordinateur, Compte de service ou Groupe,
tapez FinanceException.
10. Cliquez sur Autorisations, sélectionnez Contrôle total, puis cliquez sur OK.
11. Dans la fenêtre Paramètres de sécurité avancés pour Autorisations proposées,

sélectionnez FinanceException et cliquez sur Supprimer.
12. Cliquez sur OK à deux reprises pour terminer.

PowerShell
Set-ADCentralAccessRule
-Identity:
"CN=FinanceDocumentsRule,CN=CentralAccessRules,CN=ClaimsConfiguration,CN=Con
figuration,DC=Contoso.com"
-ProposedAcl: "O:SYG:SYD:AR(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1301bf;;;S-1-
21=1426421603-1057776020-1604)"
-Server: "WIN-2R92NN8VKFP.Contoso.com"
７ Notes
Dans l'exemple d'applet de commande ci-dessus, la valeur Server correspond au

serveur dans l'environnement de laboratoire. Vous pouvez utiliser la Visionneuse de
l'historique de Windows PowerShell pour rechercher les applets de commande
Windows PowerShell pour chaque procédure que vous effectuez dans le Centre
d'administration Active Directory. Pour plus d’informations, voir Visionneuse de
Dans ce jeu d'autorisations proposé, les membres du groupe FinanceException

disposeront d'un accès total aux fichiers dans leur propre pays quand ils y accèderont
par l'intermédiaire d'un périphérique du même pays que le document. Des entrées
d'audit sont disponibles dans le journal de sécurité Serveurs de fichiers quand un
membre du service Finance tente d'accéder à des fichiers. Toutefois, les paramètres de
sécurité ne sont pas appliqués tant que la stratégie intermédiaire n'a pas été promue.
Lors de la procédure suivante, vous allez vérifier les résultats de la stratégie

intermédiaire. Vous allez accéder au dossier partagé avec un nom d'utilisateur ayant des
autorisations basées sur la règle active. Esther Valle (EValle) est membre du groupe
FinanceException et elle dispose actuellement de droits de Lecture. Selon notre stratégie
intermédiaire, EValle ne doit disposer d'aucun droit.
Pour vérifier les résultats de la stratégie intermédiaire
1. Connectez-vous au serveur de fichiers FILE1 dans le Gestionnaire Hyper-V et

ouvrez une session en tant que contoso\administrateur, avec le mot de passe
pass@word1.
2. Ouvrez une fenêtre Invite de commandes et tapez gpupdate /force. Cette

commande permet de s'assurer que les modifications apportées à la stratégie de
groupe prennent effet sur votre serveur.
3. Dans le Gestionnaire Hyper-V, connectez-vous au serveur CLIENT1. Déconnectez
l'utilisateur actuellement connecté. Redémarrez l'ordinateur virtuel CLIENT1.
Ouvrez une session sur l'ordinateur à l'aide en tant que contoso\EValle
pass@word1.
4. Double-cliquez sur le raccourci du Bureau vers \\FILE1\Finance Documents. EValle

doit encore avoir accès aux fichiers. Revenez à FILE1.
5. Ouvrez l'Observateur d'événements à partir du raccourci sur le Bureau.

Développez Journaux Windows, puis sélectionnez Sécurité. Ouvrez les entrées
avec Event ID 4818 sous la catégorie de tâche Gestion intermédiaire de stratégie
d'accès centralisée. Vous constaterez que l'accès a été accordé à EValle. Toutefois,
conformément à la stratégie intermédiaire, l'accès aurait été refusé à cet utilisateur.
Étapes suivantes
Si vous disposez d'un système de gestion de serveur centralisé tel que System Center
Operations Manager, vous pouvez aussi configurer la surveillance des événements. Cela
permet aux administrateurs de contrôler les effets des stratégies d'accès centralisées
avant de les appliquer.
Scénario : audit d’accès aux fichiers
Article • 11/04/2023

L’audit de sécurité est l’un des outils les plus puissants de gestion de la sécurité d’une
entreprise. La conformité aux normes fait notamment partie de ses objectifs clés. Des
normes industrielles telles que Sarbanes Oxley, HIPAA (Health Insurance Portability and
Accountability Act) et PCI (Payment Card Industry) exigent que les entreprises se
conforment à un ensemble strict de règles liées à la sécurité et à la confidentialité des
données. Les audits de sécurité visent à établir la présence de ce type de stratégies et à
prouver la conformité à ces normes. De plus, les audits de sécurité permettent de
détecter un comportement anormal, d’identifier et d’atténuer les lacunes dans les
stratégies de sécurité, ainsi que de dissuader tout comportement irresponsable en
créant un journal de l’activité utilisateur qui peut être utilisé pour une analyse
d’investigation.
Les exigences en matière de stratégie d’audit sont généralement établies à différents

niveaux :
Sécurité des informations. Les journaux d’audit sur l’accès aux fichiers sont
souvent utilisés pour des analyses d’investigation et de détection d’intrusion. Les
organisations peuvent désormais largement améliorer leurs temps de réponse et
leur précision en termes d’investigation car elles disposent d’événements ciblés en
matière d’accès aux informations importantes.
Stratégie organisationnelle. À titre d’exemple, les organisations assujetties aux

normes PCI pourraient disposer d’une stratégie centrale pour surveiller l’accès à
tous les fichiers qui sont marqués comme contenant des informations de carte de
crédit et des informations d’identification personnelle (PII, Personally Identifiable
Information).
Stratégie de service. Le service des finances peut notamment exiger que la

capacité à modifier certains documents financiers (tels qu’un rapport sur les
revenus trimestriels) soit limitée aux membres de son service. Il serait donc
légitime que ce dernier souhaite surveiller toutes les autres tentatives de
modification de ces documents.
Stratégie métier. Les propriétaires des projets pourraient par exemple surveiller
toutes les tentatives non autorisées d’affichage des données qui appartiennent à
leurs projets.
En outre, le service de conformité peut souhaiter surveiller toutes les stratégies

d’autorisation centralisées et les éléments de la stratégie tels que les attributs utilisateur,
d’ordinateur et de ressource.
Le coût de collecte, de stockage et d’analyse des événements d’audit de sécurité

représente l’une des considérations essentielles des audits de sécurité. Si les stratégies
d’audit ne sont pas suffisamment spécifiques, le volume d’événements d’audit collectés
s’accroît, ce qui augmente les coûts. Si les stratégies d’audit sont trop limitées, vous
risquez de manquer des événements importants.
Avec Windows Server 2012 , vous pouvez créer des stratégies d’audit à l’aide de
propriétés de revendication et de ressource. Vous générez ainsi des stratégies d’audit
plus riches, davantage ciblées et faciles à utiliser, et faites exister des scénarios qui
jusqu’à présent étaient impossibles ou trop difficiles à effectuer. Voici des exemples de
stratégies d’audit que les administrateurs peuvent créer :
Auditer tous les utilisateurs qui ne bénéficient pas d’habilitations sécuritaires

élevées et qui tentent d’accéder à des documents HBI. Par exemple, Auditer | Tout
le monde | All-Access | Resource.BusinessImpact=HBI AND
User.SecurityClearance!=High.
Auditer tous les fournisseurs lorsqu’ils tentent d’accéder à des documents liés à
des projets sur lesquels ils ne travaillent pas. Par exemple, Auditer | Tout le monde |
All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf
Resource.Project.
Ces stratégies permettent de normaliser le volume des événements d’audit et de les

limiter aux données ou aux utilisateurs les plus pertinents.
Une fois que les administrateurs ont créé et appliqué les stratégies d’audit, le point
suivant qu’ils doivent prendre en considération est la collecte d’informations
significatives à partir des événements d’audit collectés. Les événements d’audit basés
sur des expressions peuvent aider à réduire le volume des audits. Toutefois, les
utilisateurs ont besoin d’un moyen pour rechercher des informations significatives dans
ces événements et de poser des questions telles que « Qui est en train d’accéder à mes
données HBI ? » ou « Y a-t-il eu une tentative d’accès non autorisée aux données
sensibles ? »
Windows Server 2012 permet d’améliorer les événements d’accès aux données existants
avec les revendications de l’utilisateur, de l’ordinateur et des ressources. Ces
événements sont générés par serveur. Afin de fournir une vue globale des événements
dans l’organisation, Microsoft s’emploie aux côtés de partenaires à fournir des
collections d’événements et des outils d’analyse, tels que les services ACS dans
Microsoft System Center Operations Manager.
La Figure 4 présente une vue d’ensemble de la stratégie d’audit centralisée.
Figure 4 Expérience d’audit centralisée
La mise en place et la consommation d’audits de sécurité implique normalement les

étapes générales suivantes :
1. Identifier l’ensemble correct de données et d’utilisateurs à surveiller
2. Créer et appliquer les stratégies d’audit appropriées
3. Collecter et analyser les événements d’audit
4. Gérer et surveiller les stratégies qui ont été créées
Dans ce scénario
Les rubriques suivantes fournissent des conseils supplémentaires pour ce scénario :
Planifier l’audit d’accès aux fichiers
Déployer l’audit de sécurité avec les stratégies d’audit centralisées (étapes de

démonstration)

Rôle des Services de AD DS dans Windows Server 2012 introduit une plateforme d’autorisation
domaine Active basée sur les revendications qui permet de créer des revendications
Directory d’utilisateur et d’appareil, une identité composée, (des revendications
d’utilisateur plus d’appareil), un nouveau modèle de stratégies d’accès
centralisées (CAP, Central Access Policies), et l’utilisation des informations
de classification des fichiers dans les décisions d'autorisation.
Rôle des Services de Les serveurs de fichiers de Windows Server 2012 fournissent une interface
fichiers et de utilisateur dans laquelle les administrateurs peuvent afficher les
stockage autorisations effectives pour les utilisateurs d’un fichier ou d’un dossier,
résoudre des problèmes d’accès et accorder des accès en fonction des
besoins.
Article • 11/04/2023

Les informations figurant dans cette rubrique abordent les améliorations en matière
d’audit de sécurité qui ont été introduites dans Windows Server 2012 ainsi que les
nouveaux paramètres d’audit dont vous devez tenir compte lorsque vous déployez le
contrôle d’accès dynamique dans votre entreprise. Les paramètres de stratégie d’audit
actuels que vous déployez dépendront de vos objectifs. Il peut s’agir notamment de la
conformité aux normes, de l’analyse, de l’analyse d’investigation et de la résolution des
problèmes.
７ Notes
Vous trouverez des informations détaillées pour planifier et déployer une stratégie
d'audit de sécurité globale pour votre entreprise dans Planification et déploiement
de stratégies d'audit de sécurité avancées. Pour plus d'informations sur la
configuration et le déploiement d'une stratégie d'audit de sécurité, consultez le
Guide pas à pas de la stratégie d'audit de sécurité avancée.
Les fonctionnalités d’audit de sécurité suivantes dans Windows Server 2012 peuvent être
associées au contrôle d’accès dynamique en vue d’étendre votre stratégie d’audit de
sécurité globale.
Stratégies d’audit basées sur des expressions. Le contrôle d’accès dynamique

vous permet de créer des stratégies d’audit ciblées en utilisant des expressions
basées sur des revendications d’utilisateur, d’ordinateur et de ressource. À titre
d’exemple, vous pouvez créer une stratégie d’audit pour effectuer le suivi de
toutes les opérations de lecture et d’écriture sur des fichiers classés dans la
catégorie « à fort impact métier » effectuées par des employés qui ne bénéficient
pas d’habilitations sécuritaires élevées. Les stratégies d’audit basées sur des
expressions peuvent être rédigées directement pour un fichier ou un dossier, ou de
manière centrale via une stratégie de groupe. Pour plus d'informations, consultez
Stratégie de groupe utilisant l'audit d'accès global aux objets.
Informations supplémentaires à partir de l’audit d’accès aux objets. L’audit

d’accès aux fichiers n’est pas introduit avec Windows Server 2012 et existait déjà.
Avec la stratégie d’audit appropriée en place, les systèmes d’exploitation Windows
et Windows Server génèrent un événement d’audit chaque fois qu’un utilisateur
accède à un fichier. Les événements d’accès aux fichiers existants (4656, 4663)
contiennent des informations sur les attributs du fichier auquel un utilisateur a
accédé. Ces informations peuvent être utilisées par des outils de filtrage du journal
des événements pour vous aider à identifier les événements d’audit les plus
significatifs. Pour plus d'informations, consultez Audit de manipulation de handle
et Audit de SAM (Security Accounts Manager).
Informations supplémentaires à partir des événements d’ouverture de session

utilisateur. Avec la stratégie d’audit appropriée en place, les systèmes
d’exploitation Windows génèrent un événement d’audit chaque fois qu’un
utilisateur se connecte à un ordinateur en local ou à distance. Dans Windows
Server 2012 ou Windows 8, vous pouvez également surveiller les revendications
d’utilisateur et de périphérique associées au jeton de sécurité d’un utilisateur.
Parmi les exemples peuvent figurer des habilitations sécuritaires relatives au
service, à la société, au projet et à la sécurité. L’événement 4626 contient des
informations sur ces revendications d’utilisateur et de périphérique, qui peuvent
être exploitées par des outils de gestion de journal des événements afin de mettre
en corrélation les événements d’ouverture de session utilisateur et les événements
d’accès aux objets pour permettre le filtrage d’événement en fonction des attributs
de fichier et des attributs utilisateur. Pour plus d'informations sur l'audit
d'ouverture de session utilisateur, consultez Auditer l'ouverture de session.
Suivi des modifications des nouveaux types d’objets sécurisables. Il peut s’avérer
important d’effectuer le suivi des modifications des objets sécurisables dans les
scénarios suivants :
Suivi des modifications dans le cadre des stratégies et des règles d’accès
centralisées. Les stratégies et les règles d’accès centralisées définissent la
stratégie centrale qui peut être utilisée pour contrôler l’accès aux ressources
critiques. Toute modification apportée à ces dernières peut avoir un impact
direct sur les autorisations d’accès aux fichiers qui sont accordées aux
utilisateurs sur plusieurs ordinateurs. Par conséquent, le suivi des modifications
apportées aux stratégies et aux règles d’accès centralisées peuvent revêtir une
certaine importance pour votre organisation. Vous pouvez auditer les tentatives
de modification à leur égard, notamment les modifications apportées à tout
autre objet sécurisable dans Active Directory Domain Services (AD DS) car les
stratégies et les règles d’accès centralisées y sont stockées. Pour plus
d'informations, consultez Auditer l'accès au service d'annuaire.
Suivi des modifications de définitions dans le dictionnaire des revendications.

Les définitions des revendications comprennent le nom, la description et les
valeurs possibles de la revendication. Toute modification apportée à la définition
de la revendication peut avoir des répercussions sur les autorisations d’accès
aux ressources critiques. Par conséquent, le suivi des modifications apportées
aux définitions des revendications peut s’avérer primordial pour votre
organisation. À l’instar des stratégies et des règles d’accès centralisées, les
définitions des revendications sont stockées dans AD DS ; c’est pourquoi elles
peuvent être auditées comme tout autre objet sécurisable dans AD DS. Pour
plus d'informations, consultez Auditer l'accès au service d'annuaire.
Suivi des modifications apportées aux attributs de fichier. Les attributs de

fichier déterminent la règle d’accès centralisée qui s’applique au fichier. Une
seule modification apportée aux attributs du fichier a potentiellement des
répercussions sur les autorisations d’accès à ce fichier. Par conséquent, il est
important d’effectuer le suivi des modifications apportées aux attributs de
fichier. Vous pouvez accomplir cette opération sur tout ordinateur en
configurant la stratégie d’audit de modification de la stratégie d’autorisation.
Pour plus d'informations, consultez Audit de modification de la stratégie
d'autorisation et Audit d'accès aux objets pour les systèmes de fichiers. Dans
Windows Server 2012, l’événement 4911 fait la différence entre les
modifications apportées à la stratégie d’attribut de fichier et d’autres
événements de modifications apportées à la stratégie d’autorisation.
Suivi des modifications pour la stratégie d'accès centralisée associée à un

fichier. L'événement 4913 affiche les identificateurs de sécurité (SID) des
anciennes et nouvelles stratégies d'accès centralisées. Chaque stratégie d’accès
centralisée est dotée d’un nom convivial qui peut être recherché à l’aide de cet
identificateur de sécurité. Pour plus d'informations, consultez Audit des
modifications de la stratégie d'autorisation.
Suivi des modifications apportées aux attributs utilisateur et de l’ordinateur.

Tout comme les fichiers, les objets utilisateur et d’ordinateur peuvent recevoir
des attributs ; les modifications apportées à ces attributs peuvent avoir une
incidence sur la capacité de l’utilisateur à accéder aux fichiers. Par conséquent, il
est peut-être intéressant d’effectuer le suivi des modifications apportées aux
attributs utilisateur ou de fichier. Les objets utilisateur et d’ordinateur sont
stockés dans AD DS ; par conséquent, les modifications apportées à leurs
attributs peuvent être auditées. Pour plus d'informations, consultez Accès aux
services de domaine.
Étape intermédiaire des modifications liées à la stratégie. Les modifications

apportées aux stratégies d’accès centralisées peuvent avoir des répercussions sur
les décisions du contrôle d’accès à tous les ordinateurs sur lesquels les stratégies
sont appliquées. Une stratégie laxiste pourrait accorder plus d’accès que souhaité
tandis qu’une stratégie exagérément restrictive pourrait générer un nombre
excessif d’appels au support technique. Aussi, il peut être extrêmement bénéfique
de vérifier les modifications apportées à la stratégie d’accès centralisée avant de
mettre en place la modification. À cet effet, Windows Server 2012 introduit le
concept de « préproduction ». La préproduction permet aux utilisateurs de vérifier
les modifications de stratégie qu’ils proposent avant de les appliquer. Pour utiliser
l’étape intermédiaire de la stratégie, les stratégies envisagées sont déployées avec
les stratégies mises en application, tandis que les stratégies intermédiaires
n’octroient, ni ne refusent des autorisations. À la place, Windows Server 2012
enregistre un événement d’audit (4818) chaque fois que le résultat de la
vérification d’accès qui utilise la stratégie intermédiaire diffère du résultat d’une
vérification d’accès faisant appel à la stratégie appliquée.
Déployer l’audit de sécurité avec les
stratégies d’audit centralisées (étapes de
démonstration)

Dans ce scénario, vous auditerez l’accès aux fichiers du dossier Documents financiers à
l’aide de la Stratégie financière que vous avez créée dans Déployer une stratégie d’audit
centralisée (Étapes de démonstration). Si un utilisateur non autorisé tente d’accéder au
dossier, l’activité est capturée dans l’Observateur d’événements.
Les étapes suivantes
sont requises pour tester ce scénario.
Tâche Description
Configurer l’accès global Au cours de cette étape, vous configurez la stratégie d’accès global
aux objets aux objets au niveau du contrôleur de domaine.
Mettre à jour les Connectez-vous au serveur de fichiers et appliquez la mise à jour de

paramètres de stratégie la stratégie de groupe.
de groupe
Vérifier que la stratégie Affichez les événements pertinents dans l’Observateur

d’accès global aux objets d’événements. Les événements doivent inclure les métadonnées
a été appliquée relatives au pays et au type de document.
Configurer la stratégie d’accès global aux

objets
Au cours de cette étape, vous configurez la stratégie d’accès global aux objets au niveau
du contrôleur de domaine.
Pour configurer une stratégie d’audit d’accès global aux objets
1. Connectez-vous au contrôleur de domaine DC1 en tant que

contoso\Administrateur avec le mot de passe pass@word1.
2. Dans le Gestionnaire de serveur, pointez sur Outils, puis cliquez sur Gestion de
stratégie de groupe.
3. Dans l’arborescence de la console, double-cliquez sur Domaines, sur contoso.com,

cliquez sur Contoso, puis double-cliquez sur Serveurs de fichiers.
4. Cliquez avec le bouton droit sur FlexibleAccessGPO, puis sur Modifier.
5. Double-cliquez sur Configuration ordinateur, sur Stratégies, puis sur Paramètres

Windows.
6. Double-cliquez sur Paramètres de sécurité, sur Configuration avancée de la

stratégie d’audit, puis sur Stratégies d’audit.
7. Double-cliquez sur Accès à l’objet, puis sur Auditer le système de fichiers.
8. Activez successivement les cases à cocher Configurer les événements d’audit

suivants, Succès, Échec, puis cliquez sur OK.
9. Dans le volet de navigation, double-cliquez sur Audit de l’accès global aux objets,
puis sur Système de fichiers.
10. Activez la case à cocher Définir ce paramètre de stratégie, puis cliquez sur
Configurer.
11. Dans la zone Paramètres de sécurité avancés pour SACL globale d’accès aux
fichiers, cliquez sur Ajouter, puis sur Sélectionnez un principal, tapez Tout le
monde, puis cliquez sur OK.
12. Dans la zone Audits pour SACL globale d’accès aux fichiers, activez Contrôle total
dans la zone Autorisations.
13. Dans la section Ajouter une condition :, cliquez sur Ajouter une condition, puis
dans les listes déroulantes, sélectionnez [Ressource] [Service] [N’importe lequel
de] [Valeur] [Finance].
14. Cliquez trois fois sur OK pour terminer la configuration du paramètre de la

stratégie d’audit de l’accès global aux objets.
15. Dans le volet de navigation, cliquez sur Accès à l’objet, puis dans le volet des
résultats, double-cliquez sur Auditer la manipulation de handle. Activez
successivement les cases à cocher Configurer les événements d’audit suivants,
Succès, Échec, puis cliquez sur OK et fermez l’objet Stratégie de groupe d’accès
souple.
Mettre à jour les paramètres de stratégie de
groupe
Au cours de cette étape, vous mettez à jour les paramètres de stratégie de groupe après
avoir créé la stratégie d’audit.
Pour mettre à jour les paramètres de stratégie de groupe
1. Connectez-vous au serveur de fichiers FICHIER1 en tant que

contoso\Administrateur avec le mot de passe pass@word1.
2. Appuyez sur la touche Windows + R, tapez cmd pour ouvrir une fenêtre d’invite de
commandes.
７ Notes
Si la boîte de dialogue Contrôle de compte d'utilisateur s'affiche, vérifiez que

l'action affichée est celle que vous voulez, puis cliquez sur Oui.
3. Tapez gpupdate /force et appuyez sur Entrée.
Vérifier que la stratégie d’accès global aux

objets a été appliquée
Une fois les paramètres Stratégie de groupe appliqués, vérifiez que les paramètres de
stratégie d’audit ont été appliqués correctement.
Pour vérifier que la stratégie d’accès global aux objets a été

appliquée
1. Connectez-vous à l’ordinateur client, CLIENT1 en tant que Contoso\MReid.
Accédez au lien hypertexte de dossier "file:///\\\\ID_AD_FILE1\\Finance" \\
FICHIER1\Documents financiers, puis modifiez le document Word 2.
2. Connectez-vous au serveur de fichiers FICHIER1 en tant que

contoso\Administrateur. Ouvrez l’Observateur d’événements, accédez à Journaux
Windows, sélectionnez Sécurité, puis confirmez que vos activités ont généré les
événements d’audit 4656 et 4663 (même si vous n’avez pas défini explicitement
des listes SACL d’audit sur les fichiers ou les dossiers que vous avez créés, modifiés
et supprimés).
） Important
Un nouvel événement d’ouverture de session est généré sur l’ordinateur qui

contient la ressource, à la place de l’utilisateur pour lequel l’accès effectif est en
cours de vérification. Lors de l’analyse des journaux d’audit de sécurité relative à
l’activité de connexion utilisateur, le niveau d’emprunt d’identité est inclus afin de
différencier les événements d’ouverture de session qui sont générés en raison de
l’accès effectif et ceux qui sont générés via la connexion interactive de l’utilisateur
au réseau. Dans le premier cas, le niveau d’emprunt d’identité sera Identité. La
connexion interactive de l’utilisateur au réseau génère normalement un événement
d’ouverture de session avec le niveau d’emprunt d’identité = Emprunt d’identité ou
Délégation.
Voir aussi
Scénario : audit d’accès aux fichiers

Scénario : assistance en cas d'accès
refusé

Les utilisateurs reçoivent un message de refus d'accès quand ils essaient d'accéder à des
dossiers et fichiers partagés sur un serveur de fichiers pour lequel ils n'ont aucune
autorisation. Souvent, les administrateurs ne disposent pas du contexte approprié, ce
qui rend difficile la résolution du problème d'accès.
Description du scénario
L'assistance en cas d'accès refusé est une nouvelle fonctionnalité de Windows Server
2012 qui permet de résoudre des manières suivantes les problèmes liés à l'accès aux
fichiers et aux dossiers :
Auto-assistance. Si l'utilisateur peut identifier le problème et y remédier pour

pouvoir obtenir l'accès demandé, l'impact professionnel est faible et aucune
exception spéciale n'est nécessaire dans la stratégie d'accès centralisée.
L'assistance en cas d'accès refusé fournit un message de refus d'accès
personnalisable par les administrateurs du serveur de fichiers avec des
informations spécifiques à leur organisation. Par exemple, un administrateur peut
définir le message pour que les utilisateurs puissent demander l'accès à un
propriétaire de données sans faire appel à l'administrateur du serveur de fichiers.
Assistance de la part du propriétaire des données. Vous pouvez définir une liste
de distribution pour les dossiers partagés et la configurer pour que le propriétaire
du dossier reçoive une notification par courrier électronique quand un utilisateur a
besoin d'y accéder. Si le propriétaire des données ignore comment aider
l'utilisateur a obtenir l'accès nécessaire, il peut transférer ces informations à
l'administrateur du serveur de fichiers.
Assistance de la part de l'administrateur du serveur de fichiers. Ce type

d'assistance est disponible quand l'utilisateur ne peut pas résoudre un problème et
que le propriétaire des données ne peut pas l'aider. Windows Server 2012 fournit
une interface utilisateur dans laquelle les administrateurs de serveur de fichiers
peuvent afficher les autorisations effectives pour un utilisateur sur un fichier ou un
dossier, ce qui simplifie le dépannage des problèmes d'accès.
L'assistance en cas d'accès refusé dans Windows Server 2012 procure aux
administrateurs de serveur de fichiers les détails pertinents sur l'accès pour qu'ils
puissent identifier le problème et utiliser les outils appropriés pour apporter les
modifications de configuration et satisfaire la demande d'accès. Par exemple, un
utilisateur peut suivre le processus ci-dessous pour accéder à un fichier auquel il n'a pas
accès actuellement :
L'utilisateur essaie de lire un fichier dans le dossier \\financeshares, mais le serveur

affiche un message de refus d'accès.
Windows Server 2012 affiche les informations sur l'assistance en cas de refus
d'accès et propose à l'utilisateur une option pour demander de l'aide.
Si l'utilisateur demande l'accès à la ressource, le serveur envoie un message

électronique avec les informations de demande d'accès au propriétaire du dossier.
Vous trouverez des informations sur la planification de la configuration de l'assistance

en cas d'accès refusé dans Planifier l'assistance en cas d'accès refusé .
Vous trouverez les étapes de configuration de l'assistance en cas d'accès refusé dans
Déployer l'assistance en cas d'accès refusé (Étapes de démonstration).
Dans ce scénario
Ce scénario fait partie du scénario de contrôle d'accès dynamique. Pour plus
d'informations sur le contrôle d'accès dynamique, voir :
Cas pratiques
L'assistance en cas d'accès refusé dans Windows Server 2012 contribue au contrôle
d'accès dynamique en permettant aux utilisateurs de demander l'accès à des fichiers et
des dossiers partagés directement à partir d'un message de refus d'accès.
Fonctionnalités incluses dans ce scénario

Le tableau ci-dessous répertorie les fonctionnalités incluses dans ce scénario et détaille
la manière dont elles prennent en charge ce dernier.
Fonctionnalité Prise en charge de ce scénario
File Server L'assistance en cas d'accès refusé peut être configurée à l'aide de la console
Resource Gestionnaire de ressources du serveur de fichiers sur le serveur de fichiers.
Manager
Overview
Vue d’ensemble Le Gestionnaire de ressources du serveur de fichiers est un service de rôle

des services de Services de fichiers et de stockage. Il est composé d'un ensemble de
stockage et de fonctionnalités pouvant servir à administrer les serveurs de fichiers sur votre
fichiers réseau.
Déployer l’assistance en cas d’accès
refusé (étapes de démonstration)

Cette rubrique explique comment configurer l'assistance en cas d'accès refusé et vérifier
qu'elle fonctionne correctement.
Dans ce document
Étape 1 : configurer l'assistance en cas d'accès refusé
Étape 2 : configurer les paramètres de notification par courrier électronique
Étape 3 : vérifier que l'assistance en cas d'accès refusé est configurée correctement
７ Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell

que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour
plus d’informations, consultez Utilisation des applets de commande .
Étape 1 : configurer l'assistance en cas d'accès

refusé
Vous pouvez configurer l'assistance en cas d'accès refusé dans un domaine à l'aide de la
stratégie de groupe ou configurer l'assistance individuellement sur chaque serveur de
fichiers à l'aide de la console Gestionnaire de ressources du serveur de fichiers. Vous
pouvez aussi modifier le message d'accès refusé pour un dossier partagé spécifique sur
un serveur de fichiers.
Vous pouvez configurer l'assistance en cas d'accès refusé pour le domaine à l'aide de la
stratégie de groupe en procédant comme suit :
Effectuer cette étape à l’aide de Windows PowerShell

Pour configurer l'assistance en cas d'accès refusé à l'aide de la
stratégie de groupe
1. Ouvrez la gestion des stratégies de groupe. Dans le Gestionnaire de serveur,

cliquez sur Outils, puis sur Gestion de stratégie de groupe.
2. Cliquez avec le bouton droit sur la stratégie de groupe appropriée, puis cliquez sur
Modifier.
3. Cliquez sur Configuration ordinateur, Stratégies, Modèles d'administration,

Système, puis Assistance en cas d'accès refusé.
4. Cliquez avec le bouton droit sur Personnaliser le message pour les erreurs d'accès
refusé, puis cliquez sur Modifier.
5. Sélectionnez l'option Activé.
6. Configurez les options suivantes :
a. Dans la zone Afficher le message suivant aux utilisateurs qui se voient refuser
l'accès à un dossier ou à un fichier, tapez le message qui doit s'afficher quand
l'accès à un fichier ou à un dossier est refusé à l'utilisateur.
Vous pouvez ajouter des macros au message qui insèrent du texte personnalisé.
Voici les macros disponibles :
[Original File Path] Chemin d'accès au fichier d'origine auquel l'utilisateur

a accédé.
[Original File Path Folder] Dossier parent du chemin d'accès au fichier

d'origine auquel l'utilisateur a accédé.
[Admin Email] Liste de destinataires de messagerie d'administration.
[Data Owner Email] Liste de destinataires de messagerie des propriétaires

de données.
b. Cochez la case Autoriser les utilisateurs à demander de l'assistance.
c. Conservez les autres paramètres par défaut.

Set-GPRegistryValue -Name "Name of GPO" -key

"HKLM\Software\Policies\Microsoft\Windows\ADR\AccessDenied" -ValueName
AllowEmailRequests -Type DWORD -value 1

GenerateLog -Type DWORD -value 1

IncludeDeviceClaims -Type DWORD -value 1

IncludeUserClaims -Type DWORD -value 1

PutAdminOnTo -Type DWORD -value 1
PutDataOwnerOnTo -Type DWORD -value 1

ErrorMessage -Type MultiString -value "Type the text that the user will see
in the error message dialog box."
Enabled -Type DWORD -value 1
Vous pouvez aussi configurer l'assistance en cas d'accès refusé individuellement sur
chaque serveur de fichiers à l'aide de la console Gestionnaire de ressources du serveur
de fichiers.
Pour configurer l'assistance en cas d'accès refusé à l'aide de la

console Gestionnaire de ressources du serveur de fichiers
1. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Dans le Gestionnaire
de serveur, cliquez sur Outils, puis sur Gestionnaire de ressources du serveur de
fichiers.
2. Cliquez avec le bouton droit sur Gestionnaire de ressources du serveur de fichiers

(local), puis cliquez sur Configurer les options.
3. Cliquez sur l'onglet Assistance en cas d'accès refusé.
4. Cochez la case Activer l'assistance en cas d'accès refusé.
5. Dans la zone Afficher le message suivant aux utilisateurs qui se voient refuser
l'accès à un dossier ou à un fichier, tapez le message qui doit s'afficher quand
l'accès à un fichier ou à un dossier est refusé à l'utilisateur.
[Original File Path] Chemin d'accès au fichier d'origine auquel l'utilisateur a

accédé.

[Data Owner Email] Liste de destinataires de messagerie des propriétaires de

données.
6. Cliquez sur Configurer les demandes par courrier électronique, cochez la case
Autoriser les utilisateurs à demander de l'assistance, puis cliquez sur OK.
7. Cliquez sur Aperçu si vous souhaitez voir à quoi ressemblera le message d'erreur.
8. Cliquez sur OK.

Set-FSRMAdrSetting -Event "AccessDenied" -DisplayMessage "Type the text that

the user will see in the error message dialog box." -Enabled:$true -
AllowRequests:$true
Après avoir configuré l'assistance en cas d'accès refusé, vous devez l'activer pour tous
les types de fichiers à l'aide de la stratégie de groupe.

Pour configurer l'assistance en cas d'accès refusé pour tous les
types de fichiers à l'aide de la stratégie de groupe
1. Ouvrez la gestion des stratégies de groupe. Dans le Gestionnaire de serveur,

cliquez sur Outils, puis sur Gestion de stratégie de groupe.
2. Cliquez avec le bouton droit sur la stratégie de groupe appropriée, puis cliquez sur
Modifier.
3. Cliquez sur Configuration ordinateur, Stratégies, Modèles d'administration,

Système, puis Assistance en cas d'accès refusé.
4. Cliquez avec le bouton droit sur Activer l'assistance en cas d'accès refusé sur le
client pour tous les types de fichiers, puis cliquez sur Modifier.
5. Cliquez sur Activé, puis sur OK.


"HKLM\SOFTWARE\Policies\Microsoft\Windows\Explore" -ValueName
EnableShellExecuteFileStreamCheck -Type DWORD -value 1
Vous pouvez aussi spécifier un message d'accès refusé distinct pour chaque dossier
partagé sur un serveur de fichiers à l'aide de la console Gestionnaire de ressources du
Pour spécifier un message d'accès refusé distinct pour un dossier

partagé à l'aide du Gestionnaire de ressources du serveur de
fichiers

fichiers.
2. Développez Gestionnaire de ressources du serveur de fichiers (local), puis cliquez
sur Gestion de la classification.
3. Cliquez avec le bouton droit sur Propriétés de classification, puis cliquez sur
Définir les propriétés de gestion des dossiers.
4. Dans la zone Propriété, cliquez sur Message d'assistance en cas d'accès refusé,
puis sur Ajouter.
5. Cliquez sur Parcourir et choisissez le dossier auquel vous souhaitez affecter le

message d'accès refusé personnalisé.
6. Dans la zone Valeur, tapez le message qui doit être affiché quand l'utilisateur ne
peut pas accéder à une ressource de ce dossier.
[Original File Path] Chemin d'accès au fichier d'origine auquel l'utilisateur a

accédé.

[Data Owner Email] Liste de destinataires de messagerie des propriétaires de

données.
7. Cliquez sur OK, puis sur Fermer.

Set-FSRMMgmtProperty -Namespace "folder path" -Name "AccessDeniedMessage_MS"

-Value "Type the text that the user will see in the error message dialog
box."
Étape 2 : configurer les paramètres de

notification par courrier électronique
Vous devez configurer les paramètres de notification par courrier électronique sur
chaque serveur de fichiers qui enverra les messages d'assistance en cas d'accès refusé.

fichiers.
2. Cliquez avec le bouton droit sur Gestionnaire de ressources du serveur de fichiers

(local), puis cliquez sur Configurer les options.
3. Cliquez sur l'onglet Notifications par courrier électronique.
4. Configurez les paramètres suivants :
Dans la zone Nom ou adresse IP du serveur SMTP, tapez le nom ou l'adresse

IP du serveur SMTP de votre organisation.
Dans les zones Administrateurs destinataires par défaut et Adresse de

messagerie de l’expéditeur par défaut, entrez l’adresse de messagerie de
l’administrateur du serveur de fichiers.
5. Cliquez sur Envoyer un message de test pour vérifier que les notifications par
courrier électronique sont configurées correctement.
6. Cliquez sur OK.

set-FSRMSetting -SMTPServer "server1" -AdminEmailAddress

"fileadmin@contoso.com" -FromEmailAddress "fileadmin@contoso.com"
Étape 3 : vérifier que l'assistance en cas d'accès

refusé est configurée correctement
Vous pouvez vérifier que l’assistance en cas d’accès refusé est configurée correctement
en demandant à un utilisateur qui exécute Windows 8 d’essayer d’accéder à un partage
ou un fichier de ce partage auquel il n’a pas accès. À l'apparition du message d'accès
refusé, un bouton Demander de l'aide doit s'afficher. Après avoir cliqué sur le bouton
Demander de l'aide, l'utilisateur peut indiquer le motif de sa demande d'accès et
envoyer un message électronique au propriétaire du dossier ou à l'administrateur du
serveur de fichiers. Celui-ci peut vérifier que ce message est arrivé et qu'il contient les
détails appropriés.
） Important
Si vous souhaitez vérifier le bon fonctionnement de l'assistance en cas d'accès

refusé par un utilisateur qui exécute Windows Server 2012, vous devez installer
l'Expérience utilisateur avant la connexion au partage de fichiers.
Voir aussi
Scénario : assistance en cas d’accès refusé
Planifier l’assistance en cas d’accès refusé

Scénario : chiffrement des documents
Office d'après leur classification

La protection des informations confidentielles a principalement pour but de minimiser

les risques pour une organisation. Diverses normes de conformité, telles que la norme
HIPAA (Health Insurance Portability and Accountability Act) et la norme PCI-DSS
(Payment Card Industry Data Security Standard), imposent le chiffrement des
informations et de nombreuses raisons professionnelles motivent le chiffrement des
données professionnelles à caractère confidentiel. Cependant, le chiffrement des
informations est coûteux et il peut nuire à la productivité de l’entreprise. C’est pourquoi
les organisations ont souvent des approches et des priorités différentes en matière de
chiffrement des données.
Windows Server 2012 permet de chiffrer automatiquement des fichiers Microsoft Office
confidentiels en fonction de leur classification. Cette opération se fait par le biais de
tâches de gestion des fichiers. Ces tâches entraînent une protection AD RMS (Active
Directory Rights Management Services) des documents confidentiels quelques secondes
après que le fichier a été identifié comme fichier confidentiel sur le serveur de fichiers.
Cette opération est facilitée par des tâches de gestion de fichiers continues sur le
Le chiffrement AD RMS fournit une autre couche de protection pour les fichiers. Même
si une personne ayant accès à un fichier confidentiel envoie par inadvertance ce fichier
par courrier électronique, le fichier est protégé par le chiffrement AD RMS. Les
utilisateurs qui souhaitent accéder au fichier doivent d'abord s'authentifier auprès d'un
serveur AD RMS pour recevoir la clé de déchiffrement. Ce processus est illustré par la
figure ci-dessous.
Figure 6 Protection RMS basée sur la classification
La prise en charge des formats de fichiers non-Microsoft est disponible par

l'intermédiaire de fournisseurs autres que Microsoft. Une fois qu'un fichier a été protégé
par le chiffrement AD RMS, des fonctionnalités de gestion de données telles que la
classification basée sur la recherche ou sur le contenu ne sont plus disponibles pour ce
fichier.
Dans ce scénario
Vous trouverez ci-dessous les instructions disponibles pour ce scénario :
Considérations relatives à la planification pour le chiffrement des documents

Office
Déployer le chiffrement des fichiers Office (étapes de démonstration)


Rôle AD DS (Active Les services AD DS fournissent une base de données distribuée qui stocke
Directory Domain et gère des informations sur les ressources réseau et les données
Services) spécifiques à des applications provenant d’applications utilisant un
annuaire. Dans ce scénario, les services AD DS dans Windows Server 2012
introduisent une plateforme d'autorisation basée sur les revendications qui
permet aux utilisateurs de créer des revendications utilisateur et de
périphérique, une identité composée (revendications utilisateur plus
revendications de périphérique), un nouveau modèle de stratégies d'accès
centralisées et d'utiliser des informations de classification de fichiers lors
des décisions d'autorisation.
Rôle des Services de Les services de fichiers et de stockage fournissent des technologies qui
fichiers et de vous permettent de configurer et de gérer un ou plusieurs serveurs de
stockage fichiers qui constituent sur votre réseau des emplacements centralisés où
File Server Resource vous pouvez stocker des fichiers et les partager avec d'autres utilisateurs.
Manager Si vos utilisateurs réseau doivent accéder aux mêmes fichiers et
applications, ou si la sauvegarde et la gestion des fichiers centralisées sont
des éléments importants pour votre organisation, configurez un ou
plusieurs ordinateurs en tant que serveurs de fichiers en ajoutant le rôle
Services de fichiers et de stockage et les services de rôle appropriés aux
ordinateurs. Dans ce scénario, les administrateurs du serveur de fichiers
peuvent configurer des tâches de gestion de fichiers qui font appel à la
protection AD RMS pour les documents confidentiels quelques secondes
après que le fichier a été identifié comme confidentiel sur le serveur de
fichiers (tâches de gestion de fichiers continues sur le serveur de fichiers).
Rôle des services Les services AD RMS permettent par le biais de stratégies de Gestion des
AD RMS (Active droits relatifs à l'information à des utilisateurs et des administrateurs de
Directory Rights spécifier des autorisations d'accès à des documents, des classeurs et des
Management présentations. Cela aide à éviter l'impression, le transfert ou la copie
Services) d'informations sensibles par des personnes non autorisées. Une fois
qu’une autorisation a été restreinte pour un fichier en utilisant la Gestion
IRM, les restrictions d’accès et d’utilisation sont appliquées quel que soit
l’emplacement des informations, car l’autorisation sur un fichier est
stockée dans le fichier de document lui-même. Dans ce scénario, le
chiffrement AD RMS fournit une autre couche de protection pour les
fichiers. Même si une personne ayant accès à un fichier confidentiel envoie
par inadvertance ce fichier par courrier électronique, le fichier est protégé
par le chiffrement AD RMS. Les utilisateurs qui souhaitent accéder au
fichier doivent d'abord s'authentifier auprès d'un serveur AD RMS pour
recevoir la clé de déchiffrement.
Deploy Encryption of Office Files
(Demonstration Steps)
Article • 14/04/2023

Le service Finance de Contoso stocke ses documents sur plusieurs serveurs de fichiers. Il
peut s'agir de documentation générale ou de documents à fort impact commercial (HBI,
High-Business Impact). Par exemple, tout document qui contient des informations
confidentielles est considéré par Contoso comme ayant un fort impact commercial.
Contoso souhaite s'assurer que toute sa documentation dispose d'un niveau de
protection minimal et que l'accès à sa documentation HBI est limité aux personnel
autorisé. Pour cela, Contoso envisage d'utiliser l'Infrastructure de classification des
fichiers et le services AD RMS disponibles dans Windows Server 2012. L'Infrastructure de
classification des fichiers permettra à Contoso de classifier tous les documents sur ses
serveurs de fichiers en fonction du contenu, puis d'utiliser les services AD RMS pour
appliquer la stratégie de droits appropriée.
Dans ce scénario, vous allez effectuer les étapes suivantes :
Tâche Description
Activer les propriétés de Activer les propriétés de ressources Impact et Informations

ressource d'identification personnelle.
Créer des règles de Créer les règles de classification suivantes : Règle de classification HBI
classification et Règle de classification IIP.
Utiliser des tâches de Créer une tâche de gestion de fichiers qui utilise automatiquement les
gestion de fichiers pour services AD RMS pour protéger les documents contenant des
protéger informations d'identification personnelle (IIP). Seuls les membres du
automatiquement les groupe FinanceAdmin auront accès aux documents qui contiennent
documents avec les des informations d'identification personnelle.
services AD RMS
Affichage des résultats Examiner la classification des documents et observer les changements
à mesure que vous modifiez le contenu des documents. Vérifier
également comment les documents sont protégés par les services AD
RMS.
Vérifier la protection Vérifier que les documents sont protégés par les services AD RMS.
AD RMS
Étape 1 : Activer les propriétés de ressource
Pour activer les propriétés de ressource
1. Dans le Gestionnaire Hyper-V, connectez-vous au serveur ID_AD_DC1. Connectez-

vous au serveur avec le compte Contoso\Administrateur et le mot de passe
pass@word1.
2. Ouvrez le Centre d'administration Active Directory et cliquez sur Arborescence.
3. Développez Contrôle d'accès dynamique et sélectionnez Propriétés de ressource.
4. Faites défiler la liste jusqu'à atteindre la propriété Impact dans la colonne Nom
complet. Cliquez avec le bouton droit sur Impact, puis cliquez sur Activer.
5. Faites défiler la liste jusqu'à atteindre la propriété Informations d'identification

personnelle dans la colonne Nom complet. Cliquez avec le bouton droit sur
Informations d'identification personnelle, puis cliquez sur Activer.
6. Pour publier les propriétés de ressource dans la Liste de ressources globales, dans
le volet gauche, cliquez sur Liste de propriétés de ressources, puis double-cliquez
sur Liste de propriétés de ressource globales.
7. Cliquez sur Ajouter, puis accédez à Impact et cliquez dessus pour l'ajouter à la
liste. Faites de même pour Informations d'identification personnelle. Cliquez deux
fois sur OK pour terminer.

Set-ADResourceProperty -Enabled:$true -Identity:"CN=Impact_MS,CN=Resource

Properties,CN=Claims
Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Set-ADResourceProperty -Enabled:$true -Identity:"CN=PII_MS,CN=Resource

Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com"
Étape 2 : Créer des règles de classification

Cette étape explique comment créer la règle de classification Fort impact. Cette règle
analyse le contenu des documents et, si la chaîne « Confidentiel Contoso » est détectée,
elle classifie ce document comme ayant un fort impact commercial. Cette classification
remplace toute classification de faible impact commercial assignée précédemment.
Vous allez aussi créer une règle Niveau IIP élevé. Cette règle analyse aussi le contenu
des documents et, si un numéro de sécurité social est détecté, elle classifie ce document
comme ayant un niveau IIP élevé.
Pour créer la règle de classification de fort impact

1. Dans le Gestionnaire Hyper-V, connectez-vous au serveur ID_AD_FILE1. Connectez-
pass@word1.
2. Vous devez actualiser les propriétés de ressource globales à partir d'Active

Directory. Ouvrez Windows PowerShell, tapez Update-
FSRMClassificationPropertyDefinition , puis appuyez sur ENTRÉE. Fermez Windows
PowerShell.
3. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Pour ouvrir le

Gestionnaire de ressources du serveur de fichiers, cliquez sur Démarrer, tapez
gestionnaire de ressources du serveur de fichiers, puis cliquez sur Gestionnaire
de ressources du serveur de fichiers.
4. Dans le volet gauche du Gestionnaire de ressources du serveur de fichiers,

développez Gestion de la classification et sélectionnez Règle de classification.
5. Dans le volet Actions, cliquez sur Configurer la planification de la classification.

Sous l'onglet Classification automatique, sélectionnez Activer la planification fixe,
sélectionnez un Jour de la semaine, puis cochez la case Autoriser la classification
continue de nouveaux fichiers. Cliquez sur OK.
6. Dans le volet Actions, cliquez sur Créer une règle de classification. La boîte de
dialogue Créer une règle de classification s'affiche.
7. Dans la zone Nom de la règle, tapez Fort impact commercial.
8. Dans la zone Description, tapez Détermine si le document a un fort impact

commercial en fonction de la présence de la chaîne « Confidentiel Contoso »
9. Sous l'onglet Étendue, cliquez sur Set Folder Management Properties,
sélectionnez Folder Usage, cliquez sur Ajouter, puis sur Parcourir, accédez au
chemin d'accès D:\Finance Documents, cliquez sur OK, puis choisissez une valeur
de propriété nommée Fichiers de groupe et cliquez sur Fermer. Une fois les
propriétés de gestion définies, sous l'onglet Étendue de la règle, sélectionnez
Fichiers de groupe.
10. Cliquez sous l’onglet Classification. Sous Choisissez une méthode pour attribuer
une propriété aux fichiers, sélectionnez Classifieur de contenu de la liste
déroulante.
11. Sous Choisissez une propriété à attribuer aux fichiers, sélectionnez Impact dans la
liste déroulante.
12. Sous Spécifiez une valeur, sélectionnez Élevé dans la liste déroulante.
13. Cliquez sur Configurer sous Paramètres. Dans la boîte de dialogue Paramètres de
classification, dans la liste Type d'expression, sélectionnez Chaîne. Dans la zone
Expression , tapez : Confidentiel Contoso, puis cliquez sur OK.
14. Cliquez sur l’onglet Type d’évaluation. Cliquez sur Réévaluer les valeurs de
propriété existantes, cliquez sur Remplacerla valeur existante, puis cliquez sur OK
pour terminer.

Update-FSRMClassificationPropertyDefinition
$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -

Weekly @(3, 2, 4, 5,1,6,0) -RunDuration 0;
Set-FsrmClassification -Continuous -schedule

$AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name "High Business Impact" -Property

"Impact_MS" -Description "Determines if the document has a high business
impact based on the presence of the string 'Contoso Confidential'" -
PropertyValue "3000" -Namespace @("D:\Finance Documents") -
ClassificationMechanism "Content Classifier" -Parameters
@("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
Pour créer la règle de classification de niveau IIP élevé

pass@word1.
2. Sur le Bureau, ouvrez le dossier Expressions régulières, puis ouvrez le document

texte nommé RegEx-SSN. Sélectionnez et copiez la chaîne d’expression régulière
suivante : ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$.
Nous utiliserons cette chaîne plus loin lors de cette étape. Conservez-la dans votre
Presse-papiers.

4. Dans le volet gauche du Gestionnaire de ressources du serveur de fichiers,

développez Gestion de la classification et sélectionnez Règle de classification.
5. Dans le volet Actions, cliquez sur Configurer la planification de la classification.

Sous l'onglet Classification automatique, sélectionnez Activer la planification fixe,
sélectionnez un Jour de la semaine, puis cochez la case Autoriser la classification
continue de nouveaux fichiers. Cliquez sur OK.
6. Dans la zone Nom de la règle, tapez Niveau IIP élevé. Dans la zone Description,
tapez Détermine si le document a un niveau IIP élevé en fonction de la présence
d'un numéro de sécurité sociale.
7. Cliquez sur l'onglet Étendue et cochez la case Fichiers de groupe.
8. Cliquez sous l’onglet Classification. Sous Choisissez une méthode pour attribuer
une propriété aux fichiers, sélectionnez Classifieur de contenu de la liste
déroulante.
9. Sous Choisissez une propriété à attribuer aux fichiers, sélectionnez Informations

d'identification personnelle dans la liste déroulante.
10. Sous Spécifiez une valeur, sélectionnez Élevé dans la liste déroulante.
11. Cliquez sur Configurer sous Paramètres.

Dans le volet Paramètres de
classification, dans la liste Type d'expression , sélectionnez Expression régulière.
Dans la zone Expression, collez le texte de votre Presse-papiers : ^(?!000)([0-
7]\d{2}|7([0-7]\d|7[012]))([ -]?)(?!00)\d\d\3(?!0000)\d{4}$, puis cliquez sur OK.
７ Notes
Cette expression autorise les numéros de sécurité sociale non valides. Cela
nous permet d'utiliser des numéros de sécurité sociale fictifs dans la
démonstration.
12. Cliquez sur l’onglet Type d’évaluation. Sélectionnez Réévaluer les valeurs de
propriété existantes, sélectionnez Remplacerla valeur existante, puis cliquez sur
OK pour terminer.

New-FSRMClassificationRule -Name "High PII" -Description "Determines if the

document has a high PII based on the presence of a Social Security Number."
-Property "PII_MS" -PropertyValue "5000" -Namespace @("D:\Finance
Documents") -ClassificationMechanism "Content Classifier" -Parameters
@("RegularExpressionEx=Min=1;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([
-]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
Vous devez maintenant avoir deux règles de classification :
High Business Impact
Niveau IIP élevé
Étape 3 : Utiliser des tâches de gestion de

fichiers pour protéger automatiquement les
documents avec les services AD RMS
Maintenant que vous avez créé des règles pour classifier automatiquement les
documents en fonction de leur contenu, l'étape suivante consiste à créer une tâche de
gestion de fichiers qui utilise les services AD RMS pour protéger automatiquement
certains documents en fonction de leur classification. Lors de cette étape, vous allez
créer une tâche de gestion de fichiers qui protège automatiquement tout document
ayant un niveau IIP élevé. Seuls les membres du groupe FinanceAdmin auront accès aux
documents qui contiennent des informations d'identification personnelle.
Pour protéger les documents avec les services AD RMS

pass@word1.

3. Dans le volet gauche, sélectionnez Tâches de gestion de fichiers. Dans le volet

Actions, sélectionnez Créer une tâche de gestion de fichiers.
4. Dans le champ Nom de la tâche, tapez Niveau IIP élevé. Dans le champ
Description, tapez Protection RMS automatique des documents ayant un niveau
IIP élevé.
5. Cliquez sur l'onglet Étendue et cochez la case Fichiers de groupe.
6. Cliquez sur l’onglet Action. Sous Type, sélectionnez Chiffrement RMS. Cliquez sur
Parcourir pour sélectionner un modèle, puis sélectionnez le modèle Contoso
Finance Admin uniquement.
7. Cliquez sur l'onglet Condition, puis sur Ajouter. Sous Propriété, sélectionnez
Informations d'identification personnelle. Sous Opérateur, sélectionnez Égal.
Sous Valeur, sélectionnez Élevé. Cliquez sur OK.
8. Cliquez sur l’onglet Planification. Dans la section Planification, cliquez sur Toutes
les semaines, puis sélectionnez Dimanche. L'exécution hebdomadaire de la tâche
permet d'intercepter tout document qui pourrait avoir été ignoré pour cause de
panne de service ou autre événement perturbateur.
9. Dans la section Opération continue, sélectionnez Exécuter la tâche en continu sur

les nouveaux fichiers, puis cliquez sur OK. Vous devez maintenant avoir une tâche
de gestion de fichiers nommée Niveau IIP élevé.

$fmjRmsEncryption = New-FSRMFmjAction -Type 'Rms' -RmsTemplate 'Contoso

Finance Admin Only'
$fmjCondition1 = New-FSRMFmjCondition -Property 'PII_MS' -Condition 'Equal'

-Value '5000'
$date = get-date
$schedule = New-FsrmScheduledTask -Time $date -Weekly @('Sunday')
$fmj1=New-FSRMFileManagementJob -Name "High PII" -Description "Automatic RMS

protection for high PII documents" -Namespace @('D:\Finance Documents') -
Action $fmjRmsEncryption -Schedule $schedule -Continuous -Condition
@($fmjCondition1)
Étape 4 : Afficher les résultats

Il est maintenant temps de voir vos nouvelles règles de classification automatique et de
protection AD RMS en action. Lors de cette étape, vous allez examiner la classification
des documents et observer les changements à mesure que vous modifiez le contenu
des documents.
Pour afficher les résultats

pass@word1.
2. Dans l'Explorateur Windows, accédez à D:\Finance Documents.
3. Cliquez avec le bouton droit sur le document Finance Memo et cliquez sur
Propriétés. Cliquez sur l'onglet Classification et notez que la propriété Impact n'a
pas de valeur actuellement. Cliquez sur Annuler.
4. Cliquez avec le bouton droit sur le document Request for Approval to Hire, puis
sélectionnez Propriétés.
5. Cliquez sur l'onglet Classification et notez que la propriété Informations

d'identification personnelle n'a pas de valeur actuellement. Cliquez sur Annuler.
6. Basculez vers CLIENT1. Déconnectez tout utilisateur connecté, puis connectez-vous

en tant que Contoso\MReid avec le mot de passe pass@word1.
7. Sur le Bureau, ouvrez le dossier partagé Finance Documents.

8. Ouvrez le document Finance Memo. Près du bas du document figure le mot
Confidential. Remplacez-le par : Confidentiel Contoso. Enregistrez le document et
fermez-le.
9. Ouvrez le document Request for Approval to Hire. Dans la section Social

Security#: , tapez : 777-77-7777. Enregistrez le document et fermez-le.
７ Notes
Vous devrez peut-être patienter 30 secondes avant que la classification ait

lieu.
10. Revenez à ID_AD_FILE1. Dans l'Explorateur Windows, accédez à D:\Finance

Documents.
11. Cliquez avec le bouton droit sur le document Finance Memo, puis cliquez sur
Propriétés. Cliquez sur l’onglet Classification. Notez que la propriété Impact est
désormais définie sur Élevé. Cliquez sur Annuler.
12. Cliquez avec le bouton droit sur le document Request for Approval to Hire et
sélectionnez Propriétés.
13. . Cliquez sur l’onglet Classification. Notez que la propriété Informations

d’identification personnelles est désormais définie sur Élevé. Cliquez sur Annuler.
Étape 5 : vérifier la protection avec les services

AD RMS
Pour vérifier que le document est protégé
1. Revenez à ID_AD_CLIENT1.
2. Ouvrez le document Request for Approval to Hire.
3. Cliquez sur OK pour permettre au document de se connecter à votre serveur AD

RMS.
4. Vous pouvez maintenant constater que le document a été protégé par les services
AD RMS car il contient un numéro de sécurité sociale.
Scenario: Get Insight into Your Data by
Using Classification

Le recours à des données et des ressources de stockage prend une importance

croissante dans la plupart des organisations. Les administrateurs informatiques sont
confrontés à un défi sans cesse grandissant : contrôler des infrastructures de stockage
toujours plus volumineuses et complexes et, simultanément, assumer le coût total de
possession et le maintenir à des niveaux raisonnables. La gestion des ressources de
stockage n'est pas seulement une affaire de volume ou de disponibilité des données. Il
s'agit aussi de mettre en place des stratégies d'entreprise et de savoir comment le
stockage est exploité pour favoriser une utilisation et une conformité efficaces avec des
risques réduits. L’infrastructure de classification des fichiers aide à mieux appréhender
vos données en automatisant des processus de classification qui vous permettront de
les gérer avec plus d’efficacité. Les méthodes de classification disponibles dans
l'infrastructure de classification des fichiers sont les suivantes : manuelle, par
programmation et automatique. Cette rubrique est axée sur la méthode de classification
automatique des fichiers.
L'infrastructure de classification des fichiers utilise des règles de classification pour
analyser automatiquement les fichiers et les classer en fonction de leur contenu. Les
propriétés de classification sont définies de manière centralisée dans Active Directory
pour que ces définitions puissent être partagées par les serveurs de fichiers de
l'organisation. Vous pouvez créer des règles de classification qui analysent les fichiers à
la recherche d'une chaîne standard ou qui correspond à un modèle (expression
régulière). Quand un paramètre de classification configuré est détecté dans un fichier,
celui-ci est classifié tel que configuré dans la règle de classification. Voici quelques
exemples de règles de classification :
Classifier tout fichier qui contient la chaîne « Contoso Confidential » (Confidentiel

Contoso) comme ayant un fort impact commercial
classifier tout fichier qui contient au moins 10 numéros de sécurité sociale comme
comportant des informations d'identification personnelle.
Quand un fichier est classifié, vous pouvez utiliser une tâche de gestion de fichiers pour
exécuter une action sur tous les fichiers classifiés d'une certaine manière. Les actions
d'une tâche de gestion de fichiers peuvent consister à protéger les droits associés au
fichier, à faire expirer le fichier et à exécuter une action personnalisée (par exemple
publier des informations sur un service web).
Vous trouverez des informations sur la planification de la configuration de la

classification automatique des fichiers dans Planifier la classification automatique des
fichiers .
Vous trouverez les étapes nécessaires pour classifier automatiquement les fichiers dans
Déployer la classification automatique des fichiers (étapes de démonstration).
Dans ce scénario
d'informations sur le contrôle d'accès dynamique, voir :
Cas pratiques
Dans Windows Server 2012, l’infrastructure de classification des fichiers contribue au
contrôle d’accès dynamique en permettant aux propriétaires de données métier de
classifier et d’étiqueter facilement les données. Les informations de classification
stockées dans la stratégie d'accès centralisée vous permettent de définir des stratégies
d'accès pour des classes de données qui sont essentielles aux activités de l'entreprise.
Fonctionnalités incluses dans ce scénario

Le tableau ci-dessous répertorie les fonctionnalités incluses dans ce scénario et détaille
la manière dont elles prennent en charge ce dernier.
Fonctionnalité Prise en charge de ce scénario
File Server Resource L'infrastructure de classification des fichiers est une fonctionnalité
Manager Overview du Gestionnaire de ressources du serveur de fichiers.
Vue d’ensemble des services Le Gestionnaire de ressources du serveur de fichiers est une
de stockage et de fichiers fonctionnalité du rôle serveur Services de fichiers.
Deploy Automatic File Classification

Cette rubrique explique comment activer les propriétés de ressource dans Active
Directory, créer des règles de classification sur le serveur de fichiers, puis assigner des
valeurs aux propriétés de ressource pour des fichiers sur le serveur de fichiers. Pour cet
exemple, les règles de classification suivantes sont créées :
Une règle de classification du contenu qui recherche la chaîne « Contoso

Confidential » dans un ensemble de fichiers. Si la chaîne est détectée dans un
fichier, la propriété de ressource Impact prend la valeur Haute sur le fichier.
Une règle de classification du contenu qui recherche dans un ensemble de fichiers

une expression régulière qui correspond à un numéro de sécurité sociale au moins
10 fois dans un fichier. Si le modèle est détecté, le fichier est classifié comme
comportant des informations d'identification personnelle et la propriété de
ressource Informations d'identification personnelle prend la valeur Haute.
Dans ce document
Étape 1 : créer des définitions de propriétés de ressource
Étape 2 : créer une règle de classification de contenu de chaîne
Étape 3 : créer une règle de classification de contenu d'expression régulière
Étape 4 : vérifier que les fichiers sont classifiés
７ Notes
Cette rubrique inclut des exemples d'applets de commande Windows PowerShell

que vous pouvez utiliser pour automatiser certaines des procédures décrites. Pour
plus d’informations, consultez Utilisation des applets de commande .
Étape 1 : créer des définitions de propriétés de
ressource
Les propriétés de ressource Impact et Informations d'identification personnelle sont
activées pour que l'Infrastructure de classification des fichiers puissent les utiliser pour
baliser les fichiers analysés dans un dossier réseau partagé.
Pour créer des définitions de propriétés de ressource
1. Sur le contrôleur de domaine, connectez-vous au serveur en tant que membre du

groupe de sécurité Admins du domaine.
2. Ouvrez le Centre d'administration Active Directory. Dans le Gestionnaire de

serveur, cliquez sur Outils, puis sur Centre d'administration Active Directory.
3. Développez Contrôle d'accès dynamique, puis cliquez sur Propriétés de

ressource.
4. Cliquez avec le bouton droit sur Impact, puis cliquez sur Activer.
5. Cliquez avec le bouton droit sur Informations d'identification personnelle, puis

cliquez sur Activer.

Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=Impact_MS,CN=Resource

Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'
Set-ADResourceProperty '"Enabled:$true '"Identity:'CN=PII_MS,CN=Resource

Configuration,CN=Services,CN=Configuration,DC=contoso,DC=com'
Étape 2 : créer une règle de classification de

contenu de chaîne
Une règle de classification de contenu de chaîne analyse un fichier à la recherche d'une
chaîne spécifique. Si la chaîne est détectée, la valeur d'une propriété de ressource peut
être configurée. Dans cet exemple, nous allons analyser chaque fichier d'un dossier
réseau partagé à la recherche de la chaîne « Contoso Confidential ». Si la chaîne est
détectée, le fichier associé est classifié comme ayant un fort impact commercial.
Pour créer une règle de classification de contenu de chaîne

1. Connectez-vous au serveur de fichiers en tant que membre du groupe de sécurité
Administrateurs.
2. À l'invite de commandes Windows PowerShell, tapez Update-

FsrmClassificationPropertyDefinition, puis appuyez sur Entrée. Cette commande
permet de synchroniser les définitions de propriétés créées sur le contrôleur de
domaine avec le serveur de fichiers.

fichiers.
4. Développez Gestion de la classification, cliquez avec le bouton droit sur Règles de

classification, puis cliquez sur Configurer la planification de la classification.
5. Cochez la case Activer la planification fixe, la case Autoriser la classification

continue de nouveaux fichiers, choisissez un jour de la semaine pour l'exécution
de la classification, puis cliquez sur OK.
6. Cliquez avec le bouton droit sur Règles de classification, puis cliquez sur Créer
une règle de classification.
7. Sous l'onglet Général, dans la zone Nom de la règle, tapez un nom de règle tel
que Contoso Confidential.
8. Sous l'onglet Étendue, cliquez sur Ajouter et choisissez les dossiers qui doivent
être inclus dans cette règle, tels que D:\Finance Documents.
７ Notes
Vous pouvez aussi choisir un espace de noms dynamique pour l'étendue. Pour
plus d’informations sur les espaces de noms dynamiques pour les règles de
classification, voir Nouveautés du Gestionnaire de ressources du serveur de
fichiers dans Windows Server 2012 [redirigé] .
9. Sous l'onglet Classification, configurez ce qui suit :
Dans la zone Choisissez une méthode pour attribuer une propriété aux
fichiers, vérifiez que Classifieur de contenus est sélectionné.
Dans la zone Choisissez une propriété à attribuer aux fichiers, cliquez sur
Impact.
Dans la zone Spécifiez une valeur, cliquez sur Haute.
10. Sous l'en-tête Paramètres, cliquez sur Configurer.
11. Dans la colonne Type d'expression, sélectionnez Chaîne.
12. Dans la colonne Expression, tapez Contoso Confidential, puis cliquez sur OK.
13. Sous l'onglet Type d'évaluation, cochez la case Réévaluer les valeurs de propriété
existantes, cliquez sur Remplacer la valeur existante, puis sur OK.

$date = Get-Date
$AutomaticClassificationScheduledTask = New-FsrmScheduledTask -Time $date -

Weekly @(3, 2, 4, 5,1,6,0) -RunDuration
0;$AutomaticClassificationScheduledTask
Set-FsrmClassification -Continuous -schedule

$AutomaticClassificationScheduledTask
New-FSRMClassificationRule -Name 'Contoso Confidential' -Property

"Impact_MS" -PropertyValue "3000" -Namespace @('D:\Finance Documents') -
@("StringEx=Min=1;Expr=Contoso Confidential") -ReevaluateProperty Overwrite
Étape 3 : créer une règle de classification de

contenu d'expression régulière
Une règle de classification de contenu d'expression régulière analyse un fichier à la
recherche d'un modèle qui correspond à l'expression régulière. Si une chaîne
correspondant à l'expression régulière est détectée, la valeur d'une propriété de
ressource peut être configurée. Dans cet exemple, nous allons analyser chaque fichier
d'un dossier réseau partagé à la recherche d'une chaîne qui correspond au modèle d'un
numéro de sécurité sociale (XXX-XX-XXXX). Si ce modèle est détecté, le fichier associé
est classifié comme contenant des informations d'identification personnelle.
Pour créer une règle de classification de contenu d'expression

régulière
Administrateurs.

FsrmClassificationPropertyDefinition, puis appuyez sur Entrée. Cette commande
permet de synchroniser les définitions de propriétés qui sont créées sur le
contrôleur de domaine avec le serveur de fichiers.

fichiers.
4. Cliquez avec le bouton droit sur Règles de classification, puis cliquez sur Créer
une règle de classification.
5. Sous l'onglet Général, dans la zone Nom de la règle, tapez un nom pour la règle
de classification, par exemple Règle PII.
6. Sous l'onglet Étendue, cliquez sur Ajouter et choisissez les dossiers qui doivent
être inclus dans cette règle, tels que D:\Finance Documents.
7. Sous l'onglet Classification, configurez ce qui suit :
Dans la zone Choisissez une méthode pour attribuer une propriété aux
fichiers, vérifiez que Classifieur de contenus est sélectionné.
Dans la zone Choisissez une propriété à attribuer aux fichiers, cliquez sur
Informations d'identification personnelle.
Dans la zone Spécifiez une valeur, cliquez sur Haute.
8. Sous l'en-tête Paramètres, cliquez sur Configurer.
9. Dans la colonne Type d'expression, sélectionnez Expression régulière.

10. Dans la colonne Expression, tapez ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)
(?!00)\d\d\3(?!0000)\d{4}$
11. Dans la colonne Occurrences minimales, tapez 10, puis cliquez sur OK.
12. Sous l'onglet Type d'évaluation, cochez la case Réévaluer les valeurs de propriété
existantes, cliquez sur Remplacer la valeur existante, puis sur OK.

New-FSRMClassificationRule -Name "PII Rule" -Property "PII_MS" -

PropertyValue "5000" -Namespace @('D:\Finance Documents') -
@("RegularExpressionEx=Min=10;Expr=^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([
-]?)(?!00)\d\d\3(?!0000)\d{4}$") -ReevaluateProperty Overwrite
Étape 4 : vérifier que les fichiers sont classifiés

correctement
Vous pouvez vérifier que les fichiers sont classifiés correctement en affichant les
propriétés d'un fichier créé dans le dossier spécifié dans les règles de classification.
Pour vérifier que les fichiers sont classifiés correctement

1. Sur le serveur de fichiers, exécutez les règles de classification à l'aide du
Gestionnaire de ressources du serveur de fichiers.
a. Cliquez sur Gestion de la classification, cliquez avec le bouton droit sur Règles
de classification, puis cliquez sur Exécuter la classification avec toutes les
règles maintenant.
b. Cliquez sur l'option Attendre la fin de la classification, puis cliquez sur OK.
c. Fermez le Rapport de classification automatique.
d. Pour ce faire, vous pouvez exécuter la commande suivante dans Windows

PowerShell : Start-FSRMClassification –RunDuration 0 -Confirm:$false
2. Accédez au dossier qui a été spécifié dans les règles de classification, tel que
D:\Documents de finance.
3. Cliquez avec le bouton droit sur un fichier dans ce dossier, puis cliquez sur
Propriétés.
4. Cliquez sur l'onglet Classification et vérifiez que le fichier est classifié

correctement.
Voir aussi
Scénario : classification des données pour mieux les comprendre
Planifier la classification automatique des fichiers

Scenario: Implement Retention of
Information on File Servers

La période de conservation désigne le temps pendant lequel un document doit être

conservé avant qu’il n’expire. La période de rétention peut varier en fonction de
l’organisation. Vous pouvez classer des fichiers dans un dossier avec une période de
conservation à court, moyen ou long terme, puis définir la durée de chaque période.
Vous pouvez conserver un fichier indéfiniment en proclamant sa mise en suspens pour
raisons juridiques.
L’infrastructure de classification des fichiers et le Gestionnaire de ressources du serveur
de fichiers se servent des tâches de gestion de fichiers et de la classification des fichiers
pour appliquer des périodes de rétention pour un ensemble de fichiers. Vous pouvez
attribuer une période de rétention dans un dossier, puis utiliser une tâche de gestion de
fichiers pour configurer la durée d’une période de rétention. Lorsque les fichiers du
dossier sont sur le point d'expirer, le propriétaire du fichier reçoit un message de
notification. Vous pouvez également classer un fichier en mode de conservation légale
pour que la tâche de gestion de fichiers n’entraîne pas l’expiration du fichier.
Vous trouverez des informations de planification pour la configuration de la rétention

dans Planifier la rétention des informations sur les serveurs de fichiers.
Vous trouverez les étapes nécessaires au classement de fichiers en mode de

conservation légale et à la configuration d’une période de conservation dans Déployer
l’implémentation de la conservation des informations sur les serveurs de fichiers (étapes
de démonstration).
７ Notes
Ce scénario traite uniquement de la manière de classifier manuellement un

document en mode de conservation légale. Toutefois, il est possible de classer
automatiquement des documents en mode de conservation légale. Vous pouvez
pour cela créer un classifieur Windows PowerShell qui compare le propriétaire du
fichier à une liste de comptes d'utilisateur qui sont en mode de conservation légale.
Si le propriétaire du fichier figure dans la liste des comptes d'utilisateur, le fichier
est classifié en mode de conservation légale.
Dans ce scénario
d’informations sur le contrôle d’accès dynamique, consultez :

Planifier la rétention des informations
sur les serveurs de fichiers

Une stratégie de rétention des données est importante pour toute organisation. Vous
pouvez utiliser les informations suivantes pour planifier la conservation des informations
dans votre organisation.
Déterminer la planification de rétention

La détermination de la durée de stockage des données sur les serveurs de fichiers dans
votre réseau et le développement d’une planification de rétention des données offrent
les avantages suivants :
limite la quantité de données à stocker, ce qui réduit le coût global du stockage

dans votre organisation ;
atténue la responsabilité ;
satisfait à la réglementation.
Lorsque vous déterminez votre planification de rétention, vous devez vous assurer que
la planification de rétention respecte la conformité réglementaire du secteur dans lequel
se trouve votre organisation. Par exemple, si votre société est un prestataire de santé,
vous devez comprendre les normes HIPAA.
Identifier les fichiers à conserver

Avant de pouvoir implémenter votre stratégie de rétention de données, vous devez
identifier les données stockées sur chaque serveur de fichiers. Une fois les données
identifiées, vous devez marquer les dossiers avec une période de rétention et une date
de début de rétention. De plus, vous devez supprimer l’autorisation Supprimer un
enfant de tous les dossiers susceptibles de contenir les fichiers actuellement conservés.
Cela permet de s’assurer que les fichiers ne sont pas supprimés accidentellement.
） Important
Les propriétés de classification ne doivent pas être spécifiées en tant que date.
Vous devez utiliser la période de rétention pour classifier le fichier. Si la période de
rétention doit changer, vous pouvez mettre à jour l’intervalle de période de
rétention sans avoir à classifier de nouveau chaque fichier.
Éléments à prendre en compte pour plusieurs

ordinateurs
Il y a plusieurs points à prendre en compte lorsque vous avez plusieurs serveurs de
fichiers dans votre organisation :
Les stratégies de rétention de données sont en général les mêmes sur l’ensemble
de l’organisation, si bien que vous pouvez réutiliser le même ensemble de règles
sur plusieurs ordinateurs.
Le kit de ressources Data Classification Toolkit utilise les applets de commande
Windows PowerShell pour importer et exporter les règles de classification. Vous
devez l’utiliser pour exporter la configuration à partir d’un ordinateur de référence
et l’importer vers un autre ordinateur pour vous assurer que la configuration est la
même.
Vous devez utiliser des espaces de noms dynamiques lorsque les serveurs source
et de destination utilisent les mêmes lettres de lecteur pour le stockage sur le
serveur. Lorsque vous créez un nouveau partage de fichiers en utilisant le
Gestionnaire de serveur, vous pouvez spécifier l’espace de noms.
Voir aussi
Scénario : implémenter la rétention des informations sur les serveurs de fichiers
Déployer l’implémentation de la rétention des informations sur les serveurs de
fichiers (étapes de démonstration)
Deploy Implementing Retention of
Information on File Servers
Article • 12/04/2023

Vous pouvez définir des périodes de rétention pour les dossiers et placer des fichiers en
mode de conservation légale à l'aide de l'Infrastructure de classification des fichiers et
du Gestionnaire de ressources du serveur de fichiers.
Prérequis
Les étapes de cet article partent du principe que vous avez un serveur SMTP configuré
pour les notifications d'expiration de fichier.
Étape 1 : créer des définitions de propriétés de

ressource
Dans cette étape, vous allez activer les propriétés de ressources Période de rétention et
Détectabilité afin que l’Infrastructure de classification des fichiers puisse les utiliser pour
étiqueter les fichiers analysés dans un dossier réseau partagé.
Pour créer des définitions de propriétés de ressource :
Interface graphique utilisateur
1. Sur le contrôleur de domaine, connectez-vous au serveur en tant que membre

du groupe de sécurité Admins du domaine.
2. Ouvrez le Centre d'administration Active Directory. Dans le Gestionnaire de

serveur, sélectionnez Outils, puis Centre d’administration Active Directory.
3. Développez Contrôle d'accès dynamique, puis sélectionnez Propriétés de

ressource.
4. Faites un clic droit sur Période de rétention, puis sélectionnez Activer.

5. Faites un clic droit sur Détectabilité, puis sélectionnez Activer.
Étape 2 : configurer les notifications

Lors de cette étape, vous allez utiliser la console Outils de gestion de ressources pour
serveur de fichiers pour configurer le serveur SMTP, l'adresse e-mail de l'administrateur
par défaut et l'adresse e-mail par défaut depuis laquelle sont envoyés les rapports.
Pour configurer les notifications :
1. Connectez-vous au serveur de fichiers en tant que membre du groupe de

sécurité Administrateurs.

FsrmClassificationPropertyDefinition, puis appuyez sur Entrée. Cette
commande permet de synchroniser les définitions de propriétés qui sont
créées sur le contrôleur de domaine avec le serveur de fichiers.
3. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Dans le

Gestionnaire de serveur, sélectionnez Outils, puis Outils de gestion de
ressources pour serveur de fichiers.
4. Faites un clic droit sur Outils de gestion de ressources pour serveur de

fichiers (local), puis sélectionnez Configurer les options.
5. Dans l’onglet Notifications par e-mail, configurez les paramètres suivants :
Dans la zone Nom ou adresse IP du serveur SMTP, tapez le nom du

serveur SMTP de votre réseau.
Dans la zone Administrateurs destinataires par défaut, tapez l'adresse

de messagerie de l'administrateur qui doit recevoir la notification.
Dans la zone Adresse e-mail « de l'expéditeur » par défaut, tapez

l'adresse e-mail qui doit être utilisée pour envoyer les notifications.
6. Sélectionnez OK.
Étape 3 : créer une tâche de gestion de fichiers
Dans cette étape, vous utilisez la console Outils de gestion de ressources pour serveur
de fichiers pour créer une tâche de gestion des fichiers qui expire les fichiers selon les
critères suivants :
Le fichier n'est pas classifié comme étant en mode de conservation légale.

le fichier est classifié comme ayant une période de rétention à long terme ;
Le fichier n'a pas été modifié au cours des 10 dernières années.
La tâche s’exécutera le dernier jour du mois.
Pour créer la tâche de gestion de fichiers :
1. Connectez-vous au serveur de fichiers en tant que membre du groupe de

sécurité Administrateurs.
2. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Dans le

Gestionnaire de serveur, sélectionnez Outils, puis Outils de gestion de
ressources pour serveur de fichiers.
3. Faites un clic droit sur Tâches de gestion de fichiers, puis sélectionnez Créer
une tâche de gestion de fichiers.
4. Sous l'onglet Général, dans la zone Nom de la tâche, tapez un nom pour la
tâche de gestion de fichiers, par exemple Tâche de rétention.
5. Dans l’onglet Étendue, sélectionnez Ajouteret choisissez les dossiers qui

doivent être inclus dans cette règle, tels que D:\Finance Documents.
6. Dans l’onglet Action, dans la zone Type, sélectionnez Expiration de fichier.

Dans la zone Répertoire d'expiration, tapez le chemin d'accès à un dossier sur
le serveur de fichiers local où seront déplacés les fichiers ayant expiré. Ce
dossier doit avoir une liste de contrôle d'accès qui accorde un accès
uniquement aux administrateurs du serveur de fichiers.
7. Dans l'onglet Notification, sélectionnez Ajouter.
Cochez la case Envoyer un courrier électronique aux administrateurs

suivants.
Cochez la case Envoyer un message électronique aux utilisateurs avec

les fichiers affectés, puis sélectionnez OK.
8. Dans l’onglet Condition, sélectionnez Ajouteret ajoutez les propriétés
suivantes :
Dans la liste Propriété, sélectionnez Détectabilité. Dans la liste

Opérateur, sélectionnez Non égal. Dans la liste Valeur, sélectionnez Mise
en attente.
Dans la liste Propriété, sélectionnez Période de rétention. Dans la liste

Opérateur, sélectionnez Égal. Dans la liste Valeur, sélectionnez Long
terme.
9. Sous l'onglet Condition, cochez la case Nombre de jours depuis la dernière

modification au fichier, puis affectez la valeur 3650.
10. Dans l’onglet Planification, sélectionnez l'option Mensuel, puis cochez la case
Dernier.
11. Sélectionnez OK.
Étape 4 : classifier un fichier manuellement

Lors de cette étape, vous classez manuellement un dossier en attente légale. Le dossier
parent de ce fichier sera classifié avec une période de rétention à long terme.
Pour classifier manuellement un fichier :

Administrateurs.
2. Accédez au dossier qui a été configuré dans l'étendue de la tâche de gestion de

fichiers à l'Étape 3.
3. Faites un clic droit sur le dossier, puis sélectionnez Propriétés.
4. Dans l'onglet Classification, sélectionnez Période de rétention, sélectionnez Long

terme, puis sélectionnez OK.
5. Faites un clic droit sur un fichier dans ce dossier, puis sélectionnez Propriétés.
6. Dans l’onglet Classification, sélectionnez Détectabilité, Mise en attente,

Appliquer, puis OK.
7. Sur le serveur de fichiers, exécutez la tâche de gestion de fichiers à l'aide de la

console Gestionnaire de ressources du serveur de fichiers. Une fois la tâche de
gestion de fichiers terminée, vérifiez le dossier et assurez-vous que le fichier n’a
pas été déplacé vers le répertoire d’expiration.
8. Faites un clic droit sur le même fichier dans ce dossier, puis sélectionnez
Propriétés.
9. Dans l’onglet Classification, sélectionnez Détectabilité, Non applicable, Appliquer,

puis OK.
10. Sur le serveur de fichiers, réexécutez la tâche de gestion de fichiers à l'aide de la

console Gestionnaire de ressources du serveur de fichiers. Une fois la tâche de
gestion de fichiers terminée, vérifiez le dossier et assurez-vous que ce fichier a été
déplacé vers le répertoire d'expiration.
Voir aussi
Scénario : implémenter la rétention des informations sur les serveurs de fichiers
Planifier la rétention des informations sur les serveurs de fichiers

Déployer des revendications dans les
forêts
Article • 14/04/2023

Dans Windows Server 2012, un type de revendication est une assertion relative à l’objet
auquel il est associé. Les types de revendications sont définis par forêt dans Active
Directory. Il existe de nombreux scénarios où un principal de sécurité doit pouvoir
franchir une limite d’approbation pour accéder aux ressources dans une forêt
approuvée. La transformation des revendications interforêts dans Windows Server 2012
vous permet de transformer les revendications en sortie et en entrée, qui traversent les
forêts afin que les revendications soient reconnues et acceptées dans les forêts
d’approbation et les forêts approuvées. Voici certains scénarios réels de transformation
des revendications :
Les forêts de confiance peuvent utiliser la transformation de revendication comme

protection contre l’élévation de privilèges en filtrant les revendications entrantes
aux valeurs spécifiques.
Les forêts de confiance peuvent également émettre des revendications pour les
principaux franchissant une limite d’approbation si la forêt approuvée ne prend
pas de revendication ou n’en n’émet pas.
Les forêts approuvées peuvent utiliser la transformation pour empêcher certains

types de revendications et des revendications ayant certaines valeurs de sortir de
la forêt de confiance.
Vous pouvez également utiliser la transformation de revendication pour mapper

différents types de revendications entre des forêts approuvées et d’approbation. La
transformation permet de généraliser le type et/ou la valeur de la revendication.
Sans cela, vous devez normaliser les données entre les forêts avant de pouvoir
utiliser les revendications. La généralisation des revendications entre les forêts
d’approbation et approuvées réduit les coûts informatiques.
Règles de transformation de revendication

La syntaxe du langage de règle de transformation divise une règle en deux parties
principales : une série d’instructions de condition et l’énoncé. Chaque instruction de
condition a deux sous-composants : l’identificateur de revendication et la condition.
L’instruction d’émission contient les mots clés, les séparateurs et une expression
d’émission. L’instruction de condition peut commencer par une variable d’identificateur
de revendication, qui représente la revendication d’entrée correspondante. La condition
vérifie l’expression. Si la revendication d’entrée ne correspond pas à la condition, le
moteur de transformation ignore l’instruction d’émission et évalue la revendication
d’entrée suivante en fonction de la règle de transformation. Si toutes les conditions
correspondent à la revendication d’entrée, il traite l’instruction d’émission.
Pour obtenir des informations détaillées sur le langage des règles de revendication, voir
Claims Transformation Rules Language.
Associer des stratégies de transformation de

revendication à des forêts
Deux composants sont impliqués dans la définition des stratégies de transformation de
revendication : les objets de stratégie de transformation de revendication et le lien de
transformation. Les objets de stratégie se trouvent dans le contexte d’appellation de
configuration d’une forêt et contiennent des informations de mappage pour les
revendications. Le lien spécifie les forêts d’approbation et approuvées auxquelles le
mappage s’applique.
Il est important de comprendre s’il s’agit de la forêt d’approbation ou approuvée, car

c’est sur cette dernière que repose l’association des objets de stratégie de
transformation. Par exemple, la forêt approuvée est la forêt qui contient les comptes
d’utilisateurs qui ont besoin d’un accès. La forêt de confiance est la forêt qui contient les
ressources auxquelles vous voulez autoriser les utilisateurs à accéder. Les revendications
se déplacent dans le même sens que le principal de sécurité qui requiert l’accès. Par
exemple, s’il existe une approbation à sens unique à partir de la forêt contoso.com vers
la forêt adatum.com, les revendications seront acheminées depuis adatum.com vers
contoso.com, ce qui permet aux utilisateurs de adatum.com d’accéder aux ressources de
contoso.com.
Par défaut, une forêt approuvée autorise la transmission de toutes les revendications
sortantes et une forêt de confiance rejette toutes les revendications entrantes qu’elle
reçoit.
Dans ce scénario
Vous trouverez ci-dessous les instructions disponibles pour ce scénario :
Déployer des revendications dans les forêts (étapes de démonstration)
Langage de règles de transformation de revendications

Active Directory Dans ce scénario, vous devez configurer deux forêts Active Directory avec
Domain Services une approbation bidirectionnelle. Les deux forêts contiennent des
revendications. Vous définissez également des stratégies d’accès central
sur la forêt de confiance où se trouvent les ressources.
Rôle des Services de Dans ce scénario, la classification des données est appliquée aux
fichiers et de ressources sur les serveurs de fichiers. La stratégie d’accès central est
stockage appliquée au dossier auquel vous voulez autoriser l’utilisateur à accéder.
Après la transformation, la revendication accorde à l’utilisateur l’accès aux
ressources en fonction de la stratégie d’accès central qui s’applique au
dossier sur le serveur de fichiers.
Déployer les revendications entre les
forêts (procédure descriptive)

Dans cette rubrique, nous allons aborder un scénario de base qui explique comment
configurer les transformations de revendications entre l’approbation et les forêts
approuvées. Vous allez découvrir comment créer des objets de stratégie de
transformation des revendications et les lier à l’approbation sur la forêt d’approbation et
la forêt approuvée. Vous allez ensuite valider le scénario.
Présentation du scénario
Adatum Corporation fournit des services financiers à Contoso, Ltd. Chaque trimestre, les
comptables Adatum copient les feuilles de calcul de leur compte dans un dossier sur un
serveur de fichiers situé sur Contoso, Ltd. Une approbation bidirectionnelle est
configurée de Contoso vers Adatum. Contoso, Ltd. souhaite protéger le partage afin que
seuls les employés d’Adatum puissent accéder au partage distant.
Dans ce scénario :
1. Configurer les prérequis et l’environnement de test
2. Configurer la transformation des revendications sur une forêt approuvée (Adatum)
3. Configurer la transformation des revendications dans la forêt d’approbation

(Contoso)
4. Valider le scénario
Configurer les prérequis et l’environnement de

test
La configuration de test implique la configuration de deux forêts : Adatum Corporation
et Contoso, Ltd, ainsi qu’une approbation bidirectionnelle entre Contoso et Adatum. «
adatum.com » est la forêt approuvée et « contoso.com » est la forêt d’approbation.
Le scénario de transformation des revendications illustre la transformation d’une
revendication dans la forêt approuvée en revendication dans la forêt d’approbation.
Pour ce faire, vous devez configurer une nouvelle forêt appelée adatum.com et remplir
la forêt avec un utilisateur de test avec une valeur d’entreprise « Adatum ». Vous devez
ensuite configurer une approbation bidirectionnelle entre contoso.com et adatum.com.
） Important
Lorsque vous configurez les forêts Contoso et Adatum, vous devez vous assurer
que les deux domaines racine se trouvent au niveau fonctionnel du domaine
Windows Server 2012 pour que la transformation des revendications fonctionne.
Vous devez configurer ce qui suit pour le labo. Ces procédures sont expliquées en détail
dans l’annexe B : Configuration de l’environnement de test
Vous devez implémenter les procédures suivantes pour configurer le labo pour ce
scénario :
1. Définir Adatum comme forêt approuvée sur Contoso
2. Créer le type de revendication « Entreprise » sur Contoso
3. Activer la propriété de ressource « Entreprise » sur Contoso
4. Créer la règle d'accès central
5. Créer la stratégie d'accès centralisée
6. Publier la nouvelle stratégie à l'aide de la stratégie de groupe
7. Créer le dossier Earnings sur le serveur de fichiers
8. Définir la classification et appliquer la stratégie d’accès central sur le nouveau

dossier
Utilisez les informations suivantes pour effectuer ce scénario :
Objets Détails
Utilisateurs Jeff Low, Contoso

Objets Détails
Revendications ID : ad://ext/Company:ContosoAdatum,
utilisateur sur Adatum Attribut source : entreprise
et Contoso
Valeurs suggérées : Contoso, Adatum Important : vous devez définir l’ID
du type de revendication « Entreprise » sur Contoso et Adatum pour
qu’il soit identique pour que la transformation des revendications
fonctionne.
Règle d’accès AdatumEmployeeAccessRule

centralisée sur
Contoso
Stratégie d’accès Stratégie d’accès Adatum uniquement

central sur Contoso
Stratégies de DenyAllExcept Company

transformation des
revendications sur
Adatum et Contoso
Dossier de fichiers sur D:\GAINS

Contoso
Configurer la transformation des

revendications sur une forêt approuvée
(Adatum)
Dans cette étape, vous créez une stratégie de transformation dans Adatum pour refuser
toutes les revendications à l’exception de « Entreprise » à transmettre à Contoso.
Le module Active Directory pour Windows PowerShell fournit l’argument DenyAllExcept,

qui supprime tout, à l’exception des revendications spécifiées dans la stratégie de
transformation.
Pour configurer une transformation de revendications, vous devez créer une stratégie de
transformation des revendications et la lier entre les forêts approuvées et approuvées.
Créer une stratégie de transformation des revendications

dans Adatum
Pour créer une stratégie de transformation Adatum pour refuser

toutes les revendications à l’exception de « Entreprise »
1. Connectez-vous au contrôleur de domaine, adatum.com en tant qu’administrateur
avec le pass@word1 de mot de passe.
2. Ouvrez une invite de commandes avec élévation de privilèges dans Windows

PowerShell, puis tapez ce qui suit :
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except

Company"`
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"adatum.com" `
Définir un lien de transformation de revendications sur

l’objet de domaine d’approbation d’Adatum
Dans cette étape, vous appliquez la stratégie de transformation des revendications
nouvellement créée sur l’objet de domaine d’approbation d’Adatum pour Contoso.
Pour appliquer la stratégie de transformation des revendications
1. Connectez-vous au contrôleur de domaine, adatum.com en tant qu’administrateur


PowerShell, puis tapez ce qui suit :
Set-ADClaimTransformLink `
-Identity:"contoso.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
'"TrustRole:Trusted `
Configurer la transformation des

revendications dans la forêt d’approbation
(Contoso)
Dans cette étape, vous créez une stratégie de transformation des revendications dans
Contoso (la forêt d’approbation) pour refuser toutes les revendications à l’exception de
« Entreprise ». Vous devez créer une stratégie de transformation des revendications et la
lier à l’approbation de forêt.
Créer une stratégie de transformation des revendications

dans Contoso
Pour créer une stratégie de transformation Adatum pour refuser

tout sauf « Entreprise »
1. Connectez-vous au contrôleur de domaine, contoso.com en tant qu’administrateur


PowerShell et tapez ce qui suit :
New-ADClaimTransformPolicy `
-Description:"Claims transformation policy to deny all claims except

company" `
-Name:"DenyAllClaimsExceptCompanyPolicy" `
-DenyAllExcept:company `
-Server:"contoso.com" `
Définir un lien de transformation des revendications sur

l’objet de domaine d’approbation de Contoso
Dans cette étape, vous appliquez la stratégie de transformation des revendications
nouvellement créée sur l’objet de domaine d’approbation contoso.com pour Adatum
afin d’autoriser le passage de « Société » à contoso.com. L’objet de domaine
d’approbation est nommé adatum.com.
Pour définir la stratégie de transformation des revendications
1. Connectez-vous au contrôleur de domaine, contoso.com en tant qu’administrateur


PowerShell et tapez ce qui suit :
Set-ADClaimTransformLink
-Identity:"adatum.com" `
-Policy:"DenyAllClaimsExceptCompanyPolicy" `
-TrustRole:Trusting `
Valider le scénario
Dans cette étape, vous essayez d’accéder au dossier D:\EARNINGS qui a été configuré
sur le serveur de fichiers FILE1 pour vérifier que l’utilisateur a accès au dossier partagé.
Pour vous assurer que l’utilisateur Adatum peut accéder au dossier

partagé
1. Connectez-vous à l’ordinateur client CLIENT1 en tant que Jeff Low avec le mot de
passe pass@word1.
2. Accédez au dossier \\FILE1.contoso.com\Gains.
3. Jeff Low doit pouvoir accéder au dossier.
Scénarios supplémentaires pour les stratégies

de transformation des revendications
Voici une liste de cas courants supplémentaires dans la transformation des
revendications.
Scénario Stratégie
Scénario Stratégie
Autoriser toutes les Code -
revendications provenant New-ADClaimTransformPolicy '
d’Adatum à passer à Contoso -Description :"La stratégie de transformation des

Adatum revendications pour autoriser toutes les revendications » '
-Name :"AllowAllClaimsPolicy » '
-AllowAll '
-Server :"contoso.com » '
Set-ADClaimTransformLink '
-Identity:"adatum.com » '
-Policy:"AllowAllClaimsPolicy » '
-TrustRole:Trusting '
Refuser toutes les revendications Code -
provenant d’Adatum pour passer New-ADClaimTransformPolicy '
à Contoso Adatum -Description :"Stratégie de transformation des revendications

pour refuser toutes les revendications » '
-Name:"DenyAllClaimsPolicy » '
-DenyAll '
-Policy:"DenyAllClaimsPolicy » '
-Server :"contoso.com"'
Autoriser toutes les Code
revendications qui proviennent - New-ADClaimTransformationPolicy '
d’Adatum à l’exception de « -Description : « Stratégie de transformation des

Entreprise » et « Service » à revendications pour autoriser toutes les revendications à
passer à Contoso Adatum l’exception de l’entreprise et du service »
-
Name:"AllowAllClaimsExceptCompanyAndDepartmentPolicy »
'
-AllowAllExcept:company,department '
-
Policy:"AllowAllClaimsExceptCompanyAndDepartmentPolicy »
'
Voir aussi
Pour obtenir la liste de toutes les applets de commande Windows PowerShell
disponibles pour la transformation des revendications, consultez Référence sur les
applets de commande PowerShell Active Directory.
Pour les tâches avancées qui impliquent l’exportation et l’importation

d’informations de configuration DAC entre deux forêts, utilisez la référence
PowerShell dynamic Access Control
Déployer des revendications dans les forêts
Langage de règles de transformation de revendications

Langage de règles de Transformation de
revendications

La fonctionnalité de transformation des revendications entre forêts vous permet de faire

le pont entre les revendications des contrôles d’accès dynamiques entre les limites de la
forêt en définissant des stratégies de transformation des revendications sur des
approbations entre forêts. Le composant principal de toutes les stratégies est des règles
écrites dans le langage des règles de transformation des revendications. Cette rubrique
fournit des détails sur ce langage et fournit des conseils sur la création de règles de
transformation de revendications.
Les applets de commande Windows PowerShell pour les stratégies de transformation

sur les approbations entre forêts disposent d’options permettant de définir des
stratégies simples qui sont nécessaires dans les scénarios courants. Ces applets de
commande traduisent l’entrée utilisateur en stratégies et règles dans le langage des
règles de transformation des revendications, puis les stockent dans Active Directory
dans le format prescrit. Pour plus d’informations sur les applets de commande pour la
transformation des revendications, consultez applets de commande AD DS pour les
Contrôles d’accès dynamiques.
En fonction de la configuration des revendications et des exigences relatives à

l’approbation entre forêts dans vos forêts Active Directory, vos stratégies de
transformation des revendications peuvent être plus complexes que les stratégies prises
en charge par les applets de commande Windows PowerShell pour Active Directory.
Pour créer efficacement de telles stratégies, il est essentiel de comprendre la syntaxe et
la sémantique du langage des règles de transformation des revendications. Ce langage
de règles de transformation des revendications (« le langage ») dans Active Directory est
un sous-ensemble du langage utilisé par Services ADFS à des fins similaires, et sa
syntaxe et sa sémantique sont très similaires. Toutefois, il y a moins d’opérations
autorisées et des restrictions de syntaxe supplémentaires sont placées dans la version
Active Directory du langage.
Cette rubrique explique brièvement la syntaxe et la sémantique du langage des règles

de transformation des revendications dans Active Directory et les considérations à
prendre en compte lors de la création de stratégies. Il fournit plusieurs ensembles
d’exemples de règles pour commencer, ainsi que des exemples de syntaxe incorrecte et
des messages qu’ils génèrent, pour vous aider à déchiffrer les messages d’erreur lorsque
vous créez les règles.
Outils pour la création de stratégies de

transformation de revendications
Applets de commande Windows PowerShell pour Active Directory : il s’agit de la
méthode recommandée pour créer et définir des stratégies de transformation des
revendications. Ces applets de commande fournissent des commutateurs pour les
stratégies simples et vérifient les règles définies pour les stratégies plus complexes.
LDAP : les stratégies de transformation des revendications peuvent être modifiées dans
Active Directory via le protocole LDAP (Lightweight Directory Access Protocol). Toutefois,
cela n’est pas recommandé, car les stratégies ont plusieurs composants complexes et les
outils que vous utilisez peuvent ne pas valider la stratégie avant de l’écrire dans Active
Directory. Cela peut nécessiter par la suite beaucoup de temps pour diagnostiquer les
problèmes.
Langage des règles de transformation des

revendications Active Directory
Vue d’ensemble de la syntaxe

Voici une brève vue d’ensemble de la syntaxe et de la sémantique du langage :
L’ensemble de règles de transformation des revendications se compose de zéro ou

plus de règles. Chaque règle comporte deux parties actives : Liste Sélectionner
une condition et Action de la règle. Si la Liste Sélectionner une condition est
évaluée à TRUE, l’action de règle correspondante est exécutée.
Liste Sélectionner une condition a zéro ou plusieurs Conditions de sélection.

Toutes les Sélectionner une condition doivent être évaluées à TRUE pour que la
liste Sélectionner une condition soit évaluée à TRUE.
Chaque Sélectionner une condition a un ensemble de Conditions

correspondantes égales à zéro ou plus. Toutes les Conditions correspondantes
doivent avoir la valeur TRUE pour que la condition Sélectionner soit évaluée à
TRUE. Toutes ces conditions sont évaluées par rapport à une seule revendication.
Une revendication qui correspond à une Sélectionner une condition peut être
marquée par un Identificateur et référencée dans Action de règle.
Chaque Condition correspondante spécifie la condition pour qu’elle corresponde
au Type ou à la Valeur ou au Type de valeur d’une revendication à l’aide de
différents Opérateurs de condition et Littéraux de chaîne.
Lorsque vous spécifiez une Condition correspondante pour une Valeur, vous
devez également spécifier une Condition correspondante pour un Type
ValueType spécifique et vice versa. Ces conditions doivent être à côté les unes
des autres dans la syntaxe.
Les conditions correspondantes ValueType doivent utiliser des littéraux

ValueType spécifiques uniquement.
Une Action de règle peut copier une revendication étiquetée avec un

Identificateur ou émettre une revendication basée sur une revendication étiquetée
avec un identificateur et/ou des littéraux de chaîne donnés.
Exemple de règle
Cet exemple montre une règle qui peut être utilisée pour traduire le type de
revendications entre deux forêts, à condition qu’elles utilisent les mêmes revendications
ValueTypes et aient les mêmes interprétations pour les valeurs de revendications pour
ce type. La règle a une condition correspondante et une instruction Issue qui utilise des
littéraux de chaîne et une référence de revendications correspondantes.
C1: [TYPE=="EmployeeType"]
=> ISSUE (TYPE= "EmpType", VALUE = C1.VALUE, VALUETYPE =

C1.VALUETYPE);
[TYPE=="EmployeeType"] == Select Condition List with one Matching Condition

for claims Type.
ISSUE (TYPE= "EmpType", VALUE = C1.VALUE, VALUETYPE = C1.VALUETYPE) == Rule

Action that issues a claims using string literal and matching claim referred
with the Identifier.
Opération de runtime
Il est important de comprendre le fonctionnement d’exécution des transformations de
revendications pour créer efficacement les règles. L’opération d’exécution utilise trois
ensembles de revendications :
1. Jeu de revendications d’entrée : jeu de revendications d’entrée donné à

l’opération de transformation des revendications.
2. Jeu de revendications de travail : revendications intermédiaires lues et écrites
pendant la transformation des revendications.
3. Jeu de revendications de sortie : sortie de l’opération de transformation des

revendications.
Voici une brève vue d’ensemble de l’opération de transformation des revendications

d’exécution :
1. Les revendications d’entrée pour la transformation des revendications sont

utilisées pour initialiser le jeu de revendications de travail.
a. Lors du traitement de chaque règle, le jeu de revendications de travail est utilisé

pour les revendications d’entrée.
b. La liste des conditions de sélection d’une règle est mise en correspondance avec
tous les ensembles de revendications possibles du jeu de revendications de
travail.
c. Chaque ensemble de revendications correspondantes est utilisé pour exécuter

l’action dans cette règle.
d. L’exécution d’une action de règle génère une revendication, qui est ajoutée au
jeu de revendications de sortie et au jeu de revendications de travail. Ainsi, la
sortie d’une règle est utilisée comme entrée pour les règles suivantes dans
l’ensemble de règles.
2. Les règles de l’ensemble de règles sont traitées dans un ordre séquentiel

commençant par la première règle.
3. Lorsque l’ensemble de règles est traité, le jeu de revendications de sortie est traité
pour supprimer les revendications dupliquées et pour d’autres problèmes de
sécurité. Les revendications résultantes sont la sortie du processus de
transformation des revendications.
Il est possible d’écrire des transformations de revendications complexes en fonction du

comportement d’exécution précédent.
Exemple : Opération d’exécution
Cet exemple montre l’opération d’exécution d’une transformation de revendications qui

utilise deux règles.
C1:[Type=="EmpType", Value=="FullTime",ValueType=="string"] =>
Issue(Type=="EmployeeType",
Value=="FullTime",ValueType=="string");
[Type=="EmployeeType"] =>
Issue(Type=="AccessType", Value=="Privileged",
ValueType=="string");
Input claims and Initial Evaluation Context:
{(Type= "EmpType"),(Value="FullTime"),(ValueType="String")}
{(Type= "Organization"),(Value="Marketing"),(ValueType="String")}
After Processing Rule 1:
Evaluation Context:
{(Type= "Organization"), (Value="Marketing"),(ValueType="String")}
{(Type= "EmployeeType"),(Value="FullTime"),(ValueType="String")}
Output Context:
After Processing Rule 2:
Evaluation Context:
{(Type= "Organization"),(Value="Marketing"),(ValueType="String")}
{(Type= "AccessType"),(Value="Privileged"),(ValueType="String")}
Output Context:
Final Output:
Sémantique des règles spéciales

Voici une syntaxe spéciale pour les règles :
1. Jeu de règles vide == Aucune revendication de sortie
2. Vider la Liste Sélectionner une condition == Chaque revendication correspond à la

liste Sélectionner une condition
Exemple : Vider la Liste Sélectionner une condition
La règle suivante correspond à chaque revendication de l’ensemble de travail.
=> Issue (Type = "UserType", Value = "External", ValueType = "string")
3. Vider la Liste Sélectionner une correspondance == Chaque revendication

correspond à la liste Sélectionner une condition
Exemple : vider les conditions de correspondance
La règle suivante correspond à chaque revendication de l’ensemble de travail. Il

s’agit de la règle de base « Autoriser tout » si elle est utilisée seule.
C1:[] => Issule (claim = C1);
Considérations relatives à la sécurité

Revendications qui entrent dans une forêt
Les revendications présentées par les principaux entrants dans une forêt doivent être
inspectées minutieusement pour nous assurer que nous n’autorisons ou émettons que
les revendications correctes. Des revendications incorrectes peuvent compromettre la
sécurité de la forêt, ce qui doit être une considération de premier plan lors de la création
de stratégies de transformation pour les revendications qui entrent dans une forêt.
Active Directory dispose des fonctionnalités suivantes pour éviter une configuration
incorrecte des revendications qui entrent dans une forêt :
Si une approbation de forêt n’a aucune stratégie de transformation des

revendications définie pour les revendications qui entrent dans une forêt, à des fins
de sécurité, Active Directory supprime toutes les revendications principales qui
entrent dans la forêt.
Si l’exécution de l’ensemble de règles sur les revendications qui entre dans une
forêt entraîne des revendications qui ne sont pas définies dans la forêt, les
revendications non définies sont supprimées des revendications de sortie.
Revendications qui quittent une forêt
Les revendications qui quittent une forêt présentent un problème de sécurité moins
important pour la forêt que les revendications qui y entrent. Les revendications sont
autorisées à quitter la forêt telle quelle même si aucune stratégie de transformation des
revendications correspondante n’est en place. Il est également possible d’émettre des
revendications qui ne sont pas définies dans la forêt dans le cadre de la transformation
des revendications qui quittent la forêt. Il s’agit de configurer facilement des
approbations entre forêts avec des revendications. Un administrateur peut déterminer si
les revendications qui entrent dans la forêt doivent être transformées et configurer la
stratégie appropriée. Par exemple, un administrateur peut définir une stratégie s’il est
nécessaire de masquer une revendication pour empêcher la divulgation d’informations.
Erreurs de syntaxe dans les règles de transformation des revendications
Si une stratégie de transformation de revendications donnée a un ensemble de règles

qui est incorrect du point de vue de la syntaxe ou s’il existe d’autres problèmes de
syntaxe ou de stockage, la stratégie est considérée comme non valide. Cela est traité
différemment des conditions par défaut mentionnées précédemment.
Active Directory n’est pas en mesure de déterminer l’intention dans ce cas et passe en
mode sans échec, où aucune revendication de sortie n’est générée sur cette
approbation+direction de traversée. L’intervention de l’administrateur est nécessaire
pour corriger le problème. Cela peut se produire si LDAP est utilisé pour modifier la
stratégie de transformation des revendications. Windows PowerShell applets de
commande pour Active Directory sont validées pour empêcher l’écriture d’une stratégie
avec des problèmes de syntaxe.
Autres considérations linguistiques

1. Il existe plusieurs mots clés ou caractères qui sont spéciaux dans cette langue
(appelés terminaux). Ceux-ci sont présentés dans la table Terminaux de langue plus
loin dans cette rubrique. Les messages d’erreur utilisent les balises de ces
terminaux pour lever l’ambiguïté.
2. Les terminaux peuvent parfois être utilisés comme littéraux de chaîne. Toutefois,
cette utilisation peut entrer en conflit avec la définition de la langue ou avoir des
conséquences inattendues. Ce type d’utilisation n’est pas recommandé.
3. L’action de règle ne peut effectuer aucune conversion de type sur les valeurs de
revendication, et un ensemble de règles qui contient une telle action de règle est
considéré comme non valide. Cela entraînerait une erreur d’exécution et aucune
revendication de sortie n’est générée.
4. Si une action de règle fait référence à un identificateur qui n’a pas été utilisé dans
la partie Sélectionner la liste des conditions de la règle, il s’agit d’une utilisation
non valide. Ceci causerait une erreur de syntaxe.
Exemple : Référence de l’identificateur incorrect La règle suivante illustre un

identificateur incorrect utilisé dans l’action de règle.
C1:[] => Issue (claim = C2);
Exemples de règles de transformation

Autoriser toutes les revendications d’un certain type
Type exact
C1:[type=="XYZ"] => Issue (claim = C1);
Utilisation de Regex
C1: [type =~ "XYZ*"] => Issue (claim = C1);
Interdire un certain type de revendication Type exact
C1:[type != "XYZ"] => Issue (claim=C1);
Utilisation de Regex
C1:[Type !~ "XYZ?"] => Issue (claim=C1);
Exemples d’erreurs de l’analyseur de règles

Les règles de transformation des revendications sont analysées par un analyseur
personnalisé pour vérifier les erreurs de syntaxe. Cet analyseur est exécuté par des
applets de commande Windows PowerShell associées avant de stocker des règles dans
Active Directory. Toutes les erreurs d’analyse des règles, y compris les erreurs de
syntaxe, sont imprimées sur la console. Les contrôleurs de domaine exécutent
également l’analyseur avant d’utiliser les règles de transformation des revendications, et
ils consignent les erreurs dans le journal des événements (ajouter des numéros de
journal des événements).
Cette section illustre quelques exemples de règles écrites avec une syntaxe incorrecte et
les erreurs de syntaxe correspondantes générées par l’analyseur.
1. Exemple :
c1;[]=>Issue(claim=c1);
Cet exemple contient un point-virgule utilisé incorrectement à la place d’un signe

deux-points.
Message d’erreur :POLICY0002 : Impossible d’analyser les données de
stratégie.Numéro de ligne : 1, Numéro de colonne : 2, Jeton d’erreur : ;. Ligne : 'c1;
[]=>Issue(claim=c1);'.Erreur de l’analyseur : 'POLICY0030 : Erreur de syntaxe,
inattendue ';', en attendant l’un des éléments suivants : ':' .'
2. Exemple :
c1:[]=>Issue(claim=c2);
Dans cet exemple, la balise Identificateur dans l’instruction d’émission de copie

n’est pas définie.
Message d’erreur : POLICY0011 : aucune condition de la règle de
revendication ne correspond à la balise de condition spécifiée dans le
CopyIssuanceStatement : 'c2'.
3. Exemple :
c1:[type=="x1", value=="1", valuetype=="bool"]=>Issue(claim=c1)
« bool » n’est pas un terminal dans la langue et il ne s’agit pas d’un ValueType
valide. Les terminaux valides sont répertoriés dans le message d’erreur suivant.
Message d’erreur :POLICY0002 : Impossible d’analyser les données de stratégie.
Numéro de ligne : 1, Numéro de colonne : 39, Jeton d’erreur : « bool ». Ligne : 'c1:
[type=="x1", value=="1",valuetype=="bool"]=>Issue(claim=c1);'.
Erreur de
l’analyseur : 'POLICY0030: Erreur de syntaxe, inattendue 'STRING', en attendant l’un
des éléments suivants : 'INT64_TYPE' 'UINT64_TYPE' 'STRING_TYPE'
'BOOLEAN_TYPE' 'IDENTIFICATEUR'
4. Exemple :
c1:[type=="x1", value==1, valuetype=="boolean"]=>Issue(claim=c1);
Le chiffre 1 dans cet exemple n’est pas un jeton valide dans la langue, et une telle
utilisation n’est pas autorisée dans une condition correspondante. Il doit être placé
entre guillemets doubles pour en faire une chaîne.
Message d’erreur :POLICY0002 :
Impossible d’analyser les données de stratégie.Numéro de ligne : 1, Numéro de
colonne : 23, Jeton d’erreur : 1. Ligne : c1:[type=="x1", value==1,
valuetype=="bool"]=>Issue(claim=c1);'.Erreur de l’analyseur : ' POLICY0029 : Entrée
inattendue.
5. Exemple :
c1:[type == "x1", value == "1", valuetype == "boolean"] =>
Issue(type = c1.type, value="0", valuetype == "boolean");
Cet exemple a utilisé un signe égal double (==) au lieu d’un seul signe égal (=).
Message d’erreur :POLICY0002 : Impossible d’analyser les données de
stratégie.Numéro de ligne : 1, Numéro de colonne : 91, Jeton d’erreur : ==. Line: 'c1:
[type=="x1", value=="1",valuetype=="boolean"]=>Issue(type=c1.type, value="0",
valuetype=="boolean");'.Erreur de l’analyseur : 'POLICY0030 : Erreur de syntaxe,
inattendue '==', en attendant l’un des éléments suivants : '='
6. Exemple :
c1:[type=="x1", value=="boolean", valuetype=="string"] =>
Issue(type=c1.type, value=c1.value, valuetype = "string");
Cet exemple est correct sur le plan syntaxique et sémantique. Toutefois, l’utilisation
de « boolean » comme valeur de chaîne est inévitablement source de confusion et
doit être évitée. Comme mentionné précédemment, l’utilisation de terminales de
langue comme valeurs de revendications doit être évitée dans la mesure du
possible.
Terminaux linguistiques
Le tableau suivant répertorie l’ensemble complet des chaînes de terminal et les
terminaux de langue associés qui sont utilisés dans le langage des règles de
transformation des revendications. Ces définitions utilisent des chaînes UTF-16 qui ne
respectent pas la casse.
String Terminal
"=>" IMPLY
";" SEMICOLON
":" COLON
"," COMMA
"." DOT
"[" O_SQ_BRACKET
"]" C_SQ_BRACKET
"(" O_BRACKET
")" C_BRACKET
"==" EQ
"!=" NEQ
"=~" REGEXP_MATCH
"!~" REGEXP_NOT_MATCH
"=" ASSIGN
"&&" AND
"issue" PROBLÈME
"type" TYPE
"value" VALEUR
"valuetype" VALUE_TYPE
"claim" CLAIM
"[_A-Za-z][_A-Za-z0-9]*" IDENTIFIER
"\"[^\"\n]*\"" STRING
"uint64" UINT64_TYPE
String Terminal
"int64" INT64_TYPE
"chaîne" STRING_TYPE
"boolean" BOOLEAN_TYPE
Syntaxe linguistique
Le langage de règles de transformation des revendications suivant est spécifié dans le
formulaire ABNF. Cette définition utilise les terminaux spécifiés dans le tableau
précédent en plus des productions ABNF définies ici. Les règles doivent être encodées
en UTF-16 et les comparaisons de chaînes doivent être traitées comme ne respectant
pas la casse.
Rule_set = ;/*Empty*/
/ Rules
Rules = Rule
/ Rule Rules
Rule = Rule_body
Rule_body = (Conditions IMPLY Rule_action SEMICOLON)
Conditions = ;/*Empty*/
/ Sel_condition_list
Sel_condition_list = Sel_condition
/ (Sel_condition_list AND Sel_condition)
Sel_condition = Sel_condition_body
/ (IDENTIFIER COLON Sel_condition_body)
Sel_condition_body = O_SQ_BRACKET Opt_cond_list C_SQ_BRACKET
Opt_cond_list = /*Empty*/
/ Cond_list
Cond_list = Cond
/ (Cond_list COMMA Cond)
Cond = Value_cond
/ Type_cond
Type_cond = TYPE Cond_oper Literal_expr
Value_cond = (Val_cond COMMA Val_type_cond)
/(Val_type_cond COMMA Val_cond)
Val_cond = VALUE Cond_oper Literal_expr
Val_type_cond = VALUE_TYPE Cond_oper Value_type_literal
claim_prop = TYPE
/ VALUE
Cond_oper = EQ
/ NEQ
/ REGEXP_MATCH
/ REGEXP_NOT_MATCH
Literal_expr = Literal
/ Value_type_literal
Expr = Literal
/ Value_type_expr
/ (IDENTIFIER DOT claim_prop)
Value_type_expr = Value_type_literal
/(IDENTIFIER DOT VALUE_TYPE)
Value_type_literal = INT64_TYPE
/ UINT64_TYPE
/ STRING_TYPE
/ BOOLEAN_TYPE
Literal = STRING
Rule_action = ISSUE O_BRACKET Issue_params C_BRACKET
Issue_params = claim_copy
/ claim_new
claim_copy = CLAIM ASSIGN IDENTIFIER
claim_new = claim_prop_assign_list
claim_prop_assign_list = (claim_value_assign COMMA claim_type_assign)
/(claim_type_assign COMMA claim_value_assign)
claim_value_assign = (claim_val_assign COMMA claim_val_type_assign)
/(claim_val_type_assign COMMA claim_val_assign)
claim_val_assign = VALUE ASSIGN Expr
claim_val_type_assign = VALUE_TYPE ASSIGN Value_type_expr
Claim_type_assign = TYPE ASSIGN Expr
Annexe A : Glossaire de contrôle d’accès

dynamique

Voici la liste des termes et définitions inclus dans le scénario de contrôle d’accès
dynamique.
Terme Définition
Classification Classification qui se produit en fonction des propriétés de classification qui sont
automatique déterminées par des règles de classification configurées par un administrateur.
CAPID (Central Access Policy ID) ID de stratégie d’accès centralisée. Cet ID fait référence
à une stratégie d’accès centralisée spécifique, et est utilisé pour référencer la
stratégie à partir du descripteur de sécurité des fichiers et dossiers.
Règle d’accès Règle qui inclut une condition et une expression d’accès.
centralisée
Stratégie Stratégie créée et hébergée dans Active Directory.

d’accès
centralisée
Contrôle Paradigme qui utilise les revendications pour prendre des décisions de contrôle
d’accès basé d’accès pour les ressources.
sur les
revendications
classification ; Processus de détermination des propriétés de classification des ressources et

d’affectation de ces propriétés aux métadonnées qui sont associées aux
ressources. Consultez également la classification REF
AutomaticClassification \h \* MERGEFORMAT Automatique, la classification
REF InheritedClassification \h \* MERGEFORMAT Héritée et la classification
REF ManualClassification \h \* MERGEFORMAT Manuelle.
Revendication Revendication qui est associée au système. Avec les revendications utilisateur,
d’appareil elle est incluse dans le jeton d’un utilisateur qui tente d’accéder à une ressource.
Liste de Liste de contrôle d’accès identifiant les tiers de confiance pour qui l’accès à une
contrôle ressource sécurisable est autorisé ou refusé. Elle peut être modifiée à la
d’accès discrétion du propriétaire de la ressource.
discrétionnaire
(DACL)
Terme Définition
Propriété de Propriétés (telles que les étiquettes) qui décrivent un fichier et qui sont affectées
ressource à des fichiers à l’aide de la classification automatique ou de la classification
manuelle. Par exemple : Sensibilité, Projet et Période de conservation.
File Server Fonctionnalité du système d’exploitation Windows Server qui offre la gestion

Resource des quotas de dossiers, le filtrage des fichiers, les rapports de stockage, la
Manager classification des fichiers et les travaux de gestion des fichiers sur un serveur de
fichiers.
Propriétés et Propriétés et étiquettes qui décrivent un dossier et qui sont affectées

étiquettes de manuellement par les administrateurs et les propriétaires de dossiers. Ces
dossier propriétés affectent des valeurs de propriété par défaut aux fichiers présents
dans ces dossiers ; par exemple, Secrecy ou Department.
Stratégie de Ensemble de règles et de stratégies qui contrôle l’environnement de travail des

groupe utilisateurs et des ordinateurs dans un environnement Active Directory.
Classification Classification automatique qui est effectuée peu après la création ou la

en quasi- modification d’un fichier.
temps réel
Tâches de Tâches de gestion de fichiers qui sont effectuées peu après la création ou la
gestion de modification d’un fichier. Ces tâches sont déclenchées par la classification en
fichiers en quasi-temps réel.
quasi-
temps réel
Unité Conteneur Active Directory qui représente des structures logiques hiérarchiques

d’organisation au sein d’une organisation. Il s’agit de la plus petite étendue à laquelle les
(UO) paramètres de stratégie de groupe sont appliqués.
Propriété Propriété de classification que le runtime d’autorisation peut approuver comme

sécurisée étant une assertion valide concernant la ressource à un moment donné. Dans le
contrôle d’accès basé sur les revendications, une propriété sécurisée qui est
affectée à une ressource est traitée comme une revendication de ressource.
Descripteur de Structure de données qui contient des informations de sécurité associées à une
sécurité ressource sécurisable, comme les listes de contrôle d’accès.
Langage SDDL Spécification qui décrit les informations se trouvant dans un descripteur de
(Security sécurité sous la forme d’une chaîne de texte.
Descriptor
Definition
Language)
Stratégie de Stratégie d’accès centralisée qui n’est pas encore en vigueur.

préproduction
Terme Définition
Liste de Liste de contrôle d’accès qui spécifie les types de tentatives d’accès effectuées
contrôle par des tiers de confiance particuliers pour lesquels des enregistrements d’audit
d’accès doivent être générés.
système
(SACL)
Revendication Attributs d’un utilisateur qui sont fournis dans le jeton de sécurité utilisateur. Par
utilisateur exemple : Service, Entreprise, Projet et Habilitations de sécurité. Les informations
contenues dans le jeton utilisateur des systèmes antérieurs à
Windows Server 2012, telles que les groupes de sécurité dont l’utilisateur fait
partie, peuvent également être considérées comme des revendications
utilisateur. Certaines revendications utilisateur sont fournies par le biais
d’Active Directory et d’autres sont calculées dynamiquement, par exemple si
l’utilisateur s’est connecté avec une carte à puce.
Jeton Objet de données qui identifie un utilisateur, les revendications utilisateur et les
utilisateur revendications d’appareil qui sont associées à cet utilisateur. Il est utilisé pour
autoriser l’accès de l’utilisateur aux ressources.
Voir aussi
Annexe B : configuration de
l'environnement de test

Cette rubrique décrit les étapes nécessaires pour créer un laboratoire de test du contrôle
d'accès dynamique. Vous devez suivre les instructions dans l'ordre indiqué car de nombreux
composants ont des dépendances.
Prérequis
Configuration matérielle et logicielle requise
Configuration requise pour la mise en place du laboratoire de test :
un serveur hôte exécutant Windows Server 2008 R2 avec SP1 et Hyper-V ;
Copie de l’image ISO Windows Server 2012
Copie de l’image ISO Windows Server 8
Microsoft Office 2010
un serveur exécutant Microsoft Exchange Server 2003 ou version ultérieure.
Vous devez créer les ordinateurs virtuels suivants pour tester les scénarios de contrôle d'accès
dynamique :
DC1 (contrôleur de domaine) ;
DC2 (contrôleur de domaine) ;
FILE1 (serveur de fichiers et services AD RMS (Active Directory Rights Management

Services)) ;
SRV1 (serveur POP3 et SMTP) ;
CLIENT1 (ordinateur client avec Microsoft Outlook).
Les mots de passe des ordinateurs virtuels doivent être les suivants :
BUILTIN\Administrator : pass@word1 ;
Contoso\Administrator : pass@word1 ;
tous les autres comptes : pass@word1.
Créer les ordinateurs virtuels du laboratoire de test
Installer le rôle Hyper-V

Vous devez installer le rôle Hyper-V sur un ordinateur Windows Server 2008 R2 avec SP1.
Pour installer le rôle Hyper-V
1. Cliquez sur Démarrer, puis sur Gestionnaire de serveur.
2. Dans la zone Résumé des rôles de la fenêtre principale du Gestionnaire de serveur,

cliquez sur Ajouter des rôles.
3. Dans la page Sélectionner des rôles de serveurs, cliquez sur Hyper-V.
4. Dans la page Créer des réseaux virtuels, cliquez sur une ou plusieurs cartes réseau si
vous souhaitez que leur connexion réseau soit accessible aux ordinateurs virtuels.
5. Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.
6. Vous devez redémarrer l'ordinateur pour terminer l'installation. Cliquez sur Fermer pour
terminer l'Assistant, puis sur Oui pour redémarrer l'ordinateur.
7. Après avoir redémarré l'ordinateur, ouvrez une session avec le même compte que celui
utilisé pour installer le rôle. Une fois que l'Assistant Reprise de la configuration a terminé
l'installation, cliquez sur Fermer pour terminer l'Assistant.
Créer un réseau virtuel interne

Vous allez maintenant créer un réseau virtuel interne nommé ID_AD_Network.
Pour créer un réseau virtuel
1. Ouvrez le Gestionnaire Hyper-V.
2. Dans le menu Actions, cliquez sur Gestionnaire de réseau virtuel.
3. Sous Créer un réseau virtuel, sélectionnez Interne.
4. Cliquez sur Add. La page Nouveau réseau virtuel s'affiche à l'écran.
5. Tapez ID_AD_Network comme nom du nouveau réseau. Examinez les autres propriétés
et modifiez-les si nécessaire.
6. Cliquez sur OK pour créer le réseau virtuel et fermer le Gestionnaire de réseau virtuel, ou
cliquez sur Appliquer pour créer le réseau virtuel et continuer à utiliser le Gestionnaire
de réseau virtuel.
Créer le contrôleur de domaine

Créez un ordinateur virtuel qui servira de contrôleur de domaine (DC1). Installez l'ordinateur
virtuel à l'aide de l’image ISO Windows Server 2012 et nommez-le DC1.
Pour installer les services de domaine Active Directory
1. Connectez l'ordinateur virtuel au réseau ID_AD_Network. Connectez-vous à DC1 en tant

qu'Administrateur avec le mot de passe pass@word1.
2. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des
fonctionnalités.
3. Dans la page Avant de commencer , cliquez sur Suivant.
4. Dans la page Sélectionner le type d'installation, cliquez sur Installation basée sur un
rôle ou une fonctionnalité, puis sur Suivant.
5. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.
6. Dans la page Sélectionner des rôles de serveurs, cliquez sur Services de domaine
Active Directory. Dans la boîte de dialogue Assistant Ajout de rôles et de
fonctionnalités, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
7. Dans la page Sélectionner les composants, cliquez sur Suivant.
8. Dans la page Services de domaine Active Directory, examinez les informations, puis

cliquez sur Suivant.
9. Dans la page Confirmer les sélections d’installation, cliquez sur Installer. La barre de
progression Installation de fonctionnalité de la page Résultats indique que le rôle est en
cours d'installation.
10. Dans la page Résultats, vérifiez que l'installation a réussi, puis cliquez sur Fermer. Dans le
Gestionnaire de serveur, cliquez sur l'icône d'avertissement avec un point d'exclamation
qui se trouve en haut à droite de l'écran, à côté de Gérer. Dans la liste Tâches, cliquez sur
le lien Promouvoir ce serveur en contrôleur de domaine.
11. Dans la page Configuration du déploiement, cliquez sur Ajouter une nouvelle forêt,
tapez le nom du domaine racine, contoso.com, puis cliquez sur Suivant.
12. Dans la page Options du contrôleur de domaine, sélectionnez Windows Server 2012

comme niveau fonctionnel du domaine et de la forêt, spécifiez le mot de passe DSRM
pass@word1, puis cliquez sur Suivant.
13. Dans la page Options DNS, cliquez sur Suivant.
14. Dans la page Options supplémentaires, cliquez sur Suivant.
15. Dans la page Chemins d'accès, tapez les emplacements de la base de données
Active Directory, des fichiers journaux et du dossier SYSVOL (ou acceptez les
emplacements par défaut), puis cliquez sur Suivant.
16. Dans la page Examiner les options, confirmez vos sélections, puis cliquez sur Suivant.
17. Dans la page Vérification de la configuration requise, confirmez que la validation de la

configuration requise est terminée, puis cliquez sur Installer.
18. Dans la page Résultats, vérifiez que le serveur a été configuré correctement comme
contrôleur de domaine, puis cliquez sur Fermer.
19. Redémarrez le serveur pour terminer l'installation des services AD DS. (Par défaut, le
redémarrage est automatique.)
Créez les utilisateurs suivants à l'aide du Centre d'administration Active Directory.
Créer des utilisateurs et des groupes sur DC1
1. Connectez-vous à contoso.com en tant qu'Administrateur. Lancez le Centre

d’administration Active Directory.
2. Créez les groupes de sécurité suivants :
Nom du groupe Adresse de messagerie
FinanceAdmin financeadmin@contoso.com
FinanceException financeexception@contoso.com
3. Créez l'unité d'organisation suivante :
Nom de l'unité d'organisation Ordinateurs
FileServerOU FILE1
4. Créez les utilisateurs suivants avec les attributs indiqués :
Utilisateur Nom Adresse de messagerie department Groupe Pays/Région

d’utilisateur
Myriam MDelesalle MDelesalle@contoso.com Finance US

Delesalle
Utilisateur Nom Adresse de messagerie department Groupe Pays/Région
d’utilisateur
Miles Reid MReid MReid@contoso.com Finance FinanceAdmin US
Esther EValle EValle@contoso.com Operations FinanceException US

Valle
Maira MWenzel MWenzel@contoso.com HR US

Wenzel
Jeff Low JLow JLow@contoso.com HR US
Serveur rms rms@contoso.com

RMS
Pour plus d’informations sur la création des groupes de sécurité, voir Créer un groupe
sur le site web Windows Server.
Pour créer un objet de stratégie de groupe
1. Placez le curseur dans l'angle supérieur droit de l'écran et cliquez sur l'icône de
recherche. Dans la zone Rechercher, tapez gestion des stratégies de groupe, puis
cliquez sur Gestion des stratégies de groupe.
2. Développez Forêt : contoso.com, puis Domaines, accédez à contoso.com, développez

(contoso.com), puis sélectionnez FileServerOU. Cliquez avec le bouton droit sur Créer
un objet GPO dans ce domaine, et le lier ici
3. Tapez un nom descriptif pour l'objet de stratégie de groupe, tel que GPOAccèsFlexible,
puis cliquez sur OK.
Pour activer le contrôle d'accès dynamique pour contoso.com
1. Ouvrez la console de gestion des stratégies de groupe, cliquez sur contoso.com, puis
double-cliquez sur Contrôleurs de domaine.
2. Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut et

4. Double-cliquez sur Prise en charge des revendications, de l'authentification composée

et du blindage Kerberos et sélectionnez l'option à côté de Activé. Vous devez activer ce
paramètre pour utiliser les stratégies d'accès centralisées.
5. Ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande
suivante :
gpupdate /force
Créer le serveur de fichiers et le serveur AD RMS (FILE1)

1. Créez un ordinateur virtuel nommé FILE1 à partir de l’image ISO Windows Server 2012.
2. Connectez l'ordinateur virtuel au réseau ID_AD_Network.
3. Joignez l'ordinateur virtuel au domaine contoso.com, puis connectez-vous à FILE1 en

tant que contoso\administrateur avec le mot de passe pass@word1.
Installer le Gestionnaire de ressources du serveur de fichiers
Pour installer le rôle Services de fichiers et le Gestionnaire de ressources

du serveur de fichiers
1. Dans le Gestionnaire de serveur, cliquez sur Ajouter des rôles et fonctionnalités.
3. Dans la page Sélectionner le type d'installation, cliquez sur Suivant.
4. Dans la page Sélectionner le serveur de destination, cliquez sur Suivant.
5. Dans la page Sélectionner des rôles de serveurs, développez Services de fichiers et de

stockage, cochez la case en regard de Services de fichiers et iSCSI, développez, puis
sélectionnez Gestionnaire de ressources du serveur de fichiers.
Dans l'Assistant Ajout de rôles et de fonctionnalités, cliquez sur Ajouter des

fonctionnalités, puis sur Suivant.
7. Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
8. Dans la page Progression de l'installation, cliquez sur Fermer.
Installer les Filter Packs de Microsoft Office sur le serveur de fichiers

Vous devez installer les Filter Packs de Microsoft Office sur Windows Server 2012 pour activer
les IFilters pour une plus large gamme de fichiers Office que ceux fournis par défaut. Aucun
IFilter pour les fichiers Microsoft Office n'est installé par défaut sur Windows Server 2012 et
l'infrastructure de classification des fichiers utilise les IFilters pour effectuer l'analyse du
contenu.
Pour télécharger et installer les IFilters, voir Filter Packs de Microsoft Office 2010 .
Configurer les notifications par courrier électronique sur FILE1
Quand vous créez des quotas et des filtres de fichiers, vous pouvez envoyer des notifications
par courrier électronique aux utilisateurs quand leur limite de quota approche ou quand ils
ont essayé d'enregistrer des fichiers qui ont été bloqués. Si vous souhaitez informer certains
administrateurs des événements liés aux quotas et aux filtres de fichiers, vous pouvez
configurer un ou plusieurs destinataires par défaut. Pour envoyer ces notifications, vous devez
spécifier le serveur SMTP à utiliser pour le transfert des messages électroniques.
Pour configurer les options de messagerie dans le Gestionnaire de

ressources du serveur de fichiers
1. Ouvrez le Gestionnaire de ressources du serveur de fichiers. Pour ouvrir le Gestionnaire

de ressources du serveur de fichiers, cliquez sur Démarrer, tapez gestionnaire de
ressources du serveur de fichiers, puis cliquez sur Gestionnaire de ressources du
2. Dans l'interface du Gestionnaire de ressources du serveur de fichiers, cliquez avec le

bouton droit sur Gestionnaire de ressources du serveur de fichiers, puis cliquez sur
Configurer les options. La boîte de dialogue Options du Gestionnaire de ressources du
serveur de fichiers s'affiche.
3. Sous l'onglet Notifications par courrier électronique, sous Nom ou adresse IP du

serveur SMTP, tapez le nom d'hôte ou l'adresse IP du serveur SMTP qui transfèrera les
notifications par courrier électronique.
4. Si vous souhaitez informer certains administrateurs des événements liés aux quotas ou
aux filtres de fichiers, sous Administrateurs destinataires par défaut, tapez chaque
adresse de messagerie, telle que fileadmin@contoso.com. Utilisez le format
compte@domaine et utilisez des points-virgules pour séparer les comptes.
Créer des groupes sur FILE1
Pour créer des groupes de sécurité sur FILE1
1. Connectez-vous à FILE1 en tant que contoso\Administrateur avec le mot de passe

pass@word1.
2. Ajoutez NT AUTHORITY\Utilisateurs authentifiés au groupe WinRMRemoteWMIUsers__ .

Créer des fichiers et des dossiers sur FILE1
1. Créez un volume NTFS sur FILE1, puis créez le dossier suivant : D:\Documents financiers.
2. Créez les fichiers suivants avec les détails indiqués :
Finance Memo.docx: Ajoutez du texte de nature financière dans le document. Par

exemple, « Les règles professionnelles concernant ceux qui peuvent accéder aux
documents financiers ont changé. Ces documents sont désormais accessibles
uniquement aux membres du groupe FinanceExpert. Aucun autre service ou groupe
n'y a accès. » Vous devez évaluer l'impact de ce changement avant de
l'implémenter dans l'environnement. Assurez-vous que ce document comporte la
mention CONFIDENTIEL CONTOSO dans le pied de page de chaque page.
Request for Approval to Hire.docx: créez un formulaire dans ce document pour

recueillir les informations relatives aux postulants à un emploi. Ce document doit
comporter les champs suivants : Nom du postulant, Numéro de sécurité sociale,
Emploi, Salaire proposé, Date de début, Nom du responsable, Service. Ajoutez
une section supplémentaire au document qui comporte un formulaire pour
Signature du responsable, Salaire approuvé, Confirmation de l'offre et Statut de
l'offre.
Activez le document pour la gestion des droits.
Word Document1.docx: ajoutez du contenu test à ce document.
Word Document2.docx: ajoutez du contenu test à ce document.
Workbook1.xlsx
Workbook2.xlsx
Créez un dossier sur le Bureau nommé Expressions régulières. Créez un document

texte sous le dossier nommé RegEx-SSN. Tapez le contenu suivant dans le fichier,
puis enregistrez-le et fermez-le : ^(?!000)([0-7]\d{2}|7([0-7]\d|7[012]))([ -]?)
(?!00)\d\d\3(?!0000)\d{4}$
3. Partagez le dossier D:\Documents financiers comme Documents financiers et autorisez

tout le monde à accéder à ce partage en lecture et en écriture.
７ Notes
Les stratégies d'accès centralisées ne sont pas activées par défaut sur le volume système
ou de démarrage C:.
Installer les Services AD RMS (Active Directory Rights Management

Services)
Ajoutez les services AD RMS et toutes les fonctionnalités nécessaires à l'aide du Gestionnaire
de serveur. Choisissez tous les paramètres par défaut.
Pour installer les Services AD RMS
1. Connectez-vous à FILE1 en tant que CONTOSO\Administrateur ou membre du groupe

Admins du domaine.
） Important
Pour installer le rôle serveur AD RMS, le compte d'installation (ici,

CONTOSO\Administrateur) doit être membre du groupe Administrateurs local sur
l'ordinateur serveur où les services AD RMS doivent être installés et du groupe
Administrateurs de l'entreprise dans Active Directory.

L’Assistant Ajout de rôles et de fonctionnalités apparaît.
3. Dans l'écran Avant de commencer, cliquez sur Suivant.
4. Dans l'écran Sélectionner le type d'installation, cliquez sur Installation basée sur un rôle
ou une fonctionnalité, puis sur Suivant.
5. Dans l'écran Sélectionner les serveurs cibles, cliquez sur Suivant.
6. Dans l'écran Sélectionner des rôles de serveurs, cochez la case Services AD RMS (Active
Directory Rights Management Services), puis cliquez sur Suivant.
7. Dans la boîte de dialogue Ajouter les fonctionnalités requises pour Services AD RMS
(Active Directory Rights Management Services) ?, cliquez sur Ajouter des
fonctionnalités.
8. Dans l'écran Sélectionner des rôles de serveurs, cliquez sur Suivant.
9. Dans l'écran Sélectionner les fonctionnalités à installer, cliquez sur Suivant.
10. Dans l'écran Services AD RMS (Active Directory Rights Management Services), cliquez
sur Suivant.
11. Dans l'écran Sélectionner des services de rôle, cliquez sur Suivant.
12. Dans l'écran Serveur Web (IIS), cliquez sur Suivant.
13. Dans l'écran Sélectionner des services de rôle, cliquez sur Suivant.
14. Dans l'écran Confirmer les sélections d'installation, cliquez sur Installer.
15. Une fois l'installation terminée, dans l'écran Progression de l'installation, cliquez sur
Effectuer une configuration supplémentaire. L'Assistant Configuration des services AD
RMS s'affiche.
16. Dans l'écran AD RMS, cliquez sur Suivant.
17. Dans l'écran Cluster AD RMS, sélectionnez Créer un nouveau cluster racine AD RMS,
puis cliquez sur Suivant.
18. Dans l'écran Base de données de configuration, cliquez sur Utiliser la base de données
interne de Windows sur ce serveur, puis cliquez sur Suivant.
７ Notes
L'utilisation de la base de données interne de Windows est recommandée pour les

environnements de test uniquement, car elle ne prend pas en charge plus d'un
serveur dans le cluster AD RMS. Les déploiements de production doivent utiliser un
serveur de bases de données distinct.
19. Dans l'écran Compte de service, dans Compte d'utilisateur de domaine, cliquez sur
Spécifier et spécifiez le nom d'utilisateur (contoso\rms) et le mot de passe
(pass@word1) et cliquez sur OK, puis cliquez sur Suivant.
20. Dans l'écran Mode de chiffrement, cliquez sur Mode de chiffrement 2.
21. Dans l'écran Stockage de clé de cluster, cliquez sur Suivant.
22. Dans l'écran Mot de passe de clé de cluster, dans les zones Mot de passe et Confirmer
le mot de passe, tapez pass@word1, puis cliquez sur Suivant.
23. Dans l'écran Site Web de cluster, vérifiez que Site Web par défaut est sélectionné, puis
24. Dans l'écran Adresse du cluster, sélectionnez l'option Utiliser une connexion non
chiffrée, dans la zone Nom de domaine complet, tapez FILE1.contoso.com, puis cliquez
sur Suivant.
25. Dans l'écran Nom du certificat de licence, acceptez nom par défaut (FILE1) dans la zone
de texte et cliquez sur Suivant.
26. Dans l'écran Inscription du SCP, sélectionnez Inscrire SCP, puis cliquez sur Suivant.
27. Dans l'écran Confirmation, cliquez sur Installer.
28. Dans l'écran Résultats, cliquez sur Fermer, puis cliquez sur Fermer dans l'écran
Progression de l'installation. Une fois terminé, déconnectez-vous et reconnectez-vous
en tant que contoso\rms avec le mot de passe fourni (pass@word1).
29. Démarrez la console AD RMS et accédez à Modèles de stratégies de droits.
Pour ouvrir la console AD RMS, dans le Gestionnaire de serveur, cliquez sur Serveur local
dans l'arborescence de la console, cliquez sur Outils, puis sur Services AD RMS (Active
Directory Rights Management Services).
30. Cliquez sur Créer un modèle de stratégie de droits distribué dans le panneau de droite,
cliquez sur Ajouter et sélectionnez les informations suivantes :
Language (Langue) : Anglais (US)
Nom : Contoso Finance Admin Only
Description : Contoso Finance Admin Only
Cliquez sur Ajouter, puis sur Suivant.
31. Dans la section Utilisateurs et droits, cliquez sur Utilisateurs et droits, sur Ajouter, tapez
financeadmin@contoso.com, puis cliquez sur OK.
32. Sélectionnez Contrôle total et laissez l'option Octroyer le contrôle total au propriétaire
(auteur) sans date d'expiration sélectionnée.
33. Parcourez les autres onglets sans rien changer, puis cliquez sur Terminer. Connectez-
vous en tant que CONTOSO\Administrateur.
34. Accédez au dossier C:\inetpub\wwwroot\_wmcs\certification, sélectionnez le fichier

ServerCertification.asmx,puis ajoutez Utilisateurs authentifiés pour accorder des
autorisations en lecture et en écriture au fichier.
35. Ouvrez Windows PowerShell et exécutez Get-FsrmRmsTemplate . Vérifiez que vous pouvez
voir le modèle RMS créé à l'étape précédente de cette procédure avec cette commande.
） Important
Si vous voulez que vos serveurs changent immédiatement pour pouvoir les tester,
procédez comme suit :
1. Sur le serveur de fichiers, FILE1, ouvrez une invite de commandes avec élévation de
privilèges et exécutez les commandes suivantes :
gpupdate /force.
NLTEST /SC_RESET:contoso.com
2. Sur le contrôleur de domaine (DC1), répliquez Active Directory.
Pour plus d’informations sur les étapes nécessaires pour forcer la réplication
d’Active Directory, voir Réplication Active Directory
Si vous le souhaitez, au lieu d'utiliser l'Assistant Ajout de rôles et de fonctionnalités dans le
Gestionnaire de serveur, vous pouvez utiliser Windows PowerShell pour installer et configurer
le rôle serveur AD RMS comme indiqué dans la procédure ci-dessous.
Pour installer et configurer un cluster AD RMS dans Windows Server 2012 à

l'aide de Windows PowerShell
1. Ouvrez une session en tant que CONTOSO\Administrateur avec le mot de passe

pass@word1.
） Important
Pour installer le rôle serveur AD RMS, le compte d'installation (ici,

CONTOSO\Administrateur) doit être membre du groupe Administrateurs local sur
l'ordinateur serveur où les services AD RMS doivent être installés et du groupe
Administrateurs de l'entreprise dans Active Directory.
2. Sur le Bureau du serveur, cliquez avec le bouton droit sur l'icône Windows PowerShell
dans la barre des tâches et sélectionnez Exécuter en tant qu'administrateur pour ouvrir
une invite Windows PowerShell avec des privilèges d'administration.
3. Pour utiliser les applets de commande du Gestionnaire de serveur pour installer le rôle
serveur AD RMS, tapez :
Add-WindowsFeature ADRMS '"IncludeAllSubFeature '"IncludeManagementTools
4. Créez le lecteur Windows PowerShell qui représente le serveur AD RMS que vous
installez.
Par exemple, pour créer un lecteur Windows PowerShell nommé RC pour installer et
configurer le premier serveur d'un cluster racine AD RMS, tapez :
Import-Module ADRMS
New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster
5. Définissez les propriétés sur les objets dans l'espace de noms du lecteur qui représentent
les paramètres de configuration requis.
Par exemple, pour définir le compte de service AD RMS, à l'invite de commandes

Windows PowerShell, tapez :
$svcacct = Get-Credential
Quand la boîte de dialogue de sécurité Windows apparaît, tapez le nom d'utilisateur de

domaine du compte de service AD RMS CONTOSO\RMS et le mot de passe assigné.
Ensuite, pour assigner le compte de service AD RMS aux paramètres de cluster AD RMS,
tapez ce qui suit :
Set-ItemProperty -Path RC:\ -Name ServiceAccount -Value $svcacct
Ensuite, pour configurer le serveur AD RMS pour utiliser la base de données interne
Windows, à l'invite de commandes Windows PowerShell, tapez :
Set-ItemProperty -Path RC:\ClusterDatabase -Name UseWindowsInternalDatabase

-Value $true
Ensuite, pour stocker de manière sécurisée le mot de passe de clé de cluster dans une
variable, à l'invite de commandes Windows PowerShell, tapez :
$password = Read-Host -AsSecureString -Prompt "Password:"
Tapez le mot de passe de clé de cluster, puis appuyez sur la touche Entrée.
Ensuite, pour assigner le mot de passe à votre installation AD RMS, à l'invite de

commandes Windows PowerShell, tapez :
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value

$password
Ensuite, pour définir l'adresse du cluster AD RMS, à l'invite de commandes Windows

PowerShell, tapez :
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value

"http://file1.contoso.com:80"
Ensuite, pour assigner le nom SLC de votre installation AD RMS, à l'invite de commandes
Windows PowerShell, tapez :
Set-ItemProperty -Path RC:\ -Name SLCName -Value "FILE1"
Ensuite, pour définir le point de connexion de service (SCP) pour le cluster AD RMS, à
l'invite de commandes Windows PowerShell, tapez :
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true
6. Exécutez l'applet de commande Install-ADRMS. En plus d'installer le rôle serveur AD

RMS et de configurer le serveur, cette applet de commande installe si nécessaire d'autres
fonctionnalités requises par les services AD RMS.
Par exemple, pour basculer vers le lecteur Windows PowerShell nommé RC et installer et
configurer les services AD RMS, tapez :
Set-Location RC:\
Install-ADRMS -Path.
Tapez « O » quand l'applet de commande vous invite à confirmer que vous souhaitez
démarrer l'installation.
7. Fermez la session en tant que CONTOSO\Administrateur et ouvrez une session en tant

que CONTOSO\RMS à l'aide du mot de passe fourni (« pass@word1 »).
） Important
Pour que vous puissiez gérer le serveur AD RMS, le compte sous lequel vous êtes
connecté et que vous utilisez pour gérer le serveur (ici, CONTOSO\RMS) doit être
membre du groupe Administrateurs local sur l'ordinateur serveur AD RMS et du
groupe Administrateurs de l'entreprise dans Active Directory.
8. Sur le Bureau du serveur, cliquez avec le bouton droit sur l'icône Windows PowerShell
dans la barre des tâches et sélectionnez Exécuter en tant qu'administrateur pour ouvrir
une invite Windows PowerShell avec des privilèges d'administration.
9. Créez le lecteur Windows PowerShell qui représente le serveur AD RMS que vous
configurez.
Par exemple, pour créer un lecteur Windows PowerShell nommé RC pour configurer le
cluster racine AD RMS, tapez :
Import-Module ADRMSAdmin `
New-PSDrive -PSProvider ADRMSAdmin -Name RC -Root http://localhost -Force -

Scope Global
10. Pour créer un modèle de droits pour l'administrateur du service Finance de Contoso et
lui assigner des droits de l'utilisateur avec un contrôle total dans votre installation AD
RMS, à l'invite de commandes Windows PowerShell, tapez :
New-Item -Path RC:\RightsPolicyTemplate '"LocaleName en-us -DisplayName

"Contoso Finance Admin Only" -Description "Contoso Finance Admin Only" -
UserGroup financeadmin@contoso.com -Right ('FullControl')
11. Pour vérifier que vous pouvez voir le nouveau modèle de droits pour l'administrateur du
service Finance de Contoso, à l'invite de commandes Windows PowerShell, tapez :
Get-FsrmRmsTemplate
Examinez la sortie de cette applet de commande pour confirmer que le modèle RMS que
vous avez créé à l'étape précédente est présent.
Créer le serveur de messagerie (SRV1)

SRV1 est le serveur de messagerie SMTP/POP3. Vous devez le configurer pour pouvoir
envoyer des notifications par courrier électronique dans le cadre du scénario d'assistance en
cas d'accès refusé.
Configurez Microsoft Exchange Server sur cet ordinateur. Pour plus d’informations, voir
Comment installer Exchange Server .
Créer l'ordinateur virtuel client (CLIENT1)
Pour créer l'ordinateur virtuel client
1. Connectez CLIENT1 au réseau ID_AD_Network.
2. Installez Microsoft Office 2010.

3. Connectez-vous en tant que Contoso\Administrateur et utilisez les informations
suivantes pour configurer Microsoft Outlook.
Votre nom : Administrateur de fichiers
Adresse e-mail : fileadmin@contoso.com
Type de compte : POP3
Serveur de courrier entrant : Adresse IP statique de SRV1
Serveur de courrier sortant : Adresse IP statique de SRV1
Nom d’utilisateur : fileadmin@contoso.com
Mémoriser le mot de passe : Sélectionner
4. Créez un raccourci vers Outlook sur le Bureau de contoso\administrateur.
5. Ouvrez Outlook et répondez à tous les messages de premier démarrage.
6. Supprimez les messages tests qui ont été générés.
7. Créez sur le Bureau pour tous les utilisateurs de l'ordinateur client virtuel un raccourci
qui pointe vers \\FILE1\Documents financiers.
8. Redémarrez l'ordinateur si nécessaire.
Activer l'assistance en cas d'accès refusé sur l'ordinateur client virtuel
1. Ouvrez l'Éditeur du Registre et accédez à

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer.
Affectez la valeur 1 à EnableShellExecuteFileStreamCheck.
Valeur : DWORD
Configuration du laboratoire pour le déploiement

du scénario de revendications interforêts
Créer un ordinateur virtuel pour DC2

Créez un ordinateur virtuel à partir de l’image ISO Windows Server 2012.
Créez un ordinateur virtuel nommé DC2.
Connectez l'ordinateur virtuel au réseau ID_AD_Network.

） Important
Pour que vous puissiez joindre des ordinateurs virtuels à un domaine et déployer des
types de revendications interforêts, il faut que les ordinateurs virtuels puissent résoudre
les noms de domaine complets des domaines en question. Vous devrez peut-être pour
cela configurer manuellement les paramètres DNS sur les ordinateurs virtuels. Pour plus
d’informations, voir Configuration d’un réseau virtuel.
Toutes les images des ordinateurs virtuels (serveurs et clients) doivent être reconfigurées
pour utiliser une adresse IP statique de version 4 (IPv4) et des paramètres clients DNS
(Domain Name System). Pour plus d’informations, voir Configurer un client DNS pour
des adresses IP statiques.
Configurer une nouvelle forêt nommée adatum.com
Pour installer les services de domaine Active Directory
1. Connectez l'ordinateur virtuel au réseau ID_AD_Network. Connectez-vous à DC2 en tant

qu'Administrateur avec le mot de passe Pass@word1.
2. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajouter des rôles et des
fonctionnalités.
4. Dans la page Sélectionner le type d'installation, cliquez sur Installation basée sur un
rôle ou une fonctionnalité, puis sur Suivant.
5. Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur

du pool de serveurs, cliquez sur le nom du serveur où vous voulez installer les services
AD DS, puis cliquez sur Suivant.
Active Directory. Dans la boîte de dialogue Assistant Ajout de rôles et de
fonctionnalités, cliquez sur Ajouter des fonctionnalités, puis sur Suivant.
7. Dans la page Sélectionner des fonctionnalités, cliquez sur Suivant.
8. Dans la page AD DS, examinez les informations, puis cliquez sur Suivant.
9. Dans la page Confirmation, cliquez sur Installer. La barre de progression Installation de

fonctionnalité de la page Résultats indique que le rôle est en cours d'installation.
10. Dans la page Résultats, vérifiez que l'installation a réussi, puis cliquez sur l'icône
d'avertissement avec un point d'exclamation qui se trouve en haut à droite de l'écran, à
côté de Gérer. Dans la liste Tâches, cliquez sur le lien Promouvoir ce serveur en
contrôleur de domaine.
） Important
Si vous fermez l'Assistant Installation à ce stade au lieu de cliquer sur Promouvoir

ce serveur en contrôleur de domaine, vous pouvez continuer l'installation des
services AD DS en cliquant sur Tâches dans le Gestionnaire de serveur.
11. Dans la page Configuration du déploiement, cliquez sur Ajouter une nouvelle forêt,
tapez le nom du domaine racine, adatum.com, puis cliquez sur Suivant.
12. Dans la page Options du contrôleur de domaine, sélectionnez Windows Server 2012

comme niveau fonctionnel du domaine et de la forêt, spécifiez le mot de passe DSRM
pass@word1, puis cliquez sur Suivant.
13. Dans la page Options DNS, cliquez sur Suivant.
14. Dans la page Options supplémentaires, cliquez sur Suivant.
15. Dans la page Chemins d'accès, tapez les emplacements de la base de données
Active Directory, des fichiers journaux et du dossier SYSVOL (ou acceptez les
emplacements par défaut), puis cliquez sur Suivant.
16. Dans la page Examiner les options, confirmez vos sélections, puis cliquez sur Suivant.

18. Dans la page Résultats, vérifiez que le serveur a été configuré correctement comme
contrôleur de domaine, puis cliquez sur Fermer.
19. Redémarrez le serveur pour terminer l'installation des services AD DS. (Par défaut, le
redémarrage est automatique.)
） Important
Pour vous assurer que le réseau est configuré correctement, après avoir configuré les
deux forêts, vous devez procéder comme suit :
Connectez-vous à adatum.com en tant qu'adatum\administrateur. Ouvrez une

fenêtre Invite de commandes, tapez nslookup contoso.com, puis appuyez sur
Entrée.
Connectez-vous à contoso.com en tant que contoso\administrateur. Ouvrez une
fenêtre Invite de commandes, tapez nslookup adatum.com, puis appuyez sur
Entrée.
Si ces commandes s'exécutent sans erreur, cela signifie que les forêts peuvent
communiquer. Pour plus d’informations sur les erreurs nslookup, voir la section
Dépannage de la rubrique Utilisation de NSlookup.exe
Définir contoso.com comme forêt approuvée par

adatum.com
Lors de cette étape, vous allez créer une relation d'approbation entre le site d'Adatum
Corporation et le site de Contoso, Ltd.
Pour définir Contoso comme forêt approuvée par Adatum
1. Connectez-vous à DC2 en tant qu'administrateur. Dans l'écran d'accueil, tapez

domain.msc.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur adatum.com, puis
cliquez sur Propriétés.
3. Sous l'onglet Approbations, cliquez sur Nouvelle approbation, puis sur Suivant.
4. Dans la page Nom d'approbation, tapez contoso.com dans le champ de nom DNS
(Domain Name System), puis cliquez sur Suivant.
5. Dans la page Type d'approbation, cliquez sur Approbation de la forêt, puis sur Suivant.
6. Dans la page Direction de l'approbation, cliquez sur Bidirectionnelle.
7. Dans la page Sens de l'approbation, cliquez sur À la fois ce domaine et le domaine

spécifié, puis sur Suivant.
8. Continuez à suivre les instructions fournies dans l’Assistant.
Créer des utilisateurs supplémentaires dans la forêt Adatum

Créez l'utilisateur Jeff Low avec le mot de passe pass@word1 et assignez l'attribut de société
avec la valeur Adatum.
Pour créer un utilisateur avec l'attribut Company
1. Ouvrez une invite de commandes avec élévation de privilèges dans Windows PowerShell
et collez le code suivant :
New-ADUser `
-SamAccountName jlow `
-Name "Jeff Low" `
-UserPrincipalName jlow@adatum.com `
-AccountPassword (ConvertTo-SecureString `
-AsPlainText "pass@word1" -Force) `
-Enabled $true `
-PasswordNeverExpires $true `
-Path 'CN=Users,DC=adatum,DC=com' `
-Company Adatum`
Créer le type de revendication Company sur adatum.com
Pour créer un type de revendication à l'aide de Windows PowerShell
1. Connectez-vous à adatum.com en tant qu'administrateur.
et tapez le code suivant :
New-ADClaimType `
-AppliesToClasses:@('user') `
-Description:"Company" `
-DisplayName:"Company" `
-ID:"ad://ext/Company:ContosoAdatum" `
-IsSingleValued:$true `
-Server:"adatum.com" `
-SourceAttribute:Company `
-SuggestedValues:@((New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Contoso",
"Contoso", "")), (New-Object
Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("Adatum",
"Adatum", ""))) `
Activer la propriété de ressource Company sur contoso.com
Pour activer la propriété de ressource Company sur contoso.com
1. Connectez-vous à contoso.com en tant qu'administrateur.
2. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Centre d'administration
Active Directory.

Arborescence. Dans le volet gauche, cliquez sur Contrôle d'accès dynamique, puis
double-cliquez sur Propriétés de ressource.
4. Sélectionnez Company dans la liste Propriétés de ressource, cliquez avec le bouton droit
et sélectionnez Propriétés. Dans la section Valeurs suggérées , cliquez sur Ajouter pour
ajouter les valeurs suggérées : Contoso et Adatum, puis cliquez deux fois sur OK .
5. Sélectionnez Company dans la liste Propriétés de ressource, cliquez avec le bouton droit
et sélectionnez Activer.
Activer le contrôle d'accès dynamique sur adatum.com
Pour activer le contrôle d'accès dynamique pour adatum.com
1. Connectez-vous à adatum.com en tant qu'administrateur.
2. Ouvrez la console de gestion des stratégies de groupe, cliquez sur adatum.com, puis
double-cliquez sur Contrôleurs de domaine.
3. Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut et

5. Double-cliquez sur Prise en charge des revendications, de l'authentification composée

et du blindage Kerberos et sélectionnez l'option à côté de Activé. Vous devez activer ce
paramètre pour utiliser les stratégies d'accès centralisées.
6. Ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande

suivante :
gpupdate /force
Créer le type de revendication Company sur contoso.com
Pour créer un type de revendication à l'aide de Windows PowerShell
et tapez le code suivant :
New-ADClaimType '"SourceTransformPolicy `
'"DisplayName 'Company' `
'"ID 'ad://ext/Company:ContosoAdatum' `
'"IsSingleValued $true `
'"ValueType 'string' `
Créer la règle d'accès central
Pour créer une règle d'accès central

Arborescence. Dans le volet gauche, cliquez sur Contrôle d'accès dynamique, puis sur
Règles d'accès central.
2. Cliquez avec le bouton droit sur Règles d'accès central, cliquez sur Nouveau, puis sur
Règle d'accès central.
3. Dans le champ Nom, tapez RègleAccèsEmployésAdatum.
4. Dans la section Autorisations, sélectionnez l'option Utiliser les autorisations suivantes

en tant qu'autorisations actuelles, cliquez sur Modifier, puis sur Ajouter. Cliquez sur le
lien Sélectionnez un principal, tapez Utilisateurs authentifiés, puis cliquez sur OK.
5. Dans la boîte de dialogue Autorisations pour Autorisations, cliquez sur Ajouter une
conditionet entrez les conditions suivantes : [Utilisateur] [Société] [Égal] [Valeur]
[Adatum]. Les autorisations doivent être Modification, Lecture et exécution, Lecture,
Écriture.
6. Cliquez sur OK.
7. Cliquez sur OK à trois reprises pour terminer et revenir au Centre d'administration Active
Directory.

New-ADCentralAccessRule `
-CurrentAcl:"O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;FA;;;SY)
(XA;;0x1301bf;;;AU;(@USER.ad://ext/Company:ContosoAdatum == `"Adatum`"))" `
-Name:"AdatumEmployeeAccessRule" `
-ProposedAcl:$null `
-ProtectedFromAccidentalDeletion:$true `
-Server:"contoso.com" `
Créer la stratégie d'accès centralisée
Pour créer une stratégie d'accès centralisée
et collez le code suivant :
New-ADCentralAccessPolicy "Adatum Only Access Policy"
Add-ADCentralAccessPolicyMember "Adatum Only Access Policy" `
-Member "AdatumEmployeeAccessRule" `
Publier la nouvelle stratégie à l'aide de la stratégie de groupe
Pour appliquer la stratégie d'accès centralisée sur les serveurs de

fichiers à l'aide de la stratégie de groupe
1. Dans l'écran d'accueil, tapez Outils d'administration, puis dans la barre Rechercher,
cliquez sur Paramètres. Dans les résultats Paramètres, cliquez sur Outils
d'administration. Ouvrez la console de gestion des stratégies de groupe à partir du
dossier Outils d'administration.
 Conseil
Si le paramètre Afficher les outils d’administration est désactivé, le dossier Outils

d’administration et son contenu ne figurent pas dans les résultats Paramètres.
2. Cliquez avec le bouton droit sur le domaine contoso.com, puis cliquez sur Créer un objet
de stratégie de groupe dans ce domaine, et le lier ici
3. Tapez un nom descriptif pour l'objet de stratégie de groupe, tel que GPOAccèsAdatum,
Pour appliquer la stratégie d'accès centralisée au serveur de fichiers à

l'aide de la stratégie de groupe
1. Dans l'écran d'accueil, tapez Gestion des stratégies de groupe dans la zone Rechercher.
Ouvrez Gestion des stratégies de groupe à partir du dossier Outils d'administration.
 Conseil
Si le paramètre Afficher les outils d’administration est désactivé, le dossier Outils

d’administration et son contenu ne figurent pas dans les résultats Paramètres.
2. Accédez à Contoso et sélectionnez-le comme suit : Gestion des stratégies de

groupe\Forêt : contoso.com\Domaines, contoso.com.
3. Cliquez avec le bouton droit sur la stratégie GPOAccèsAdatum et sélectionnez Modifier.
4. Dans l'Éditeur de gestion des stratégies de groupe, cliquez sur Configuration ordinateur,
développez Stratégies, Paramètres Windows, puis cliquez sur Paramètres de sécurité.
5. Développez Système de fichiers, cliquez avec le bouton droit sur Stratégie d'accès
centralisée, puis cliquez sur Gérer les stratégies d'accès centralisées.
6. Dans la boîte de dialogue Configuration des stratégies d'accès centralisées, cliquez sur
Ajouter, sélectionnez Stratégie d'accès Adatum uniquement, puis cliquez sur OK.
7. Fermez l’Éditeur de gestion des stratégies de groupe. Vous avez maintenant ajouté la
stratégie d'accès centralisée à la stratégie de groupe.
Créer le dossier Earnings sur le serveur de fichiers

Créez un volume NTFS sur FILE1 et créez le dossier suivant : D:\Earnings.
７ Notes
Les stratégies d'accès centralisées ne sont pas activées par défaut sur le volume système
ou de démarrage C:.
Définir la classification et appliquer la stratégie d'accès

centralisée sur le dossier Earnings
Pour assigner la stratégie d'accès centralisée sur le serveur de fichiers
1. Dans le Gestionnaire Hyper-V, connectez-vous au serveur FILE1. Connectez-vous au

serveur avec le compte Contoso\Administrateur et le mot de passe pass@word1.
2. Ouvrez une invite de commandes avec élévation de privilèges et tapez gpupdate /force.
Cette commande permet de s'assurer que les modifications apportées à la stratégie de
groupe prennent effet sur votre serveur.
3. Vous devez aussi actualiser les propriétés de ressource globales à partir d'Active
Directory. Ouvrez Windows PowerShell, tapez Update-
FSRMClassificationpropertyDefinition , puis appuyez sur ENTRÉE. Fermez Windows
PowerShell.
4. Ouvrez l'Explorateur Windows et accédez à D:\EARNINGS. Cliquez avec le bouton droit

sur le dossier Earnings, puis cliquez sur Propriétés.
5. Cliquez sur l’onglet Classification. Sélectionnez Entreprise, puis sélectionnez Adatum

dans le champ Valeur.
6. Cliquez sur Modifier, sélectionnez Stratégie d'accès Adatum uniquement dans le menu
déroulant, puis cliquez sur Appliquer.
7. Cliquez sur l’onglet Sécurité. Sélectionnez Avancé, puis cliquez sur l’onglet Stratégie
centrale. Vous devez voir AdatumEmployeeAccessRule répertorié. Vous pouvez
développer l'élément pour afficher toutes les autorisations que vous avez définies lors de
la création de la règle dans Active Directory.
8. Cliquez sur OK pour revenir à Windows Explorer.

Configuration d’un service web
d’inscription de certificats pour le
renouvellement basé sur les clés de
certificat sur un port personnalisé
Auteurs : Jitesh Thakur, Meera Mohideen, Conseillers techniques du groupe

Windows.
Ingénieur du support technique Ankit Tyagi avec le groupe Windows
Résumé
Cet article fournit des instructions pas à pas pour implémenter le service web de
stratégie d’inscription de certificats (CEP) et le service web d’inscription de certificats
(CES) sur un port personnalisé autre que 443 pour le renouvellement basé sur la clé de
certificat afin de tirer parti de la fonctionnalité de renouvellement automatique de CEP
et CES.
Cet article explique également comment fonctionnent CEP et CES et fournit des
instructions de configuration.
７ Notes
Le flux de travail inclus dans cet article s’applique à un scénario spécifique. Le

même workflow peut ne pas fonctionner dans une autre situation. Toutefois, les
principes restent les mêmes.
Exclusion de responsabilité : cette configuration est créée pour une exigence

spécifique dans laquelle vous ne souhaitez pas utiliser le port 443 pour la
communication HTTPS par défaut pour les serveurs CEP et CES. Bien que cette
configuration soit possible, sa prise en charge est limitée. Les services clientèle et le
support technique peuvent vous aider au mieux si vous suivez attentivement ce
guide en utilisant un écart minimal par rapport à la configuration du serveur web
fournie.
Scénario
Pour cet exemple, les instructions sont basées sur un environnement qui utilise la
configuration suivante :
Une forêt Contoso.com qui a une infrastructure à clé publique (PKI) des services de
certificats Active Directory (AD CS).
Deux instances CEP/CES configurées sur un serveur qui s’exécute sous un compte
de service. Une instance utilise le nom d’utilisateur et le mot de passe pour
l’inscription initiale. L’autre utilise l’authentification basée sur les certificats pour le
renouvellement basé sur la clé en mode de renouvellement uniquement.
Un utilisateur a un ordinateur de groupe de travail ou non joint à un domaine pour

lequel il inscrit le certificat d’ordinateur à l’aide des informations d’identification de
nom d’utilisateur et de mot de passe.
La connexion de l’utilisateur à CEP et CES via HTTPS se produit sur un port

personnalisé tel que 49999. (Ce port est sélectionné à partir d’une plage de ports
dynamique et n’est pas utilisé comme port statique par un autre service.)
Lorsque la durée de vie du certificat approche de sa fin, l’ordinateur utilise le

renouvellement basé sur une clé CES basée sur un certificat pour renouveler le
certificat sur le même canal.
Instructions de configuration
Vue d’ensemble
1. Configurez le modèle pour le renouvellement basé sur les clés.
2. En tant que prérequis, configurez un serveur CEP et CES pour l’authentification par
nom d’utilisateur et mot de passe.
Dans cet environnement, nous faisons référence
à l’instance « CEPCES01 ».
3. Configurez une autre instance CEP et CES à l’aide de PowerShell pour

l’authentification basée sur les certificats sur le même serveur. L’instance CES utilise
un compte de service.
Dans cet environnement, nous faisons référence à l’instance « CEPCES02 ». Le

compte de service utilisé est « cepcessvc ».
4. Configurez les paramètres côté client.
Configuration
Cette section décrit les étapes à suivre pour configurer l’accord de mise en œuvre initial.
７ Notes
Vous pouvez également configurer n’importe quel compte de service utilisateur,

MSA ou GMSA pour que CES fonctionne.
Comme prérequis, vous devez configurer CEP et CES sur un serveur à l’aide de
l’authentification par nom d’utilisateur et mot de passe.
Configurez le modèle pour le renouvellement basé sur les clés
Vous pouvez dupliquer un modèle d’ordinateur existant et configurer les paramètres

suivants du modèle :
1. Sous l’onglet Nom de l’objet du modèle de certificat, assurez-vous que les options
Fournir dans les informations de demande et Utiliser les informations sur l’objet
des certificats existants pour les demandes de renouvellement d’inscription
automatique sont sélectionnées.
2. Basculez vers l’onglet Exigences d’émission, puis activez la case à cocher

approbation du Gestionnaire de certificats d’autorité de certification .
3. Attribuez l’autorisation Lecture et Inscription au compte de service cepcessvc pour

ce modèle.
4. Publiez le nouveau modèle sur l’autorité de certification.
７ Notes
Vérifiez que les paramètres de compatibilité sur le modèle sont définis sur
Windows Server 2012 R2, car il existe un problème connu dans lequel les modèles
ne sont pas visibles si la compatibilité est définie sur Windows Server 2016 ou
version ultérieure. Pour plus d’informations, consultez Impossible de sélectionner
Windows Server 2016 modèles de certificat compatibles avec l’autorité de
certification à partir de Windows Server 2016 ou de serveurs CEP basés sur des
autorités de certification ou des serveurs CEP basés sur des versions
ultérieures .
Configurer l’instance CEPCES01
Étape 1 : Installer l’instance
Pour installer l’instance CEPCES01, utilisez l’une des méthodes suivantes.
Méthode 1
Consultez les articles suivants pour obtenir des instructions détaillées sur l’activation de
CEP et CES pour l’authentification par nom d’utilisateur et mot de passe :
Guide Service Web Stratégie d’inscription de certificats
Guide Service Web Inscription de certificats
７ Notes
Veillez à ne pas sélectionner l’option « Activer le renouvellement Key-Based » si

vous configurez à la fois les instances CEP et CES d’authentification par nom
d’utilisateur et mot de passe.
Méthode 2
Vous pouvez utiliser les applets de commande PowerShell suivantes pour installer les
instances CEP et CES :
PowerShell
Import-Module ServerManager
Add-WindowsFeature Adcs-Enroll-Web-Pol
Add-WindowsFeature Adcs-Enroll-Web-Svc
PowerShell
Install-AdcsEnrollmentPolicyWebService -AuthenticationType Username -

SSLCertThumbprint "sslCertThumbPrint"
Cette commande installe le service Web de stratégie d’inscription de certificat (CEP) en

spécifiant qu’un nom d’utilisateur et un mot de passe sont utilisés pour
l’authentification.
７ Notes
Dans cette commande, <SSLCertThumbPrint> est l’empreinte numérique du

certificat qui sera utilisé pour lier IIS.
PowerShell
Install-AdcsEnrollmentWebService -ApplicationPoolIdentity -CAConfig

"CA1.contoso.com\contoso-CA1-CA" -SSLCertThumbprint "sslCertThumbPrint" -
AuthenticationType Username
Cette commande installe le service web d’inscription de certificats (CES) pour utiliser
l’autorité de certification pour un nom d’ordinateur de CA1.contoso.com et un nom
commun d’autorité de certification contoso-CA1-CA. L’identité du CES est spécifiée
comme identité du pool d’applications par défaut. Le type d’authentification est nom
d’utilisateur. SSLCertThumbPrint est l’empreinte numérique du certificat qui sera utilisé
pour lier IIS.
Étape 2 Vérifier la console du Gestionnaire Internet Information

Services (IIS)
Après une installation réussie, vous vous attendez à voir l’affichage suivant dans la
console du Gestionnaire Internet Information Services (IIS).
Sous Site web par défaut, sélectionnez ADPolicyProvider_CEP_UsernamePassword, puis

ouvrez Paramètres de l’application. Notez l’ID et l’URI.
Vous pouvez ajouter un nom convivial pour la gestion.
Configurer l’instance CEPCES02

Étape 1 : Installez le CEP et le CES pour le renouvellement basé sur
les clés sur le même serveur.
Exécutez la commande suivante dans PowerShell :
PowerShell
Install-AdcsEnrollmentPolicyWebService -AuthenticationType Certificate -

SSLCertThumbprint "sslCertThumbPrint" -KeyBasedRenewal
Cette commande installe le service Web Stratégie d'inscription de certificats (CEP) et

spécifie qu’un certificat est utilisé pour l’authentification.
７ Notes
Dans cette commande, <SSLCertThumbPrint> est l’empreinte numérique du

certificat qui sera utilisé pour lier IIS.
Le renouvellement basé sur les clés permet aux clients de certificat de renouveler leurs
certificats à l’aide de la clé de leur certificat existant pour l’authentification. En mode de
renouvellement basé sur la clé, le service retourne uniquement les modèles de certificat
définis pour le renouvellement basé sur les clés.
PowerShell
Install-AdcsEnrollmentWebService -CAConfig "CA1.contoso.com\contoso-CA1-CA"

-SSLCertThumbprint "sslCertThumbPrint" -AuthenticationType Certificate -
ServiceAccountName "Contoso\cepcessvc" -ServiceAccountPassword (read-host
"Set user password" -assecurestring) -RenewalOnly -AllowKeyBasedRenewal
Cette commande installe le service web d’inscription de certificats (CES) pour utiliser
l’autorité de certification pour un nom d’ordinateur de CA1.contoso.com et un nom
commun d’autorité de certification contoso-CA1-CA.
Dans cette commande, l’identité du service web d’inscription de certificat est spécifiée
en tant que compte de service cepcessvc . Le type d’authentification est certificat.
SSLCertThumbPrint est l’empreinte numérique du certificat qui sera utilisé pour lier IIS.
L’applet de commande RenewalOnly permet à CES d’exécuter en mode renouvellement

uniquement. L’applet de commande AllowKeyBasedRenewal spécifie également que le
CES acceptera les demandes de renouvellement basées sur la clé pour le serveur
d’inscription. Il s’agit de certificats clients valides pour l’authentification qui ne sont pas
directement mappés à un principal de sécurité.
７ Notes
Le compte de service doit faire partie du groupe IIS_IUSRS sur le serveur.
Étape 2 Vérifier la console du Gestionnaire Internet Information

Services
Une fois l’installation réussie, vous vous attendez à voir l’affichage suivant dans la
console du Gestionnaire IIS.
Sélectionnez KeyBasedRenewal_ADPolicyProvider_CEP_Certificate sous Site web par

défaut , puis ouvrez Paramètres de l’application. Notez l’ID et l’URI. Vous pouvez
ajouter un nom convivial pour la gestion.
７ Notes
Si l’instance est installée sur un nouveau serveur, vérifiez l’ID pour vous assurer que
l’ID est le même que celui qui a été généré dans l’instance CEPCES01. Vous pouvez
copier et coller la valeur directement si elle est différente.
Terminer la configuration des services web d’inscription de

certificats
Pour pouvoir inscrire le certificat au nom des fonctionnalités du CEP et du CES, vous
devez configurer le compte d’ordinateur du groupe de travail dans Active Directory, puis
configurer la délégation contrainte sur le compte de service.
Étape 1 : Créer un compte d’ordinateur de l’ordinateur de groupe

de travail dans Active Directory
Ce compte sera utilisé pour l’authentification vers le renouvellement basé sur la clé et
l’option « Publier sur Active Directory » sur le modèle de certificat.
７ Notes
Vous n’avez pas besoin de joindre le domaine à l’ordinateur client. Ce compte entre
en image lors de l’authentification basée sur les certificats dans KBR pour le service
dsmapper.
Étape 2 : Configurer le compte de service pour la délégation

contrainte (S4U2Self )
Exécutez la commande PowerShell suivante pour activer la délégation contrainte

(S4U2Self ou tout protocole d’authentification) :
PowerShell
Get-ADUser -Identity cepcessvc | Set-ADAccountControl -

TrustedToAuthForDelegation $True
Set-ADUser -Identity cepcessvc -Add @{'msDS-

AllowedToDelegateTo'=@('HOST/CA1.contoso.com','RPCSS/CA1.contoso.com')}
７ Notes
Dans cette commande, <cepcessvc> est le compte de service et

<CA1.contoso.com> est l’autorité de certification.
） Important
Nous n’activons pas l’indicateur RENEWALONBEHALOF sur l’autorité de certification

dans cette configuration, car nous utilisons la délégation contrainte pour effectuer
le même travail pour nous. Cela nous permet d’éviter d’ajouter l’autorisation pour
le compte de service à la sécurité de l’autorité de certification.
Étape 3 : Configurer un port personnalisé sur le serveur web IIS
1. Dans la console du Gestionnaire Internet Information Services, sélectionnez Site

web par défaut.
2. Dans le volet d’actions, sélectionnez Modifier la liaison de site.
3. Remplacez le paramètre de port par défaut de 443 par votre port personnalisé.
L’exemple de capture d’écran montre un paramètre de port de 49999.
Étape 4 : Modifier l’objet des services d’inscription de l’autorité de

certification sur Active Directory
1. Sur le contrôleur de domaine, ouvrez adsiedit.msc.
2. Connectez-vous à la partition Configuration et accédez à l’objet services

d’inscription de votre autorité de certification :
CN=ENTCA,CN=Enrollment Services,CN=Public Key

Services,CN=Services,CN=Configuration,DC=contoso,DC=com
3. Cliquez avec le bouton droit et modifiez l’objet d’autorité de certification. Modifiez

l’attribut msPKI-Enrollment-Servers à l’aide du port personnalisé avec vos URI de
serveur CEP et CES qui ont été trouvés dans les paramètres de l’application. Par
exemple :
140https://cepces.contoso.com:49999/ENTCA_CES_UsernamePassword/service.
svc/CES0
181https://cepces.contoso.com:49999/ENTCA_CES_Certificate/service.svc/C
ES1
Configurer l’ordinateur client
Sur l’ordinateur client, configurez les stratégies d’inscription et la stratégie d’inscription

automatique. Pour cela, procédez comme suit :
1. Sélectionnez Démarrer>Exécuter, puis entrez gpedit.msc.
2. Accédez à Configuration de l’ordinateur>Paramètres Windows>Paramètres de

sécurité, puis cliquez sur Stratégies de clé publique.
3. Activez la stratégie Client des services de certificats - Inscription automatique

pour qu’elle corresponde aux paramètres de la capture d’écran suivante.
4. Activez Le client des services de certificats - Stratégie d’inscription de certificats.
a. Cliquez sur Ajouter pour ajouter une stratégie d’inscription et entrez l’URI CEP
avec UsernamePassword que nous avons modifié dans ADSI.
b. Pour Type d’authentification, sélectionnez Nom d’utilisateur/mot de passe.

c. Définissez une priorité de 10, puis validez le serveur de stratégie.
７ Notes
Assurez-vous que le numéro de port est ajouté à l’URI et qu’il est autorisé sur
le pare-feu.
5. Inscrivez le premier certificat pour l’ordinateur via certlm.msc.
Sélectionnez le modèle KBR et inscrivez le certificat.
6. Ouvrez à nouveau gpedit.msc . Modifiez le Client des services de certificats -

Stratégie d’inscription de certificats, puis ajoutez la stratégie d’inscription de
renouvellement basée sur une clé :
a. Cliquez sur Ajouter, entrez l’URI CEP avec Certificat que nous avons modifié
dans ADSI.
b. Définissez une priorité de 1, puis validez le serveur de stratégie. Vous serez invité
à vous authentifier et à choisir le certificat que nous avons initialement inscrit.
７ Notes
Assurez-vous que la valeur de priorité de la stratégie d’inscription de

renouvellement basée sur une clé est inférieure à la priorité de la priorité de la
stratégie d’inscription de mot de passe du nom d’utilisateur. La première
préférence est donnée à la priorité la plus faible.
Test de l’installation
Pour vous assurer que le renouvellement automatique fonctionne, vérifiez que le
renouvellement manuel fonctionne en renouvelant le certificat avec la même clé à l’aide
de mmc. En outre, vous devez être invité à sélectionner un certificat lors du
renouvellement. Vous pouvez choisir le certificat que nous avons inscrit précédemment.
L’invite est attendue.
Ouvrez le magasin de certificats personnels de l’ordinateur et ajoutez la vue « certificats

archivés ». Pour ce faire, ajoutez le composant logiciel enfichable de compte
d’ordinateur local à mmc.exe, mettez en surbrillance Certificats (ordinateur local) en
cliquant dessus, cliquez sur Afficher dans l’onglet Action à droite ou en haut de mmc,
cliquez sur Options d’affichage, sélectionnez Certificats archivés, puis cliquez sur OK.
Méthode 1
Exécutez la commande suivante :
PowerShell
certreq -machine -q -enroll -cert <thumbprint> renew
Méthode 2
Avancez l’heure et la date sur l’ordinateur client dans l’heure de renouvellement du
modèle de certificat.
Par exemple, le modèle de certificat a un paramètre de validité de 2 jours et un

paramètre de renouvellement de 8 heures configuré. L’exemple de certificat a été émis à
04:00 le 18e jour du mois, expire à 4:00 le 20. Le moteur d’inscription automatique est
déclenché au redémarrage et à tous les intervalles de 8 heures (environ).
Par conséquent, si vous avancez l’heure à 20:10 le 19, puisque notre fenêtre de
renouvellement a été définie sur 8 heures sur le modèle, l’exécution de Certutil -pulse
(pour déclencher le moteur AE) inscrit le certificat pour vous.
Une fois le test terminé, rétablissez la valeur d’origine du paramètre d’heure, puis
redémarrez l’ordinateur client.
７ Notes
La capture d’écran précédente est un exemple qui montre que le moteur

d’inscription automatique fonctionne comme prévu, car la date de l’autorité de
certification est toujours définie sur le 18. Par conséquent, elle continue d’émettre
des certificats. Dans une situation réelle, ce grand nombre de renouvellements ne
se produira pas.
References
Test Lab Guide: Demonstrating Certificate Key-Based Renewal
Services Web Inscription de certificats
Install-AdcsEnrollmentPolicyWebService
Install-AdcsEnrollmentWebService
Voir aussi
Forum sur la sécurité de Windows Server
Forum Aux Questions (FAQ) sur l’infrastructure à clé publique (PKI) des services de
certificats Active Directory (AD CS)
Bibliothèque et références de documentation sur l’infrastructure PKI de Windows
Blog sur l’infrastructure PKI de Windows

Comment configurer la délégation contrainte Kerberos (S4U2Proxy ou Kerberos
uniquement) sur un compte de service personnalisé pour les pages proxy d’inscription
web
Services de domaine Active Directory

Des liens vers du contenu Active Directory Domain Services sont disponibles sur cette
page.
Nouveautés Active Directory Domain Services

Prise en main des services AD DS
Planification et conception AD DS
Déploiement AD DS
Opérations AD DS
Virtualisation Active Directory Domain Services
Résolution des problèmes liés à AD DS
Nouveautés des services de domaine
Active Directory (AD DS) dans Windows
Server 2016
Article • 11/04/2023
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Les nouvelles fonctionnalités suivantes de Active Directory Domain Services (AD DS)

améliorent la capacité des organisations à sécuriser les environnements Active Directory
et leur permettent de migrer vers les déploiements de cloud uniquement et les
déploiements hybrides, où certains services et applications sont hébergés dans le cloud
et d'autres en local. Les améliorations incluent :
Gestion des accès privilégiés
Extension des fonctionnalités du cloud aux appareils Windows 10 par le biais

d’Azure Active Directory Join
Connecter des appareils joints au domaine à Azure AD pour des expériences

Windows 10
Activer Windows Hello Entreprise dans votre organisation
Dépréciation des niveaux fonctionnels du service de réplication de fichiers (FRS) et

de Windows Server 2003
Gestion des accès privilégiés

La gestion des accès privilégiés (PAM) permet d’atténuer les problèmes de sécurité pour
les environnements Active Directory qui sont causés par des techniques de vol
d’informations d’identification telles que le hachage, le hameçonnage de lance et les
types d’attaques similaires. Elle fournit une nouvelle solution d’accès administratif
configurée à l’aide de Microsoft Identity Manager (MIM). PAM introduit :
Une nouvelle forêt bastion Active Directory, approvisionnée par MIM. La forêt
bastion a une relation d'approbation spéciale PAM avec une forêt existante. Elle
fournit un nouvel environnement Active Directory qui est connu pour être exempt
de toute activité malveillante et l’isolation d’une forêt existante pour l’utilisation de
comptes privilégiés.
Nouveaux processus dans MIM pour demander des privilèges d’administration,
ainsi que de nouveaux flux de travail en fonction de l’approbation des demandes.
Nouveaux principaux de sécurité d’ombre (groupes) approvisionnés dans la forêt

bastion par MIM en réponse aux demandes de privilèges d’administration. Les
principaux de sécurité fantôme ont un attribut qui fait référence au SID d’un
groupe d’administration dans une forêt existante. Cela permet au groupe d’ombres
d’accéder aux ressources dans une forêt existante sans modifier les listes de
contrôle d’accès.
Une fonctionnalité de liaisons arrivant à expiration, qui permet l’appartenance

limitée dans le temps dans un groupe d’ombres. Un utilisateur peut être ajouté au
groupe pendant suffisamment de temps pour effectuer une tâche d’administration.
L’appartenance limitée au temps est exprimée par une valeur de durée de vie
propagée à une durée de vie de ticket Kerberos.
７ Notes
Les liens arrivant à expiration sont disponibles sur tous les attributs liés.
Toutefois, la relation d’attribut lié member/memberOf entre un groupe et un
utilisateur est le seul exemple où une solution complète telle que PAM est
préconfigurée pour utiliser la fonctionnalité de liens arrivant à expiration.
Les améliorations de KDC sont intégrées aux contrôleurs de domaine Active

Directory pour limiter la durée de vie des tickets Kerberos à la valeur de durée de
vie la plus faible possible dans les cas où un utilisateur a plusieurs appartenances
limitées dans le temps dans des groupes d’administration. Par exemple, si vous
êtes ajouté à un groupe lié au temps A, lorsque vous vous connectez, la durée de
vie du ticket d’octroi de ticket Kerberos est égale à la durée de vie restante dans le
groupe A. Si vous êtes également membre d’un autre groupe lié au temps B, qui a
une durée de vie inférieure au groupe A, la durée de vie du TGT est égale à la
durée de vie restante dans le groupe B.
Nouvelles fonctionnalités de supervision pour vous aider à identifier facilement les

personnes qui ont demandé l’accès, l’accès accordé et les activités qui ont été
effectuées.
Conditions requises pour la gestion des accès privilégiés

Gestionnaire d'identité Microsoft
Niveau fonctionnel de forêt Active Directory de Windows Server 2012 R2 ou
supérieur.
Azure AD Join
Azure Active Directory Join améliore les expériences d’identité pour les clients
d’entreprise, commerciaux et d’EDU, avec des fonctionnalités améliorées pour les
appareils professionnels et personnels.
Avantages :
Disponibilité des paramètres modernes sur les appareils Windows appartenant à

l’entreprise. Les services Oxygen n’ont plus besoin d’un compte Microsoft
personnel : ils exécutent désormais les comptes professionnels existants des
utilisateurs pour garantir la conformité. Oxygen Services fonctionne sur les PC
joints à un domaine Windows local, ainsi que sur les PC et appareils « joints » à
votre locataire Azure AD (« domaine cloud »). Ces paramètres incluent :
Itinérance ou personnalisation, paramètres d’accessibilité et informations
d’identification
Sauvegarde et restauration
Accès au Microsoft Store avec un compte professionnel
Vignettes dynamiques et notifications
Accéder aux ressources de l’organisation sur des appareils mobiles (téléphones,

tablettes) qui ne peuvent pas être joints à un domaine Windows, qu’ils
appartiennent à l’entreprise ou qu’ils soient BYOD.
Authentification unique pour Office 365 et d’autres applications, sites web et

ressources de l’organisation.
Sur les appareils BYOD, ajoutez un compte professionnel (à partir d’un domaine
local ou d’Azure AD) à un appareil appartenant à l’utilisateur et profitez de
l’authentification unique pour les ressources professionnelles, via les applications
et sur le web, de manière à garantir la conformité avec les nouvelles fonctionnalités
telles que le contrôle de compte conditionnel et l’attestation d’intégrité de
l’appareil.
L’intégration GPM vous permet d’inscrire automatiquement des appareils à votre

GPM (Intune ou tiers).
Configurer le mode « kiosque » et les appareils partagés pour plusieurs

utilisateurs de votre organisation.
L’expérience des développeurs vous permet de créer des applications qui
s’adressent aux contextes d’entreprise et personnels avec une pile de
programmation partagée.
L’option d’acquisition d’images vous permet de choisir entre la création d’images

et permettre à vos utilisateurs de configurer des appareils appartenant à
l’entreprise directement pendant l’expérience de première exécution.
Pour plus d’informations, consultez Présentation de la gestion des appareils dans Azure
Active Directory.
Windows Hello Entreprise

Windows Hello Entreprise est une approche d’authentification basée sur la clé pour les
organisations et les consommateurs qui ne nécessite pas de passer par un mot de passe.
Cette forme d’authentification repose sur les informations d’identification contre les
violations, le vol et les hameçonnages.
L’utilisateur se connecte à l’appareil avec des informations d’ouverture de session

biométriques ou de code confidentiel liées à un certificat ou à une paire de clés
asymétriques. Les fournisseurs d’identité valident l’utilisateur en mappant sa clé
publique à IDlocker et fournissent des informations de connexion via un mécanisme de
notification tel que le mot de passe à usage unique ou téléphone, entre autres.
Pour plus d’informations, consultez Windows Hello Entreprise
Dépréciation des niveaux fonctionnels du

service de réplication de fichiers (FRS) et de
Windows Server 2003
Bien que le service de réplication de fichiers et les niveaux fonctionnels de Windows
Server 2003 soient déconseillés dans les versions précédentes de Windows Server, il
convient de répéter que le système d’exploitation Windows Server 2003 n’est plus pris
en charge. Par conséquent, tous les contrôleurs de domaine qui exécutent Windows
Server 2003 doivent être supprimés du domaine. Le niveau fonctionnel du domaine et
de la forêt doit être porté au moins à Windows Server 2008 pour éviter qu’un contrôleur
de domaine fonctionnant avec une version antérieure de Windows Server ne soit ajouté
à l’environnement.
Aux niveaux fonctionnels de domaine Windows Server 2008 et supérieurs, la réplication

DFS (Distributed File Service) est utilisée pour répliquer le contenu du dossier SYSVOL
entre les contrôleurs de domaine. Si vous créez un domaine au niveau fonctionnel de
domaine Windows Server 2008 ou supérieur, la réplication DFS est automatiquement
utilisée pour répliquer le fichier SYSVOL. Si vous avez créé le domaine à un niveau
fonctionnel inférieur, vous devez passer de l’utilisation de FRS à la réplication DFS pour
le fichier SYSVOL. Pour connaître les étapes de migration, reportez-vous à ces étapes ou
à l’ensemble de procédures simplifiées sur le blog Storage Team File Cabinet .
Les niveaux fonctionnels du domaine et de la forêt Windows Server 2003 continuent

d’être pris en charge, mais les organisations doivent augmenter le niveau fonctionnel
vers Windows Server 2008 (ou version ultérieure si possible) pour garantir la
compatibilité et la prise en charge de la réplication SYSVOL à l’avenir. En outre, il existe
de nombreux autres avantages et fonctionnalités disponibles aux niveaux fonctionnels
supérieurs. Pour plus d’informations, consultez les ressources suivantes :
Présentation des niveaux fonctionnels des services de domaine Active Directory

(AD DS)
Augmenter le niveau fonctionnel de domaine
Augmenter le niveau fonctionnel de forêt
Prise en main des services AD DS

Active Directory stocke des informations relatives aux objets d’un réseau et les met à la
disposition des utilisateurs et des administrateurs réseau afin qu’ils puissent les trouver
et les utiliser rapidement. Active Directory utilise un magasin de données structuré
comme la base de son organisation hiérarchique et logique des informations de
répertoire.
Rubrique Description
Vue d’ensemble Fournit des informations sur les fonctionnalités de base de AD DS. Comprend
d’Active des concepts techniques ainsi que des liens vers la planification et le
Directory déploiement.
Domain
Services
Centre Fournit des informations sur le centre d’administration Active Directory qui

d’administration inclut des fonctionnalités améliorées de gestion. Ces fonctionnalités allègent la
Active Directory charge de gestion administrative des services de domaine Active Directory
(AD DS).
Virtualisation Fournit une vue d’ensemble et des informations techniques sur la virtualisation
Active Directory AD DS.
Domain
Services
Service de Fournit des informations détaillées sur le service de temps Windows et son
temps Windows fonctionnement ainsi que sur l’importance des protocoles de temps.
Présentation des services de domaine
Active Directory

Un annuaire est une structure hiérarchique stockant des informations sur les objets du
réseau. Un service d’annuaire, comme Active Directory Domain Services (AD DS),
propose des méthodes pour stocker des données d’annuaire et rendre ces données
disponibles aux utilisateurs et administrateurs du réseau. Par exemple, les services de
domaine Active Directory stockent des informations sur les comptes d’utilisateurs,
comme les noms, les mots de passe, les numéros de téléphone et permet aux
utilisateurs autorisés du même réseau d’accéder à ces informations.
Active Directory stocke des informations relatives aux objets d’un réseau et les met à la
disposition des utilisateurs et des administrateurs réseau afin qu’ils puissent les trouver
et les utiliser rapidement. Active Directory utilise un magasin de données structuré
comme la base de son organisation hiérarchique et logique des informations de
répertoire.
Ce magasin de données, également appelé annuaire, contient des informations sur les
objets Active Directory. Ces objets incluent généralement des ressources partagées
telles que des serveurs, des volumes, des imprimantes et des comptes d’utilisateur et
d’ordinateur réseau. Pour plus d’informations sur le magasin de données Active
Directory, consultez Magasin de données Directory.
La sécurité est intégrée avec Active Directory par le biais de l’authentification de

connexion et du contrôle d’accès aux objets du répertoire. Avec une simple ouverture de
session réseau, les administrateurs peuvent gérer les données et l’organisation de
l’annuaire au sein de leur réseau, et les utilisateurs du réseau autorisés peuvent accéder
aux ressources n’importe où sur le réseau. L’administration basée sur des stratégies
facilite même la gestion des réseaux les plus complexes. Pour plus d’informations sur la
sécurité Active Directory, consultez Vue d’ensemble de la sécurité.
Active Directory inclut également les éléments suivants :
Un ensemble de règles, le schéma, qui définit les classes d’objets et les attributs
contenus dans l’annuaire, les contraintes et les limites qui s’appliquent aux
instances de ces objets, ainsi que le format de leurs noms. Pour plus d’informations
sur le schéma, consultez Schéma.
Un catalogue global qui contient des informations sur chaque objet de l’annuaire.
Les utilisateurs et les administrateurs peuvent ainsi rechercher des informations
dans l’annuaire, quel que soit le domaine de l’annuaire qui contient les données.
Pour plus d’informations sur le catalogue global, consultez Catalogue global.
Un mécanisme de requête et d’index, de sorte que les objets et leurs propriétés

puissent être publiés et recherchés par les utilisateurs du réseau ou des
applications. Pour plus d’informations sur l’interrogation du répertoire, consultez
Recherche dans Active Directory Domain Services.
Un service de réplication qui distribue les données d’annuaire sur l’ensemble du

réseau. Tous les contrôleurs de domaine dans un domaine participent à la
réplication et contiennent une copie complète de toutes les informations
d’annuaire liées à leur domaine. Toute modification des données d’annuaire est
répliquée sur tous les contrôleurs de domaine inclus dans le domaine. Pour plus
d’informations sur la réplication Active Directory, consultez Concepts de réplication
Active Directory.
Comprendre Active Directory

Cette section fournit des liens vers les principaux concepts d’Active Directory :
Structure et technologies de stockage Active Directory

Rôles du contrôleur de domaine
Schéma Active Directory
Présentation des approbations
Technologies de réplication Active Directory
Technologies de recherche et de publication Active Directory
Interopérabilité avec DNS et stratégie de groupe
Présentation du schéma
Pour obtenir la liste détaillée des concepts d’Active Directory, consultez Présentation
d’Active Directory.
Centre d'administration Active Directory

le Centre d’administration Active Directory (le centre) dans Windows Server comprend
des fonctionnalités d’amélioration de l’expérience de gestion. Ces fonctionnalités
allègent la charge de gestion administrative des services de domaine Active Directory
(AD DS). Les rubriques suivantes fournissent une introduction et des informations
supplémentaires :
Introduction to Active Directory Administrative Center Enhancements (Level 100)
Advanced AD DS Management Using Active Directory Administrative Center (Level

200)
Introduction to Active Directory
Administrative Center Enhancements
(Level 100)

Le Centre d’administration Active Directory dans Windows Server inclut les

fonctionnalités de gestion suivantes :
Corbeille Active Directory

Stratégie de mot de passe affinée
Visionneuse de l’historique de Windows PowerShell
Corbeille Active Directory

La suppression accidentelle des objets Active Directory est un élément qui affecte
souvent les utilisateurs des services de domaine Active Directory (AD DS) et des services
AD LDS (Active Directory Lightweight Directory Services). Dans les versions antérieures
de Windows Server, avant Windows Server 2008 R2, on peut récupérer des objets
supprimés accidentellement dans Active Directory, mais les solutions ont eu leurs
inconvénients.
Dans Windows Server 2008, vous pouviez utiliser la fonctionnalité Sauvegarde Windows
Server et la commande de restauration faisant autorité ntdsutil pour marquer des objets
comme faisant autorité, afin de garantir que les données restaurées soient répliquées
sur l’ensemble du domaine. L’inconvénient de la solution de restauration faisant autorité
était qu’elle devait être effectuée en mode de restauration des services d’annuaire. Dans
ce mode, le contrôleur de domaine en cours de restauration devait rester hors
connexion. Il n’était dès lors pas en mesure de traiter les demandes des clients.
Dans Active Directory sous Windows Server 2003 et dans les services AD DS sous
Windows Server 2008, il était possible de récupérer les objets Active Directory
supprimés par le biais de la réanimation des désactivations. Toutefois, les attributs à
valeur liée des objets réanimés (par exemple, les appartenances de groupe des comptes
d’utilisateur) qui étaient supprimés physiquement et les attributs à valeur non liée qui
étaient supprimés n’étaient pas récupérés Par conséquent, les administrateurs ne
pouvaient pas se fier à la réanimation des désactivations comme solution suprême à la
suppression accidentelle d’objets. Pour plus d’informations sur la réanimation des
désactivations, voir Réanimation des objets de désactivation Active Directory.
La corbeille Active Directory, introduite pour la première fois dans Windows Server 2008
R2, s’appuie sur l’infrastructure existante de réanimation des désactivations et améliore
votre capacité à préserver et récupérer les objets Active Directory accidentellement
supprimés.
Lorsque vous activez la corbeille Active Directory, tous les attributs à valeur liée et à
valeur non liée des objets Active Directory supprimés sont préservés et les objets sont
restaurés dans leur intégralité dans le même état logique et cohérent qu’ils avaient juste
avant la suppression. Par exemple, les comptes d’utilisateurs restaurés retrouvent
automatiquement toutes les appartenances aux groupes et les droits d’accès
correspondants dont ils disposaient juste avant la suppression, dans et entre les
domaines. La corbeille Active Directory fonctionne pour les environnements AD DS et
AD LDS. Pour obtenir une description détaillée de la corbeille Active Directory, voir
Nouveautés dans AD DS : corbeille Active Directory.
Nouveautés Dans Windows Server 2012 et les versions ultérieures, la fonctionnalité De

corbeille Active Directory est améliorée avec une nouvelle interface utilisateur graphique
pour les utilisateurs afin de gérer et de restaurer des objets supprimés. Les utilisateurs
peuvent à présent localiser visuellement une liste d’objets supprimés et les restaurer à
leur emplacement d’origine ou à un emplacement souhaité.
Si vous envisagez d’activer la corbeille Active Directory dans Windows Server, tenez
compte des éléments suivants :
Par défaut, la corbeille Active Directory est désactivée. Pour l’activer, vous devez
d’abord augmenter le niveau fonctionnel de forêt de votre environnement AD DS
ou AD LDS pour Windows Server 2008 R2 ou version ultérieure. Cela nécessite à
son tour que tous les contrôleurs de domaine dans la forêt ou tous les serveurs qui
hébergent des instances de configuration AD LDS s’exécutent Windows Server
2008 R2 ou version ultérieure.
Le processus d’activation de la corbeille Active Directory est irréversible. Après

avoir activé la corbeille Active Directory dans votre environnement, vous ne pouvez
plus la désactiver.
Pour gérer la fonctionnalité Corbeille via une interface utilisateur, vous devez
installer la version du Centre d’administration Active Directory dans Windows
Server 2012.
７ Notes
Vous pouvez utiliser Gestionnaire de serveur pour installer RSAT (Remote

Server Administration Tools) pour utiliser la version correcte du Centre
d’administration Active Directory pour gérer la corbeille via une interface
utilisateur.
Pour plus d’informations sur l’installation de RSAT, consultez l’article Outils

d’administration du serveur distant.
Procédure pas à pas relative à la corbeille Active Directory

Dans les étapes suivantes, vous allez utiliser ADAC pour effectuer les tâches de corbeille
Active Directory suivantes dans Windows Server 2012 :
Étape 1 : augmenter le niveau fonctionnel de la forêt

Étape 2 : Activer la Corbeille
Étape 3 : créer des utilisateurs, un groupe et une unité d’organisation de test
Étape 4 : restaurer les objets supprimés
７ Notes
Pour effectuer les étapes suivantes, vous devez appartenir au groupe

Administrateurs de l’entreprise ou posséder des autorisations équivalentes.
Étape 1 : augmenter le niveau fonctionnel de la forêt

Dans cette étape, vous allez augmenter le niveau fonctionnel de la forêt. Vous devez
d’abord élever le niveau fonctionnel sur la forêt cible pour qu’elle soit Windows Server
2008 R2 au minimum avant d’activer la corbeille Active Directory.
Pour augmenter le niveau fonctionnel sur la forêt cible

1. Cliquez avec le bouton droit sur l’icône Windows PowerShell, cliquez sur Exécuter
en tant qu’administrateur et tapez dsac.exe pour ouvrir ADAC.
2. Cliquez sur Gérer, sur Ajouter des nœuds de navigation, puis sélectionnez le
domaine cible approprié dans la boîte de dialogue Ajouter des nœuds de
navigation et cliquez sur OK.
3. Cliquez sur le domaine cible dans le volet de navigation gauche et, dans le volet
Tâches, cliquez sur Augmenter le niveau fonctionnel de la forêt. Sélectionnez un
niveau fonctionnel de forêt qui est au moins Windows Server 2008 R2 ou version
ultérieure, puis cliquez sur OK.
Windows PowerShell commandes équivalentes

PowerShell
Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -

Confirm:$false
Pour l’argument -Identity , spécifiez le nom de domaine DNS complet.
Étape 2 : Activer la Corbeille

Dans cette étape, vous allez activer la corbeille pour restaurer des objets supprimés dans
AD DS.
Pour activer la corbeille Active Directory dans le Centre

d’administration Active Directory du domaine cible
3. Dans le volet Tâches, cliquez sur Activer la Corbeille... dans le volet Tâches, cliquez
sur OK dans la boîte de message d’avertissement, puis cliquez sur OK dans le
message d’actualisation du Centre d’administration Active Directory.
4. Appuyez sur F5 pour actualiser le Centre d’administration Active Directory.

PowerShell
Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional

Features,CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope
ForestOrConfigurationSet -Target 'contoso.com'
Étape 3 : créer des utilisateurs, un groupe et une unité

d’organisation de test
Dans les procédures suivantes, vous allez créer deux utilisateurs test. Vous créerez
ensuite un groupe test et lui ajouterez les utilisateurs test. Vous créerez également une
unité d’organisation (OU).
Pour créer les utilisateurs test

3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Utilisateur.

4. Entrez les informations suivantes sous Compte, puis cliquez sur OK :
Nom complet : test1

Ouverture de session SamAccountName de l’utilisateur : test1
Mot de passe : p@ssword1
Confirmer le mot de passe : p@ssword1
5. Répétez les étapes précédentes pour créer un second utilisateur, test2.
Pour créer un groupe test et lui ajouter les utilisateurs

3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Groupe.
4. Entrez les informations suivantes sous Groupe, puis cliquez sur OK :
Nom du groupe:group1
5. Cliquez sur group1, puis, sous le volet Tâches, cliquez sur Propriétés.
6. Cliquez sur Membres et sur Ajouter, tapez test1;test2, puis cliquez sur OK.

PowerShell
Add-ADGroupMember -Identity group1 -Member test1
Pour créer une unité d’organisation

2. Cliquez sur Gérer, cliquez sur Ajouter des nœuds de navigation et sélectionnez le
navigation , puis cliquez sur **OK
3. Dans le volet Tâches, cliquez sur Nouveau, puis sur Unité d’organisation.
4. Entrez les informations suivantes sous Unité d’organisation, puis cliquez sur OK :
NameOU1

PowerShell
1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -

Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -
AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -

GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"
Étape 4 : restaurer les objets supprimés

Dans les procédures suivantes, vous allez restaurer des objets supprimés à partir du
conteneur Deleted Objects à leur emplacement d’origine et à un emplacement
différent.
Pour restaurer des objets supprimés à leur emplacement d’origine

3. Sélectionnez les utilisateurs test1 et test2, cliquez sur Supprimer dans le volet
Tâches, puis cliquez sur Oui pour confirmer la suppression.

même fonction que la procédure précédente. Entrez chaque applet de commande
sur une seule ligne, même si elles peuvent apparaître comme renvoyées sur
plusieurs lignes ici en raison de contraintes de mise en forme.
PowerShell
Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false
4. Accédez au conteneur Deleted Objects, sélectionnez test2 et test1, puis cliquez sur
Restaurer dans le volet Tâches.
5. Pour confirmer que les objets ont été restaurés à leur emplacement d’origine,
accédez au domaine cible et vérifiez que les comptes d’utilisateurs sont
répertoriés.
７ Notes
Si vous accédez aux Propriétés des comptes d’utilisateurs test1 et test2 et que
vous cliquez sur Membre de, vous verrez que leur appartenance aux groupes
a été restaurée également.
PowerShell
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-

ADObject
Pour restaurer des objets supprimés à un emplacement différent

3. Sélectionnez les utilisateurs test1 et test2, cliquez sur Supprimer dans le volet
Tâches, puis cliquez sur Oui pour confirmer la suppression.
4. Accédez au conteneur Deleted Objects, sélectionnez test2 et test1, puis cliquez sur
Restaurer sur dans le volet Tâches.
5. Sélectionnez OU1, puis cliquez sur OK.
6. Pour confirmer que les objets ont été restaurés sur OU1, accédez au domaine cible,
double-cliquez sur OU1 et vérifiez que les comptes d’utilisateurs sont répertoriés.

PowerShell
Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-

ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"
Stratégie de mot de passe affinée

Le système d’exploitation Windows Server 2008 fournit aux organisations une méthode
pour définir des stratégies de mot de passe et de verrouillage de compte différentes
pour des ensembles d’utilisateurs différents dans un domaine. Dans les domaines Active
Directory antérieurs à Windows Server 2008, une seule stratégie de mot de passe et
stratégie de verrouillage de compte pouvait être appliquée à tous les utilisateurs dans le
domaine. Ces stratégies étaient spécifiées dans la stratégie de domaine par défaut pour
le domaine. Par conséquent, les organisations qui voulaient des paramètres différents de
mot de passe et de verrouillage de compte pour des ensembles d’utilisateurs différents
devaient créer un filtre de mot de passe ou déployer plusieurs domaines. Ces deux
options sont onéreuses.
Vous pouvez utiliser des stratégies de mot de passe affinées pour spécifier plusieurs
stratégies de mot de passe au sein d’un même domaine et appliquer des restrictions
différentes pour les stratégies de mot de passe et de verrouillage de compte à des
ensembles d’utilisateurs différents dans un domaine. Par exemple, vous pouvez
appliquer des paramètres plus stricts à des comptes privilégiés et des paramètres moins
stricts aux comptes des autres utilisateurs. Dans d’autres cas, vous pouvez appliquer une
stratégie de mot de passe spéciale pour les comptes dont les mots de passe sont
synchronisés avec d’autres sources de données. Pour obtenir une description détaillée
de la stratégie de mot de passe affinée, voir AD DS : stratégies de mot de passe affinées
Nouveautés
Dans Windows Server 2012 et versions ultérieures, la gestion des stratégies de mot de
passe affinée est facilitée et plus visuelle en fournissant une interface utilisateur aux
administrateurs AD DS pour les gérer dans ADAC. Les administrateurs peuvent
désormais afficher la stratégie résultante d’un utilisateur donné, afficher et trier toutes
les stratégies de mot de passe au sein d’un domaine donné et gérer visuellement les
stratégies de mot de passe individuelles.
Si vous envisagez d’utiliser des stratégies de mot de passe affinées dans Windows
Server 2012, tenez compte des éléments suivants :
Les stratégies de mot de passe affinées s’appliquent uniquement aux groupes de

sécurité globaux et aux objets utilisateur (ou aux objets inetOrgPerson s’ils sont
utilisés au lieu d’objets utilisateur). Par défaut, seuls les membres du groupe
Admins du domaine peuvent définir des stratégies de mot de passe affinées.
Toutefois, vous pouvez également déléguer la capacité à définir de telles stratégies
à d’autres utilisateurs. Le niveau fonctionnel du domaine doit correspondre à
Windows Server 2008 ou version supérieure.
Vous devez utiliser la Windows Server 2012 ou une version plus récente du Centre
d’administration Active Directory pour administrer des stratégies de mot de passe
affinées via une interface utilisateur graphique.
７ Notes
Vous pouvez utiliser Gestionnaire de serveur pour installer les outils

d’administration de serveur distant (RSAT) afin d’utiliser la version correcte du
Centre d’administration Active Directory pour gérer la Corbeille via une
interface utilisateur.

d’administration de serveur distant.
Procédure pas à pas relative aux stratégies de mot de

passe affinées
Dans les étapes suivantes, vous utiliserez le Centre d’administration Active Directory
pour effectuer les tâches suivantes relatives aux stratégies de mot de passe affinées :
Étape 1 : augmenter le niveau fonctionnel du domaine

Étape 2 : créer des utilisateurs, un groupe et une unité d’organisation de test
Étape 3 : créer une nouvelle stratégie de mot de passe affinée
Étape 4 : afficher un jeu de stratégies résultant pour un utilisateur
Étape 5 : modifier une stratégie de mot de passe affinée
Étape 6 : supprimer une stratégie de mot de passe affinée
７ Notes
Pour effectuer les étapes suivantes, vous devez appartenir au groupe Admins du
domaine ou posséder des autorisations équivalentes.
Étape 1 : augmenter le niveau fonctionnel du domaine
Dans la procédure suivante, vous allez élever le niveau fonctionnel de domaine du

domaine cible à Windows Server 2008 ou version ultérieure. Un niveau fonctionnel de
domaine de Windows Server 2008 ou version ultérieure est requis pour activer les
stratégies de mot de passe affinées.
Pour augmenter le niveau fonctionnel du domaine
3. Cliquez sur le domaine cible dans le volet de navigation gauche et, dans le volet
Tâches, cliquez sur Augmenter le niveau fonctionnel du domaine. Sélectionnez un
niveau fonctionnel de forêt qui est au moins Windows Server 2008 ou version
ultérieure, puis cliquez sur OK.

PowerShell
Set-ADDomainMode -Identity contoso.com -DomainMode 3
Étape 2 : créer des utilisateurs, un groupe et une unité

d’organisation de test
Pour créer les utilisateurs de test et le groupe nécessaires pour cette étape, suivez les
procédures décrites ici : Étape 3 : Créer des utilisateurs de test, un groupe et une unité
d’organisation (vous n’avez pas besoin de créer l’unité d’organisation pour illustrer la
stratégie de mot de passe affinée).
Étape 3 : créer une nouvelle stratégie de mot de passe affinée

Dans la procédure décrite ci-dessous, vous allez créer une nouvelle stratégie de mot de
passe affinée à l’aide de l’interface utilisateur du Centre d’administration Active
Directory.
Pour créer une nouvelle stratégie de mot de passe affinée

3. Dans le volet de navigation du Centre d’administration Active Directory, ouvrez le

conteneur System, puis cliquez sur Password Settings Container.
4. Dans le volet Tâches, cliquez sur Nouveau, puis sur Paramètres de mot de passe.
Remplissez ou modifiez les champs de la page de propriétés pour créer un nouvel

objet Paramètres de mot de passe. Les champs Nom et Priorité sont requis.
5. Sous S’applique directement à, sur Ajouter, tapez group1, puis cliquez sur OK.
Cela associe l’objet Stratégie de mot de passe aux membres du groupe global que
vous avez créé pour l’environnement de test.
6. Cliquez sur OK pour soumettre la création.

PowerShell
New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -

LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -
LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -
MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -
PasswordHistoryCount:"24" -Precedence:"1" -
ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1
Étape 4 : afficher un jeu de stratégies résultant pour un utilisateur

Dans la procédure décrite ci-dessous, vous allez consulter les paramètres de mot de
passe résultants pour un utilisateur qui est membre du groupe auquel vous avez
attribué une stratégie de mot de passe affinée dans Étape 3 : créer une nouvelle
stratégie de mot de passe affinée.
Pour afficher un jeu de stratégies résultant pour un utilisateur
3. Sélectionnez un utilisateur, test1, qui appartient au groupe, group1, auquel vous

avez associé une stratégie de mot de passe affinée dans Étape 3 : créer une
nouvelle stratégie de mot de passe affinée.
4. Cliquez sur Afficher les paramètres de mot de passe résultants dans le volet
Tâches.
5. Examinez la stratégie des paramètres de mot de passe, puis cliquez sur Annuler.

PowerShell
Get-ADUserResultantPasswordPolicy test1
Étape 5 : modifier une stratégie de mot de passe affinée
Dans la procédure décrite ci-dessous, vous allez modifier la stratégie de mot de passe
affinée que vous avez créée dans Étape 3 : créer une nouvelle stratégie de mot de passe
affinée
Pour modifier une stratégie de mot de passe affinée
3. Dans le volet de navigation du Centre d’administration Active Directory,

développez Système, puis cliquez sur Classe d’objets PSC (Password Settings
Container).
4. Sélectionnez la stratégie de mot de passe affinée que vous avez créée dans
Étape 3 : créer une nouvelle stratégie de mot de passe affinée, puis cliquez sur
Propriétés dans le volet Tâches.
5. Sous Appliquer l’historique des mots de passe, modifiez la valeur de Nombre de

mots de passe mémorisés en spécifiant 30.
6. Cliquez sur OK.

PowerShell
Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"
Étape 6 : supprimer une stratégie de mot de passe affinée

Pour supprimer une stratégie de mot de passe affinée
3. Dans le volet de navigation du Centre d’administration Active Directory,

développez System, puis cliquez sur Password Settings Container (Classe d’objets
PSC).
4. Sélectionnez la stratégie de mot de passe affinée que vous avez créée dans
Étape 3 : créer une nouvelle stratégie de mot de passe affinée, puis, dans le volet
Tâches, cliquez sur Propriétés.
5. Désactivez la case à cocher Protéger contre la suppression accidentelle et cliquez

sur OK.
6. Sélectionnez la stratégie de mot de passe affinée, puis, dans le volet Tâches,

cliquez sur Supprimer.
7. Cliquez sur OK dans la boîte de dialogue de confirmation.

PowerShell
Set-ADFineGrainedPasswordPolicy -Identity TestPswd -

ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm
Visionneuse de l’historique de Windows

PowerShell
Le Centre d’administration Active Directory est un outil d’interface utilisateur construit
par-dessus Windows PowerShell. Dans Windows Server 2012 et versions ultérieures, les
administrateurs informatiques peuvent tirer parti d’ADAC pour apprendre Windows
PowerShell pour les applets de commande Active Directory à l’aide de la visionneuse
d’historique Windows PowerShell. Lorsque des actions sont exécutées dans l’interface
utilisateur, la commande Windows PowerShell équivalente est indiquée à l’utilisateur
dans la Visionneuse de l’historique de Windows PowerShell. Cela permet aux
administrateurs de créer des scripts automatisés et de réduire les tâches répétitives, ce
qui a pour effet d’augmenter la productivité informatique. En outre, cette fonctionnalité
réduit le temps d’apprendre Windows PowerShell pour Active Directory et augmente la
confiance des utilisateurs dans l’exactitude de leurs scripts d’automatisation.
Lorsque vous utilisez la visionneuse d’historique Windows PowerShell dans Windows

Server 2012 ou une version ultérieure, tenez compte des éléments suivants :
Pour utiliser Windows PowerShell Visionneuse de scripts, vous devez utiliser la

Windows Server 2012 ou une version plus récente d’ADAC
７ Notes
Vous pouvez utiliser Gestionnaire de serveur pour installer les outils

d’administration de serveur distant (RSAT) afin d’utiliser la version correcte du
Centre d’administration Active Directory pour gérer la Corbeille via une
interface utilisateur.

Avoir une compréhension de base de Windows PowerShell. Par exemple, vous

devez savoir comment les pipelines fonctionnent dans Windows PowerShell. Pour
plus d’informations sur les pipelines dans Windows PowerShell, voir Définition et
utilisation des pipelines dans Windows PowerShell.
Procédure pas à pas relative à la Visionneuse de

Dans la procédure décrite ci-dessous, vous utiliserez la Visionneuse de l’historique de
Windows PowerShell dans le Centre d’administration Active Directory pour élaborer un
script Windows PowerShell. Avant de commencer cette procédure, supprimez
l’utilisateur test1 du groupe group1.
Pour élaborer un script à l’aide de la Visionneuse de l’historique de

PowerShell
3. Développez le volet Historique de Windows PowerShell en bas de l’écran du

Centre d’administration Active Directory.
4. Sélectionnez l’utilisateur test1.
5. Cliquez sur Ajouter au groupe... dans le volet Tâches .
6. Accédez à group1 et cliquez sur OK dans la boîte de dialogue.
7. Accédez au volet Historique de Windows PowerShell et localisez la commande qui

vient d’être générée.
8. Copiez cette commande et collez-la dans l’éditeur de votre choix pour élaborer
votre script.
Par exemple, vous pouvez modifier la commande pour ajouter un autre utilisateur
dans group1 ou pour ajouter test1 dans un autre groupe.
Voir aussi
Advanced AD DS Management Using Active Directory Administrative Center (Level 200)
Advanced AD DS Management Using
Active Directory Administrative Center
(Level 200)

Cette rubrique décrit la mise à jour du Centre d'administration Active Directory avec la
nouvelle Corbeille Active Directory, la stratégie de mot de passe affinée ainsi que la
Visionneuse de l'historique Windows PowerShell. Elle aborde notamment l'architecture,
des exemples de tâches courantes et les informations de résolution des problèmes. Vous
pouvez commencer par l'Introduction aux améliorations du Centre d'administration
Active Directory (niveau 100).
Architecture du Centre d'administration Active Directory

Activation et gestion de la Corbeille Active Directory à l'aide du Centre
d'administration Active Directory
Configuration et gestion des stratégies de mot de passe affinées à l'aide du Centre
Utilisation de la Visionneuse de l'historique Windows PowerShell du Centre
Résolution des problèmes de gestion des services de domaine Active Directory (AD
DS)
Architecture du Centre d'administration Active

Directory
Exécutables du Centre d’administration Active Directory,

DLL
Le module et l'architecture sous-jacente du Centre d'administration Active Directory
n'ont pas changé avec les nouvelles fonctionnalités : la Corbeille, la stratégie de mot de
passe affinée et la Visionneuse de l'historique.
Microsoft.ActiveDirectory.Management.UI.dll
Microsoft.ActiveDirectory.Management.UI.resources.dll
Microsoft.ActiveDirectory.Management.dll
Microsoft.ActiveDirectory.Management.resources.dll
ActiveDirectoryPowerShellResources.dll
Windows PowerShell et la couche d'opérations sous-jacents de la nouvelle

fonctionnalité de Corbeille sont illustrés ci-dessous :
Activation et gestion de la Corbeille Active

Directory à l'aide du Centre d'administration
Active Directory
Fonctionnalités
Le Centre d’administration Active Directory Windows Server 2012 ou plus récent
vous permet de configurer et de gérer la corbeille Active Directory pour toute
partition de domaine dans une forêt. Vous n'avez plus besoin d'utiliser Windows
PowerShell ni Ldp.exe pour activer la Corbeille Active Directory ou restaurer des
objets dans des partitions de domaine.
Le Centre d'administration Active Directory dispose de critères de filtrage avancés,
ce qui facilite la restauration ciblée dans des environnements de grande taille
comportant de nombreux objets supprimés de manière intentionnelle.
Limites
Le Centre d'administration Active Directory ne peut pas restaurer des objets
supprimés des partitions Configuration, DNS du domaine ou DNS de la forêt car il
peut uniquement gérer des partitions de domaine (vous ne pouvez pas supprimer
d'objets de la partition Schéma). Pour restaurer des objets de partitions
n’appartenant pas au domaine, utilisez Restore-ADObject.
Le Centre d'administration Active Directory ne peut pas restaurer des sous-arbres

d'objets en une seule action. Par exemple, si vous supprimez une unité
d'organisation comportant des unités d'organisation imbriquées, des utilisateurs,
des groupes et des ordinateurs, la restauration de l'unité d'organisation de base ne
restaure pas les objets enfants.
７ Notes
L’opération de restauration par lot du Centre d’administration Active Directory

effectue un type « meilleur effort » des objets supprimés dans la sélection
uniquement afin que les parents soient ordonnés avant les enfants de la liste
de restauration. Dans des cas de test simples, vous pouvez restaurer les sous-
arbres d'objets en une seule action. Toutefois, les cas d’angle, tels qu’une
sélection qui contient des arborescences partielles , des arborescences avec
certains des nœuds parents supprimés manquants ou des cas d’erreur, tels
que l’ignorer des objets enfants lorsque la restauration parente échoue, peut
ne pas fonctionner comme prévu. C'est pourquoi vous devez toujours
restaurer les sous-arbres des objets au cours d'une action distincte, une fois
les objets parents restaurés.
La corbeille Active Directory nécessite un niveau fonctionnel de forêt Windows Server

2008 R2 et vous devez être membre du groupe Administrateurs d’entreprise. Une fois
activée, vous ne pouvez pas désactiver la Corbeille Active Directory. Celle-ci augmente la
taille de la base de données Active Directory (NTDS.DIT) sur chaque contrôleur de
domaine de la forêt. L'espace disque utilisé par la Corbeille continue d'augmenter au fil
du temps car les objets et toutes leurs données d'attributs sont conservés.
Activation de la Corbeille Active Directory à l'aide du

Pour activer la Corbeille Active Directory, ouvrez le Centre d'administration
Active Directory, puis cliquez sur le nom de votre forêt dans le volet de navigation.
Dans le volet Tâches, cliquez sur Activer la Corbeille.
Le Centre d'administration Active Directory montre la boîte de dialogue Activer la
confirmation de la Corbeille. Cette boîte de dialogue vous avertit que l'activation de la
Corbeille est irréversible. Cliquez sur OK pour activer la Corbeille Active Directory. Le
Centre d'administration Active Directory montre une autre boîte de dialogue vous
rappelant que la Corbeille Active Directory n'est pas entièrement fonctionnelle jusqu'à
ce que tous les contrôleurs de domaine répliquent le changement de configuration.
） Important
L'option permettant l'activation de la Corbeille Active Directory n'est pas disponible

si :
le niveau fonctionnel de la forêt est inférieur à Windows Server 2008 R2 ;

elle est déjà activée.
L’applet de commande Windows PowerShell Active Directory équivalente est la suivante

:
PowerShell
Enable-ADOptionalFeature
Pour plus d’informations sur l’utilisation de Windows PowerShell pour activer la Corbeille
Active Directory, voir le Guide pas à pas de la Corbeille Active Directory.
Gestion de la Corbeille Active Directory à l'aide du Centre

Cette section utilise l'exemple d'un domaine existant nommé corp.contoso.com. Ce
domaine organise les utilisateurs en une unité d'organisation parente appelée
UserAccounts. L'unité d'organisation UserAccounts contient trois unités d'organisation
enfants nommées par service, chacune contenant d'autres unités d'organisation,
utilisateurs et groupes.
Stockage et filtrage
La Corbeille Active Directory conserve tous les objets supprimés de la forêt. Elle
enregistre ces objets selon l'attribut msDS-deletedObjectLifetime, qui est défini par
défaut pour correspondre à l'attribut tombstoneLifetime de la forêt. Dans toute forêt
créée à l'aide de Windows Server 2003 SP1 ou version ultérieure, l'attribut
tombstoneLifetime a la valeur 180 jours par défaut. Dans toute forêt mise à niveau à
partir de Windows 2000 ou installée avec Windows Server 2003 (sans Service Pack),
l'attribut tombstoneLifetime par défaut N'EST PAS DÉFINI et Windows utilise la valeur
interne par défaut de 60 jours. Vous pouvez configurer tous ces éléments et utiliser le
Centre d'administration Active Directory pour restaurer les objets supprimés des
partitions de domaine de la forêt. Vous devez continuer à utiliser l'applet de commande
Restore-ADObject pour restaurer les objets supprimés à partir d'autres partitions, telles
que Configuration. L'activation de la Corbeille Active Directory rend visible le conteneur
Objets supprimés sous chaque partition de domaine dans le Centre d'administration
Active Directory.
Le conteneur Objets supprimés affiche tous les objets qui peuvent être restaurés dans
cette partition de domaine. Les objets supprimés antérieurs à msDS-
deletedObjectLifetime sont réputés comme étant des objets recyclés. Le Centre
d'administration Active Directory n'affiche pas d'objets recyclés et vous ne pouvez pas
restaurer ces objets à l'aide du Centre d'administration Active Directory.
Pour une explication plus détaillée sur l’architecture et les règles de traitement de la
Corbeille, voir Corbeille Active Directory : présentation, implémentation,
recommandations et dépannage.
Le Centre d'administration Active Directory limite artificiellement le nombre d'objets par

défaut renvoyés d'un conteneur à 20 000 objets. Vous pouvez augmenter cette limite à
100 000 objets en cliquant sur le menu Gérer, puis sur Options de la liste des
gestionnaires.
Restauration
Filtrage
Le Centre d'administration Active Directory offre des options de filtrage et des critères
puissants avec lesquels vous devez vous familiariser avant d'effectuer une restauration
réelle. Les domaines suppriment intentionnellement de nombreux objets au cours de
leur durée de vie. Avec une durée de vie d’objet probablement supprimée de 180 jours,
vous ne pouvez pas simplement restaurer tous les objets lorsqu’un accident se produit.
Au lieu d'écrire des filtres LDAP complexes et de convertir des valeurs UTC en dates et
heures, utilisez le menu Filtre de base et avancé pour répertorier uniquement les objets
pertinents. Si vous connaissez le jour de suppression, le nom des objets ou toute autre
donnée essentielle, vous pouvez affiner votre filtrage en les utilisant. Affichez ou
masquez les options de filtre avancées en cliquant sur le chevron à droite de la zone de
recherche.
L'opération de restauration prend en charge toutes les options de critères de filtre

standard, les mêmes que les autres recherches. Parmi les filtres intégrés, les plus
importants pour restaurer des objets sont généralement :
Résolution de noms ANR (Ambiguous Name Resolution) : non répertoriée dans le

menu, mais ce qui est utilisé quand vous tapez dans la zoneFiltre)
Dernière modification entre des dates données
Objet, à savoir utilisateur/inetOrgPerson/ordinateur/groupe/unité d'organisation
Nom
Quand supprimé
Dernier parent connu
Type
Description
City
Pays/région
department
ID d’employé
Prénom
Fonction
Nom
SAMaccountname
État/province
Numéro de téléphone
UPN
Code postal
Vous pouvez ajouter plusieurs critères. Par exemple, vous pouvez trouver tous les objets
utilisateur supprimés le 24 septembre 2012 de Chicago, Illinois avec un poste de
responsable.
Vous pouvez également ajouter, modifier ou réorganiser les en-têtes de colonne pour
fournir plus de détails quand vous analysez les objets à récupérer.
Pour plus d’informations sur la résolution de noms ANR, voir Attributs ANR.
Objet unique
La restauration d'objets supprimés s'est toujours déroulée en une seule opération. Le
Centre d'administration Active Directory facilite cette opération. Pour restaurer un objet
supprimé, tel qu'un utilisateur unique :
1. Cliquez sur le nom de domaine dans le volet de navigation du Centre

d'administration Active Directory.
2. Double-cliquez sur Objets supprimés dans la liste de gestion.
3. Cliquez avec le bouton droit sur l'objet, puis cliquez sur Restaurer ou cliquez sur
Restaurer à partir du volet Tâches.
L'objet est restauré à son emplacement d'origine.
Cliquez sur Restaurer sur... pour modifier l’emplacement de restauration. Cela est utile si
le conteneur parent de l’objet supprimé a également été supprimé, mais que vous ne
souhaitez pas restaurer le parent.
Plusieurs objets homologues
Vous pouvez restaurer plusieurs objets de même niveau, tels que tous les utilisateurs
d'une unité d'organisation. Maintenez la touche CTRL enfoncée et cliquez sur un ou
plusieurs objets supprimés à restaurer. Cliquez sur Restaurer dans le volet Tâches. Vous
pouvez également sélectionner tous les objets affichés en maintenant les touches CTRL
et A enfoncées, ou une plage d'objets à l'aide de la touche Maj et en cliquant.
Plusieurs objets parents et enfants
Il est essentiel de comprendre le processus de restauration dans le cas d'une

restauration impliquant plusieurs parents-enfants car le Centre d'administration Active
Directory ne peut pas restaurer un arbre imbriqué d'objets supprimés en une seule
action.
1. Restaurez l'objet supprimé en premier dans un arbre.

2. Restaurez les enfants immédiats de cet objet parent.
3. Restaurez les enfants immédiats de ces objets parents.
4. Répétez cette opération autant de fois que nécessaire jusqu'à ce que tous les
objets soient restaurés.
Vous ne pouvez pas restaurer un objet enfant avant de restaurer son parent. La tentative
de restauration renvoie l'erreur suivante :
L'opération n'a pas pu être effectuée car le parent de l'objet n'est pas instancié ou a
été supprimé.
L'attribut Dernier parent connu montre la relation parent de chaque objet. L'attribut
Dernier parent connu passe de l'emplacement supprimé à l'emplacement restauré
quand vous actualisez le Centre d'administration Active Directory après la restauration
d'un parent. Par conséquent, vous pouvez restaurer cet objet enfant quand
l’emplacement d’un objet parent n’affiche plus le nom unique du conteneur d’objets
supprimés.
Envisagez le scénario dans lequel un administrateur supprime accidentellement l'unité
d'organisation Ventes, qui contient les unités d'organisation enfants et utilisateurs.
Tout d’abord, observez la valeur de l’attribut Last Known Parent pour tous les
utilisateurs supprimés et comment il lit OU=Sales\0ADEL:<guid+deleted objects unique
name>:
Filtrez sur le nom ambigu Ventes pour renvoyer l'unité d'organisation supprimée, que
vous restaurez ensuite :
Actualisez le Centre d’administration Active Directory pour voir le dernier attribut parent
connu de l’objet utilisateur supprimé en nom unique sales OU restauré :
Filtrez sur tous les utilisateurs Ventes. Maintenez les touches CTRL et A enfoncées pour
sélectionner tous les utilisateurs Ventes supprimés. Cliquez sur Restaurer pour déplacer
les objets du conteneur Objets supprimés vers l'unité d'organisation Ventes avec leurs
appartenances au groupe et attributs intacts.
Si l'unité d'organisation Ventes contenait des unités d'organisation enfants en propre,

vous pouvez commencer par restaurer les unités d'organisation enfants avant de
restaurer leurs enfants, et ainsi de suite.
Pour restaurer tous les objets supprimés imbriqués en spécifiant un conteneur parent
supprimé, voir Annexe B : Restaurer plusieurs objets Active Directory supprimés
(exemple de script).
L'applet de commande Active Directory pour Windows PowerShell qui permet de

restaurer les objets supprimés est la suivante :
PowerShell
Restore-adobject
La fonctionnalité d'applet de commande Restore-ADObject n'a pas changé entre

Windows Server 2008 R2 et Windows Server 2012.
Filtrage côté serveur
Au fil du temps, le conteneur Objets supprimés peut cumuler plus de 20 000 (ou même
100 000) objets dans les moyennes ou grandes entreprises et rencontre des difficultés
pour les afficher tous. Le mécanisme de filtre du Centre d'administration Active
Directory repose sur un filtrage côté client, il ne peut donc pas afficher ces objets
supplémentaires. Pour contourner cette limitation, utilisez les étapes suivantes pour
effectuer une recherche côté serveur :
1. Cliquez avec le bouton droit sur le conteneur Objets supprimés, puis cliquez sur
Rechercher sous ce nœud.
2. Cliquez sur le chevron pour afficher le menu Ajouter des critères, sélectionnez et
ajoutez Dernière modification entre des dates données. L'heure de dernière
modification (l'attribut whenChanged) est une approximation fiable de l'heure de
suppression ; dans la plupart des environnements, elles sont identiques. Cette
requête effectue une recherche côté serveur.
3. Identifiez les objets supprimés à restaurer à l'aide de filtres d'affichage
supplémentaires et de tri avancé des résultats, puis restaurez-les normalement.
Configuration et gestion des stratégies de mot

de passe affinées à l'aide du Centre
Configuration des stratégies de mot de passe affinées

Le Centre d'administration Active Directory vous permet de créer et de gérer des objets
de stratégie de mot de passe affinée. Windows Server 2008 a introduit la fonctionnalité
de stratégies de mot de passe affinées mais dans Windows Server 2012, c'est la
première fois qu'elle est dotée d'une interface de gestion graphique. Vous appliquez des
stratégies de mot de passe affinées au niveau du domaine, ce qui permet la substitution
du mot de passe de domaine unique nécessaire à Windows Server 2003. En créant
différentes stratégies de mot de passe affinées avec différents paramètres, les
utilisateurs individuels ou les groupes obtiennent des stratégies de mot de passe
différentes dans un domaine.
Pour plus d’informations sur la stratégie de mot de passe affinée, voir Guide pas à pas
relatif à la configuration des stratégies de verrouillage de compte et de mot de passe
affinées (Windows Server 2008 R2).
Dans le volet Navigation, cliquez sur Arborescence, sur votre domaine, Système, Classe
d'objets PSC (Password Settings Container), puis dans le volet Tâches, cliquez sur
Nouveau et Paramètres de mot de passe.
Gestion des stratégies de mot de passe affinées

La création d'une stratégie de mot de passe affinée ou la modification d'une stratégie
existante permet d'afficher l'éditeur Paramètres de mot de passe. À partir d'ici, vous
configurez toutes les stratégies de mot de passe souhaitées, comme dans Windows
Server 2008 ou Windows Server 2008 R2, à ceci près que vous disposez désormais d'un
éditeur spécifique intégré.
Renseignez tous les champs (astérisque rouge) nécessaires et facultatifs, puis cliquez sur
Ajouter pour définir les utilisateurs ou les groupes qui reçoivent cette stratégie. La
stratégie de mot de passe affinée substitue les paramètres de la stratégie de domaine
par défaut pour les principaux de sécurité spécifiés. Dans la figure ci-dessus, une
stratégie particulièrement restrictive s'applique uniquement au compte Administrateur
intégré pour éviter toute méprise. La stratégie est bien trop complexe pour des
utilisateurs standard, mais elle est adaptée dans le cas d'un compte à haut risque,
uniquement utilisé par les professionnels de l'informatique.
Vous définissez également la priorité et les utilisateurs et groupes auxquels la stratégie

s'applique dans un domaine donné.
Les applets de commande Active Directory pour Windows PowerShell relatives à la

stratégie de mot de passe affinée sont :
PowerShell
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy
La fonctionnalité d'applet de commande de stratégie de mot de passe affinée n'a pas

changé entre Windows Server 2008 R2 et Windows Server 2012. Pour votre commodité,
le diagramme suivant illustre les arguments associés pour les applets de commande :
Le Centre d'administration Active Directory vous permet également de rechercher

l'ensemble des stratégies de mot de passe affinées appliqué à un utilisateur donné.
Cliquez avec le bouton droit sur un utilisateur et cliquez sur Afficher les paramètres de
mot de passe résultants... pour ouvrir la page Paramètres de mot de passe qui
s’applique à cet utilisateur via une attribution implicite ou explicite :
L'examen des Propriétés d'un utilisateur ou d'un groupe montre les Paramètres de mot
de passe directement associés, qui sont les stratégies de mot de passe affinées
explicitement affectées :
L’affectation FGPP implicite ne s’affiche pas ici ; pour cela, vous devez utiliser l’option
Afficher les paramètres de mot de passe résultants...
Utilisation de la Visionneuse de l'historique
Windows PowerShell du Centre
La gestion future de Windows est Windows PowerShell. En disposant des outils
graphiques au-dessus d'une infrastructure d'automatisation des tâches, la gestion des
systèmes distribués les plus complexes devient cohérente et efficace. Vous devez
comprendre le fonctionnement de Windows PowerShell pour réaliser au mieux votre
potentiel et optimiser vos investissements en matière d'informatique.
Le Centre d'administration Active Directory fournit désormais un historique complet de

toutes les applets de commande Windows PowerShell qu'il exécute ainsi que leurs
arguments et leurs valeurs. Vous pouvez copier l'historique de l'applet de commande à
un autre emplacement pour l'étudier ou la modifier et la réutiliser. Vous pouvez créer
des notes Tâche pour permettre d'isoler le résultat des commandes du Centre
d'administration Active Directory dans Windows PowerShell. Vous pouvez également
filtrer l'historique pour trouver des points d'intérêt.
La Visionneuse de l'historique Windows PowerShell du Centre d'administration Active

Directory vous permet d'apprendre en pratiquant.
Cliquez sur le chevron (flèche) pour afficher la Visionneuse de l'historique Windows

PowerShell.
Créez ensuite un utilisateur ou modifiez l'appartenance à un groupe. La Visionneuse de
l'historique se met à jour en permanence avec un affichage réduit de chaque applet de
commande que le Centre d'administration Active Directory a exécuté avec les
arguments spécifiés.
Développez chaque élément de ligne pertinent pour afficher les valeurs fournies aux
arguments de l'applet de commande :
Cliquez sur le menu Démarrer la tâche pour créer une note manuelle avant d'utiliser le
Centre d'administration Active Directory pour créer, modifier ou supprimer un objet.
Tapez ce que vous étiez en train de faire. Quand vous avez terminé la modification,
sélectionnez Fin de tâche. La note de tâche regroupe toutes les actions effectuées dans
une note réductible, explicative.
Par exemple, pour afficher les commandes Windows PowerShell utilisées pour modifier
le mot de passe d'un utilisateur et le supprimer d'un groupe :
En cochant la case Afficher tout, vous affichez également les applets de commande
Windows PowerShell du verbe Get-* qui ne récupèrent que des données.
La Visionneuse de l'historique affiche les commandes littérales exécutées par le Centre

d'administration Active Directory. Vous remarquerez peut-être que certaines applets de
commande semblent s'exécuter inutilement. Par exemple, vous pouvez créer un
utilisateur avec :
PowerShell
new-aduser
et n'avez pas besoin d'utiliser :
PowerShell
set-adaccountpassword
enable-adaccount
set-aduser
La conception du Centre d'administration Active Directory a exigé une modularité et une

utilisation du code minimales. Ainsi, plutôt qu'un ensemble de fonctions crée des
utilisateurs et qu'un autre ensemble modifie des utilisateurs existants, il remplit chaque
fonction séparément, puis les regroupe à l'aide des applets de commande. Gardez cela à
l'esprit si vous étudiez Active Directory pour Windows PowerShell. Vous pouvez
également l'utiliser en tant technique d'apprentissage : en fait, Windows PowerShell
permet d'accomplir facilement une tâche simple.
Résolution des problèmes de gestion des

services de domaine Active Directory (AD DS)
Introduction à la résolution des problèmes

Le Centre d'administration Active Directory est relativement récent et peu utilisé dans
les environnements clients existants. Il offre donc des options limitées de résolution des
problèmes.
Options de résolution des problèmes
Options de journalisation
Le Centre d’administration Active Directory contient désormais la journalisation intégrée,
dans le cadre d’un fichier de configuration de suivi. Créez/modifiez le fichier suivant
dans le même dossier que dsac.exe :
dsac.exe.config
Créez le contenu suivant :
XML
<appSettings>
<add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
<trace autoflush="false" indentsize="4">
<listeners>
<add name="myListener"
type="System.Diagnostics.TextWriterTraceListener"
initializeData="dsac.trace.log" />
<remove name="Default" />
</listeners>
</trace>
</system.diagnostics>
Les niveaux de détail de DsacLogLevel sont Aucun, Erreur, Avertissement, Info et

Commenté. Le nom du fichier de sortie peut être configuré et enregistré dans le même
dossier que dsac.exe. La sortie peut vous renseigner sur le mode de fonctionnement du
Centre d'administration Active Directory, les contrôleurs de domaine qu'il a contactés,
les commandes Windows PowerShell qu'il a exécutées, les réponses obtenues et autres
informations.
Par exemple, en utilisant le niveau INFO qui renvoie tous les résultats sauf le détail au
niveau du suivi :
DSAC.exe démarre
La journalisation démarre
Le contrôleur de domaine doit renvoyer les informations de domaine initiales
[12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time

ms (output), Number objects (output)
[12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-

16T12:42:49
[12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-

DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$null
Le contrôleur de domaine DC1 a renvoyé depuis le domaine Corp
Lecteur virtuel AD PS chargé
[12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-

16T12:42:49, 1
[12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain

'CORP'.
[12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49
[12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-

PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1
[12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49
Obtenir les informations de la DSE racine du domaine
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49,

1
[12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-

16T12:42:49
Obtenir les informations de la Corbeille AD du domaine
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-

OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-

16T12:42:49, 1

1

1
[12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-

16T12:42:49
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-

OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-

16T12:42:50, 1
[12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50
Obtenir la forêt AD
[12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -

Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1
[12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50
Obtenir les informations de schéma pour les types de chiffrement pris en charge,
les stratégies de mot de passe affinées, certaines informations utilisateur
[12:42:50][TID 3][Info] Get-ADObject
-LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)
(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-
PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)
(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-
SupportedEncryptionTypes)(ldapdisplayname=msDS-
PasswordSettingsPrecedence))"
-Properties:lDAPDisplayName
-ResultPageSize:"100"
-ResultSetSize:$null
-SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com"
-SearchScope:"OneLevel"
-Server:"dc1.corp.contoso.com"
[12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7
[12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50
Obtenir toutes les informations concernant l'objet de domaine à afficher pour

l'administrateur qui a cliqué sur le sommet du domaine
[12:42:50][TID 3][Info] Get-ADObject
-IncludeDeletedObjects:$false
-LDAPFilter:"(objectClass=*)"
-
Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownPa
rent,sAMAccountType,systemFlags,userAccountControl,displayName,descript
ion,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,ms
DS-User-Account-Control-
Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpir
es,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-
PhoneticDisplayName,msDS-PhoneticFirstName,msDS-
PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,
operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,depar
tment,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn
,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-
PasswordSettingsPrecedence
-ResultPageSize:"100"
-ResultSetSize:"20201"
-SearchBase:"DC=corp,DC=contoso,DC=com"
-SearchScope:"Base"
-Server:"dc1.corp.contoso.com"
La définition du niveau de commentaire montre également les piles .NET pour chaque
fonction, mais celles-ci n'incluent pas assez de données pour être vraiment utiles, sauf
en cas de dépannage de Dsac.exe après une violation d'accès ou un incident. Les deux
causes probables de ce problème sont les suivantes :
les services Web Active Directory (ADWS) ne s'exécutent sur aucun contrôleur de
domaine accessible ;
Les communications réseau sont bloquées vers le service ADWS à partir de
l’ordinateur exécutant le Centre d’administration Active Directory.
） Important
Il existe également une version hors-bande du service appelée Passerelle de

gestion Active Directory, qui s’exécute sur Windows Server 2008 SP2 et Windows
Server 2003 SP2.
Les erreurs affichées quand aucune instance des services Web Active Directory ne sont
disponibles sont les suivantes :
Erreur Opération
« Impossible de se connecter à un domaine. Affiché au démarrage de l'application

Actualisez ou réessayez lorsque la connexion est Centre d'administration Active Directory
disponible. »
« Impossible de trouver un serveur disponible dans Affiché au cours d'une tentative de

le <domaine de nom> de domaine NetBIOS qui sélection d'un nœud de domaine dans
exécute le service web Active Directory (ADWS) » l'application Centre d'administration Active
Directory
Pour résoudre ce problème, utilisez ces étapes :
1. Vérifiez si les services Web Active Directory sont démarrés sur au moins un
contrôleur de domaine du domaine (et de préférence tous les contrôleurs de
domaine dans la forêt). Contrôlez qu'ils sont configurés pour démarrer
automatiquement sur tous les contrôleurs de domaine également.
2. Sur l'ordinateur exécutant le Centre d'administration Active Directory, vérifiez que

vous pouvez localiser un serveur exécutant les services Web Active Directory à
l'aide des commandes NLTest.exe suivantes :
nltest /dsgetdc:<domain NetBIOS name> /ws /force
nltest /dsgetdc:<domain fully qualified DNS name> /ws /force
Si ces tests échouent même si les services Web Active Directory sont en cours
d'exécution, le problème se pose avec la résolution de noms ou le protocole LDAP
et non avec les services Web Active Directory ou le Centre d'administration Active
Directory. Ce test échoue avec l'erreur « 1355 0x54B ERROR_NO_SUCH_DOMAIN »
si par exemple les services Web Active Directory ne sont pas en cours d'exécution
sur les contrôleurs de domaine. Il est donc important de revérifier avant de tirer
une conclusion hâtive.
3. Sur le contrôleur de domaine renvoyé par NLTest, videz la liste du port d'écoute
avec la commande :
Netstat -anob > ports.txt
Examinez le fichier ports.txt, puis validez que les services Web Active Directory
écoutent le port 9389. Exemple :
TCP 0.0.0.0:9389 0.0.0.0:0 LISTENING 1828
[Microsoft.ActiveDirectory.WebServices.exe]
TCP [::]:9389 [::]:0 LISTENING 1828
[Microsoft.ActiveDirectory.WebServices.exe]
Si c'est le cas, validez les règles du Pare-feu Windows et vérifiez qu'elles autorisent
le port TCP 9389 entrant. Par défaut, les contrôleurs du domaine activent la règle
du pare-feu « Services Web Active Directory (TCP-entrant) ». Si le port n'est pas en
train d'écouter, vérifiez à nouveau que les services sont en cours d'exécution sur ce
serveur et redémarrez-le. Vérifiez qu'aucun autre processus n'est déjà en train
d'écouter sur le port 9389.
4. Installez NetMon ou un autre utilitaire de capture réseau sur l'ordinateur exécutant

le Centre d'administration Active Directory et sur le contrôleur de domaine renvoyé
par NLTEST. Rassemblez des captures du réseau simultanées depuis les deux
ordinateurs, sur lesquels vous démarrez le Centre d'administration Active Directory
et voyez l'erreur avant d'arrêter les captures. Vérifiez que le client est capable
d'envoyer des données au contrôleur de domaine et d'en recevoir de ce dernier
sur le port TCP 9389. Si les paquets sont envoyés mais qu'ils n'arrivent jamais à
destination, ou s'ils arrivent, que le contrôleur de domaine répond mais qu'ils
n'atteignent jamais le client, un pare-feu est probablement placé entre les
ordinateurs sur les paquets ignorés du réseau sur ce port. Ce pare-feu peut être
logiciel ou matériel et faire partie d'un logiciel tiers (antivirus) de protection de
point de terminaison.
Voir aussi
Corbeille Active Directory, stratégie de mot de passe affinée et historique PowerShell
Virtualisation des services de domaine
Active Directory

Cette rubrique liste les ressources disponibles pour l'utilisation de contrôleurs de

domaine virtualisés.
Présentation de la virtualisation Active Directory Domain Services (AD DS) (niveau

100)
Informations techniques de référence sur les contrôleurs de domaine virtualisés

(niveau 300)
Aide relative aux tests de clonage des contrôleurs de domaine virtualisés pour les
fournisseurs d’applications
Prise en charge de l’utilisation de la réplication Hyper-V pour les contrôleurs de

domaine virtualisés
Virtualisation sécurisée des services de
domaine Active Directory (AD DS)
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server
Depuis Windows Server 2012, AD DS offre une prise en charge accrue de la virtualisation

des contrôleurs de domaine grâce à l’introduction de technologies sécurisées pour la
virtualisation. Cet article explique le rôle que les USN et les InvocationID jouent dans la
réplication du contrôleur de domaine et décrit certains problèmes potentiels qui
peuvent se produire.
Mettre à jour le numéro de séquence et

InvocationID
Les environnements virtuels posent des défis uniques pour les charges de travail
distribuées qui dépendent d’un schéma de réplication fondé sur un mécanisme
d’horloge logique. Par exemple, la réplication AD DS utilise une valeur qui augmente de
manière monotone (appelée « USN » ou « numéro de séquence de mise à jour ») et est
affectée aux transactions sur chaque contrôleur de domaine. Chaque instance de base
de données du contrôleur de domaine se voit également attribuer une identité appelée
« InvocationID ». La valeur InvocationID d’un contrôleur de domaine et sa valeur USN
jouent ensemble le rôle d’un identificateur unique associé à chaque transaction en
écriture réalisée dans chaque contrôleur de domaine et doivent être uniques au sein de
la forêt.
La réplication AD DS exploite des valeurs InvocationID et USN sur chaque contrôleur de

domaine afin de déterminer les changements à répliquer sur d’autres contrôleurs de
domaine. Si un contrôleur de domaine est restauré à temps sans que le contrôleur de
domaine en ait connaissance et si un USN est réutilisé pour une transaction
complètement différente, la réplication ne fera aucun lien puisque les autres contrôleurs
de domaine penseront qu’ils ont déjà reçu les mises à jour associées au numéro USN
réutilisé dans le contexte de cette valeur InvocationID.
Par exemple, l’illustration suivante décrit la séquence des événements qui ont lieu dans
Windows Server 2008 R2 et des systèmes d’exploitation antérieurs lorsqu’une
restauration USN est détectée sur VDC2, le contrôleur de domaine de destination
exécuté sur un ordinateur virtuel. Dans cette illustration, la détection de la restauration
USN se produit sur VDC2 lorsqu’un partenaire de réplication détecte que VDC2 a
envoyé une valeur USN de mise à jour déjà vue par le partenaire de réplication, ce qui
signifie qu’une version antérieure erronée de la base de données de VDC2 a été
restaurée.
Un ordinateur virtuel permet aux administrateurs d’hyperviseurs de restaurer les valeurs

USN (l’horloge logique) d’un contrôleur de domaine, notamment en appliquant une
capture instantanée sans que ce dernier ne le sache. Pour obtenir des informations sur
les numéros USN et la restauration USN et consulter une autre illustration décrivant les
instances de restauration USN non détectées, voir les sections USN et Restauration USN.
Depuis Windows Server 2012, les contrôleurs de domaine virtuels AD DS hébergés sur

des plateformes d’hyperviseur qui dévoilent un identificateur appelé « ID de génération
d’ordinateur virtuel » peuvent détecter et employer des mesures de sécurité nécessaires
à la protection de l’environnement AD DS si l’ordinateur virtuel est restauré à temps par
réalisation d’une capture instantanée d’ordinateur virtuel. La structure de l’ID de
génération d’ordinateur virtuel repose sur un mécanisme hyperviseur/fournisseur
indépendant qui présente l’identificateur dans l’espace d’adressage de l’ordinateur
virtuel invité, de sorte que l’expérience de virtualisation sécurisée reste
systématiquement disponible depuis chaque hyperviseur prenant en charge les ID de
génération d’ordinateur virtuel. Cet identificateur peut être testé par les services et les
applications en cours d’exécution sur l’ordinateur virtuel afin de détecter si un
ordinateur virtuel a été restauré à temps.
Effets de la restauration USN
Lors d’une restauration USN, les modifications apportées aux objets et aux attributs ne
sont pas répliquées en entrée par les contrôleurs de domaine de destination ayant déjà
vu l’USN.
Dans la mesure où ces contrôleurs de domaine de destination pensent qu’ils sont à jour,
aucune erreur de réplication n’est signalée dans les journaux des événements du service
d’annuaire ou via les outils de supervision et de diagnostics.
La restauration du nombre de séquences de mise à jour (USN) peut affecter la

réplication d’un objet ou d’un attribut dans n’importe quelle partition. L’effet secondaire
le plus fréquemment observé est l’absence, sur un ou plusieurs partenaires de
réplication, des comptes d’utilisateurs et d’ordinateurs créés sur le contrôleur de
domaine de restauration ; Dans certains cas, les mises à jour de mot de passe provenant
du contrôleur de domaine de restauration n’existent pas sur les partenaires de
réplication.
Une restauration USN peut empêcher la réplication d’un type d’objet dans une partition
de Active Directory. Ces types de données incluent :
La topologie et le calendrier de réplication d’Active Directory

L’existence de contrôleurs de domaine dans la forêt et les rôles qu’ils occupent
L’existence de partitions de domaine et d’application dans la forêt
L’existence de groupes de sécurité et leur appartenance à des groupes actuels
Inscription des enregistrements DNS dans les zones DNS intégrées à
Active Directory
La taille du trou USN peut représenter des centaines, des milliers, voire des dizaines de
milliers de modifications pour les utilisateurs, les ordinateurs, les approbations, les mots
de passe et les groupes de sécurité. Le trou USN correspond à la différence entre le
numéro USN le plus élevé qui existait lors de la sauvegarde de l’état du système restauré
et le nombre de modifications d’origine qui ont été créées sur le contrôleur de domaine
restauré avant qu’il ne soit mis hors connexion.
Détection d’une restauration USN

Étant donné qu’il est difficile de détecter une restauration USN, un contrôleur de
domaine enregistre l’événement 2095 lorsqu’un contrôleur de domaine source envoie
un numéro USN précédemment reconnu à un contrôleur de domaine de destination
sans modification correspondante de l’ID d’invocation.
Pour éviter la création de mises à jour d’origine uniques Active Directory sur le
contrôleur de domaine mal restauré, le service Accès réseau est interrompu. Lorsque le
service Accès réseau est interrompu, les comptes d’utilisateurs et d’ordinateurs ne
peuvent pas modifier le mot de passe sur un contrôleur de domaine qui n’effectue pas
de réplication sortante de ces modifications. De même, les outils d’administration
Active Directory privilégient un contrôleur de domaine sain lorsqu’ils effectuent des
mises à jour d’objets dans Active Directory.
Sur un contrôleur de domaine, les messages d’événement qui ressemblent à ce qui suit
sont enregistrés si les conditions suivantes sont remplies :
Un contrôleur de domaine source envoie un numéro USN précédemment reconnu

à un contrôleur de domaine de destination.
Il n’y a aucune modification correspondante dans l’ID d’invocation.
Ces événements peuvent être enregistrés dans le journal des événements du service de
répertoire. Toutefois, ils peuvent être remplacés avant d’être examinés par un
administrateur.
Si vous pensez qu’une restauration USN a été effectuée mais que vous ne voyez aucun
événement correspondant dans les journaux des événements, recherchez l’entrée DSA
Not Writable (DSA non accessible en écriture) dans le Registre. Cette entrée vous fournit
la preuve qu’une restauration USN a été effectuée.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Registry entry: Dsa Not Writable
Value: 0x4
２ Avertissement
Si vous supprimez ou la modifiez manuellement la valeur de l’entrée de registre

DSA non accessible en écriture, le contrôleur de domaine de restauration sera en
permanence dans un état non pris en charge. C’est pourquoi ces changements ne
sont pas pris en charge. Plus précisément, la modification de la valeur supprime le
comportement de quarantaine ajouté par le code de détection de la restauration
USN. Les partitions Active Directory du contrôleur de domaine de restauration
seront définitivement incohérentes avec les partenaires de réplication directs et
transitives dans la même forêt Active Directory.
Pour plus d’informations sur cette clé de registre et les étapes de résolution, consultez
l’article de support Erreur de réplication 8456 ou 8457 Active Directory : « Le serveur
source | de destination rejette actuellement les demandes de réplication » .
Dispositif de protection basée sur la

virtualisation
Lors de l’installation du contrôleur de domaine, AD DS stocke d’abord l’identificateur de
génération d’ordinateur virtuel en tant que composant de l’attribut msDS-GenerationID
dans l’objet ordinateur du contrôleur de domaine, à l’intérieur de sa base de données
(on parle souvent d’arborescence d’information de répertoire ou de « DIT »). L’ID de
génération d’ordinateur virtuel est contrôlé de manière indépendante par un pilote
Windows au sein de l’ordinateur virtuel.
Lorsqu’un administrateur restaure l’ordinateur virtuel à partir d’une capture instantanée

précédente, la valeur actuelle de l’ID de génération d’ordinateur virtuel extraite du pilote
de l’ordinateur virtuel est comparée à une valeur au sein du DIT.
Si les deux valeurs sont différentes, l’attribut InvocationID est réinitialisé et le pool RID
est rejeté, ce qui empêche toute réutilisation des numéros USN. Si les valeurs sont
identiques, la transaction est validée comme une transaction normale.
Les services de domaine Active Directory (AD DS) comparent également la valeur
actuelle de l’ID de génération d’ordinateur virtuel provenant de l’ordinateur virtuel à la
valeur interne du DIT chaque fois que le contrôleur de domaine est redémarré. S’ils
trouvent une valeur différente, ils réinitialisent l’attribut InvocationID, rejettent le pool
RID et mettent à jour le DIT pour y inclure la nouvelle valeur. Ils procèdent également à
une synchronisation ne faisant pas autorité du dossier SYSVOL pour mener la
restauration à terme, en toute sécurité. Les mécanismes de protection peuvent ainsi
étendre l’application des captures instantanées sur des ordinateurs virtuels qui ont été
arrêtés. Ces dispositifs de protection introduits dans Windows Server 2012 permettent
aux administrateurs AD DS de bénéficier des avantages uniques inhérents au
déploiement et à la gestion des contrôleurs de domaine dans un environnement
virtualisé.
L’illustration suivante montre comment les dispositifs de protection de la virtualisation

sont appliqués lorsque la même restauration USN est détectée sur un contrôleur de
domaine virtualisé qui exécute Windows Server 2012 sur un hyperviseur prenant en
charge l’ID de génération d’ordinateur virtuel.
Dans ce cas, dès que l’hyperviseur détecte que la valeur de l’ID de génération
d’ordinateur virtuel a été modifiée, les mécanismes de protection de la virtualisation
sont déclenchés, y compris la réinitialisation de l’attribut InvocationID pour le contrôleur
de domaine virtualisé (de A à B dans l’exemple précédent) et la mise à jour de la valeur
de l’ID de génération d’ordinateur virtuel enregistrée sur l’ordinateur virtuel pour
correspondre à la nouvelle valeur (G2) stockée par l’hyperviseur. Les mécanismes de
protection de la virtualisation s’assurent que la réplication converge pour les deux
contrôleurs de domaine.
Avec Windows Server 2012, AD DS applique des dispositifs de protection sur les

contrôleurs de domaine virtuels hébergés sur des hyperviseurs prenant en charge l’ID de
génération d’ordinateur virtuel, puis s’assure que toute application fortuite des captures
instantanées ou de mécanismes similaires activés par hyperviseur susceptibles de
restaurer l’état d’un ordinateur virtuel ne cause aucun dommage à l’environnement
AD DS (en empêchant tout problème de réplication comme une bulle USN ou des
objets en attente).
La restauration d’un contrôleur de domaine par application d’une capture instantanée

d’ordinateur virtuel n’est pas conseillée et ne constitue pas un mécanisme de secours
pour la sauvegarde d‘un contrôleur de domaine. Nous vous recommandons de
continuer à utiliser la fonctionnalité Sauvegarde Windows Server ou d’autres solutions
de sauvegarde fondées sur l’enregistreur VSS.
Ｕ Attention
Si un contrôleur de domaine d’un environnement de production revient

accidentellement à l’état de capture instantanée, il est préférable que vous
consultiez les fournisseurs d’applications et des services hébergés sur cet
ordinateur virtuel pour obtenir des conseils sur la vérification de l’état de ces
programmes après restauration de la capture instantanée.
Pour plus d'informations, voir Virtualized domain controller safe restore architecture.
Récupération à partir d’une restauration USN

Deux approches permettent d’effectuer une récupération à partir d’une restauration
USN :
Supprimez le contrôleur de domaine du domaine

Restaurez l’état du système d’une sauvegarde correcte
Supprimez le contrôleur de domaine du domaine

1. Supprimez Active Directory du contrôleur de domaine pour le forcer à être un
serveur autonome.
2. Arrêtez le serveur rétrogradé.
3. Sur un contrôleur de domaine sain, nettoyez les métadonnées du contrôleur de
domaine rétrogradé.
4. Si le contrôleur de domaine restauré de manière incorrecte héberge des rôles de
maître d’opérations, transférez-les vers un contrôleur de domaine sain.
5. Redémarrez le serveur rétrogradé.
6. Le cas échéant, réinstallez Active Directory sur le serveur autonome.
7. Si le contrôleur de domaine était auparavant un catalogue global, configurez le
contrôleur de domaine en tant que catalogue global.
8. Si le contrôleur de domaine hébergeait auparavant des rôles de maître
d’opérations, transférez-les rôles vers le contrôleur de domaine.
Restaurez l’état du système d’une sauvegarde correcte

Vérifiez s’il existe des sauvegardes de l’état du système valides pour ce contrôleur de
domaine. Si vous aviez effectué une sauvegarde d’état du système correcte avant l’échec
de restauration du contrôleur de domaine, et que cette sauvegarde contient les
modifications récentes appliquées au contrôleur de domaine, restaurez l’état du système
à partir de la sauvegarde la plus récente.
Vous pouvez également utiliser l’instantané comme source d’une sauvegarde. Vous
pouvez également configurer la base de données pour qu’elle s’attribue un nouvel ID
d’invocation. Pour cela, suivez la procédure décrite dans la section Restaurer un
contrôleur de domaine virtuel en l’absence de sauvegarde appropriée des données sur
l’état du système
Étapes suivantes
Pour plus d’informations sur la résolution des problèmes liés aux contrôleurs de
domaine virtualisés, voir Virtualized Domain Controller Troubleshooting.
Informations détaillées sur le service de temps Windows (W32Time)
Informations techniques de référence
sur les contrôleurs de domaine
virtualisés (niveau 300)

Les informations techniques de référence sur les contrôleurs de domaine virtualisés

comportent les rubriques suivantes :
Architecture des contrôleurs de domaine virtualisés
Déploiement et configuration des contrôleurs de domaine virtualisés
Résolution des problèmes relatifs aux contrôleurs de domaine virtualisés
Annexe des informations techniques de référence sur les contrôleurs de domaine

virtualisés
Ressources supplémentaires du contrôleur de domaine virtualisé

Architecture des contrôleurs de

Cette rubrique décrit l'architecture du clonage et de la restauration sécurisée d'un

contrôleur de domaine virtualisé. Elle illustre le processus de clonage et de restauration
sécurisée à l'aide d'organigrammes, puis explique de manière détaillée chaque étape du
processus.
Architecture du clonage d'un contrôleur de domaine virtualisé
Architecture de la restauration sécurisée d'un contrôleur de domaine virtualisé
Architecture du clonage d'un contrôleur de

domaine virtualisé
Vue d’ensemble
Le clonage d'un contrôleur de domaine virtualisé repose sur la plateforme de
l'hyperviseur pour exposer un identificateur appelé ID de génération d'ordinateur
virtuel pour détecter la création d'un ordinateur virtuel. AD DS stocke d'abord la valeur
de cet identifiant dans sa base de données (NTDS.DIT) durant la promotion du
contrôleur de domaine. Quand l'ordinateur virtuel démarre, la valeur actuelle de l'ID de
génération d'ordinateur virtuel de l'ordinateur virtuel est comparée à la valeur contenue
dans la base de données. Si les deux valeurs sont différentes, le contrôleur de domaine
réinitialise l'ID d'appel et supprime le pool RID, ce qui empêche ainsi la réutilisation de
la valeur USN ou la création potentielle de principaux de sécurité dupliqués. Le
contrôleur de domaine recherche ensuite un fichier DCCloneConfig.xml dans les
emplacements décrits à l'étape 3 dans Processus détaillé du clonage. S'il trouve un
fichier DCCloneConfig.xml, il en conclut qu'il est déployé en tant que clone. Il démarre
donc le clonage pour s'approvisionner en tant que contrôleur de domaine
supplémentaire en effectuant une nouvelle promotion à l'aide du contenu existant de
NTDS.DIT et de SYSVOL, copié à partir du média source.
Dans un environnement mixte où seuls certains hyperviseurs prennent en charge l'ID de
génération d'ordinateur virtuel, il est possible qu'un média clone soit déployé
involontairement sur un hyperviseur qui ne prend pas en charge l'ID de génération
d'ordinateur virtuel. La présence du fichier DCCloneConfig.xml indique l'intention
administrative de cloner un contrôleur de domaine. Ainsi, si un fichier
DCCloneConfig.xml est détecté au démarrage, mais qu'aucun ID de génération
d'ordinateur virtuel n'est fourni par l'hôte, le contrôleur de domaine clone démarre en
mode de restauration des services d'annuaire (DSRM) pour éviter tout impact sur le
reste de l'environnement. Le média clone peut ensuite être déplacé vers un hyperviseur
qui prend en charge l'ID de génération d'ordinateur virtuel, ce qui permet de retenter le
clonage.
Si le média clone est déployé sur un hyperviseur qui prend en charge l'ID de génération
d'ordinateur virtuel mais qu'aucun fichier DCCloneConfig.xml n'est fourni, quand le
contrôleur de domaine détecte un changement d'ID de génération d'ordinateur virtuel
entre son fichier DIT et celui du nouvel ordinateur virtuel, il déclenche des dispositifs de
protection pour empêcher la réutilisation de la valeur USN et la duplication des SID.
Cependant, le clonage n'est pas lancé. Ainsi, le contrôleur de domaine secondaire
continue de s'exécuter sous la même identité que le contrôleur de domaine source. Ce
contrôleur de domaine secondaire doit être supprimé du réseau le plus tôt possible
pour éviter toute incohérence dans l'environnement.
Processus détaillé du clonage

Le schéma suivant illustre l'architecture d'une opération de clonage initiale et d'une
opération de nouvelle tentative de clonage. Ces processus sont expliqués de manière
détaillée plus loin dans cette rubrique.
Opération de clonage initiale

Opération de nouvelle tentative de clonage
Les étapes suivantes expliquent le processus de manière plus détaillée :
1. Un contrôleur de domaine d'ordinateur virtuel existant démarre sur un hyperviseur

qui prend en charge l'ID de génération d'ordinateur virtuel.
a. Cet ordinateur virtuel n'a aucune valeur d'ID de génération d'ordinateur virtuel
déjà définie sur son objet ordinateur AD DS après la promotion.
b. Même si sa valeur est Null, la prochaine création d'ordinateur signifie qu'il y a

clonage, car aucun nouvel ID de génération d'ordinateur virtuel ne correspond.
c. L'ID de génération d'ordinateur virtuel est défini après le prochain redémarrage

du contrôleur de domaine et n'est pas répliqué.
2. L'ordinateur virtuel lit ensuite l'ID de génération d'ordinateur virtuel fourni par le
pilote VMGenerationCounter. Il compare les deux ID de génération d'ordinateur
virtuel.
a. Si les ID correspondent, il ne s'agit pas d'un nouvel ordinateur virtuel et aucun

clonage n'a lieu. S'il existe un fichier DCCloneConfig.xml, le contrôleur de
domaine renomme le fichier avec un cachet de date et d'heure qui empêche le
clonage. Le serveur continue de démarrer normalement. C'est ainsi que
s'effectue chaque redémarrage de n'importe quel contrôleur de domaine virtuel
dans Windows Server 2012.
b. Si les deux ID ne correspondent pas, il s'agit d'un nouvel ordinateur virtuel qui
contient un fichier NTDS.DIT d'un précédent contrôleur de domaine (ou il s'agit
d'une capture instantanée restaurée). S'il existe un fichier DCCloneConfig.xml, le
contrôleur de domaine poursuit les opérations de clonage. Sinon, il poursuit les
opérations de restauration de capture instantanée. Consultez Architecture de la
restauration sécurisée d'un contrôleur de domaine virtualisé.
c. Si l'hyperviseur ne fournit pas d'ID de génération d'ordinateur virtuel pour la

comparaison, mais qu'il existe un fichier DCCloneConfig.xml, l'invité renomme le
fichier, puis démarre en mode DSRM pour protéger le réseau contre une
duplication du contrôleur de domaine. S'il n'existe aucun fichier
dccloneconfig.xml, l'invité démarre normalement (avec le risque de duplication
du contrôleur de domaine sur le réseau).
3. Le service NTDS vérifie la valeur du nom de la valeur de Registre DWORD

VDCisCloning (sous
HKEY_Local_Machine\System\CurrentControlSet\Services\Ntds\Parameters).
a. Si elle n'existe pas, il s'agit d'une première tentative de clonage de cet

ordinateur virtuel. L'invité implémente les dispositifs de protection contre la
duplication d'objet VDC en invalidant le pool RID local et en définissant un
nouvel ID d'appel de réplication pour le contrôleur de domaine
b. Si sa valeur est déjà 0x1, il s'agit d'une « nouvelle » tentative de clonage, après
l'échec d'une précédente opération de clonage. Les mesures de sécurité contre
la duplication d'objets VDC ne sont pas prises, car elles ont déjà dû être
appliquées une fois auparavant. En outre, elles risquent d'altérer inutilement
l'invité à plusieurs reprises.
4. Le nom de la valeur de Registre DWORD IsClone est écrit (sous

Hkey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters)
5. Le service NTDS change l'indicateur de démarrage de l'invité pour qu'il démarre

désormais en mode de réparation des services d'annuaire.
6. Le service NTDS tente de lire le fichier DcCloneConfig.xml dans l'un des trois
emplacements admis (répertoire de travail DSA, %windir%\NTDS ou média
amovible accessible en lecture/écriture, dans l'ordre des lettres de lecteur, à la
racine du lecteur).
a. Si le fichier n'existe dans aucun emplacement valide, l'invité vérifie si l'adresse IP

n'est pas dupliquée. Si l'adresse IP n'est pas dupliquée, le serveur démarre
normalement. S'il existe une adresse IP dupliquée, l'ordinateur démarre en
mode DSRM pour protéger le réseau contre une duplication du contrôleur de
domaine.
b. Si le fichier existe dans un emplacement valide, le service NTDS valide ses

paramètres. Si le fichier est vide ou si des paramètres particuliers sont vides, le
service NTDS configure automatiquement les valeurs de ces paramètres.
c. Si le fichier DcCloneConfig.xml existe mais qu'il contient des entrées non valides
ou qu'il est illisible, le clonage échoue et l'invité démarre en mode de
restauration des services d'annuaire (DSRM).
7. L'invité désactive toutes les inscriptions automatiques DNS pour empêcher le

détournement accidentel du nom et des adresses IP de l'ordinateur source.
8. L'invité arrête le service Netlogon pour éviter toute publication ou réponse relative
aux demandes AD DS des clients sur le réseau.
9. Le service NTDS vérifie qu'il n'y a aucun service ou programme installé qui ne fait
pas partie des fichiers DefaultDCCloneAllowList.xml ou
CustomDCCloneAllowList.xml
a. S'il existe des services ou programmes installés qui ne figurent pas dans la liste
d'exclusions/liste verte par défaut ou dans la liste d'exclusions/liste verte
personnalisée, le clonage échoue et l'invité démarre en mode DSRM pour
protéger le réseau contre une duplication du contrôleur de domaine.
b. S'il n'y a aucune incompatibilité, le clonage se poursuit.
10. Si l'adressage IP automatique est utilisé en raison de paramètres réseau vides dans
le fichier DCCloneConfig.xml, l'invité active le protocole DHCP sur les cartes réseau
pour obtenir un bail d'adresse IP, un routage réseau, ainsi que des informations de
résolution de noms.
11. L'invité localise et contacte le contrôleur de domaine qui exécute le rôle FSMO
d'émulateur de contrôleur de domaine principal. Cela demande l'utilisation de DNS
et du protocole DCLocator. Il établit une connexion RPC et appelle la méthode
IDL_DRSAddCloneDC pour cloner l'objet ordinateur du contrôleur de domaine.
a. Si l'objet ordinateur source de l'invité détient l'autorisation étendue d'en-tête

de domaine « Autoriser un contrôleur de domaine à créer un clone de lui-même
», le clonage se poursuit.
b. Si l'objet ordinateur source de l'invité ne détient pas cette autorisation étendue,

le clonage échoue et l'invité démarre en mode DSRM pour protéger le réseau
contre une duplication du contrôleur de domaine.
12. Le nom de l'objet ordinateur AD DS est défini pour correspondre au nom spécifié
dans le fichier DCCloneConfig.xml, le cas échéant, ou généré automatiquement sur
l'émulateur de contrôleur de domaine principal. Le service NTDS crée l'objet
paramètre NTDS adéquat pour le site logique Active Directory approprié.
a. S'il s'agit d'un clonage de contrôleur de domaine principal, l'invité renomme

l'ordinateur local et redémarre. Après le redémarrage, il passe à l’étape 1 - 10,
puis passe à l’étape 13.
b. S'il s'agit du clonage d'un contrôleur de domaine réplica, aucun redémarrage

n'a lieu à ce stade.
13. L'invité fournit les paramètres de promotion au service Serveur de rôles DS, qui
commence la promotion.
14. Le service Serveur de rôles DS arrête tous les services liés aux services AD DS
(NTDS, NTFRS/DFSR, KDC, DNS).
15. L'invité force la synchronisation date/heure NT5DS (protocole Windows NTP) avec
un autre contrôleur de domaine (dans une hiérarchie de service de temps
Windows par défaut, cela revient à utiliser l'émulateur de contrôleur de domaine
principal). L'invité contacte l'émulateur de contrôleur de domaine principal. Tous
les tickets Kerberos existants sont vidés.
16. L'invité configure l'exécution automatique des services DFSR/NTFRS. L’invité

supprime tous les fichiers de base de données DFSR et NTFRS existants (par défaut
: c:\windows\ntfrs et c:\system volume information\dfsr\<database_GUID>), afin de
forcer la synchronisation non faisant autorité de SYSVOL au démarrage suivant du
service. L'invité ne supprime pas le contenu des fichiers de SYSVOL, pour prédéfinir
SYSVOL quand la synchronisation démarrera plus tard.
17. L'invité est renommé. Le service Serveur de rôles DS sur l'invité commence la
configuration d'AD DS (promotion) en utilisant le fichier de base de données
existant NTDS.DIT en tant que source, au lieu de la base de données de modèle
incluse dans c:\windows\system32, comme le fait normalement une promotion.
18. L'invité contacte le détenteur du rôle FSMO du maître RID pour obtenir une
nouvelle allocation du pool RID.
19. Le processus de promotion crée un ID d'appel et recrée l'objet Paramètres NTDS

pour le contrôleur de domaine cloné (indépendamment du clonage, cela fait partie
de la promotion de domaine en cas d'utilisation d'une base de données NTDS.DIT
existante).
20. Le service NTDS réplique les objets manquants, nouveaux ou qui ont une version
supérieure, à partir d'un contrôleur de domaine partenaire. NTDS.DIT contient déjà
des objets qui datent du moment où le contrôleur de domaine source était hors
connexion. Dans la mesure du possible, ces objets sont utilisés pour réduire le
trafic de réplication entrant. Les partitions du catalogue global sont remplies.
21. Le service DFSR ou FRS démarre. Comme il n'y a aucune base de données, SYSVOL
effectue une synchronisation ne faisant pas autorité des données entrantes à partir
d'un partenaire de réplication. Ce processus réutilise les données préexistantes du
dossier SYSVOL pour réduire le trafic de réplication sur le réseau.
22. L'invité réactive l'inscription de client DNS une fois que l'ordinateur a un nom
unique et qu'il est connecté au réseau.
23. L’invité exécute les modules SYSPREP spécifiés par l’élément

DefaultDCCloneAllowList.xml <SysprepInformation> afin de nettoyer les références
au nom de l’ordinateur précédent et au SID.
24. La promotion du clonage est effectuée.

a. L'invité supprime l'indicateur de démarrage en mode DSRM pour que le
prochain redémarrage soit normal.
b. L'invité renomme le fichier DCCloneConfig.xml en ajoutant un cachet de

date/heure qui l'empêche d'être lu à nouveau au prochain démarrage.
c. L'invité supprime le nom de la valeur de Registre DWORD VdcIsCloning sous

HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters.
d. L'invité affecte la valeur 0x1 au nom de la valeur de Registre DWORD

« VdcCloningDone » sous
HKEY_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters.
Windows n'utilise pas cette valeur mais la fournit à la place en tant que
marqueur pour des logiciels tiers.
25. L'invité met à jour l'attribut msDS-GenerationID sur son propre objet contrôleur de
domaine cloné pour correspondre à l'ID de génération d'ordinateur virtuel invité
actuel.
26. L'invité redémarre. Il est désormais un contrôleur de domaine de publication

normal.
Architecture de la restauration sécurisée d'un

contrôleur de domaine virtualisé
Vue d’ensemble
AD DS repose sur la plateforme de l'hyperviseur pour exposer un identificateur appelé
ID de génération d'ordinateur virtuel pour détecter la restauration de capture
instantanée d'un ordinateur virtuel. AD DS stocke d'abord la valeur de cet identifiant
dans sa base de données (NTDS.DIT) durant la promotion du contrôleur de domaine.
Quand un administrateur restaure l'ordinateur virtuel à partir d'une capture instantanée
précédente, la valeur actuelle de l'ID de génération d'ordinateur virtuel de l'ordinateur
virtuel est comparée à la valeur contenue dans la base de données. Si les deux valeurs
sont différentes, le contrôleur de domaine réinitialise l'ID d'appel et supprime le pool
RID, ce qui empêche ainsi la réutilisation de la valeur USN ou la création potentielle de
principaux de sécurité dupliqués. Une restauration sécurisée peut se produire dans deux
cas de figure :
quand un contrôleur de domaine virtuel a démarré après la restauration d'une

capture instantanée pendant qu'il était arrêté ;
quand une capture instantanée est restaurée sur un contrôleur de domaine virtuel
en cours d'exécution.
Si le contrôleur de domaine virtualisé dans la capture instantanée est dans un état

interrompu et non à l'arrêt, vous devez redémarrer le service AD DS pour
déclencher une nouvelle demande de pool RID. Vous pouvez redémarrer le service
AD DS à l'aide du composant logiciel enfichable Services ou à l'aide de Windows
PowerShell (Restart-Service NTDS -force).
Les sections suivantes expliquent en détail la restauration sécurisée pour chaque

scénario.
Processus détaillé de la restauration sécurisée

L'organigramme suivant montre le déroulement de la restauration sécurisée quand un
contrôleur de domaine virtuel a démarré après la restauration d'une capture instantanée
pendant qu'il était arrêté.
1. Quand l'ordinateur virtuel démarre après la restauration d'une capture instantanée,

un nouvel ID de génération d'ordinateur virtuel lui est affecté par l'hôte
hyperviseur en raison de la restauration de la capture instantanée.
2. Le nouvel ID de génération d'ordinateur virtuel de l'ordinateur virtuel est comparé

à l'ID de génération d'ordinateur virtuel dans la base de données. Dans la mesure
où les deux ID ne correspondent pas, des dispositifs de protection sont utilisés
pour la virtualisation (voir l'étape 3 de la section précédente). Une fois la
restauration appliquée, l'ID de génération d'ordinateur virtuel défini sur son objet
ordinateur AD DS est mis à jour pour correspondre au nouvel ID fourni par l'hôte
hyperviseur.
3. L'invité utilise des dispositifs de protection en :

a. invalidant le pool RID local ;
b. définissant un nouvel ID d'appel pour la base de données du contrôleur de

domaine.
７ Notes
Cette partie de la restauration sécurisée se superpose au processus de clonage.

Bien que ce processus concerne la restauration sécurisée d'un contrôleur de
domaine virtuel après son démarrage à la suite d'une restauration de capture
instantanée, les mêmes étapes ont lieu durant le processus de clonage.
Le schéma suivant montre comment les dispositifs de protection de virtualisation

empêchent la divergence induite par la restauration de la valeur USN quand une capture
instantanée est restaurée sur un contrôleur de domaine virtuel en cours d'exécution.
７ Notes
L'illustration précédente est simplifiée pour permettre l'explication des concepts.
1. À l'heure T1, l'administrateur de l'hyperviseur prend une capture instantanée du

contrôleur de domaine DC1 virtuel. À ce moment-là, le contrôleur de domaine DC1
possède une valeur USN (highestCommittedUsn en pratique) égale à 100,
InvocationId (représentée en tant qu'ID dans le schéma précédent) possède la
valeur A (GUID en pratique). La valeur de savedVMGID est l'ID de génération
d'ordinateur virtuel contenu dans le fichier DIT du contrôleur de domaine (stocké
en fonction de l'objet ordinateur du contrôleur de domaine dans un attribut
nommé msDS-GenerationId). La valeur de VMGID est la valeur actuelle de l'ID de
génération d'ordinateur virtuel disponible à partir du pilote d'ordinateur virtuel.
Cette valeur est fournie par l'hyperviseur.
2. Plus tard, à l'heure T2, 100 utilisateurs sont ajoutés à ce contrôleur de domaine
(considérez les utilisateurs comme des exemples de mises à jour qui auraient pu
être effectuées sur ce contrôleur de domaine entre les heures T1 et T2 ; ces mises à
jour peuvent en fait être un mélange de créations d'utilisateurs, de créations de
groupes, de mises à jour de mots de passe, de mises à jour d'attributs, etc.). Dans
cet exemple, chaque mise à jour consomme une seule valeur USN (même si, en
pratique, la création d'un utilisateur consomme plusieurs valeurs USN). Avant de
valider ces mises à jour, le contrôleur de domaine DC1 vérifie si la valeur de l'ID de
génération d'ordinateur virtuel dans sa base de données (savedVMGID) est la
même que la valeur actuelle disponible à partir du pilote (VMGID). Les valeurs sont
identiques, aucune restauration n'a eu lieu pour l'instant. Ainsi, les mises à jour
sont validées et la valeur USN monte à 200, ce qui signifie que la prochaine mise à
jour peut utiliser la valeur USN 201. Il n'y a aucun changement dans InvocationId,
savedVMGID ou VMGID. Ces mises à jour sont répliquées vers le contrôleur de
domaine DC2 au prochain cycle de réplication. DC2 met à jour le filigrane élevé (et
UptoDatenessVector) représenté ici simplement en tant que DC1(A) @USN = 200.
En d'autres termes, le contrôleur de domaine DC2 connaît l'existence de toutes les
mises à jour du contrôleur de domaine DC1 dans le contexte de l'InvocationId A
jusqu'à la valeur USN 200.
3. À l'heure T3, la capture instantanée prise à l'heure T1 est appliquée au contrôleur

de domaine DC1. Le contrôleur de domaine DC1 est restauré. Ainsi, sa valeur USN
repasse à 100, ce qui signifie qu'il peut associer aux prochaines mises à jour des
valeurs USN commençant à partir de 101. Toutefois, à ce stade, la valeur de VMGID
est différente sur les hyperviseurs qui prennent en charge l'ID de génération
d'ordinateur virtuel.
4. Plus tard, quand le contrôleur de domaine DC1 effectue une mise à jour, il vérifie si
la valeur de l'ID de génération d'ordinateur virtuel contenue dans sa base de
données (savedVMGID) est la même que la valeur du pilote d'ordinateur virtuel
(VMGID). Dans le cas présent, les valeurs ne sont pas les mêmes. Le contrôleur de
domaine DC1 en déduit qu'il y a eu une restauration et déclenche les dispositifs de
protection de virtualisation. En d'autres termes, il réinitialise son InvocationId (ID =
B) et supprime le pool RID (non représenté sur le schéma précédent). Il enregistre
ensuite la nouvelle valeur de VMGID dans sa base de données et valide ces mises à
jour (USN 101 - 250) dans le contexte du nouvel InvocationId B. Au prochain cycle
de réplication, DC2 ne connaît rien de DC1 dans le contexte d’InvocationId B. Il
demande donc tout de DC1 associé à InvocationID B. Par conséquent, les mises à
jour effectuées sur DC1 suite à l’application de l’instantané convergent en toute
sécurité. En outre, l'ensemble des mises à jour effectuées sur le contrôleur de
domaine DC1 à l'heure T2 (qui ont été perdues sur le contrôleur de domaine DC1
après la restauration de la capture instantanée) sont à nouveau répliquées vers le
contrôleur de domaine DC1 à la prochaine réplication planifiée, car elles avaient
été répliquées vers le contrôleur de domaine DC2 (comme le montre la ligne
pointillée en direction du contrôleur de domaine DC1).
Une fois que l'invité utilise les dispositifs de protection de virtualisation, le service NTDS
effectue une réplication ne faisant pas autorité des différences entre les objets Active
Directory en entrée à partir d'un contrôleur de domaine partenaire. Le vecteur de mise à
jour du service d'annuaire de destination est mis à jour en conséquence. L'invité
synchronise ensuite SYSVOL :
Si le service FRS est utilisé, l'invité arrête le service NTFRS et définit la valeur de
Registre D2 BURFLAGS. Il démarre ensuite le service NTFRS, qui effectue une
réplication ne faisant pas autorité en entrée, en réutilisant les données SYSVOL
existantes inchangées quand cela est possible.
Si vous utilisez DFSR, l’invité arrête le service DFSR et supprime les fichiers de base
de données DFSR (emplacement par défaut : %systemroot%\system volume
information\dfsr\<database GUID>). Il démarre ensuite le service DFSR, qui
effectue une réplication ne faisant pas autorité en entrée, en réutilisant les
données SYSVOL existantes inchangées quand cela est possible.
７ Notes
Si l'hyperviseur ne fournit aucun ID de génération d'ordinateur virtuel de

comparaison, il ne prend pas en charge les dispositifs de protection de
virtualisation et l'invité fonctionne comme un contrôleur de domaine virtualisé
qui exécute Windows Server 2008 R2 ou une version antérieure. L'invité
implémente la protection par mise en quarantaine de la restauration USN en
cas de tentative de démarrage d'une réplication avec des valeurs USN qui ne
sont pas postérieures à la dernière valeur USN la plus élevée détectée par le
contrôleur de domaine partenaire. Pour plus d’informations sur la protection
par mise en quarantaine de la restauration USN, voir USN et restauration
USN
Déploiement et configuration des
contrôleurs de domaine virtualisés

Cette rubrique couvre :
Considérations relatives à l’installation
Cela inclut les conditions requises par la plateforme et d'autres contraintes

importantes.
Clonage des contrôleurs de domaine virtualisés
Description détaillée de l'ensemble du processus de clonage des contrôleurs de

Restauration sécurisée des contrôleurs de domaine virtualisés
Description détaillée des validations effectuées durant la restauration sécurisée des

contrôleurs de domaine virtualisés.
Considérations relatives à l'installation

Il n'y a aucune installation de rôle ou de composant spécifique pour les contrôleurs de
domaine virtualisés. Tous les contrôleurs de domaine contiennent automatiquement les
fonctionnalités relatives au clonage et à la restauration sécurisée. Vous ne pouvez pas
supprimer ou désactiver ces fonctionnalités.
L'utilisation de contrôleurs de domaine Windows Server 2012 demande un schéma AD

DS Windows Server 2012 version 56 ou supérieure et un niveau fonctionnel de forêt
correspondant à Windows Server 2003 version native ou supérieure.
Les contrôleurs de domaine, qu'ils soient accessibles en écriture ou en lecture seule,

prennent en charge tous les aspects d'un contrôleur de domaine virtualisé, comme le
font les catalogues globaux et les rôles FSMO.
） Important
Le détenteur d'un rôle FSMO d'émulateur de contrôleur de domaine principal doit
être en ligne quand le clonage commence.
Conditions requises par la plateforme

Le clonage des contrôleurs de domaine virtualisés demande les éléments suivants :
rôle FSMO d'émulateur de contrôleur de domaine principal hébergé sur un

contrôleur de domaine Windows Server 2012 ;
émulateur de contrôleur de domaine principal disponible durant les opérations de

clonage.
Le clonage et la restauration sécurisée demandent les éléments suivants :
invités virtualisés Windows Server 2012 ;
plateforme hôte de virtualisation prenant en charge les ID de génération de

machine virtuelle.
Consultez les produits de virtualisation dans le tableau ci-dessous, puis vérifiez s'ils
prennent en charge les contrôleurs de domaine virtualisés et l'ID de génération de
machine virtuelle.
Produit de virtualisation Prend en charge les contrôleurs de domaine virtualisés et

l'ID de génération de machine virtuelle
Serveur Microsoft Windows Oui

Server 2012 avec Hyper-V
Microsoft Windows Server 2012 Oui

Hyper-V Server
Microsoft Windows 8 avec Oui

Hyper-V Client
Windows Server 2008 R2 et Non

Windows Server 2008
Solutions de virtualisation non Contactez un fournisseur

Microsoft
Bien que Microsoft prenne en charge Windows 7 Virtual PC, Virtual PC 2007, Virtual PC
2004 et Virtual Server 2005, ces produits ne peuvent pas exécuter d'invités 64 bits. En
outre, ils ne prennent pas en charge les ID de génération de machine virtuelle.
Pour obtenir de l'aide sur les produits tiers de virtualisation et leurs possibilités de prise
en charge des contrôleurs de domaine virtualisés, contactez directement le fournisseur
correspondant.
Pour plus d’informations, consultez la politique de Microsoft en matière de support

technique des logiciels Microsoft qui exécutent des logiciels de virtualisation matérielle
non Microsoft .
Avertissements critiques
Les contrôleurs de domaine virtuels ne prennent pas en charge la restauration sécurisée
des éléments suivants :
fichiers VHD et VHDX copiés manuellement en remplacement des fichiers VHD

existants ;
fichiers VHD et VHDX restaurés à l'aide d'un logiciel de sauvegarde de fichiers ou

de sauvegarde de disque complète.
７ Notes
Les fichiers VHDX sont nouveaux dans Windows Server 2012 Hyper-V.
Aucune de ces opérations n'est couverte par la sémantique des ID de génération de

machine virtuelle. Ainsi, l'ID de génération de machine virtuelle reste inchangé. La
restauration des contrôleurs de domaine à l'aide de ces méthodes peut entraîner une
restauration USN et une mise en quarantaine du contrôleur de domaine, ou introduire
des objets en attente et nécessiter le recours à des opérations de nettoyage à l'échelle
de la forêt.
２ Avertissement
La restauration sécurisée des contrôleurs de domaine virtualisés ne remplace pas

les sauvegardes de l'état du système, ni la Corbeille AD DS.
Après la restauration d'une capture instantanée, les deltas des changements non
répliqués précédemment en provenance de ce contrôleur de domaine et
postérieurs à la capture instantanée sont définitivement perdus. La restauration
sécurisée implémente une restauration automatique ne faisant pas autorité pour
éviter uniquement le risque de mise en quarantaine du contrôleur de domaine.
Pour plus d’informations sur les bulles USN et les objets en attente, voir l’article
consacré à la résolution des problèmes d’opérations Active Directory qui échouent avec
l’erreur 8606 : « Des attributs insuffisants ont été donnés pour créer un objet. » .
Clonage des contrôleurs de domaine virtualisés

Il existe un certain nombre de stades et d'étapes pour le clonage d'un contrôleur de
domaine virtualisé, indépendamment de l'utilisation d'outils graphiques ou de Windows
PowerShell. De manière générale, il existe trois stades :
Préparer l’environnement
Étape 1 : Vérifier que l’hyperviseur prend en charge les ID de génération de

machine virtuelle et donc le clonage
Étape 2 : Vérifiez que le rôle d’émulateur PDC est hébergé par un contrôleur de
domaine qui s’exécute Windows Server 2012 et qu’il est en ligne et accessible par
le contrôleur de domaine cloné pendant le clonage.
Préparer le contrôleur de domaine source
Étape 3 : Autoriser le contrôleur de domaine source pour le clonage
Étape 4 : Supprimer les services ou programmes incompatibles, ou les ajouter au

fichier CustomDCCloneAllowList.xml
Étape 5 : Créer DCCloneConfig.xml
Étape 6 : Mettre le contrôleur de domaine source hors connexion
Créer le contrôleur de domaine cloné
Étape 7 : Copier ou exporter la machine virtuelle source et ajouter le code XML s’il
n’a pas déjà été copié
Étape 8 : Créer une machine virtuelle à partir de la copie
Étape 9 : Démarrer la nouvelle machine virtuelle pour commencer le clonage
Il n'y a pas de différences de procédure entre l'utilisation d'outils graphiques tels que la
console de gestion Hyper-V ou l'utilisation d'outils en ligne de commande tels que
Windows PowerShell. Ainsi, les étapes ne sont présentées qu'une seule fois pour les
deux interfaces. Cette rubrique fournit des exemples Windows PowerShell pour vous
permettre d'explorer l'automatisation du processus de clonage de bout en bout. Ils ne
sont nécessaires pour aucune étape. Il n'existe aucun outil de gestion graphique des
contrôleurs de domaine virtualisés dans Windows Server 2012.
À plusieurs stades de la procédure, vous pouvez choisir comment créer l'ordinateur

cloné et comment ajouter les fichiers xml. Ces étapes sont décrites dans les détails
fournis ci-dessous. En dehors de ce cadre, le processus est irréversible.
Le schéma suivant illustre le processus de clonage d'un contrôleur de domaine

virtualisé, où le domaine existe déjà.
Étape 1 - Valider l'hyperviseur

Vérifiez que le contrôleur de domaine source s'exécute sur un hyperviseur pris en charge
en consultant la documentation du fournisseur. Les contrôleurs de domaine virtualisés
sont indépendants de l'hyperviseur et ne demandent pas obligatoirement Hyper-V.
Si l’hyperviseur est Microsoft Hyper-V, vérifiez qu’il s’exécute sur Windows Server 2012 .
Vous pouvez effectuer cette vérification à l'aide de la Gestion des périphériques
Ouvrez Devmgmt.msc, puis recherchez dans Périphériques système les périphériques
et pilotes Microsoft Hyper-V installés. Le périphérique système spécifique nécessaire à
un contrôleur de domaine virtualisé est le compteur de génération Microsoft Hyper-V
(pilote : vmgencounter.sys).
Étape 2 - Vérifier le rôle FSMO d'émulateur de contrôleur

de domaine principal
Avant de tenter de cloner un contrôleur de domaine, vous devez vérifier que le
contrôleur de domaine qui héberge le rôle FSMO d'émulateur de contrôleur de domaine
principal exécute Windows Server 2012. L'émulateur de contrôleur de domaine principal
(PDCE) est nécessaire pour plusieurs raisons :
1. L'émulateur de contrôleur de domaine principal crée le groupe spécial des

Contrôleurs de domaine clonables et définit son autorisation à la racine du
domaine pour permettre à un contrôleur de domaine de se cloner.
2. Le contrôleur de domaine de clonage contacte l'émulateur de contrôleur de

domaine principal directement à l'aide du protocole RPC DRSUAPI, pour créer des
objets ordinateur pour le contrôleur de domaine clone.
７ Notes
Windows Server 2012 étend le protocole distant du service de réplication

d'annuaire (DRS), (UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2), pour
inclure une nouvelle méthode RPC IDL_DRSAddCloneDC (Opnum 28). La
méthode IDL_DRSAddCloneDC crée un objet contrôleur de domaine en
copiant les attributs d'un objet contrôleur de domaine existant.
Les états d'un contrôleur de domaine comprennent l'ordinateur, le serveur, les

paramètres NTDS, les services FRS et DFSR, ainsi que les objets de connexion
gérés pour chaque contrôleur de domaine. Durant la duplication d'un objet,
cette méthode RPC remplace toutes les références au contrôleur de domaine
d'origine par les objets correspondants du nouveau contrôleur de domaine.
L'appelant doit avoir le droit de contrôle d'accès DS-Clone-Domain-Controller
pour le contexte d'appellation du domaine.
L'utilisation de cette nouvelle méthode nécessite toujours un accès direct au

contrôleur de domaine de l'émulateur de contrôleur de domaine principal à
partir de l'appelant.
Dans la mesure où cette méthode RPC est nouvelle, votre logiciel d'analyse
réseau nécessite des analyseurs mis à jour pour inclure les champs du nouvel
Opnum 28 dans l'UUID E3514235-4B06-11D1-AB04-00C04FC2DCD2 existant.
Sinon, vous ne pouvez pas analyser ce trafic.
Pour plus d’informations, consultez 4.1.29 IDL_DRSAddCloneDC (Opnum 28).
Cela signifie également qu'avec des réseaux non routés complètement, le clonage d'un
contrôleur de domaine virtualisé demande des segments réseau ayant accès à
l'émulateur de contrôleur de domaine principal. Il est possible de déplacer un
contrôleur de domaine cloné vers un autre réseau après le clonage (de même qu'un
contrôleur de domaine physique), du moment que vous veillez à mettre à jour les
informations du site logique AD DS.
） Important
Durant le clonage d'un domaine qui ne contient qu'un seul contrôleur de domaine,
vous devez vous assurer que le contrôleur de domaine source est remis en ligne
avant le démarrage des copies clones. Un domaine de production doit toujours
contenir au moins deux contrôleurs de domaine.
Méthode basée sur Utilisateurs et ordinateurs Active Directory
1. À l'aide du composant logiciel enfichable Dsa.msc, cliquez avec le bouton droit sur
le domaine, puis cliquez sur Maître d'opérations. Notez le nom du contrôleur de
domaine sous l'onglet CDP, puis fermez la boîte de dialogue.
2. Cliquez avec le bouton droit sur l'objet ordinateur du contrôleur de domaine,

cliquez sur Propriétés, puis vérifiez les informations relatives au système
d'exploitation.
Méthode basée sur Windows PowerShell

Vous pouvez combiner les applets de commande suivantes du module Windows
PowerShell pour Active Directory et retourner la version de l'émulateur de contrôleur de
domaine principal :
Get-adddomaincontroller
Get-adcomputer
Si le domaine n'est pas indiqué, ces applets de commande prennent en compte le

domaine de l'ordinateur sur lequel elles sont exécutées.
La commande suivante retourne les informations relatives à l'émulateur de contrôleur

de domaine principal et au système d'exploitation :
get-adcomputer(Get-ADDomainController -Discover -Service "PrimaryDC").name -

property * | format-list dnshostname,operatingsystem,operatingsystemversion
L'exemple ci-dessous montre comment spécifier le nom de domaine et filtrer les

propriétés retournées avant le pipeline Windows PowerShell :
Étape 3 - Autoriser un contrôleur de domaine source
Le contrôleur de domaine source doit disposer du droit de contrôle d'accès Autoriser
un contrôleur de domaine à créer un clone de lui-même dans l'en-tête de contexte
d'appellation du domaine. Par défaut, le groupe Contrôleurs de domaine clonables
dispose de cette autorisation et ne contient aucun membre. L'émulateur de contrôleur
de domaine principal crée ce groupe quand le rôle FSMO est transféré vers un
contrôleur de domaine Windows Server 2012.
Méthode basée sur le Centre d'administration Active Directory
1. Démarrez Dsac.exe et accédez au contrôleur de domaine source, puis ouvrez sa

page de détails.
2. Dans la section Membre de, ajoutez le groupe Contrôleurs de domaine clonables

pour ce domaine.
Vous pouvez combiner les applets de commande du module Windows PowerShell pour
Active Directory get-adcomputer et add-adgroupmember pour ajouter un contrôleur
de domaine au groupe Contrôleurs de domaine clonables :
Get-adcomputer <dc name> | %{add-adgroupmember "cloneable domain

controllers" $_.samaccountname}
Par exemple, ceci permet d'ajouter le serveur DC1 au groupe, sans devoir préciser le
nom unique du membre du groupe :
Recréation des autorisations par défaut
Si vous supprimez cette autorisation de l'en-tête du domaine, le clonage échoue. Vous

pouvez recréer l'autorisation à l'aide du Centre d'administration Active Directory ou de
Windows PowerShell.
Méthode basée sur le Centre d'administration Active Directory
1. Ouvrez le Centre d'administration Active Directory, cliquez avec le bouton droit

sur l'en-tête du domaine, cliquez sur Propriétés, cliquez sur l'onglet Extensions, sur
Sécurité, puis sur Avancé. Cliquez sur Cet objet uniquement.
2. Cliquez sur Ajouter, sous Entrez le nom de l'objet à sélectionner, tapez le nom de
groupe Contrôleurs de domaine clonables.
3. Sous Autorisations, cliquez sur Autoriser un contrôleur de domaine à créer un

clone de lui-même, puis sur OK.
７ Notes
Vous pouvez également supprimer l'autorisation par défaut et ajouter des

contrôleurs de domaine individuels. Toutefois, cela risque d'entraîner des
problèmes de maintenance, car les nouveaux administrateurs ne seront pas
informés de cette personnalisation. Le changement du paramètre par défaut ne
renforce pas la sécurité et est déconseillé.
Utilisez les commandes suivantes dans une console Windows PowerShell avec privilèges
d'administrateur élevés. Ces commandes détectent le nom de domaine et restaurent les
autorisations par défaut :
import-module activedirectory
cd ad:
$domainNC = get-addomain
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
$acl = get-acl $domainNC
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule

$sid1,"ExtendedRight","Allow",$objectguid
$acl.AddAccessRule($ace1)
set-acl -aclobject $acl $domainNC

cd c:
Vous pouvez également exécuter l'exemple FixVDCPermissions.ps1 dans une console

Windows PowerShell, en la faisant démarrer avec des privilèges d'administrateur élevés
sur un contrôleur de domaine du domaine affecté. Les autorisations sont définies
automatiquement. L'exemple se trouve dans l'annexe de ce module.
Étape 4 - Supprimer les applications ou services

incompatibles (si vous n'utilisez pas
CustomDCCloneAllowList.xml)
Les programmes ou services retournés précédemment par Get-
ADDCCloningExcludedApplicationList (et non ajoutés au fichier
CustomDCCloneAllowList.xml) doivent être retirés avant le clonage. La désinstallation de
l'application ou du service est la méthode recommandée.
２ Avertissement
Tout programme ou service incompatible qui n'a pas été désinstallé ou ajouté au
fichier CustomDCCloneAllowList.xml empêche le clonage.
Utilisez l'applet de commande Get-AdComputerServiceAccount pour localiser les

comptes de service administrés autonomes du domaine et déterminer si cet ordinateur
utilise l'un d'entre eux. Si un compte de service administré est installé, utilisez l'applet de
commande Uninstall-ADServiceAccount pour supprimer le compte de service installé
localement. Une fois que vous avez fini de mettre hors connexion le contrôleur de
domaine source à l'étape 6, vous pouvez rajouter le compte de service administré via
Install-ADServiceAccount quand le serveur est de nouveau en ligne. Pour plus
d’informations, consultez Uninstall-ADServiceAccount.
） Important
Les comptes de service administrés autonomes (apparus avec Windows Server 2008
R2) ont été remplacés dans Windows Server 2012 par les comptes de service
administrés de groupe. Les comptes de service administrés de groupe prennent en
charge le clonage.
Étape 5 - Créer DCCloneConfig.xml

Le fichier DcCloneConfig.xml est indispensable pour le clonage des contrôleurs de
domaine. Son contenu vous permet de spécifier des détails uniques comme le nouveau
nom de l'ordinateur et son adresse IP.
Le fichier CustomDCCloneAllowList.xml est facultatif, sauf si vous installez des
applications ou des services Windows potentiellement incompatibles sur le contrôleur
de domaine source. Les fichiers nécessitent une dénomination, une mise en forme et un
placement précis. Sinon, le clonage échoue.
C'est la raison pour laquelle vous devez toujours utiliser les applets de commande
Windows PowerShell pour créer les fichiers XML et les placer à l'emplacement approprié.
Génération avec New-ADDCCloneConfigFile

Le module Windows PowerShell pour Active Directory contient une nouvelle applet de
commande dans Windows Server 2012 :
New-ADDCCloneConfigFile
Vous devez exécuter l'applet de commande sur le contrôleur de domaine source que
vous avez l'intention de cloner. L'applet de commande prend en charge plusieurs
arguments. Quand elle est utilisée, elle teste toujours l'ordinateur et l'environnement où
elle est exécutée, sauf si vous spécifiez l'argument -offline.
Active Directory Arguments Explication
Applet de commande
New- <aucun argument Crée un fichier DcCloneConfig.xml vide dans le

ADDCCloneConfigFile spécifié> répertoire de travail DSA (par défaut :
%systemroot%\ntds)
- Spécifie le nom d'ordinateur du contrôleur de

CloneComputerName domaine clone. Type de données String.
-Path Spécifie le dossier où créer le fichier

DcCloneConfig.xml. Si rien n’est spécifié, le
répertoire de travail DSA est choisi (par défaut :
%systemroot%\ntds). Type de données String.
-SiteName Spécifie le nom du site logique Active Directory

à joindre durant la création du compte
d'ordinateur cloné. Type de données String.
-IPv4Address Spécifie l'adresse IPv4 statique de l'ordinateur

cloné. Type de données String.
-IPv4SubnetMask Spécifie le masque de sous-réseau IPv4 statique

de l'ordinateur cloné. Type de données String.
Active Directory Arguments Explication
Applet de commande
-IPv4DefaultGateway Spécifie l'adresse de passerelle par défaut IPv4

statique de l'ordinateur cloné. Type de données
String.
-IPv4DNSResolver Spécifie les entrées DNS IPv4 statiques de

l'ordinateur cloné dans une liste dont les valeurs
sont séparées par des virgules. Type de données
tableau. Quatre entrées au maximum peuvent
être fournies.
- Spécifie l'adresse IPv4 statique du serveur WINS

PreferredWINSServer principal. Type de données String.
- Spécifie l'adresse IPv4 statique du serveur WINS

AlternateWINSServer secondaire. Type de données String.
-IPv6DNSResolver Spécifie les entrées DNS IPv6 statiques de

l'ordinateur cloné dans une liste dont les valeurs
sont séparées par des virgules. Il est impossible
de définir des informations IPv6 statiques dans
le clonage de contrôleur de domaine virtualisé.
Type de données tableau.
-Offline N'effectue pas les tests de validation et

remplace tout fichier dccloneconfig.xml existant.
N'a pas de paramètres.
-Static Obligatoire pour la spécification des arguments

IP statiques IPv4SubnetMask, IPv4SubnetMask
ou IPv4DefaultGateway. N'a pas de paramètres.
Tests effectués durant l'exécution en mode en ligne :
L'émulateur de contrôleur de domaine principal est Windows Server 2012 (ou

version supérieure)
Le contrôleur de domaine source est membre du groupe Contrôleurs de domaine

clonables
Le contrôleur de domaine source ne comprend pas les applications ou services

exclus
Le contrôleur de domaine source ne contient pas déjà de fichier

DcCloneConfig.xml dans le chemin d'accès spécifié
Étape 6 - Mettre le contrôleur de domaine source hors
connexion
Vous ne pouvez pas copier un contrôleur de domaine source en cours d'exécution. Il
doit être arrêté de manière normale. Ne clonez pas un contrôleur de domaine arrêté à la
suite d'une coupure d'alimentation.
Méthode graphique
Utilisez le bouton d'arrêt du contrôleur de domaine en cours d'exécution, ou le bouton

d'arrêt du Gestionnaire Hyper-V.
Vous pouvez arrêter une machine virtuelle à l'aide de l'une des applets de commande
suivantes :
Stop-computer
Stop-vm
Stop-computer est une applet de commande qui prend en charge l'arrêt des ordinateurs
indépendamment de la virtualisation. Elle est similaire à l'ancien utilitaire Shutdown.exe.
Stop-vm est une nouvelle applet de commande du module Windows PowerShell pour
Hyper-V dans Windows Server 2012. Elle équivaut aux options d'alimentation du
Gestionnaire Hyper-V. Ce dernier est utile dans les environnements lab où le contrôleur
de domaine opère souvent sur un réseau virtualisé privé.
Étape 7 - Copier les disques
Un choix d'administration est nécessaire durant la phase de copie :
Copier les disques manuellement sans Hyper-V
Exporter la machine virtuelle avec Hyper-V
Exporter les disques fusionnés avec Hyper-V
Tous les disques d'une machine virtuelle doivent être copiés, pas seulement le lecteur
système. Si le contrôleur de domaine source utilise des disques de différenciation et si
vous envisagez de déplacer votre contrôleur de domaine cloné vers un autre hôte
Hyper-V, vous devez procéder à une exportation.
La copie manuelle de disques est recommandée si le contrôleur de domaine source ne

dispose que d'un seul lecteur. L'exportation/importation est recommandée pour les
ordinateurs virtuels qui comportent plusieurs lecteurs ou des personnalisations
complexes du matériel virtualisé, par exemple plusieurs cartes d'interface réseau.
Si vous copiez manuellement les fichiers, supprimez les captures instantanées avant
d'effectuer la copie. Si vous exportez la machine virtuelle, supprimez les captures
instantanées avant l'exportation, ou supprimez-les de la nouvelle machine virtuelle une
fois l'importation effectuée.
２ Avertissement
Les captures instantanées sont des disques de différenciation qui peuvent restaurer
un contrôleur de domaine à un état antérieur. Si vous clonez un contrôleur de
domaine et restaurez ensuite sa capture instantanée antérieure au clonage, vous
obtenez des contrôleurs de domaine dupliqués dans la forêt. Il n'y a aucune valeur
dans les captures instantanées antérieures d'un contrôleur de domaine qui vient
d'être cloné.
Copie manuelle des disques
Méthode basée sur le Gestionnaire Hyper-V
Utilisez le composant logiciel enfichable Gestionnaire Hyper-V pour déterminer quels

sont les disques associés au contrôleur de domaine source. Utilisez l'option Inspecter
pour vérifier si le contrôleur de domaine utilise des disques de différenciation (ce qui
vous oblige à copier également le disque parent).
Pour supprimer des captures instantanées, sélectionnez une machine virtuelle, puis
supprimez la sous-arborescence des captures instantanées.
Vous pouvez ensuite copier manuellement les fichiers VHD or VHDX via l'Explorateur
Windows, Xcopy.exe ou Robocopy.exe. Aucune étape particulière n'est nécessaire. Il est
recommandé de changer les noms de fichiers, même si vous les déplacez vers un autre
dossier.
７ Notes
Si vous effectuez une copie entre des ordinateurs hôtes situés sur un réseau local (1
Gbit ou plus), l'option Xcopy.exe /J permet de copier les fichiers VHD/VHDX
beaucoup plus rapidement que n'importe quel autre outil, au prix d'une plus
grande utilisation de la bande passante.
Pour identifier les disques à l'aide de Windows PowerShell, utilisez les modules Hyper-
V :
Get-vmidecontroller
Get-vmscsicontroller
Get-vmfibrechannelhba
Get-vmharddiskdrive
Par exemple, vous pouvez retourner tous les disques durs IDE d'un ordinateur virtuel
nommé DC2 à l'aide de l'exemple suivant :
Si le chemin d'accès du disque pointe vers un fichier AVHD ou AVHDX, il s'agit d'une
capture instantanée. Pour supprimer les captures instantanées associées à un disque et
fusionner les fichiers VHD ou VHDX réels, utilisez les applets de commande suivantes :
Get-VMSnapshot
Remove-VMSnapshot
Par exemple, pour supprimer toutes les captures instantanées d'un ordinateur virtuel
nommé DC2-SOURCECLONE :
Pour copier les fichiers à l'aide de Windows PowerShell, utilisez l'applet de commande
suivante :
Copy-Item
Combinez les applets de commande d'ordinateur virtuel sous forme de pipelines pour
faciliter l'automatisation. Le pipeline est un canal utilisé entre plusieurs applets de
commande pour transmettre des données. Par exemple, pour copier le lecteur d'un
contrôleur de domaine source hors connexion nommé DC2-SOURCECLONE vers un
nouveau disque appelé c:\temp\copy.vhd sans être obligé de connaître le chemin
d'accès exact de son lecteur système :
Get-VMIdeController dc2-sourceclone | Get-VMHardDiskDrive | select-Object

{copy-item -path $_.path -destination c:\temp\copy.vhd}
） Important
Vous ne pouvez pas utiliser de « disques pass-through » (disques directs) avec le

clonage, car ils ne reposent pas sur un fichier de disque virtuel mais sur un disque
dur réel.
７ Notes
Pour plus d’informations sur d’autres opérations Windows PowerShell avec des
pipelines, consultez Définition et utilisation des pipelines dans Windows
PowerShell.
Exportation de l'ordinateur virtuel
En remplacement de la copie des disques, vous pouvez exporter la totalité d'un

ordinateur virtuel Hyper-V sous forme de copie. L'exportation crée automatiquement un
dossier nommé pour l'ordinateur virtuel et contenant l'ensemble des disques et
informations de configuration.
Pour exporter un ordinateur virtuel avec le Gestionnaire Hyper-V :
1. Cliquez avec le bouton droit sur le contrôleur de domaine source, puis cliquez sur
Exporter.
2. Sélectionnez un dossier existant comme conteneur d'exportation.
3. Attendez que la colonne État cesse d'afficher Exportation.
Pour exporter un ordinateur virtuel à l'aide du module Windows PowerShell pour Hyper-
V, utilisez l'applet de commande suivante :
Export-vm
Par exemple, pour exporter un ordinateur virtuel nommé DC2-SOURCECLONE vers un

dossier nommé C:\VM :
７ Notes
Windows Server 2012 Hyper-V prend en charge de nouvelles fonctionnalités

d'exportation et d'importation qui dépassent le cadre de cette formation. Pour plus
d'informations, voir TechNet.
Exportation de disques fusionnés, avec Hyper-V
La dernière possibilité consiste à utiliser les options de fusion et de conversion de

disques d’Hyper-V. Elles vous permettent de faire une copie d’une structure de disque
existante (même en incluant des fichiers AVHD/AVHDX de capture instantanée) vers un
seul nouveau disque. Comme pour le scénario de copie manuelle de disque, cette
solution est principalement destinée aux ordinateurs virtuels simples qui utilisent un seul
lecteur, par exemple C:\. Son seul avantage, contrairement à la copie manuelle, est de ne
pas vous obliger à supprimer d'abord les captures instantanées. Cette opération est
nécessairement plus lente que la simple suppression des captures instantanées et la
copie de disques.
Pour créer un disque fusionné avec le Gestionnaire Hyper-V :
1. Cliquez sur Modifier le disque.
2. Recherchez le disque enfant au niveau le plus bas. Par exemple, si vous utilisez un
disque de différenciation, le disque enfant est l'enfant situé au niveau le plus bas.
Si l'ordinateur virtuel a une capture instantanée (ou plusieurs), la capture
instantanée actuellement sélectionnée est le disque enfant au niveau le plus bas.
3. Sélectionnez l'option Fusionner pour créer un disque unique à partir de l'ensemble

de la structure parent-enfant.
4. Sélectionnez un nouveau disque dur virtuel et indiquez un chemin d'accès. Cela

permet de combiner les fichiers VHD/VHDX existants en une nouvelle unité
portable unique, dont la restauration des captures instantanées antérieures ne
présente aucun risque.
Pour créer un disque fusionné à partir d'un ensemble complexe de parents via le
module Windows PowerShell pour Hyper-V, utilisez l'applet de commande suivante :
Convert-vm
Par exemple, pour exporter la totalité de la chaîne des captures instantanées de disque
d'un ordinateur virtuel (cette fois, sans inclure les disques de différenciation) et le disque
parent vers un nouveau disque unique nommé DC4-CLONED.VHDX :
Ajout de code XML au disque système hors connexion
Si vous avez copié le fichier Dccloneconfig.xml sur le contrôleur de domaine source en

cours d'exécution, vous devez à présent copier le fichier dccloneconfig.xml mis à jour sur
le disque système copié/exporté hors connexion. Selon les applications installées
détectées avec l'applet de commande Get-ADDCCloningExcludedApplicationList utilisée
plus tôt, vous pouvez également être amené à copier le fichier
CustomDCCloneAllowList.xml sur le disque.
Les emplacements suivants peuvent contenir le fichier DcCloneConfig.xml :
1. DSA Working Directory (répertoire de travail DSA)
2. %windir%\NTDS
3. Médias de lecture/écriture amovibles, en fonction de l’ordre de la lettre qui

identifie le lecteur, sur la racine du lecteur.
Ces chemins d'accès ne sont pas configurables. Après le début du clonage, le processus
vérifie ces emplacements dans un ordre spécifique et utilise le premier fichier
DcCloneConfig.xml trouvé, quel que soit le contenu de l'autre dossier.
Les emplacements suivants peuvent contenir le fichier CustomDCCloneAllowList.xml :
1. HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters
AllowListFolder (REG_SZ)
2. DSA Working Directory (répertoire de travail DSA)
3. %windir%\NTDS
4. Médias de lecture/écriture amovibles, en fonction de l’ordre de la lettre qui
identifie le lecteur, sur la racine du lecteur.
Vous pouvez exécuter New-ADDCCloneConfigFile avec l'argument -offline (également

appelé mode hors connexion) pour créer le fichier DcCloneConfig.xml et le placer à
l'emplacement approprié. Les exemples suivants montrent comment exécuter New-
ADDCCloneConfigFile en mode hors connexion.
Pour créer un contrôleur de domaine clone nommé CloneDC1 en mode hors connexion,
dans un site appelé « REDMOND » avec une adresse IPv4 statique, tapez :
New-ADDCCloneConfigFile -Offline -CloneComputerName CloneDC1 -SiteName

REDMOND -IPv4Address "10.0.0.2" -IPv4DNSResolver "10.0.0.1" -IPv4SubnetMask
"255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -Static -Path F:\Windows\NTDS
Pour créer un contrôleur de domaine clone appelé Clone2 en mode hors connexion avec
des paramètres IPv4 et IPv6 statiques, tapez :
New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.2" -IPv4DNSResolver

"10.0.0.1" -IPv4SubnetMask "255.255.0.0" -Static -IPv6DNSResolver
"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone2" -
PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -Path
F:\Windows\NTDS
Pour créer un contrôleur de domaine clone en mode hors connexion avec des
paramètres IPv4 statiques et des paramètres IPv6 dynamiques et spécifier plusieurs
serveurs DNS pour les paramètres de résolution DNS, tapez :
New-ADDCCloneConfigFile -Offline -IPv4Address "10.0.0.10" -IPv4SubnetMask

"255.255.0.0" -IPv4DefaultGateway "10.0.0.1" -IPv4DNSResolver @(
"10.0.0.1","10.0.0.2" ) -Static -IPv6DNSResolver
"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS
Pour créer un contrôleur de domaine clone appelé Clone1 en mode hors connexion avec
des paramètres IPv4 dynamiques et des paramètres IPv6 statiques, tapez :
New-ADDCCloneConfigFile -Offline -Static -IPv6DNSResolver

"2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -CloneComputerName "Clone1" -
PreferredWINSServer "10.0.0.1" -AlternateWINSServer "10.0.0.3" -SiteName
"REDMOND" -Path F:\Windows\NTDS
Pour créer un contrôleur de domaine clone en mode hors connexion avec des
paramètres IPv4 et IPv6 dynamiques, tapez :
New-ADDCCloneConfigFile -Offline -IPv4DNSResolver "10.0.0.1" -

IPv6DNSResolver "2002:4898:e0:31fc:d61:2b0a:c9c9:2ccc" -Path F:\Windows\NTDS
Méthode basée sur l'Explorateur Windows
Windows Server 2012 offre désormais une option graphique pour le montage des
fichiers VHD et VHDX. Cela demande l'installation de la fonctionnalité « Expérience
utilisateur » de Windows Server 2012.
1. Cliquez sur le fichier VHD/VHDX récemment copié et qui contient le dossier

correspondant à l'emplacement du lecteur système ou du répertoire de travail DSA
du contrôleur de domaine source, puis cliquez sur Monter dans le menu Outils
d'image de disque.
2. Dans le lecteur monté, copiez les fichiers XML à un emplacement valide. Vous
pouvez être invité à fournir des autorisations d'accès au dossier.
3. Cliquez sur le lecteur monté, puis sur Éjecter dans le menu Outils d'image de
disque.
Vous pouvez également monter le disque hors connexion et copier le fichier XML à
l'aide des applets de commande Windows PowerShell :
mount-vhd
get-disk
get-partition
get-volume
Add-PartitionAccessPath
Copy-Item
Cela vous permet d'avoir un contrôle complet sur le processus. Par exemple, vous
pouvez monter le lecteur avec une lettre de lecteur spécifique, copier le fichier, puis
démonter le lecteur.
mount-vhd <disk path> -passthru -nodriveletter | get-disk | get -partition |

get-volume | get-partition | where {$_.partition number -eq 2} | Add-
PartitionAccessPath -accesspath <drive letter>
copy-item <xml file path><destination path>\dccloneconfig.xml
dismount-vhd <disk path>
Par exemple :
Vous pouvez également utiliser la nouvelle applet de commande Mount-DiskImage

pour monter un fichier VHD (ou ISO).
Étape 8 - Créer l'ordinateur virtuel

La dernière étape de configuration avant le démarrage du processus de clonage est la
création d'un ordinateur virtuel qui utilise les disques du contrôleur de domaine source
copié. Selon le choix effectué durant la phase de copie de disques, vous avez deux
possibilités :
1. Associer un nouvel ordinateur virtuel au disque copié
2. Importer l'ordinateur virtuel exporté
Association d'un nouvel ordinateur virtuel à des disques copiés

Si vous avez copié le disque système manuellement, vous devez créer un ordinateur
virtuel à l'aide du disque copié. L'hyperviseur définit automatiquement l'ID de
génération d'ordinateur virtuel quand un ordinateur virtuel est créé. Aucun changement
de configuration n'est nécessaire sur l'ordinateur virtuel ou l'hôte Hyper-V.
1. Créez une machine virtuelle.
2. Spécifiez le nom de l'ordinateur virtuel, sa quantité de mémoire et son réseau.
3. Dans la page Connecter un disque dur virtuel, spécifiez le disque système copié.
4. Terminez l'Assistant pour créer l'ordinateur virtuel.
S'il existe plusieurs disques, cartes réseau ou autres personnalisations, configurez-les

avant de démarrer le contrôleur de domaine. La méthode « Exportation/Importation »
pour copier les disques est recommandée dans le cas des ordinateurs virtuels
complexes.
Vous pouvez utiliser le module Windows PowerShell pour Hyper-V pour automatiser la
création d'ordinateurs virtuels dans Windows Server 2012, à l'aide de l'applet de
commande suivante :
New-VM
Par exemple, l'ordinateur virtuel DC4-CLONEDFROMDC2 est créé avec 1 Go de RAM. Il

démarre à partir du fichier c:\vm\dc4-systemdrive-clonedfromdc2.vhd et utilise le réseau
virtuel 10.0 :
Importer l'ordinateur virtuel
Si vous avez déjà exporté votre ordinateur virtuel, vous devez maintenant le réimporter
sous forme de copie. Le code XML exporté permet de recréer l'ordinateur avec tous les
paramètres antérieurs relatifs aux lecteurs, aux réseaux et à la mémoire.
Si vous avez l'intention de créer des copies supplémentaires du même ordinateur virtuel
exporté, effectuez autant de copies que nécessaire de ce dernier. Utilisez ensuite
l'option Importer pour chaque copie.
） Important
Il est important d'utiliser l'option Copier, car l'exportation conserve toutes les
informations de la source. L'importation par déplacement ou l'importation sur
place du serveur entraîne une collision des informations, si l'opération est effectuée
sur le même serveur hôte Hyper-V.
Pour importer à l'aide du composant logiciel enfichable Gestionnaire Hyper-V :
1. Cliquez sur Importer un ordinateur virtuel.
2. Dans la page Localiser le dossier, sélectionnez le fichier de définition d'ordinateur

virtuel exporté à l'aide du bouton Parcourir.
3. Dans la page Sélectionner l'ordinateur virtuel, cliquez sur l'ordinateur source.
4. Dans la page Choisir le type d'importation, cliquez sur Copier l'ordinateur virtuel
(créer un ID unique), puis sur Terminer.
5. Renommez l'ordinateur virtuel importé si vous effectuez l'importation sur le même

hôte Hyper-V. Il aura le même nom que le contrôleur de domaine source exporté.
N'oubliez pas d'enlever toutes les captures instantanées importées, à l'aide du
composant logiciel enfichable Gestionnaire Hyper-V :
２ Avertissement
La suppression des captures instantanées importées est très importante. En effet, si

celles-ci sont appliquées, elles restaurent le contrôleur de domaine cloné à l'état
d'un contrôleur de domaine antérieur (et éventuellement dynamique), ce qui risque
d'entraîner un échec de la réplication, une duplication des informations IP et
d'autres problèmes.
Vous pouvez utiliser le module Windows PowerShell pour Hyper-V pour automatiser
l'importation d'ordinateurs virtuels dans Windows Server 2012, à l'aide des applets de
commande suivantes :
Import-VM
Rename-VM
Par exemple, l'ordinateur virtuel VM DC2-CLONED est importé à l'aide de son fichier
XML déterminé automatiquement, puis renommé immédiatement en nouvel ordinateur
virtuel DC5-CLONEDFROMDC2 :
N'oubliez pas d'enlever toutes les captures instantanées importées, à l'aide des applets
de commande suivantes :
Get-VMSnapshot
Remove-VMSnapshot
Par exemple :
２ Avertissement
Assurez-vous que, durant l'importation de l'ordinateur, des adresses MAC statiques

n'ont pas été affectées au contrôleur de domaine source. Si un ordinateur source
avec une adresse MAC statique est cloné, les ordinateurs copiés n'enverront ou ne
recevront pas correctement le trafic réseau. Définissez une nouvelle adresse MAC
statique ou dynamique unique, le cas échéant. Vous pouvez déterminer si un
ordinateur virtuel utilise des adresses MAC statiques avec la commande suivante :
Get-VM -VMNametest-vm | Get-VMNetworkAdapter | fl \*
Étape 9 - Cloner le nouvel ordinateur virtuel

Éventuellement, avant de commencer le clonage, redémarrez le contrôleur de domaine
source clone hors connexion. Assurez-vous que l'émulateur de contrôleur de domaine
principal est en ligne.
Pour commencer le clonage, démarrez simplement le nouvel ordinateur virtuel. Le

processus démarre automatiquement et le contrôleur de domaine redémarre
automatiquement après la fin du clonage.
） Important
Il est déconseillé de garder les contrôleurs de domaine hors tension pendant une
période prolongée. Si le clone se joint au même site que son contrôleur de
domaine source, la création de la topologie de réplication intrasite et intersite
initiale risque de prendre plus de temps, si le contrôleur de domaine source est
hors connexion.
Si vous utilisez Windows PowerShell pour démarrer un ordinateur virtuel, la nouvelle

applet de commande du module Hyper-V est :
Start-VM
Par exemple :
Une fois que l'ordinateur a redémarré après la fin du clonage, il est désormais un
contrôleur de domaine. Vous pouvez vous connecter normalement pour vérifier son bon
fonctionnement. Si des erreurs se produisent, le serveur est configuré pour démarrer en
mode de restauration des services d'annuaire à des fins de diagnostic.
Dispositifs de protection en matière de

virtualisation
Contrairement au clonage de contrôleur de domaine virtualisé, les dispositifs de
protection en matière de virtualisation de Windows Server 2012 ne comportent pas
d'étapes de configuration. La fonctionnalité est opérationnelle sans intervention, à
condition de respecter certaines conditions simples :
L'hyperviseur prend en charge les ID de génération d'ordinateur virtuel.
Il existe un contrôleur de domaine partenaire valide dont les changements peuvent

faire l'objet d'une réplication ne faisant pas autorité par un contrôleur de domaine
restauré.
Valider l'hyperviseur
Vérifiez que le contrôleur de domaine source s'exécute sur un hyperviseur pris en charge
en consultant la documentation du fournisseur. Les contrôleurs de domaine virtualisés
sont indépendants de l'hyperviseur et ne demandent pas obligatoirement Hyper-V.
Consultez la section précédente Conditions requises par la plateforme pour connaître

les modalités de prise en charge des ID de génération d'ordinateur virtuel.
Si vous effectuez la migration d'ordinateurs virtuels d'un hyperviseur source vers un

hyperviseur cible distinct, les dispositifs de protection en matière de virtualisation
peuvent éventuellement se déclencher, selon que les hyperviseurs prennent en charge
ou non les ID de génération d'ordinateur virtuel, comme expliqué dans le tableau
suivant.
Hyperviseur Hyperviseur cible Résultats

source
Prend en charge les Ne prend pas en Dispositifs de protection non déclenchés (si un
ID de génération charge les ID de fichier DCCloneConfigFile.xml est présent, le
d'ordinateur virtuel génération contrôleur de domaine démarre en mode DSRM)
d'ordinateur virtuel
Ne prend pas en Prend en charge les Dispositifs de protection déclenchés

charge les ID de ID de génération
génération d'ordinateur virtuel
d'ordinateur virtuel
Prend en charge les Prend en charge les Dispositifs de protection déclenchés, car la définition
ID de génération ID de génération d'ordinateur virtuel n'a pas changé, ce qui signifie
d'ordinateur virtuel d'ordinateur virtuel que l'ID de génération d'ordinateur virtuel reste le
même
Valider la topologie de réplication

Les dispositifs de protection en matière de virtualisation démarrent une réplication
entrante ne faisant pas autorité pour le delta de la réplication Active Directory, ainsi
qu'une resynchronisation ne faisant pas autorité de l'ensemble du contenu de SYSVOL.
Cela permet de garantir que le contrôleur de domaine est restauré avec toutes ses
fonctionnalités à partir d'une capture instantanée, et qu'il est cohérent avec le reste de
l'environnement.
Cette nouvelle fonctionnalité s'accompagne de plusieurs conditions requises et

restrictions :
Un contrôleur de domaine restauré doit être capable de contacter un contrôleur
de domaine accessible en écriture
Tous les contrôleurs de domaine d'un domaine ne doivent pas être restaurés
simultanément
Tout changement provenant d'un contrôleur de domaine restauré et qui n'a pas
encore été répliqué en sortie depuis l'exécution de la capture instantanée est
définitivement perdu
Bien que la section de résolution des problèmes couvre ces scénarios, les détails ci-
dessous vous permettent de vérifier que vous ne créez pas de topologie qui puisse
causer des problèmes.
Disponibilité du contrôleur de domaine accessible en écriture

Si un contrôleur de domaine est restauré, il doit disposer d'une connectivité vers un
contrôleur de domaine accessible en écriture. Un contrôleur de domaine en lecture
seule ne peut pas envoyer le delta des mises à jour. La topologie est déjà probablement
correcte, car un contrôleur de domaine accessible en écriture a toujours besoin d'un
partenaire accessible en écriture. Toutefois, si tous les contrôleurs de domaine
accessibles en écriture sont en cours de restauration simultanément, aucun d'eux ne
pourra trouver une source valide. Il en va de même si les contrôleurs de domaine
accessibles en écriture sont hors connexion pour raison de maintenance, ou s'ils ne sont
pas joignables par le réseau.
Restauration simultanée
Ne restaurez pas tous les contrôleurs de domaine en même temps dans un seul
domaine. Si toutes les captures instantanées sont restaurées en même temps, la
réplication Active Directory fonctionne normalement mais la réplication SYSVOL s'arrête.
L'architecture de restauration des services FRS et DFSR nécessite que leur instance de
réplica soit définie en mode de synchronisation ne faisant pas autorité. Si tous les
contrôleurs de domaine sont restaurés en même temps, et si chaque contrôleur de
domaine se marque comme ne faisant pas autorité pour SYSVOL, ils essaieront tous de
se synchroniser aux stratégies de groupe et aux scripts d'un partenaire faisant autorité.
À ce stade, cependant, aucun des partenaires ne fait autorité.
） Important
Si tous les contrôleurs de domaine sont restaurés en même temps, utilisez les
articles suivants pour définir un seul contrôleur de domaine (généralement,
l'émulateur de contrôleur de domaine principal) comme faisant autorité. Ainsi, les
autres contrôleurs de domaine peuvent reprendre un fonctionnement normal :
Utilisation de la clé de Registre BurFlags pour réinitialiser le jeu de réplica du

service de réplication de fichiers
Comment forcer une synchronisation faisant autorité et ne faisant pas autorité

pour un répertoire SYSVOL répliqué par le service DFSR (comme « D4/D2 » pour
le service FRS)
２ Avertissement
Ne faites pas s'exécuter tous les contrôleurs de domaine d'une forêt ou d'un
domaine sur le même hyperviseur hôte. Cela introduit un point de défaillance
unique qui paralyse les services AD DS, Exchange, SQL et d'autres opérations
d'entreprise, chaque fois que l'hyperviseur passe en mode hors connexion. Cela
revient au même que d'utiliser un seul contrôleur de domaine pour tout un
domaine ou toute une forêt. Plusieurs contrôleurs de domaine sur plusieurs
plateformes permettent de fournir des fonctionnalités de redondance et de
tolérance de panne.
Réplication postérieure à une capture instantanée

Ne restaurez pas les captures instantanées tant que tous les changements effectués
localement depuis la création de la capture instantanée n'ont pas été répliqués en sortie.
Les changements effectués à l'origine sont perdus à jamais si d'autres contrôleurs de
domaine ne les ont pas reçus au préalable par réplication.
Utilisez Repadmin.exe pour afficher les changements sortants non répliqués entre un
contrôleur de domaine et ses partenaires :
1. Retournez les noms des partenaires du contrôleur de domaine et les GUID d'objet
DSA avec :
Repadmin.exe /showrepl <DC Name of the partner> /repsto
2. Retournez la réplication entrante en attente du contrôleur de domaine partenaire

au contrôleur de domaine à restaurer :
Repadmin.exe /showchanges < Name of partner DC><DSA Object GUID of the
domain controller being restored><naming context to compare>
Sinon, il est possible de voir simplement le nombre de changements non répliqués :
Repadmin.exe /showchanges <Name of partner DC><DSA Object GUID of the domain

controller being restored><naming context to compare> /statistics
Par exemple (avec une sortie changée pour une meilleure lisibilité et les entrées
importantes en italique), vous pouvez voir ici les partenariats de réplication de DC4 :
C:\>repadmin.exe /showrepl dc4.corp.contoso.com /repsto
Default-First-Site-Name\DC4
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 5d083398-4bd3-48a4-a80d-fb2ebafb984f
DSA invocationID: 730fafec-b6d4-4911-88f2-5b64e48fc2f1
==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============
DC=corp,DC=contoso,DC=com
Default-First-Site-Name\DC3 via RPC
DSA object GUID: f62978a8-fcf7-40b5-ac00-40aa9c4f5ad3
Last attempt @ 2011-11-11 15:04:12 was successful.
Default-First-Site-Name\DC2 via RPC
DSA object GUID: 3019137e-d223-4b62-baaa-e241a0c46a11
Last attempt @ 2011-11-11 15:04:15 was successful.
À présent, vous savez qu'il se réplique avec DC2 et DC3. Vous affichez ensuite la liste des
changements que DC2 indique ne pas avoir encore reçus de la part de DC4, et vous
constatez qu'il existe un nouveau groupe :
C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-

fb2ebafb984f dc=corp,dc=contoso,dc=com
==== SOURCE DSA: (null) ====
Objects returned: 1
(0) add CN=newgroup4,CN=Users,DC=corp,DC=contoso,DC=com
1> parentGUID: 55fc995a-04f4-4774-b076-d6a48ac1af99
1> objectGUID: 96b848a2-df1d-433c-a645-956cfbf44086
2> objectClass: top; group
1> instanceType: 0x4 = ( WRITE )
1> whenCreated: 11/11/2011 3:03:57 PM Eastern Standard Time
Vous pouvez également tester l'autre partenaire pour vous assurer qu'il n'est pas déjà
répliqué.
Toutefois, si cela ne vous intéresse pas de savoir quels sont les objets non répliqués et si
vous êtes seulement intéressé par les objets en attente, utilisez l'option /statistics :
C:\>repadmin /showchanges dc2.corp.contoso.com 5d083398-4bd3-48a4-a80d-

fb2ebafb984f dc=corp,dc=contoso,dc=com /statistics
***********************************************
********* Grand total *************************
Packets: 1
Objects: 1Object Additions: 1Object Modifications: 0Object

Deletions: 0Object Moves: 0Attributes: 12Values:
13
） Important
Testez tous les partenaires accessibles en écriture si vous constatez des défaillances
ou une réplication en attente. Tant qu'il existe au moins une convergence, vous
pouvez restaurer sans risque la capture instantanée, car la réplication compare et
modifie en conséquence les autres serveurs.
Veillez à noter les erreurs de réplication indiquées par /showchanges et corrigez-les

avant de continuer.
Applets de commande Windows PowerShell pour

captures instantanées
Les applets de commande suivantes du module Windows PowerShell pour Hyper-V
fournissent des fonctionnalités de capture instantanée dans Windows Server 2012 :
Checkpoint-VM
Export-VMSnapshot
Get-VMSnapshot
Remove-VMSnapshot
Rename-VMSnapshot
Restore-VMSnapshot
Installation d’une nouvelle forêt

Active Directory à l’aide d’Azure CLI
AD DS peut s’exécuter sur une machine virtuelle Azure de la même manière que sur de
nombreuses instances locales. Cet article vous guide tout au long du déploiement d’une
nouvelle forêt AD DS, sur deux nouveaux contrôleurs de domaine, dans un groupe à
haute disponibilité Azure à l’aide du Portail Azure et d’Azure CLI. De nombreux clients
trouvent ces conseils utiles lors de la création d’un lab ou de la préparation du
déploiement de contrôleurs de domaine dans Azure.
Components
Groupe de ressources dans lequel tout placer.
Un Réseau virtuel Azure, un sous-réseau, un groupe de sécurité réseau et une règle
pour autoriser l’accès RDP aux machines virtuelles.
Un groupe de machines virtuelles à haute disponibilité Azure dans lequel placer
deux contrôleurs de domaine Active Directory Domain Services (AD DS).
Deux machines virtuelles Azure pour exécuter AD DS et DNS.
Éléments non couverts

Création d’une connexion VPN de site à site à partir d’un emplacement local
Sécurisation du trafic réseau dans Azure
Conception de la topologie de site
Planification de l’emplacement des rôles de maître d’opérations
Déploiement d’Azure AD Connect pour synchroniser les identités avec Azure AD
Créer l’environnement de test

Nous utilisons le Portail Azure et Azure CLI pour créer l’environnement.
L’interface de ligne de commande (CLI) Azure permet de créer et gérer des ressources
Azure à partir de la ligne de commande ou dans les scripts. Ce tutoriel détaille
l’utilisation de l’interface de ligne de commande Azure pour le déploiement d’une
machine virtuelle Azure exécutant Windows Server 2019. Une fois le déploiement
terminé, connectez-vous au serveur et installez AD DS.
Si vous ne disposez pas d’abonnement Azure, créez un compte gratuit avant de
commencer.
Utilisation de l’interface de ligne de commande Azure

Le script suivant automatise le processus de création de deux machines virtuelles
Windows Server 2019, dans le but de créer des contrôleurs de domaine pour une
nouvelle forêt Active Directory dans Azure. Un administrateur peut modifier les variables
ci-dessous en fonction de ses besoins, sous une même une opération. Le script crée le
groupe de ressources nécessaire, le groupe de sécurité réseau avec une règle de trafic
pour le Bureau à distance, le réseau et le sous-réseau virtuels, et le groupe de
disponibilité. Les machines virtuelles sont ensuite créées avec un disque de données de
20 Go avec la mise en cache désactivée pour l’installation d’AD DS.
Le script ci-dessous peut être exécuté directement à partir du Portail Azure. Si vous
choisissez d’installer et d’utiliser l’interface de ligne de commande localement, vous
devez exécuter Azure CLI version 2.0.4 ou une version ultérieure pour poursuivre la
procédure décrite dans ce guide de démarrage rapide. Exécutez az --version pour
trouver la version. Si vous devez installer ou mettre à niveau, consultez Installation
d’Azure CLI 2.0.
Nom de la variable Objectif
AdminUsername Nom d’utilisateur à configurer sur chaque machine virtuelle en tant

qu’administrateur local.
AdminPassword Texte clair du mot de passe à configurer sur chaque machine virtuelle en
tant que mot de passe d’administrateur local.
ResourceGroupName Nom à utiliser pour le groupe de ressources. Ne doit pas dupliquer un

nom existant.
Emplacement Nom de l’emplacement Azure sur lequel vous souhaitez déployer.

Répertoriez les régions prises en charge pour l’abonnement actuel à l’aide
de az account list-locations .
VNetName Nom à attribuer au réseau virtuel Azure ; ne doit pas dupliquer un nom
existant.
VNetAddress Étendue d’IP à utiliser pour la mise en réseau Azure. Ne doit pas dupliquer
une plage existante.
SubnetName Nom pour affecter le sous-réseau IP. Ne doit pas dupliquer un nom
existant.
Nom de la variable Objectif
SubnetAddress Adresse de sous-réseau pour les contrôleurs de domaine. Doit être un

sous-réseau à l’intérieur du réseau virtuel.
AvailabilitySet Nom du groupe à haute disponibilité auquel les machines virtuelles du

contrôleur de domaine seront jointes.
VMSize Taille de machine virtuelle Azure standard disponible à l’emplacement

pour le déploiement.
DataDiskSize Taille en Go pour le disque de données sur lequel AD DS est installé.
DomainController1 Nom du premier contrôleur de domaine.
DC1IP Adresse IP du premier contrôleur de domaine.
DomainController2 Nom du deuxième contrôleur de domaine.
DC2IP Adresse IP du deuxième contrôleur de domaine.
Azure CLI
#Update based on your organizational requirements
Location=westus2
ResourceGroupName=ADonAzureVMs
NetworkSecurityGroup=NSG-DomainControllers
VNetName=VNet-AzureVMsWestUS2
VNetAddress=10.10.0.0/16
SubnetName=Subnet-AzureDCsWestUS2
SubnetAddress=10.10.10.0/24
AvailabilitySet=DomainControllers
VMSize=Standard_DS1_v2
DataDiskSize=20
AdminUsername=azureuser
AdminPassword=ChangeMe123456
DomainController1=AZDC01
DC1IP=10.10.10.11
DomainController2=AZDC02
DC2IP=10.10.10.12
# Create a resource group.
az group create --name $ResourceGroupName \
--location $Location
# Create a network security group

az network nsg create --name $NetworkSecurityGroup \
--resource-group $ResourceGroupName \
# Create a network security group rule for port 3389.
az network nsg rule create --name PermitRDP \
--nsg-name $NetworkSecurityGroup \
--priority 1000 \
--access Allow \
--source-address-prefixes "*" \
--source-port-ranges "*" \
--direction Inbound \
--destination-port-ranges 3389
# Create a virtual network.
az network vnet create --name $VNetName \
--address-prefixes $VNetAddress \
--location $Location \
# Create a subnet
az network vnet subnet create --address-prefix $SubnetAddress \
--name $SubnetName \
--vnet-name $VNetName \
--network-security-group $NetworkSecurityGroup
# Create an availability set.
az vm availability-set create --name $AvailabilitySet \
# Create two virtual machines.
az vm create \
--availability-set $AvailabilitySet \
--name $DomainController1 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC1IP \
--no-wait
az vm create \
--availability-set $AvailabilitySet \
--name $DomainController2 \
--size $VMSize \
--image Win2019Datacenter \
--admin-username $AdminUsername \
--admin-password $AdminPassword \
--data-disk-sizes-gb $DataDiskSize \
--data-disk-caching None \
--nsg $NetworkSecurityGroup \
--private-ip-address $DC2IP
DNS et Active Directory

Si les machines virtuelles Azure créées dans le cadre de ce processus sont une extension
d’une infrastructure Active Directory local existante, les paramètres DNS sur le réseau
virtuel doivent être modifiés pour inclure vos serveurs DNS locaux avant le déploiement.
Cette étape est importante pour permettre aux contrôleurs de domaine nouvellement
créés dans Azure de résoudre les ressources locales et de permettre la réplication. Pour
plus d’informations sur DNS, Azure et la configuration des paramètres, consultez la
section Résolution de noms qui utilise votre propre serveur DNS.
Après avoir promu les nouveaux contrôleurs de domaine dans Azure, définissez le
serveur DNS principal et le serveur DNS secondaire du réseau virtuel, puis abaissez le
niveau des serveurs DNS locaux vers un niveau tertiaire ou inférieur. Les machines
virtuelles continuent d’utiliser leurs paramètres DNS actifs jusqu’à ce qu’elles soient
redémarrés. Pour plus d’informations sur la modification des serveurs DNS, consultez
l’article Créer, modifier ou supprimer un réseau virtuel.
Vous trouverez des informations sur l’extension d’un réseau local à Azure dans l’article
Création d’une connexion VPN de site à site.
Configurer les machines virtuelles et installer

Active Directory Domain Services
Une fois le script terminé, accédez au Portail Azure , puis à Machines virtuelles.
Configuration du premier contrôleur de domaine

Connectez-vous à AZDC01 à l’aide des informations d’identification que vous avez
fournies dans le script.
Initialisez et formatez le disque de données en tant que F :

Ouvrez le menu Démarrer et accédez à Gestion de l’ordinateur
Accédez à Stockage>Gestion des disques
Initialiser le disque en tant que MBR
Créez un volume simple et affectez-lui la lettre de lecteur F : ; vous pouvez
fournir une étiquette de volume si vous le souhaitez
Installer Active Directory Domain Services à l’aide du Gestionnaire de serveur
Promouvez le contrôleur de domaine en tant que premier dans une nouvelle forêt
Laissez le serveur DNS et le catalogue global (GC) cochés dans la page Options
du contrôleur de domaine
Spécifier un mot de passe en mode de restauration des services d’annuaire en
fonction des exigences de votre organisation
Modifiez les chemins d’accès de C : pour pointer vers le lecteur F : que nous
avons créé lorsque vous êtes invité à indiquer leur emplacement
Passez en revue les sélections effectuées dans l’Assistant et choisissez Suivant
７ Notes
La vérification des conditions préalables vous avertit que la carte réseau physique
n’a pas d’adresses IP statiques affectées. Vous pouvez l’ignorer en toute sécurité,
car les adresses IP statiques sont affectées dans le réseau virtuel Azure.
Choisissez Installer
Lorsque l’Assistant termine le processus d’installation, la machine virtuelle redémarre.
Lorsque la machine virtuelle a terminé le redémarrage, reconnectez-vous avec les

informations d’identification utilisées auparavant, mais cette fois en tant que membre du
domaine que vous avez créé.
７ Notes
La première ouverture de session après la promotion à un contrôleur de domaine

peut prendre plus de temps que d’habitude. Prenez une tasse de thé, café, eau ou
autre boisson de votre choix.
Les réseaux virtuels Azure prennent désormais en charge IPv6, mais si vous souhaitez
définir vos machines virtuelles de façon à préférer IPv4 à IPv6, vous trouverez des
informations sur la façon d’effectuer cette tâche dans l’article de la Base de
connaissances Conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs
avancés .
Configurer DNS
Après avoir promu le premier serveur dans Azure, les serveurs devront être définis sur
les serveurs DNS principaux et secondaires pour le réseau virtuel, et tous les serveurs
DNS locaux seront rétrogradés vers les serveurs tertiaires et au-delà. Pour plus
d’informations sur la modification des serveurs DNS, consultez l’article Créer, modifier
ou supprimer un réseau virtuel.
Configuration du second contrôleur de domaine
Connectez-vous à AZDC02 à l’aide des informations d’identification que vous avez
fournies dans le script.
Initialisez et formatez le disque de données en tant que F :

Ouvrez le menu Démarrer et accédez à Gestion de l’ordinateur
Accédez à Stockage>Gestion des disques
Initialiser le disque en tant que MBR
Créez un volume simple et affectez-lui la lettre de lecteur F : (vous pouvez
fournir une étiquette de volume si vous le souhaitez)
Installer Active Directory Domain Services à l’aide du Gestionnaire de serveur
Promouvoir le contrôleur de domaine
Ajouter un contrôleur de domaine à un domaine existant - CONTOSO.com
Fournir les informations d’identification pour effectuer l’opération
Modifiez les chemins d’accès de C : pour pointer vers le lecteur F : que nous
avons créé lorsque vous êtes invité à indiquer leur emplacement
Vérifiez que le serveur DNS et le catalogue global (GC) sont cochés dans la page
Options du contrôleur de domaine
Spécifier un mot de passe en mode de restauration des services d’annuaire en
fonction des exigences de votre organisation
Passez en revue les sélections effectuées dans l’Assistant et choisissez Suivant
７ Notes
La vérification des prérequis vous avertit que la carte réseau physique n’a pas
d’adresses IP statiques affectées. Vous pouvez ignorer cela en toute sécurité, car les
adresses IP statiques sont affectées dans le réseau virtuel Azure.
Choisissez Installer
Lorsque l’Assistant termine le processus d’installation, la machine virtuelle redémarre.
Lorsque la machine virtuelle a terminé le redémarrage, reconnectez-vous avec les

informations d’identification utilisées auparavant, mais cette fois en tant que membre du
domaine CONTOSO.com
Les réseaux virtuels Azure prennent désormais en charge IPv6, mais si vous souhaitez
définir vos machines virtuelles de façon à préférer IPv4 à IPv6, vous trouverez des
informations sur la façon d’effectuer cette tâche dans l’article de la Base de
connaissances Conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs
avancés .
Conclusion
À ce stade, l’environnement dispose d’une paire de contrôleurs de domaine, et nous
avons configuré le réseau virtuel Azure afin que des serveurs supplémentaires puissent
être ajoutés à l’environnement. Les tâches post-installation pour Active Directory
Domain Services, comme la configuration des sites et des services, l’audit, la sauvegarde
et la sécurisation du compte d’administrateur intégré, doivent être effectuées à ce stade.
Suppression de l’environnement
Pour supprimer l’environnement, une fois le test terminé, le groupe de ressources que
nous avons créé ci-dessus peut être supprimé. Cette étape supprime tous les
composants qui font partie de ce groupe de ressources.
Supprimer à l’aide du portail Azure

À partir du Portail Azure, accédez à Groupes de ressources et choisissez le groupe de
ressources que nous avons créé (dans cet exemple ADonAzureVMs), puis sélectionnez
Supprimer le groupe de ressources. Le processus demande une confirmation avant de
supprimer toutes les ressources contenues dans le groupe de ressources.
Suppression à l’aide d’Azure CLI

À partir d’Azure CLI, exécutez la commande suivante :
Azure CLI
az group delete --name ADonAzureVMs
Étapes suivantes
Virtualisation sécurisée des services de domaine Active Directory (AD DS)
Azure AD Connect
Sauvegarde et récupération
Connectivité VPN site à site
Surveillance
Sécurité et stratégie
Maintenance et mises à jour
Virtualisation de contrôleurs de
domaine avec Hyper-V
Cette rubrique sera mise à jour pour que l’aide s’applique à Windows Server 2016.
Windows Server 2012 introduit de nombreuses améliorations concernant les contrôleurs
de domaine virtualisés, notamment des protections empêchant la restauration USN sur
des contrôleurs de domaine virtuels et la possibilité de cloner des contrôleurs de
domaine virtuels. Pour plus d’informations sur ces améliorations, consultez Présentation
de la virtualisation des services AD DS (Active Directory Domain Services) (niveau 100).
Hyper-V regroupe différents rôles serveur sur un seul ordinateur physique. Ce guide
décrit l’exécution de contrôleurs de domaine comme systèmes d’exploitation invités
32 bits ou 64 bits.
Observations sur la planification des

Cette section couvre la configuration matérielle requise pour le serveur Hyper-V, la
façon d’éviter les points de défaillance uniques, le choix du type de configuration
approprié pour vos machines virtuelles et serveurs Hyper-V et les décisions relatives à la
sécurité et aux performances.
Configuration requise pour Hyper-V

Pour installer et utiliser le rôle Hyper-V, vous devez disposer des éléments suivants :
Processeur x64
Hyper-V est disponible avec les versions x64 de Windows Server 2008 (ou
version ultérieure).
Virtualisation assistée par le matériel
Cette fonction est disponible dans les processeurs qui incluent une option de
virtualisation ; plus spécifiquement, Intel VT (Intel Virtualization Technology) ou
AMD Virtualization (AMD-V).
Protection matérielle de l’exécution des données (DEP)
La protection DEP matérielle doit être disponible et activée. Plus
spécifiquement, vous devez activer le bit Intel XD (bit de désactivation
d’exécution) ou le bit AMD NX (bit de non-exécution).
Éviter de créer des points de défaillance

uniques
Vous devez essayer d'éviter de créer des points de défaillance uniques potentiels
lorsque vous planifiez votre déploiement de contrôleur de domaine virtuel. Vous pouvez
éviter d'introduire des points de défaillance uniques potentiels en implémentant la
redondance système. Par exemple, tenez compte des recommandations suivantes tout
en gardant à l'esprit le risque d'augmentations du coût d'administration :
1. Exécutez au moins deux contrôleurs de domaine virtualisés par domaine sur des
hôtes de virtualisation différents, ce qui réduit le risque de perdre tous les
contrôleurs de domaine en cas de défaillance d'un hôte de virtualisation unique.
2. Comme recommandé pour d'autres technologies, diversifiez le matériel (en
utilisant des unités centrales, cartes mères, cartes réseau différentes, ou d'autres
matériels) sur lequel les contrôleurs de domaine sont exécutés. La diversification
du matériel limite les dommages que risque d'entraîner un dysfonctionnement qui
est spécifique à une configuration de fournisseur, à un pilote ou à un composant
matériel ou type de matériel unique.
3. Dans la mesure du possible, les contrôleurs de domaine doivent être exécutés sur
du matériel qui se trouve dans différentes régions du monde. Cela permet de
réduire l'impact d'un incident ou d'une défaillance qui affecte un site sur lequel les
contrôleurs de domaine sont hébergés.
4. Maintenez des contrôleurs de domaine physiques dans chacun de vos domaines.
Cela réduit le risque d'un dysfonctionnement de la plateforme de virtualisation qui
affecte tous les systèmes hôtes qui utilisent cette plateforme.

L'ordinateur hôte sur lequel sont exécutés les contrôleurs de domaine virtuels doit être
administré avec précaution en tant que contrôleur de domaine inscriptible, même s'il ne
s'agit que d'un ordinateur de groupe de travail ou appartenant à un domaine. Il s'agit là
d'un facteur de sécurité important. Un hôte incorrectement administré est vulnérable
aux attaques par élévation de privilèges. Cela se produit lorsqu'un utilisateur malveillant
bénéficie de droits d'accès et de privilèges système qui n'ont pas été autorisés ou
octroyés de façon légitime. Tout utilisateur malveillant peut utiliser ce type d'attaque
pour endommager l'ensemble des ordinateurs virtuels, des domaines et des forêts
qu'héberge l'ordinateur concerné.
Tenez compte des points suivants concernant la sécurité si vous prévoyez de virtualiser
des contrôleurs de domaine :
L'administrateur local d'un ordinateur qui héberge des contrôleurs de domaine

inscriptibles virtuels doit être considéré comme l'équivalent, en termes
d'informations d'identification, de l'administrateur de domaine par défaut chargé
de l'ensemble des domaines et forêts auxquels appartiennent ces contrôleurs.
Pour éviter les problèmes de sécurité et de performances, il est recommandé de
limiter la configuration à un hôte exécutant une installation minimale de
Windows Server 2008 (ou version ultérieure) sans autre application qu’Hyper-V.
Cette configuration limite le nombre d’applications et services installés sur le
serveur. Ceci devrait augmenter les performances et réduire le nombre
d’applications et services pouvant être exploités de manière malveillante pour
attaquer l’ordinateur ou le réseau. Ce type de configuration fournit ce que l'on
nomme une surface d'attaque réduite. Dans une filiale ou tout autre lieu difficile à
sécuriser correctement, un contrôleur de domaine en lecture seule (RODC) est
recommandé. S'il existe un réseau d'administration distinct, il est recommandé de
connecter l'hôte uniquement à ce réseau.
Vous pouvez utiliser BitLocker avec vos contrôleurs de domaine. À partir de
Windows Server 2016, vous pouvez utiliser la fonctionnalité de TPM virtuel afin de
fournir également à l’invité le matériel de clé pour déverrouiller le volume système.
La structure fabric protégée et les VM dotées d’une protection maximale peuvent
fournir des contrôles supplémentaires pour protéger vos contrôleurs de domaine.
Pour obtenir des informations sur les contrôleurs de domaine en lecture seule, consultez
le guide de planification et de déploiement de contrôleurs de domaine en lecture seule.
Pour plus d’informations sur la sécurisation des contrôleurs de domaine, consultez le

guide des bonnes pratiques de sécurisation des installations Active Directory.
Limites de sécurité pour différentes

configurations d’hôte et invité
Le recours aux ordinateurs virtuels permet de disposer de plusieurs configurations de
contrôleurs de domaine. Il est important de connaître l'incidence des ordinateurs
virtuels sur les limites et les approbations de votre topologie Active Directory. Le tableau
ci-après décrit plusieurs configurations possibles pour un hôte et contrôleur de domaine
Active Directory (serveur Hyper-V) ainsi que pour ses invités (ordinateurs virtuels
exécutés sur le serveur Hyper-V).
Machine Configuration 1 « Configuration 2 »
Host Groupe de travail ou ordinateur membre Groupe de travail ou ordinateur membre
Invité Contrôleur de domaine Groupe de travail ou ordinateur membre
L'administrateur de l'ordinateur hôte dispose des mêmes droits d'accès qu'un

administrateur de domaine sur les invités du contrôleur de domaine inscriptible, et
il doit être considéré comme tel. En présence d'un invité RODC, l'administrateur de
l'ordinateur hôte bénéficie des mêmes droits d'accès qu'un administrateur local sur
le RODC local.
Un contrôleur de domaine exécuté sur un ordinateur virtuel bénéficie de droits
d'administration sur l'hôte si ce dernier appartient au même domaine. Un
utilisateur malveillant qui parvient à accéder à la machine virtuelle 1 peut être en
mesure de compromettre l’ensemble des machines virtuelles. Il s’agit d’un vecteur
d’attaque. S'il existe des contrôleurs de domaine pour plusieurs domaines ou
forêts, ces domaines doivent bénéficier d'une administration centralisée selon
laquelle l'administrateur d'un domaine est approuvé sur tous les domaines.
Les possibilités d'attaque à partir de l'ordinateur virtuel 1 existent, même si cet
ordinateur est installé en tant que contrôleur de domaine en lecture seule. En effet,
bien que l'administrateur d'un RODC ne dispose pas explicitement de droits
d'administrateur, le RODC peut servir à envoyer des stratégies à l'ordinateur hôte.
Or, ces stratégies peuvent contenir des scripts de démarrage. Si cette opération
réussit, l'ordinateur hôte risque d'être compromis et peut alors servir à
compromettre les autres systèmes virtuels présents dans l'ordinateur hôte.
Sécurité des fichiers VHD

Un fichier VHD de contrôleur de domaine virtuel équivaut au disque dur physique d'un
contrôleur de domaine physique. Il doit donc être protégé de la même façon que le
disque dur d'un contrôleur de domaine physique. Vérifiez que seuls des administrateurs
fiables et approuvés sont autorisés à accéder aux fichiers VHD du contrôleur de
domaine.
Contrôleurs RODC
L'un des avantages des contrôleurs de domaine en lecture seule est qu'il est possible de
les placer dans des lieux où la sécurité physique ne peut être assurée, comme dans des
filiales. Vous pouvez recourir au chiffrement de lecteur Windows BitLocker pour éviter
que les fichiers VHD eux-mêmes (et non les systèmes de fichiers du VHD) soient
compromis sur l’hôte en cas de vol du disque physique.
Performances
La nouvelle architecture 64 bits du micronoyau contribue à améliorer notablement les
performances Hyper-V par rapport aux plateformes de virtualisation antérieures. Pour
optimiser les performances de l’hôte, réalisez une installation minimale de
Windows Server 2008 (ou version ultérieure) et n’y installez que le rôle Hyper-V.
La performance des ordinateurs virtuels dépend en particulier de la charge de travail.

Pour garantir une performance satisfaisante d'Active Directory, testez les topologies
spécifiques. Évaluez la charge de travail en cours sur une période donnée à l’aide d’un
outil tel que l’analyseur de fiabilité et de performances (Perfmon.msc) ou Microsoft
Assessment and Planning Toolkit. L'outil MAP peut également s'avérer utile si vous
souhaitez faire l'inventaire de tous les serveurs et rôles de serveur de votre réseau.
Pour évaluer les performances des contrôleurs de domaine virtualisés, les tests de
performances suivants ont été réalisés avec l’outil ADTest.exe (Active Directory
Performance Testing Tool) .
Des tests LDAP (Lightweight Directory Access Protocol) ont été réalisés sur un contrôleur
de domaine physique avec ADTest.exe, puis sur un ordinateur virtuel hébergé sur un
serveur identique au contrôleur de domaine physique. Un seul processeur logique a été
utilisé pour l'ordinateur physique, de même qu'un seul processeur virtuel pour
l'ordinateur virtuel, de façon à atteindre facilement une utilisation à 100 % du
processeur. Dans le tableau suivant, la lettre et le chiffre entre parenthèses après chaque
test indiquent le test spécifique dans ADTest.exe. Comme le montrent ces données, les
performances des contrôleurs de domaine virtualisés sont comprises entre 88 et 98 %
des performances de contrôleurs de domaine physiques.
Mesure Test Physique Les Delta
machines
Recherches/s Recherche de nom commun dans l'étendue 11 508 10 276 -10,71 %

de base (L1)
Recherches/s Recherche de groupe d'attributs dans 10123 9005 -11,04 %

l'étendue de base (L2)
Recherches/s Recherche de tous les attributs dans l'étendue 1284 1 242 -3,27 %
de base (L3)
Recherches/s Recherche de nom commun dans l'étendue 8 613 7904 -8,23 %

de sous-arborescence (L6)
Liaisons Réalisation de liaisons rapides (B1) 1438 1 374 -4,45 %

réussies/s
Liaisons Réalisation de liaisons simples (B2) 611 550 -9,98 %

réussies/s
Liaisons Utilisation de NTLM pour réaliser les liaisons 1068 1056 -1,12 %
réussies/s (B5)
logiques/s Écriture de plusieurs attributs (W2) 6 467 5 885 -9 %
Pour garantir une performance adéquate, des composants d'intégration (IC) ont été
installés afin de permettre au système d'exploitation invité d'utiliser des « états d'éveil à
la présence d'un environnement virtualisé » ou des pilotes synthétiques prenant en
charge les hyperviseurs. Au cours du processus d'installation, il peut être nécessaire
d'utiliser des pilotes de cartes réseau ou des pilotes IDE (Integrated Drive Electronics)
émulés. Dans un environnement de production, remplacez ces pilotes émulés par des
pilotes synthétiques afin d'accroître les performances.
Lorsque vous contrôlez les performances des ordinateurs virtuels avec l'analyseur de
fiabilité et de performances (Perfmon.msc), les informations sur l'unité centrale, dans
l'ordinateur virtuel, ne sont pas exactes en raison de la façon dont l'UC est planifiée sur
le processeur physique. Si vous souhaitez obtenir des informations sur l'unité centrale
d'un ordinateur virtuel exécuté sur un serveur Hyper-V, utilisez le processeur logique de
l'hyperviseur Hyper-V dans la partition hôte.
Pour plus d’informations sur le réglage des performances pour AD DS et Hyper-V,
consultez le guide d’optimisation des performances pour Windows Server 2016.
Par ailleurs, ne prévoyez pas d'utiliser un disque de différenciation VHD sur un

ordinateur virtuel configuré en tant que contrôleur de domaine : cela risquerait de faire
chuter les performances. Pour en savoir plus sur les types de disques Hyper-V, y compris
les disques de différentiation, consultez Assistant Nouveau disque dur virtuel.
Pour plus d’informations sur AD DS dans les environnements d’hébergement virtuels,
consultez Éléments à prendre en compte quand vous hébergez des contrôleurs de
domaine Active Directory dans des environnements d’hébergement virtuels dans la Base
de connaissances Microsoft.
Observations sur le déploiement de contrôleurs

de domaine virtualisés
Nous vous recommandons d’éviter plusieurs pratiques courantes relatives aux machines
virtuelles quand vous déployez des contrôleurs de domaine et d’observer certaines
considérations particulières pour la synchronisation date/heure et le stockage.
Pratiques à éviter lors du déploiement

d'ordinateurs virtuels
Les plateformes de virtualisation, telles que Hyper-V, proposent plusieurs fonctions
pratiques qui facilitent la gestion, l'entretien, la sauvegarde et la migration des
ordinateurs. Les fonctionnalités et pratiques de déploiement courantes ci-après sont
cependant à proscrire en présence de contrôleurs de domaine virtuels :
Pour garantir la durabilité des écritures Active Directory, ne déployez pas les

fichiers de base de données d’un contrôleur de domaine virtuel (base de données
Active Directory (NTDS.DIT), journaux et SYSVOL) sur des disques IDE virtuels.
Créez plutôt un deuxième VHD attaché à un contrôleur SCSI virtuel et veillez à ce
que la base de données, les journaux et SYSVOL soient placés sur le disque SCSI de
la machine virtuelle durant de l’installation du contrôleur de domaine.
Ne recourez pas aux disques durs virtuels de différenciation (VHD) sur un

ordinateur virtuel que vous configurez en tant que contrôleur de domaine. Il
deviendrait trop aisé de revenir à une version antérieure, et les performances s'en
trouveraient réduites. Pour plus d’informations sur les types de VHD, consultez
Assistant Nouveau disque dur virtuel.
Ne déployez pas de nouveaux domaines et forêts Active Directory sur une copie

d’un système d’exploitation Windows Server qui n’a pas été préparée avec l’Outil
de préparation du système (Sysprep). Pour plus d’informations sur l’exécution de
l’outil Sysprep, consultez Vue d’ensemble de Sysprep (préparation du système).
２ Avertissement
L’exécution de Sysprep sur un contrôleur de domaine n’est pas prise en

charge.
Afin d'éviter la restauration potentielle d'un numéro de séquence de mise à jour

(USN), n'utilisez pas les copies d'un fichier VHD représentant un contrôleur de
domaine déjà déployé pour déployer d'autres contrôleurs de domaine. Pour plus
d’informations sur la restauration USN, consultez USN et restauration USN.
Les administrateurs qui souhaitent déployer des contrôleurs de domaine
supplémentaires peuvent utiliser Windows Server 2012 (ou version ultérieure)
pour cloner des images de contrôleur de domaine, moyennant une préparation
adéquate.
N'utilisez pas la fonction d'exportation Hyper-V pour exporter un ordinateur virtuel

qui exécute un contrôleur de domaine.
Avec Windows Server 2012 (ou version ultérieure), l’exportation et l’importation
d’un invité virtuel de contrôleur de domaine sont gérées comme une
restauration ne faisant pas autorité, car il détecte une modification de l’ID de
génération et il n’est pas configuré pour le clonage.
Vérifiez que vous n’utilisez plus l’invité que vous avez exporté.
Vous pouvez utiliser la réplication Hyper-V pour conserver une deuxième
copie inactive d’un contrôleur de domaine. Si vous démarrez l’image
répliquée, vous devez également effectuer un nettoyage approprié, et ce,
pour la même raison que vous ne devez pas utiliser la source après
l’exportation d’une image d’invité de contrôleur de domaine.
Migration d'un ordinateur physique vers un

ordinateur virtuel
System Center Virtual Machine Manager (VMM) 2008 fournit un moyen d'administrer les
ordinateurs physiques et virtuels de manière unifiée. Il permet en outre de migrer un
ordinateur physique vers un ordinateur virtuel. Ce processus porte le nom de
« conversion P2V » (système physique vers système virtuel). Durant le processus de
conversion P2V, la nouvelle machine virtuelle et le contrôleur de domaine physique
faisant l’objet de la migration ne doivent pas être exécutés simultanément. Cela
risquerait en effet de provoquer une restauration USN comme décrit dans USN et
restauration USN.
Effectuez la conversion P2V en mode hors connexion, de façon à garantir la cohérence
des données d'annuaire lors de la mise sous tension du contrôleur de domaine. Le
mode hors connexion est proposé et recommandé dans l'Assistant Conversion de
serveur physique. Pour obtenir une description de la différence entre le mode en ligne
et le mode hors connexion, consultez P2V : conversion d’ordinateurs physiques en
ordinateurs virtuels dans VMM. Au cours de la conversion P2V, l'ordinateur virtuel ne
doit pas être connecté au réseau. L’adaptateur réseau de la machine virtuelle ne doit
être activé qu’une fois le processus de conversion P2V terminé et vérifié. À ce stade,
l'ordinateur physique source est hors connexion. Ne reconnectez pas l'ordinateur source
au réseau avant de reformater le disque dur.
７ Notes
Il existe des options plus sûres pour créer des contrôleurs de domaine virtuels sans
risque de créer une restauration USN. Vous pouvez configurer un nouveau
contrôleur de domaine virtuel par promotion classique, par promotion avec la
méthode d’installation à partir du support (IFM, Install From Media) et à l’aide du
clonage de contrôleur de domaine si vous avez déjà au moins un contrôleur de
domaine virtuel.
Ceci permet également d’éviter les problèmes matériels ainsi que
les problèmes liés à la plateforme que peuvent rencontrer les invités virtuels faisant
l’objet d’une conversion P2V.
２ Avertissement
Pour éviter tout problème de réplication Active Directory, assurez-vous qu'il existe à

tout instant une seule et unique instance (physique ou virtuelle) d'un contrôleur de
domaine donné sur un réseau donné.
Vous pouvez réduire le risque de problème
lié à l’ancien clone :
Quand le nouveau contrôleur de domaine virtuel est en cours d’exécution,

modifiez deux fois le mot de passe du compte d’ordinateur avec : netdom
resetpwd /Server:<domain-controller> …
Exportez et importez le nouvel invité virtuel pour le forcer à devenir un nouvel
ID de génération et donc un ID d’appel de base de données.
Utilisation de la migration P2V en vue de créer

des environnements de test
Vous pouvez procéder à une migration P2V via VMM en vue de créer des
environnements de test. Il est possible de migrer des contrôleurs de domaine de
production à partir d'ordinateurs physiques vers des ordinateurs virtuels de façon à
créer un environnement de test sans avoir à interrompre les contrôleurs de domaine de
production de manière permanente. Cependant, l'environnement de test doit se trouver
sur un réseau différent de l'environnement de production s'il existe deux instances du
même contrôleur de domaine. Lors de la création d'un environnement de test avec une
migration P2V, veillez à éviter les restaurations USN. Celles-ci risquent d'avoir une
incidence néfaste sur vos environnements de test et de production. Vous trouverez ci-
après une méthode de création d'environnement de test avec P2V.
Un contrôleur de chaque domaine est migré vers un ordinateur virtuel de test via P2V,
selon les indications fournies à la section Migration d'un ordinateur physique vers un
ordinateur virtuel. Les ordinateurs de production physiques et les ordinateurs de test
virtuels doivent se trouver sur des réseaux distincts lorsqu'ils passent de nouveau en
ligne. Pour éviter les restaurations USN dans l'environnement de test, mettez hors
connexion tous les contrôleurs de domaine qui doivent faire l'objet d'une migration
P2V. (Pour ce faire, vous pouvez arrêter le service NTDS ou redémarrer l'ordinateur en
mode de restauration des services d'annuaire (DSRM).) Une fois les contrôleurs de
domaine hors connexion, aucune nouvelle mise à jour ne doit être introduite dans
l'environnement. Les ordinateurs doivent demeurer hors connexion pendant la
migration P2V ; aucun système ne doit être reconnecté tant que tous les ordinateurs
n'ont pas été entièrement migrés. Pour en savoir plus sur la restauration USN, consultez
USN et restauration USN.
Les contrôleurs de domaine test qui suivent doivent être promus comme réplicas dans
l'environnement de test.
Service de temps
Pour les machines virtuelles configurées comme contrôleurs de domaine, il est
recommandé de désactiver la synchronisation date/heure entre le système hôte et le
système d’exploitation invité agissant comme contrôleur de domaine. Ceci permet à
votre contrôleur de domaine invité de synchroniser la date et l’heure à partir de la
hiérarchie de domaines.
Pour désactiver le fournisseur de synchronisation date/heure Hyper-V, arrêtez la

machine virtuelle et désactivez la case à cocher Synchronisation date/heure sous
Services d’intégration.
７ Notes
Cette aide a été mise à jour récemment pour refléter la recommandation actuelle, à
savoir synchroniser la date et l’heure pour le contrôleur de domaine invité
uniquement à partir de la hiérarchie de domaines. Celle-ci remplace la
recommandation précédente, à savoir désactiver partiellement la synchronisation
date/heure entre le système hôte et le contrôleur de domaine invité.
Stockage
Pour optimiser les performances de la machine virtuelle du contrôleur de domaine et
garantir la durabilité des écritures Active Directory, suivez les recommandations ci-
dessous concernant le stockage des fichiers du système d’exploitation,
d’Active Directory et du VHD :
Stockage invité. Stockez le fichier de base de données (Ntds.dit), les fichiers

journaux et les fichiers SYSVOL d'Active Directory sur un disque virtuel, séparément
des fichiers du système d'exploitation. Créez un deuxième VHD attaché à un
contrôleur SCSI virtuel et stockez la base de données, les journaux et SYSVOL sur le
disque SCSI virtuel de la machine virtuelle. Les disques SCSI virtuels offrent des
performances supérieures à celles d’un IDE virtuel et prennent en charge le
standard FUA (Forced Unit Access). FUA garantit que le système d’exploitation écrit
et lit les données directement sur le support en contournant tous les mécanismes
de mise en cache.
７ Notes
Si vous envisagez d’utiliser BitLocker pour l’invité de contrôleur de domaine

virtuel, vous devez veiller à ce que les volumes supplémentaires soient
configurés pour le « déverrouillage automatique ».
Pour plus d’informations
sur la configuration du déverrouillage automatique, consultez Enable-
BitLockerAutoUnlock.
Stockage hôte des fichiers VHD. Recommandations : Ces recommandations

concernent le stockage des fichiers VHD. Pour bénéficier d'une performance
optimale, ne stockez pas les fichiers VHD sur un disque utilisé fréquemment par
d'autres services ou applications, comme le disque système sur lequel est installé
le système d'exploitation Windows hôte. Stockez chaque fichier VHD sur une
partition distincte de celle du système d'exploitation et de tout autre fichier VHD.
La configuration idéale consiste à stocker chaque fichier VHD sur un disque
physique distinct.
Le système de disque physique hôte doit également satisfaire à au moins l’un des
critères suivants pour répondre aux exigences d’intégrité des données de charge
de travail virtualisée :
Le système utilise des disques de classe serveur (SCSI, Fibre Channel).
Le système garantit que les disques sont connectés à un adaptateur de bus hôte
avec mise en cache adossée à une batterie.
Le système utilise un contrôleur de stockage (par exemple, un système RAID)
comme appareil de stockage.
Le système garantit que l’alimentation du disque est protégée par un onduleur.
Le système garantit que la fonctionnalité de mise en cache des écritures du
disque est désactivée.
VHD fixe et disques pass-through. Plusieurs méthodes permettent de configurer

le stockage pour les ordinateurs virtuels. En cas d'utilisation de fichiers VHD, les
VHD de taille fixe sont plus efficaces que les VHD dynamiques, car leur mémoire
est allouée au moment de leur création. Les disques pass-through, que les
ordinateurs virtuels peuvent utiliser pour accéder aux supports de stockage
physiques, sont davantage optimisés en termes de performances. Il s'agit
essentiellement de disques physiques ou de numéros d'unité logique (LUN)
rattachés à un ordinateur virtuel. Ces disques ne prennent pas en charge la
fonction d'instantanés. Les disques pass-through constituent par conséquent la
configuration optimale, étant donné que l'utilisation d'instantanés est déconseillée
avec les contrôleurs de domaine.
Pour réduire le risque de corruption de données Active Directory, utilisez des

contrôleurs SCSI virtuels :
Utilisez des lecteurs SCSI (plutôt que des disques IDE/ATA) sur les serveurs Hyper-V
qui hébergent des contrôleurs de domaine virtuels. Si vous ne pouvez pas utiliser
de lecteurs SCSI, assurez-vous que le cache en écriture est désactivé sur les
lecteurs ATA/IDE qui hébergent des contrôleurs de domaine virtuels. Pour plus
d’informations, consultez ID d’événement 1539 – Intégrité de la base de données.
Pour garantir la durabilité des écritures Active Directory, la base de données
Active Directory, les journaux et SYSVOL doivent être placés sur un disque SCSI
virtuel. Les disques SCSI virtuels prennent en charge le standard FUA (Forced Unit
Access). FUA garantit que le système d’exploitation écrit et lit les données
directement sur le support en contournant tous les mécanismes de mise en cache.
Observations sur le fonctionnement des

Certaines restrictions opérationnelles applicables aux contrôleurs de domaine exécutés
sur des ordinateurs virtuels ne s'appliquent pas aux contrôleurs de domaine exécutés
sur des systèmes physiques. Lorsque vous utilisez un contrôleur de domaine virtualisé,
n'utilisez pas les fonctions suivantes des logiciels de virtualisation :
L'état enregistré d'un contrôleur de domaine ne doit pas être mis en pause, arrêté
ou stocké dans un ordinateur virtuel pour une durée supérieure à la durée de vie
de désactivation de la forêt, puis sorti du mode pause ou enregistré. Cela risque de
perturber la réplication. Pour savoir comment déterminer la durée de vie d’un objet
tombstone pour la forêt, consultez Déterminer la durée de vie d’un objet
tombstone pour la forêt.
Les disques durs virtuels (VHD) ne doivent être ni copiés, ni clonés. Même si les
protections sont en place pour la machine virtuelle invitée, les VHD individuels
peuvent toujours être copiés, ce qui peut entraîner une restauration USN.
Aucun instantané de contrôleur de domaine virtuel ne doit être créé ou utilisé.
Techniquement, cette méthode est prise en charge par Windows Server 2012 (et
versions ultérieures), mais elle ne remplace pas une bonne stratégie de
sauvegarde. Peu de raisons justifient de prendre des instantanés d’un contrôleur
de domaine ou de restaurer les instantanés.
Aucun disque de différenciation VHD ne doit être utilisé sur un ordinateur virtuel
configuré en tant que contrôleur de domaine. Il deviendrait trop aisé de revenir à
une version antérieure, et les performances s'en trouveraient réduites.
La fonction d'exportation ne doit pas être utilisée sur un ordinateur virtuel qui
exécute un contrôleur de domaine.
La restauration d'un contrôleur de domaine et du contenu d'une base de données
Active Directory ne doit être effectuée qu'à partir d'une sauvegarde prise en
charge. Pour plus d’informations, consultez Observations sur la sauvegarde et la
restauration des contrôleurs de domaine virtualisés.
Ces recommandations visent à éviter l'éventualité d'une restauration d'un numéro de

séquence de mise à jour (USN). Pour plus d’informations sur la restauration USN,
consultez USN et restauration USN.
Observations sur la sauvegarde et la

restauration des contrôleurs de domaine
virtualisés
La sauvegarde de contrôleurs de domaine est une obligation indispensable pour tout
environnement. Les sauvegardes protègent les systèmes d'une perte de données en cas
de défaillance d'un contrôleur de domaine ou d'une erreur de l'administrateur.
Lorsqu'un tel événement se produit, il est nécessaire de restaurer un état système du
contrôleur de domaine antérieur à la panne ou à l'erreur. Pour restaurer un état sain
d'un contrôleur de domaine, la méthode prise en charge consiste à exécuter une
application de sauvegarde compatible avec Active Directory, telle que la Sauvegarde de
Windows Server, de façon à restaurer une sauvegarde de l'état du système générée
depuis l'installation actuelle du contrôleur de domaine. Pour plus d’informations sur
l’utilisation de la Sauvegarde Windows Server avec AD DS (Active Directory
Domain Services), consultez le Guide pas à pas de sauvegarde et de récupération AD DS.
Avec la technologie de virtualisation, certaines conditions liées aux opérations de

restauration Active Directory changent de manière significative. Par exemple, si vous
restaurez un contrôleur de domaine à l'aide d'une copie du fichier de disque dur virtuel
(VHD), vous contournez l'étape cruciale consistant à mettre à jour la version de la base
de données d'un contrôleur de domaine à l'issue de sa restauration. La réplication
continue avec des numéros de suivi erronés, produisant une base de données
incohérente entre les réplicas de contrôleurs de domaine. Dans la plupart des cas, le
système de réplication ne détecte pas ce problème et aucune erreur n'est signalée,
malgré la présence d'incohérences entre les contrôleurs de domaine.
Il existe une méthode prise en charge pour sauvegarder et restaurer un contrôleur de

domaine virtualisé :
1. Exécutez la Sauvegarde Windows Server dans le système d'exploitation invité.
Avec les hôtes et invités Hyper-V Windows Server 2012 (et versions ultérieures), vous
pouvez effectuer des sauvegardes de contrôleurs de domaine prises en charge en
utilisant des instantanés, l’exportation et l’importation de machine virtuelle invitée et la
réplication Hyper-V. Toutefois, ces méthodes ne conviennent pas vraiment à la création
d’un historique de sauvegarde approprié, même si l’exportation de machine virtuelle
invitée fait légèrement exception.
Hyper-V sur Windows Server 2016 prend en charge les « instantanés de production » : le

serveur Hyper-V déclenche une sauvegarde VSS de l’invité et, quand l’invité en a
terminé avec l’instantané, l’hôte récupère les VHD et les stocke à l’emplacement de
sauvegarde.
Bien que cela fonctionne avec Windows Server 2012 (et versions ultérieures), il existe
une incompatibilité avec BitLocker :
Quand un instantané VSS est effectué, AD veut effectuer une tâche post-instantané
pour marquer la base de données comme provenant d’une sauvegarde ou, dans le
cas de la préparation d’une source IFM pour un contrôleur de domaine en lecture
seule, supprimer les informations d’identification de la base de données.
Quand Hyper-V monte le volume ayant fait l’objet d’un instantané pour cette
tâche, aucune fonctionnalité ne permet de déverrouiller le volume pour un accès
non chiffré. Le moteur de base de données AD ne parvient donc pas à accéder à la
base de données et, au final, entraîne l’échec de l’instantané.
７ Notes
Le projet de VM dotée d’une protection maximale (mentionné précédemment)

intègre une sauvegarde pilotée par l’hôte Hyper-V comme objectif secondaire pour
une protection maximale des données de la machine virtuelle invitée.
Pratiques à éviter en matière de sauvegarde et

de restauration
Comme indiqué plus haut, certaines restrictions applicables aux contrôleurs de domaine
exécutés sur des ordinateurs virtuels ne s'appliquent pas aux contrôleurs de domaine
exécutés sur des systèmes physiques. Lorsque vous sauvegardez ou que vous restaurez
un contrôleur de domaine virtuel, n'utilisez pas les fonctions suivantes des logiciels de
virtualisation :
Ne choisissez pas de copier ou cloner les fichiers VHD des contrôleurs de domaine
plutôt que de réaliser des sauvegardes régulières. Un fichier VHD copié ou cloné
devient en effet obsolète. Ainsi, si le VHD est démarré en mode normal, une
restauration USN aura lieu. Il est préférable d'effectuer des sauvegardes prises en
charge par les services de domaine Active Directory (AD DS), par exemple au
moyen de la fonction de sauvegarde Windows Server.
N'utilisez pas la fonction d'instantané en tant que sauvegarde pour restaurer un
ordinateur virtuel configuré comme contrôleur de domaine. Cela entraînera des
problèmes de réplication quand vous restaurerez un état antérieur de la machine
virtuelle avec Windows Server 2008 R2 (ou une version antérieure). Pour plus
d’informations, consultez USN et restauration USN. Bien que l'utilisation d'un
instantané pour restaurer un contrôleur de domaine en lecture seule (RODC) ne
provoque pas de problèmes de réplication, cette méthode de restauration reste
déconseillée.
Restauration d'un contrôleur de domaine

virtuel
Pour être en mesure de restaurer un contrôleur de domaine défaillant, vous devez
sauvegarder l'état du système régulièrement. L'état du système inclut les données et
fichiers journaux d'Active Directory, le registre, le volume système (dossier SYSVOL),
ainsi que divers éléments du système d'exploitation. Cette exigence est la même pour
les contrôleurs de domaine physiques et virtuels. Les procédures de restauration de
l'état du système que réalisent les applications de sauvegarde compatibles avec
Active Directory visent à garantir la cohérence des bases de données Active Directory
locales et répliquées à l'issue d'un processus de restauration. Elles signalent en outre aux
partenaires de réplication les réinitialisations d'ID d'invocation. Cependant, les
administrateurs qui utilisent des environnements d'hébergement virtuels et des
applications d'acquisition d'images de disque ou de système d'exploitation sont
capables de contourner les contrôles et les validations qui ont généralement lieu
lorsque l'état système d'un contrôleur de domaine est restauré.
Lorsque l'ordinateur virtuel d'un contrôleur de domaine tombe en panne, sans entraîner
la restauration d'un numéro de séquence de mise à jour (USN), deux situations sont
prises en charge pour la restauration de l'ordinateur virtuel :
S'il existe une sauvegarde des données sur l'état du système, valide et antérieure à
la panne, vous pouvez restaurer l'état du système au moyen de l'option de
restauration de l'utilitaire qui a servi à créer la sauvegarde. La sauvegarde des
données sur l'état du système doit avoir été créée à l'aide d'un utilitaire compatible
avec Active Directory dans la limite de la durée de vie de désactivation, qui par
défaut est de 180 jours maximum. Sauvegardez vos contrôleurs de domaine au
moins deux fois par durée de vie de désactivation. Pour savoir comment
déterminer la durée de vie spécifique d’un objet tombstone pour votre forêt,
consultez Déterminer la durée de vie d’un objet tombstone pour la forêt.
S'il existe une copie du fichier VHD mais qu'aucune sauvegarde de l'état du
système n'est disponible, vous pouvez supprimer l'ordinateur virtuel existant.
Restaurez-le ensuite à l'aide d'une copie antérieure du fichier VHD, sans oublier de
le démarrer en mode de restauration des services d'annuaire (DSRM), et configurez
le registre de manière appropriée en suivant la procédure de la section ci-après.
Redémarrez ensuite le contrôleur de domaine en mode normal.
Suivez le processus de l'illustration suivante pour déterminer le meilleur moyen de

restaurer le contrôleur de domaine virtualisé.
Pour les RODC, le processus de restauration et les choix à effectuer sont plus simples.
Restauration de la sauvegarde de l'état système
d'un contrôleur de domaine virtuel
Si vous possédez une sauvegarde valide de l'état système de l'ordinateur virtuel du
contrôleur de domaine, il vous suffit pour la restaurer de suivre la procédure de l'outil
de sauvegarde qui vous a permis de sauvegarder le fichier VHD.
） Important
Pour restaurer correctement le contrôleur de domaine, démarrez-le en mode de

restauration des services d'annuaire (DSRM). Ne le laissez pas démarrer en mode
normal. Si vous n’êtes pas parvenu à choisir le mode DSRM au démarrage du
système, arrêtez la machine virtuelle du contrôleur de domaine avant qu’elle ne
démarre entièrement en mode normal. Il est primordial de démarrer le contrôleur
de domaine en mode DSRM, car un démarrage en mode normal entraînerait une
incrémentation de ses numéros USN, même s'il était déconnecté du réseau. Pour
plus d’informations sur la restauration USN, consultez USN et restauration USN.
Pour restaurer la sauvegarde de l'état système

d'un contrôleur de domaine virtuel
1. Démarrez la machine virtuelle du contrôleur de domaine, puis appuyez sur F5 pour
accéder à l’écran du Gestionnaire de démarrage Windows. Si vous êtes invité à
entrer des informations d'identification de connexion, cliquez immédiatement sur
le bouton Pause de l'ordinateur virtuel afin d'interrompre le démarrage. Entrez
alors vos informations d'identification de connexion et cliquez sur le bouton
Lecture de l'ordinateur virtuel. Cliquez dans la fenêtre de l'ordinateur virtuel, puis
appuyez sur F5.
Si l'écran du Gestionnaire de démarrage Windows ne s'affiche pas et que le

contrôleur de domaine démarre en mode normal, éteignez l'ordinateur virtuel afin
d'éviter que le démarrage n'aboutisse. Recommencez cette étape autant de fois
que nécessaire, jusqu'à ce que vous parveniez à accéder à l'écran du Gestionnaire
de démarrage Windows. Il n'est pas possible d'accéder au mode DSRM à partir du
menu Récupération d'erreurs Windows. Par conséquent, éteignez l'ordinateur
virtuel et recommencez l'opération si ce menu apparaît.
2. Dans l'écran du Gestionnaire de démarrage Windows, appuyez sur F8 pour accéder

aux options de démarrage avancées.
3. Dans l'écran Options de démarrage avancées, sélectionnez Mode restauration

des services d'annuaire et appuyez sur Entrée. Le contrôleur de domaine démarre
alors en mode de restauration des services d'annuaire.
4. Utilisez la méthode de restauration appropriée de l'outil qui vous a servi à créer la

sauvegarde de l'état du système. Si vous avez utilisé la Sauvegarde
Windows Server, consultez Exécution d’une restauration ne faisant pas autorité
d’AD DS.
Restauration d'un contrôleur de domaine

virtuel en l'absence d'une sauvegarde de l'état
du système
Si vous ne possédez aucune sauvegarde des données sur l'état du système antérieure à
la panne de l'ordinateur virtuel, vous pouvez utiliser un fichier VHD précédent pour
restaurer un contrôleur de domaine exécuté sur un ordinateur virtuel. Si possible, faites
une copie du disque dur virtuel, afin de pouvoir faire une nouvelle tentative avec le
disque dur copié si vous rencontrez un problème pendant la procédure ou si vous
manquez une étape.
） Important
Vous ne devez pas envisager de suivre la procédure suivante en

remplacement des sauvegardes régulièrement planifiées.
Les restaurations effectuées avec la procédure suivante ne sont pas prises
en charge par Microsoft et ne doivent être utilisées que lorsqu'il n'existe
aucune alternative.
Ne recourez pas à cette méthode si la copie du disque dur virtuel que vous
êtes sur le point de restaurer a été démarrée en mode normal par un
ordinateur virtuel quelconque.
Pour restaurer la version antérieure d'un VHD

de contrôleur de domaine virtuel en l'absence
de sauvegarde des données sur l'état du
système
1. À l'aide du VHD précédent, démarrez le contrôleur de domaine virtuel en mode
DSRM, comme décrit dans la section précédente. Ne le laissez pas démarrer en
mode normal. Si l'écran du Gestionnaire de démarrage Windows ne s'affiche pas et
que le contrôleur de domaine démarre en mode normal, éteignez l'ordinateur
virtuel afin d'éviter que le démarrage n'aboutisse. Reportez-vous à la section
précédente pour plus de détails sur le démarrage en mode DSRM.
2. Ouvrez l'Éditeur du Registre. Pour ce faire, cliquez sur Démarrer pus sur Exécuter,
tapez regedit, puis cliquez sur OK. Si la boîte de dialogue Contrôle de compte
d'utilisateur s'affiche, vérifiez que l'action affichée est celle que vous voulez, puis
cliquez sur Oui. Dans l’Éditeur du Registre, développez le chemin
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
Recherchez une valeur nommée DSA Previous Restore Count. Si cette valeur
existe, notez-en le paramètre. Si elle n'existe pas, le paramètre par défaut est
utilisé, c'est-à-dire zéro. N'ajoutez pas de valeur si vous n'en voyez pas ici.
3. Cliquez avec le bouton droit sur la clé Parameters, cliquez sur Nouveau, puis
cliquez sur Valeur DWORD 32 bits.
4. Tapez un nouveau nom, comme Database restored from backup, puis appuyez sur
Entrée.
5. Double-cliquez sur la valeur que vous venez de créer afin d'ouvrir la boîte de
dialogue Modifier la valeur DWORD 32 bits, puis tapez 1 dans la zone de texte
Données de la valeur. L’option d’entrée Database restored from backup est
disponible sur les contrôleurs de domaine qui exécutent Windows 2000 Server
avec Service Pack 4 (SP4), Windows Server 2003 avec les mises à jour incluses dans
Comment détecter une restauration USN et effectuer une récupération à la suite
de celle-ci dans Windows Server 2003, Windows Server 2008 et
Windows Server 2008 R2 (dans la Base de connaissances Microsoft installée) et
Windows Server 2008.
6. Redémarrez le contrôleur de domaine en mode normal.
7. Ouvrez ensuite l'Observateur d'événements. Pour ouvrir l'Observateur

d'événements, cliquez sur Démarrer, sur Panneau de configuration, double-
cliquez sur Outils d'administration, puis sur Observateur d'événements.
8. Développez Journaux des applications et des services, puis cliquez sur le journal
Services d'annuaire. Vérifiez que les événements apparaissent dans le volet
d'informations.
9. Cliquez avec le bouton droit sur le journal Services d'annuaire, puis cliquez sur
Rechercher. Dans Rechercher, tapez 1109, puis cliquez sur Suivant.
10. La recherche doit renvoyer au moins une entré pour l'ID d'événement 1109. Si
cette entrée n'apparaît pas, passez à l'étape suivante. Sinon, double-cliquez sur
cette entrée et passez en revue le texte confirmant la mise à jour de l'attribut
InvocationID:
Active Directory has been restored from backup media, or has been
configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created
is <time>
InvocationID attribute (old value):<Previous InvocationID value>
InvocationID attribute (new value):<New InvocationID value>
Update sequence number:<USN>
The InvocationID is changed when a directory server is restored from

backup media or is configured to host a writeable application directory
partition.
11. Fermez l’Observateur d’événements.
12. Dans l'Éditeur du Registre, vérifiez que la valeur de DSA Previous Restore Count
est égale à la valeur précédente, plus un. Si cette valeur est incorrecte et que vous
ne parvenez à trouver aucune entrée pour l’ID d’événement 1109 dans
l’observateur d’événements, vérifiez que les Service Packs du contrôleur de
domaine sont à jour. Vous ne pouvez pas réessayer cette procédure sur le même
disque dur virtuel. Vous pouvez réessayer sur une copie du disque dur virtuel ou
sur un disque dur virtuel différent qui n'a pas été démarré en mode normal, en
recommençant à l'étape 1.
13. Fermez l’Éditeur du Registre.
USN et restauration USN

Cette section décrit les problèmes de réplication qui peuvent se produire en raison
d’une restauration incorrecte de la base de données Active Directory avec une ancienne
version de machine virtuelle. Pour plus d’informations sur le processus de réplication
Active Directory, consultez Concepts de réplication Active Directory.
USN
Les services de domaine Active Directory (AD DS) ont recours à des numéros de
séquence de mise à jour (USN) pour assurer le suivi de la réplication des données entre
les contrôleurs de domaine. Chaque fois que les données de l'annuaire sont modifiées,
le numéro USN est incrémenté de façon à indiquer qu'un changement a eu lieu.
Pour chaque partition d’annuaire stockée par un contrôleur de domaine de destination,

des USN permettent d’effectuer le suivi de la dernière mise à jour reçue, qu’un
contrôleur de domaine a introduit dans sa base de données. Ils permettent également
de connaître l’état de tout autre contrôleur de domaine stockant un réplica de la
partition d’annuaire. Quand des contrôleurs de domaine répliquent des modifications
entre eux, ils interrogent leurs partenaires de réplication pour obtenir les modifications
avec des USN supérieurs à celui de la dernière modification que le contrôleur de
domaine a reçue de chaque partenaire.
Les deux tables de métadonnées de réplication ci-après contiennent des USN. Les
contrôleurs de domaine sources et cibles s'en servent pour filtrer les mises à jour
requises par les contrôleurs de domaine de destination.
1. Vecteur de mise à jour : Table gérée par le contrôleur de domaine de destination

pour le suivi des mises à jour reçues de la part de tous les contrôleurs de domaine
sources. Lorsqu'un contrôleur de domaine cible demande des modifications pour
une partition d'annuaire, il fournit son vecteur de mise à jour au contrôleur de
domaine source. À l’aide de cette valeur, le contrôleur de domaine source filtre les
mises à jour qu’il envoie au contrôleur de domaine de destination. Le contrôleur de
domaine source envoie son vecteur de mise à jour à la destination à la fin d’un
cycle de réplication réussi pour s’assurer que le contrôleur de domaine de
destination sait qu’il s’est synchronisé avec les mises à jour reçues de chaque
contrôleur de domaine et que les mises à jour sont au même niveau que la source.
2. Borne haute : Valeur gérée par le contrôleur de domaine de destination,
permettant d’assurer le suivi des toutes dernières modifications qu’il a reçues d’un
contrôleur de domaine source spécifique, pour une partition spécifique. La borne
haute évite que le contrôleur de domaine source n’envoie des modifications déjà
reçues par le contrôleur de domaine de destination.
Identité de la base de données de l'annuaire

Outre les USN, les contrôleurs de domaine conservent une trace de la base de données
d'annuaire des partenaires de réplication sources. L'identité de la base de données
d'annuaire exécutée sur le serveur est gérée séparément de l'identité de l'objet serveur
lui-même. L’identité de la base de données d’annuaires sur chaque contrôleur de
domaine est stockée dans l’attribut invocationID de l’objet Paramètres NTDS, qui se
trouve sous le chemin LDAP (Lightweight Directory Access Protocol) suivant : cn=NTDS
Settings, cn=ServerName, cn=Servers, cn=SiteName, cn=Sites, cn=Configuration,
dc=ForestRootDomain. L'identité de l'objet serveur est stockée dans l'attribut
objectGUID de l'objet Paramètres NTDS. Cette identité ne change jamais. Cependant,
l’identité de la base de données d’annuaires change quand une procédure de
restauration de l’état du système a lieu sur le serveur ou quand une partition d’annuaire
d’une application est ajoutée, puis supprimée, puis de nouveau ajoutée à partir du
serveur. (Autre scénario : quand une instance HyperV déclenche ses enregistreurs VSS
sur une partition contenant un VHD d’un contrôleur de domaine virtuel, l’invité
déclenche à son tour ses propres enregistreurs VSS (même mécanisme que celui utilisé
par la sauvegarde/restauration plus haut), ce qui se traduit par un autre mode de
réinitialisation de l’invocationID.)
De fait, l'attribut invocationID fait référence à un ensemble de mises à jour sur un

contrôleur de domaine avec une version spécifique de la base de données d'annuaire.
Les tables de vecteur de mise à jour et de borne haute utilisent respectivement
l’invocationID et le GUID du contrôleur de domaine pour que les contrôleurs de
domaine déterminent de quelle copie de la base de données Active Directory
proviennent les informations de réplication.
L'attribut invocationID est un identificateur global unique (GUID) visible dans la partie
supérieure de la sortie après l'exécution de la commande repadmin /showrepl. Le texte
suivant représente un exemple de sortie de cette commande :
Repadmin: running command /showrepl against full DC local host
Default-First-Site-Name\VDC1
DSA Options: IS_GC
DSA object GUID: 966651f3-a544-461f-9f2c-c30c91d17818
DSA invocationID: b0d9208b-8eb6-4205-863d-d50801b325a9
Quand AD DS est correctement restauré sur un contrôleur de domaine, l’invocationID

est réinitialisé. À la suite de ce changement, vous constaterez une augmentation du
trafic de réplication, dont la durée dépend de la taille de la partition répliquée.
Par exemple, supposons que VDC1 et DC2 sont deux contrôleurs de domaine
appartenant au même domaine. La figure suivante illustre la manière dont DC2
reconnaît VDC1 lorsque la valeur de l'attribut invocationID est réinitialisée dans une
situation de restauration normale.
Restauration USN
La restauration USN se produit lorsque les mises à jour d'USN normales sont
contournées et qu'un contrôleur de domaine tente d'utiliser un USN inférieur à celui de
sa dernière mise à jour. Dans la plupart des cas, la restauration USN est détectée et la
réplication arrêtée avant qu’une divergence soit créée dans la forêt.
Plusieurs facteurs sont susceptibles de provoquer une restauration USN. Par exemple, si
vous utilisez d'anciens fichiers de disque dur virtuel (VHD) ou si vous procédez à la
réalisation d'une conversion P2V (ordinateur physique en ordinateur virtuel) sans vous
assurer que l'ordinateur physique reste hors connexion de façon permanente après la
conversion. Prenez les précautions suivantes pour éviter les restaurations USN :
Si vous n’exécutez pas Windows Server 2012 (ou une version ultérieure),

n’effectuez pas et n’utilisez pas d’instantané d’une machine virtuelle de contrôleur
de domaine.
Ne copiez pas le fichier VHD du contrôleur de domaine.
Si vous n’exécutez pas Windows Server 2012 (ou une version ultérieure), n’exportez
pas la machine virtuelle qui exécute un contrôleur de domaine.
Ne restaurez pas un contrôleur de domaine et ne tentez pas de restaurer le
contenu d'une base de données Active Directory autrement qu'à l'aide d'une
solution de sauvegarde prise en charge, telle que la Sauvegarde Windows Server.
Dans certains cas, la restauration USN passe inaperçue. Dans d'autres cas, elle peut
provoquer des erreurs dans d'autres applications. Il est alors nécessaire d'identifier
l'étendue du problème et d'y remédier sans tarder. Pour obtenir des informations sur la
suppression des objets en attente potentiellement issus d’une restauration USN,
consultez Des objets Active Directory obsolètes génèrent l’ID d’événement 1988 dans
Windows Server 2003 dans la Base de connaissances Microsoft.
Détection des restaurations USN

Dans la majorité des cas, les restaurations USN qui se produisent en raison d'une
procédure de restauration incorrecte, sans que l'attribut invocationID soit réinitialisé,
sont détectées. Windows Server 2008 fournit des moyens de protection contre les
réplications incorrectes dues à une opération de restauration de contrôleur de domaine
inadéquate. Ces protections sont déclenchées par le fait qu'une restauration
inappropriée génère des USN inférieurs représentant des modifications que les
partenaires de réplication ont déjà reçues.
Dans Windows Server 2008 et Windows Server 2003 SP1, lorsqu'un contrôleur de

domaine de destination demande des modifications en utilisant un USN déjà utilisé, la
réponse provenant de son partenaire de réplication source laisse supposer que ses
métadonnées de réplication sont obsolètes. Cela indique qu'un état antérieur de la base
de données Active Directory du contrôleur de domaine source a été restauré. Par
exemple, une version antérieure du fichier VHD d'un ordinateur virtuel a été restaurée.
Dans ce cas, le contrôleur de domaine de destination lance les mesures de quarantaine
suivantes sur le contrôleur de domaine qui a été identifié comme ayant fait l'objet d'une
restauration inappropriée :
AD DS interrompt le service Net Logon, empêchant la modification des mots de

passe des comptes utilisateur et ordinateur. Cela évite que ces modifications soient
perdues si elles se produisent après une restauration inadéquate.
AD DS désactive la réplication Active Directory en entrée et en sortie.
AD DS génère l'ID d'événement 2095 dans le journal d'événements du service
d'annuaire, de façon à signaler la condition.
L'illustration suivante représente la séquence d'événements qui se produit lorsqu'une

restauration USN est détectée sur VDC2, le contrôleur de domaine de destination
exécuté sur un ordinateur virtuel. Dans cette illustration, la détection de la restauration
USN se produit sur VDC2 quand un partenaire de réplication détecte que VDC2 a
envoyé une valeur USN de mise à jour déjà vue par le contrôleur de domaine de
destination. Cela signifie en effet qu’une version antérieure erronée de la base de
données de VDC2 a été restaurée.
Si le journal d'événements du service d'annuaire signale l'ID d'événement 2095,
effectuez immédiatement les opérations ci-après.
Pour résoudre l'ID d'événement 2095

1. Isolez du réseau la machine virtuelle qui a enregistré l’erreur.
2. Tentez de déterminer si des modifications ont été issues de ce contrôleur de

domaine et propagées sur d'autres contrôleurs de domaine. Si l'événement est dû
à l'instantané ou à la copie d'un ordinateur virtuel en cours de démarrage, tentez
de déterminer l'heure à laquelle a eu lieu la restauration USN. Vous pouvez ensuite
vérifier les partenaires de réplication de ce contrôleur de domaine en vue de
déterminer si une réplication a eu lieu depuis.
Vous pouvez pour cela exécuter l'outil Repadmin. Pour obtenir des informations
sur l’utilisation de Repadmin, consultez Surveillance de la réplication
Active Directory et résolution des problèmes associés à l’aide de Repadmin. Si vous
ne pouvez pas le déterminer par vous-même, contactez le Support Microsoft
pour obtenir de l’aide.
3. Procédez à une rétrogradation forcée du contrôleur de domaine. Cela implique le
nettoyage de ses métadonnées ainsi que la prise des rôles de maître d’opérations
(également appelés « rôles d’opérations à maître unique flottant » ou « FSMO »).
Pour plus d’informations, consultez la section « Récupération à la suite d’une
restauration USN » dans Comment détecter une restauration USN et effectuer une
récupération à la suite de celle-ci dans Windows Server 2003,
Windows Server 2008 et Windows Server 2008 R2 dans la Base de connaissances
Microsoft.
4. Supprimez tous les anciens fichiers VHD du contrôleur de domaine.
Restauration USN non détectée

La restauration USN risque de ne pas être détectée dans l'un des deux cas de figure
suivants :
1. Le fichier VHD est joint à d'autres ordinateurs virtuels exécutés simultanément

dans plusieurs emplacements.
2. Le numéro USN du contrôleur de domaine restauré a augmenté et est supérieur au
dernier USN que l'autre contrôleur de domaine a reçu.
Dans le premier cas, la réplication peut avoir lieu entre les autres contrôleurs de
domaine et l'un des ordinateurs virtuels, et des modifications peuvent être effectuées
dans l'un des ordinateurs virtuels sans être répliquées vers l'autre. Cette divergence dans
la forêt est difficile à détecter et entraîne des réactions imprévisibles de l'annuaire. Une
telle situation peut se produire à la suite d'une migration P2V si les ordinateurs physique
et virtuel sont exécutés sur le même réseau. Elle peut également avoir lieu si plusieurs
contrôleurs de domaine virtuels sont créés à partir du même contrôleur de domaine
physique, puis exécutés sur le même réseau.
Dans le second cas de figure, une série de numéros USN s'applique à deux ensembles
de modifications distincts. Cette situation peut se produire sur de longues périodes sans
être détectée. Dès qu'un objet est créé pendant cette période, un objet en attente est
détecté et signalé en tant qu'ID d'événement 1988 dans l'Observateur d'événements.
L'illustration suivante montre une restauration USN non détectée dans ce type de
circonstance.
Contrôleurs de domaines en lecture seule
Les contrôleurs de domaine en lecture seule sont des contrôleurs de domaine qui
hébergent des copies en lecture seule des partitions dans une base de données
Active Directory. Les RODC contribuent à éviter la plupart des problèmes de restauration
USN, car ils ne répliquent pas les modifications sur les autres contrôleurs de domaine.
Toutefois, lorsqu'un RODC est répliqué à partir d'un contrôleur de domaine inscriptible
ayant subi une restauration USN, ce RODC est également touché.
Il est déconseillé de restaurer un RODC à l'aide d'un instantané. Recourez plutôt à une
application de sauvegarde compatible avec Active Directory. De plus, prenez garde,
comme c'est le cas avec les contrôleurs de domaine inscriptibles, de ne pas laisser un
RODC hors connexion pendant une durée supérieure à la durée de vie de désactivation.
Cette condition pourrait en effet entraîner la présence d'objets en attente sur le RODC.
Pour plus d’informations sur les contrôleurs de domaine en lecture seule, consultez le
guide de planification et de déploiement de contrôleurs de domaine en lecture seule.
Résolution des problèmes des
Article • 11/04/2023

Cette rubrique fournit une méthodologie détaillée pour résoudre les problèmes liés aux
fonctionnalités d'un contrôleur de domaine virtualisé.
Résolution des problèmes de clonage d'un contrôleur de domaine virtualisé
Résolution des problèmes de restauration sécurisée d'un contrôleur de domaine

virtualisé
Introduction
Le meilleur moyen d'améliorer vos compétences en matière de résolution des problèmes
est de créer un laboratoire de test et d'examiner rigoureusement les scénarios de travail
normaux. Si vous rencontrez des erreurs, elles sont plus évidentes et plus faciles à
comprendre, car vous avez une bonne compréhension du fonctionnement de la
promotion d'un contrôleur de domaine. Cela vous permet également de développer vos
compétences en matière d'analyses et d'analyses réseau. Cela vaut pour toutes les
technologies de systèmes distribués, et pas seulement le déploiement de contrôleurs de
Les éléments essentiels pour la résolution avancée des problèmes de configuration d'un
contrôleur de domaine sont les suivants :
1. Analyse linéaire combinée à la focalisation et la perception des détails
2. Présentation de l'analyse de capture réseau
3. Présentation des journaux intégrés
Le premier point et le deuxième point dépassent le cadre de cette rubrique. Toutefois, le

troisième point peut être expliqué en détail. La résolution des problèmes de contrôleur de
domaine virtualisé nécessite une méthode logique et linéaire. La solution consiste à
aborder la question à l'aide des données fournies et à ne recourir aux outils et analyses
complexes qu'après avoir épuisé les informations de sortie et de journalisation reçues.
Résolution des problèmes de clonage d'un
contrôleur de domaine virtualisé
Cette section traite des sujets suivants :
Outils de résolution des problèmes
Méthodologie générale pour la résolution des problèmes de clonage d'un contrôleur

de domaine
Server Core et le journal des événements
Résolution de problèmes spécifiques
La stratégie de résolution des problèmes de clonage d'un contrôleur de domaine

virtualisé respecte le format général suivant :
Les journaux intégrés sont l'outil le plus important pour la résolution des problèmes de
clonage de contrôleur de domaine. Par défaut, tous ces journaux sont activés et
configurés pour fournir un mode détaillé maximal.
opération Journal
clonage - Observateur d’événements\Journaux Windows\Système
- Observateur d’événements\Journaux des applications et des services\Service

d’annuaire
- %systemroot%\debug\dcpromo.log
Promotion - %systemroot%\debug\dcpromo.log
- Observateur d’événements\Journaux des applications et des services\Service

d’annuaire
- Observateur d’événements\Journaux Windows\Système
- Observateur d’événements\Journaux des applications et des services\Service de

réplication de fichiers
- Observateur d’événements\Journaux des applications et des services\Réplication DFS
Outils et commandes pour la résolution des problèmes de

configuration des contrôleurs de domaine
Pour résoudre les problèmes de configuration non décrits par les journaux, utilisez les
outils suivants comme point de départ :
Dcdiag.exe
Repadmin.exe
Moniteur réseau 3.4
Méthodologie générale pour la résolution des problèmes

de clonage d'un contrôleur de domaine
1. Est-ce que l'ordinateur virtuel démarre en mode de réparation des services
d'annuaire (DSRM) ? Cela indique qu'une résolution des problèmes est nécessaire.
Pour vous connecter en mode DSRM, utilisez le compte .\Administrateur et spécifiez
le mot de passe DSRM.
a. Examinez le fichier Dcpromo.log.

i. Est-ce que les étapes de clonage initiales ont réussi alors que la promotion du
contrôleur de domaine a échoué ?
ii. Est-ce que les erreurs indiquent des problèmes avec le contrôleur de domaine
local ou avec l'environnement AD DS, par exemple le retour d'erreurs par
l'émulateur de contrôleur de domaine principal (PDC, Primary Domain
Controller) ?
b. Examinez les journaux des événements Système et Services d'annuaire, ainsi que
les fichiers dccloneconfig.xml et CustomDCCloneAllowList.xml
i. Est-ce qu'une application incompatible doit se trouver dans la liste verte de

CustomDCCloneAllowList.xml ?
ii. Est-ce que l'adresse IP ou le nom d'ordinateur est dupliqué ou non valide dans
le fichier dccloneconfig.xml ?
iii. Est-ce que le site Active Directory est non valide dans le fichier
dccloneconfig.xml ?
iv. Est-ce que l'adresse IP n'est pas définie dans le fichier dccloningconfig.xml et
est-ce qu'il n'y a aucun serveur DHCP disponible ?
v. Est-ce que l'émulateur PDC est en ligne et accessible via le protocole RPC ?
vi. Est-ce que le contrôleur de domaine est membre du groupe Contrôleurs de

domaine clonables ? Est-ce que l'autorisation Autoriser un contexte de nom à
créer un clone de lui-même est définie à la racine du domaine du groupe ?
vii. Est-ce que le fichier Dccloneconfig.xml contient des erreurs de syntaxe qui
empêchent le bon déroulement de l'analyse ?
viii. Est-ce que l'hyperviseur est pris en charge ?
ix. Est-ce que la promotion du contrôleur de domaine a échoué après le

démarrage du clonage ?
x. Est-ce que le nombre maximal de noms de contrôleurs de domaine générés

automatiquement (9 999) a été dépassé ?
xi. Est-ce que l'adresse MAC est dupliquée ?
2. Est-ce que le nom d'hôte du clone est identique à celui du contrôleur de domaine
source ?
a. Existe-t-il un fichier Dccloneconfig.xml dans l'un des emplacements autorisés ?
3. Est-ce qu'après le démarrage de l'ordinateur virtuel en mode normal et la réussite du
clonage, le contrôleur de domaine fonctionne de manière incorrecte ?
a. Vérifiez d'abord si le nom d'hôte a été changé sur le clone. Si le nom d'hôte est
différent, le clonage s'est effectué au moins partiellement.
b. Est-ce que le contrôleur de domaine possède une adresse IP dupliquée du

contrôleur de domaine source à partir du fichier dccloneconfig.xml, alors que le
contrôleur de domaine source était hors connexion durant le clonage ?
c. Si le contrôleur de domaine effectue une publication, traitez cette question

comme n'importe quel problème post-promotion non lié au clonage.
d. Si le contrôleur de domaine n'effectue aucune publication, recherchez les erreurs

post-promotion dans les journaux des événements Service d'annuaire, Système,
Application, Réplication de fichiers et Réplication DFS.
Désactivation du démarrage en mode DSRM
Après un démarrage en mode DSRM à la suite d'une erreur, diagnostiquez la cause de

l'échec. Par ailleurs, si le fichier dcpromo.log n'indique pas qu'il est impossible de retenter
le clonage, résolvez le problème et réinitialisez l'indicateur DSRM. Un clone raté ne
retourne pas automatiquement en mode normal au prochain redémarrage. Vous devez
supprimer l'indicateur de démarrage DSRM pour pouvoir retenter le clonage. Toutes ces
étapes nécessitent une exécution des commandes en tant qu'administrateur avec des
privilèges élevés.
Suppression du mode DSRM avec Msconfig.exe
Pour désactiver le démarrage en mode DSRM via une interface graphique utilisateur,
utilisez l'outil de configuration système :
1. Exécutez msconfig.exe
2. Sous l'onglet Démarrer, sous Options de démarrage, désélectionnez Démarrage

sécurisé (si l'option est déjà activée en même temps que l'option Réparer
Active Directory).
3. Cliquez sur OK et redémarrez le système quand vous y êtes invité.
Suppression du mode DSRM avec Bcdedit.exe
Pour désactiver le mode DSRM à partir de la ligne de commande, utilisez l'Éditeur du

magasin des données de configuration de démarrage :
1. Ouvrez une invite de commandes et exécutez ce qui suit :
Bcdedit.exe /deletevalue safeboot
2. Redémarrez l'ordinateur avec :
Shutdown.exe /t /0 /r
７ Notes
Bcdedit.exe fonctionne aussi dans une console Windows PowerShell. Les commandes
sont les suivantes :
Bcdedit.exe /deletevalue safeboot
Restart-computer
Server Core et le journal des événements

Les journaux des événements contiennent de nombreuses informations utiles sur les
opérations de clonage de contrôleurs de domaine virtualisés. Par défaut, une installation
de Windows Server 2012 est une installation Server Core. Cela signifie qu'il n'existe pas
d'interface graphique et donc aucun moyen d'exécuter le composant logiciel enfichable
local Observateur d'événements.
Pour consulter les journaux des événements sur un serveur exécutant une installation
Server Core :
Exécutez l'outil Wevtutil.exe localement.
Exécutez l'applet de commande PowerShell Get-WinEvent localement.
Si vous avez activé les règles avancées du Pare-feu Windows pour les groupes
« Gestion à distance des journaux des événements » (ou des ports équivalents) afin
d’autoriser les communications entrantes, vous pouvez gérer le journal des
événements à distance via Eventvwr.exe, wevtutil.exe ou Get-Winevent. Vous pouvez
le faire sur une installation Server Core à l'aide de NETSH.exe, la stratégie de groupe
ou la nouvelle applet de commande Set-NetFirewallRule de Windows PowerShell 3.0.
２ Avertissement
N'essayez pas de rajouter l'interpréteur de commandes graphique à l'ordinateur

quand il est en mode DSRM. La pile de traitements Windows (CBS) ne peut pas
fonctionner correctement en mode sans échec ou DSRM. Les tentatives d'ajout de
fonctionnalités ou de rôles en mode DSRM n'aboutissent pas et laissent l'ordinateur
dans un état instable jusqu'à ce qu'il soit démarré normalement. Comme un clone de
contrôleur de domaine virtualisé en mode DSRM ne peut pas démarrer normalement,
et qu'il ne doit pas démarrer normalement dans la plupart des cas, il est impossible
d'ajouter l'interpréteur de commandes graphique en toute sécurité. Cela n'est pas
pris en charge et peut rendre le serveur inutilisable.
Événements
Tous les événements de clonage de contrôleurs de domaine virtualisés sont écrits dans le
journal des événements Services d'annuaire de l'ordinateur virtuel du contrôleur de
domaine clone. Les journaux des événements Application, Service de réplication de
fichiers et Réplication DFS peuvent également contenir des informations utiles pour
résoudre les problèmes d'échec de clonage. Les échecs qui se produisent durant l'appel
RPC de l'émulateur PDC peuvent être signalés dans le journal des événements sur
l'émulateur PDC.
Vous trouverez ci-dessous les événements de clonage Windows Server 2012 dans le

journal des événements Services d'annuaire, avec des remarques et des suggestions pour
la résolution des erreurs.
Journal des événements Services d'annuaire
Événements Description
ID 2160
d'événement
Source Microsoft-Windows-ActiveDirectory_DomainService
Niveau de Informationnel
gravité
Message <NOMORDINATEUR> local a trouvé un fichier de configuration de duplication de

contrôleur de domaine virtuel.
Le fichier de configuration de duplication de contrôleur de domaine virtuel se

trouve à : %1.
L'existence du fichier de configuration de clonage de contrôleur de domaine virtuel

indique que le contrôleur de domaine virtuel local est un clone d'un autre
contrôleur de domaine virtuel. <NOMORDINATEUR> commencera à se dupliquer
lui-même.
Remarques Il s'agit d'un événement de succès. Il ne représente un problème que s'il est
et résolution inattendu. Recherchez le fichier dcclconeconfig.xml dans le répertoire de travail de
DSA, %systemroot%\ntds, ainsi qu'à la racine de tous les disques locaux ou
amovibles.
ID 2161
d'événement
gravité
Message <NOMORDINATEUR> local n’a pas trouvé le fichier de configuration de duplication

du contrôleur de domaine virtuel. L'ordinateur local n'est pas un contrôleur de
domaine cloné.
amovibles.
ID 2162
d'événement
Niveau de Erreur
gravité
Message Échec du clonage du contrôleur de domaine virtuel.

Vérifiez les événements consignés dans les journaux des événements Système et
dans %systemroot%\debug\dcpromo.log pour plus d'informations sur les erreurs
qui correspondent à la tentative de clonage du contrôleur de domaine virtuel.
Code d’erreur : %1
Remarques Suivez les instructions du message, cette erreur est un fourre-tout.

et résolution
ID 2163
d'événement
gravité
Message Le service DsRoleSvc a démarré pour cloner le contrôleur de domaine virtuel local.
amovibles.
ID 2164
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à démarrer le service DsRoleSvc pour dupliquer
le contrôleur de domaine virtuel local.
Remarques Examinez les paramètres de service du service Serveur de rôles DS (DsRoleSvc) et

et résolution assurez-vous que son type de démarrage est manuel. Vérifiez qu'aucun programme
tiers n'empêche le démarrage de ce service.
ID 2165
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à démarrer un thread au cours de la

duplication du contrôleur de domaine virtuel local.
Code d'erreur : %1
Message d'erreur : %2
Nom du thread : %3
Remarques et Contactez les services de support technique Microsoft

résolution
ID 2166
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> nécessite le service RPCSS pour lancer le redémarrage en

mode DSRM. L'attente de l'initialisation du service RPCSS à l'état de fonctionnement
a échoué.
Code d'erreur : %1
Remarques Examinez le journal des événements Système et les paramètres du service Serveur
et résolution RPC (Rpcss)
ID d'événement 2168
gravité
Message Microsoft-Windows-ActiveDirectory_DomainService
Le contrôleur de domaine s'exécute sur un hyperviseur pris en charge. ID de
génération d'ordinateur virtuel détecté.
Valeur actuelle de l‘ID de génération d’ordinateur virtuel : %1
Remarques et Il s'agit d'un événement de succès. Il ne représente un problème que s'il est
résolution inattendu.
ID 2169
d'événement
gravité
Message Aucun ID de génération d'ordinateur virtuel n'a été détecté. Le contrôleur de

domaine est hébergé sur une machine physique, une version de niveau inférieur
d'Hyper-V ou un hyperviseur qui ne prend pas en charge l'ID de génération
d'ordinateur virtuel.
Données supplémentaires
Code d'échec retourné durant la vérification de l'ID de génération d'ordinateur

virtuel : %1
Remarques Il s'agit d'un événement de succès si vous n'aviez pas l'intention d'effectuer de
et résolution clonage. Sinon, examinez le journal des événements Système, ainsi que la
documentation de support technique de l'hyperviseur.
ID 2170
d'événement
Gravité Avertissement
Message Un changement d'ID de génération a été détecté.

ID de génération mis en cache dans les services d'annuaire (ancienne valeur) : %1
ID de génération actuellement dans l'ordinateur virtuel (nouvelle valeur) : %2
Le changement d'ID de génération se produit après l'application d'une capture

instantanée d'ordinateur virtuel, après une opération d'importation d'ordinateur
virtuel ou après une opération de migration dynamique. <NOMORDINATEUR> va
créer un nouvel ID d’invocation pour restaurer le contrôleur de domaine. Les
contrôleurs de domaine virtualisés ne doivent pas être restaurés à l'aide de captures
instantanées d'ordinateurs virtuels. La méthode prise en charge pour restaurer le
contenu d'une base de données des services de domaine Active Directory consiste à
restaurer une sauvegarde de l'état du système effectuée à l'aide d'une application
de sauvegarde compatible avec les services de domaine Active Directory.
Remarques Il s'agit d'un événement de succès si vous aviez l'intention d'effectuer un clonage.
et résolution Sinon, examinez le journal des événements Système.
ID 2171
d'événement
gravité
Message Aucun changement d'ID de génération n'a été détecté.

et résolution clonage. Il doit être visible à chaque redémarrage d'un contrôleur de domaine
virtualisé. Sinon, examinez le journal des événements Système.
ID 2172
d'événement
gravité
Message Lisez l'attribut msDS-GenerationId de l'objet ordinateur du contrôleur de domaine.

Valeur de l'attribut msDS-GenerationId : %1
Remarques et Il s'agit d'un événement de succès si vous aviez l'intention d'effectuer un clonage.
résolution Sinon, examinez le journal des événements Système.
ID 2173
d'événement
gravité
Message Échec de lecture de l'attribut msDS-GenerationId de l'objet ordinateur du contrôleur

de domaine. La raison peut en être un échec de transaction de base de données, ou
l'absence d'ID de génération dans la base de données locale. L'attribut msDS-
GenerationId n'existe pas durant le premier redémarrage après dcpromo ou le
contrôleur de domaine n'est pas un contrôleur de domaine virtuel.
Code d'échec : %1
Remarques Il s'agit d'un événement de succès si vous aviez l'intention d'effectuer un clonage et
et résolution si l'ordinateur virtuel redémarre pour la première fois après le clonage. Il peut
également être ignoré sur les contrôleurs de domaine non virtuels. Sinon, examinez
le journal des événements Système.
ID 2174
d'événement
gravité
Message Le contrôleur de domaine n'est ni un clone du contrôleur de domaine virtuel, ni une

capture instantanée de contrôleur de domaine virtuel restauré.
et résolution clonage. Sinon, examinez le journal des événements Système.
ID 2175
d'événement
Niveau de Erreur
gravité
Message Le fichier de configuration de clonage du contrôleur de domaine virtuel existe sur

une plateforme non prise en charge.
Remarques Cela se produit quand un fichier dccloneconfig.xml est trouvé mais pas l'ID de
et résolution génération d'ordinateur virtuel. C'est le cas, par exemple, quand un fichier
dccloneconfig.xml est trouvé sur un ordinateur physique ou sur un hyperviseur qui
ne prend pas en charge l'ID de génération d'ordinateur virtuel.
ID 2176
d'événement
gravité
Message Fichier de configuration de clonage du contrôleur de domaine virtuel renommé.

Ancien nom de fichier : %1
Nouveau nom de fichier : %2
Remarques Changement de nom attendu au démarrage de la sauvegarde d'un ordinateur

et résolution virtuel source, car l'ID de génération d'ordinateur virtuel n'a pas changé. Cela
empêche le contrôleur de domaine source de tenter d'effectuer un clonage.
ID 2177
d'événement
Niveau de Erreur
gravité
Message Échec d'attribution d'un nouveau nom au fichier de configuration de clonage du

Nom de fichier : %1
Code d'échec : %2 %3
Remarques Tentative de changement de nom attendue au démarrage de la sauvegarde d'un

et résolution ordinateur virtuel source, car l'ID de génération d'ordinateur virtuel n'a pas changé.
Cela empêche le contrôleur de domaine source de tenter d'effectuer un clonage.
Renommez manuellement le fichier et examinez les produits tiers installés qui
peuvent empêcher le changement de nom du fichier.
ID 2178
d'événement
gravité
Message Fichier de configuration de clonage de contrôleur de domaine virtuel détecté, mais

ID de génération d'ordinateur virtuel inchangé. Le contrôleur de domaine local est
le contrôleur de domaine source du clonage. Renommez le fichier de configuration
du clonage.
Remarques Attendu au démarrage de la sauvegarde d'un ordinateur virtuel source, car l'ID de
et résolution génération d'ordinateur virtuel n'a pas changé. Cela empêche le contrôleur de
domaine source de tenter d'effectuer un clonage.
gravité
Message L'attribut msDS-GenerationId de l'objet ordinateur du contrôleur de domaine a

été paramétré comme suit :
Attribut GenerationID : %1
ID 2180
d'événement
Message Échec de définition de l'attribut msDS-GenerationId de l'objet ordinateur du

Code d'échec : %1
Remarques Examinez le journal des événements Système et Dcpromo.log. Recherchez l'erreur

et résolution spécifique dans Microsoft TechNet, La Base de connaissances Microsoft et les blogs
Microsoft pour déterminer sa signification usuelle, puis résolvez le problème en
fonction de ces informations.
ID 2182
d'événement
gravité
Message Événement interne : Il a été demandé au service d’annuaire de cloner un agent de

système d’annuaire (DSA, Directory System Agent) à distance :
et résolution inattendu.
gravité
Message Événement interne : <NOMORDINATEUR> a effectué la demande de clonage de

l’agent de système d’annuaire distant.
Nom initial du contrôleur de domaine : %3
Nom du contrôleur de domaine pour la demande de clonage : %4
Site du contrôleur de domaine pour la demande de clonage : %5
Valeur d'erreur : %1 %2
ID 2184
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à créer un compte de contrôleur de domaine

pour le contrôleur de domaine dupliqué.
Nom initial du contrôleur de domaine : %1
Nombre autorisé de contrôleurs de domaine clonés : %2
La limite du nombre de comptes de contrôleur de domaine pouvant être générés

par duplication de <NOMORDINATEUR> a été franchie.
Remarques Un seul nom de contrôleur de domaine source ne peut se générer

et résolution automatiquement que 9 999 fois, si les contrôleurs de domaine ne sont pas
rétrogradés, en fonction de la convention d'affectation de noms. Utilisez l’élément
<computername> dans le code XML pour générer un nouveau nom ou clone
unique à partir d’un contrôleur de domaine nommé de manière distincte.
ID 2191
d'événement
gravité
Message <NOMORDINATEUR> a défini la valeur de Registre suivante pour désactiver les

mises à jour DNS.
Clé de Registre : %1
Valeur de Registre : %2
Données de valeur de Registre : %3
Durant le processus de clonage, l'ordinateur local peut temporairement porter le

même nom d'ordinateur que l'ordinateur source du clonage. Les inscriptions
d'enregistrement DNS A et AAAA sont désactivées pendant cette période. Ainsi, les
clients ne peuvent pas envoyer de demandes à l'ordinateur local qui fait l'objet du
clonage. Le processus de clonage réactivera les mises à jour DNS quand le clonage
sera terminé.
ID 2192
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à définir la valeur de registre suivante afin de
désactiver les mises à jour DNS.
Message d’erreur : %5

clonage.
Remarques Examinez les journaux des événements Application et Système. Vérifiez si une
et résolution application tierce ne bloque pas les mises à jour du Registre.
ID 2193
d'événement
gravité
Message <NOMORDINATEUR> a défini la valeur de registre suivante pour activer les mises à
jour DNS.

clonage.
ID 2194
d'événement
-- --
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à définir la valeur de registre suivante pour
activer les mises à jour DNS.

clonage.
ID 2195
d'événement
Niveau de Erreur
gravité
Message Échec du mode de démarrage DSRM.

Code d'erreur : %1
Quand le clonage du contrôleur de domaine virtuel a échoué ou qu'un fichier de

configuration de clonage de contrôleur de domaine virtuel est présent sur un
hyperviseur non pris en charge, la machine locale redémarre en mode DSRM pour
permettre la résolution des problèmes. Échec du mode de démarrage DSRM.
ID 2196
d'événement
Niveau de Erreur
gravité
Message Échec d'activation du privilège d'arrêt.

Code d'erreur : %1

permettre la résolution des problèmes. Échec d'activation du privilège d'arrêt.
et résolution application tierce ne bloque pas l'utilisation des privilèges.
ID 2197
d'événement
Niveau de Erreur
gravité
Message Échec de démarrage de l'arrêt du système.

Code d'erreur : %1

permettre la résolution des problèmes. Échec de démarrage de l'arrêt du système.
et résolution application tierce ne bloque pas l'utilisation des privilèges.
ID 2198
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas pu créer ni modifier l’objet contrôleur de domaine

cloné suivant.
Données supplémentaires :
Objet :
%1
Valeur de l’erreur : %2
%3
Remarques Recherchez l'erreur spécifique dans Microsoft TechNet, La Base de connaissances

et résolution Microsoft et les blogs Microsoft pour déterminer sa signification usuelle, puis
résolvez le problème en fonction de ces informations.
ID 2199
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas pu créer l’objet contrôleur de domaine cloné suivant,
car l’objet existe déjà.
Contrôleur de domaine source :
%1
Objet :
%2
Remarques Soit la validation du fichier dccloneconfig.xml n'a pas spécifié de contrôleur de

et résolution domaine existant, soit les copies du fichier dccloneconfig.xml ont été utilisées sur
plusieurs clones sans modification du nom. Si la collision est toujours inattendue,
déterminez quel est l'administrateur à l'origine de la promotion. Contactez-le pour
déterminer si le contrôleur de domaine existant doit être rétrogradé, si les
métadonnées du contrôleur de domaine existant doivent être nettoyées ou si le
clone doit utiliser un autre nom.
ID 2203
d'événement
Niveau de Erreur
gravité
Message Le clonage du dernier contrôleur de domaine virtuel a échoué. Le redémarrage qui

vient de s'effectuer est le premier depuis cet échec. Cependant, aucun fichier de
configuration de clonage de contrôleur de domaine virtuel et aucun changement
d'ID de génération d'ordinateur virtuel n'ont été détectés. Démarrez en mode
DSRM.
Le clonage du dernier contrôleur de domaine virtuel a échoué : %1
Le fichier de configuration de clonage de contrôleur de domaine virtuel existe : %2
Un changement d'ID de génération d'ordinateur virtuel a été détecté : %3
Remarques Attendu si le clonage a échoué précédemment, en raison d'un fichier

et résolution dccloneconfig.xml manquant ou non valide
ID de 2210
l’événement
severity Error
Message <NOMORDINATEUR> n’a pas pu créer d’objets pour le contrôleur de domaine

clone.
ID de clone : %6
Nom du contrôleur de domaine clone : %1
Boucle de reprise : %2
Valeur d’exception : %3
Valeur d’erreur : %4
DSID : %5
Remarques Examinez les journaux des événements Système et Services d'annuaire, ainsi que le
et résolution fichier dcpromo.log, pour plus d'informations sur les raisons de l'échec du clonage.
ID de l’événement 2211
severity Informationnel
Message <NOMORDINATEUR> a créé des objets pour le contrôleur de domaine

clone.
ID de clone : %3
Boucle de reprise : %2
Message <NOMORDINATEUR> a commencé à créer des objets pour le contrôleur de

domaine clone.
ID de clone : %1
Nom du clone : %2
Site clone : %3
Contrôleur de domaine en lecture seule clone : %4
ID de 2213
l’événement
Message <NOMORDINATEUR> a créé un objet KrbTgt pour le clonage du contrôleur de

domaine en lecture seule.
ID de clone : %1
GUID du nouvel objet KrbTgt : %2
Message <NOMORDINATEUR> va créer un objet ordinateur pour le contrôleur de

domaine clone.
ID de clone : %1
Contrôleur de domaine initial : %2
Contrôleur de domaine clone : %3
Message <NOMORDINATEUR> va ajouter le contrôleur de domaine clone au site

suivant.
ID de clone : %1
Site : %2
Message <NOMORDINATEUR> va créer un conteneur de serveurs pour le contrôleur

de domaine clone.
ID de clone : %1
Conteneur de serveurs : %2
Message <NOMORDINATEUR> va créer un objet serveur pour le contrôleur de

domaine clone.
ID de clone : %1
Objet serveur : %2
Message <NOMORDINATEUR> va créer un objet de paramètres NTDS pour le

contrôleur de domaine clone.
ID de clone : %1
Objet : %2
ID de 2219
l’événement
Message <NOMORDINATEUR> va créer des objets connexion pour le contrôleur de

domaine en lecture seule clone.
ID de clone : %1
Message <NOMORDINATEUR> va créer des objets SYSVOL pour le contrôleur de

domaine en lecture seule clone.
ID de clone : %1
ID de 2221
l’événement
severity Error
Message <NOMORDINATEUR> n’a pas pu générer de mot de passe aléatoire pour le

contrôleur de domaine cloné.
ID de clone : %1
Erreur : %3 %4
Remarques Examinez le journal des événements Système pour plus d'informations sur la raison
et résolution pour laquelle le mot de passe du compte d'ordinateur n'a pas pu être créé.
ID de 2222
l’événement
severity Error
Message <NOMORDINATEUR> n’a pas pu définir de mot de passe pour le contrôleur de

domaine cloné.
ID de clone : %1
Erreur : %3 %4
Remarques Examinez le journal des événements Système pour plus d'informations sur la raison
et résolution pour laquelle le mot de passe du compte d'ordinateur n'a pas pu être défini.
ID de 2223
l’événement
Message <NOMORDINATEUR> a défini un mot de passe de compte d’ordinateur pour le

contrôleur de domaine cloné.
ID de clone : %1
Nombre total de tentatives : %3
ID de 2224
l’événement
severity Error
Message Échec du clonage du contrôleur de domaine virtuel. Le ou les comptes de service

administrés %1 suivants existent sur l'ordinateur cloné :
%2
Pour que le clonage réussisse, tous les comptes de service administrés doivent être
supprimés. Pour ce faire, utilisez l'applet de commande PowerShell Remove-
ADComputerServiceAccount.
Remarques Attendu durant l'utilisation des comptes de service administrés autonomes (mais pas
et résolution les comptes de service administrés de groupe). Ne suivez pas le conseil associé à
l'événement et qui consiste à supprimer le compte. Il s'agit d'une erreur. Utilisez
Uninstall-AdServiceAccount - https://technet.microsoft.com/library/hh852310.
Les comptes de service administrés autonomes (apparus avec Windows

Server 2008 R2) ont été remplacés dans Windows Server 2012 par les comptes de
service administrés de groupe. Les comptes de service administrés de groupe
prennent en charge le clonage.
ID de 2225
l’événement
Message Les secrets mis en cache du principal de sécurité suivant ont été supprimés du
contrôleur de domaine local :
%1
Après avoir cloné un contrôleur de domaine en lecture seule, les secrets auparavant
mis en cache sur le contrôleur en lecture seule à la source du clonage seront
supprimés du contrôleur cloné.
ID de 2226
l’événement
severity Error
Message Impossible de supprimer les secrets mis en cache du principal de sécurité suivant à
partir du contrôleur de domaine local :
%1
Erreur : %2 (%3)
Après avoir cloné un contrôleur de domaine en lecture seule, les secrets mis en
cache auparavant sur le contrôleur en lecture seule à la source du clonage doivent
être supprimés du clone. Ne pas effectuer cette étape augmente le risque qu'une
personne malveillante obtienne ces informations d'identification à partir d'un clone
volé ou détourné. Si le principal de sécurité correspond à un compte à privilèges
élevés et doit être protégé contre ce type d'attaque, utilisez l'opération rootDSE
rODCPurgeAccount pour effacer manuellement ses secrets sur le contrôleur de
domaine local.
Remarques Pour plus d'informations, examinez les journaux des événements Système et Services
et résolution d'annuaire.
ID de 2227
l’événement
severity Error
Message Une exception s'est déclenchée lors de la tentative de suppression des secrets mis
en cache du contrôleur de domaine local.
Valeur d’exception : %1
DSID : %3
Après avoir cloné un contrôleur de domaine en lecture seule, les secrets mis en
cache auparavant sur le contrôleur en lecture seule à la source du clonage doivent
être supprimés du clone. Ne pas effectuer cette étape augmente le risque qu'une
personne malveillante obtienne ces informations d'identification à partir d'un clone
volé ou détourné. Si l'un de ces principaux de sécurité correspond à un compte à
privilèges élevés et doit être protégé contre ce type d'attaque, utilisez l'opération
rootDSE rODCPurgeAccount pour effacer manuellement ses secrets sur le contrôleur
de domaine local.
Remarques Pour plus d'informations, examinez les journaux des événements Système et Services
et résolution d'annuaire.
ID de 2228
l’événement
severity Error
Message L'ID de génération de l'ordinateur virtuel, stocké dans la base de données Active
Directory de ce contrôleur de domaine, diffère de sa valeur active. Cependant, aucun
fichier de configuration de clonage de contrôleur de domaine virtuel
(DCCloneConfig.xml) n'a pu être trouvé. Le clonage du contrôleur de domaine n'a
donc pas été tenté. Si une opération de clonage a été tentée, assurez-vous qu'un
fichier DCCloneConfig.xml est fourni dans l'un des emplacements pris en charge. De
plus, l'adresse IP de ce contrôleur de domaine entre en conflit avec celle d'un autre
contrôleur. Pour s'assurer qu'aucune interruption de service ne se produit, le
contrôleur de domaine a été configuré afin de démarrer en mode de restauration
des services d'annuaire (DSRM).
Adresse IP en double : %1
Remarques Ce mécanisme de protection arrête les contrôleurs de domaine dupliqués quand

et résolution cela est possible (cela n'est pas le cas avec le protocole DHCP, par exemple). Ajoutez
un fichier DcCloneConfig.xml valide, supprimez l'indicateur DSRM, puis réessayez le
clonage.
ID de 29218
l’événement
Source Microsoft-Windows-DirectoryServices-DSROLE-Server
severity Error
Message Échec du clonage du contrôleur de domaine virtuel. L'opération de clonage n'a pas
pu se terminer et le contrôleur de domaine cloné a été redémarré en mode de
restauration des services d'annuaire (DSRM).
Passez en revue les événements consignés dans les journaux et le fichier
%systemroot%\debug\dcpromo.log pour plus d'informations sur les erreurs qui
correspondent à la tentative de clonage du contrôleur de domaine virtuel et pour
savoir si cette image de clone est réutilisable.
Si une ou plusieurs entrées de journal indiquent qu'il est impossible de retenter le

processus de clonage, l'image doit être détruite de manière sécurisée. Sinon, vous
pouvez corriger les erreurs, effacer l'indicateur de démarrage DSRM, puis redémarrer
normalement. Après le redémarrage, l'opération de clonage est relancée.
Remarques Examinez les journaux des événements Système et Services d'annuaire, ainsi que le
et résolution fichier dcpromo.log, pour plus d'informations sur les raisons de l'échec du clonage.
Message Le clonage du contrôleur de domaine virtuel a réussi.
ID de 29248
l’événement
severity Error
Message Le clonage du contrôleur de domaine virtuel n'a pas pu obtenir la notification

Winlogon. Le code d'erreur retourné est %1 (%2).
Pour plus d'informations sur cette erreur, consultez
%systemroot%\debug\dcpromo.log pour déterminer les erreurs qui correspondent à
la tentative de clonage d'un contrôleur de domaine virtuel.
Remarques Contactez les services de support technique Microsoft

et résolution
ID de 29249
l’événement
severity Error
Message Le clonage du contrôleur de domaine virtuel n'a pas pu analyser le fichier de

configuration du contrôleur de domaine virtuel.
Le code HRESULT retourné est %1.
Le fichier de configuration est :%2
Corrigez les erreurs dans le fichier de configuration et réessayez l'opération de

clonage.
Pour plus d'informations sur cette erreur, consultez

%systemroot%\debug\dcpromo.log.
Remarques Examinez le fichier dclconeconfig.xml en recherchant les erreurs de syntaxe à l'aide

et résolution d'un éditeur XML, ainsi que le fichier de schéma DCCloneConfigSchema.xsd.
ID de 29250
l’événement
severity Error
Message Échec du clonage du contrôleur de domaine virtuel. Des logiciels ou des services
actuellement activés sur le contrôleur de domaine virtuel cloné ne sont pas présents dans
la liste des applications autorisées pour le clonage du contrôleur de domaine virtuel.
Les entrées manquantes sont reprises ci-après :
%2
%1 (le cas échéant) a servi de liste d'inclusion définie.
L'opération de clonage ne peut pas se terminer si des applications ne prenant pas en

charge le clonage sont installées.
Exécutez l'applet de commande PowerShell Active Directory Get-

ADDCCloningExcludedApplicationList pour déterminer les applications qui sont installées
sur l'ordinateur cloné sans être incluses dans la liste des applications autorisées, puis
ajoutez-les à cette liste si elles sont compatibles avec le clonage de contrôleur de domaine
virtuel. Si des applications sont incompatibles, désinstallez-les avant de relancer le clonage.
Le processus de clonage de contrôleur de domaine virtuel recherche le fichier de la liste

des applications autorisées, du nom de CustomDCCloneAllowList.xml, selon l'ordre de
recherche ci-après. Le premier fichier trouvé est utilisé et les suivants sont ignorés :
1. Nom de la valeur de Registre :

HKey_Local_Machine\System\CurrentControlSet\Services\NTDS\Parameters\AllowListFolder
2. Même répertoire que celui où réside le dossier du répertoire de travail de DSA
3. %windir%\NTDS
4. Supports de lecture/écriture amovibles, en fonction de l’ordre de la lettre qui identifie le

lecteur, sur la racine du lecteur
Remarques Suivez les instructions du message.

et résolution
ID de 29251
l’événement
severity Error
Message Le clonage du contrôleur de domaine virtuel n'a pas pu réinitialiser les adresses IP de
l'ordinateur clone.
Le code d'erreur retourné est %1 (%2).
Cette erreur peut être due à une mauvaise configuration des sections de
configuration réseau dans le fichier de configuration du contrôleur de domaine
virtuel.
Pour plus d'informations sur les erreurs qui correspondent à la réinitialisation des
adresses IP lors de tentatives de clonage d'un contrôleur de domaine virtuel,
consultez %systemroot%\debug\dcpromo.log.
Pour obtenir des détails sur la réinitialisation des adresses IP sur l’ordinateur cloné,
visitez https://go.microsoft.com/fwlink/?LinkId=208030
Remarques Assurez-vous que les informations IP définies dans le fichier dccloneconfig.xml sont
et résolution valides et qu'elles ne représentent pas un doublon de la machine source d'origine.
ID de 29253
l’événement
severity Error
Message Échec du clonage du contrôleur de domaine virtuel. Le contrôleur de domaine clone

n'a pas pu localiser le maître d'opérations du contrôleur de domaine principal dans
le domaine d'accueil de l'ordinateur cloné.
Vérifiez que le contrôleur de domaine principal dans le domaine d'accueil de

l'ordinateur cloné est affecté à un contrôleur de domaine actif, est en ligne et est
opérationnel. Vérifiez que l'ordinateur cloné dispose d'une connectivité LDAP/RPC au
contrôleur de domaine principal sur les ports et les protocoles requis.
Remarques Assurez-vous que les informations d'adresse IP et DNS sont définies pour le
et résolution contrôleur de domaine cloné. Utilisez Dcdiag.exe /test:locatorcheck pour vérifier si
l’émulateur de contrôleur de domaine principal (ECDP) est en ligne, utilisez
Nltest.exe /server:<ECDP> /dclist:<domaine> pour vérifier la communication RPC,
obtenez une capture réseau de l’ECDP durant l’échec du clonage et analysez le trafic.
ID de 29254
l’événement
severity Error
Message Échec de la liaison du clonage du contrôleur de domaine virtuel au contrôleur de

domaine principal %1.
Le code d’erreur retourné est %2 (%3).
Vérifiez que le contrôleur de domaine principal %1 est en ligne et opérationnel.

Vérifiez que l'ordinateur cloné dispose d'une connectivité LDAP/RPC au contrôleur
de domaine principal sur les ports et les protocoles requis.
Remarques Assurez-vous que les informations d'adresse IP et DNS sont définies pour le
et résolution contrôleur de domaine cloné. Utilisez Dcdiag.exe /test:locatorcheck pour vérifier si
l’émulateur de contrôleur de domaine principal (ECDP) est en ligne, utilisez
Nltest.exe /server:<ECDP> /dclist:<domaine> pour vérifier la communication RPC,
obtenez une capture réseau de l’ECDP durant l’échec du clonage et analysez le trafic.
ID de 29255
l’événement
severity Error
Message Échec du clonage du contrôleur de domaine virtuel.

Une tentative de création d'objets sur le contrôleur de domaine principal %1 requis
pour l'image clonée a retourné l'erreur %2 (%3).
Vérifiez que le contrôleur de domaine cloné possède les privilèges nécessaires pour
se cloner lui-même. Vérifiez les événements associés dans le journal d'événements
du service d'annuaire sur le contrôleur de domaine principal %1.
Remarques Recherchez l'erreur spécifique dans Microsoft TechNet, La Base de connaissances

et résolution Microsoft et les blogs Microsoft pour déterminer sa signification usuelle, puis
résolvez le problème en fonction de ces informations.
ID de 29256
l’événement
severity Error
Message Échec de la tentative de définition de l'indicateur Démarrage en mode restauration

des services d'annuaire avec le code d'erreur %1.
Pour plus d'informations sur les erreurs, voir %systemroot%\debug\dcpromo.log.
Remarques Pour plus d'informations, examinez le journal des services d'annuaire et

et résolution dcpromo.log. Examinez les journaux des événements Application et Système. Vérifiez
si une application tierce ne bloque pas l'utilisation des privilèges.
ID de 29257
l’événement
severity Error
Message Le clonage du contrôleur de domaine virtuel a été effectué. Une tentative pour
redémarrer l'ordinateur a échoué avec le code d'erreur %1.
Redémarrez l'ordinateur pour terminer l'opération de clonage.
Remarques et Examinez les journaux des événements Application et Système. Vérifiez si une
résolution application tierce ne bloque pas l'utilisation des privilèges.
ID de 29264
l’événement
severity Error
Message Échec de la tentative d'effacement de l'indicateur Démarrage en mode restauration

des services d'annuaire avec le code d'erreur %1.
Pour plus d'informations sur les erreurs, voir %systemroot%\debug\dcpromo.log.
Remarques Pour plus d'informations, examinez le journal des services d'annuaire et

et résolution dcpromo.log. Examinez les journaux des événements Application et Système. Vérifiez
si une application tierce ne bloque pas l'utilisation des privilèges.
ID de 29265
l’événement
Message Le clonage du contrôleur de domaine virtuel a réussi. Le fichier de configuration de

clonage de contrôleur de domaine virtuel %1 a été renommé en %2.
Remarques Non applicable, il s'agit d'un événement de succès.

et résolution
ID de 29266
l’événement
severity Error
Message Le clonage du contrôleur de domaine virtuel a réussi. La tentative de renommage du

fichier de configuration de clonage de contrôleur de domaine virtuel %1 a échoué
avec le code d'erreur %2 (%3).
Remarques Renommez manuellement le fichier dccloneconfig.xml.

et résolution
ID de 29267
l’événement
severity Error
Message Échec de la vérification de la liste autorisée des applications pour le clonage du

Cette erreur peut être due à un problème de syntaxe dans le fichier liste
d’autorisation de clonage (fichier défini : %3). Pour plus d'informations sur cette
erreur, consultez %systemroot%\debug\dcpromo.log.
Remarques Suivez les instructions de l'événement.

et résolution
Messages d'erreur
Il n'y a pas d'erreurs interactives directes pour les échecs de clonage de contrôleur de
domaine virtualisé. Toutes les informations relatives au clonage sont enregistrées dans les
journaux Système et Services d'annuaire, ainsi que dans les journaux de promotion du
contrôleur de domaine dans dcpromo.log. Toutefois, si le serveur démarre en mode de
restauration des services d'annuaire (DSRM), enquêtez immédiatement, car la promotion
ou le clonage ont échoué.
Examinez en premier lieu le fichier dcpromo.log à la recherche d'un échec du clonage. En

fonction du problème listé, il peut être nécessaire d'examiner ensuite les journaux Services
d'annuaire et Système pour approfondir les diagnostics.
Problèmes connus et scénarios de prise en charge

Voici des problèmes fréquemment rencontrés durant le processus de développement
relatif à Windows Server 2012. Il s'agit de problèmes « de conception ». Il existe soit une
solution valide, soit une technique plus appropriée pour les éviter. Certains d'entre eux
seront éventuellement résolus dans les prochaines versions de Windows Server 2012.
Problème Échec du clonage, DSRM
Symptômes Le clone démarre en mode de restauration des services d'annuaire
Résolution Validez toutes les étapes suivies à partir des sections Déploiement d'un contrôleur de
et domaine virtualisé et Méthodologie générale pour la résolution des problèmes de
remarques clonage d'un contrôleur de domaine
Description dans l'article de la Base de connaissances n° 2742844.
Problème Baux d'adresses IP supplémentaires quand le protocole DHCP est utilisé pour le
clonage
Symptômes Après le clonage réussi d'un contrôleur de domaine à l'aide du protocole DHCP, le
premier démarrage du clone entraîne l'attribution d'un bail DHCP. Quand le serveur
est renommé et qu'il redémarre en tant que contrôleur de domaine, un second bail
DHCP est attribué. La première adresse IP n'est pas libérée et vous vous retrouvez
avec un bail « fantôme ».
Résolution Supprimez manuellement le bail d'adresse inutilisé du protocole DHCP ou laissez-le

et expirer normalement. Description dans l’article de la Base de connaissances
remarques n°2742836.
Problème Le clonage échoue et entraîne un démarrage en mode DSRM après une très
longue attente
Symptômes Le clonage semble suspendu au niveau de l'étape « Le clonage du contrôleur de

domaine est achevé à X% » pendant 8 à 15 minutes. Après cela, le clonage échoue et
entraîne un démarrage en mode DSRM.
Problème Le clonage échoue et entraîne un démarrage en mode DSRM après une très
longue attente
Résolution L'ordinateur cloné ne peut pas obtenir d'adresse IP dynamique de la part du serveur
et DHCP ou SLAAC, il utilise une adresse IP en double ou ne parvient pas à trouver le
remarques contrôleur de domaine principal. Les multiples tentatives effectuées par le processus
de clonage entraînent un retard. Résolvez le problème réseau pour permettre le
clonage.
Problème Le clonage ne recrée pas tous les noms de principal du service
Symptômes Si un ensemble de noms de principal du service (SPN, Service Principal Names) en

trois parties comprend un nom NetBIOS avec un port, ainsi qu'un nom NetBIOS
identique sans port, l'entrée sans port n'est pas recréée avec le nouveau nom
d'ordinateur. Par exemple :
customspn/DC1:200/app1 UTILISATION NON VALIDE DE SYMBOLES (ceci est recréé

avec le nouveau nom d'ordinateur)
customspn/DC1/app1 UTILISATION NON VALIDE DE SYMBOLES (ceci est recréé avec

le nouveau nom d'ordinateur)
Les noms complets sont recréés et les noms de principal du service qui n'ont pas
trois parties sont recréés, indépendamment des ports. Les exemples suivants sont
recréés correctement sur le clone :
customspn/DC1:202 UTILISATION NON VALIDE DE SYMBOLES (ceci est recréé)
customspn/DC1 UTILISATION NON VALIDE DE SYMBOLES (ceci est recréé)
customspn/DC1.corp.contoso.com:202 UTILISATION NON VALIDE DE SYMBOLES (ceci

est un nom recréé)
customspn/DC1.corp.contoso.com UTILISATION NON VALIDE DE SYMBOLES (ceci est

recréé)
Résolution Il s'agit d'une limitation du processus de changement de nom du contrôleur de

et domaine liée à Windows, et pas seulement au clonage. La logique de changement de
remarques nom des noms de principal du service en trois parties n'est gérée dans aucun
scénario. La plupart des services Windows inclus ne sont pas affectés, car ils recréent
les noms de principal du service manquants en fonction des besoins. Pour d'autres
applications, il peut s'avérer nécessaire d'entrer manuellement le nom de principal du
service pour résoudre le problème.
Description dans l’article de la Base de connaissances n°2742874.
Problème Le clonage échoue et entraîne un démarrage en mode DSRM. Erreurs réseau

générales
Symptômes Le clone démarre en mode de réparation des services d'annuaire. Des erreurs réseau
générales se sont produites.
générales
Résolution Assurez-vous que le nouveau clone n'a pas une adresse MAC statique en double
et affectée par le contrôleur de domaine source. Vous pouvez déterminer si un
remarques ordinateur virtuel utilise des adresses MAC statiques en exécutant la commande
suivante sur l'hôte de l'hyperviseur, aussi bien pour les ordinateurs virtuels sources
que les ordinateurs virtuels clones :
Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl *
Remplacez l'adresse MAC par une adresse statique unique ou passez à l'utilisation
d'adresses MAC dynamiques.
Description dans l'article de la Base de connaissances n° 2742844
Problème Le clonage échoue et entraîne un démarrage de l'ordinateur en mode DSRM en

tant que duplicata du contrôleur de domaine source
Symptômes Un nouveau clone démarre sans clonage. Le fichier dccloneconfig.xml n'est pas
renommé et le serveur démarre en mode de restauration des services d'annuaire. Le
journal des événements Services d'annuaire affiche l'erreur 2164
<NOMORDINATEUR> n’a pas réussi à démarrer le service DsRoleSvc pour dupliquer
le contrôleur de domaine virtuel local.
Résolution Examinez les paramètres de service du service Serveur de rôles DS (DsRoleSvc) et

et assurez-vous que son type de démarrage est manuel. Vérifiez qu'aucun programme
remarques tiers n'empêche le démarrage de ce service.
Pour plus d'informations sur la façon de récupérer ce contrôleur de domaine
secondaire tout en veillant à ce que les mises à jour soient répliquées en sortie, voir
l'article n° 2742970 dans la Base de connaissances Microsoft.
Problème Le clonage échoue et entraîne un démarrage en mode DSRM. Erreur 8610
Symptômes Le clone démarre en mode de restauration des services d'annuaire. Dcpromo.log

affiche l'erreur 8610 (c'est-à-dire ERROR_DS_ROLE_NOT_VERIFIED 8610 ou 0x21A2)
Résolution Se produit si le contrôleur de domaine principal est détectable mais qu'il n'a pas
et effectué une réplication suffisante pour pouvoir endosser le rôle. C'est le cas, par
remarques exemple, si le clonage a démarré et qu'un autre administrateur déplace le rôle FSMO
de l'émulateur de contrôleur de domaine principal vers un nouveau contrôleur de
domaine.
Description dans l’article de la Base de connaissances n°2742916.

générales
Symptômes Le clone démarre en mode de restauration des services d'annuaire. Des erreurs
réseau générales se sont produites.
générales
Résolution Assurez-vous que le nouveau clone n'a pas une adresse MAC statique en double
et affectée par le contrôleur de domaine source. Vous pouvez déterminer si un
remarques ordinateur virtuel utilise des adresses MAC statiques en exécutant la commande
suivante sur l'hôte Hyper-V, aussi bien pour les ordinateurs virtuels sources que les
ordinateurs virtuels clones :
Get-VM -VMName test-vm | Get-VMNetworkAdapter | fl *
Remplacez l'adresse MAC par une adresse statique unique ou passez à l'utilisation
d'adresses MAC dynamiques.
Problème Le clonage échoue et entraîne un démarrage en mode DSRM
Symptômes Le clone démarre en mode de réparation des services d'annuaire
Résolution et Assurez-vous que le fichier dccloneconfig.xml contient la définition de schéma

remarques (voir sampledccloneconfig.xml, ligne 2) :
<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">
Description dans l'article de la Base de connaissances n° 2742844
Problème Aucun serveur de connexion n'est disponible. Erreur de connexion en mode DSRM
Symptômes Le clone démarre en mode de réparation des services d'annuaire. Vous essayez de
vous connecter et recevez l'erreur suivante :
Aucun serveur d'accès n'est actuellement disponible pour traiter la demande
d'ouverture de session
Résolution Assurez-vous que vous vous connectez avec le compte Administrateur DSRM et non
et le compte de domaine. Utilisez la flèche gauche et tapez le nom d'utilisateur :
remarques .\administrator
Description dans l’article de la Base de connaissances n°2742908
Problème La source du clonage échoue en mode DSRM, erreur
Symptômes Durant le clonage, erreur 8437 « Échec de la création d'objets du contrôleur de

domaine clone sur le contrôleur de domaine principal » (0x20f5)
Résolution Un nom d'ordinateur dupliqué a été défini dans le fichier DCCloneConfig.xml en tant
et que contrôleur de domaine source ou contrôleur de domaine existant. Le nom
remarques d'ordinateur doit également être au format des noms d'ordinateurs NetBIOS
(15 caractères au maximum, pas un nom de domaine complet).
Corrigez le fichier dccloneconfig.xml en définissant un nom unique et valide.

Problème Erreur de New-addccloneconfigfile : « L'index était hors limites »
Symptômes Durant l'exécution de l'applet de commande new-addccloneconfigfile, vous recevez

l'erreur suivante :
L'index était hors limites. Il doit être non négatif et inférieur à la taille de la collection.
Résolution Vous devez exécuter l'applet de commande dans une console Windows PowerShell
et avec des privilèges d'administrateur élevés. Cette erreur est due à l'absence
remarques d'appartenance au groupe Administrateurs local de l'ordinateur.
Problème Échec du clonage, contrôleur de domaine dupliqué
Symptômes Le clone démarre sans clonage et duplique le contrôleur de domaine source existant
Résolution L'ordinateur a été copié et a démarré. Toutefois, il ne contient aucun fichier

et DcCloneConfig.xml dans l'un des emplacements pris en charge. En outre, il n'a pas
remarques d'adresse IP en double par rapport au contrôleur de domaine source. Le contrôleur
de domaine doit être supprimé correctement pour éviter toute perte de données.
Problème L'applet de commande New-ADDCCloneConfigFile échoue avec une erreur

indiquant que le serveur n'est pas opérationnel quand elle vérifie si le contrôleur
de domaine source est membre du groupe Contrôleurs de domaine clonables en
l'absence d'un catalogue global disponible.
Symptômes Durant l'exécution de l'applet de commande New-ADDCCloneConfigFile pour créer

un fichier dccloneconfig.xml, vous recevez l'erreur suivante :
Code - Le serveur n’est pas opérationnel
Résolution Vérifiez la connectivité à un catalogue global à partir du serveur sur lequel vous
et exécutez New-ADDCCloneConfigFile, puis assurez-vous que l'appartenance du
remarques contrôleur de domaine source au groupe Contrôleurs de domaine clonables a été
répliquée vers ce catalogue global.
Exécutez la commande suivante pour vider la mémoire cache du localisateur de
contrôleurs de domaine au cas où un catalogue global ou un contrôleur de domaine
aurait été mis hors connexion récemment :
Code - nltest /dsgetdc: /GC /FORCE
Dépannage avancé
Ce module vise à enseigner la résolution avancée des problèmes à l'aide d'exemples de
journaux de travail et d'explications. Si vous comprenez en quoi consiste le
fonctionnement d'un contrôleur de domaine virtualisé, vous pouvez identifier facilement
les défaillances dans votre environnement. Ces journaux sont présentés par source, dans
l'ordre croissant des événements attendus (même quand il s'agit d'avertissements et
d'erreurs) liés à un contrôleur de domaine cloné au sein de chaque journal.
Clonage d'un contrôleur de domaine
Dans cet exemple, le contrôleur de domaine clone utilise le protocole DHCP pour obtenir
une adresse IP, réplique le répertoire SYSVOL à l'aide des services FRS ou DFSR (consultez
le journal approprié si nécessaire). En outre, il sert de catalogue global et utilise un fichier
dccloneconfig.xml vide.
Le journal Services d'annuaire contient la majorité des informations opérationnelles

relatives au clonage en fonction des événements. L'hyperviseur change l'ID de génération
d'ordinateur virtuel (ce qui est identifié par le service NTDS), puis invalide le pool RID et
change l'ID d'invocation. Le nouvel ID de génération d'ordinateur virtuel est défini. Le
serveur réplique les données Active Directory en entrée. Le service DFSR est arrêté. Sa
base de données, qui héberge SYSVOL, est supprimée, ce qui entraîne une
synchronisation forcée faisant autorité en entrée. La limite supérieure du numéro USN est
configurée.
ID Source Message
d'événement
2160 ActiveDirectory_DomainService Les services de domaine Active Directory locaux ont

trouvé un fichier de configuration de clonage de
Le fichier de configuration de clonage de contrôleur de
domaine virtuel se trouve à l'emplacement suivant :
<path>\DCCloneConfig.xml
L'existence du fichier de configuration de clonage de

contrôleur de domaine virtuel indique que le contrôleur
de domaine virtuel local est un clone d'un autre
contrôleur de domaine virtuel. Les services de domaine
Active Directory commenceront à se dupliquer eux-
mêmes.
ID Source Message
d'événement
2191 ActiveDirectory_DomainService Les services de domaine Active Directory ont défini la

valeur de Registre suivante pour désactiver les mises à
jour DNS.
Clé de Registre :
SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valeur de Registre :
UseDynamicDns
Données de valeur de Registre :
Durant le processus de clonage, l'ordinateur local peut

temporairement porter le même nom d'ordinateur que
l'ordinateur source du clonage. Les inscriptions
d'enregistrement DNS A et AAAA sont désactivées
pendant cette période. Ainsi, les clients ne peuvent pas
envoyer de demandes à l'ordinateur local qui fait l'objet
du clonage. Le processus de clonage réactivera les mises à
jour DNS quand le clonage sera terminé.
2191 ActiveDirectory_DomainService Les services de domaine Active Directory ont défini la

valeur de Registre suivante pour désactiver les mises à
jour DNS.
Clé de Registre :
SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
RegistrationEnabled

« Information 7/2/2012 15:12:49 Microsoft-Windows-

ActiveDirectory_DomainService 2191 - Configuration
ID Source Message
d'événement
interne » Les services de domaine Active Directory ont

défini la valeur de Registre suivante pour désactiver les
mises à jour DNS.
Clé de Registre :
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DisableDynamicUpdate

2172 ActiveDirectory_DomainService Lisez l'attribut msDS-GenerationId de l'objet ordinateur

du contrôleur de domaine.
Valeur de l'attribut msDS-GenerationId :
<Numéro>
ID Source Message
d'événement
2170 ActiveDirectory_DomainService Un changement d'ID de génération a été détecté.

ID de génération mis en cache dans les services
d'annuaire (ancienne valeur) :
<Numéro>
ID de génération actuellement dans l'ordinateur virtuel

(nouvelle valeur) :
<Numéro>
Le changement d'ID de génération se produit après

l'application d'une capture instantanée d'ordinateur
virtuel, après une opération d'importation d'ordinateur
virtuel ou après une opération de migration dynamique.
Les services de domaine Active Directory vont créer un ID
d'appel pour récupérer le contrôleur de domaine. Les
contrôleurs de domaine virtualisés ne doivent pas être
restaurés à l'aide de captures instantanées d'ordinateurs
virtuels. La méthode prise en charge pour restaurer le
contenu d'une base de données des services de domaine
Active Directory consiste à restaurer une sauvegarde de
l'état du système effectuée à l'aide d'une application de
sauvegarde compatible avec les services de domaine
Active Directory.
ID Source Message
d'événement
1109 ActiveDirectory_DomainService L'attribut invocationID pour ce serveur d'annuaire a été

modifié. Le numéro de séquence de mise à jour le plus
élevé au moment où la sauvegarde a été créée est le
suivant :
Attribut InvocationID (ancienne valeur) :
<GUID>
Attribut InvocationID (nouvelle valeur) :
<GUID>
Numéro de séquence de la mise à jour :
<Numéro>
L'attribut invocationID est modifié quand un serveur

d'annuaire est restauré à partir d'un support de
sauvegarde, est configuré pour héberger une partition
d'annuaire d'application accessible en écriture, a été
redémarré après l'application d'un instantané d'ordinateur
virtuel, ou après une opération de migration dynamique.
Les contrôleurs de domaine virtualisés ne doivent pas être
Active Directory.
1 000 ActiveDirectory_DomainService Démarrage des services de domaine Microsoft Active

Directory terminé.
1394 ActiveDirectory_DomainService Tous les problèmes empêchant les mises à jour de la base
de données des services de domaine Active Directory ont
été résolus. Les nouvelles mises à jour de la base de
données des services de domaine Active Directory
réussissent. Le service Net Logon a redémarré
2163 ActiveDirectory_DomainService Le service DsRoleSvc a démarré pour cloner le contrôleur

de domaine virtuel local.
ID Source Message
d'événement
326 NTDS ISAM NTDS (536) NTDSA : Le moteur de base de données a

attaché une base de données (1,
C:\Windows\NTDS\ntds.dit). (Délai = 0 seconde)
Séquence de minutage interne : [1] 0.000, [2] 0.000, [3]
0.000, [4] 0.000, [5] 0.000, [6] 0.016, [7] 0.000, [8] 0.000, [9]
0.000, [10] 0.000, [11] 0.000, [12] 0.000.
Cache enregistré : 1

arrêté l’instance (0).
Arrêt brutal : 0

0.000, [4] 0.000, [5] 0.032, [6] 0.000, [7] 0.000, [8] 0.000, [9]
0.031, [10] 0.000, [11] 0.000, [12] 0.000, [13] 0.000, [14]
0.000, [15] 0.000.
102 NTDS ISAM NTDS (536) NTDSA : Le moteur de base de données

(6.02.8225.0000) démarre une nouvelle instance (0).

démarré une nouvelle instance (0). (Délai = 0 seconde)
0.015, [4] 0.078, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9]
0.046, [10] 0.000, [11] 0.000.
1004 ActiveDirectory_DomainService Les services de domaine Active Directory ont été arrêtés
correctement.
102 NTDS ISAM NTDS (536) NTDSA : Le moteur de base de données

(6.02.8225.0000) démarre une nouvelle instance (0).

attaché une base de données (1,
C:\Windows\NTDS\ntds.dit). (Délai = 0 seconde)
0.016, [4] 0.000, [5] 0.031, [6] 0.000, [7] 0.000, [8] 0.000, [9]
0.000, [10] 0.000, [11] 0.000, [12] 0.000.

démarré une nouvelle instance (0). (Délai = 1 seconde)
0.000, [4] 0.391, [5] 0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9]
0.031, [10] 0.000, [11] 0.000.
ID Source Message
d'événement
1109 ActiveDirectory_DomainService L'attribut invocationID pour ce serveur d'annuaire a été

modifié. Le numéro de séquence de mise à jour le plus
élevé au moment où la sauvegarde a été créée est le
suivant :
<GUID>
<GUID>
<Numéro>
L'attribut invocationID est modifié quand un serveur

d'annuaire est restauré à partir d'un support de
sauvegarde, est configuré pour héberger une partition
d'annuaire d'application accessible en écriture, a été
redémarré après l'application d'un instantané d'ordinateur
virtuel, ou après une opération de migration dynamique.
Les contrôleurs de domaine virtualisés ne doivent pas être
Active Directory.
1168 ActiveDirectory_DomainService Erreur interne : Une erreur des services de domaine Active
Directory s’est produite.
Valeur d'erreur (format décimal) :
Valeur d'erreur (format hexadécimal) :
ID interne :
7011658
ID Source Message
d'événement
1110 ActiveDirectory_DomainService La promotion de ce contrôleur de domaine en un

catalogue global sera retardée de l'intervalle suivant.
Intervalle (minutes) :
Ce retard est nécessaire afin que les partitions d'annuaire

requises puissent être préparées avant l'annonce du
catalogue global. Dans le Registre, vous pouvez spécifier
le nombre de secondes pendant lequel l'agent système
d'annuaire devra attendre avant de promouvoir le
contrôleur de domaine en un catalogue global. Pour plus
d'informations concernant la valeur de Registre de
l'annonce de retard du catalogue global, consultez le
Guide du kit de ressources des systèmes distribués

arrêté l’instance (0).
Arrêt brutal : 0

0.000, [4] 0.000, [5] 0.047, [6] 0.000, [7] 0.000, [8] 0.000, [9]
0.016, [10] 0.000, [11] 0.000, [12] 0.000, [13] 0.000, [14]
0.000, [15] 0.000.
1004 ActiveDirectory_DomainService Les services de domaine Active Directory ont été arrêtés
correctement.
1539 ActiveDirectory_DomainService Les services de domaine Active Directory n'ont pas pu

désactiver le cache logiciel d'écriture disque sur le disque
dur suivant.
Disque dur :
c:
Des données peuvent être perdues lors des échecs du

système
2179 ActiveDirectory_DomainService L'attribut msDS-GenerationId de l'objet ordinateur du

contrôleur de domaine a été paramétré comme suit :
Attribut GenerationID :
<Numéro>
ID Source Message
d'événement
2173 ActiveDirectory_DomainService Échec de lecture de l'attribut msDS-GenerationId de

l'objet ordinateur du contrôleur de domaine. La raison
peut en être un échec de transaction de base de données,
ou l'absence d'ID de génération dans la base de données
locale. L'attribut msDS-GenerationId n'existe pas durant le
premier redémarrage après dcpromo ou le contrôleur de
domaine n'est pas un contrôleur de domaine virtuel.
Code d'échec :
1 000 ActiveDirectory_DomainService Démarrage des services de domaine Microsoft Active

Directory terminé, version 6.2.8225.0
1394 ActiveDirectory_DomainService Tous les problèmes empêchant les mises à jour de la base
de données des services de domaine Active Directory ont
été résolus. Les nouvelles mises à jour de la base de
données des services de domaine Active Directory
réussissent. Le service Net Logon a redémarré.
1128 ActiveDirectory_DomainService 1128 - Vérificateur de cohérence des données « Une

connexion de réplication a été créée du service d'annuaire
source vers le service d'annuaire local. »
Service d'annuaire source :
CN=paramètres NTDS,<contrôleur de domaine DN>
Service d'annuaire local :
CN=paramètres NTDS, <contrôleur de domaine DN>
Code de la raison :
0x2
ID interne du point de création :
f0a025d
ID Source Message
d'événement
1999 ActiveDirectory_DomainService Le service d'annuaire source a optimisé le numéro de

séquence de mise à jour (USN) présenté par le service
d'annuaire cible. Les services d'annuaire source et cible
ont un partenaire de réplication commun. Le service
d'annuaire cible est à jour par rapport au partenaire de
réplication commun, et le service d'annuaire source a été
installé à partir d'une sauvegarde de ce partenaire.
Identificateur du service d'annuaire cible :
<GUID> (<FQDN>)
Identificateur du service d'annuaire commun :
<GUID>
Numéro USN de la propriété commune :
<Numéro>
Par conséquent, le vecteur de mise à jour récente du

service d'annuaire de destination a été configuré avec les
paramètres suivants.
Précédent USN de l'objet :
Précédent USN de la propriété :
GUID de la base de données :
<GUID>
USN de l'objet :
<Numéro>
USN de la propriété :
<Numéro>
Journal des événements système
Les prochaines indications relatives aux opérations de clonage se trouvent dans le journal
des événements Système. Comme l'hyperviseur indique à l'ordinateur invité qu'il a été
cloné ou restauré à partir d'une capture instantanée, le contrôleur de domaine invalide
immédiatement son pool RID pour éviter de dupliquer les principaux de sécurité plus tard.
Durant le clonage, plusieurs opérations et messages se succèdent de manière attendue. La
plupart concernent le démarrage et l'arrêt des services, ainsi que les erreurs attendues qui
en sont à l'origine. Une fois le processus terminé, le journal des événements Système
consigne la réussite globale du clonage.
ID Source Message
d'événement
16654 Directory- Un pool d'identificateurs de comptes (RID) a été invalidé. Ceci

Services-SAM peut se produire dans les cas attendus suivants :
1. Un contrôleur de domaine est restauré à partir de la
sauvegarde.
2. Un contrôleur de domaine exécuté sur un ordinateur virtuel

est restauré à partir de l'instantané.
3. Un administrateur a invalidé le pool manuellement.
7036 Gestionnaire de Le service Services de domaine Active Directory est entré dans
contrôle des l'état en cours d'exécution.
services
7036 Gestionnaire de Le service Centre de distribution de clés Kerberos est entré

contrôle des dans l'état en cours d'exécution.
services
3096 Netlogon Le contrôleur de domaine principal pour ce domaine est

introuvable.
7036 Gestionnaire de Le service Gestionnaire de comptes de sécurité est entré dans

contrôle des l'état en cours d'exécution.
services
7036 Gestionnaire de Le service Serveur est entré dans l'état en cours d'exécution.
contrôle des
services
7036 Gestionnaire de Le service Netlogon est entré dans l'état en cours d'exécution.
contrôle des
services
7036 Gestionnaire de Le service Services Web Active Directory est entré dans l'état en
contrôle des cours d'exécution.
services
7036 Gestionnaire de Le service de réplication DFS est entré dans l'état en cours
contrôle des d'exécution.
services
ID Source Message
d'événement
7036 Gestionnaire de Le service de réplication de fichiers est entré dans l'état en

services
14533 Microsoft- DFS a fini la création de tous les espaces de noms.

Windows-DfsSvc
14531 Microsoft- Le serveur DFS a fini de s'initialiser.

Windows-DfsSvc
7036 Gestionnaire de Le service Espace de noms DFS est entré dans l'état en cours
services
7023 Gestionnaire de Le service de messagerie intersite s'est arrêté avec l'erreur :

contrôle des Le serveur spécifié ne peut pas exécuter l'opération demandée.
services
7036 Gestionnaire de Le service de messagerie intersite est entré dans l'état d'arrêt.
contrôle des
services
5806 Netlogon Les mises à jour dynamiques ont été désactivées manuellement
sur ce contrôleur de domaine.
ACTION UTILISATEUR
Reconfigurer ce contrôleur de domaine pour utiliser les mises à

jour dynamiques ou ajouter manuellement les enregistrements
DNS du fichier
« %SystemRoot%\System32\Config\Netlogon.dns » vers la
base de données DNS.
16651 Directory- La demande de nouveau pool d'identificateurs de comptes a

Services-SAM échoué. L'opération sera tentée jusqu'à ce que la demande
réussisse. L'erreur est
L'opération FSMO demandée a échoué. Le propriétaire FSMO
actuel n'a pas pu être contacté.
7036 Gestionnaire de Le service Serveur DNS est entré dans l'état en cours
services
7036 Gestionnaire de Le service Serveur de rôles DS est entré dans l'état en cours
services
7036 Gestionnaire de Le service Netlogon est entré dans l'état d'arrêt.

contrôle des
services
ID Source Message
d'événement
7036 Gestionnaire de Le service de réplication de fichiers est entré dans l'état d'arrêt.
contrôle des
services
7036 Gestionnaire de Le service Centre de distribution de clés Kerberos est entré

contrôle des dans l'état d'arrêt.
services
7036 Gestionnaire de Le service Serveur DNS est entré dans l'état d'arrêt.
contrôle des
services
7036 Gestionnaire de Le service Services de domaine Active Directory est entré dans
contrôle des l'état d'arrêt.
services
7036 Gestionnaire de Le service Netlogon est entré dans l'état en cours d'exécution.
contrôle des
services
7040 Gestionnaire de Le type de démarrage du service Services de domaine Active

contrôle des Directory a été changé de Démarrage automatique à Désactivé.
services
7036 Gestionnaire de Le service Netlogon est entré dans l'état d'arrêt.

contrôle des
services
7036 Gestionnaire de Le service de réplication de fichiers est entré dans l'état en

services
29219 DirectoryServices- Le clonage du contrôleur de domaine virtuel a réussi.

DSROLE-Server
29223 DirectoryServices- Ce serveur est maintenant un contrôleur de domaine.

DSROLE-Server
29265 DirectoryServices- Le clonage du contrôleur de domaine virtuel a réussi. Le fichier

DSROLE-Server de configuration de clonage de contrôleur de domaine virtuel
C:\Windows\NTDS\DCCloneConfig.xml a été renommé en
C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml.
ID Source Message
d'événement
1074 User32 Le processus C:\Windows\system32\lsass.exe (DC2) a lancé le

redémarrage de l’ordinateur DC2 pour le compte de
l’utilisateur AUTORITE NT\Système pour la raison suivante :
Système d’exploitation : Reconfiguration (Planifiée)
Code de motif : 0x80020004
Type d'extinction : redémarrer
Commentaire : "
DCPROMO.LOG
Le fichier Dcpromo.log contient la partie de promotion réelle du clonage que le journal

des événements Services d'annuaire ne décrit pas. Comme le journal ne fournit pas le
niveau d'explication des entrées du journal des événements, cette section du module
contient des informations supplémentaires.
Le processus de promotion signifie que le clonage commence, que le contrôleur de

domaine perd sa configuration actuelle et est promu à nouveau à l'aide de la base de
données Active Directory existante (comme une promotion IFM). Le contrôleur de
domaine réplique ensuite les deltas des changements entrants pour Active Directory et
SYSVOL, et le clonage est terminé.
７ Notes
Le journal a été changé dans ce module pour des raisons de lisibilité. La colonne de
date a été supprimée.
Pour plus d'explications sur le fichier dcpromo.log, voir les informations relatives à la
présentation et la résolution des problèmes d'administration simplifiée des services
AD DS dans Windows Server 2012.
https://go.microsoft.com/fwlink/p/?LinkId=237244
Démarrer la promotion basée sur le clonage
Définir l'indicateur du mode de restauration des services d'annuaire pour que le

serveur ne redémarre pas normalement comme le clone d'origine, ce qui entraînerait
des conflits au niveau des noms ou du service d'annuaire
Mettre à jour le journal des événements Services d'annuaire

15:14:01 [INFO] vDC Cloneing: Setting Boot into DSRM flag succeeded.
15:14:01 [WARNING] Cannot get user Token for Format Message: 1725l
15:14:01 [INFO] vDC Cloning: Created vDCCloningUpdate event.
15:14:01 [INFO] vDC Cloning: Created vDCCloningComplete event.
Arrêter le service NetLogon pour que le contrôleur de domaine ne fasse pas de

publication
15:14:01 [INFO] Stopping service NETLOGON
15:14:01 [INFO] ControlService(STOP) on NETLOGON returned 1(gle=0)
15:14:01 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7

states
15:14:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NETLOGON returned

1 (gle=0), SvcStatus.dwCS=3

15:14:02 [INFO] DsRolepWaitForService: exiting because NETLOGON entered

STOPPED state
15:14:02 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service

returned 0
15:14:02 [INFO] Exiting service-stop loop after service NETLOGON entered

STOPPED state
15:14:02 [INFO] StopService on NETLOGON returned 0
15:14:02 [INFO] Configuring service NETLOGON to 1 returned 0
15:14:02 [INFO] Updating service status to 4
15:14:02 [INFO] vDC Cloning: Set vDCCloningUpdate event.
Examinez le fichier dccloneconfig.xml pour y rechercher les personnalisations de

l'administrateur.
Dans cet exemple, il s'agit d'un fichier vide. Tous les paramètres sont donc
automatiquement générés et l'adressage IP automatique est nécessaire à partir du
réseau
15:14:02 [INFO] vDC Cloning: Clone config file

C:\Windows\NTDS\DCCloneConfig.xml is considered to be a blank file (containing
0 bytes)
15:14:02 [INFO] vDC Cloning: Parsing clone config file

C:\Windows\NTDS\DCCloneConfig.xml returned HRESULT 0x0
Vérifier qu'il n'y a aucun service ou programme installé qui ne fait pas partie des
fichiers DefaultDCCloneAllowList.xml ou CustomDCCloneAllowList.xml
15:14:02 [INFO] vDC Cloning: Checking allowed list:
15:14:03 [INFO] vDC Cloning: Completed checking allowed list:
Activer le protocole DHCP sur les cartes réseau, car les informations IP n'ont pas été
spécifiées par l'administrateur
15:14:03 [INFO] vDC Cloning: Enable DHCP:
15:14:03 [INFO] WMI Instance: Win32_NetworkAdapterConfiguration.Index=12
15:14:03 [INFO] Method: EnableDHCP
15:14:03 [INFO] HRESULT code: 0x0 (0)
15:14:03 [INFO] Return Value: 0x0 (0)
Localiser l'émulateur de contrôleur de domaine principal (PDC, Primary Domain

Controller)
Définir le site du clone (généré automatiquement dans le cas présent)
Définir le nom du clone (généré automatiquement dans le cas présent)
15:14:03 [INFO] vDC Cloning: Found PDC. Name: DC1.root.fabrikam.com
15:14:04 [INFO] vDC Cloning: Winlogon UI Notification #1: Domain Controller

cloning is at 5% completion...

15:14:05 [INFO] Site of the cloned DC: Default-First-Site-Name
Créer l'objet ordinateur clone
Renommer le clone pour correspondre au nouveau nom
15:14:05 [INFO] vDC Cloning: Clone DC objects are created on PDC.
15:14:05 [INFO] Name of the cloned DC: DC2-CL0001
15:14:05 [INFO] DsRolepSetRegStringValue on

System\CurrentControlSet\Services\NTDS\Parameters\CloneMachineName to DC2-
CL0001 returned 0
15:14:05 [INFO] vDC Cloning: Save CloneMachineName in registry: 0x0 (0)
Fournir les paramètres de promotion, en fonction du fichier dccloneconfig.xml

précédent ou des règles de génération automatique
15:14:05 [INFO] vDC Cloning: Promotion parameters setting:
15:14:05 [INFO] DNS Domain Name: root.fabrikam.com
15:14:05 [INFO] Replica Partner: \\DC1.root.fabrikam.com
15:14:05 [INFO] Site Name: Default-First-Site-Name
15:14:05 [INFO] DS Database Path: C:\Windows\NTDS
15:14:05 [INFO] DS Log Path: C:\Windows\NTDS
15:14:05 [INFO] SysVol Root Path: C:\Windows\SYSVOL
15:14:05 [INFO] Account: root.fabrikam.com\DC2-CL0001$
15:14:05 [INFO] Options: DSROLE_DC_CLONING (0x800400)
Démarrer la promotion
15:14:05 [INFO] Promote DC as a clone


15:14:05 [INFO] Validate supplied paths
15:14:05 [INFO] Validating path C:\Windows\NTDS.
15:14:05 [INFO] Path is a directory
15:14:05 [INFO] Path is on a fixed disk drive.
15:14:05 [INFO] Validating path C:\Windows\NTDS.
15:14:05 [INFO] Path is a directory
15:14:05 [INFO] Validating path C:\Windows\SYSVOL.
15:14:05 [INFO] Path is on an NTFS volume

15:14:05 [INFO] Start the worker task

15:14:05 [INFO] Request for promotion returning 0

Arrêter et configurer tous les services liés aux services AD DS (NTDS, NTFRS/DFSR,
KDC, DNS)
７ Notes
Le service DNS met beaucoup de temps à s'arrêter, ce qui est prévu dans ce scénario,
car il utilise les zones intégrées à Active Directory qui n'étaient plus disponibles
même avant l'arrêt du service NTDS (consultez les événements DNS décrits plus loin
dans cette section du module).
15:14:15 [INFO] Stopping service NTDS
15:14:15 [INFO] Stopping service NtFrs
15:14:15 [INFO] ControlService(STOP) on NtFrs returned 1(gle=0)
15:14:15 [INFO] DsRolepWaitForService: waiting for NtFrs to enter one of 7

states
15:14:15 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1

(gle=0), SvcStatus.dwCS=3
15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on NtFrs returned 1

15:14:16 [INFO] DsRolepWaitForService: exiting because NtFrs entered STOPPED

state
15:14:16 [INFO] DsRolepWaitForService(for any end state) on NtFrs service

returned 0
15:14:16 [INFO] ControlService(STOP) on NtFrs returned 0(gle=1062)
15:14:16 [INFO] Exiting service-stop loop after service NtFrs entered STOPPED
state
15:14:16 [INFO] StopService on NtFrs returned 0
15:14:16 [INFO] Configuring service NtFrs to 1 returned 0
15:14:16 [INFO] Stopping service Kdc
15:14:16 [INFO] ControlService(STOP) on Kdc returned 1(gle=0)
15:14:16 [INFO] DsRolepWaitForService: waiting for Kdc to enter one of 7

states
15:14:16 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1

15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on Kdc returned 1

15:14:17 [INFO] DsRolepWaitForService: exiting because Kdc entered STOPPED

state
15:14:17 [INFO] DsRolepWaitForService(for any end state) on Kdc service

returned 0
15:14:17 [INFO] ControlService(STOP) on Kdc returned 0(gle=1062)
15:14:17 [INFO] Exiting service-stop loop after service Kdc entered STOPPED
state
15:14:17 [INFO] StopService on Kdc returned 0
15:14:17 [INFO] Configuring service Kdc to 1 returned 0
15:14:17 [INFO] Stopping service DNS
15:14:17 [INFO] ControlService(STOP) on DNS returned 1(gle=0)
15:14:17 [INFO] DsRolepWaitForService: waiting for DNS to enter one of 7

states
15:14:17 [INFO] DsRolepWaitForService: QueryServiceStatus on DNS returned 1












































15:15:00 [INFO] DsRolepWaitForService: exiting because DNS entered STOPPED

state
15:15:00 [INFO] DsRolepWaitForService(for any end state) on DNS service

returned 0
15:15:00 [INFO] ControlService(STOP) on DNS returned 0(gle=1062)
15:15:00 [INFO] Exiting service-stop loop after service DNS entered STOPPED
state
15:15:00 [INFO] StopService on DNS returned 0
15:15:00 [INFO] Configuring service DNS to 1 returned 0
15:15:00 [INFO] ControlService(STOP) on NTDS returned 1(gle=1062)
15:15:00 [INFO] DsRolepWaitForService: waiting for NTDS to enter one of 7

states
15:15:00 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1

15:15:01 [INFO] DsRolepWaitForService: QueryServiceStatus on NTDS returned 1

15:15:01 [INFO] DsRolepWaitForService: exiting because NTDS entered STOPPED

state
15:15:01 [INFO] DsRolepWaitForService(for any end state) on NTDS service

returned 0
15:15:01 [INFO] ControlService(STOP) on NTDS returned 0(gle=1062)
15:15:01 [INFO] Exiting service-stop loop after service NTDS entered STOPPED
state
15:15:01 [INFO] StopService on NTDS returned 0
15:15:01 [INFO] Configuring service NTDS to 1 returned 0
15:15:01 [INFO] Configuring service NTDS


Forcer la synchronisation temporelle NT5DS (NTP) avec un autre contrôleur de

domaine (généralement l'émulateur de contrôleur de domaine principal)
15:15:02 [INFO] Forcing time sync
Contacter un contrôleur de domaine qui détient le compte de contrôleur de

domaine source du clone
Vider tous les tickets Kerberos existants
15:15:02 [INFO] Searching for a domain controller for the domain

root.fabrikam.com that contains the account DC2$
15:15:02 [INFO] Located domain controller DC1.root.fabrikam.com for domain

root.fabrikam.com

15:15:02 [INFO] Directing kerberos authentication to DC1.root.fabrikam.com

returns 0
15:15:02 [INFO] DsRolepFlushKerberosTicketCache() successfully flushed the

Kerberos ticket cache

15:15:02 [INFO] Using site Default-First-Site-Name for server

\\DC1.root.fabrikam.com
Arrêter le service NetLogon et définir son type de démarrage

15:15:02 [INFO] DsRolepWaitForService: waiting for NETLOGON to enter one of 7

states


15:15:03 [INFO] DsRolepWaitForService: exiting because NETLOGON entered

STOPPED state
15:15:03 [INFO] DsRolepWaitForService(for any end state) on NETLOGON service

returned 0
15:15:03 [INFO] Exiting service-stop loop after service NETLOGON entered

STOPPED state
15:15:03 [INFO] StopService on NETLOGON returned 0
15:15:03 [INFO] Configuring service NETLOGON to 1 returned 0
15:15:03 [INFO] Stopped NETLOGON

Configurer l'exécution automatique des services DFSR/NTFRS
Supprimer leurs fichiers de base de données existants pour forcer une

synchronisation ne faisant pas autorité de SYSVOL au prochain démarrage du service
15:15:03 [INFO] Configuring service DFSR
15:15:03 [INFO] Configuring service DFSR to 256 returned 0
15:15:03 [INFO] Configuring service NTFRS
15:15:03 [INFO] Configuring service NTFRS to 256 returned 0
15:15:03 [INFO] Removing DFSR Database files for SysVol
15:15:03 [INFO] Removing FRS Database files in C:\Windows\ntfrs\jet
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edb.log
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00001.jrs
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbres00002.jrs
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\log\edbtmp.log
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\ntfrs.jdb
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\sys\edb.chk
15:15:03 [INFO] Removed C:\Windows\ntfrs\jet\temp\tmp.edb
15:15:04 [INFO] Created system volume path
15:15:04 [INFO] Configuring service DFSR
15:15:04 [INFO] Configuring service DFSR to 128 returned 0
15:15:04 [INFO] Configuring service NTFRS
15:15:04 [INFO] Configuring service NTFRS to 128 returned 0

Démarrer le processus de promotion à l'aide du fichier de base de données NTDS

existant
Contacter le maître RID

７ Notes
Le service AD DS n'est pas réellement installé ici. Il s'agit d'une ancienne
instrumentation du journal
15:15:04 [INFO] Installing the Directory Service
15:15:04 [INFO] Calling NtdsInstall for root.fabrikam.com
15:15:04 [INFO] Starting Active Directory Domain Services installation
15:15:04 [INFO] Validating user supplied options
15:15:04 [INFO] Determining a site in which to install
15:15:04 [INFO] Examining an existing forest...
15:15:04 [INFO] Starting a replication cycle between DC1.root.fabrikam.com and

the RID operations master (2008r2-01.root.fabrikam.com), so that the new
replica will be able to create users, groups, and computer objects...
15:15:04 [INFO] Configuring the local computer to host Active Directory Domain
Services
15:15:04 [INFO] EVENTLOG (Warning): NTDS General / Service Control : 1539
Active Directory Domain Services could not disable the software-based disk
write cache on the following hard disk.
Hard disk:
c:
Data might be lost during system failures.
15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal Processing :

2041
Duplicate event log entries were suppressed.
See the previous event log entry for details. An entry is considered a
duplicate if
the event code and all of its insertion parameters are identical. The time
period for
this run of duplicates is from the time of the previous event to the time of
this event.
Event Code:
80000603
Number of duplicate entries:
15:15:10 [INFO] EVENTLOG (Informational): NTDS General / Internal

Configuration : 2121
This Active Directory Domain Services server is disabling the Recycle Bin.
Deleted objects may not be undeleted at this time.
Changer l'ID d'appel existant dans la base de données des ordinateurs sources
Créer un objet paramètres NTDS pour ce clone
Répliquer dans Active Directory le delta des objets du contrôleur de domaine

partenaire
７ Notes
Même si tous les objets sont répertoriés comme étant répliqués, il s'agit simplement
des métadonnées nécessaires pour englober les mises à jour. Tous les objets
inchangés dans la base de données NTDS clonée existent déjà. Ils ne nécessitent pas
de nouvelle réplication, à l'instar d'une promotion IFM.
15:15:10 [INFO] EVENTLOG (Informational): NTDS Replication / Replication :

1109
The invocationID attribute for this directory server has been changed. The
highest update sequence number at the time the backup was created is as
follows:
InvocationID attribute (old value):
24e7b22f-4706-402d-9b4f-f2690f730b40
InvocationID attribute (new value):
f74cefb2-89c2-442c-b1ba-3234b0ed62f8
Update sequence number:
20520
The invocationID is changed when a directory server is restored from backup

media, is configured to host a writeable application directory partition, has
been resumed after a virtual machine snapshot has been applied, after a
virtual machine import operation, or after a live migration operation.
Virtualized domain controllers should not be restored using virtual machine
snapshots. The supported method to restore or rollback the content of an
Active Directory Domain Services database is to restore a system state backup
made with an Active Directory Domain Services-aware backup application.
15:15:10 [INFO] EVENTLOG (Error): NTDS General / Internal Processing : 1168
Internal error: An Active Directory Domain Services error has occurred.
Additional Data
Error value (decimal):
Error value (hexadecimal):
Internal ID:
7011658
15:15:11 [INFO] Creating the NTDS Settings object for this Active Directory
Domain Controller on the remote AD DC DC1.root.fabrikam.com...
15:15:11 [INFO] Replicating the schema directory partition
15:15:11 [INFO] Replicated the schema container.
15:15:12 [INFO] Active Directory Domain Services updated the schema cache.
15:15:12 [INFO] Replicating the configuration directory partition
15:15:12 [INFO] Replicating data CN=Configuration,DC=root,DC=fabrikam,DC=com:

Received 2612 out of approximately 2612 objects and 94 out of approximately 94
distinguished name (DN) values...
15:15:12 [INFO] Replicated the configuration container.
15:15:13 [INFO] Replicating critical domain information...
15:15:13 [INFO] Replicating data DC=root,DC=fabrikam,DC=com: Received 109 out

of approximately 109 objects and 35 out of approximately 35 distinguished name
(DN) values...
15:15:13 [INFO] Replicated the critical objects in the domain container.
Remplir, si nécessaire, les partitions de catalogue global avec les mises à jour
manquantes
Effectuer la partie AD DS critique de la promotion
15:15:13 [INFO] EVENTLOG (Informational): NTDS General / Global Catalog : 1110
Promotion of this domain controller to a global catalog will be delayed for

the following interval.
Interval (minutes):
This delay is necessary so that the required directory partitions can be

prepared before the global catalog is advertised. In the registry, you can
specify the number of seconds that the directory system agent will wait before
promoting the local domain controller to a global catalog. For more
information about the Global Catalog Delay Advertisement registry value, see
the Resource Kit Distributed Systems Guide.
15:15:14 [INFO] EVENTLOG (Informational): NTDS General / Service Control :

1000
Microsoft Active Directory Domain Services startup complete, version

6.2.8225.0
15:15:15 [INFO] Creating new domain users, groups, and computer objects
15:15:16 [INFO] Completing Active Directory Domain Services installation
15:15:16 [INFO] NtdsInstall for root.fabrikam.com returned 0
15:15:16 [INFO] DsRolepInstallDs returned 0
15:15:16 [INFO] Installed Directory Service
Effectuer la réplication entrante de SYSVOL

15:15:18 [INFO] Completed system volume replication

15:15:18 [INFO] SetProductType to 2 [LanmanNT] returned 0
15:15:18 [INFO] Set the product type


15:15:18 [INFO] Set the system volume path for NETLOGON

15:15:18 [INFO] Replicating non critical information
15:15:18 [INFO] User specified to not replicate non-critical data

15:15:18 [INFO] Stopped the DS

15:15:18 [INFO] Configuring service NTDS
Activer l'inscription DNS du client
15:15:18 [INFO] vDC Cloning: Set DisableDynamicUpdate reg value to 0 to enable

dynamic update records registration.
15:15:18 [INFO] vDC Cloning: Set UseDynamicDns reg value to 1 to enable

15:15:18 [INFO] vDC Cloning: Set RegistrationEnabled reg value to 1 to enable

Exécutez les modules SYSPREP spécifiés par l’élément <SysprepInformation> du

fichier DefaultDCCloneAllowList.xml.
15:15:18 [INFO] vDC Cloning: Running sysprep providers.
15:15:32 [INFO] vDC Cloning: Completed running sysprep providers.
La promotion du clonage est terminée
Supprimer l'indicateur de démarrage DSRM pour permettre au serveur de démarrer

normalement la prochaine fois
Renommer le fichier dccloneconfig.xml pour ne pas qu'il soit lu à nouveau au

prochain démarrage
Redémarrer l'ordinateur
15:15:32 [INFO] The attempted domain controller operation has completed
15:15:32 [INFO] Updating service status to 4
15:15:32 [INFO] DsRolepSetOperationDone returned 0
15:15:32 [INFO] vDC Cloning: Set vDCCloningComplete event.
15:15:32 [INFO] vDC Cloneing: Clearing Boot into DSRM flag succeeded.
15:15:32 [INFO] vDC Cloning: Winlogon UI Notification #22: Cloning Domain

Controller succeeded. Now rebooting...
15:15:33 [INFO] vDC Cloning: Renamed vDC clone configuration file.
15:15:33 [INFO] vDC Cloning: The old name is:

C:\Windows\NTDS\DCCloneConfig.xml
15:15:33 [INFO] vDC Cloning: The new name is:
C:\Windows\NTDS\DCCloneConfig.20120207-151533.xml
15:15:34 [INFO] vDC Cloning: Release Ipv4 on interface 'Wired Ethernet

Connection 2', result=0.
15:15:34 [INFO] vDC Cloning: Release Ipv6 on interface 'Wired Ethernet

Connection 2', result=0.
15:15:34 [INFO] Rebooting machine
Journal des événements des services Web Active Directory
Durant le clonage, la base de données NTDS.DIT est souvent hors connexion pendant de
longues périodes. Le service Services Web Active Directory enregistre au moins un
événement à cette occasion. Une fois le clonage terminé, le service Services Web Active
Directory démarre, constate qu'il n'y a pas encore de certificat d'ordinateur valide (il peut
y en avoir un ou non, selon qu'un certificat Microsoft PKI avec inscription automatique est
déployé ou non dans votre environnement), puis démarre l'instance du nouveau
ID Source Message
d'événement
1202 Événements Cet ordinateur héberge désormais l'instance d'annuaire spécifiée,

de mais les services Web Active Directory n'ont pas pu la traiter. Les
l'instance services Web Active Directory vont réessayer cette opération
des services régulièrement.
Web Active Instance d’annuaire : NTDS
Directory
Port LDAP de l’instance de l’annuaire : 389
Port SSL de l’instance de l’annuaire : 636
1 000 Événements Démarrage des services Web Active Directory

de
l'instance
des services
Web Active
Directory
1008 Événements Les services Web Active Directory ont réussi à réduire leurs privilèges
de de sécurité
l'instance
des services
Web Active
Directory
ID Source Message
d'événement
1100 Événements Les valeurs spécifiées dans la section <appsettings> du fichier de

de configuration des services web Active Directory ont été chargées sans
l'instance erreur.
des services
Web Active
Directory
1400 Événements Événements de certificat des services Web Active Directory. Les
de services Web Active Directory n'ont pas pu trouver un certificat de
l'instance serveur sous le nom de certificat spécifié. Un certificat est requis pour
des services utiliser des connexions SSL/TLS. Pour utiliser des connexions SSL/TLS,
Web Active vérifiez qu'un certificat d'authentification de serveur valide provenant
Directory d'une autorité de certification (CA) approuvée est installé sur
l'ordinateur.
Nom du certificat : <Nom de domaine complet du serveur>
1100 Événements Les valeurs spécifiées dans la section <appsettings> du fichier de

de configuration des services web Active Directory ont été chargées sans
l'instance erreur.
des services
Web Active
Directory
1 200 Événements Les services Web Active Directory traitent l'instance d'annuaire
de spécifiée.
l'instance Instance d’annuaire : NTDS
des services
Web Active Port LDAP de l’instance de l’annuaire : 389
Directory
Port SSL de l’instance de l’annuaire : 636
Journal des événements du serveur DNS
Le service DNS est brièvement interrompu à quelques reprises durant le clonage, car il
reste en cours d'exécution pendant que la base de données AD DS est hors connexion.
Cela se produit si vous utilisez le DNS intégré à Active Directory, mais pas si vous utilisez
le DNS principal ou le DNS secondaire. Ces erreurs sont enregistrées plusieurs fois. Une
fois le clonage terminé, le DNS revient en ligne normalement.
ID Source Message
d'événement
ID Source Message
d'événement
4013 DNS- Le serveur DNS attend que les services de domaine Active Directory
Server- indiquent que la synchronisation initiale du répertoire est terminée. Ce
Service service du serveur DNS ne peut pas démarrer tant que la synchronisation
initiale n'est pas terminée car les données DNS essentielles ne sont peut-
être pas encore répliquées sur ce contrôleur de domaine. Si les
événements du journal des événements des services de domaine Active
Directory indiquent un problème de résolution de noms DNS, envisagez
d'ajouter l'adresse IP d'un autre serveur DNS de ce domaine à la liste des
serveurs DNS dans les propriétés de protocole Internet de cet ordinateur.
Cet événement sera consigné toutes les deux minutes jusqu'à ce que les
services de domaine Active Directory indiquent que la synchronisation
initiale est terminée.
4015 DNS- Le serveur DNS a rencontré une erreur critique venant d'Active Directory.
Server- Vérifiez qu'Active Directory fonctionne correctement. Les informations de
Service débogage d'erreur étendues (qui peuvent être vides) sont """". Les
données d'événement contiennent l'erreur.
4000 DNS- Le serveur DNS n'a pas pu ouvrir Active Directory. Ce serveur DNS est
Server- configuré pour obtenir et utiliser les informations de l'annuaire pour cette
Service zone et il ne peut pas charger la zone sans celui-ci. Vérifiez qu'Active
Directory fonctionne correctement et rechargez la zone. Les données
d'événement sont le code d'erreur.
4013 DNS- Le serveur DNS attend que les services de domaine Active Directory
Server- indiquent que la synchronisation initiale du répertoire est terminée. Ce
Service service du serveur DNS ne peut pas démarrer tant que la synchronisation
initiale n'est pas terminée car les données DNS essentielles ne sont peut-
être pas encore répliquées sur ce contrôleur de domaine. Si les
événements du journal des événements des services de domaine Active
Directory indiquent un problème de résolution de noms DNS, envisagez
d'ajouter l'adresse IP d'un autre serveur DNS de ce domaine à la liste des
serveurs DNS dans les propriétés de protocole Internet de cet ordinateur.
Cet événement sera consigné toutes les deux minutes jusqu'à ce que les
services de domaine Active Directory indiquent que la synchronisation
initiale est terminée.
2 DNS- Le serveur DNS a démarré.

Server-
Service
4 DNS- Le serveur DNS a terminé le chargement en arrière-plan des zones. Toutes

Server- les zones sont à présent disponibles pour des mises à jour DNS et des
Service transferts de zone, comme le permet chaque configuration de zone.
Journal des événements du service de réplication de fichiers

Durant le clonage, le service de réplication de fichiers effectue une synchronisation ne
faisant pas autorité à partir d'un partenaire. En effet, le clonage supprime les fichiers de
base de données NTFRS et laisse le contenu du répertoire SYSVOL intact, ce qui permet
de l'utiliser en tant que données des valeurs de départ. Les deux tentatives de
synchronisation sont attendues.
ID Source Message
d'événement
13562 NtFrs Ci-dessous se trouve un résumé des avertissements et des erreurs

rencontrés par le service de réplication des fichiers lors de l'interrogation
du contrôleur de domaine DC2.root.fabrikam.com concernant les
informations de configuration du jeu de réplicas FRS.
Impossible de lier à un contrôleur de domaine. Nouvelle tentative lors du
prochain cycle d'interrogation
13502 NtFrs Le service de réplication de fichiers est en cours d'arrêt.
13565 NtFrs Le service de réplication de fichiers initialise le volume système avec des
données venant d'un autre contrôleur de domaine. L'ordinateur DC2 ne
peut pas devenir un contrôleur de domaine avant que le traitement ne
soit effectué. Le volume système sera ensuite partagé en tant que SYSVOL.
Pour vérifier le partage SYSVOL, à l'invite de commandes, entrez :
net share
Lorsque le service de réplication de fichiers aura effectué le processus

d'initialisation, le partage SYSVOL apparaîtra.
L'initialisation du volume système peut prendre un certain temps. Cette

durée dépend de la quantité de données dans le volume système, de la
disponibilité d'autres contrôleurs de domaine et de l'intervalle de
réplication entre les contrôleurs de domaine.
13501 NtFrs Le service de réplication de fichiers démarre
13502 NtFrs Le service de réplication de fichiers est en cours d'arrêt.
13503 NtFrs Le service de réplication de fichiers s'est arrêté.

ID Source Message
d'événement
13565 NtFrs Le service de réplication de fichiers initialise le volume système avec des
net share


13501 NtFrs Le service de réplication de fichiers démarre.
13553 NtFrs Le service de réplication de fichiers a correctement ajouté cet ordinateur

au jeu de réplica suivant :
« VOLUME SYSTÈME DE DOMAINE (PARTAGE SYSVOL) »
Les informations en rapport avec cet événement sont affichées ci-

dessous :
Le nom DNS de l’ordinateur est <nom de domaine complet du contrôleur

de domaine>
Le nom de membre du jeu de réplica est <contrôleur de domaine>
Le chemin d’accès racine du jeu de réplica est <chemin>
Le chemin d’accès de répertoire intermédiaire du réplica est <chemin>
Le chemin d’accès du répertoire de travail du réplica est <chemin>

ID Source Message
d'événement
13520 NtFrs Le service de réplication de fichiers a déplacé les fichiers préexistants de

<chemin> vers <chemin>\NtFrs_PreExisting___See_EventLog.
Le service de réplication de fichiers peut supprimer les fichiers dans

<chemin>\NtFrs_PreExisting___See_EventLog à tout moment. Il est
possible d’éviter la suppression des fichiers en les copiant hors de
<chemin>\NtFrs_PreExisting___See_EventLog. La copie des fichiers dans
c:\windows\sysvol\domain peut provoquer des conflits de nom si les
fichiers existent déjà sur d'autres partenaires de réplication.
Dans certains cas, le service de réplication de fichiers peut copier un

fichier depuis <chemin>\NtFrs_PreExisting___See_EventLog vers <chemin>
au lieu de le répliquer à partir d’un autre partenaire de réplication.
De l’espace disque peut être libéré à tout moment en supprimant les

fichiers dans <chemin>\NtFrs_PreExisting___See_EventLog.
13508 NtFrs Le service de réplication de fichiers (FRS) rencontre des problèmes lors de
l’activation de la réplication de <nom de domaine complet du contrôleur de
domaine> vers <contrôleur de domaine> pour <chemin> en utilisant
le nom DNS <nom de domaine complet du contrôleur de domaine>. FRS va

essayer à nouveau.
Ci-dessous sont certaines des raisons de cet avertissement.
[1] Le FRS ne peut pas résoudre le nom DNS correctement <nom de

domaine complet du contrôleur de domaine> à partir de cet ordinateur.
[2] FRS n’est pas en cours d’exécution sur <nom de domaine complet du
contrôleur de domaine>.
[3] Les informations de topologie dans Active Directory pour ce réplica

n'ont pas été répliquées vers tous les contrôleurs de domaine.
Ce message du journal des événements apparaîtra une fois par connexion.

Une fois que le problème aura été résolu, vous verrez un autre message
indiquant que la connexion a été établie.
13509 NtFrs Le service de réplication de fichiers a activé la réplication de <nom de

domaine complet du contrôleur de domaine> vers <contrôleur de
domaine> pour <chemin> après plusieurs tentatives.
13516 NtFrs Le service de réplication de fichiers n’empêche plus l’ordinateur

<contrôleur de domaine> de devenir un contrôleur de domaine. Le volume
système a été correctement initialisé et le service Netlogon a été averti du
fait que le volume système est maintenant prêt à être partagé en tant que
SYSVOL.
Entrez « net share » pour vérifier le partage SYSVOL.

Journal des événements de la réplication DFS
Durant le clonage, le service DFSR effectue une synchronisation ne faisant pas autorité à
partir d'un partenaire. En effet, le clonage supprime les fichiers de base de données DFSR
et laisse le contenu du répertoire SYSVOL intact, ce qui permet de l'utiliser en tant que
données des valeurs de départ. Les deux tentatives de synchronisation sont attendues.
ID Source Message
d'événement
1004 DFSR Le service de réplication DFS a démarré.
1314 DFSR Le service de réplication DFS a correctement configuré les fichiers

journaux de débogage.
Informations supplémentaires :
Chemin d’accès aux fichiers journaux de débogage : C:\Windows\debug
6102 DFSR Le service de réplication DFS a inscrit le fournisseur WMI
1206 DFSR Le service de réplication DFS a contacté le contrôleur de domaine

DC2.corp.contoso.com pour accéder aux informations de configuration.
1210 DFSR Le service de réplication DFS a créé un écouteur RPC pour les demandes
de réplication entrantes.
Port : 0"
ID Source Message
d'événement
4614 DFSR Le service de réplication DFS a initialisé SYSVOL dans le chemin d'accès
local C:\Windows\SYSVOL\domain et attend d'effectuer la réplication
initiale. Le dossier répliqué demeurera dans son état de synchronisation
initial jusqu'à ce qu'il se réplique avec son partenaire. Si le serveur va être
promu contrôleur de domaine, le contrôleur de domaine ne sera pas
publié et ne fonctionnera pas comme contrôleur de domaine jusqu'à ce
que ce problème soit résolu. Cela peut se produire si le partenaire spécifié
est lui-même dans l'état de synchronisation initial, ou si des violations de
partage sont rencontrées sur ce serveur ou sur le partenaire de
synchronisation. Si cet événement s'est produit pendant la migration de
SYSVOL depuis le service de réplication de fichiers (FRS) vers le service de
réplication DFS, les modifications ne seront pas répliquées jusqu'à ce que
ce problème soit résolu. Le dossier SYSVOL sur ce serveur pourrait devenir
désynchronisé avec les autres contrôleurs de domaine.
Nom du dossier répliqué : Partage SYSVOL
ID du dossier répliqué : <GUID>
Nom du groupe de réplication : Volume du système de domaine
ID du groupe de réplication : <GUID>
ID du membre : <GUID>
Lecture seule : 0
4604 DFSR Le service de réplication DFS a initialisé la réplication sur le dossier

répliqué dans le chemin d'accès local C:\Windows\SYSVOL\domain. Ce
membre a terminé la synchronisation initiale de SYSVOL avec le partenaire
dc1.corp.contoso.com. Pour vérifier la présence du partage SYSVOL,
ouvrez une fenêtre d'invite de commandes et tapez « net share ».
Partenaire de synchronisation : <nom de domaine complet du contrôleur de

domaine>
Résolution des problèmes de restauration
sécurisée d'un contrôleur de domaine virtualisé
Les journaux intégrés sont l'outil le plus important pour la résolution des problèmes de
restauration de capture instantanée sécurisée du contrôleur de domaine. Par défaut, tous
ces journaux sont activés et configurés pour fournir un mode détaillé maximal.
opération Journal
Création d’instantanés - Observateur d’événements\Journaux des applications et des

services\Microsoft\Windows\Hyper-V-Worker
Restauration de capture - Observateur d’événements\Journaux des applications et des

instantanée services\Service d’annuaire
- Observateur d’événements\Journaux Windows\Application
- Observateur d’événements\Journaux des applications et des

services\Service de réplication de fichiers

services\Réplication DFS

services\DNS

services\Microsoft\Windows\Hyper-V-Worker

Dcdiag.exe
Repadmin.exe
Méthodologie générale pour la résolution des problèmes de

restauration sécurisée d'un contrôleur de domaine
1. Est-ce que la restauration prévue de la capture instantanée présente des
problèmes ?
a. Examinez le journal des événements Services d'annuaire
i. Existe-t-il des erreurs de restauration de capture instantanée ?
ii. Existe-t-il des erreurs de réplication Active Directory ?
b. Examinez le journal des événements Système
i. Existe-t-il des erreurs de communication ?
ii. Existe-t-il des erreurs Active Directory ?
2. Est-ce que la restauration sécurisée de capture instantanée est inattendue ?
a. Examiner les journaux d'audit de l'hyperviseur pour déterminer l'origine de la

restauration
b. Contacter tous les administrateurs de l'hyperviseur et les interroger pour savoir

qui a restauré l'ordinateur virtuel sans notification
3. Est-ce que le serveur implémente la protection de restauration USN sans

restauration sécurisée ?
a. Examiner le journal des événements Services d'annuaire à la recherche d'un

hyperviseur ou de services d'intégration non pris en charge
b. Examiner le système d'exploitation et valider l'exécution de Windows

Server 2012 ?
Événements
Tous les événements de restauration de capture instantanée sécurisée pour des

contrôleurs de domaine virtualisés sont écrits dans le journal des événements Services
d'annuaire de l'ordinateur virtuel du contrôleur de domaine clone. Les journaux des
événements Application, Système, Service de réplication de fichiers et Réplication DFS
peuvent également contenir des informations utiles pour résoudre les problèmes d'échec
de restauration.
Voici les événements de restauration sécurisée pour Windows Server 2012 dans le journal
des événements Services d'annuaire.
ID 2170
d'événement
Message Un changement d'ID de génération a été détecté.

Le changement d'ID de génération se produit après l'application d'une capture

instantanée d'ordinateur virtuel, après une opération d'importation d'ordinateur
virtuel ou après une opération de migration dynamique. <NOMORDINATEUR> va
créer un nouvel ID d’invocation pour restaurer le contrôleur de domaine. Les
contrôleurs de domaine virtualisés ne doivent pas être restaurés à l'aide de captures
instantanées d'ordinateurs virtuels. La méthode prise en charge pour restaurer le
contenu d'une base de données des services de domaine Active Directory consiste à
restaurer une sauvegarde de l'état du système effectuée à l'aide d'une application
de sauvegarde compatible avec les services de domaine Active Directory.
Remarques Il s'agit d'un événement de succès si la capture instantanée est attendue. Sinon,
et résolution examinez le journal des événements Hyper-V-Worker ou contactez l'administrateur
de l'hyperviseur.
ID 2174
d'événement
gravité
Message Le contrôleur de domaine n'est ni un clone du contrôleur de domaine virtuel, ni une

capture instantanée de contrôleur de domaine virtuel restauré.
Remarques Événement attendu durant le démarrage des contrôleurs de domaine physiques ou

et résolution des contrôleurs de domaine virtualisés qui ne sont pas restaurés à partir d'une
capture instantanée
ID 2181
d'événement
gravité
Message La transaction a été annulée en raison de la restauration de l'ordinateur virtuel à un

état antérieur. Cela se produit après l'application d'une capture instantanée
d'ordinateur virtuel, après une opération d'importation d'ordinateur virtuel ou après
une opération de migration dynamique.
Remarques Attendu durant la restauration d'une capture instantanée. Les transactions suivent le
et résolution changement d'ID de génération d'ordinateur virtuel
Événement Description
ID 2185
d'événement
gravité
Message <NOMORDINATEUR> a arrêté le service FRS ou DFSR utilisé pour répliquer le

dossier SYSVOL.
Nom du service : %1
Active Directory a détecté que l'ordinateur virtuel qui héberge le contrôleur de

domaine a été ramené à un état antérieur. <NOMORDINATEUR> doit initialiser une
restauration ne faisant pas autorité sur le réplica SYSVOL local. Ceci se fait en
arrêtant le service de réplication FRS ou DFSR utilisé pour répliquer le dossier
SYSVOL et en le démarrant avec les clés et valeurs de Registre appropriées pour
déclencher la restauration. L'événement 2187 sera journalisé au redémarrage du
service FRS ou DFSR.
Remarques Attendu durant la restauration d'une capture instantanée. Toutes les données
et résolution SYSVOL de ce contrôleur de domaine sont remplacées par la copie d'un contrôleur
de domaine partenaire.
ID 2186
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à arrêter le service FRS ou DFSR utilisé pour
répliquer le dossier SYSVOL.
Nom du service : %1

déclencher la restauration. <NOMORDINATEUR> n’a pas réussi à arrêter le service
actuellement exécuté et ne peuvent pas effectuer la restauration qui ne fait pas
autorité. Effectuez manuellement une restauration ne faisant pas autorité.
Remarques Pour plus d'informations, examinez les journaux des événements Système, FRS et
et résolution DFSR.
ID 2187
d'événement
gravité
Message <NOMORDINATEUR> a démarré le service FRS ou DFSR utilisé pour répliquer le

dossier SYSVOL.
Nom du service : %1

domaine a été ramené à un état antérieur. <NOMORDINATEUR> a dû initialiser une
restauration ne faisant pas autorité sur le réplica SYSVOL local. Ceci a été fait en
déclencher la restauration.
ID 2188
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à démarrer le service FRS ou DFSR utilisé pour
Nom du service : %1

restauration ne faisant pas autorité sur le réplica SYSVOL local. Pour ce faire, arrêtez
le service de réplication FRS ou DFSR utilisé pour répliquer le dossier SYSVOL et
démarrez-le avec les clés et valeurs de Registre appropriées pour déclencher la
restauration. <NOMORDINATEUR> n’a pas réussi à démarrer le service FRS ou DFSR
utilisé pour répliquer le dossier SYSVOL et ne peut pas effectuer la restauration qui
ne fait pas autorité. Effectuez manuellement une restauration ne faisant pas autorité
et redémarrez le service.
Remarques Pour plus d'informations, examinez les journaux des événements Système, FRS et
et résolution DFSR.
ID 2189
d'événement
gravité
Message <NOMORDINATEUR> a défini les valeurs de Registre suivantes pour initialiser le

réplica SYSVOL au cours d’une restauration ne faisant pas autorité :

arrêtant le service FRS ou DFSR utilisé pour répliquer le dossier SYSVOL et en le
démarrant avec les clés et valeurs de Registre appropriées pour déclencher la
restauration.
ID 2190
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à définir les valeurs de Registre suivantes pour
initialiser le réplica SYSVOL au cours d’une restauration ne faisant pas autorité :

arrêtant le service FRS ou DFSR utilisé pour répliquer le dossier SYSVOL et en le
démarrant avec les clés et valeurs de Registre appropriées pour déclencher la
restauration. <NOMORDINATEUR> n’a pas réussi à définir les valeurs de Registre ci-
dessus et ne peut pas effectuer la restauration ne faisant pas autorité. Effectuez
manuellement une restauration ne faisant pas autorité.
Remarques Examinez les journaux des événements Application et Système. Vérifiez si des
et résolution applications tierces ne bloquent pas les mises à jour du Registre.
ID 2200
d'événement
gravité
Message Active Directory a détecté que l'ordinateur virtuel qui héberge le contrôleur de
domaine a été ramené à un état antérieur. <NOMORDINATEUR> initialise la
réplication pour mettre à jour le contrôleur de domaine. L'événement 2201 sera
consigné au terme de la réplication.
Remarques Attendu durant la restauration d'une capture instantanée. Marque le début de la

et résolution réplication Active Directory entrante.
ID 2201
d'événement
gravité
domaine a été ramené à un état antérieur. <NOMORDINATEUR> a terminé la
réplication pour mettre à jour le contrôleur de domaine.
Remarques Attendu durant la restauration d'une capture instantanée. Marque la fin de la

et résolution réplication Active Directory entrante.
ID 2202
d'événement
Niveau de Erreur
gravité
domaine a été ramené à un état antérieur. <NOMORDINATEUR> n’a pas pu
effectuer la réplication visant à mettre à jour le contrôleur de domaine. Le
contrôleur de domaine sera mis à jour après la prochaine réplication périodique.
Remarques Examinez les journaux des événements Services d'annuaire et Système. Utilisez
et résolution repadmin.exe pour tenter de forcer la réplication et notez les défaillances.
ID 2204
d'événement
gravité
Message <NOMORDINATEUR> a détecté une modification de l’ID de génération de la

machine virtuelle. Cette modification signifie que le contrôleur de domaine virtuel a
été ramené à un état antérieur. <NOMORDINATEUR> effectuera les opérations
suivantes pour protéger le contrôleur de domaine ainsi rétabli contre une possible
divergence des données et pour protéger la création des principaux de sécurité
avec des SID en doublon :
Créer un ID d'appel
Invalider le pool RID actuel
La propriété des rôles FSMO sera validée à la prochaine réplication entrante.

Pendant ce laps de temps, si le contrôleur de domaine détenait un rôle FSMO, ce
rôle sera indisponible.
Démarrer l'opération de restauration du service de réplication SYSVOL.
Démarrer la réplication pour rétablir à l'état le plus récent le contrôleur de domaine

qui a été ramené à un état antérieur.
Demander un nouveau pool RID.
Remarques Attendu durant la restauration d'une capture instantanée. Ceci explique toutes les
et résolution diverses opérations de réinitialisation qui doivent se produire durant le processus de
restauration sécurisée.
ID 2205
d'événement
gravité
Message <NOMORDINATEUR> a invalidé le pool RID actuel après que le contrôleur de

domaine virtuel a été ramené à un état antérieur.
Remarques Attendu durant la restauration d'une capture instantanée. Le pool RID local doit être
et résolution détruit, car le contrôleur de domaine a « voyagé dans le temps ». En outre, des
identificateurs RID ont peut-être déjà été affectés.
ID 2206
d'événement
Niveau de ERROR
gravité
Message <NOMORDINATEUR> n’a pas réussi à invalider le pool RID actuel après que le
contrôleur de domaine virtuel a été ramené à un état antérieur.
Remarques Examinez les journaux des événements Services d'annuaire et Système. Assurez-
et résolution vous que le maître RID est en ligne et qu'il est joignable à partir de ce serveur via
Dcdiag.exe /test:ridmanager
ID 2207
d'événement
Niveau de ERROR
gravité
Message <NOMORDINATEUR> n’a pas pu être restauré après que le contrôleur de domaine
virtuel a été ramené à un état antérieur. Un redémarrage dans DSRM a été
demandé. Pour plus d'informations, vérifiez les événements antérieurs.
Remarques Examinez les journaux des événements Services d'annuaire et Système.

et résolution
ID 2208
d'événement
gravité
Message <NOMORDINATEUR> a supprimé les bases de données DFSR pour initialiser un

réplica SYSVOL lors d’une restauration ne faisant pas autorité.
Remarques Attendu durant la restauration d'une capture instantanée. Cela permet de s'assurer
et résolution que le service DFSR effectue une synchronisation ne faisant pas autorité du
répertoire SYSVOL à partir d'un contrôleur de domaine partenaire. Notez que les
autres dossiers répliqués DFSR situés sur le même volume que SYSVOL font
également l'objet d'une synchronisation ne faisant pas autorité (il n'est pas
recommandé d'utiliser des contrôleurs de domaine pour héberger des dossiers
DFSR personnalisés situés sur le même volume que SYSVOL).
ID 2209
d'événement
Niveau de Erreur
gravité
Message <NOMORDINATEUR> n’a pas réussi à supprimer les bases de données DFSR.

restauration ne faisant pas autorité sur le réplica SYSVOL local. Pour DFSR, ceci se
fait en arrêtant le service DFSR, en supprimant les bases de données DFSR et en
redémarrant le service. Après le redémarrage, DFSR recrée les bases de données et
démarre la synchronisation initiale.
Remarques Examinez le journal des événements DFSR.

et résolution
Messages d'erreur
Il n'y a pas d'erreurs interactives directes pour les échecs de restauration de capture
instantanée sécurisée d'un contrôleur de domaine virtualisé. Toutes les informations
relatives au clonage sont enregistrées dans les journaux des événements Services
d'annuaire. Naturellement, toutes les erreurs de réplication critique ou de publication de
serveur se manifestent ailleurs par d'autres symptômes.
Problèmes connus et scénarios de prise en charge

La section Méthodologie générale pour la résolution des problèmes de restauration
sécurisée d’un contrôleur de domaine est généralement suffisante pour résoudre la
plupart des problèmes.
Problème Impossible de créer des principaux de sécurité sur le contrôleur de domaine

restauré récemment de manière sécurisée
Symptômes Après la restauration d'une capture instantanée, les tentatives de création d'un
principal de sécurité (utilisateur, ordinateur, groupe) sur ce contrôleur de domaine
échouent comme suit :
Erreur 0x2010
Le service d'annuaire n'a pas pu allouer un identificateur relatif.
Résolution Ce problème est dû aux informations obsolètes du rôle FSMO du maître RID de
et l'ordinateur restauré. Si le rôle est déplacé vers ce contrôleur de domaine (ou un
remarques autre) après qu'une capture instantanée a été effectuée puis restaurée, le contrôleur
de domaine restauré n'a pas connaissance du maître RID jusqu'à la fin de la
réplication initiale.
Pour résoudre le problème, permettez à la réplication Active Directory de s'effectuer
en entrée sur le contrôleur de domaine restauré. Si le problème persiste, assurez-
vous que tous les contrôleurs de domaine ont la même information valide en ce qui
concerne l'identité du contrôleur de domaine hôte du maître RID.
Problème Les contrôleurs de domaine restaurés ne partagent pas SYSVOL et n'effectuent

aucune publication
Symptômes Après la restauration d'une capture instantanée, un ou plusieurs contrôleurs de

domaine n'effectuent aucune publication, ne partagent pas sysvol et ne disposent
pas d'un contenu SYSVOL actualisé
Résolution Les partenaires en amont du contrôleur de domaine n'ont aucun réplica SYSVOL de
et travail qui se réplique correctement avec les services DFSR ou FRS. Ce problème n’est
remarques pas lié à la restauration sécurisée. Toutefois, il est susceptible de se manifester en tant
que problème de restauration sécurisée, car le client ignore qu’un autre problème de
réplication affecte les contrôleurs de domaine non restaurés
Dépannage avancé
Ce module vise à enseigner la résolution avancée des problèmes à l'aide d'exemples de
journaux de travail et d'explications. Si vous comprenez en quoi consiste le
fonctionnement d'un contrôleur de domaine virtualisé, vous pouvez identifier facilement
les défaillances dans votre environnement. Ces journaux sont présentés par source, dans
l'ordre croissant des événements attendus liés à un contrôleur de domaine cloné au sein
de chaque journal.
Restauration d'un contrôleur de domaine qui réplique SYSVOL via
les services DFSR
Le journal Services d'annuaire contient la majorité des informations opérationnelles

relatives à la restauration sécurisée. L'hyperviseur change l'ID de génération d'ordinateur
virtuel (ce qui est identifié par le service NTDS), puis invalide le pool RID et change l'ID
d'invocation. Le nouvel ID de génération d'ordinateur virtuel est défini. Le serveur réplique
les données Active Directory en entrée. Le service DFSR est arrêté. Sa base de données,
qui héberge SYSVOL, est supprimée, ce qui entraîne une synchronisation forcée faisant
autorité en entrée. La limite supérieure du numéro USN est configurée.
ID Source Message
d'événement
2170 ActiveDirectory_DomainService Un changement d'ID de génération a été détecté.

ID de génération mis en cache dans les services
d'annuaire (ancienne valeur) :
<numéro>
ID de génération actuellement dans l'ordinateur

virtuel (nouvelle valeur) :
<numéro>
Le changement d'ID de génération se produit

après l'application d'une capture instantanée
d'ordinateur virtuel, après une opération
d'importation d'ordinateur virtuel ou après une
opération de migration dynamique. Les services
de domaine Active Directory vont créer un ID
d'appel pour récupérer le contrôleur de domaine.
Les contrôleurs de domaine virtualisés ne doivent
pas être restaurés à l'aide de captures
instantanées d'ordinateurs virtuels. La méthode
prise en charge pour restaurer le contenu d'une
base de données des services de domaine Active
Directory consiste à restaurer une sauvegarde de
l'état du système effectuée à l'aide d'une
application de sauvegarde compatible avec les
services de domaine Active Directory.
ID Source Message
d'événement
2181 ActiveDirectory_DomainService La transaction a été annulée en raison de la

restauration de l'ordinateur virtuel à un état
antérieur. Cela se produit après l'application d'une
capture instantanée d'ordinateur virtuel, après une
opération d'importation d'ordinateur virtuel ou
après une opération de migration dynamique.
2204 ActiveDirectory_DomainService Les services de domaine Active Directory (AD DS)

ont détecté une modification de l'ID de
génération de l'ordinateur virtuel. Cette
modification signifie que le contrôleur de
domaine virtuel a été ramené à un état antérieur.
Les services de domaine Active Directory
effectueront les opérations suivantes pour
protéger le contrôleur de domaine ainsi rétabli
contre une possible divergence des données et
pour protéger la création des principaux de
sécurité avec des SID en doublon :
Créer un ID d'appel
Invalider le pool RID actuel
La propriété des rôles FSMO sera validée à la

prochaine réplication entrante. Pendant ce laps de
temps, si le contrôleur de domaine détenait un
rôle FSMO, ce rôle sera indisponible.
Démarrer l'opération de restauration du service de

réplication SYSVOL.
Démarrer la réplication pour rétablir à l'état le plus

récent le contrôleur de domaine qui a été ramené
à un état antérieur.
Demander un nouveau pool RID.
2181 ActiveDirectory_DomainService La transaction a été annulée en raison de la

restauration de l'ordinateur virtuel à un état
antérieur. Cela se produit après l'application d'une
capture instantanée d'ordinateur virtuel, après une
opération d'importation d'ordinateur virtuel ou
après une opération de migration dynamique.
ID Source Message
d'événement
1109 ActiveDirectory_DomainService L'attribut invocationID pour ce serveur d'annuaire

a été modifié. Le numéro de séquence de mise à
jour le plus élevé au moment où la sauvegarde a
été créée est le suivant :
<GUID>
<GUID>
<numéro>
L'attribut invocationID est modifié quand un

serveur d'annuaire est restauré à partir d'un
support de sauvegarde, est configuré pour
héberger une partition d'annuaire d'application
accessible en écriture, a été redémarré après
l'application d'un instantané d'ordinateur virtuel,
après une opération d'importation d'ordinateur
virtuel, ou après une opération de migration
dynamique. Les contrôleurs de domaine virtualisés
ne doivent pas être restaurés à l'aide de captures
instantanées d'ordinateurs virtuels. La méthode
prise en charge pour restaurer le contenu d'une
base de données des services de domaine Active
Directory consiste à restaurer une sauvegarde de
l'état du système effectuée à l'aide d'une
application de sauvegarde compatible avec les
2179 ActiveDirectory_DomainService L'attribut msDS-GenerationId de l'objet ordinateur

du contrôleur de domaine a été paramétré
comme suit :
Attribut GenerationID :
<numéro>
2200 ActiveDirectory_DomainService Active Directory a détecté que l'ordinateur virtuel

qui héberge le contrôleur de domaine a été
ramené à un état antérieur. Les services de
domaine Active Directory initialisent la réplication
pour mettre à jour le contrôleur de domaine.
L'événement 2201 sera consigné au terme de la
réplication.
ID Source Message
d'événement
2201 ActiveDirectory_DomainService Active Directory a détecté que l'ordinateur virtuel

domaine Active Directory ont terminé la
réplication pour mettre à jour le contrôleur de
domaine.
2185 ActiveDirectory_DomainService Les services de domaine Active Directory ont

arrêté le service FRS ou DFSR utilisé pour répliquer
le dossier SYSVOL.
Nom du service :
DFSR
Active Directory a détecté que l'ordinateur virtuel

domaine Active Directory doivent initialiser une
restauration ne faisant pas autorité sur le réplica
SYSVOL local. Ceci se fait en arrêtant le service de
réplication FRS ou DFSR utilisé pour répliquer le
dossier SYSVOL et en le démarrant avec les clés et
valeurs de Registre appropriées pour déclencher
la restauration. L'événement 2187 sera journalisé
au redémarrage du service FRS ou DFSR.

supprimé les bases de données DFSR pour
initialiser un réplica SYSVOL lors d'une
restauration ne faisant pas autorité.
domaine Active Directory doivent initialiser une
SYSVOL local. Pour DFSR, ceci se fait en arrêtant le
service DFSR, en supprimant les bases de données
DFSR et en redémarrant le service. Après le
redémarrage, DFSR recrée les bases de données et
démarre la synchronisation initiale.
ID Source Message
d'événement

démarré le service FRS ou DFSR utilisé pour
Nom du service :
DFSR

domaine Active Directory ont dû initialiser une
SYSVOL local. Ceci a été fait en arrêtant le service
de réplication FRS ou DFSR utilisé pour répliquer
le dossier SYSVOL et en le démarrant avec les clés
et valeurs de Registre appropriées pour
déclencher la restauration. "
ID Source Message
d'événement
1587 ActiveDirectory_DomainService Ce service d'annuaire a été restauré ou a été

configuré pour héberger une partition d'annuaire
d'application. Par conséquent, son identité de
réplication a été modifiée. Un partenaire a
demandé des modifications de réplication en
utilisant notre ancienne identité. Le numéro de
séquence de démarrage a été ajusté.
Le service d'annuaire de destination
correspondant au GUID d'objet suivant a
demandé le démarrage des modifications à un
numéro de séquence de mise à jour (USN)
précédant l'USN où le service d'annuaire local a
été restauré à partir du média de sauvegarde.
GUID de l'objet :
<GUID> (<nom de domaine complet du contrôleur

de domaine partenaire>)
Numéro de séquence de mise à jour au moment

de la restauration :
<numéro>
Par conséquent, le vecteur de mise à jour récente

du service d'annuaire de destination a été
configuré avec les paramètres suivants.
Précédent GUID de la base de données :
<GUID>
Précédent USN de l'objet :
<numéro>
Précédent USN de la propriété :
<numéro>
Nouveau GUID de la base de données :
<GUID>
Nouvel USN de l'objet :
<numéro>
Nouvel USN de la propriété :
<numéro>
Journal des événements système
Le journal des événements Système note l'heure de l'ordinateur durant la remise en ligne
d'un ordinateur virtuel et sa synchronisation avec l'heure de l'hôte. Le pool RID est
invalidé, et les services DFSR ou FRS redémarrent.
ID Source Message
d'événement
1 Kernel-General L’heure du système est passée à <Date/heure capture

instantanée> à partir de ?<now>.
Raison de la modification : Une application ou un composant

système a changé l’heure.
16654 Directory- Un pool d'identificateurs de comptes (RID) a été invalidé. Ceci

Services-SAM peut se produire dans les cas attendus suivants :
1. Un contrôleur de domaine est restauré à partir de la
sauvegarde.
2. Un contrôleur de domaine exécuté sur un ordinateur virtuel

est restauré à partir de l'instantané.
Consultez la rubrique https://go.microsoft.com/fwlink/?

LinkId=226247 (éventuellement en anglais) pour plus
d'informations.
7036 Gestionnaire de Le service de réplication DFS est entré dans l'état d'arrêt.
contrôle des
services
7036 Gestionnaire de Le service de réplication DFS est entré dans l'état en cours
services
Journal des événements de l'application
Le journal des événements Application note l'arrêt et le démarrage de la base de données

DFSR.
ID Source Message
d'événement
ID Source Message
d'événement
103 ESENT DFSRs (1360) \\.\C:\System Volume

Information\DFSR\database_<GUID>\dfsr.db : le moteur de base de
données a arrêté l’instance (0).
Arrêt brutal : 0
Séquence de minutage interne : [1] 0.000, [2] 0.000, [3] 0.000, [4] 0.000, [5]
0.141, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.016, [12]
0.000, [13] 0.000, [14] 0.000, [15] 0.000.

données (6.02.8189.0000) démarre une nouvelle instance (0).

données a démarré une nouvelle instance (0). (Délai = 0 seconde)
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.000.
DFSRs (532) \\.\C:\System Volume

Information\DFSR\database<GUID>\dfsr.db : le moteur de base de données
a créé une base de données (1, \\.\C:\System Volume
Information\DFSR\database<GUID>\dfsr.db). (Délai = 0 seconde)
Séquence de temporisation interne : [1] 0.000, [2] 0.000, [3] 0.016, [4]
0.062, [5] 0.000, [6] 0.016, [7] 0.000, [8] 0.000, [9] 0.015, [10] 0.000, [11]
0.000.
Journal des événements de la réplication DFS
Le service DFSR est arrêté. La base de données qui contient SYSVOL est supprimée, ce qui
entraîne une synchronisation forcée faisant autorité en entrée.
ID Source Message
d'événement
1006 DFSR Le service de réplication DFS est en cours d'arrêt.
1008 DFSR Le service de réplication DFS s'est arrêté.
1002 DFSR Le service de réplication DFS est en cours de démarrage.
1004 DFSR Le service de réplication DFS a démarré.

ID Source Message
d'événement
1314 DFSR Le service de réplication DFS a correctement configuré les fichiers

journaux de débogage.
Chemin d’accès aux fichiers journaux de débogage : C:\Windows\debug
6102 DFSR Le service de réplication DFS a inscrit le fournisseur WMI.
1206 DFSR Le service de réplication DFS a contacté le contrôleur de domaine <nom

de domaine complet du contrôleur de domaine> pour accéder aux
informations de configuration.
1210 DFSR Le service de réplication DFS a créé un écouteur RPC pour les demandes
de réplication entrantes.
Port : 0
4614 DFSR Le service de réplication DFS a initialisé SYSVOL dans le chemin d'accès
local C:\Windows\SYSVOL\domain et attend d'effectuer la réplication
initiale. Le dossier répliqué demeurera dans son état de synchronisation
initial jusqu'à ce qu'il se réplique avec son partenaire. Si le serveur va être
promu contrôleur de domaine, le contrôleur de domaine ne sera pas
publié et ne fonctionnera pas comme contrôleur de domaine jusqu'à ce
que ce problème soit résolu. Cela peut se produire si le partenaire spécifié
est lui-même dans l'état de synchronisation initial, ou si des violations de
partage sont rencontrées sur ce serveur ou sur le partenaire de
synchronisation. Si cet événement s'est produit pendant la migration de
SYSVOL depuis le service de réplication de fichiers (FRS) vers le service de
réplication DFS, les modifications ne seront pas répliquées jusqu'à ce que
ce problème soit résolu. Le dossier SYSVOL sur ce serveur pourrait devenir
désynchronisé avec les autres contrôleurs de domaine.
Lecture seule : 0
ID Source Message
d'événement
4604 DFSR Le service de réplication DFS a initialisé la réplication sur le dossier

répliqué dans le chemin d'accès local C:\Windows\SYSVOL\domain. Ce
membre a terminé la synchronisation initiale de SYSVOL avec le partenaire
dc1.corp.contoso.com. Pour vérifier la présence du partage SYSVOL,
ouvrez une fenêtre d'invite de commandes et tapez « net share ».
Partenaire de synchronisation : <nom de domaine complet du contrôleur de

domaine partenaire>
Restauration d'un contrôleur de domaine qui réplique SYSVOL via

les services FRS
Le journal des événements de réplication de fichiers est utilisé à la place du journal des
événements DFSR dans ce cas. Le journal des événements Application consigne
également différents événements liés au service FRS. Sinon, les messages des journaux
des événements Services d'annuaire et Système sont généralement les mêmes et se
présentent dans le même ordre que décrit précédemment.
Journal des événements du service de réplication de fichiers
Le service FRS est arrêté et redémarré avec la valeur D2 BURFLAGS pour une
synchronisation de SYSVOL ne faisant pas autorité.
ID Source Message
d'événement
13502 NTFRS Le service de réplication de fichiers est en cours d'arrêt.
13503 NTFRS Le service de réplication de fichiers s'est arrêté.
13501 NTFRS Le service de réplication de fichiers démarre

ID Source Message
d'événement
13512 NTFRS Le service de réplication de fichiers a détecté du cache d'écriture sur

disque activé sur le lecteur contenant l'annuaire c:\windows\ntfrs\jet sur
l'ordinateur DC4. Le service de réplication de fichiers peut ne pas être
rétabli lorsque l'alimentation du lecteur est interrompue et que les mises à
jour critiques sont perdues.
13565 NTFRS Le service de réplication de fichiers initialise le volume système avec des
net share


13520 NTFRS Le service de réplication de fichiers a déplacé les fichiers préexistants de

<chemin> vers <chemin>\NtFrs_PreExisting___See_EventLog.
Le service de réplication de fichiers peut supprimer les fichiers dans

<chemin>\NtFrs_PreExisting___See_EventLog à tout moment. Il est
possible d’éviter la suppression des fichiers en les copiant hors de
<chemin>\NtFrs_PreExisting___See_EventLog. La copie des fichiers dans
<chemin> peut provoquer des conflits de nom si les fichiers existent déjà
sur d’autres partenaires de réplication.
Dans certains cas, le service de réplication de fichiers peut copier un

fichier depuis <chemin>\NtFrs_PreExisting___See_EventLog vers <chemin>
au lieu de le répliquer à partir d’un autre partenaire de réplication.
De l’espace disque peut être libéré à tout moment en supprimant les

fichiers dans <chemin>\NtFrs_PreExisting___See_EventLog.
ID Source Message
d'événement
13553 NTFRS Le service de réplication de fichiers a correctement ajouté cet ordinateur

au jeu de réplica suivant :
Les informations en rapport avec cet événement sont affichées ci-

dessous :
Le nom DNS de l’ordinateur est « <nom de domaine complet du contrôleur

de domaine> »
Le nom de membre du jeu de réplica est « <nom du contrôleur de

domaine> »
Le chemin d’accès racine du jeu de réplica est « <chemin> »
Le chemin d’accès de répertoire intermédiaire du réplica est « <chemin> »
Le chemin d’accès du répertoire de travail du réplica est « <chemin> »
13554 NTFRS Le service de réplication de fichiers a correctement ajouté les connexions

affichées ci-dessous au jeu de réplica :
Réception depuis... : « <nom de domaine complet du contrôleur de

domaine partenaire> »
Émission vers... : « <nom de domaine complet du contrôleur de domaine

partenaire> »
Des informations supplémentaires peuvent apparaître dans des messages

de journaux d'événements ultérieurs.
13516 NTFRS Le service de réplication de fichiers n'empêche plus l'ordinateur DC4 de

devenir un contrôleur de domaine. Le volume système a été correctement
initialisé et le service Netlogon a été averti du fait que le volume système
est maintenant prêt à être partagé en tant que SYSVOL.
Entrez « net share » pour vérifier le partage SYSVOL.
Journal des événements de l'application
La base de données FRS s'arrête et démarre. Elle est vidée ensuite en raison de l'opération
D2 BURFLAGS.
ID Source Message
d'événement
ID Source Message
d'événement
327 ESENT ntfrs (1424) Le moteur de base de données a détaché une base de
données (1, c:\windows\ntfrs\jet\ntfrs.jdb). (Délai = 0 seconde)
Séquence de temporisation interne : [1] 0.000, [2] 0.015, [3] 0.000, [4]
0.000, [5] 0.000, [6] 0.516, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11]
0.063, [12] 0.000.
Cache relancé : 0
103 ESENT ntfrs (1424) Le moteur de base de données a arrêté l'instance (0).
Arrêt brutal : 0
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.031, [10] 0.000, [11] 0.016, [12]
0.000, [13] 0.000, [14] 0.047, [15] 0.000.
102 ESENT ntfrs (3000) Le moteur de base de données (6.02.8189.0000) démarre une
nouvelle instance (0).
105 ESENT ntfrs (3000) Le moteur de base de données a démarré une nouvelle
instance (0). (Délai = 0 seconde)
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.062, [10] 0.000, [11] 0.141.
103 ESENT ntfrs (3000) Le moteur de base de données a arrêté l’instance (0).
Arrêt brutal : 0
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12]
0.000, [13] 0.015, [14] 0.000, [15] 0.000.
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.078, [10] 0.000, [11] 0.109.
325 ESENT ntfrs (3000) Le moteur de base de données a créé une base de données (1,
c:\windows\ntfrs\jet\ntfrs.jdb). (Délai = 0 seconde)
0.000, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.078, [10] 0.016, [11] 0.000.
103 ESENT ntfrs (3000) Le moteur de base de données a arrêté l’instance (0).
Arrêt brutal : 0
0.078, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.125, [10] 0.016, [11] 0.000, [12]
0.000, [13] 0.000, [14] 0.000, [15] 0.000.
ID Source Message
d'événement
0.000, [6] 0.000, [7] 0.000, [8] 0.000, [9] 0.032, [10] 0.000, [11] 0.000.
326 ESENT ntfrs (3000) Le moteur de base de données a attaché une base de
données (1, c:\windows\ntfrs\jet\ntfrs.jdb). (Délai = 0 seconde)
0.016, [6] 0.015, [7] 0.000, [8] 0.000, [9] 0.000, [10] 0.000, [11] 0.000, [12]
0.000.
Annexe des informations techniques de
référence sur les contrôleurs de

Cette rubrique couvre :
Terminologie
FixVDCPermissions.ps1
Terminologie
Instantané : état d’une machine virtuelle à un moment donné. Elle dépend de la
chaîne d’instantanés précédents, du matériel et de la plateforme de virtualisation.
Clone : copie complète et distincte d’une machine virtuelle. Il dépend du matériel

virtuel (hyperviseur).
Clone complet : un clone complet est une copie indépendante d’une machine
virtuelle qui ne partage aucune ressource avec la machine virtuelle parente après
l’opération de clonage. L’opération en cours d’un clone complet est entièrement
distincte de la machine virtuelle parente.
Disque de différenciation : copie d’une machine virtuelle qui partage des disques
virtuels avec la machine virtuelle parente de manière continue. Cela permet
généralement de conserver de l’espace disque et de permettre à plusieurs
machines virtuelles d’utiliser la même installation logicielle.
Copie de machine virtuelle : copie du système de fichiers de tous les fichiers et

dossiers associés d’une machine virtuelle.
Copie de fichiers VHD : copie du disque dur virtuel d’une machine virtuelle.
ID de génération de machine virtuelle : nombre entier 128 bits donné à la

machine virtuelle par l’hyperviseur. Cet ID est stocké en mémoire et réinitialisé
chaque fois qu’un instantané est appliqué. La conception utilise un mécanisme
indépendant de l’hyperviseur pour faire apparaître l’ID de génération de machine
virtuelle dans la machine virtuelle. L’implémentation Hyper-V expose l’ID dans la
table ACPI de la machine virtuelle.
Importation/exportation : fonctionnalité Hyper-V qui permet à l’utilisateur

d’enregistrer l’intégralité de la machine virtuelle (fichiers de machine virtuelle,
disque dur virtuel et configuration de l’ordinateur). Les utilisateurs peuvent ensuite
utiliser cet ensemble de fichiers pour ramener l’ordinateur sur la même machine
virtuelle (restauration), sur une autre machine virtuelle (déplacement) ou sur une
nouvelle machine virtuelle (copie)
FixVDCPermissions.ps1
# Unsigned script, requires use of set-executionpolicy remotesigned -force
# You must run the Windows PowerShell console as an elevated administrator
# Load Active Directory Windows PowerShell Module and switch to AD DS drive
cd ad:
## Get Domain NC
$domainNC = get-addomain
## Get groups and obtain their SIDs
$dcgroup = get-adgroup "Cloneable Domain Controllers"
$sid1 = (get-adgroup $dcgroup).sid
## Get the DACL of the domain
$acl = get-acl $domainNC
## The following object specific ACE grants extended right 'Allow a DC to

create a clone of itself' for the CDC group to the Domain NC
## 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e is the schemaIDGuid for 'DS-Clone-

Domain-Controller"
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule

$sid1,"ExtendedRight","Allow",$objectguid
## Add the ACE in the ACL and set the ACL on the object
set-acl -aclobject $acl $domainNC

write-host "Done writing new VDC permissions."
cd c:
Ressources supplémentaires sur les


Virtualisation AD DS (Améliorations sécurisées du clonage et de la virtualisation)
Informations de référence techniques sur le modèle de réplication Active Directory
Exécution de contrôleurs de domaine dans Hyper-V (Comportements Windows

Server 2008 R2)
UsN et USN Rollback Protection (Windows Server 2008 R2)
Administration d’Active Directory avec Windows PowerShell (Windows Server 2008

R2)
Hyper-V dans Windows Server 2012
Demandez à l’équipe des services Directory (blog officiel du support technique

commercial Microsoft)
Aide relative aux tests de clonage des
contrôleurs de domaine virtualisés pour
les fournisseurs d'applications

Cette rubrique explique ce que les fournisseurs d’applications doivent prendre en

compte pour garantir que leur application continue de fonctionner comme prévu après
la fin du processus de clonage du contrôleur de domaine virtualisé. Il couvre les aspects
du processus de clonage qui intéressent les fournisseurs d’applications et les scénarios
susceptibles de justifier des tests supplémentaires. les fournisseurs d’applications qui
ont validé l’utilisation de leur application sur les contrôleurs de domaine virtualisés qui
ont été clonés sont encouragés à répertorier le nom de l’application dans le contenu
Community en bas de cette rubrique, ainsi qu’un lien vers le site web de votre
organisation où les utilisateurs peuvent en savoir plus sur la validation.
Vue d’ensemble du clonage de contrôleur de

courant virtuel
le processus de clonage des contrôleurs de domaine virtualisés est décrit en détail dans
Introduction à la services de domaine Active Directory (AD DS) virtualisation (niveau
100) et informations techniques de référence sur les contrôleurs de domaine virtualisés
(niveau 300). Du point de vue du fournisseur de l’application, les considérations à
prendre en compte lors de l’évaluation de l’impact du clonage sur votre application sont
les suivantes :
L’ordinateur d’origine n’est pas détruit. Il reste sur le réseau et interagit avec les
clients. Contrairement à un changement de nom dans lequel les enregistrements
DNS de l’ordinateur d’origine sont supprimés, les enregistrements d’origine du
contrôleur de domaine source sont conservés.
Pendant le processus de clonage, le nouvel ordinateur est initialement exécuté

pendant une courte période, sous l’identité de l’ancien ordinateur jusqu’à ce que le
processus de clonage soit Initié et effectue les modifications nécessaires. Les
applications qui créent des enregistrements sur l’hôte doivent s’assurer que
l’ordinateur cloné ne remplace pas les enregistrements sur l’hôte d’origine pendant
le processus de clonage.
Le clonage est une fonctionnalité de déploiement spécifique pour les contrôleurs

de domaine virtualisés uniquement, et non pour un usage général pour cloner
d’autres rôles de serveur. Certains rôles de serveur ne sont pas pris en charge pour
le clonage :
Protocole DHCP (Dynamic Host Configuration Protocol)
Services de certificats Active Directory (AD CS)
Services AD LDS (Active Directory Lightweight Directory Services)
Dans le cadre du processus de clonage, la totalité de la machine virtuelle qui

représente le contrôleur de source d’origine est copiée, de sorte que tout état de
l’application sur cette machine virtuelle est également copié. Vérifiez que
l’application s’adapte à cette modification de l’état de l’hôte local sur le contrôleur
de réseau cloné, ou si une intervention est nécessaire, comme un redémarrage du
service.
Dans le cadre du clonage, le nouveau contrôleur de périphérique obtient une

nouvelle identité d’ordinateur et provisionne lui-même en tant que contrôleur de
périphérique de réplication dans la topologie. Vérifiez si l’application dépend de
l’identité de l’ordinateur, par exemple son nom, son compte, son SID, etc.
S’adapte-t-elle automatiquement à la modification de l’identité de l’ordinateur sur
le clone ? Si cette application met en cache des données, assurez-vous qu’elle ne
s’appuie pas sur les données d’identité de l’ordinateur qui peuvent être mises en
cache.
Qu’est-ce qui est intéressant pour les

fournisseurs d’applications ?
CustomDCCloneAllowList.xml
Un contrôleur de domaine qui exécute votre application ou service ne peut pas être
cloné tant que l’application ou le service n’est pas :
ajouté au fichier CustomDCCloneAllowList.xml à l’aide de l’applet de commande

Get-ADDCCloningExcludedApplicationList Windows PowerShell
-Ou-
Supprimé du contrôleur de domaine
La première fois que l’utilisateur exécute l’applet de commande Get-

ADDCCloningExcludedApplicationList, il retourne une liste de services et d’applications
qui s’exécutent sur le contrôleur de domaine, mais qui ne figurent pas dans la liste par
défaut des services et applications pris en charge pour le clonage. Par défaut, votre
service ou votre application ne seront pas listés. Pour ajouter votre service ou
application à la liste des applications et des services qui peuvent être clonés en toute
sécurité, l’utilisateur exécute à nouveau Get-ADDCCloningExcludedApplicationList
applet de commande avec l’option-GenerateXML afin de l’ajouter au fichier
CustomDCCloneAllowList.xml. Pour plus d’informations, consultez étape 2 : exécuter
Get-ADDCCloningExcludedApplicationList applet de commande.
Interactions du système distribué

Généralement, les services isolés sur l’ordinateur local réussissent ou échouent lors de la
participation au clonage. Les services distribués doivent se préoccuper de l’utilisation
simultanée de deux instances de l’ordinateur hôte sur le réseau pendant une courte
période. Cela peut se manifester sous la forme d’une instance de service tentant
d’extraire des informations d’un système partenaire sur lequel le clone a été enregistré
en tant que nouveau fournisseur de l’identité. Ou les deux instances du service peuvent
envoyer des informations dans la base de données AD DS en même temps avec des
résultats différents. par exemple, il n’est pas déterministe de savoir à quel ordinateur
sera communiqué quand deux Windows ordinateurs sur lesquels le service WTT (test
Technologies) se trouve sur le réseau avec le contrôleur de domaine.
Pour le service serveur DNS distribué, le processus de clonage évite soigneusement le

remplacement des enregistrements DNS du contrôleur de domaine source lorsque le
contrôleur de domaine clone commence par une nouvelle adresse IP.
Vous ne devez pas compter sur l’ordinateur pour supprimer l’ancienne identité jusqu’à la
fin du clonage. Une fois que le nouveau contrôleur de domaine est promu dans le
nouveau contexte, sélectionnez les fournisseurs Sysprep exécutés pour nettoyer l’État
supplémentaire de l’ordinateur. Par exemple, c’est à ce stade que les anciens certificats
de l’ordinateur sont supprimés et les secrets de chiffrement auxquels l’ordinateur peut
accéder sont modifiés.
Le plus grand facteur qui varie le temps de clonage est le nombre d’objets à répliquer à
partir du contrôleur de domaine principal. Un média plus ancien augmente le temps
nécessaire pour effectuer le clonage.
Étant donné que votre service ou application est inconnu, il est laissé en cours
d’exécution. le processus de clonage ne modifie pas l’état des services non-Windows.
En outre, le nouvel ordinateur a une adresse IP différente de celle de l’ordinateur

d’origine. Ces comportements peuvent entraîner des effets secondaires sur votre service
ou application en fonction de la façon dont le service ou l’application se comporte dans
cet environnement.
Scénarios supplémentaires suggérés pour le

test
Échec de clonage
les fournisseurs de services doivent tester ce scénario, car lorsque le clonage échoue,
l’ordinateur démarre en mode de réparation des Services d’annuaire (DSRM), une forme
de Coffre mode. À ce stade, l’ordinateur n’a pas terminé le clonage. Certains États
peuvent avoir changé et certains États peuvent être conservés à partir du contrôleur de
domaine d’origine. Testez ce scénario pour comprendre l’impact qu’il peut avoir sur
votre application.
Pour provoquer un échec de clonage, essayez de cloner un contrôleur de domaine sans

lui accorder l’autorisation d’être cloné. Dans ce cas, l’ordinateur aura uniquement
modifié les adresses IP et aura toujours la majeure partie de son état du contrôleur de
domaine d’origine. Pour plus d’informations sur l’octroi de l’autorisation de clonage
d’un contrôleur de domaine, voir étape 1 : accorder au contrôleur de domaine virtualisé
source l’autorisation d’être cloné.
Clonage de l’émulateur PDC

Les fournisseurs de services et d’applications doivent tester ce scénario, car il y a un
redémarrage supplémentaire lorsque l’émulateur de contrôleur de domaine principal est
cloné. En outre, la majorité du clonage est effectuée sous une identité temporaire pour
permettre au nouveau clone d’interagir avec l’émulateur de contrôleur de domaine
principal pendant le processus de clonage.
Contrôleurs de domaine accessibles en écriture et en

lecture seule
Les fournisseurs de services et d’applications doivent tester le clonage en utilisant le
même type de contrôleur de domaine (autrement dit, sur un contrôleur de domaine
accessible en écriture ou en lecture seule) sur lequel le service est planifié pour
s’exécuter.
Prise en charge de l'utilisation de la
réplication Hyper-V pour les contrôleurs
de domaine virtualisés

Cette rubrique décrit la prise en charge de l'utilisation de la réplication Hyper-V pour

répliquer un ordinateur virtuel qui s'exécute en tant que contrôleur de domaine. La
réplication Hyper-V est une nouvelle fonctionnalité de la technologie Hyper-V qui fait
son apparition dans Windows Server 2012 et qui fournit un mécanisme de réplication
intégrée au niveau d'un ordinateur virtuel.
La réplication Hyper-V réplique de manière asynchrone les ordinateurs virtuels

sélectionnés d'un hôte Hyper-V principal vers l'hôte Hyper-V de réplication sur des
liaisons locales (LAN) ou étendues (WAN). Une fois la réplication initiale effectuée, les
changements qui surviennent ensuite sont répliqués selon un intervalle défini par
l'administrateur.
Le basculement peut être planifié ou non planifié. Un basculement planifié est lancé par
un administrateur sur l'ordinateur virtuel principal. Tous les changements non répliqués
sont copiés vers l'ordinateur virtuel de réplication pour éviter les pertes de données. Un
basculement non planifié est lancé sur l'ordinateur virtuel de réplication en réponse à
une défaillance inattendue de l'ordinateur virtuel principal. Il existe un risque de perte
de données, car il n'est pas possible de transmettre les changements de l'ordinateur
virtuel principal qui n'ont pas encore été répliqués.
Pour plus d’informations sur le réplica Hyper-V, consultez Vue d’ensemble de la

réplication Hyper-V et Déployer le réplica Hyper-V.
７ Notes
La réplication Hyper-V ne peut être exécutée que sur Windows Server Hyper-V. Elle
n'est pas possible sur la version d'Hyper-V qui s'exécute sur Windows 8.
Windows Server 2012 ou les contrôleurs de
domaine plus récents requis
Windows Server 2012 Hyper-V a introduit VM-GenerationID (VMGenID). VMGenID
permet à l'hyperviseur de communiquer avec le système d'exploitation invité quand des
changements importants ont lieu. Par exemple, l'hyperviseur peut communiquer avec un
contrôleur de domaine virtualisé en lui indiquant qu'une restauration de capture
instantanée a eu lieu (technologie de restauration de capture instantanée Hyper-V et
non restauration de sauvegarde). AD DS dans Windows Server 2012 et les versions
ultérieures sont conscients de la technologie de machine virtuelle VMGenID et l’utilise
pour détecter quand les opérations d’hyperviseur sont effectuées, telles que la
restauration d’instantanés, ce qui lui permet de mieux se protéger.
７ Notes
Seuls AD DS sur Windows Server 2012 DCS ou plus récents fournissent ces mesures
de sécurité résultant de VMGenID; Les contrôleurs de domaine qui exécutent toutes
les versions précédentes de Windows Server sont soumis à des problèmes tels que
la restauration USN qui peut se produire lorsqu’un contrôleur de domaine virtualisé
est restauré à l’aide d’un mécanisme non pris en charge, tel que la restauration
d’instantané. Pour plus d’informations sur ces dispositifs de protection et leur
déclenchement, consultez Architecture des contrôleurs de domaine virtualisés.
Lorsqu’un basculement de réplica Hyper-V se produit (planifié ou non), le contrôleur de

domaine virtualisé détecte une réinitialisation VMGenID, ce qui déclenche les
fonctionnalités de sécurité mentionnées ci-dessus. Le déroulement des opérations
Active Directory s'effectue ensuite normalement. L'ordinateur virtuel de réplication
s'exécute à la place de l'ordinateur virtuel principal.
７ Notes
Dans la mesure où il existe maintenant deux instances de la même identité du

contrôleur de domaine, il est possible que l'instance principale et l'instance
répliquée s'exécutent en même temps. La réplication Hyper-V dispose de
mécanismes de contrôle pour s'assurer que l'ordinateur virtuel principal et
l'ordinateur virtuel de réplication ne s'exécutent pas simultanément. Toutefois, ils
peuvent s'exécuter en même temps en cas de défaillance du lien qui les unit après
la réplication de l'ordinateur virtuel. Au cas où une telle éventualité se présenterait
(faible probabilité), les contrôleurs de domaine virtuels qui exécutent Windows
Server 2012 ont des dispositifs de protection pour AD DS, contrairement aux
contrôleurs de domaine virtuels qui exécutent des versions antérieures de Windows
Server.
Durant l’utilisation de la réplication Hyper-V, veillez à suivre les meilleures pratiques

relatives à l’exécution de contrôleurs de domaine virtuels sur Hyper-V. Vous y trouverez,
par exemple, des recommandations sur le stockage des fichiers Active Directory sur les
disques SCSI virtuels, ce qui permet de bénéficier de dispositifs de protection plus
robustes pour la pérennité des données.
Scénarios pris en charge et non pris en charge

Seules les machines virtuelles qui exécutent Windows Server 2012 ou versions
ultérieures sont prises en charge pour le basculement non planifié et pour tester le
basculement. Même pour le basculement planifié, Windows Server 2012 ou version
ultérieure est recommandé pour le contrôleur de domaine virtualisé afin d’atténuer les
risques en cas de démarrage par inadvertance d’un administrateur à la fois la machine
virtuelle principale et la machine virtuelle répliquée en même temps.
Les ordinateurs virtuels qui utilisent des versions antérieures de Windows Server sont
pris en charge pour le basculement planifié mais pas pour le basculement non planifié
en raison du risque de restauration USN. Pour plus d’informations sur la restauration
USN, consultez USN et restauration USN.
７ Notes
Il n'y a pas de conditions requises au niveau fonctionnel pour le domaine ou la

forêt. Il existe uniquement des conditions requises pour le système d'exploitation
des contrôleurs de domaine qui s'exécutent en tant qu'ordinateurs virtuels
répliqués à l'aide de la réplication Hyper-V. Les ordinateurs virtuels peuvent être
déployés dans une forêt qui contient d'autres contrôleurs de domaine physiques
ou virtuels exécutant des versions antérieures de Windows Server et pouvant être
également répliqués via la réplication Hyper-V.
Cette déclaration de prise en charge est basée sur les tests effectués dans une forêt à
domaine unique. Toutefois, les configurations de forêts à plusieurs domaines sont
également prises en charge. Pour ces tests, les contrôleurs de domaine virtualisés DC1
et DC2 sont des partenaires de réplication Active Directory situés dans le même site,
hébergés sur un serveur qui exécute Hyper-V sur Windows Server 2012. La réplication
Hyper-V est activée sur l'ordinateur virtuel invité qui exécute le contrôleur de domaine
DC2. Le serveur de réplication est hébergé dans un autre centre de données
géographiquement distant. Pour faciliter la description des processus de cas de test ci-
dessous, l'ordinateur virtuel qui s'exécute sur le serveur de réplication est appelé DC2-
Rec (bien qu'en pratique, il conserve le même nom que l'ordinateur virtuel d'origine).
Windows Server 2012
Le tableau suivant donne des explications sur la prise en charge des contrôleurs de
domaine virtualisés qui exécutent Windows Server 2012 et les cas de test.
Basculement planifié. Basculement non planifié
Prise en charge Prise en charge
Cas de test : Le cas de test est le même

- DC1 et DC2 sont en cours d’exécution Windows Server 2012. que pour un basculement
planifié, avec les exceptions
- DC2 est arrêté et un basculement est effectué sur DC2-Rec. Le suivantes :
basculement peut être planifié ou non planifié. - Toutes les mises à jour AD
reçues sur DC2, mais pas
- Une fois DC2-Rec démarrée, elle vérifie si la valeur de VMGenID
encore répliquées par AD vers
qu’elle a dans sa base de données est identique à celle du pilote
un partenaire de réplication
de machine virtuelle enregistrée par le serveur réplica Hyper-V.
avant que l’événement de
- Par conséquent, DC2-Rec déclenche des protections de basculement ne soit perdu.
virtualisation; en d’autres termes, il réinitialise son InvocationID,
- Les mises à jour AD reçues
ignore son pool RID et définit une exigence de synchronisation
sur DC2 après le temps du
initiale avant de supposer un rôle maître d’opérations. Pour plus
point de récupération qui ont
d'informations sur les conditions requises par la synchronisation
été répliqués par AD vers DC1
initiale, voir l'article correspondant.
seront répliquées de DC1 vers
- DC2-Rec enregistre ensuite la nouvelle valeur de VMGenID DC2-Rec.
dans sa base de données et valide toutes les mises à jour
suivantes dans le contexte du nouvel InvocationID.
- Suite à la réinitialisation de l’InvocationID, DC1 converge sur

toutes les modifications AD introduites par DC2-Rec même si elle
a été restaurée dans le temps, ce qui signifie que toutes les mises
à jour AD effectuées sur DC2-Rec après le basculement
convergent en toute sécurité
Windows Server 2008 R2 et les versions antérieures

Le tableau suivant donne des explications sur la prise en charge des contrôleurs de
domaine virtualisés qui exécutent Windows Server 2008 R2 et les versions antérieures.

Pris en charge mais non recommandé, car les contrôleurs de Non prise en charge
domaine qui exécutent ces versions de Windows Server ne Note: Le basculement non planifié
prennent pas en charge VMGenID ou n'utilisent pas les serait pris en charge lorsque la
dispositifs de protection de virtualisation associés. Cela les restauration USN n’est pas un
expose aux risques liés à la restauration USN. Pour plus risque, tel qu’un seul contrôleur de
d’informations, consultez USN et restauration USN. domaine dans la forêt (une
configuration qui n’est pas
recommandée).
Cas de test : N/A

- DC1 et DC2 exécutent Windows Server 2008 R2.
- DC2 est arrêté et un basculement planifié est effectué sur

DC2-Rec. Toutes les données sur DC2 sont répliquées sur
DC2-Rec avant la fin de l’arrêt.
- Une fois DC2-Rec démarrée, elle reprend la réplication

avec DC1 à l’aide du même ID d’appel que DC2.
Service de temps Windows

Windows Server 2012 R2, Windows Server 2012, Windows 10 ou version ultérieure
Contenu de ce guide
Sources d’information traitant de la configuration du service de temps Windows

Qu’est-ce que le service de temps Windows ?
Importance des protocoles de temps
Fonctionnement du service de temps Windows
Paramètres et outils du service de temps Windows
７ Notes
Dans Windows Server 2003 et Microsoft Windows 2000 Server, le service d’annuaire

se nomme service d’annuaire Active Directory. Dans Windows Server 2008 R2 et
Windows Server 2008, le service d’annuaire est nommé services de domaine Active
Directory (AD DS). Le reste de cette rubrique fait référence aux services AD DS, mais
les informations sont également applicables à Active Directory Domain Services
dans Windows Server 2016.
Le service de temps Windows, également appelé W32Time, synchronise la date et

l’heure de tous les ordinateurs s’exécutant dans un domaine AD DS. La synchronisation
de l’heure est essentielle au bon fonctionnement de nombreux services Windows et
applications métier. Le service de temps Windows utilise le protocole NTP (Network
Time Protocol) pour synchroniser les horloges des ordinateurs du réseau de sorte
qu’une valeur d’horloge exacte, ou horodatage, puisse être affectée aux demandes de
validation réseau et aux demandes d’accès aux ressources. Le service intègre NTP et des
fournisseurs de temps, ce qui en fait un service de temps fiable et scalable pour les
administrateurs d’entreprise.
） Important
Avant Windows Server 2016, le service W32Time n’était pas conçu pour répondre
aux besoins des applications sensibles au facteur temps. Cependant, les mises à
jour apportées à Windows Server 2016 vous permettent désormais d’implémenter
une solution pour une précision de 1 ms dans votre domaine. Pour plus
d’informations, consultez Windows limite de temps et de prise en charge 2016pour
configurer le service de temps Windows pour des environnements haute
précision.
Sources d’information traitant de la

configuration du service de temps Windows
Ce guide n’aborde pas la question de la configuration du service de temps Windows. Il
existe sur Microsoft TechNet et dans la Base de connaissances Microsoft plusieurs
rubriques qui décrivent les procédures de configuration du service de temps Windows.
Si vous avez besoin d’informations sur la configuration, les rubriques suivantes devraient
vous aider à trouver les informations nécessaires.
Pour configurer le service de temps Windows pour l’émulateur de contrôleur de

domaine principal (PDC) racine de forêt, consultez :
Configurer le service de temps Windows sur l’émulateur PDC du domaine racine

de forêt
Configuration d’une source de temps pour la forêt
L’article 816042 de la Base de connaissances Microsoft, Configuration d’un

serveur de temps de référence dans Windows Server, qui décrit les paramètres
de configuration pour les ordinateurs exécutant Windows Server 2008 R2,
Windows Server 2008, Windows Server 2003 et Windows Server 2003 R2.
Pour configurer le service de temps Windows sur un client ou un serveur membre

de domaine, ou même sur des contrôleurs de domaine qui ne sont pas configurés
en tant qu’émulateur PDC de racine de forêt, consultez Configurer un ordinateur
client pour la synchronisation automatique de l’heure du domaine.
２ Avertissement
Certaines applications peuvent exiger l’utilisation de services de temps de

grande précision sur l’ordinateur. Dans ce cas, vous pouvez choisir de
configurer une source de temps manuelle, tout en sachant que le service de
temps Windows n’a pas été conçu pour fonctionner comme une source de
temps hautement précise. Veillez à prendre connaissance des limitations de
prise en charge pour les environnements exigeant une grande précision
d’heure, comme décrit dans l’article 939322 de la Base de connaissances
Microsoft, Limite de prise en charge pour configurer le service de temps
Windows pour les environnements à haute précision.
Pour configurer le service de temps Windows sur des ordinateurs clients ou

serveurs Windows configurés comme membres de groupe de travail et non
comme membres de domaine, consultez Configurer une source de temps
manuelle pour un ordinateur client sélectionné.
Pour configurer le service de temps Windows sur un ordinateur hôte qui exécute
un environnement virtuel, consultez l’article 816042 de la Base de connaissances
Microsoft, Configuration d’un serveur de temps de référence dans Windows Server.
Si vous utilisez un produit de virtualisation non-Microsoft, veillez à consulter la
documentation de l’éditeur de ce produit.
Pour configurer le service de temps Windows sur un contrôleur de domaine qui

s’exécute dans une machine virtuelle, il est recommandé de désactiver
partiellement la synchronisation de l’heure entre le système hôte et le système
d’exploitation invité jouant le rôle de contrôleur de domaine. Cela permet à votre
contrôleur de domaine invité de synchroniser l’heure pour la hiérarchie de
domaines, mais cela lui évite de subir un décalage horaire s’il est restauré à partir
d’un état enregistré. Pour plus d’informations, consultez l’article 976924 de la Base
de connaissances Microsoft, Vous recevez les ID d’événement 24, 29 et 38 du
service de temps Windows sur un contrôleur de domaine virtualisé qui s’exécute
sur un serveur hôte basé sur Windows Server 2008 avec Hyper-V et Considérations
sur le déploiement pour les contrôleurs de domaine virtualisés.
Pour configurer le service de temps Windows sur un contrôleur de domaine jouant

le rôle d’émulateur PDC de racine de forêt qui s’exécute également dans un
ordinateur virtuel, suivez les mêmes instructions que pour un ordinateur physique
décrites dans Configurer le service de temps Windows sur l’émulateur PDC du
domaine racine de forêt.
Pour configurer le service de temps Windows sur un serveur membre qui s’exécute
en tant qu’ordinateur virtuel, utilisez la hiérarchie temporelle du domaine comme
décrit dans Configurer un ordinateur client pour la synchronisation automatique
de l’heure du domaine.
Qu’est-ce que le service de temps Windows ?

Le service de temps Windows (W32Time) assure la synchronisation de l’horloge réseau
pour les ordinateurs sans nécessiter de configuration étendue.
Le service le temps Windows est essentiel au bon fonctionnement de l’authentification
Kerberos version 5 et donc de l’authentification AD DS. Toute application prenant en
charge Kerberos, ce qui inclut la plupart des services de sécurité, repose sur la
synchronisation de l’heure entre les ordinateurs qui participent à la demande
d’authentification. Les horloges des contrôleurs de domaine AD DS doivent aussi être
synchronisées pour garantir la réplication correcte des données.
Le service de temps Windows est implémenté dans une bibliothèque de liens

dynamiques appelée W32Time.dll. W32Time.dll est installé par défaut dans le dossier
%Systemroot%\System32 pendant la configuration et l’installation du système
d’exploitation.
W32Time.dll a été développé à l’origine pour Windows 2000 Server de façon à prendre

en charge une spécification du protocole d’authentification Kerberos V5 qui exigeait la
synchronisation des horloges d’un réseau. Dès Windows Server 2003, W32Time.dll a
offert une synchronisation des horloges réseau plus précise par rapport au système
d’exploitation Windows Server 2000. De plus, il a pris en charge une grande diversité
d’appareils et de protocoles de temps réseau au moyen de fournisseurs de temps. Bien
que conçues à l’origine pour assurer la synchronisation des horloges pour
l’authentification Kerberos, de nombreuses applications actuelles utilisent des
horodatages pour garantir la cohérence transactionnelle, enregistrer l’heure des
événements importants et d’autres informations critiques pour l’entreprise et sensibles
au facteur temps. Ces applications bénéficient de la synchronisation de l’heure entre les
ordinateurs assurée par le service de temps Windows.
Importance des protocoles de temps

Les protocoles de temps établissent une communication entre deux ordinateurs pour
échanger les informations d’heure dont ils se servent pour synchroniser leurs horloges.
Avec le protocole de temps du service de temps Windows, un client demande les
informations d’heure à un serveur et synchronise son horloge en fonction des
informations qu’il reçoit.
Le service de temps Windows utilise NTP pour permettre la synchronisation de l’heure

sur un réseau. NTP est un protocole de temps Internet qui comprend les algorithmes de
discipline nécessaires à la synchronisation des horloges. Ce protocole de temps est plus
précis que SNTP (Simple Network Time Protocol) qui est utilisé dans certaines versions
de Windows. Cependant, W32Time continue de prendre en charge SNTP pour permettre
une compatibilité descendante avec les ordinateurs qui exécutent des services de temps
SNTP, comme Windows 2000.
Voir aussi
Fonctionnement du service de temps WindowsParamètres et outils du service de temps
WindowsArticle 902229 de la Base de connaissances Microsoft
Planification et conception des services
AD DS

En déployant Windows Server Active Directory Domain Services (AD DS) dans votre
environnement, vous pouvez tirer parti de la fonctionnalité de modèle d’administration
déléguée centralisée et d’authentification unique (SSO) qu’AD DS fournit. Après avoir
identifié les tâches de déploiement et l’environnement actuel de votre organisation,
vous créez la stratégie de déploiement d’AD DS qui répond aux besoins de votre
organisation.
À propos de ce guide
Ce guide fournit des recommandations pour vous aider à développer une stratégie de
déploiement d’AD DS conforme aux besoins de votre organisation et à la conception de
votre choix. Ce guide est destiné aux spécialistes des infrastructures ou aux architectes
système. Avant de lire ce guide, vous devez avoir une bonne compréhension du
fonctionnement d’AD DS au niveau fonctionnel. Vous devez également avoir une bonne
compréhension des besoins organisationnels que votre stratégie de déploiement d’AD
DS doit prendre en compte.
Ce guide décrit les ensembles de tâches à effectuer pour plusieurs points de départ
possibles d’un déploiement d’AD DS sous Windows Server 2008. Le guide vous aide à
déterminer la stratégie de déploiement la plus appropriée pour votre environnement.
Bien que les stratégies présentées dans ce guide soient appropriées pour presque tous
les déploiements de systèmes d’exploitation de serveur, elles ont été testées et validées
spécifiquement pour les environnements qui contiennent moins de 100 000 utilisateurs
et moins de 1 000 sites, avec des connexions réseau d’au moins 28,8 kilobits par
seconde (Kbits/s). Si votre environnement ne répond pas à ces critères, envisagez de
faire appel à un cabinet de conseil qui a de l’expérience dans le déploiement d’AD DS
dans des environnements plus complexes.
Pour plus d’informations sur le test du processus de déploiement d’AD DS, consultez
l’article Test et vérification du processus de déploiement.
Contenu de ce guide
Présentation de la conception AD DS
Identification des exigences en matière de conception et de déploiement AD DS
Mappage de vos besoins à une stratégie de déploiement AD DS
Conception de la structure logique pour AD DS sous Windows Server 2008
Conception de la topologie du site pour AD DS sous Windows Server 2008
Activation des fonctionnalités avancées pour AD DS
Évaluation des exemples de stratégies de déploiement AD DS
Annexe A : Révision des principaux termes relatifs à AD DS

Présentation de la conception des
services AD DS

les organisations peuvent utiliser Active Directory Domain Services (AD DS) dans
Windows Server pour simplifier la gestion des utilisateurs et des ressources tout en
créant des infrastructures évolutives, sécurisées et gérables. vous pouvez utiliser AD DS
pour gérer votre infrastructure réseau, notamment les environnements de succursales,
de Microsoft Exchange Server et de forêts multiples.
Un projet de déploiement AD DS implique trois phases : une phase de conception, une

phase de déploiement et une phase d’opérations. Pendant la phase de conception,
l’équipe de conception crée une conception pour la structure logique AD DS qui répond
le mieux aux besoins de chaque division de l’organisation qui utilisera le service
d’annuaire. Une fois la conception approuvée, l’équipe de déploiement teste la
conception dans un environnement Lab, puis implémente la conception dans
l’environnement de production. Étant donné que les tests sont effectués par l’équipe de
déploiement et qu’elle affecte potentiellement la phase de conception, il s’agit d’une
activité intermédiaire qui chevauche à la fois la conception et le déploiement. Une fois le
déploiement terminé, l’équipe d’exploitation est responsable de la gestion du service
d’annuaire.
bien que les stratégies de conception et de déploiement de Windows Server AD DS

présentées dans ce guide s’appuient sur des tests de laboratoire et de programme
pilote étendus et une implémentation réussie dans les environnements clients, vous
devrez peut-être personnaliser votre conception et votre déploiement AD DS pour
mieux répondre à des environnements spécifiques et complexes.
pour plus d’informations sur le déploiement de AD DS dans un environnement de

succursale, consultez le Guide de planification des Office de contrôleur de domaine
en lecture seule (RODC).
pour plus d’informations sur le déploiement de AD DS dans un environnement
Exchange, consultez l’article Active Directory dans Exchange Server organisations.
pour plus d’informations sur le déploiement de AD DS dans un environnement à
plusieurs forêts, consultez l’article considérations sur les forêts multiples dans
Windows 2000 et Windows Server 2003.
Identification des exigences en matière
de conception et de déploiement des
services AD DS

Effectuer une évaluation de haut niveau de votre environnement actuel et identifier

correctement vos tâches de déploiement de Active Directory Domain Services (AD DS)
est essentiel pour la réussite de votre stratégie de déploiement AD DS.
Votre stratégie de déploiement de AD DS dépend de votre configuration réseau

existante. par exemple, si votre organisation exécute actuellement Windows server 2003,
vous pouvez mettre à niveau votre système d’exploitation vers Windows server 2008.
Votre processus de déploiement peut impliquer la restructuration des domaines
existants, soit au sein d’une forêt Active Directory, soit entre Active Directory forêts. vous
devrez peut-être restructurer vos domaines existants après avoir déployé Windows
Server 2008 AD DS ou après des modifications organisationnelles ou des acquisitions de
l’entreprise.
Exigences en matière de conception AD DS
Exigences en matière de déploiement AD DS

Exigences en matière de conception des
services AD DS
Article • 11/04/2023

Conception de la structure logique d'Active

Directory
Avant de déployer Windows Server 2008 Active Directory Domain Services (AD DS), vous
devez planifier et concevoir la structure logique AD DS pour votre environnement. La
structure logique AD DS détermine la façon dont vos objets d’annuaire sont organisés et
fournit une méthode efficace pour gérer vos comptes réseau et les ressources
partagées. Lorsque vous concevez votre structure logique AD DS, vous définissez une
partie importante de l’infrastructure réseau de votre organisation.
Pour concevoir la structure logique AD DS, déterminez le nombre de forêts dont votre
organisation a besoin, puis créez des conceptions pour les domaines, l’infrastructure
DNS (Domain Name System) et les unités organisationnelles (OUs). L’illustration suivante
montre le processus de conception de la structure logique.
Pour plus d’informations, consultez Conception de la structure logique pour Windows
Server 2008 AD DS.

Après avoir conçu la structure logique de votre infrastructure AD DS, vous devez
concevoir la topologie de site pour votre réseau. La topologie de site est une
représentation logique de votre réseau physique. Il contient des informations sur
l’emplacement des sites AD DS, les contrôleurs de domaine AD DS au sein de chaque
site et les liens de site et ponts de liens de site qui prennent en charge la réplication AD
DS entre les sites. L’illustration suivante montre le processus de conception de la
topologie de site.
Pour plus d’informations, consultez Conception de la structure logique pour Windows

Server 2008 AD DS.
Planification de la capacité des contrôleurs de

domaine
Pour garantir des performances AD DS efficaces, vous devez déterminer le nombre
approprié de contrôleurs de domaine pour chaque site et vérifier qu’ils répondent aux
exigences matérielles pour Windows Server 2008. Une planification minutieuse de la
capacité de vos contrôleurs de domaine garantit que vous ne sous-estimez pas la
configuration matérielle requise, ce qui peut entraîner des performances médiocres du
contrôleur de domaine et un temps de réponse des applications. L’illustration suivante
montre le processus de planification de la capacité du contrôleur de domaine.
Activation des fonctionnalités avancées d’AD

DS de Windows Server 2008
Vous pouvez utiliser Windows Server 2008 AD DS pour introduire des fonctionnalités
avancées dans votre environnement en augmentant le niveau fonctionnel du domaine
ou de la forêt. Vous pouvez augmenter le niveau fonctionnel vers Windows Server 2008
lorsque tous les contrôleurs de domaine du domaine ou de la forêt exécutent Windows
Server 2008.
Pour plus d’informations, consultez Activation des fonctionnalités avancées pour AD DS.
Exigences en matière de déploiement
des services AD DS

La structure de votre environnement existant détermine votre stratégie de déploiement

d’AD DS sous Windows Server 2008. Si vous créez un environnement AD DS et que vous
n’avez pas de structure de domaine existante, terminez votre conception AD DS avant
de commencer à créer votre environnement AD DS. Vous pouvez ensuite déployer un
nouveau domaine racine de forêt et déployer le reste de votre structure de domaine en
fonction de votre conception.
De plus, dans le cadre de votre déploiement AD DS, vous pouvez décider de mettre à
niveau et de restructurer votre environnement. Par exemple, si votre organisation a une
structure de domaine Windows 2000 existante, vous pouvez effectuer une mise à niveau
sur place de certains domaines et en restructurer d’autres. En outre, vous pouvez
décider de réduire la complexité de votre environnement en restructurant des domaines
entre des forêts ou en restructurant des domaines au sein d’une forêt après le
déploiement d’AD DS.
Déploiement d’un domaine racine de forêt

Windows Server 2008
Le domaine racine de forêt fournit la base de votre infrastructure de forêt AD DS. Pour
déployer AD DS, vous devez d’abord déployer un domaine racine de forêt. Pour ce faire,
vous devez passer en revue votre conception AD DS, configurer le service DNS pour le
domaine racine de forêt, créer le domaine racine de forêt, qui consiste à déployer des
contrôleurs de domaine racine de forêt, à configurer la topologie de site pour le
domaine racine de forêt et à configurer des rôles de maître d’opérations (également
appelés opérations de maître unique flexibles ou FSMO) et augmenter les niveaux
fonctionnels de la forêt et du domaine. L’illustration suivante montre le processus global
de déploiement d’un domaine racine de forêt.
Pour plus d’informations, consultez Déploiement d’un domaine racine de forêt Windows
Server 2008.
Déploiement de domaines régionaux Windows

Server 2008
Une fois le déploiement du domaine racine de forêt terminé, vous êtes prêt à déployer
tous les nouveaux domaines régionaux Windows Server 2008 spécifiés par votre
conception. Pour ce faire, vous devez déployer des contrôleurs de domaine pour chaque
domaine régional. L’illustration suivante montre le processus de déploiement de
domaines régionaux.
Pour plus d’informations, consultez Déploiement de domaines régionaux Windows
Server 2008.
Mise à niveau de domaines Active Directory

vers Windows Server 2008
La mise à niveau de vos domaines Windows 2000 ou Windows Server 2003 vers des
domaines Windows Server 2008 est un moyen simple et efficace de tirer parti des
fonctionnalités supplémentaires de Windows Server 2008. Vous pouvez mettre à niveau
des domaines pour maintenir votre réseau actuel et votre configuration de domaine
tout en améliorant la sécurité, la scalabilité et la facilité de gestion de votre
infrastructure réseau. La mise à niveau de Windows 2000 ou Windows Server 2003 vers
Windows Server 2008 nécessite une configuration réseau minimale. La mise à niveau a
également peu d’impact sur les opérations utilisateur. Pour en savoir plus, consultez
Mise à niveau de domaines Active Directory vers des domaines AD DS Windows
Server 2008 et Windows Server 2008 R2.
Restructuration des domaines AD DS

Lorsque vous restructurez des domaines entre des forêts Windows Server 2008
(restructuration inter forêts), vous pouvez réduire le nombre de domaines dans votre
environnement et, par conséquent, réduire la complexité et la surcharge administratives.
Lorsque vous migrez des objets entre des forêts dans le cadre de ce processus de
restructuration, les environnements de domaine source et de domaine cible existent
simultanément. Cela vous permet de restaurer l’environnement source pendant la
migration, si nécessaire.
Lorsque vous restructurez des domaines Windows Server 2008 au sein d’une forêt
Windows Server 2008 (restructuration intra forêt), vous pouvez consolider votre
structure de domaine et donc réduire la complexité et la surcharge administratives.
Lorsque vous restructurez des domaines au sein d’une forêt, les comptes migrés
n’existent plus dans le domaine source.
Pour plus d’informations sur l’utilisation de l’outil de migration Active Directory (ADMT)
version 3.1 (ADMT v3.1) pour restructurer des domaines, consultez Guide ADM :
Migration et restructuration des domaines Active Directory.
Mappage de vos besoins à une stratégie
de déploiement des services AD DS

Une fois que vous avez examiné et identifié les exigences de conception et de
déploiement de Active Directory Domain Services (AD DS) et que vous déterminez celles
qui sont liées à votre déploiement spécifique, vous pouvez mapper ces exigences à une
stratégie de déploiement de AD DS spécifique.
Utilisez le tableau suivant pour déterminer quelle AD DS stratégie de déploiement

correspond à la combinaison appropriée de AD DS exigences de conception et de
déploiement pour votre organisation. (« Oui » signifie qu’une exigence spécifique est
nécessaire pour votre stratégie de déploiement ; « Non » signifie qu’une exigence
spécifique n’est pas nécessaire pour votre stratégie de déploiement.)
Ce tableau se rapporte uniquement aux trois principales stratégies de déploiement AD

DS, comme décrit dans ce guide :
Déploiement d’AD DS dans une nouvelle organisation
Déploiement d’AD DS dans une organisation Windows Server 2003
Déploiement d’AD DS dans une organisation Windows 2000
Toutefois, vous pouvez créer une stratégie de déploiement AD DS hybride ou

personnalisé à l’aide de n’importe quelle combinaison des AD DS exigences de
conception et de déploiement pour répondre aux besoins de votre organisation.
Exigences Déploiement des services Déploiement des Déploiement des

relatives à la AD DS dans une nouvelle services AD DS dans services AD DS dans
conception et organisation une organisation une organisation
au Windows Windows 2000
déploiement Server 2003
de AD DS
de AD DS
conception de Oui Oui Oui

la Structure
logique pour
Windows
Server 2008
AD DS
conception de Oui Oui Oui

la topologie
de Site pour
Windows
Server 2008
AD DS
Planification Oui Oui Oui

de la capacité
des
contrôleurs de
domaine
déploiement Oui Non Non

d’un domaine
racine de forêt
Windows
Server 2008
déploiement Oui Oui Oui

des domaines
régionaux
Windows
Server 2008
Activation des Oui oui, mais tous les oui, mais tous les
fonctionnalités contrôleurs de contrôleurs de
avancées pour domaine de domaine de
AD DS l’environnement l’environnement
doivent exécuter doivent exécuter
Windows server 2008 Windows server 2008
avant de définir le avant de définir le
niveau fonctionnel du niveau fonctionnel du
domaine ou de la domaine ou de la
forêt sur Windows forêt sur Windows
server 2008. server 2008.
de AD DS
mise à niveau Non Oui Oui

des domaines
de Active
Directory vers
les domaines
Windows
server 2008 et
Windows
server 2008 R2
AD DS
Guide de oui, si vous souhaitez migrer oui, si vous souhaitez oui, si vous souhaitez
l’outil ADMT : un domaine pilote dans votre fusionner avec une fusionner avec une
migration et environnement de autre organisation et autre organisation et
restructuration production, effectuer une consolider les deux consolider les deux
de Active fusion avec une autre infrastructures infrastructures
Directory organisation et consolider les informatiques ou informatiques ou
domaines deux infrastructures consolider les consolider les
informatiques, ou consolider domaines de domaines de
les domaines de ressources et ressources et de ressources et de
de comptes que vous avez comptes que vous comptes que vous
mis à niveau en place à partir avez mis à niveau en avez mis à niveau en
des environnements place à partir des place à partir des
Windows 2000 ou Windows environnements environnements
Server 2003. Windows 2000 ou Windows 2000 ou
Windows Server 2003. Windows Server 2003.
Guide de Non Oui, si vous devez Oui, si vous devez

l’outil ADMT : réduire le nombre de réduire le nombre de
migration et domaines, réduire le domaines, réduire le
restructuration trafic de réplication et trafic de réplication et
de Active la quantité la quantité
Directory d’administration d’administration
domaines utilisateur et de utilisateur et de
groupe requise, ou groupe requise, ou
simplifier simplifier
l’administration de l’administration de
stratégie de groupe. stratégie de groupe.
Déploiement des services AD DS dans
une nouvelle organisation
Article • 14/04/2023

La préparation minutieuse de votre conception Active Directory Domain Services

(AD DS) est essentielle pour un déploiement rentable. Si votre environnement réseau
fonctionne actuellement sans service d’annuaire, élaborez une conception complète de
votre structure logique AD DS avant de déployer AD DS. Vous pouvez ensuite déployer
un nouveau domaine racine de forêt et déployer le reste de votre structure de domaine
en fonction de votre conception.
L’illustration suivante montre les étapes de déploiement d’AD DS pour Windows

Server 2008 dans un environnement réseau qui s’exécute actuellement sans service
d’annuaire.
Afin d’obtenir la liste des tâches détaillées que vous pouvez utiliser pour planifier et
déployer AD DS dans une nouvelle organisation, consultez Check-list : Déploiement
d’AD DS dans une nouvelle organisation.
une organisation Windows Server 2003

Si votre organisation exécute actuellement Windows Server 2003 Active Directory, vous
pouvez déployer Windows Server 2008 Active Directory Domain Services (AD DS) en
effectuant une mise à niveau sur place de tout ou partie des systèmes d’exploitation de
vos contrôleurs de domaine vers Windows Server 2008 ou en introduisant des
contrôleurs de domaine exécutant Windows Server 2008 dans votre environnement.
Avant de pouvoir ajouter un contrôleur de domaine exécutant Windows Server 2008 à

un domaine Active Directory Windows Server 2003 existant, vous devez exécuter
adprep, un outil en ligne de commande. Adprep étend le schéma AD DS, met à jour les
descripteurs de sécurité par défaut des objets sélectionnés et ajoute de nouveaux objets
répertoire, comme requis par certaines applications. Adprep est disponible sur le disque
d’installation de Windows Server 2008 (\sources\adprep\adprep.exe). Pour plus
d’informations, voir Adprep.
L’illustration suivante montre les étapes de déploiement de Windows Server 2008 AD DS

dans un environnement réseau qui exécute actuellement Windows Server 2003 Active
Directory.
７ Notes
Si vous souhaitez définir le niveau fonctionnel du domaine ou de la forêt sur

Windows Server 2008 , tous les contrôleurs de domaine de votre environnement
doivent exécuter le système d’exploitation Windows Server 2008.
La consolidation des domaines de ressources et des domaines de compte mis à niveau

sur place à partir d’un environnement Windows Server 2003 dans le cadre de votre
déploiement de Windows Server 2008 AD DS peut nécessiter une restructuration de
domaine interforest ou intraforest. La restructuration des domaines AD DS entre les
forêts vous permet de réduire la complexité de la représentation de votre organisation
dans AD DS et de réduire les coûts administratifs associés. La restructuration des
domaines AD DS au sein d’une forêt vous permet de réduire la surcharge administrative
de votre organisation en réduisant le trafic de réplication, en réduisant la quantité
d’administration des utilisateurs et des groupes requise et en simplifiant l’administration
de stratégie de groupe. Pour plus d’informations, voir le Guide ADMT : migration et
restructuration de domaines Active Directory.
Pour obtenir la liste des tâches détaillées que vous pouvez utiliser pour planifier et
déployer AD DS dans une organisation qui exécute Windows Server 2003 Active
Directory, consultez Liste de contrôle : déploiement d’AD DS dans une organisation
une organisation Windows 2000

Si votre organisation exécute actuellement Windows 2000 Active Directory, vous pouvez

déployer Windows Server 2008 Active Directory Domain Services (AD DS) en effectuant
une mise à niveau sur place de tout ou partie des systèmes d’exploitation de vos
contrôleurs de domaine vers Windows Server 2008 ou en introduisant des contrôleurs
de domaine exécutant Windows Server 2008 dans votre environnement.
Avant de pouvoir ajouter un contrôleur de domaine exécutant Windows Server 2008 à

un domaine Windows 2000 Active Directory existant, vous devez exécuter adprep, un
outil en ligne de commande. Adprep étend le schéma AD DS, met à jour les descripteurs
de sécurité par défaut des objets sélectionnés et ajoute de nouveaux objets annuaire,
comme exigé par certaines applications. Adprep est disponible sur le disque
d’installation de Windows Server 2008 (\sources\adprep\adprep.exe). Pour plus
d’informations, consultez Adprep.
７ Notes
Si vous voulez effectuer une mise à niveau sur place d’un contrôleur de domaine
Windows 2000 AD DS existant vers Windows Server 2008, vous devez d’abord
mettre à niveau le serveur vers Windows Server 2003, puis le mettre à niveau vers
L’illustration suivante montre les étapes de déploiement de Windows Server 2008 AD DS

dans un environnement réseau qui exécute actuellement Windows 2000 Active
Directory.
７ Notes
Si vous souhaitez définir le niveau fonctionnel du domaine ou de la forêt sur

Windows Server 2008, tous les contrôleurs de domaine de votre environnement
doivent exécuter le système d’exploitation Windows Server 2008.
La consolidation des domaines de ressource et de compte mis à niveau sur place à partir
d’un environnement Windows 2000 dans le cadre de votre déploiement de Windows
Server 2008 AD DS peut nécessiter une restructuration de domaines entre les forêts
(interforêt) ou au sein d’une forêt (intraforêt). La restructuration des domaines AD DS
entre les forêts vous permet de réduire la complexité de votre organisation et les coûts
administratifs associés. La restructuration des domaines AD DS au sein d’une forêt vous
permet de réduire la surcharge administrative de votre organisation en réduisant le
trafic de réplication, en réduisant la quantité d’administration des utilisateurs et groupes
nécessaire et en simplifiant l’administration de la stratégie de groupe. Pour plus
d’informations, consultez Guide ADMT : migration et restructuration de domaines Active
Directory.
Pour obtenir la liste des tâches détaillées que vous pouvez utiliser pour planifier et
déployer AD DS dans une organisation qui exécute actuellement Windows 2000 Active
Directory, consultez Check-list : Déploiement d’AD DS dans une organisation
Windows 2000.
Conception de la structure logique

Active Directory Domain Services (AD DS) permet aux organisations de créer une
infrastructure évolutive, sécurisée et gérable pour la gestion des utilisateurs et des
ressources. Il leur permet également de prendre en charge les applications compatibles
avec l’annuaire.
Une structure logique Active Directory bien conçue offre les avantages suivants :
gestion simplifiée des réseaux Microsoft Windows qui contiennent un grand

nombre d’objets
Une structure de domaine consolidée et des coûts d’administration réduits
La possibilité de déléguer le contrôle administratif sur les ressources, le cas

échéant
Impact réduit sur la bande passante réseau
Partage de ressources simplifié
Performances de recherche optimales
Faible coût total de possession
Une structure logique Active Directory bien conçue facilite l’intégration efficace de telles
fonctionnalités comme stratégie de groupe ; verrouillage des postes de travail
distribution de logiciels ; et l’administration des utilisateurs, des groupes, des stations de
travail et des serveurs dans votre système. en outre, une structure logique
soigneusement conçue facilite l’intégration des applications et services microsoft et
non-microsoft, tels que Microsoft Exchange Server, l’infrastructure à clé publique (PKI) et
un système de fichiers dfs (distributed file system) basé sur un domaine.
Lorsque vous concevez une structure logique Active Directory avant de déployer AD DS,
vous pouvez optimiser votre processus de déploiement pour tirer le meilleur parti des
fonctionnalités de Active Directory. Pour concevoir la structure logique Active Directory,
votre équipe de conception identifie d’abord les exigences de votre organisation et, en
fonction de ces informations, décide où placer les limites de forêt et de domaine.
L’équipe de conception décide ensuite comment configurer l’environnement DNS
(Domain Name System) pour répondre aux besoins de la forêt. Enfin, l’équipe de
conception identifie la structure de l’unité d’organisation (UO) qui est requise pour
déléguer la gestion des ressources dans votre organisation.
Contenu de ce guide
Fonctionnement du modèle logique Active Directory
Identification des participants au projet de déploiement
Création d’une conception de forêt
Création d’une conception de domaine
Création d’une conception d’infrastructure DNS
Création d’une conception d’unité d’organisation
Annexe A : inventaire DNS

Présentation du modèle logique Active
Directory

La conception de votre structure logique pour Active Directory Domain Services (AD DS)
implique la définition des relations entre les conteneurs dans votre répertoire. Ces
relations peuvent reposer sur des exigences administratives, telles que la délégation
d’autorité, ou elles peuvent être définies par des exigences opérationnelles, telles que la
nécessité de contrôler la réplication.
Avant de concevoir votre structure logique Active Directory, il est important de

comprendre le modèle logique Active Directory. AD DS est une base de données
distribuée qui stocke et gère des informations sur les ressources réseau, ainsi que des
données spécifiques à l’application à partir d’applications compatibles avec l’annuaire.
AD DS permet aux administrateurs d’organiser les éléments d’un réseau (tels que les
utilisateurs, les ordinateurs et les périphériques) en une structure hiérarchique de type
contenant-contenu. Le conteneur de niveau supérieur est la forêt. Dans, les forêts sont
des domaines et les domaines sont des unités d’organisation (UO). C’est ce que l’on
appelle le modèle logique, car il est indépendant des aspects physiques du déploiement,
tels que le nombre de contrôleurs de domaine requis au sein de chaque topologie de
domaine et de réseau.
Forêt Active Directory

Une forêt est un regroupement d’un ou de plusieurs domaines Active Directory qui
partagent une structure logique commune, un schéma d’annuaire (définitions de classes
et d’attributs), une configuration d’annuaire (informations de site et de réplication) et un
catalogue global (fonctionnalités de recherche à l’échelle de la forêt). Les domaines de
la même forêt sont automatiquement liés avec des relations d’approbation transitive
bidirectionnelle.
Domaine Active Directory

Un domaine est une partition dans une forêt Active Directory. Le partitionnement des
données permet aux organisations de répliquer les données uniquement à l’endroit où
elles sont nécessaires. De cette façon, le répertoire peut être mis à l’échelle globalement
sur un réseau dont la bande passante est limitée. En outre, le domaine prend en charge
un certain nombre d’autres fonctions principales liées à l’administration, notamment :
Identité de l’utilisateur au niveau du réseau. Les domaines permettent de créer des

identités d’utilisateur une seule fois et de les référencer sur tout ordinateur joint à
la forêt dans laquelle se trouve le domaine. Les contrôleurs de domaine qui
composent un domaine sont utilisés pour stocker les comptes d’utilisateur et les
informations d’identification de l’utilisateur (tels que les mots de passe ou les
certificats) en toute sécurité.
Authentification. Les contrôleurs de domaine fournissent des services

d’authentification pour les utilisateurs et fournissent des données d’autorisation
supplémentaires, telles que des appartenances aux groupes d’utilisateurs, qui
peuvent être utilisées pour contrôler l’accès aux ressources sur le réseau.
Relations d’approbation. Les domaines peuvent étendre les services

d’authentification aux utilisateurs dans des domaines situés en dehors de leur
propre forêt par le biais d’approbations.
Réplication. Le domaine définit une partition de l’annuaire qui contient les données
suffisantes pour fournir des services de domaine, puis les réplique entre les
contrôleurs de domaine. De cette façon, tous les contrôleurs de domaine sont des
homologues d’un domaine et sont gérés en tant qu’unité.
Active Directory les unités d’organisation

Les unités d’organisation peuvent être utilisées pour former une hiérarchie de
conteneurs au sein d’un domaine. Les unités d’organisation sont utilisées pour
regrouper des objets à des fins administratives, telles que l’application d’stratégie de
groupe ou la délégation d’autorité. Le contrôle (sur une unité d’organisation et les
objets qu’il contient) est déterminé par les listes de contrôle d’accès (ACL) sur l’unité
d’organisation et sur les objets de l’unité d’organisation. Pour faciliter la gestion d’un
grand nombre d’objets, AD DS prend en charge le concept de délégation d’autorité. Au
moyen de la délégation, les propriétaires peuvent transférer un contrôle administratif
complet ou limité sur des objets à d’autres utilisateurs ou groupes. La délégation est
importante car elle permet de distribuer la gestion d’un grand nombre d’objets sur un
certain nombre de personnes approuvées pour effectuer des tâches de gestion.
Identification des participants au projet
de déploiement

La première étape de l’établissement d’un projet de déploiement pour domaine Active

Directory Service (AD DS) consiste à établir les équipes de projet de conception et de
déploiement qui seront chargées de gérer la phase de conception et la phase de
déploiement du cycle de projet Active Directory. En outre, vous devez identifier les
individus et les groupes qui seront responsables du propriétaire et de la maintenance de
l’annuaire une fois le déploiement terminé.
Définition des rôles spécifiques au projet
Établissement des propriétaires et administrateurs
Génération d’équipes de projet
Définition des rôles spécifiques au projet

L’une des étapes importantes de l’établissement des équipes de projet consiste à
identifier les personnes qui doivent détenir des rôles spécifiques à un projet. Il s’agit
notamment du sponsor exécutif, de l’architecte de projet et du chef de projet. Ces
personnes sont responsables de l’exécution du projet de déploiement Active Directory.
Une fois que vous avez désigné l’architecte de projet et le chef de projet, ces personnes
établissent des canaux de communication au sein de l’organisation, créent des
planifications de projet et identifient les personnes qui seront membres des équipes de
projet, en commençant par les différents propriétaires.
Sponsor exécutif
Le déploiement d’une infrastructure comme AD DS peut avoir un impact important sur
une organisation. Pour cette raison, il est important de disposer d’un parrain dirigeant
qui comprend la valeur métier du déploiement, qui prend en charge le projet au niveau
exécutif et peut aider à résoudre les conflits au sein de l’organisation.
architecte Project
Chaque projet de déploiement Active Directory nécessite un architecte de projet pour
gérer le processus de prise de décision de conception et de déploiement Active
Directory. L’architecte fournit une expertise technique pour faciliter le processus de
conception et de déploiement de AD DS.
７ Notes
Si aucun personnel existant de votre organisation ne dispose de l’expérience de

conception d’annuaire, vous souhaiterez peut-être embaucher un consultant
extérieur qui est un expert en matière de conception et de déploiement de Active
Directory.
Les responsabilités de l’architecte de projet Active Directory sont les suivantes :
Propriétaire de la conception de la Active Directory
Compréhension et enregistrement du raisonnement pour les décisions de

conception clés
S’assurer que la conception répond aux besoins de l’entreprise
Établissement d’un consensus entre les équipes de conception, de déploiement et

d’exploitation
Comprendre les besoins des applications intégrées à AD DS
La dernière conception de Active Directory doit refléter une combinaison de objectifs

commerciaux et de décisions techniques. Par conséquent, l’architecte du projet doit
passer en revue les décisions de conception pour s’assurer qu’il s’aligne avec les
objectifs de l’entreprise.
Chef de projet
Le chef de projet facilite la coopération entre les divisions et entre les groupes de
gestion des technologies. Dans l’idéal, le responsable de projet de déploiement Active
Directory est un membre de l’organisation qui est familiarisé avec les stratégies
opérationnelles du groupe informatique et les exigences de conception pour les
groupes qui se préparent à déployer AD DS. Le responsable de projet supervise
l’intégralité du projet de déploiement, en commençant par la conception et en
poursuivant l’implémentation, et s’assure que le projet reste dans les délais et dans le
budget. Les responsabilités du chef de projet sont les suivantes :
Mise en place d’une planification de projet de base, telle que la planification et la
budgétisation
Progression du projet de conception et de déploiement de Active Directory
S’assurer que les personnes appropriées sont impliquées dans chaque partie du
processus de conception
Utilisation d’un point de contact unique pour le projet de déploiement Active

Directory
Établissement de la communication entre les équipes de conception, de

déploiement et d’exploitation
Établissement et maintien de la communication avec le sponsor exécutif tout au

long du projet de déploiement
Établissement des propriétaires et

administrateurs
Dans un projet de déploiement Active Directory, les individus propriétaires sont tenus
responsables par la direction pour s’assurer que les tâches de déploiement sont
terminées et que Active Directory spécifications de conception répondent aux besoins
de l’organisation. Les propriétaires n’ont pas nécessairement accès ou manipulent
directement l’infrastructure d’annuaire. Les administrateurs sont les personnes
responsables de la réalisation des tâches de déploiement requises. Les administrateurs
disposent de l’accès réseau et des autorisations nécessaires pour manipuler l’annuaire et
son infrastructure.
Le rôle du propriétaire est stratégique et responsable. Les propriétaires sont

responsables de la communication des administrateurs aux tâches nécessaires à
l’implémentation de la conception de la Active Directory, telles que la création de
contrôleurs de domaine dans la forêt. Les administrateurs sont responsables de
l’implémentation de la conception sur le réseau conformément aux spécifications de
conception.
Dans les grandes organisations, les différents individus remplissent les rôles de
propriétaire et d’administrateur ; Toutefois, dans certaines petites organisations, la
même personne peut agir à la fois comme propriétaire et comme administrateur.
Propriétaires de services et de données

La gestion quotidienne des AD DS implique deux types de propriétaires :
Les propriétaires de service qui sont responsables de la planification et de la

maintenance à long terme de l’infrastructure Active Directory et pour s’assurer que
le répertoire continue à fonctionner et que les objectifs établis dans les contrats de
niveau de service sont conservés.
Les propriétaires de données responsables de la maintenance des informations
stockées dans l’annuaire. Cela comprend la gestion et la gestion des comptes
d’utilisateurs et d’ordinateurs des ressources locales telles que les serveurs
membres et les stations de travail.
Il est important d’identifier le service Active Directory et les propriétaires de données tôt
afin qu’ils puissent participer à la plus grande partie du processus de conception
possible. Étant donné que les propriétaires de services et de données sont responsables
de la maintenance à long terme de l’annuaire à la fin du projet de déploiement, il est
important pour ces personnes de fournir des informations sur les besoins de
l’organisation et de savoir comment et pourquoi certaines décisions de conception ont
été prises. Les propriétaires de services incluent le propriétaire de la forêt, le propriétaire
du système de nommage des domaine Active Directory (DNS) et le propriétaire de la
topologie de site. Les propriétaires de données incluent les propriétaires d’unités
d’organisation.
Administrateurs de services et de données

Le fonctionnement de AD DS implique deux types d’administrateurs : les administrateurs
de service et les administrateurs de données. Les administrateurs de service
implémentent des décisions de stratégie émises par les propriétaires de services et
gèrent les tâches quotidiennes associées à la gestion du service d’annuaire et de
l’infrastructure. Cela comprend la gestion des contrôleurs de domaine qui hébergent le
service d’annuaire, la gestion d’autres services réseau tels que DNS qui sont requis pour
AD DS, le contrôle de la configuration des paramètres à l’ensemble de la forêt et la
garantie que l’annuaire est toujours disponible.
les administrateurs de Service sont également chargés d’effectuer les tâches de

déploiement Active Directory en cours qui sont nécessaires après la fin du processus de
déploiement initial de Windows serveur 2008 Active Directory. Par exemple, à mesure
que les demandes sur l’annuaire augmentent, les administrateurs de service créent des
contrôleurs de domaine supplémentaires et établissent ou suppriment des approbations
entre les domaines, si nécessaire. Pour cette raison, l’équipe de déploiement Active
Directory doit inclure les administrateurs de service.
Vous devez veiller à affecter des rôles d’administrateur de service uniquement à des
personnes de confiance dans l’organisation. Étant donné que ces personnes ont la
possibilité de modifier les fichiers système sur les contrôleurs de domaine, elles peuvent
modifier le comportement de AD DS. Vous devez vous assurer que les administrateurs
de services de votre organisation sont des personnes qui connaissent bien les stratégies
de sécurité et opérationnelles qui sont en place sur votre réseau et qui comprennent la
nécessité d’appliquer ces stratégies.
Les administrateurs de données sont des utilisateurs d’un domaine qui sont
responsables de la gestion des données stockées dans AD DS tels que les comptes
d’utilisateurs et de groupes, et pour la maintenance des ordinateurs qui sont membres
de leur domaine. Les administrateurs de données contrôlent des sous-ensembles
d’objets dans le répertoire et n’ont aucun contrôle sur l’installation ou la configuration
du service d’annuaire.
Les comptes d’administrateur de données ne sont pas fournis par défaut. Une fois que
l’équipe de conception a déterminé comment les ressources doivent être gérées pour
l’organisation, les propriétaires du domaine doivent créer des comptes d’administrateur
de données et les déléguer aux autorisations appropriées en fonction de l’ensemble
d’objets dont les administrateurs sont responsables.
Il est préférable de limiter le nombre d’administrateurs de service au sein de votre

organisation au nombre minimal requis pour s’assurer que l’infrastructure continue à
fonctionner. La majorité des tâches administratives peuvent être effectuées par les
administrateurs de données. Les administrateurs de service ont besoin d’un ensemble
de compétences plus larges, car ils sont responsables de la gestion de l’annuaire et de
l’infrastructure qui le prend en charge. Les administrateurs de données n’ont besoin que
des compétences nécessaires pour gérer leur partie de l’annuaire. La Division des
affectations de travail de cette manière entraîne des économies pour l’organisation, car
seul un petit nombre d’administrateurs doivent être formés pour fonctionner et gérer
l’ensemble de l’annuaire et de son infrastructure.
Par exemple, un administrateur de service doit comprendre comment ajouter un

domaine à une forêt. Cela explique comment installer le logiciel pour convertir un
serveur en contrôleur de domaine et comment manipuler l’environnement DNS afin que
le contrôleur de domaine puisse être fusionné en toute transparence dans
l’environnement de Active Directory. Un administrateur de données a uniquement
besoin de savoir comment gérer les données spécifiques dont il est responsable, telles
que la création de nouveaux comptes d’utilisateur pour les nouveaux employés de leur
service.
Le déploiement de AD DS nécessite la coordination et la communication entre de
nombreux groupes différents impliqués dans le fonctionnement de l’infrastructure
réseau. Ces groupes doivent désigner les propriétaires de services et de données qui
sont responsables de la représentation des différents groupes pendant le processus de
conception et de déploiement.
Une fois le projet de déploiement terminé, ces propriétaires de services et de données

continuent à être responsables de la partie de l’infrastructure gérée par leur groupe.
Dans un environnement Active Directory, ces propriétaires sont le propriétaire de la
forêt, le DNS pour AD DS propriétaire, le propriétaire de la topologie de site et le
propriétaire de l’unité d’organisation. Les rôles de ces propriétaires de services et de
données sont expliqués dans les sections suivantes.
Propriétaire de la forêt
Le propriétaire de la forêt est généralement responsable informatique au sein de
l’organisation qui est responsable de l’Active Directory processus de déploiement et qui
est finalement responsable de la maintenance de la livraison de service au sein de la
forêt une fois le déploiement terminé. Le propriétaire de la forêt affecte les individus
pour remplir les autres rôles de propriété en identifiant le personnel clé au sein de
l’organisation qui est en mesure de fournir les informations nécessaires sur
l’infrastructure réseau et les besoins administratifs. Le propriétaire de la forêt est
responsable des opérations suivantes :
Déploiement du domaine racine de la forêt pour créer la forêt
Déploiement du premier contrôleur de domaine dans chaque domaine pour créer

les domaines requis pour la forêt
Appartenances des groupes d’administrateurs de service dans tous les domaines

de la forêt
Création de la structure de l’unité d’organisation pour chaque domaine de la forêt
Délégation de l’autorité administrative aux propriétaires d’UO
Modifications apportées au schéma
Modifications apportées aux paramètres de configuration à l’ensemble de la forêt
Implémentation de certains paramètres de stratégie de stratégie de groupe, y

compris les stratégies de compte d’utilisateur de domaine, telles que le mot de
passe affiné et la stratégie de verrouillage de compte
Paramètres de stratégie d’entreprise qui s’appliquent aux contrôleurs de domaine
Tout autre stratégie de groupe paramètres appliqués au niveau du domaine
Le propriétaire de la forêt a l’autorité sur l’ensemble de la forêt. Il incombe au

propriétaire de la forêt de définir les stratégie de groupe et les stratégies d’entreprise, et
de sélectionner les personnes qui sont des administrateurs de service. Le propriétaire de
la forêt est un propriétaire de service.
DNS pour AD DS propriétaire

Le DNS pour AD DS propriétaire est une personne qui a une compréhension
approfondie de l’infrastructure DNS existante et de l’espace de noms existant de
l’organisation.
Le DNS pour AD DS propriétaire est responsable des opérations suivantes :
Faire office de liaison entre l’équipe de conception et le groupe informatique qui

possède actuellement l’infrastructure DNS
Fournir des informations sur l’espace de noms DNS existant de l’Organisation pour
faciliter la création du nouvel espace de noms Active Directory
Collaborez avec l’équipe de déploiement pour vous assurer que la nouvelle

infrastructure DNS est déployée en fonction des spécifications de l’équipe de
conception et qu’elle fonctionne correctement.
Gestion du DNS pour l’infrastructure AD DS, y compris le service serveur DNS et les
données DNS
Le DNS pour AD DS propriétaire est un propriétaire de service.
Propriétaire de la topologie de site
Le propriétaire de la topologie de site est familiarisé avec la structure physique du

réseau de l’organisation, y compris le mappage des sous-réseaux individuels, des
routeurs et des zones réseau qui sont connectés par le biais de liaisons lentes. Le
propriétaire de la topologie de site est responsable des opérations suivantes :
Fonctionnement de la topologie du réseau physique et de son impact sur AD DS
Comprendre comment le déploiement de Active Directory a un impact sur le

réseau
Détermination de la Active Directory les sites logiques qui doivent être créés
Mise à jour des objets de site pour les contrôleurs de domaine lors de l’ajout, de la
modification ou de la suppression d’un sous-réseau
Création de liens de sites, de ponts entre liens de sites et d’objets de connexion

manuels
Le propriétaire de la topologie de site est un propriétaire de service.
Propriétaire de l’unité d’organisation

Le propriétaire de l’unité d’organisation est responsable de la gestion des données
stockées dans l’annuaire. Cet individu doit être familiarisé avec les stratégies
opérationnelles et de sécurité en place sur le réseau. Les propriétaires d’UO ne peuvent
exécuter que les tâches qui leur ont été déléguées par les administrateurs de service, et
ils ne peuvent exécuter que les tâches sur les unités d’organisation auxquelles ils sont
affectés. Les tâches qui peuvent être assignées au propriétaire de l’unité d’organisation
Exécution de toutes les tâches de gestion de compte au sein de l’unité

d’organisation attribuée
Gestion des postes de travail et des serveurs membres membres de l’unité

Délégation de l’autorité aux administrateurs locaux au sein de l’unité

Le propriétaire de l’unité d’organisation est un propriétaire de données.
Génération d’équipes de projet

Active Directory équipes de projet sont des groupes temporaires chargés d’effectuer
Active Directory tâches de conception et de déploiement. Une fois le projet de
déploiement de Active Directory terminé, les propriétaires assument la responsabilité de
l’annuaire et les équipes de projet peuvent DISBAND.
La taille des équipes de projet varie en fonction de la taille de l’organisation. Dans les
petites organisations, une seule personne peut couvrir plusieurs domaines de
responsabilité dans une équipe de projet et être impliquée dans plusieurs phases du
déploiement. Les grandes organisations peuvent nécessiter des équipes de plus grande
taille avec des personnes différentes ou même des équipes différentes couvrant les
différents domaines de responsabilité. La taille des équipes n’est pas importante tant
que tous les domaines de responsabilité sont affectés, et les objectifs de conception de
l’organisation sont atteints.
Identification des propriétaires potentiels de la forêt

Identifiez les groupes au sein de votre organisation qui possèdent et contrôlent les
ressources nécessaires pour fournir des services d’annuaire aux utilisateurs sur le réseau.
Ces groupes sont considérés comme des propriétaires de forêts potentiels.
La séparation de l’administration des services et des données dans AD DS permet à

l’infrastructure (ou aux groupes) d’une organisation de gérer le service d’annuaire,
tandis que les administrateurs locaux de chaque groupe gèrent les données qui
appartiennent à leurs propres groupes. Les propriétaires de forêts potentiels disposent
de l’autorité requise sur l’infrastructure réseau pour déployer et prendre en charge AD
DS.
Pour les organisations qui ont un groupe informatique centralisé, le groupe

informatique est généralement le propriétaire de la forêt et, par conséquent, le
propriétaire de la forêt potentielle pour tous les déploiements futurs. Les organisations
qui incluent un certain nombre de groupes informatiques d’infrastructure indépendants
ont un certain nombre de propriétaires de forêts potentiels. Si votre organisation
dispose déjà d’une infrastructure Active Directory en place, tous les propriétaires de
forêts actuels sont également des propriétaires de forêts potentiels pour les nouveaux
déploiements.
Sélectionnez l’un des propriétaires de forêts potentiels comme propriétaire de la forêt

pour chaque forêt que vous envisagez de déployer. Ces propriétaires de forêts
potentiels sont responsables de l’utilisation de l’équipe de conception pour déterminer
si leur forêt est réellement déployée ou si une autre voie d’action (telle que la jonction à
une autre forêt existante) est une meilleure utilisation des ressources disponibles, tout
en répondant à leurs besoins. Le propriétaire de la forêt (ou les propriétaires) de votre
organisation est membre de l’équipe de conception Active Directory.
Établissement d’une équipe de conception

L’équipe de conception Active Directory est chargée de rassembler toutes les
informations nécessaires pour prendre des décisions sur la conception de la structure
logique Active Directory.
Les responsabilités de l’équipe de conception sont les suivantes :

Détermination du nombre de forêts et de domaines requis et des relations entre
les forêts et les domaines
Travailler avec des propriétaires de données pour s’assurer que la conception

respecte leurs exigences en matière de sécurité et d’administration
Travailler avec les administrateurs réseau actuels pour s’assurer que l’infrastructure
réseau actuelle prend en charge la conception et que la conception ne risque pas
de nuire aux applications existantes déployées sur le réseau
Collaboration avec les représentants du groupe de sécurité de l’Organisation pour

s’assurer que la conception respecte les stratégies de sécurité établies
Conception de structures d’UO qui autorisent des niveaux de protection

appropriés et la délégation d’autorité appropriée aux propriétaires de données
Collaborez avec l’équipe de déploiement pour tester la conception dans un

environnement de laboratoire afin de vous assurer qu’elle fonctionne comme
prévu et de modifier la conception si nécessaire pour résoudre les problèmes qui
se produisent.
Création d’une conception de topologie de site qui répond aux exigences de

réplication de la forêt tout en empêchant la surcharge de la bande passante
disponible. pour plus d’informations sur la conception de la topologie de site, voir
conception de la topologie de site pour Windows Server 2008 AD DS.
Travailler avec l’équipe de déploiement pour s’assurer que la conception est

correctement implémentée
L’équipe de conception comprend les membres suivants :
Propriétaires potentiels de la forêt
architecte Project
Chef de projet
Personnes responsables de l’établissement et de la maintenance des stratégies de

sécurité sur le réseau
Pendant le processus de conception de la structure logique, l’équipe de conception

identifie les autres propriétaires. Ces personnes doivent commencer à participer au
processus de conception dès qu’elles sont identifiées. Une fois le projet de déploiement
transmis à l’équipe de déploiement, l’équipe de conception est chargée de surveiller le
processus de déploiement pour s’assurer que la conception est correctement
implémentée. L’équipe de conception apporte également des modifications à la
conception en fonction des commentaires des tests.
Établissement d’une équipe de déploiement

L’équipe de déploiement Active Directory est chargée du test et de l’implémentation de
la conception de la structure logique Active Directory. Cela implique les tâches
suivantes :
Mise en place d’un environnement de test qui émule suffisamment

l’environnement de production
Test de la conception en implémentant la forêt et la structure de domaine

proposées dans un environnement Lab pour vérifier qu’elle répond aux objectifs
de chaque propriétaire de rôle
Développement et test de tous les scénarios de migration proposés par la

conception dans un environnement Lab
Vérification que chaque propriétaire se déconnecte du processus de test pour

s’assurer que les fonctionnalités de conception correctes sont testées
Test de l’opération de déploiement dans un environnement pilote
Une fois les tâches de conception et de test terminées, l’équipe de déploiement effectue
les tâches suivantes :
Crée les forêts et les domaines selon la conception de la structure logique Active
Directory
Crée les sites et les objets de lien de sites selon les besoins en fonction de la
conception de la topologie de site
Garantit que l’infrastructure DNS est configurée pour prendre en charge AD DS et

que tous les nouveaux espaces de noms sont intégrés à l’espace de noms existant
de l’Organisation
L’équipe de déploiement Active Directory comprend les membres suivants :
Propriétaire de la forêt
DNS pour AD DS propriétaire
Propriétaire de la topologie de site
Propriétaires d’UO
L’équipe de déploiement collabore avec le service et les administrateurs de données au
cours de la phase de déploiement pour s’assurer que les membres de l’équipe
d’exploitation connaissent bien la nouvelle conception. Cela permet d’assurer une
transition sans heurts de la propriété lorsque l’opération de déploiement est terminée. À
la fin du processus de déploiement, la responsabilité de la gestion du nouvel
environnement de Active Directory passe à l’équipe des opérations.
Documentation des équipes de conception et de

déploiement
Documentez les noms et les informations de contact des personnes qui feront partie de
la conception et du déploiement de AD DS. Identifiez qui sera responsable de chaque
rôle sur les équipes de conception et de déploiement. Initialement, cette liste comprend
les propriétaires de forêts potentiels, le chef de projet et l’architecte de projet. Lorsque
vous déterminez le nombre de forêts que vous allez déployer, vous devrez peut-être
créer de nouvelles équipes de conception pour des forêts supplémentaires. Notez que
vous devez mettre à jour votre documentation au fur et à mesure que vous identifiez les
différents propriétaires de Active Directory pendant le processus de conception. pour
obtenir une feuille de travail qui vous aide à documenter les équipes de conception et
de déploiement pour chaque forêt, téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir d' outils
d’aide pour le Kit de déploiement Windows Server 2003 et ouvrez « informations sur
l’équipe de conception et de déploiement » (DSSLOGI_1.doc).
Création d'une conception de forêt

La création d’une conception de forêt implique d’abord d’identifier les groupes au sein
de votre organisation qui disposent des ressources disponibles pour héberger une forêt
Active Directory, puis de définir vos exigences en matière de conception de forêt. Enfin,
vous devez déterminer le nombre de forêts nécessaires pour répondre aux besoins de
votre organisation.
Après avoir mis en corrélation toutes vos exigences de conception aux modèles de forêt
et sélectionné celui qui répond aux besoins de votre organisation, documentez la
conception de forêt proposée. Incluez dans votre documentation le nom du groupe
pour lequel la forêt est conçue, les informations de contact du propriétaire de la forêt, le
type de chaque forêt que vous incluez et les exigences auxquelles chaque forêt a
vocation à satisfaire. Cette documentation va aider l’équipe de conception à vérifier que
toutes les personnes appropriées sont impliquées dans le processus de conception et à
clarifier l’étendue du projet de déploiement.
Pour obtenir une feuille de calcul qui facilite la documentation de la conception de forêt
proposée, téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir du Kit
d’aides aux tâches de déploiement Windows Server 2003 et ouvrez « Conception de
forêt » (DSSLOGI_3.doc).
Contenu de cette section

Identifier les conditions requises pour la conception d’une forêt
Détermination du nombre de forêts nécessaires

Identifier les conditions requises pour la
conception d'une forêt

Pour créer une conception de forêt pour votre organisation, vous devez identifier les
besoins de l’entreprise qui doivent être pris en charge par votre structure de répertoires.
Cela implique de déterminer l’autonomie dont les groupes de votre organisation ont
besoin pour gérer leurs ressources réseau et si chaque groupe doit ou non isoler ses
ressources sur le réseau à partir d’autres groupes.
Active Directory Domain Services (AD DS) vous permet de concevoir une infrastructure
d’annuaire qui prend en charge plusieurs groupes au sein d’une organisation qui ont
des exigences de gestion uniques et pour obtenir une indépendance structurelle et
opérationnelle entre les groupes en fonction des besoins.
Les groupes de votre organisation peuvent présenter certains des types de

configuration suivants :
Exigences relatives à la structure organisationnelle. Les parties d’une organisation

peuvent participer à une infrastructure partagée pour réduire les coûts tout en
exigeant la possibilité de fonctionner indépendamment du reste de l’organisation.
Par exemple, un groupe de recherche au sein d’une grande organisation peut avoir
besoin de garder le contrôle sur toutes ses données de recherche.
Exigences opérationnelles. Une partie d’une organisation peut placer des

contraintes uniques sur la configuration, la disponibilité ou la sécurité du service
d’annuaire, ou utiliser des applications qui placent des contraintes uniques sur
l’annuaire. Par exemple, des unités commerciales individuelles au sein d’une
organisation peuvent déployer des applications compatibles avec l’annuaire qui
modifient le schéma d’annuaire qui n’est pas déployé par d’autres divisions. Étant
donné que le schéma d’annuaire est partagé entre tous les domaines de la forêt, la
création de plusieurs forêts est une solution pour ce type de scénario. D’autres
exemples sont disponibles dans les organisations et les scénarios suivants :
Organisations militaires
Scénarios d’hébergement
Les organisations qui maintiennent un répertoire disponible à la fois en interne
et en externe (par exemple, accessibles publiquement à des utilisateurs sur
Internet)
Exigences légales. Certaines organisations ont des exigences légales pour

fonctionner d’une manière spécifique, par exemple, restreindre l’accès à certaines
informations comme spécifié dans un contrat d’entreprise. Certaines organisations
ont des exigences de sécurité pour fonctionner sur des réseaux internes isolés. Le
non-respect de ces exigences peut entraîner la perte du contrat et éventuellement
une action légale.
Une partie de l’identification des exigences de conception de votre forêt consiste à

identifier le degré auquel les groupes de votre organisation peuvent faire confiance aux
propriétaires de forêts potentiels et à leurs administrateurs de service, et à identifier
l’autonomie et les exigences d’isolation pour chaque groupe de votre organisation.
L’équipe de conception doit documenter les exigences en matière d’isolation et

d’autonomie pour l’administration des services et des données pour chaque groupe de
l’organisation qui a l’intention d’utiliser AD DS. L’équipe doit également noter toutes les
zones de connectivité limitée susceptibles d’affecter le déploiement de AD DS.
L’équipe de conception doit documenter les exigences en matière d’isolation et

d’autonomie pour l’administration des services et des données pour chaque groupe de
l’organisation qui a l’intention d’utiliser AD DS. L’équipe doit également noter toutes les
zones de connectivité limitée susceptibles d’affecter le déploiement de AD DS. pour
obtenir une feuille de calcul qui vous aide à documenter les régions que vous avez
identifiées, téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip depuis les outils
d’aide pour Windows Server 2003 Deployment Kit et ouvrez « Forest Design
requirements » (DSSLOGI_2.doc).
Dans cette section

Étendue de l’autorité de l’administrateur de service
Autonomie et isolation
Étendue de l’autorité de l’administrateur
de service

Si vous choisissez de participer à une forêt Active Directory, vous devez faire confiance
au propriétaire de la forêt et aux administrateurs de service. Les propriétaires de la forêt
sont responsables de la sélection et de la gestion des administrateurs de service. par
conséquent, lorsque vous faites confiance à un propriétaire de forêt, vous faites
également confiance aux administrateurs de service gérés par le propriétaire de la forêt.
Ces administrateurs de service ont accès à toutes les ressources de la forêt. Avant de
prendre la décision de participer à une forêt, il est important de comprendre que le
propriétaire de la forêt et les administrateurs de service auront un accès complet à vos
données. Vous ne pouvez pas empêcher cet accès.
Tous les administrateurs de service d’une forêt ont un contrôle total sur l’ensemble des
données et des services sur tous les ordinateurs de la forêt. Les administrateurs de
service ont la possibilité d’effectuer les opérations suivantes :
Corriger les erreurs sur les listes de contrôle d’accès (ACL) d’objets. Cela permet à
l’administrateur de service de lire, modifier ou supprimer des objets
indépendamment des listes de contrôle d’accès définies sur ces objets.
Modifiez le logiciel système sur un contrôleur de domaine pour contourner les

vérifications de sécurité normales. Cela permet à l’administrateur de service
d’afficher ou de manipuler n’importe quel objet dans le domaine, quelle que soit la
liste de contrôle d’accès de l’objet.
Utilisez la stratégie de sécurité groupes restreints pour accorder à un utilisateur ou

à un groupe un accès administratif à tout ordinateur joint au domaine. De cette
façon, les administrateurs de service peuvent obtenir le contrôle de tout ordinateur
joint au domaine, quelles que soient les intentions du propriétaire de l’ordinateur.
Réinitialiser les mots de passe ou modifier l’appartenance aux groupes pour les
utilisateurs.
Accédez à d’autres domaines de la forêt en modifiant le logiciel système sur un

contrôleur de domaine. Les administrateurs de services peuvent affecter le
fonctionnement de n’importe quel domaine de la forêt, afficher ou manipuler les
données de configuration de la forêt, afficher ou manipuler les données stockées
dans n’importe quel domaine, et afficher ou manipuler les données stockées sur
tout ordinateur joint à la forêt.
Pour cette raison, les groupes qui stockent des données dans des unités d’organisation
(UO) de la forêt et qui joignent des ordinateurs à une forêt doivent faire confiance aux
administrateurs de service. Pour qu’un groupe rejoigne une forêt, il doit choisir
d’approuver tous les administrateurs de service dans la forêt. Cela implique de s’assurer
que :
Le propriétaire de la forêt peut être approuvé pour agir dans l’intérêt du groupe et
n’a pas de raison d’agir de manière malveillante contre le groupe.
Le propriétaire de la forêt restreint de manière appropriée l’accès physique aux

contrôleurs de domaine. Les contrôleurs de domaine d’une forêt ne peuvent pas
être isolés les uns des autres. Il est possible pour une personne malveillante ayant
un accès physique à un contrôleur de domaine unique d’apporter des
modifications hors connexion à la base de données d’annuaire et, en procédant
ainsi, d’interférer avec le fonctionnement de n’importe quel domaine de la forêt,
d’afficher ou de manipuler des données stockées n’importe où dans la forêt, et
d’afficher ou de manipuler des données stockées sur un ordinateur Pour cette
raison, l’accès physique aux contrôleurs de domaine doit être limité au personnel
de confiance.
Vous comprenez et acceptez le risque potentiel que les administrateurs de services

approuvés puissent être forcés à compromettre la sécurité du système.
Certains groupes peuvent déterminer que les avantages collaboratifs et économiques

associés à la participation à une infrastructure partagée compensent les risques que les
administrateurs de service pourraient abuser ou seront contraints d’utiliser leur autorité
de manière incorrecte. Ces groupes peuvent partager une forêt et utiliser des unités
d’organisation pour déléguer l’autorité. Toutefois, d’autres groupes peuvent ne pas
accepter ce risque, car les conséquences d’un compromis en matière de sécurité sont
trop graves. Ces groupes requièrent des forêts distinctes.
Autonomie et isolation

Vous pouvez concevoir votre structure logique Active Directory pour obtenir ce qui suit :
Autonomie. Implique un contrôle indépendant mais non exclusif d’une ressource.

Lorsque vous atteignez l’autonomie, les administrateurs ont le pouvoir de gérer les
ressources indépendamment ; toutefois, il existe des administrateurs dotés d’une
plus grande autorité qui contrôlent également ces ressources et peuvent en
prendre le contrôle si nécessaire. Vous pouvez concevoir votre structure logique
Active Directory pour obtenir les types d’autonomie suivants :
Autonomie du service. Ce type d’autonomie implique le contrôle de tout ou

partie de la gestion des services.
Autonomie des données. Ce type d’autonomie implique le contrôle de tout ou

partie des données stockées dans l’annuaire ou sur les ordinateurs membres
joints à l’annuaire.
Isolation. Implique le contrôle indépendant et exclusif d’une ressource. Lorsque

vous atteignez l’isolation, les administrateurs ont le pouvoir de gérer une ressource
indépendamment, et aucun autre administrateur ne peut prendre le contrôle de la
ressource. Vous pouvez concevoir votre structure logique Active Directory pour
obtenir les types d’isolation suivants :
Isolation du serviceisolation. Empêche les administrateurs (autres que ceux qui

sont spécifiquement désignés pour contrôler la gestion des services) de
contrôler ou d’interférer avec la gestion des services.
Isolation des données. Empêche les administrateurs (autres que ceux qui sont
spécifiquement désignés pour contrôler ou afficher les données) de contrôler
ou d’afficher un sous-ensemble de données dans l’annuaire ou sur les
ordinateurs membres joints à l’annuaire.
Les administrateurs qui n’ont besoin que d’autonomie acceptent que les autres
administrateurs disposant d’une autorité administrative égale ou supérieure aient un
contrôle égal ou supérieur sur la gestion des services ou des données. Les
administrateurs qui nécessitent une isolation ont un contrôle exclusif sur la gestion des
services ou des données. La création d’une conception pour atteindre l’autonomie est
généralement moins coûteuse que la création d’une conception pour atteindre
l’isolation.
Dans Active Directory Domain Services (AD DS), les administrateurs peuvent déléguer
l’administration des services et l’administration des données pour obtenir l’autonomie
ou l’isolation entre les organisations. La combinaison des exigences de gestion des
services, de gestion des données, d’autonomie et d’isolation d’une organisation a un
impact sur les conteneurs Active Directory utilisés pour déléguer l’administration.
Exigences d’isolation et d’autonomie

Le nombre de forêts que vous devez déployer est basé sur les exigences d’autonomie et
d’isolation de chaque groupe au sein de votre organisation. Pour identifier vos
exigences de conception de forêt, vous devez identifier les exigences d’autonomie et
d’isolation pour tous les groupes de votre organisation. Plus précisément, vous devez
identifier le besoin d’isolation des données, d’autonomie des données, d’isolation du
service et d’autonomie du service. Vous devez également identifier les zones de
connectivité limitée dans votre organisation.
Isolation des données

L’isolation des données implique un contrôle exclusif des données par le groupe ou
l’organisation propriétaire des données. Il est important de noter que les
administrateurs de service ont la possibilité de prendre le contrôle d’une ressource à
l’écart des administrateurs de données. Et les administrateurs de données n’ont pas la
possibilité d’empêcher les administrateurs de service d’accéder aux ressources qu’ils
contrôlent. Par conséquent, vous ne pouvez pas effectuer l’isolation des données quand
un autre groupe au sein de l’organisation est responsable de l’administration du service.
Si un groupe nécessite une isolation des données, ce groupe doit également assumer la
responsabilité de l’administration du service.
Étant donné que les données stockées dans AD DS et sur les ordinateurs joints à AD DS
ne peuvent pas être isolées des administrateurs de service, la seule façon pour un
groupe au sein d’une organisation d’obtenir une isolation complète des données est de
créer une forêt distincte pour ces données. Les organisations pour lesquelles les
conséquences d’une attaque par un logiciel malveillant ou par un administrateur de
service sous la force sont importantes peuvent choisir de créer une forêt distincte pour
isoler les données. Les exigences légales créent généralement un besoin pour ce type
d’isolation des données. Par exemple :
Une institution financière est tenue par la loi de limiter l’accès aux données qui
appartiennent aux clients d’une juridiction particulière aux utilisateurs, ordinateurs
et administrateurs situés dans cette juridiction. Bien que l’institution fasse
confiance aux administrateurs de services qui travaillent en dehors de la zone
protégée, si la limitation d’accès est violée, l’établissement ne pourra plus faire
affaire dans cette juridiction. Par conséquent, l’institution financière doit isoler les
données des administrateurs de services situés en dehors de cette juridiction.
Notez que le chiffrement n’est pas toujours une alternative à cette solution. Le
chiffrement peut ne pas protéger les données des administrateurs de service.
Un entrepreneur de défense est tenu par la loi de limiter l’accès aux données du
projet à un ensemble spécifié d’utilisateurs. Bien que l’entrepreneur approuve les
administrateurs de services qui contrôlent les systèmes informatiques liés à
d’autres projets, une violation de cette limitation d’accès entraînera la perte
d’activité de l’entrepreneur.
７ Notes
Si vous avez une exigence d’isolation des données, vous devez décider si vous
devez isoler vos données des administrateurs de service ou des
administrateurs de données et des utilisateurs ordinaires. Si votre exigence
d’isolation est basée sur l’isolation des administrateurs de données et des
utilisateurs ordinaires, vous pouvez utiliser des listes de contrôle d’accès (ACL)
pour isoler les données. Dans le cadre de ce processus de conception,
l’isolation des administrateurs de données et des utilisateurs ordinaires n’est
pas considérée comme une exigence d’isolation des données.
Autonomie des données

L’autonomie des données implique la capacité d’un groupe ou d’une organisation à
gérer ses propres données, notamment à prendre des décisions administratives
concernant les données et à effectuer les tâches administratives requises sans avoir
besoin d’approbation d’une autre autorité.
L’autonomie des données n’empêche pas les administrateurs de service de la forêt

d’accéder aux données. Par exemple, un groupe de recherche au sein d’une grande
organisation peut vouloir être en mesure de gérer lui-même ses données spécifiques au
projet, mais il n’est pas nécessaire de sécuriser les données contre les autres
administrateurs de la forêt.
Isolation du service
L’isolation de service implique le contrôle exclusif de l’infrastructure Active Directory. Les
groupes qui nécessitent une isolation de service nécessitent qu’aucun administrateur en
dehors du groupe ne puisse interférer avec le fonctionnement du service d’annuaire.
Les exigences opérationnelles ou légales créent généralement un besoin d’isolation du

service. Par exemple :
Une entreprise de fabrication dispose d’une application critique qui contrôle

l’équipement de l’usine. Les interruptions de service sur d’autres parties du réseau
de l’organisation ne peuvent pas interférer avec le fonctionnement de l’usine.
Une société d’hébergement fournit un service à plusieurs clients. Chaque client a

besoin d’une isolation de service afin que toute interruption de service qui affecte
un client n’affecte pas les autres.
Autonomie du service
L’autonomie du service implique la capacité à gérer l’infrastructure sans nécessiter de
contrôle exclusif ; par exemple, lorsqu’un groupe souhaite apporter des modifications à
l’infrastructure (l’ajout ou la suppression de domaines, la modification de l’espace de
noms de domaine (DNS) ou la modification du schéma par exemple) sans l’approbation
du propriétaire de la forêt.
L’autonomie du service peut être requise au sein d’une organisation pour un groupe qui
souhaite pouvoir contrôler le niveau de service d’AD DS (en ajoutant et en supprimant
des contrôleurs de domaine, selon les besoins) ou pour un groupe qui doit pouvoir
installer des applications avec annuaire qui nécessitent des extensions de schéma.
Connectivité limitée
Si un groupe au sein de votre organisation possède des réseaux séparés par des
appareils qui restreignent ou limitent la connectivité entre les réseaux (comme les pare-
feu et les appareils NAT), cela peut avoir un impact sur la conception de votre forêt.
Lorsque vous identifiez vos exigences de conception de forêt, veillez à noter les
emplacements où vous disposez d’une connectivité réseau limitée. Ces informations
sont nécessaires pour vous permettre de prendre des décisions concernant la
conception de la forêt.
Détermination du nombre de forêts
nécessaires

Pour déterminer le nombre de forêts que vous devez déployer, vous devez identifier et
évaluer soigneusement les exigences d’isolation et d’autonomie pour chaque groupe de
votre organisation et mapper ces spécifications aux modèles de conception de forêt
appropriés.
Lorsque vous déterminez le nombre de forêts à déployer pour votre organisation, tenez
compte des points suivants :
Les exigences d’isolation limitent vos choix de conception. Par conséquent, si vous
identifiez les exigences d’isolation, assurez-vous que les groupes requièrent
réellement l’isolation des données et que l’autonomie des données n’est pas
suffisante pour répondre à leurs besoins. Veillez à ce que les différents groupes de
votre organisation comprennent clairement les concepts d’isolation et
d’autonomie.
La négociation de la conception peut être un processus long. Il peut être difficile

pour les groupes d’arriver à un accord sur la propriété et les utilisations des
ressources disponibles. Veillez à laisser suffisamment de temps aux groupes de
votre organisation pour effectuer des recherches adéquates afin d’identifier leurs
besoins. Définir des échéances fermes pour les décisions de conception et obtenir
le consensus de toutes les parties sur les échéances établies.
La détermination du nombre de forêts à déployer implique l’équilibrage des coûts

par rapport aux avantages. Un modèle à forêt unique est l’option la plus rentable
et requiert le moins de charge administrative. Bien qu’un groupe de l’Organisation
puisse préférer des opérations de service autonomes, il peut être plus rentable
pour l’organisation de s’abonner à la livraison de service à partir d’un groupe
informatique centralisé et approuvé. Cela permet au groupe de gérer ses données
sans créer les coûts supplémentaires de la gestion des services. L’équilibrage des
coûts par rapport aux avantages peut nécessiter l’intervention du sponsor exécutif.
Une seule forêt est la configuration la plus simple à gérer. Cela permet une
collaboration maximale au sein de l’environnement, car :
Tous les objets d’une même forêt sont répertoriés dans le catalogue global. Par
conséquent, aucune synchronisation entre les forêts n’est requise.
La gestion d’une infrastructure en double n’est pas obligatoire.
Nous ne recommandons pas la copropriété d’une forêt unique par deux

organisations informatiques distinctes et autonomes. À l’avenir, les objectifs des
deux groupes informatiques peuvent changer, afin qu’ils ne puissent plus accepter
le contrôle partagé.
Nous ne recommandons pas l’administration du service d’externalisation à

plusieurs partenaires externes. Les organisations multinationales qui possèdent des
groupes dans des pays ou régions différents peuvent choisir d’externaliser
l’administration des services à un autre partenaire externe pour chaque pays ou
région. Étant donné que plusieurs partenaires extérieurs ne peuvent pas être isolés
les uns des autres, les actions d’un partenaire peuvent affecter le service de l’autre,
ce qui rend difficile la responsabilité des partenaires envers leurs contrats de
niveau de service.
Une seule instance d’un domaine Active Directory doit exister à tout moment.
Microsoft ne prend pas en charge le clonage, le fractionnement ou la copie de
contrôleurs de domaine à partir d’un domaine lors d’une tentative d’établissement
d’une deuxième instance du même domaine. Pour plus d’informations sur cette
limitation, consultez la section suivante.
Limitations de la restructuration
Lorsqu’une entreprise acquiert une autre société, une unité commerciale ou une gamme
de produits, elle souhaitera peut-être également acquérir des ressources informatiques
correspondantes auprès du vendeur. Plus précisément, l’acheteur peut souhaiter
acquérir une partie ou la totalité des contrôleurs de domaine qui hébergent les comptes
d’utilisateur, les comptes d’ordinateurs et les groupes de sécurité qui correspondent aux
ressources de l’entreprise qui doivent être acquises. Les seules méthodes prises en
charge pour que l’acheteur obtienne les ressources informatiques stockées dans la forêt
Active Directory du vendeur sont les suivantes :
1. Acquérir la seule instance de la forêt, y compris tous les contrôleurs de domaine et

les données d’annuaire de l’ensemble de la forêt du vendeur.
2. Migrez les données d’annuaire nécessaires de la forêt ou des domaines du

vendeur vers un ou plusieurs des domaines de l’acheteur. La cible d’une telle
migration peut être une toute nouvelle forêt ou un ou plusieurs domaines
existants déjà déployés dans la forêt de l’acheteur.
Cette limitation de support existe, car :
Chaque domaine d’une forêt Active Directory se voit affecter une identité unique
lors de la création de la forêt. La copie de contrôleurs de domaine d’un domaine
d’origine vers un domaine cloné compromet la sécurité des domaines et de la
forêt. Les menaces pesant sur le domaine d’origine et le domaine cloné sont les
suivantes :
Partage des mots de passe qui peuvent être utilisés pour accéder aux ressources
Insight sur les comptes et les groupes d’utilisateurs privilégiés
Mappage d’adresses IP aux noms d’ordinateurs
Ajouts, suppressions et modifications d’informations d’annuaire si des

contrôleurs de domaine dans un domaine cloné établissent déjà une
connectivité réseau avec les contrôleurs de domaine du domaine d’origine
Les domaines clonés partagent une identité de sécurité commune ; par

conséquent, les relations d’approbation ne peuvent pas être établies entre elles,
même si l’un des domaines ou les deux ont été renommés.
Dans cette section

Modèles de conception de forêt
Mappage des exigences de conception aux modèles de conception de forêt
Utilisation du modèle de forêt de domaine d’organisation

Modèles de conception de forêt

Vous pouvez appliquer l’un des trois modèles de conception de forêt suivants dans
votre environnement Active Directory :
Modèle de forêt organisationnelle
Modèle de forêt de ressources
Modèle de forêt d’accès restreint
Il est probable que vous deviez utiliser une combinaison de ces modèles pour répondre
aux besoins de tous les différents groupes de votre organisation.
Modèle de forêt organisationnelle

Dans le modèle de forêt organisationnelle, les comptes d’utilisateur et les ressources
sont contenus dans la forêt et gérés indépendamment. La forêt organisationnelle peut
être utilisée pour assurer l’autonomie du service, l’isolation de service ou l’isolation des
données, si la forêt est configurée pour empêcher l’accès à n’importe qui en dehors de
la forêt.
Si les utilisateurs d’une forêt organisationnelle doivent accéder aux ressources d’autres
forêts (ou à l’inverse), les relations d’approbation peuvent être établies entre une forêt
organisationnelle et les autres forêts. Cela permet aux administrateurs d’accorder l’accès
aux ressources dans l’autre forêt. L’illustration suivante montre le modèle de forêt
d’organisation.
Chaque conception Active Directory inclut au moins une forêt d’organisation.
Modèle de forêt de ressources

Dans le modèle de forêt de ressources, une forêt distincte est utilisée pour gérer les
ressources. Les forêts de ressources ne contiennent pas de comptes d’utilisateur autres
que ceux requis pour l’administration du service et ceux requis pour fournir un autre
accès aux ressources de cette forêt, si les comptes d’utilisateur de la forêt
organisationnelle deviennent indisponibles. Les approbations de forêt sont établies afin
que les utilisateurs d’autres forêts puissent accéder aux ressources contenues dans la
forêt de ressources. L’illustration suivante montre le modèle de forêt de ressources.
Les forêts de ressources fournissent une isolation de service utilisée pour protéger les
zones du réseau qui doivent maintenir un état de haute disponibilité. Par exemple, si
votre entreprise comprend une usine de fabrication qui doit continuer à fonctionner en
cas de problèmes sur le reste du réseau, vous pouvez créer une forêt de ressources
distincte pour le groupe de fabrication.
Modèle de forêt d’accès restreint

Dans le modèle de forêt d’accès restreint, une forêt distincte est créée pour contenir des
comptes d’utilisateur et des données qui doivent être isolés du reste de l’organisation.
Les forêts d’accès restreint offrent une isolation des données dans les situations où les
conséquences de la compromission des données du projet sont graves. L’illustration
suivante montre un modèle de forêt d’accès restreint.
Les utilisateurs d’autres forêts ne peuvent pas avoir accès aux données restreintes, car
aucune approbation n’existe. Dans ce modèle, les utilisateurs ont un compte dans une
forêt organisationnelle pour accéder aux ressources organisationnelles générales et un
compte d’utilisateur distinct dans la forêt d’accès restreint pour accéder aux données
classifiées. Ces utilisateurs doivent avoir deux stations de travail distinctes, une
connectée à la forêt organisationnelle et l’autre connectée à la forêt d’accès restreint.
Cela protège contre la possibilité qu’un administrateur de service d’une forêt puisse
accéder à une station de travail dans la forêt restreinte.
Dans les cas extrêmes, la forêt d’accès restreint peut être conservée sur un réseau
physique distinct. Les organisations qui travaillent sur des projets gouvernementaux
classifiés conservent parfois des forêts d’accès restreint sur des réseaux distincts pour
répondre aux exigences de sécurité.
Mappage des exigences de conception
aux modèles de conception de forêt

La plupart des groupes de votre organisation peuvent partager une forêt d’organisation
unique qui est gérée par un seul groupe informatique et qui contient les comptes
d’utilisateurs et les ressources pour tous les groupes qui partagent la forêt. Cette forêt
partagée, appelée forêt d’organisation initiale, est la base du modèle de conception de
forêt pour l’organisation.
Étant donné que la forêt d’organisation initiale peut héberger plusieurs groupes dans
l’organisation, le propriétaire de la forêt doit établir des contrats de niveau de service
avec chaque groupe afin que toutes les parties sachent ce qui est attendu. Cela protège
à la fois les groupes individuels et le propriétaire de la forêt en établissant des attentes
de service accordées.
Si tous les groupes de votre organisation ne peuvent pas partager une seule forêt
d’organisation, vous devez développer votre conception de forêt pour répondre aux
besoins des différents groupes. Cela implique d’identifier les exigences de conception
qui s’appliquent aux groupes en fonction de leurs besoins en matière d’autonomie et
d’isolation et s’ils disposent d’un réseau de connectivité limitée, puis d’identifier le
modèle de forêt que vous pouvez utiliser pour répondre à ces exigences. Le tableau
suivant répertorie les scénarios de modèle de conception de forêt basés sur les facteurs
d’autonomie, d’isolation et de connectivité. Après avoir identifié le scénario de
conception de forêt qui correspond le mieux à vos besoins, déterminez si vous devez
prendre des décisions supplémentaires pour répondre à vos spécifications de
conception.
７ Notes
Si un facteur est listé comme N/A, il n’est pas important, car d’autres exigences
prennent également en compte ce facteur.
Scénario Connectivité Isolation Autonomie Isolation Autonomie

limitée des des du des
données données service services
Scénario Connectivité Isolation Autonomie Isolation Autonomie
limitée des des du des
données données service services
Scénario 1 : rejoindre une Non Non Oui Non Non

forêt existante pour
l’autonomie des données
Scénario 2 : utiliser une forêt Non Non N/A Non Oui
ou un domaine
d’organisation pour
l’autonomie des services
Scénario 3 : utiliser une forêt Non Non N/A Oui N/A
d’organisation ou une forêt
de ressources pour
l’isolation de service
Scénario 4 : utiliser une forêt N/A Oui N/A N/A N/A
d’organisation ou une forêt
à accès restreint pour
l’isolation des données
Scénario 5 : utiliser une forêt Oui Non N/A Non Non
d’organisation ou
reconfigurer le pare-feu
pour une connectivité
limitée
Scénario 6 : utiliser une forêt Oui Non N/A Non Oui
ou un domaine
d’organisation et
pour l’autonomie des
services avec une
connectivité limitée
Scénario 7 : utiliser une forêt Oui Non N/A Oui N/A
de ressources et
pour l’isolation des services
avec une connectivité limitée
Scénario 1 : rejoindre une forêt existante pour

l’autonomie des données
Vous pouvez répondre à une exigence d’autonomie des données simplement en
hébergeant le groupe dans des unités d’organisation (UO) dans une forêt d’organisation
existante. Déléguez le contrôle des UO aux administrateurs de données à partir de ce
groupe pour bénéficier de l’autonomie des données. Pour plus d’informations sur la
délégation du contrôle à l’aide d’unités d’organisation, consultez création d’une
conception d’unité d’organisation.
Scénario 2 : utiliser une forêt ou un domaine

d’organisation pour l’autonomie des services
Si un groupe de votre organisation identifie l’autonomie du service en tant qu’exigence,
nous vous recommandons de reconsidérer cette exigence. L’autonomie du service crée
davantage de charge de gestion et des coûts supplémentaires pour l’organisation.
Assurez-vous que la configuration requise pour l’autonomie du service n’est pas simple
pour des raisons pratiques et que vous pouvez justifier les coûts liés à la satisfaction de
cette exigence.
Vous pouvez répondre à une exigence d’autonomie de service en procédant de l’une

des manières suivantes :
Création d’une forêt d’organisation. Placez les utilisateurs, les groupes et les
ordinateurs du groupe qui requièrent l’autonomie du service dans une forêt
d’organisation distincte. Attribuez un individu de ce groupe en tant que
propriétaire de la forêt. Si le groupe a besoin d’accéder à des ressources ou de les
partager avec d’autres forêts de l’organisation, il peut établir une relation
d’approbation entre la forêt de l’organisation et les autres forêts.
Utilisation des domaines organisationnels. Placez les utilisateurs, les groupes et les
ordinateurs dans un domaine distinct dans une forêt d’organisation existante. Ce
modèle fournit uniquement l’autonomie de service au niveau du domaine, et non
l’autonomie complète du service, l’isolation du service ou l’isolation des données.
Pour plus d’informations sur l’utilisation des domaines d’organisation, consultez

utilisation du modèle de forêt de domaines organisationnels.
Scénario 3 : utiliser une forêt d’organisation ou

une forêt de ressources pour l’isolation de
service
Vous pouvez répondre à une exigence d’isolation des services en procédant de l’une des
façons suivantes :
À l’aide d’une forêt d’organisation. Placez les utilisateurs, les groupes et les
ordinateurs du groupe qui requièrent l’isolation de service dans une forêt
partager avec d’autres forêts de l’organisation, il peut établir une relation
d’approbation entre la forêt de l’organisation et les autres forêts. Toutefois, cette
approche n’est pas recommandée, car l’accès aux ressources par le biais de
groupes universels est fortement restreint dans les scénarios d’approbation de
forêt.
Utilisation d’une forêt de ressources. Placez les ressources et les comptes de

service dans une forêt de ressources distincte, en conservant les comptes
d’utilisateur dans une forêt d’organisation existante. Si nécessaire, des comptes
alternatifs peuvent être créés dans la forêt de ressources pour accéder aux
ressources de la forêt de ressources si la forêt d’organisation n’est plus disponible.
Les comptes secondaires doivent avoir l’autorité requise pour se connecter à la
forêt de ressources et maintenir le contrôle des ressources jusqu’à ce que la forêt
soit de nouveau en ligne.
Établissez une relation d’approbation entre la ressource et les forêts de

l’organisation, afin que les utilisateurs puissent accéder aux ressources de la forêt
tout en utilisant leurs comptes d’utilisateur standard. Cette configuration permet
une gestion centralisée des comptes d’utilisateur tout en permettant aux
utilisateurs de revenir à d’autres comptes dans la forêt de ressources si la forêt
d’organisation n’est plus disponible.
Les éléments à prendre en compte pour l’isolation des services sont les suivants :
Les forêts créées pour l’isolation de service peuvent approuver les domaines
d’autres forêts, mais ne doivent pas inclure les utilisateurs d’autres forêts dans
leurs groupes d’administrateurs de service. Si les utilisateurs d’autres forêts sont
inclus dans des groupes d’administration de la forêt isolée, la sécurité de la forêt
isolée peut potentiellement être compromise, car les administrateurs de service
dans la forêt n’ont pas de contrôle exclusif.
Tant que les contrôleurs de domaine sont accessibles sur un réseau, ils sont soumis
à des attaques (telles que des attaques par déni de service) à partir de logiciels
malveillants sur ce réseau. Vous pouvez effectuer les opérations suivantes pour
vous protéger contre le risque d’une attaque :
N’hébergez les contrôleurs de domaine que sur les réseaux considérés comme
sécurisés.
Limitez l’accès au réseau ou aux réseaux qui hébergent les contrôleurs de
domaine.
L’isolation de service requiert la création d’une forêt supplémentaire. Déterminez si

le coût de maintenance de l’infrastructure pour prendre en charge la forêt
supplémentaire compense les coûts associés à la perte d’accès aux ressources en
raison de l’indisponibilité d’une forêt d’organisation.

une forêt à accès restreint pour l’isolation des
données
Vous pouvez optimiser l’isolation des données en procédant de l’une des manières
suivantes :
À l’aide d’une forêt d’organisation. Placez les utilisateurs, les groupes et les
ordinateurs du groupe qui requièrent l’isolation des données dans une forêt
partager avec d’autres forêts de l’organisation, établissez une relation
d’approbation entre la forêt de l’organisation et les autres forêts. Seuls les
utilisateurs qui ont besoin d’accéder aux informations classifiées existent dans la
nouvelle forêt d’organisation. Les utilisateurs disposent d’un compte qu’ils utilisent
pour accéder à des données classifiées dans leur propre forêt et à des données
non classifiées dans d’autres forêts par le biais de relations d’approbation.
Utilisation d’une forêt avec accès restreint. Il s’agit d’une forêt distincte qui
contient les données restreintes et les comptes d’utilisateur utilisés pour accéder à
ces données. Les comptes d’utilisateurs distincts sont conservés dans les forêts
organisationnelles existantes qui sont utilisées pour accéder aux ressources non
restreintes sur le réseau. Aucune approbation n’est créée entre la forêt à accès
restreint et les autres forêts de l’entreprise. Vous pouvez restreindre davantage la
forêt en déployant la forêt sur un réseau physique distinct, afin qu’elle ne puisse
pas se connecter à d’autres forêts. Si vous déployez la forêt sur un réseau distinct,
les utilisateurs doivent disposer de deux stations de travail : l’une pour accéder à la
forêt restreinte et l’autre pour accéder aux zones non restreintes du réseau.
Les éléments à prendre en compte pour la création de forêts pour l’isolation des
données sont les suivants :
Les forêts organisationnelles créées pour l’isolation des données peuvent
approuver les domaines d’autres forêts, mais les utilisateurs d’autres forêts ne
doivent pas être inclus dans l’un des éléments suivants :
Groupes responsables de la gestion des services ou des groupes pouvant gérer

l’appartenance des groupes d’administrateurs de service
Groupes qui ont un contrôle administratif sur les ordinateurs qui stockent des
données protégées
Groupes ayant accès aux données ou groupes protégés qui sont responsables
de la gestion des objets utilisateur ou des objets de groupe qui ont accès aux
données protégées
Si les utilisateurs d’une autre forêt sont inclus dans l’un de ces groupes, une
compromission de l’autre forêt peut entraîner une compromission de la forêt
isolée et la divulgation des données protégées.
D’autres forêts peuvent être configurées pour approuver la forêt d’organisation

créée pour l’isolation des données afin que les utilisateurs de la forêt isolée
puissent accéder aux ressources d’autres forêts. Toutefois, les utilisateurs de la
forêt isolée ne doivent jamais se connecter de manière interactive aux stations de
travail de la forêt d’approbation. L’ordinateur de la forêt d’approbation peut
potentiellement être compromis par des logiciels malveillants et peut être utilisé
pour capturer les informations d’identification d’ouverture de session de
l’utilisateur.
７ Notes
Pour empêcher les serveurs d’une forêt approuvée d’emprunter l’identité des
utilisateurs de la forêt isolée, puis d’accéder aux ressources de la forêt isolée,
le propriétaire de la forêt peut désactiver l’authentification déléguée ou
utiliser la fonctionnalité de délégation limitée. Pour plus d’informations sur
l’authentification déléguée et la délégation avec restriction, consultez
délégation de l’authentification.
Vous devrez peut-être établir un pare-feu entre la forêt de l’organisation et les

autres forêts de l’Organisation pour limiter l’accès des utilisateurs aux informations
situées en dehors de leur forêt.
Bien que la création d’une forêt distincte permette l’isolation des données, tant
que les contrôleurs de domaine dans la forêt isolée et les ordinateurs qui
hébergent les informations protégées sont accessibles sur un réseau, ils sont
soumis à des attaques lancées à partir d’ordinateurs sur ce réseau. Les
organisations qui décident que le risque d’attaque est trop élevé ou que la
conséquence d’une attaque ou d’une violation de la sécurité est trop importante
pour limiter l’accès au réseau ou aux réseaux qui hébergent les contrôleurs de
domaine et les ordinateurs qui hébergent des données protégées. La limitation de
l’accès peut être effectuée à l’aide de technologies telles que les pare-feu et IPsec
(Internet Protocol Security). Dans les cas extrêmes, les organisations peuvent
choisir de conserver les données protégées sur un réseau indépendant qui n’a pas
de connexion physique à un autre réseau de l’organisation.
７ Notes
S’il existe une connectivité réseau entre une forêt à accès restreint et un autre
réseau, il est possible que les données de la zone restreinte soient transmises
à l’autre réseau.

reconfigurer le pare-feu pour une connectivité
limitée
Pour répondre à une exigence de connectivité limitée, vous pouvez effectuer l’une des
opérations suivantes :
Placez les utilisateurs dans une forêt d’organisation existante, puis ouvrez le pare-
feu suffisamment pour autoriser le trafic de Active Directory.
Utilisez une forêt d’organisation. Placez les utilisateurs, les groupes et les
ordinateurs du groupe pour lesquels la connectivité est limitée dans une forêt
propriétaire de la forêt. La forêt d’organisation fournit un environnement distinct
de l’autre côté du pare-feu. La forêt comprend des comptes d’utilisateurs et des
ressources qui sont gérés au sein de la forêt, de sorte que les utilisateurs n’ont pas
besoin de traverser le pare-feu pour accomplir leurs tâches quotidiennes. Des
utilisateurs ou des applications spécifiques peuvent avoir des besoins spéciaux qui
nécessitent la possibilité de traverser le pare-feu pour contacter d’autres forêts.
Vous pouvez répondre à ces besoins individuellement en ouvrant les interfaces
appropriées dans le pare-feu, y compris celles nécessaires pour que les
approbations fonctionnent.
Pour plus d’informations sur la configuration de pare-feu pour une utilisation avec
Active Directory Domain Services (AD DS), consultez Active Directory dans les réseaux
segmentés par des pare-feu .
Scénario 6 : utiliser une forêt ou un domaine

d’organisation et reconfigurer le pare-feu pour
l’autonomie des services avec une connectivité
limitée
Si un groupe de votre organisation identifie l’autonomie du service en tant qu’exigence,
nous vous recommandons de reconsidérer cette exigence. L’autonomie du service crée
davantage de charge de gestion et des coûts supplémentaires pour l’organisation.
Assurez-vous que la configuration requise pour l’autonomie du service n’est pas simple
pour des raisons pratiques et que vous pouvez justifier les coûts liés à la satisfaction de
cette exigence.
Si la connectivité limitée est un problème et que vous avez besoin d’une autonomie de
service, vous pouvez effectuer l’une des opérations suivantes :
ordinateurs du groupe qui requièrent l’autonomie du service dans une forêt
Placez les utilisateurs, les groupes et les ordinateurs dans un domaine distinct dans
une forêt d’organisation existante. Ce modèle fournit uniquement l’autonomie de
service au niveau du domaine, et non l’autonomie complète du service, l’isolation
du service ou l’isolation des données. Les autres groupes de la forêt doivent faire
confiance aux administrateurs de service du nouveau domaine pour qu’ils
approuvent le propriétaire de la forêt. Pour cette raison, nous ne recommandons
pas cette approche. Pour plus d’informations sur l’utilisation des domaines
d’organisation, consultez utilisation du modèle de forêt de domaines
organisationnels.
Vous devez également ouvrir le pare-feu suffisamment pour permettre le transfert de

Active Directory. Pour plus d’informations sur la configuration de pare-feu pour une
utilisation avec AD DS, consultez Active Directory dans les réseaux segmentés par des
pare-feu .
Scénario 7 : utiliser une forêt de ressources et

reconfigurer le pare-feu pour l’isolation des
services avec une connectivité limitée
Si la connectivité limitée est un problème et que vous avez besoin d’un isolement de
service, vous pouvez effectuer l’une des opérations suivantes :
ordinateurs du groupe qui requièrent l’isolation de service dans une forêt
Utilisez une forêt de ressources. Placez les ressources et les comptes de service
dans une forêt de ressources distincte, en conservant les comptes d’utilisateur
dans une forêt d’organisation existante. Il peut être nécessaire de créer des
comptes d’utilisateur de substitution dans la forêt de ressources pour conserver
l’accès à la forêt de ressources si celle-ci n’est plus disponible. Les comptes
secondaires doivent avoir l’autorité requise pour se connecter à la forêt de
ressources et maintenir le contrôle des ressources jusqu’à ce que la forêt soit de
nouveau en ligne.
Établissez une relation d’approbation entre la ressource et les forêts de

l’organisation, afin que les utilisateurs puissent accéder aux ressources de la forêt
tout en utilisant leurs comptes d’utilisateur standard. Cette configuration permet
une gestion centralisée des comptes d’utilisateur tout en permettant aux
utilisateurs de revenir à d’autres comptes dans la forêt de ressources si la forêt
d’organisation n’est plus disponible.
Les éléments à prendre en compte pour l’isolation des services sont les suivants :
Les forêts créées pour l’isolation de service peuvent approuver les domaines
d’autres forêts, mais ne doivent pas inclure les utilisateurs d’autres forêts dans
leurs groupes d’administrateurs de service. Si les utilisateurs d’autres forêts sont
inclus dans des groupes d’administration de la forêt isolée, la sécurité de la forêt
isolée peut potentiellement être compromise, car les administrateurs de service
dans la forêt n’ont pas de contrôle exclusif.
Tant que les contrôleurs de domaine sont accessibles sur un réseau, ils sont soumis
à des attaques (telles que des attaques par déni de service) à partir d’ordinateurs
sur ce réseau. Vous pouvez effectuer les opérations suivantes pour vous protéger
contre le risque d’une attaque :
N’hébergez les contrôleurs de domaine que sur les réseaux considérés comme
sécurisés.
Limitez l’accès au réseau ou aux réseaux qui hébergent les contrôleurs de

domaine.
L’isolation de service requiert la création d’une forêt supplémentaire. Déterminez si

le coût de maintenance de l’infrastructure pour prendre en charge la forêt
supplémentaire compense les coûts associés à la perte d’accès aux ressources en
raison de l’indisponibilité d’une forêt d’organisation.
Des utilisateurs ou des applications spécifiques peuvent avoir des besoins spéciaux
qui nécessitent la possibilité de traverser le pare-feu pour contacter d’autres forêts.
Pour plus d’informations sur la configuration de pare-feu pour une utilisation avec AD
DS, consultez Active Directory dans les réseaux segmentés par des pare-feu .
Utilisation du modèle de forêt de
domaine d’organisation

Dans le modèle de forêt de domaine d’organisation, plusieurs groupes autonomes

possèdent chacun un domaine au sein d’une forêt. Chaque groupe contrôle
l’administration de service au niveau du domaine, ce qui leur permet de gérer certains
aspects de la gestion des services de manière autonome, tandis que le propriétaire de la
forêt contrôle la gestion des services au niveau de la forêt.
L’illustration suivante montre un modèle de forêt de domaine d’organisation.
Autonomie du service au niveau du domaine

Le modèle de forêt de domaine d’organisation permet la délégation d’autorité pour la
gestion des services au niveau du domaine. Le tableau suivant répertorie les types de
gestion des services qui peuvent être contrôlés au niveau du domaine.
Type de gestion Tâches associées
des services
Gestion des - Création et suppression de contrôleurs de domaine
opérations de - Surveillance du fonctionnement des contrôleurs de domaine
contrôleur de - Gestion des services qui s’exécutent sur des contrôleurs de domaine
domaine - Sauvegarde et restauration du répertoire
Configuration des - Création de stratégies de compte d’utilisateur de domaine et de

paramètres à domaine, telles que le mot de passe, Kerberos et les stratégies de
l’échelle du domaine verrouillage de compte
- Création et application de stratégie de groupe à l’échelle du domaine
Délégation de - Création d’unités d’organisation et délégation d’administration
l’administration au - Réparation des problèmes dans la structure de l’unité d’organisation que

niveau des données les propriétaires d’unité d’organisation n’ont pas les droits d’accès
suffisants pour résoudre les problèmes
Gestion des - Établissement de relations d’approbation avec des domaines en dehors

approbations de la forêt
externes
D’autres types de gestion de service, tels que la gestion de schéma ou de topologie de

réplication, sont la responsabilité du propriétaire de la forêt.
Propriétaire de domaine
Dans un modèle de forêt de domaine d’organisation, les propriétaires de domaine sont
responsables des tâches de gestion des services au niveau du domaine. Les propriétaires
de domaine ont l’autorité sur l’ensemble du domaine, ainsi que l’accès à tous les autres
domaines de la forêt. Pour cette raison, les propriétaires de domaine doivent être des
personnes approuvées sélectionnées par le propriétaire de la forêt.
Déléguer la gestion des services au niveau du domaine à un propriétaire de domaine, si

les conditions suivantes sont remplies :
Tous les groupes participant à la forêt approuvent le nouveau propriétaire de

domaine et les pratiques de gestion des services du nouveau domaine.
Le nouveau propriétaire de domaine approuve le propriétaire de la forêt et tous les

autres propriétaires de domaine.
Tous les propriétaires de domaine de la forêt conviennent que le nouveau

propriétaire de domaine dispose de stratégies et de pratiques de gestion et de
sélection d’administrateur de service qui sont égales ou plus strictes que leurs
propres.
Tous les propriétaires de domaine de la forêt conviennent que les contrôleurs de
domaine gérés par le nouveau propriétaire de domaine dans le nouveau domaine
sont physiquement sécurisés.
Notez que si un propriétaire de forêt délègue la gestion de service au niveau du

domaine à un propriétaire de domaine, d’autres groupes peuvent choisir de ne pas
joindre cette forêt s’ils n’approuvent pas ce propriétaire de domaine.
Tous les propriétaires de domaine doivent être conscients que si l’une de ces conditions
change à l’avenir, il peut être nécessaire de déplacer les domaines d’organisation dans
un déploiement à plusieurs forêts.
７ Notes
Une autre façon de réduire les risques de sécurité pour un domaine Active
Directory Windows Server 2008 consiste à utiliser la séparation des rôles
d’administrateur, ce qui nécessite le déploiement d’un contrôleur de domaine en
lecture seule (RODC) dans votre infrastructure Active Directory. Un contrôleur de
domaine en lecture seule est un nouveau type de contrôleur de domaine dans le
système d’exploitation Windows Server 2008 qui héberge des partitions en lecture
seule de la base de données Active Directory. Avant la publication de Windows
Server 2008, tout travail de maintenance de serveur sur un contrôleur de domaine
devait être effectué par un administrateur de domaine. Dans Windows Server 2008,
vous pouvez déléguer des autorisations d’administration locales pour un contrôleur
de domaine à un utilisateur de domaine sans accorder à cet utilisateur des droits
d’administration pour le domaine ou d’autres contrôleurs de domaine. Cela permet
à l’utilisateur délégué de se connecter à un contrôleur de domaine en lecture seule
et d’effectuer des tâches de maintenance, telles que la mise à niveau d’un pilote,
sur le serveur. Toutefois, cet utilisateur délégué ne peut pas se connecter à un autre
contrôleur de domaine ou effectuer une autre tâche administrative dans le
domaine. De cette façon, tout utilisateur approuvé peut être délégué à la possibilité
de gérer efficacement le RODC sans compromettre la sécurité du reste du domaine.
Pour plus d’informations sur les contrôleurs de domaine, consultez AD DS : Read-
Only contrôleurs de domaine.
Création d'une conception de domaine

Le propriétaire de la forêt est responsable de la création d’une conception de domaine

pour la forêt. La création d’une conception de domaine implique d’examiner les
exigences de réplication et la capacité existante de votre infrastructure réseau, puis de
créer une structure de domaine qui permet à Active Directory Domain Services (AD DS)
de fonctionner de la manière la plus efficace. Les domaines sont utilisés pour
partitionner l’annuaire afin que les informations contenues dans l’annuaire puissent être
distribuées et gérées efficacement au sein de l’entreprise. L’objectif de votre conception
de domaine est d’optimiser l’efficacité de la topologie de réplication Active Directory
tout en veillant à ce que la réplication n’utilise pas trop de bande passante réseau
disponible et n’interfère pas avec le fonctionnement quotidien de votre réseau.

Examen des modèles de domaine
Détermination du nombre de domaines nécessaires
Décision de mettre à niveau des domaines existants ou d’en déployer de nouveaux
Affectation de noms de domaine
Sélection du domaine racine de forêt

Examen des modèles de domaine

Les facteurs suivants ont un impact sur le modèle de conception de domaine que vous
sélectionnez :
Quantité de capacité disponible sur votre réseau que vous êtes prêt à allouer à
Active Directory Domain Services (AD DS). L’objectif est de sélectionner un modèle
qui fournit une réplication efficace des informations avec un impact minimal sur la
bande passante réseau disponible.
Nombre d’utilisateurs de votre organisation. Si votre organisation inclut un grand

nombre d’utilisateurs, le déploiement de plusieurs domaines vous permet de
partitionner vos données et vous donne davantage de contrôle sur la quantité de
trafic de réplication qui passera par une connexion réseau donnée. Vous pouvez
ainsi contrôler où les données sont répliquées et réduire la charge créée par le
trafic de réplication sur les liaisons lentes de votre réseau.
La conception de domaine la plus simple est un domaine unique. Dans une conception
à domaine unique, toutes les informations sont répliquées sur tous les contrôleurs de
domaine. Toutefois, si nécessaire, vous pouvez déployer des domaines régionaux
supplémentaires. Cela peut se produire si des parties de l’infrastructure réseau sont
connectées par des liaisons lentes, et si le propriétaire de la forêt souhaite s’assurer que
le trafic de réplication ne dépasse pas la capacité allouée à AD DS.
Il est préférable de réduire le nombre de domaines que vous déployez dans votre forêt.
Cela réduit la complexité globale du déploiement et, par conséquent, réduit le coût total
de possession. Le tableau suivant répertorie les coûts d’administration associés à l’ajout
de domaines régionaux.
Coût Implications
Gestion de plusieurs groupes Chaque domaine a ses propres groupes d’administrateurs de

d’administrateurs de service service qui doivent être gérés indépendamment.
L’appartenance de ces groupes d’administrateurs de service
doit être contrôlée avec soin.
Coût Implications
Maintien de la cohérence entre Stratégie de groupe paramètres qui doivent être appliqués à
les paramètres de stratégie de l’ensemble de la forêt doivent être appliqués séparément à
groupe communs à plusieurs chaque domaine de la forêt.
domaines
Maintien de la cohérence entre Les paramètres de contrôle d’accès et d’audit qui doivent être
les paramètres de contrôle appliqués dans la forêt doivent être appliqués séparément à
d’accès et d’audit communs à chaque domaine de la forêt.
plusieurs domaines
Probabilité accrue d’objets se Plus le nombre de domaines est élevé, plus il est probable que
déplaçant entre des domaines les utilisateurs doivent passer d’un domaine à un autre. Ce
déplacement peut potentiellement avoir un impact sur les
utilisateurs finaux.
７ Notes
les stratégies de verrouillage de compte et de mot de passe affinées Windows

serveur peuvent également avoir un impact sur le modèle de conception de
domaine que vous sélectionnez. avant cette version de Windows Server 2008, vous
pouviez appliquer un seul mot de passe et une seule stratégie de verrouillage de
compte, spécifiée dans la stratégie de domaine par défaut du domaine, à tous les
utilisateurs du domaine. Par conséquent, si vous souhaitez des paramètres de mot
de passe et de verrouillage de compte différents pour différents groupes
d’utilisateurs, vous deviez créer un filtre de mot de passe ou déployer plusieurs
domaines. Vous pouvez maintenant utiliser des stratégies de mot de passe affinées
pour spécifier plusieurs stratégies de mot de passe et appliquer des restrictions de
mot de passe et des stratégies de verrouillage de compte différentes à différents
groupes d’utilisateurs au sein d’un même domaine. Pour plus d’informations sur les
stratégies de verrouillage de compte et de mot de passe affinées, consultez l’article
Fine-Grained AD DS Guide pas à pas de la stratégie de verrouillage de compte et
de mot de passe.
Modèle à domaine unique

Un modèle de domaine unique est le plus facile à administrer et le moins onéreux à
gérer. Il se compose d’une forêt qui contient un seul domaine. Ce domaine est le
domaine racine de la forêt et contient tous les comptes d’utilisateurs et de groupes de
la forêt.
Un modèle de forêt à domaine unique réduit la complexité administrative en offrant les
avantages suivants :
N’importe quel contrôleur de domaine peut authentifier n’importe quel utilisateur

de la forêt.
Tous les contrôleurs de domaine peuvent être des catalogues globaux. vous n’avez
donc pas besoin de planifier le placement du serveur de catalogue global.
Dans une forêt à domaine unique, toutes les données d’annuaire sont répliquées sur
tous les emplacements géographiques qui hébergent les contrôleurs de domaine. Bien
que ce modèle soit le plus facile à gérer, il crée également le trafic de réplication le plus
élevé des deux modèles de domaine. Le partitionnement de l’annuaire en plusieurs
domaines limite la réplication des objets à des régions géographiques spécifiques, mais
entraîne une charge administrative plus importante.
Modèle de domaine régional

Toutes les données d’objet d’un domaine sont répliquées sur tous les contrôleurs de
domaine de ce domaine. Pour cette raison, si votre forêt comprend un grand nombre
d’utilisateurs répartis sur différents emplacements géographiques connectés par un
réseau étendu (WAN), vous devrez peut-être déployer des domaines régionaux pour
réduire le trafic de réplication sur les liaisons WAN. Les domaines régionaux
géographiquement peuvent être organisés en fonction de la connectivité WAN réseau.
Le modèle de domaine régional vous permet de gérer un environnement stable dans le

temps. Basez les régions utilisées pour définir des domaines dans votre modèle sur des
éléments stables, tels que les limites continentales. Les domaines basés sur d’autres
facteurs, tels que les groupes au sein de l’organisation, peuvent changer fréquemment
et peuvent vous obliger à restructurer votre environnement.
Le modèle de domaine régional se compose d’un domaine racine de forêt et d’un ou

plusieurs domaines régionaux. La création d’une conception de modèle de domaine
régional implique l’identification du domaine racine de la forêt et du nombre de
domaines supplémentaires requis pour répondre à vos besoins de réplication. Si votre
organisation comprend des groupes qui nécessitent l’isolation des données ou
l’isolation des services d’autres groupes de l’organisation, créez une forêt distincte pour
ces groupes. Les domaines n’assurent pas l’isolation des données ou l’isolation des
services.
Détermination du nombre de domaines
nécessaires

Chaque forêt commence par un domaine unique. Le nombre maximal d’utilisateurs

qu’une forêt de domaine unique peut contenir est basé sur le lien le plus lent qui doit
prendre en charge la réplication entre les contrôleurs de domaine et la bande passante
disponible que vous souhaitez allouer à Active Directory Domain Services (AD DS). Le
tableau suivant répertorie le nombre maximal recommandé d’utilisateurs qu’un domaine
peut contenir en fonction d’une forêt de domaine unique, de la vitesse du lien le plus
lent et du pourcentage de bande passante que vous souhaitez réserver pour la
réplication. Ces informations s’appliquent aux forêts qui contiennent un maximum de
100 000 utilisateurs et qui ont une connectivité de 28,8 kilobits par seconde (Kbits/s) ou
plus. Pour obtenir des recommandations qui s’appliquent aux forêts qui contiennent
plus de 100 000 utilisateurs ou une connectivité inférieure à 28,8 Kbits/s, consultez un
Active Directory designer expérimenté. Les valeurs du tableau suivant sont basées sur le
trafic de réplication généré dans un environnement qui présente les caractéristiques
suivantes :
Les nouveaux utilisateurs rejoignent la forêt à un débit de 20% par an.

Les utilisateurs laissent la forêt à un débit de 15% par an.
Chaque utilisateur est membre de cinq groupes globaux et de cinq groupes
universels.
Le ratio entre les utilisateurs et les ordinateurs est de 1:1.
Le système de noms de domaine (DNS, Domain Name System) intégré à Active
Directory est utilisé.
Le nettoyage DNS est utilisé.
７ Notes
Les figures répertoriées dans le tableau suivant sont des approximations. La

quantité de trafic de réplication dépend en grande partie du nombre de
modifications apportées à l’annuaire dans un laps de temps donné. Vérifiez que
votre réseau peut prendre en charge votre trafic de réplication en testant la
quantité estimée et le taux de modifications de votre conception dans un
laboratoire avant de déployer vos domaines.
Liaison la plus Nombre maximal Nombre maximal Nombre maximal
lente connectant d’utilisateurs si une d’utilisateurs si la d’utilisateurs si la
un contrôleur de bande passante de bande passante de bande passante de
domaine (kbps) 1% est disponible 5% est disponible 10% est disponible
28.8 10 000 25 000 40 000
32 10 000 25 000 50 000
56 10 000 50 000 100 000
64 10 000 50 000 100 000
128 25 000 100 000 100 000
256 50 000 100 000 100 000
512 80 000 100 000 100 000
1 500 100 000 100 000 100 000
Pour utiliser cette table :
1. Dans le lien le plus lent connectant une colonne de contrôleur de domaine ,

localisez la valeur qui correspond à la vitesse du lien le plus lent sur lequel AD DS
sera répliqué dans votre domaine.
2. Dans la ligne qui correspond à la vitesse de liaison la plus lente, localisez la

colonne qui représente le pourcentage de bande passante que vous souhaitez
allouer à AD DS. La valeur à cet emplacement correspond au nombre maximal
d’utilisateurs que le domaine d’une forêt de domaine unique peut contenir.
Si vous déterminez que le nombre total d’utilisateurs dans votre forêt est inférieur au
nombre maximal d’utilisateurs que votre domaine peut contenir, vous pouvez utiliser un
seul domaine. Veillez à prendre en compte la croissance future planifiée lorsque vous
effectuez cette détermination. Si vous déterminez que le nombre total d’utilisateurs
dans votre forêt est supérieur au nombre maximal d’utilisateurs que votre domaine peut
contenir, vous devez réserver un pourcentage plus élevé de bande passante pour la
réplication, augmenter votre vitesse de liaison ou diviser votre organisation en
domaines régionaux.
Division de l’organisation en domaines

régionaux
Si vous ne pouvez pas prendre en charge tous vos utilisateurs dans un domaine unique,
vous devez sélectionner le modèle de domaine régional. Divisez votre organisation en
régions d’une manière adaptée à votre organisation et à votre réseau existant. Par
exemple, vous pouvez créer des régions basées sur des limites continentales.
Notez que, étant donné que vous devez créer un domaine Active Directory pour chaque
région que vous établissez, nous vous recommandons de réduire le nombre de régions
que vous définissez pour AD DS. Bien qu’il soit possible d’inclure un nombre illimité de
domaines dans une forêt, il est recommandé de ne pas inclure plus de 10 domaines
dans une forêt. Vous devez établir l’équilibre approprié entre l’optimisation de la bande
passante de réplication et la réduction de votre complexité administrative lors de la
Division de votre organisation en domaines régionaux.
Tout d’abord, déterminez le nombre maximal d’utilisateurs que votre forêt peut
héberger. Basez-le sur le lien le plus lent dans la forêt sur lequel les contrôleurs de
domaine seront répliqués et la quantité moyenne de bande passante que vous
souhaitez allouer à Active Directory réplication. Le tableau suivant répertorie le nombre
maximal d’utilisateurs recommandés qu’une forêt peut contenir. Cela est basé sur la
vitesse du lien le plus lent et le pourcentage de bande passante que vous souhaitez
réserver pour la réplication. Ces informations s’appliquent aux forêts qui contiennent un
maximum de 100 000 utilisateurs et qui ont une connectivité de 28,8 Kbits/s ou plus. Les
valeurs du tableau suivant sont basées sur les hypothèses suivantes :
Tous les contrôleurs de domaine sont des serveurs de catalogue global.

Les utilisateurs sont membres de cinq groupes globaux et de cinq groupes
universels.
Le DNS intégré à l’Active Directory est utilisé.
７ Notes

28.8 10 000 50 000 75 000
32 10 000 50 000 75 000
56 10 000 75 000 100 000
64 25 000 75 000 100 000
128 50 000 100 000 100 000
256 75 000 100 000 100 000
512 100 000 100 000 100 000
1 500 100 000 100 000 100 000

sera répliqué dans votre forêt.

allouer à AD DS. La valeur à cet emplacement correspond au nombre maximal
d’utilisateurs que votre forêt peut héberger.
Si le nombre maximal d’utilisateurs que votre forêt peut héberger est supérieur au
nombre d’utilisateurs que vous devez héberger, une seule forêt fonctionnera pour votre
conception. Si vous devez héberger plus d’utilisateurs que le nombre maximal que vous
avez identifié, vous devez augmenter la vitesse de liaison minimale, allouer un
pourcentage plus élevé de bande passante pour AD DS ou déployer des forêts
supplémentaires.
Si vous déterminez qu’une seule forêt prend en charge le nombre d’utilisateurs que
vous devez héberger, l’étape suivante consiste à déterminer le nombre maximal
d’utilisateurs que chaque région peut prendre en charge en fonction du lien le plus lent
situé dans cette région. Divisez votre forêt en régions qui ont un sens pour vous. Veillez
à baser votre décision sur un événement qui n’est pas susceptible de changer. Par
exemple, utilisez des continents à la place des régions de vente. Ces régions sont la base
de votre structure de domaine lorsque vous avez identifié le nombre maximal
d’utilisateurs.
Déterminez le nombre d’utilisateurs qui doivent être hébergés dans chaque région, puis
vérifiez qu’ils ne dépassent pas la valeur maximale autorisée en fonction de la vitesse de
liaison la plus lente et de la bande passante allouée à AD DS dans cette région. Le
tableau suivant répertorie le nombre maximal d’utilisateurs recommandés qu’un
domaine régional peut contenir. Elle est basée sur la vitesse du lien le plus lent et le
pourcentage de bande passante que vous souhaitez réserver pour la réplication. Ces
informations s’appliquent aux forêts qui contiennent un maximum de 100 000
utilisateurs et qui ont une connectivité de 28,8 Kbits/s ou plus. Les valeurs du tableau
suivant sont basées sur les hypothèses suivantes :
Tous les contrôleurs de domaine sont des serveurs de catalogue global.

Les utilisateurs sont membres de cinq groupes globaux et de cinq groupes
universels.
Le DNS intégré à l’Active Directory est utilisé.
７ Notes


28.8 10 000 18 000 40 000
32 10 000 20 000 50 000
56 10 000 40 000 100 000
64 10 000 50 000 100 000

128 15,000 100 000 100 000
256 30,000 100 000 100 000
512 80 000 100 000 100 000
1 500 100 000 100 000 100 000

sera répliqué dans votre région.

allouer à AD DS. Cette valeur représente le nombre maximal d’utilisateurs que la
région peut héberger.
Évaluez chaque région proposée et déterminez si le nombre maximal d’utilisateurs dans

chaque région est inférieur au nombre maximal d’utilisateurs recommandé qu’un
domaine peut contenir. Si vous déterminez que la région peut héberger le nombre
d’utilisateurs dont vous avez besoin, vous pouvez créer un domaine pour cette région. Si
vous déterminez que vous ne pouvez pas héberger un grand nombre d’utilisateurs,
envisagez de diviser votre conception en plus petites régions et en recalculant le
nombre maximal d’utilisateurs pouvant être hébergés dans chaque région. Les autres
alternatives sont l’allocation de bande passante supplémentaire ou l’augmentation de la
vitesse de liaison.
Même si le nombre total d’utilisateurs que vous pouvez placer dans un domaine dans
une forêt à plusieurs domaines est plus petit que le nombre d’utilisateurs dans le
domaine dans une forêt à domaine unique, le nombre total d’utilisateurs dans la forêt à
plusieurs domaines peut être plus élevé. Le plus petit nombre d’utilisateurs par domaine
dans une forêt à plusieurs domaines tient compte de la surcharge de réplication
supplémentaire créée en conservant le catalogue global dans cet environnement. Pour
obtenir des recommandations qui s’appliquent aux forêts qui contiennent plus de 100
000 utilisateurs ou une connectivité inférieure à 28,8 Kbits/s, consultez un Active
Directory designer expérimenté.
Documentation des régions identifiées
Après avoir divisé votre organisation en domaines régionaux, documentez les régions
que vous souhaitez représenter et le nombre d’utilisateurs qui se trouvent dans chaque
région. En outre, notez la vitesse des liens les plus lents dans chaque région que vous
allez utiliser pour la réplication Active Directory. Ces informations sont utilisées pour
déterminer si des domaines ou des forêts supplémentaires sont requis.
pour obtenir une feuille de calcul qui vous aide à documenter les régions que vous avez
identifiées, téléchargez
d’aide pour Windows Server 2003 Deployment Kit et ouvrez « identifier les régions »
(DSSLOGI_4.doc).
Décision de mettre à niveau des
domaines existants ou d’en déployer de
nouveaux

Chaque domaine de votre conception sera soit un nouveau domaine, soit un domaine
mis à niveau existant. Les utilisateurs de domaines existants que vous ne mettez pas à
niveau doivent être déplacés vers de nouveaux domaines.
Le déplacement de comptes entre domaines peut avoir un impact sur les utilisateurs
finaux. Avant de décider de déplacer des utilisateurs vers un nouveau domaine ou de
mettre à niveau des domaines existants, évaluez les avantages administratifs à long
terme d’un nouveau domaine AD DS par rapport au coût du déplacement des
utilisateurs dans le domaine.
pour plus d’informations sur la mise à niveau des domaines de Active Directory vers
Windows server 2008, consultez mise à niveau des domaines Active Directory vers
Windows server 2008 et Windows server 2008 R2 AD DS domains.
Pour plus d’informations sur la restructuration des domaines AD DS dans et entre les
forêts, consultez Guide de l' outil ADMT : migration et restructuration de Active
Directory domaines.
pour obtenir une feuille de calcul qui vous aide à documenter vos plans pour les
domaines nouveaux et mis à niveau, téléchargez
d’aide pour Windows Server 2003 Deployment Kit et ouvrez « Domain Planning »
(DSSLOGI_5.doc).
Affectation de noms de domaine

Vous devez attribuer un nom à chaque domaine de votre plan. Les domaines Active
Directory Domain Services (AD DS) ont deux types de noms : Domain Name System
(DNS) et NetBIOS. En général, les deux noms sont visibles par les utilisateurs finaux. Les
noms DNS des domaines Active Directory incluent deux parties, un préfixe et un suffixe.
Lors de la création de noms de domaine, déterminez d’abord le préfixe DNS. Il s’agit de
la première étiquette dans le nom DNS du domaine. Le suffixe est déterminé lorsque
vous sélectionnez le nom du domaine racine de forêt. Le tableau suivant répertorie les
règles d’attribution de noms de préfixe pour les noms DNS.
Règle Explication
Sélectionnez un préfixe qui Évitez les noms comme une ligne de produits ou un système
n’est pas susceptible de d’exploitation qui pourraient changer à l’avenir. Nous vous
devenir obsolète. recommandons d’utiliser des noms géographiques.
Sélectionnez un préfixe qui A-Z, a-z, 0-9 et (-), mais pas entièrement numérique.
inclut uniquement des
caractères standard Internet.
Incluez 15 caractères ou Si vous choisissez une longueur de préfixe de 15 caractères ou

moins dans le préfixe. moins, le nom NetBIOS est identique au préfixe.
Pour plus d'informations, consultez la page Conventions d'affectation de noms dans

Active Directory pour les ordinateurs, domaines, sites et unités d'organisation .
７ Notes
Même si Dcpromo.exe dans Windows Server 2008 et Windows Server 2003 vous

permet de créer un nom de domaine DNS à un seul intitulé, vous ne devez pas
utiliser ce type de nom pour un domaine pour plusieurs raisons. Dans Windows
Server 2008 R2, Dcpromo.exe ne vous permet pas de créer un nom DNS à un seul
intitulé pour un domaine. Pour plus d’informations, consultez Déploiement et
fonctionnement de domaines Active Directory configurés à l’aide de noms DNS à
étiquette unique .
Si le nom NetBIOS actuel du domaine n’est pas approprié pour représenter la région ou
ne répond pas aux règles d’attribution de noms de préfixe, sélectionnez un nouveau
préfixe. Dans ce cas, le nom NetBIOS du domaine est différent du préfixe DNS du
domaine.
Pour chaque nouveau domaine que vous déployez, sélectionnez un préfixe approprié
pour la région et qui répond aux règles d’attribution de noms de préfixe. Nous
recommandons d’utiliser un nom NetBIOS de domaine identique au préfixe DNS.
Documentez le préfixe DNS et les noms NetBIOS que vous sélectionnez pour chaque
domaine de votre forêt. Vous pouvez ajouter les informations de nom DNS et NetBIOS à
la feuille de calcul « Planification du domaine » que vous avez créée pour documenter
votre plan pour les domaines nouveaux et mis à niveau. Pour l’ouvrir, téléchargez
d’aides de tâches de déploiement Windows Server 2003 et ouvrez « Planification de
domaine » (DSSLOGI_5.doc).
Sélection du domaine racine de forêt

Le premier domaine que vous déployez dans une forêt Active Directory est appelé
domaine racine de la forêt. Ce domaine reste le domaine racine de la forêt pour le cycle
de vie du déploiement AD DS.
le domaine racine de la forêt contient les groupes administrateurs Enterprise et

administrateurs du schéma. Ces groupes d’administrateurs de service sont utilisés pour
gérer les opérations au niveau de la forêt, telles que l’ajout et la suppression de
domaines, ainsi que l’implémentation des modifications apportées au schéma.
La sélection du domaine racine de la forêt implique de déterminer si l’un des domaines

Active Directory dans votre conception de domaine peut fonctionner en tant que
domaine racine de la forêt ou si vous devez déployer un domaine racine de forêt dédié.
pour plus d’informations sur le déploiement d’un domaine racine de forêt, voir
déploiement d’un domaine racine de forêt Windows Server 2008.
Choix d’un domaine racine de forêt régional ou

dédié
Si vous appliquez un modèle de domaine unique, le domaine unique fonctionne comme
le domaine racine de la forêt. Si vous appliquez un modèle à plusieurs domaines, vous
pouvez choisir de déployer un domaine racine de forêt dédié ou de sélectionner un
domaine régional pour qu’il fonctionne en tant que domaine racine de la forêt.
Domaine racine dédié à la forêt

Un domaine racine de forêt dédié est un domaine créé spécifiquement pour fonctionner
en tant que racine de la forêt. Il ne contient pas de comptes d’utilisateur autres que les
comptes d’administrateur de service pour le domaine racine de forêt. En outre, il ne
représente pas une région géographique dans votre structure de domaine. Tous les
autres domaines de la forêt sont des enfants du domaine racine de la forêt dédiée.
L’utilisation d’une racine de forêt dédiée offre les avantages suivants :

Séparation opérationnelle des administrateurs de service de forêt des
administrateurs de service de domaine. dans un environnement à domaine unique,
les membres des groupes administrateurs de domaine et administrateurs intégrés
peuvent utiliser des outils et des procédures standard pour se faire être membres
des groupes administrateurs du Enterprise et administrateurs du schéma. Dans une
forêt qui utilise un domaine racine de forêt dédié, les membres des groupes
Administrateurs de domaine et administrateurs intégrés dans les domaines
régionaux ne peuvent pas être eux-mêmes membres des groupes
d’administrateurs de service au niveau de la forêt à l’aide des outils et procédures
standard.
Protection contre les modifications opérationnelles dans d’autres domaines. Un
domaine racine de forêt dédié ne représente pas une région géographique
particulière dans votre structure de domaine. Pour cette raison, elle n’est pas
affectée par les réorganisations ou autres modifications qui entraînent le
changement de nom ou la restructuration des domaines.
Sert de racine neutre afin qu’aucun pays ou région ne semble être subordonné à
une autre région. Certaines organisations préfèrent éviter d’avoir l’impression
qu’un pays ou une région est subordonné à un autre pays ou région de l’espace de
noms. Lorsque vous utilisez un domaine racine de forêt dédié, tous les domaines
régionaux peuvent être des pairs dans la hiérarchie de domaine.
Dans un environnement à plusieurs domaines régionaux dans lequel une racine de forêt
dédiée est utilisée, la réplication du domaine racine de la forêt a un impact minimal sur
l’infrastructure réseau. Cela est dû au fait que la racine de la forêt héberge uniquement
les comptes d’administrateur de service. La majorité des comptes d’utilisateur dans la
forêt et d’autres données spécifiques au domaine sont stockées dans les domaines
régionaux.
L’un des inconvénients de l’utilisation d’un domaine racine de forêt dédié est qu’il crée
une charge de gestion supplémentaire pour prendre en charge le domaine
supplémentaire.
Domaine régional en tant que domaine racine de la forêt

Si vous choisissez de ne pas déployer un domaine racine de forêt dédié, vous devez
sélectionner un domaine régional pour qu’il fonctionne en tant que domaine racine de
la forêt. Ce domaine est le domaine parent de tous les autres domaines régionaux et
sera le premier domaine que vous déployez. Le domaine racine de la forêt contient des
comptes d’utilisateur et est géré de la même façon que les autres domaines régionaux.
la principale différence réside dans le fait qu’elle comprend également les groupes
administrateurs Enterprise et administrateurs du schéma.
L’avantage de sélectionner un domaine régional pour fonctionner comme domaine
racine de la forêt est qu’il ne crée pas la surcharge de gestion supplémentaire qui gère
un domaine supplémentaire. Sélectionnez un domaine régional approprié comme racine
de la forêt, par exemple le domaine qui représente votre siège social ou la région qui
dispose des connexions réseau les plus rapides. S’il est difficile pour votre organisation
de sélectionner un domaine régional comme domaine racine de la forêt, vous pouvez
choisir d’utiliser un modèle racine de forêt dédié à la place.
Attribution du nom de domaine racine de la

forêt
Le nom de domaine racine de la forêt est également le nom de la forêt. Le nom de la
racine de la forêt est un nom DNS (Domain Name System) qui se compose d’un préfixe
et d’un suffixe au format préfixe. suffixe. Par exemple, une organisation peut avoir le
nom racine de la forêt corp.contoso.com. Dans cet exemple, Corp est le préfixe et
contoso.com est le suffixe.
Sélectionnez le suffixe dans une liste de noms existants sur votre réseau. Pour le préfixe,
sélectionnez un nouveau nom qui n’a pas été utilisé précédemment sur votre réseau. En
joignant un nouveau préfixe à un suffixe existant, vous créez un espace de noms unique.
La création d’un espace de noms pour Active Directory Domain Services (AD DS)
garantit que toute infrastructure DNS existante n’a pas besoin d’être modifiée pour
prendre en charge les AD DS.
Sélection d’un suffixe

Pour sélectionner un suffixe pour le domaine racine de la forêt :
1. Contactez le propriétaire DNS de l’Organisation pour obtenir la liste des suffixes

DNS inscrits en cours d’utilisation sur le réseau qui hébergera AD DS. Notez que
les suffixes utilisés sur le réseau interne peuvent être différents de ceux utilisés en
externe. Par exemple, une organisation peut utiliser contosopharma.com sur
Internet et contoso.com sur le réseau interne de l’entreprise.
2. Consultez le propriétaire DNS pour sélectionner un suffixe à utiliser avec AD DS.

S’il n’existe aucun suffixe approprié, inscrivez un nouveau nom auprès d’une
autorité d’attribution de noms Internet.
Nous vous recommandons d’utiliser des noms DNS inscrits auprès d’une autorité
Internet dans l’espace de noms Active Directory. Seuls les noms enregistrés sont
garantis globalement uniques. Si une autre organisation inscrit ultérieurement le même
nom de domaine DNS (ou si votre organisation fusionne avec, acquiert ou est acquise
par une autre société qui utilise le même nom DNS), les deux infrastructures ne peuvent
pas interagir les unes avec les autres.
Ｕ Attention
N’utilisez pas de noms DNS en une partie. Pour plus d’informations, consultez
déploiement et fonctionnement de Active Directory domaines configurés à l’aide
de noms DNS en une partie . En outre, nous vous déconseillons d’utiliser des
suffixes non enregistrés, tels que. local.
Sélection d’un préfixe

Si vous avez choisi un suffixe inscrit qui est déjà en cours d’utilisation sur le réseau,
sélectionnez un préfixe pour le nom de domaine racine de la forêt en utilisant les règles
de préfixe dans le tableau ci-dessous. Ajoutez un préfixe qui n’est pas actuellement
utilisé pour créer un nouveau nom subordonné. Par exemple, si le nom de votre racine
DNS est contoso.com, vous pouvez créer le Active Directory nom de domaine racine de
la forêt concorp.contoso.com si l’espace de noms concorp.contoso.com n’est pas déjà
utilisé sur le réseau. Cette nouvelle branche de l’espace de noms sera dédiée à AD DS et
peut être intégrée facilement avec l’implémentation DNS existante.
Si vous avez sélectionné un domaine régional pour qu’il fonctionne comme un domaine
racine de forêt, vous devrez peut-être sélectionner un nouveau préfixe pour le domaine.
Étant donné que le nom de domaine racine de la forêt affecte tous les autres noms de
domaine de la forêt, un nom basé sur une région peut ne pas être approprié. Si vous
utilisez un nouveau suffixe qui n’est pas en cours d’utilisation sur le réseau, vous pouvez
l’utiliser comme nom de domaine racine de la forêt sans choisir de préfixe
supplémentaire.
Le tableau suivant répertorie les règles de sélection d’un préfixe pour un nom DNS
enregistré.
Règle Explication
Sélectionnez un préfixe qui Évitez les noms tels qu’une gamme de produits ou un système
n’est pas susceptible de d’exploitation qui pourraient changer à l’avenir. Nous vous
devenir obsolète. recommandons d’utiliser des noms génériques tels que Corp ou
DS.
Règle Explication
Sélectionnez un préfixe qui A-Z, a-z, 0-9 et (-), mais pas entièrement numériques.
contient uniquement des
caractères Internet
standard.
Incluez 15 caractères ou Si vous choisissez une longueur de préfixe de 15 caractères ou

moins dans le préfixe. moins, le nom NetBIOS est le même que le préfixe.
Il est important que le propriétaire DNS Active Directory collabore avec le propriétaire
DNS de l’Organisation pour obtenir la propriété du nom qui sera utilisé pour l’espace de
noms Active Directory. Pour plus d’informations sur la conception d’une infrastructure
DNS pour prendre en charge des AD DS, consultez création d’une conception
d’infrastructure DNS.
Documentation du nom de domaine racine de

la forêt
Documentez le préfixe et le suffixe DNS que vous sélectionnez pour le domaine racine
de forêt. À ce stade, identifiez le domaine qui sera la racine de la forêt. Vous pouvez
ajouter les informations du nom de domaine racine de la forêt à la feuille de calcul
« planification de domaine » que vous avez créée pour documenter votre plan pour les
domaines nouveaux et mis à niveau et vos noms de domaine. pour l’ouvrir, téléchargez
d’aide pour Windows Server 2003 Deployment Kit et ouvrez « Domain Planning »
(DSSLOGI_5.doc).
Création d’une conception
d’infrastructure DNS

Après avoir créé vos conceptions de forêt et de domaine Active Directory, vous devez
concevoir une infrastructure DNS (Domain Name System) pour prendre en charge votre
structure logique Active Directory. L’infrastructure DNS permet aux utilisateurs d’utiliser
des noms conviviaux faciles à mémoriser pour se connecter aux ordinateurs et aux
autres ressources sur les réseaux IP. Active Directory Domain Services (AD DS) dans
Windows Server 2008 nécessite une infrastructure DNS.
Le processus de conception d’une infrastructure DNS pour prendre en charge AD DS

varie selon que votre organisation dispose déjà d’un service Serveur DNS existant ou
que vous déployez un nouveau service Serveur DNS :
Si vous disposez déjà d’une infrastructure DNS existante, vous devez intégrer
l’espace de noms Active Directory dans cet environnement. Pour plus
d’informations, consultez Intégration d’AD DS dans une infrastructure DNS
existante.
Si vous n’avez pas d’infrastructure DNS en place, vous devez concevoir et déployer
une nouvelle infrastructure DNS pour prendre en charge AD DS. Pour plus
d’informations, consultez Déploiement d’une infrastructure DNS (Domain Name
System)
Si votre organisation dispose d’une infrastructure DNS existante, vous devez vérifier que
vous comprenez la manière dont votre infrastructure DNS va interagir avec l’espace de
noms Active Directory. Pour obtenir une feuille de calcul afin de documenter facilement
la conception de votre infrastructure DNS existante, téléchargez
d’aides aux tâches de déploiement Windows Server 2003 et ouvrez « Inventaire DNS »
(DSSLOGI_8.doc).
７ Notes
En plus des adresses IP version 4 (IPv4), Windows Server prend également en

charge les adresses IP version 6 (IPv6). Pour obtenir une feuille de calcul afin de
lister facilement les adresses IPv6 tout en documentant la méthode de résolution
de noms récursive de votre structure DNS actuelle, consultez Annexe A : Inventaire
DNS.
Avant de concevoir votre infrastructure DNS pour prendre en charge AD DS, il peut
s’avérer utile d’en savoir plus sur la hiérarchie DNS, le processus de résolution de noms
DNS et la façon dont l’infrastructure DNS prend en charge AD DS. Pour plus
d’informations sur la hiérarchie DNS et le processus de résolution de noms, consultez les
informations de référence techniques sur l’infrastructure DNS. Pour plus d’informations
sur la manière dont l’infrastructure DNS prend en charge AD DS, consultez les
informations de référence techniques sur la prise en charge d’Active Directory par
l’infrastructure DNS.

Examen des concepts DNS
DNS et AD DS
DNS pour le rôle de propriétaire AD DS
Intégration d’AD DS à une infrastructure DNS existante
Examen des concepts DNS

Dns (Domain Name System) est une base de données distribuée qui représente un
espace de noms. L’espace de noms contient toutes les informations nécessaires à tout
client pour rechercher n’importe quel nom. Tout serveur DNS peut répondre à des
requêtes sur n’importe quel nom dans son espace de noms. Un serveur DNS répond aux
requêtes de l’une des façons suivantes :
Si la réponse se trouve dans son cache, elle répond à la requête à partir du cache.
Si la réponse se trouve dans une zone hébergée par le serveur DNS, elle répond à
la requête de sa zone. Une zone est une partie de l’arborescence DNS stockée sur
un serveur DNS. Lorsqu’un serveur DNS héberge une zone, il fait autorité pour les
noms de cette zone (autrement dit, le serveur DNS peut répondre à des requêtes
pour n’importe quel nom dans la zone). Par exemple, un serveur hébergeant la
zone contoso.com peut répondre à des requêtes pour n’importe quel nom dans
contoso.com.
Si le serveur ne peut pas répondre à la requête à partir de son cache ou de ses
zones, il interroge d’autres serveurs pour la réponse.
Il est important de comprendre les principales fonctionnalités du DNS, telles que la

délégation, la résolution de noms récursives et les zones DNS intégrées à Active
Directory, car elles ont un impact direct sur votre conception de structure logique Active
Directory.
Pour plus d’informations sur DNS et services de domaine Active Directory (AD DS),
consultez DNS et AD DS.
La délégation
Pour qu’un serveur DNS réponde à des requêtes sur n’importe quel nom, il doit avoir un
chemin direct ou indirect vers chaque zone de l’espace de noms. Ces chemins d’accès
sont créés par le biais de la délégation. Une délégation est un enregistrement dans une
zone parente qui répertorie un serveur de noms faisant autorité pour la zone au niveau
suivant de la hiérarchie. Les délégations permettent aux serveurs d’une zone de faire
référence aux clients dans d’autres zones. L’illustration suivante montre un exemple de
délégation.
Le serveur racine DNS héberge la zone racine représentée sous la forme d’un point ( . ).
La zone racine contient une délégation vers une zone au niveau suivant de la hiérarchie,
la zone com. La délégation dans la zone racine indique au serveur racine DNS que, pour
rechercher la zone com, il doit contacter le serveur Com. De même, la délégation dans la
zone com indique au serveur Com que, pour trouver la zone contoso.com, elle doit
contacter le serveur Contoso.
７ Notes
Une délégation utilise deux types d’enregistrements. L’enregistrement de ressource

du serveur de noms (NS) fournit le nom d’un serveur faisant autorité. Les
enregistrements de ressources d’hôte (A) et d’hôte (AAAA) fournissent des adresses
IP 4 (IPv4) et IP version 6 (IPv6) d’un serveur faisant autorité.
Ce système de zones et de délégations crée une arborescence hiérarchique qui

représente l’espace de noms DNS. Chaque zone représente une couche dans la
hiérarchie, et chaque délégation représente une branche de l’arborescence.
À l’aide de la hiérarchie des zones et délégations, un serveur racine DNS peut trouver
n’importe quel nom dans l’espace de noms DNS. La zone racine inclut des délégations
qui mènent directement ou indirectement à toutes les autres zones de la hiérarchie. Tout
serveur qui peut interroger le serveur racine DNS peut utiliser les informations des
délégations pour trouver n’importe quel nom dans l’espace de noms.
Résolution de noms récursive

La résolution de noms récursive est le processus par lequel un serveur DNS utilise la
hiérarchie des zones et des délégations pour répondre aux requêtes pour lesquelles il
n’est pas faisant autorité.
Dans certaines configurations, les serveurs DNS incluent des indicateurs racines (c’est-à-
dire une liste de noms et d’adresses IP) qui leur permettent d’interroger les serveurs
racines DNS. Dans d’autres configurations, les serveurs transfèrent toutes les requêtes
qu’ils ne peuvent pas répondre à un autre serveur. Les indicateurs de transfert et racine
sont les deux méthodes que les serveurs DNS peuvent utiliser pour résoudre les
requêtes pour lesquelles ils ne font pas autorité.
Résolution des noms à l’aide d’indicateurs racines

Les indicateurs racines permettent à n’importe quel serveur DNS de localiser les serveurs
racine DNS. Une fois qu’un serveur DNS localise le serveur racine DNS, il peut résoudre
n’importe quelle requête pour cet espace de noms. L’illustration suivante décrit
comment DNS résout un nom à l’aide d’indicateurs racines.
Dans cet exemple, les événements suivants se produisent :
1. Un client envoie une requête récursive à un serveur DNS pour demander l’adresse
IP qui correspond au nom ftp.contoso.com. Une requête récursive indique que le
client souhaite une réponse définitive à sa requête. La réponse à la requête
récursive doit être une adresse valide ou un message indiquant que l’adresse est
introuvable.
2. Étant donné que le serveur DNS n’est pas faisant autorité pour le nom et n’a pas la
réponse dans son cache, le serveur DNS utilise des indicateurs racines pour
rechercher l’adresse IP du serveur racine DNS.
3. Le serveur DNS utilise une requête itérative pour demander au serveur racine DNS
de résoudre le nom ftp.contoso.com. Une requête itérative indique que le serveur
accepte une référence à un autre serveur à la place d’une réponse définitive à la
requête. Étant donné que le nom ftp.contoso.com se termine par l’étiquette com,
le serveur racine DNS retourne une référence au serveur Com qui héberge la zone
com.
4. Le serveur DNS utilise une requête itérative pour demander au serveur Com de
résoudre le nom ftp.contoso.com. Étant donné que le nom ftp.contoso.com se
termine par le nom contoso.com, le serveur Com retourne une référence au
serveur Contoso qui héberge la zone contoso.com.
5. Le serveur DNS utilise une requête itérative pour demander au serveur Contoso de
résoudre le nom ftp.contoso.com. Le serveur Contoso trouve la réponse dans ses
données de zone, puis retourne la réponse au serveur.
6. Le serveur retourne ensuite le résultat au client.
Résolution des noms à l’aide du transfert

Le transfert vous permet d’acheminer la résolution de noms via des serveurs spécifiques
au lieu d’utiliser des indicateurs racines. L’illustration suivante décrit comment DNS
résout un nom à l’aide du transfert.
Dans cet exemple, les événements suivants se produisent :
1. Un client interroge un serveur DNS pour le nom ftp.contoso.com.

2. Le serveur DNS transfère la requête à un autre serveur DNS, appelé redirecteur.
3. Étant donné que le redirecteur n’est pas faisant autorité pour le nom et n’a pas la
réponse dans son cache, il utilise des indicateurs racines pour rechercher l’adresse
IP du serveur racine DNS.
4. Le redirecteur utilise une requête itérative pour demander au serveur racine DNS
de résoudre le nom ftp.contoso.com. Étant donné que le nom ftp.contoso.com se
termine par le nom com, le serveur racine DNS retourne une référence au serveur
Com qui héberge la zone com.
5. Le redirecteur utilise une requête itérative pour demander au serveur Com de
résoudre le nom ftp.contoso.com. Étant donné que le nom ftp.contoso.com se
termine par le nom contoso.com, le serveur Com retourne une référence au
serveur Contoso qui héberge la zone contoso.com.
6. Le redirecteur utilise une requête itérative pour demander au serveur Contoso de
résoudre le nom ftp.contoso.com. Le serveur Contoso trouve la réponse dans ses
fichiers de zone, puis retourne la réponse au serveur.
7. Le redirecteur retourne ensuite le résultat au serveur DNS d’origine.
8. Le serveur DNS d’origine retourne ensuite le résultat au client.
DNS et services AD DS

Active Directory Domain Services (AD DS) utilise des services de résolution de noms
DNS (Domain Name System) pour permettre aux clients de localiser les contrôleurs de
domaine et les contrôleurs de domaine qui hébergent le service d’annuaire pour
communiquer entre eux.
AD DS permet d’intégrer facilement l’espace de noms Active Directory dans un espace

de noms DNS existant. Les fonctionnalités telles que les zones DNS intégrées à Active
Directory facilitent le déploiement de DNS en éliminant la nécessité de configurer des
zones secondaires, puis de configurer des transferts de zone.
Pour plus d’informations sur la façon dont DNS prend en charge AD DS, consultez la
section prise en charge de DNS pour Active Directory informations techniques de
référence.
７ Notes
Si vous implémentez un espace de noms disjoint dans lequel le nom de domaine

AD DS diffère du suffixe DNS principal utilisé par les clients, l’intégration AD DS
avec DNS est plus complexe. Pour plus d’informations, consultez espace de noms
disjoint.
Dans cette section

Emplacement des contrôleurs de domaine
Zones DNS intégrées à Active Directory
Noms d’ordinateurs
Espace de noms dissocié
Emplacement des contrôleurs de
domaine

Les clients utilisent le système DNS (Domain Name System) pour localiser les contrôleurs
de domaine et effectuer des opérations telles que le traitement des demandes de
connexion ou la recherche de ressources publiées dans l’annuaire. Les contrôleurs de
domaine inscrivent un grand nombre d’enregistrements dans DNS pour aider les clients
et les autres ordinateurs à les localiser. Ces enregistrements sont collectivement
désignés par le terme « enregistrements de localisateur ».
Les contrôleurs de domaine utilisent également le DNS pour rechercher d’autres

contrôleurs de domaine et effectuer des tâches telles que la réplication. Le processus
par lequel les contrôleurs de domaine localisent les autres contrôleurs de domaine est le
même que le processus par lequel les clients localisent les contrôleurs de domaine.
Zones DNS intégrées à Active Directory

Les serveurs DNS s’exécutant sur les contrôleurs de domaine peuvent stocker leurs
zones dans Active Directory Domain Services (AD DS). De cette façon, il n’est pas
nécessaire de configurer une topologie de réplication DNS distincte qui utilise des
transferts de zone DNS ordinaires, car toutes les données de zone sont répliquées
automatiquement au moyen de la réplication Active Directory. Cela simplifie le
processus de déploiement du DNS et offre les avantages suivants :
Plusieurs maîtres sont créés pour la réplication DNS. Par conséquent, n’importe
quel contrôleur du domaine exécutant le service de serveur DNS peut écrire des
mises à jour dans les zones DNS intégrées à Active Directory pour le nom de
domaine pour lequel il fait autorité. Une topologie de transfert de zone DNS
distincte n’est pas nécessaire.
Les mises à jour dynamiques sécurisées sont prises en charge. Les mises à jour
dynamiques sécurisées permettent à un administrateur de contrôler quels
ordinateurs mettent à jour les noms et d’empêcher les ordinateurs non autorisés
de remplacer les noms existants dans DNS.
Le DNS intégré à Active Directory dans Windows Server 2008 stocke les données de
zone dans des partitions d’annuaire d’applications. (Aucune modification de
comportement n’a été apportée à l’intégration DNS basée sur Windows Server 2003 à
Active Directory.) Les partitions d’annuaire d’applications spécifiques au DNS suivantes
sont créées lors de l’installation d’AD DS :
Une partition d’annuaire d’applications à l’échelle de la forêt, appelée

ForestDnsZones
Des partitions d’annuaires d’applications à l’échelle du domaine pour chaque

domaine de la forêt, nommées DomainDnsZones
Pour plus d’informations sur la façon dont AD DS stocke les informations DNS dans les
partitions d’application, consultez la Référence technique sur DNS.
７ Notes
Nous vous recommandons d’installer DNS lorsque vous exécutez l’Assistant
Installation des services de domaine Active Directory (Dcpromo.exe). Dans ce cas,
l’Assistant crée automatiquement la délégation de zone DNS. Pour plus
d’informations, consultez Déploiement d’un domaine racine de forêt Windows
Server 2008.
Noms d’ordinateurs

Quand un ordinateur exécutant le système d’exploitation Windows 2000, Windows XP,

Windows Server 2003, Windows Server 2008 ou Windows Vista rejoint un domaine,
l’ordinateur s’attribue un nom par défaut. Le nom attribué comprend le nom d’hôte de
l’ordinateur (c’est-à-dire le nom de l’ordinateur dans les propriétés système) et le nom
DNS (Domain Name System) du domaine Active Directory rejoint par l’ordinateur (c’est-
à-dire le suffixe DNS principal dans les propriétés système). La concaténation du nom
d’hôte et du nom DNS du domaine est appelée nom de domaine complet (FQDN). Par
exemple, si un ordinateur avec le nom d’hôte Server1 rejoint le domaine
corp.contoso.com, le nom de domaine complet de l’ordinateur est
server1.corp.contoso.com.
Si un ordinateur dispose déjà d’un nom de domaine DNS différent qui a été entré
statiquement dans une zone DNS ou inscrit par un service de serveur DNS/DHCP
(Dynamic Host Configuration Protocol) intégré, le nom de domaine complet de
l’ordinateur diffère du nom inscrit précédemment. Il est possible de faire référence à
l’ordinateur avec les deux noms.
Pour plus d’informations sur les conventions d’affectation de noms dans Active Directory
Domain Services (AD DS), consultez Conventions d’affectation de noms dans Active
Directory pour les ordinateurs, les domaines, les sites et les unités d’organisation .
Espace de noms dissocié

Un espace de noms disjoint se produit lorsqu’un ou plusieurs ordinateurs membres de

domaine ont un suffixe DNS (Domain Name Service) principal qui ne correspond pas au
nom DNS du domaine Active Directory dont les ordinateurs sont membres. Par exemple,
un ordinateur membre qui utilise un suffixe DNS principal de corp.fabrikam.com dans un
domaine Active Directory nommé na.corp.fabrikam.com utilise un espace de noms
disjoint.
Un espace de noms disjoint est plus complexe pour administrer, gérer et dépanner
qu’un espace de noms contigu. Dans un espace de noms contigu, le suffixe DNS
principal correspond au nom de domaine Active Directory. Les applications réseau
écrites pour supposer que l’espace de noms Active Directory est identique au suffixe
DNS principal pour tous les ordinateurs membres du domaine ne fonctionnent pas
correctement dans un espace de noms disjoint.
Prise en charge des espaces de noms disjoints

Les ordinateurs membres du domaine, y compris les contrôleurs de domaine, peuvent
fonctionner dans un espace de noms disjoint. Les ordinateurs membres du domaine
peuvent inscrire leur enregistrement de ressource hôte (A) et l’enregistrement de
ressource hôte IP version 6 (IPv6) (AAAA) dans un espace de noms DNS disjoint. Lorsque
les ordinateurs membres du domaine inscrivent leurs enregistrements de ressources de
cette façon, les contrôleurs de domaine continuent d’inscrire des enregistrements de
ressources de service global et spécifique au site (SRV) dans la zone DNS identique au
nom de domaine Active Directory.
Par exemple, supposons qu’un contrôleur de domaine pour le domaine Active Directory
nommé na.corp.fabrikam.com qui utilise un suffixe DNS principal de corp.fabrikam.com
inscrit les enregistrements de ressources de l’hôte (A) et de l’hôte IPv6 (AAAA) dans la
zone DNS corp.fabrikam.com. Le contrôleur de domaine continue d’inscrire des
enregistrements de ressources de service globaux et spécifiques au site (SRV) dans les
zones DNS _msdcs.na.corp.fabrikam.com et na.corp.fabrikam.com, ce qui rend possible
l’emplacement du service.
） Important
Bien que les systèmes d’exploitation Windows prennent en charge un espace de

noms disjoint, les applications écrites pour supposer que le suffixe DNS principal
est le même que le suffixe de domaine Active Directory peut ne pas fonctionner
dans un tel environnement. Pour cette raison, vous devez tester soigneusement
toutes les applications et leurs systèmes d’exploitation respectifs avant de déployer
un espace de noms disjoint.
Un espace de noms disjoint doit fonctionner (et est pris en charge) dans les situations
suivantes :
Lorsqu’une forêt avec plusieurs domaines Active Directory utilise un espace de

noms DNS unique, également appelé zone DNS
Par exemple, une entreprise qui utilise des domaines régionaux avec des noms tels
que na.corp.fabrikam.com, sa.corp.fabrikam.com et asia.corp.fabrikam.com et
utilise un espace de noms DNS unique, tel que corp.fabrikam.com.
Lorsqu’un domaine Active Directory unique est divisé en espaces de noms DNS
distincts
Par exemple, une entreprise disposant d’un domaine Active Directory de

corp.contoso.com qui utilise des zones DNS telles que hr.corp.contoso.com,
production.corp.contoso.com et it.corp.contoso.com.
Un espace de noms disjoint ne fonctionne pas correctement (et n’est pas pris en charge)
dans les situations suivantes :
Un suffixe disjoint utilisé par les membres du domaine correspond à un nom de

domaine Active Directory dans cette forêt ou une autre forêt. Cela interrompt le
routage de suffixes Kerberos.
Le même suffixe disjoint est utilisé dans une autre forêt. Cela empêche le routage
de ces suffixes de manière unique entre les forêts.
Lorsqu’un serveur d’autorité de certification membre de domaine modifie son nom

de domaine complet (FQDN) afin qu’il n’utilise plus le même suffixe DNS principal
utilisé par les contrôleurs de domaine du domaine auquel le serveur d’autorité de
certification est membre. Dans ce cas, vous pouvez rencontrer des problèmes lors
de la validation des certificats émis par le serveur d’autorité de certification, en
fonction des noms DNS utilisés dans les points de distribution de liste de
révocation de certificats. Toutefois, si vous placez un serveur d’autorité de
certification dans un espace de noms disjoint stable, il fonctionne correctement et
est pris en charge.
Considérations relatives aux espaces de noms

disjoints
Les considérations suivantes peuvent vous aider à décider si vous devez utiliser un
espace de noms disjoint.
Compatibilité des applications

Comme mentionné précédemment, un espace de noms disjoint peut entraîner des
problèmes pour toutes les applications et services écrits pour supposer qu’un suffixe
DNS principal de l’ordinateur est identique au nom du nom de domaine dont il est
membre. Avant de déployer un espace de noms disjoint, vous devez vérifier les
problèmes de compatibilité des applications. Veillez également à vérifier la compatibilité
de toutes les applications que vous utilisez lorsque vous effectuez votre analyse. Cela
inclut les applications de Microsoft et d’autres développeurs de logiciels.
Avantages des espaces de noms disjoints

L’utilisation d’un espace de noms disjoint peut avoir les avantages suivants :
Étant donné que le suffixe DNS principal d’un ordinateur peut indiquer des
informations différentes, vous pouvez gérer l’espace de noms DNS séparément du
nom de domaine Active Directory.
Vous pouvez séparer l’espace de noms DNS en fonction de la structure métier ou

de l’emplacement géographique. Par exemple, vous pouvez séparer l’espace de
noms en fonction de noms d’unités commerciales ou d’emplacements physiques
tels que le continent, le pays/la région ou le bâtiment.
Inconvénients des espaces de noms disjoints

L’utilisation d’un espace de noms disjoint peut avoir les inconvénients suivants :
Vous devez créer et gérer des zones DNS distinctes pour chaque domaine Active
Directory dans la forêt qui a des ordinateurs membres qui utilisent un espace de
noms disjoint. (Autrement dit, il nécessite une configuration supplémentaire et plus
complexe.)
Vous devez effectuer des étapes manuelles pour modifier et gérer l’attribut Active
Directory qui permet aux membres du domaine d’utiliser des suffixes DNS
principaux spécifiés.
Pour optimiser la résolution de noms, vous devez effectuer des étapes manuelles
pour modifier et gérer la stratégie de groupe pour configurer des ordinateurs
membres avec d’autres suffixes DNS principaux.
７ Notes
Le service WINS (Windows Internet Name Service) peut être utilisé pour compenser
cet inconvénient en résolvant les noms d’étiquette unique. Pour plus d’informations
sur WINS, consultez la référence technique WINS.
Lorsque votre environnement nécessite plusieurs suffixes DNS principaux, vous

devez configurer l’ordre de recherche du suffixe DNS pour tous les domaines
Active Directory de la forêt de manière appropriée.
Pour définir l’ordre de recherche du suffixe DNS, vous pouvez utiliser des objets de
stratégie de groupe ou des paramètres de service de serveur DHCP (Dynamic Host
Configuration Protocol). Vous pouvez également modifier le Registre.
Vous devez tester soigneusement toutes les applications pour les problèmes de
compatibilité.
Pour plus d’informations sur les étapes à suivre pour résoudre ces inconvénients,
consultez Créer un espace de noms disjoint.
Planification d’une transition d’espace de noms

Avant de modifier un espace de noms, passez en revue les considérations suivantes, qui
s’appliquent aux transitions des espaces de noms contigus aux espaces de noms
disjoints (ou à l’inverse) :
Les noms de principal de service configurés manuellement peuvent ne plus

correspondre aux noms DNS après une modification de l’espace de noms. Cela
peut entraîner des échecs d’authentification.
Pour plus d’informations, consultez Échec des journaux de service en raison d’un
paramètre SPN incorrect.
Si vous utilisez des ordinateurs Windows Server 2003 avec délégation

contrainte, ces ordinateurs peuvent nécessiter la modification manuelle de
l’attribut msDS-AllowedToDelegateTo dans Active Directory. Pour plus
d’informations, consultez l’attribut ms-DS-Allowed-To-Delegate-To.
Si vous souhaitez déléguer des autorisations pour modifier des noms de

principal de service aux administrateurs subordonnés, consultez Délégation de
l’autorité pour modifier les noms de principal de service.
Si vous utilisez LDAP (Lightweight Directory Access Protocol) sur SSL (Secure
Sockets Layer) (appelé LDAPS) avec une autorité de certification dans un
déploiement qui dispose de contrôleurs de domaine configurés dans un espace de
noms disjoint, vous devez utiliser le nom de domaine Active Directory approprié et
le suffixe DNS principal lorsque vous configurez les certificats LDAPS.
Pour plus d’informations sur les exigences de certificat du contrôleur de domaine,

consultez l’article 321051 dans la Base de connaissances Microsoft, comment
activer LDAP sur SSL avec une autorité de certification tierce .
７ Notes
Les contrôleurs de domaine qui utilisent des certificats pour LDAPS peuvent
vous obliger à redéployer leurs certificats. Lorsque vous le faites, les
contrôleurs de domaine peuvent ne pas sélectionner un certificat approprié
tant qu’ils ne sont pas redémarrés. Pour plus d’informations sur
l’authentification LDAP (Lightweight Directory Access Protocol) sur
l’authentification SSLS (Secure Sockets Layer) pour Windows Server 2003,
consultez l’article 938703 dans la Base de connaissances Microsoft, Comment
résoudre les problèmes de connexion LDAP sur SSL .
Planification des déploiements d’espaces de noms

disjoints
Prenez les précautions suivantes si vous déployez des ordinateurs dans un
environnement qui a un espace de noms disjoint :
1. Informez tous les fournisseurs de logiciels avec lesquels vous faites des affaires
qu’ils doivent tester et prendre en charge un espace de noms disjoint. Demandez-
lui de vérifier qu’ils prennent en charge leurs applications dans des
environnements qui utilisent des espaces de noms disjoints.
2. Testez toutes les versions des systèmes d’exploitation et des applications dans les
environnements de laboratoire d’espaces de noms disjoints. Lorsque vous le faites,
suivez ces recommandations :
a. Résolvez tous les problèmes logiciels avant de déployer le logiciel dans votre
environnement.
b. Si possible, participez aux tests bêta des systèmes d’exploitation et des

applications que vous envisagez de déployer dans des espaces de noms
disjoints.
3. Assurez-vous que les administrateurs et le personnel du support technique sont

conscients de l’espace de noms disjoint et de son impact.
4. Créez un plan qui vous permet de passer d’un espace de noms disjoint à un espace
de noms contigu, si nécessaire.
5. Évangélisez l’importance de la prise en charge de l’espace de noms disjoint avec

les fournisseurs de système d’exploitation et d’application.
DNS pour le rôle de propriétaire AD DS
Article • 11/04/2023

Le propriétaire DNS pour AD DS de la forêt est une personne (ou un groupe de

personnes) chargée de superviser le déploiement de l’infrastructure DNS pour AD DS et
de s’assurer que (si nécessaire) les noms de domaine sont enregistrés auprès des
autorités Internet appropriées. Le propriétaire de la forêt affecte un DNS pour Active
Directory Domain Services (AD DS) pour la forêt.
Le propriétaire DNS pour AD DS est responsable de la conception DNS pour AD DS

pour la forêt. Si votre organisation utilise actuellement un service de serveur DNS, le
concepteur DNS pour le service de serveur DNS existant travaille avec le propriétaire
DNS pour AD DS pour déléguer le nom DNS racine de forêt aux serveurs DNS
s’exécutant sur des contrôleurs de domaine.
Le propriétaire DNS pour AD DS pour la forêt maintient également le contact avec le

groupe DHCP (Dynamic Host Configuration Protocol) et le groupe DNS de
l’organisation, et coordonne les plans des propriétaires DNS individuels de chaque
domaine de la forêt (le cas échéant) avec ces groupes. Le propriétaire DNS de la forêt
s’assure que les groupes DHCP et DNS sont impliqués dans le processus de conception
DNS pour AD DS afin que chaque groupe connaisse le plan de conception DNS et
puisse fournir des retours précoces.
Intégration des services AD DS à une
infrastructure DNS existante

Si votre organisation dispose déjà d’un service de serveur DNS (Domain Name System),
le propriétaire de Active Directory Domain Services (AD DS) doit travailler avec le
propriétaire DNS de votre organisation pour intégrer les AD DS dans l’infrastructure
existante. Cela implique la création d’un serveur DNS et d’une configuration de client
DNS.
Création d’une configuration de serveur DNS

Lors de l’intégration de AD DS avec un espace de noms DNS existant, nous vous
recommandons d’effectuer les opérations suivantes :
Installez le service serveur DNS sur chaque contrôleur de domaine de la forêt. Cela
fournit une tolérance de panne si l’un des serveurs DNS n’est pas disponible. De
cette façon, les contrôleurs de domaine n’ont pas besoin de s’appuyer sur d’autres
serveurs DNS pour la résolution de noms. Cela simplifie également
l’environnement de gestion, car tous les contrôleurs de domaine ont une
configuration uniforme.
Configurez le contrôleur de domaine racine de la forêt Active Directory pour

héberger la zone DNS pour la forêt Active Directory.
Configurez les contrôleurs de domaine pour chaque domaine régional afin

d’héberger les zones DNS qui correspondent à leurs domaines de Active Directory.
Configurez la zone contenant les Active Directory les enregistrements de

localisateur à l’ensemble de la forêt (c’est-à-dire, le _msdcs. forestname zone) à
répliquer sur chaque serveur DNS de la forêt à l’aide de la partition de l’annuaire
d’applications DNS à l’ensemble de la forêt.
７ Notes
Lorsque le service serveur DNS est installé avec le Assistant Installation Active
Directory Domain Services (cette option est recommandée), toutes les tâches
précédentes sont effectuées automatiquement. pour plus d’informations,
consultez déploiement d’un domaine racine de forêt Windows Server 2008.
７ Notes
AD DS utilise des enregistrements de localisateur à l’échelle de la forêt pour

permettre aux partenaires de réplication de se trouver mutuellement et de
permettre aux clients de trouver des serveurs de catalogue global. AD DS
stocke les enregistrements de localisateur à l’ensemble de la forêt dans le
_msdcs. zone forestname . Étant donné que les informations de la zone
doivent être largement disponibles, cette zone est répliquée sur tous les
serveurs DNS de la forêt par le biais de la partition de l’annuaire
d’applications DNS à l’échelle de la forêt.
La structure DNS existante reste intacte. Vous n’avez pas besoin de déplacer des
serveurs ou des zones. Vous devez simplement créer une délégation à vos zones DNS
intégrées à Active Directory à partir de votre hiérarchie DNS existante.
Création de la configuration du client DNS

Pour configurer DNS sur les ordinateurs clients, le DNS de AD DS propriétaire doit
spécifier le schéma de nom de l’ordinateur et la manière dont les clients peuvent
localiser les serveurs DNS. Le tableau suivant répertorie nos configurations
recommandées pour ces éléments de conception.
Élément de Configuration
conception
Nom de Utilisez le nom par défaut. lorsqu’un ordinateur Windows 2000, Windows XP,
l’ordinateur Windows server 2003, Windows server 2008 ou Windows Vista joint un domaine,
l’ordinateur s’attribue un nom de domaine complet (FQDN, fully qualified domain
name) qui comprend le nom d’hôte de l’ordinateur et le nom du domaine Active
Directory.
Configuration Configurez les ordinateurs clients pour qu’ils pointent vers n’importe quel serveur
du DNS du réseau.
programme
de résolution
du client
７ Notes
Les clients Active Directory et les contrôleurs de domaine peuvent inscrire
dynamiquement leurs noms DNS, même s’ils ne pointent pas vers le serveur DNS
faisant autorité pour leurs noms.
Un ordinateur peut avoir un nom DNS existant différent si l’organisation avait

précédemment inscrit l’ordinateur dans DNS de manière statique ou si l’organisation a
déployé précédemment une solution DHCP (Dynamic Host Configuration Protocol)
intégrée. si vos ordinateurs clients ont déjà un nom DNS enregistré, lorsque le domaine
auquel ils sont joints est mis à niveau vers Windows Server 2008 AD DS, ils auront deux
noms différents :
Nom DNS existant
Le nouveau nom de domaine complet (FQDN)
Les clients peuvent toujours être localisés par l’un ou l’autre nom. Toute solution DNS,
DHCP ou DNS intégrée existante reste intacte. Les nouveaux noms primaires sont créés
automatiquement et mis à jour au moyen de la mise à jour dynamique. Elles sont
automatiquement nettoyées par le biais du nettoyage.
si vous souhaitez tirer parti de l’authentification Kerberos lors de la connexion à un

serveur exécutant Windows 2000, Windows server 2003 ou Windows server 2008, vous
devez vous assurer que le client se connecte au serveur à l’aide du nom principal.
Annexe A : Inventaire DNS

Vous pouvez utiliser les tableaux suivants pour vous aider à documenter la méthode de
résolution de noms récursive de votre structure DNS (Domain Name System) actuelle
dans le cadre de la conception de structure logique pour Windows Server Active
Directory Domain Services (AD DS).
Indications de racine
Nom Adresse IPv4 Adresse IPv6
Transfert
Nom Adresse IPv4 Adresse IPv6 Emplacement physique
Création d’une conception d’unité
d’organisation

Les propriétaires de forêts sont chargés de créer des conceptions d’unités

d’organisation pour leurs domaines. La création d’une unité d’organisation consiste à
concevoir la structure d’UO, à attribuer le rôle de propriétaire de l’unité d’organisation
et à créer des unités d’organisation de comptes et de ressources.
Au départ, concevez votre structure d’UO pour permettre la délégation de

l’administration. Une fois la conception de l’unité d’organisation terminée, vous pouvez
créer des structures d’UO supplémentaires pour l’application des stratégie de groupe
aux utilisateurs et aux ordinateurs et pour limiter la visibilité des objets. Pour plus
d’informations, consultez conception d’une infrastructure de stratégie de groupe.
Rôle propriétaire de l’unité d’organisation

Le propriétaire de la forêt désigne un propriétaire d’UO pour chaque unité
d’organisation que vous concevez pour le domaine. Les propriétaires d’UO sont des
gestionnaires de données qui contrôlent une sous-arborescence d’objets dans Active
Directory Domain Services (AD DS). Les propriétaires d’unités d’organisation peuvent
contrôler la façon dont l’administration est déléguée et comment la stratégie est
appliquée aux objets au sein de leur unité d’organisation. Ils peuvent également créer
des sous-arborescences et déléguer l’administration des unités d’organisation au sein
de ces sous-arborescences.
Étant donné que les propriétaires d’UO ne possèdent pas ou ne contrôlent pas le
fonctionnement du service d’annuaire, vous pouvez séparer la propriété et
l’administration du service d’annuaire de la propriété et de l’administration des objets,
ce qui réduit le nombre d’administrateurs de service disposant de hauts niveaux d’accès.
Les unités d’organisation offrent une autonomie administrative et les moyens de

contrôler la visibilité des objets dans l’annuaire. Les unités d’organisation permettent
d’isoler les autres administrateurs de données, mais elles ne permettent pas d’isoler des
administrateurs de service. Bien que les propriétaires d’UO disposent d’un contrôle sur
une sous-arborescence d’objets, le propriétaire de la forêt conserve le contrôle total sur
toutes les sous-arborescences. Cela permet au propriétaire de la forêt de corriger des
erreurs, telles qu’une erreur dans une liste de contrôle d’accès (ACL), et de récupérer des
sous-arborescences déléguées lorsque les administrateurs de données sont arrêtés.
UO de comptes et unités d’organisation de

ressource
Les unités d’organisation de compte contiennent des objets utilisateur, groupe et
ordinateur. Les propriétaires de forêts doivent créer une structure d’unité d’organisation
pour gérer ces objets, puis déléguer le contrôle de la structure au propriétaire de l’unité
d’organisation. Si vous déployez un nouveau domaine de AD DS, créez une unité
d’organisation de compte pour le domaine afin de pouvoir déléguer le contrôle des
comptes dans le domaine.
Les unités d’organisation de ressource contiennent des ressources et les comptes qui
sont responsables de la gestion de ces ressources. Le propriétaire de la forêt est
également responsable de la création d’une structure d’unité d’organisation pour gérer
ces ressources et pour la délégation du contrôle de cette structure au propriétaire de
l’unité d’organisation. Créez les unités d’organisation de ressources en fonction des
besoins de chaque groupe au sein de votre organisation pour l’autonomie dans la
gestion des données et de l’équipement.
Documentation de la conception d’UO pour

chaque domaine
Assemblez une équipe pour concevoir la structure d’UO que vous utilisez pour déléguer
le contrôle des ressources au sein de la forêt. Le propriétaire de la forêt peut être
impliqué dans le processus de conception et doit approuver la conception de l’unité
d’organisation. Vous pouvez également impliquer au moins un administrateur de service
pour vous assurer que la conception est valide. D’autres participants de l’équipe de
conception peuvent inclure les administrateurs de données qui travailleront sur les
unités d’organisation et les propriétaires d’UO qui seront chargés de les gérer.
Il est important de documenter votre conception d’UO. Répertoriez les noms des unités
d’organisation que vous prévoyez de créer. Et, pour chaque unité d’organisation,
documentez le type d’unité d’organisation, le propriétaire de l’unité d’organisation,
l’unité d’organisation parente (le cas échéant) et l’origine de cette unité d’organisation.
pour obtenir une feuille de calcul qui vous aide à documenter votre conception d’uo,
téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip
depuis les outils d’aide pour Windows Server 2003 Deployment Kit et ouvrez
« identifier les unités d’organisation pour chaque domaine » (DSSLOGI_9.doc).
Dans cette section

Examen des concepts d’unité d’organisation
Délégation de l’administration avec des objets d’unité d’organisation

Examen des concepts d’unité
d’organisation

La structure de l’unité d’organisation d’un domaine comprend les éléments suivants :
Diagramme de la hiérarchie d’UO
Liste d’unités d’organisation
Pour chaque unité d’organisation :
L’objectif de l’unité d’organisation
Liste des utilisateurs ou des groupes qui contrôlent l’unité d’organisation ou les
objets de l’unité d’organisation.
Type de contrôle que les utilisateurs et les groupes ont sur les objets de l’unité
d’organisation
La hiérarchie d’UO n’a pas besoin de refléter la hiérarchie départementale de

l’organisation ou du groupe. Les unités d’organisation sont créées à des fins spécifiques,
telles que la délégation de l’administration, l’application de stratégie de groupe ou pour
limiter la visibilité des objets.
Vous pouvez concevoir votre structure d’UO pour déléguer l’administration à des
personnes ou des groupes de votre organisation qui requièrent l’autonomie pour gérer
leurs propres ressources et données. Les unités d’organisation représentent les limites
administratives et vous permettent de contrôler l’étendue de l’autorité des
administrateurs de données.
Par exemple, vous pouvez créer une unité d’organisation appelée ResourceOU et
l’utiliser pour stocker tous les comptes d’ordinateur qui appartiennent au fichier et aux
serveurs d’impression gérés par un groupe. Ensuite, vous pouvez configurer la sécurité
sur l’unité d’organisation afin que seuls les administrateurs de données du groupe aient
accès à l’unité d’organisation. Cela empêche les administrateurs de données dans
d’autres groupes de falsifier les comptes de serveur de fichiers et d’impression.
Vous pouvez affiner davantage votre structure d’unité d’organisation en créant des
sous-arborescences d’unités d’organisation à des fins spécifiques, telles que l’application
d’stratégie de groupe ou pour limiter la visibilité des objets protégés afin que seuls
certains utilisateurs puissent les voir. Par exemple, si vous devez appliquer des stratégie
de groupe à un groupe sélectionné d’utilisateurs ou de ressources, vous pouvez ajouter
ces utilisateurs ou ressources à une unité d’organisation, puis appliquer des stratégie de
groupe à cette UO. Vous pouvez également utiliser la hiérarchie d’unités d’organisation
pour permettre une délégation supplémentaire du contrôle administratif.
Bien qu’il n’existe aucune limite technique quant au nombre de niveaux dans votre
structure d’unité d’organisation, nous vous recommandons de limiter votre structure
d’UO à une profondeur inférieure ou égale à 10 niveaux. Il n’existe aucune limite
technique quant au nombre d’unités d’organisation à chaque niveau. Notez que les
applications prenant en charge les Active Directory Domain Services (AD DS) peuvent
avoir des restrictions sur le nombre de caractères utilisés dans le nom unique
(autrement dit, le chemin d’accès LDAP (Lightweight Directory Access Protocol) complet
à l’objet dans l’annuaire) ou sur la profondeur d’UO dans la hiérarchie.
La structure d’unité d’organisation dans AD DS n’est pas destinée à être visible par les
utilisateurs finaux. La structure d’UO est un outil d’administration pour les
administrateurs de service et pour les administrateurs de données, et il est facile à
modifier. Passez en revue et mettez à jour la conception de votre structure d’UO pour
refléter les modifications apportées à votre structure administrative et pour prendre en
charge l’administration basée sur des stratégies.
Délégation de l’administration avec des
objets d’unité d’organisation

Vous pouvez utiliser des unités d’organisation (UO) pour déléguer l’administration
d’objets, comme les utilisateurs ou les ordinateurs, au sein de l’unité d’organisation à un
individu ou groupe désigné. Pour déléguer l’administration à l’aide d’une unité
d’organisation, placez l’individu ou le groupe auquel vous déléguez des droits
d’administration dans un groupe, placez l’ensemble d’objets à contrôler dans une unité
d’organisation, puis déléguez les tâches administratives de l’unité d’organisation à ce
groupe.
Active Directory Domain Services (AD DS) vous permet de contrôler les tâches
administratives pouvant être déléguées de manière très précise. Par exemple, vous
pouvez attribuer à un groupe le contrôle total de tous les objets d’une unité
d’organisation, attribuer à un autre groupe uniquement des droits de création,
suppression et gestion des comptes d’utilisateur dans l’unité d’organisation, puis
attribuer à un troisième groupe uniquement le droit de réinitialiser les mots de passe de
compte d’utilisateur. Vous pouvez rendre ces autorisations héritables afin qu’elles
s’appliquent à toutes les unités d’organisation placées dans des sous-arborescences de
l’unité d’organisation d’origine.
Des unités d’organisation et conteneurs par défaut sont créés pendant l’installation
d’AD DS et contrôlés par les administrateurs de service. Il est préférable que les
administrateurs de service continuent de contrôler ces conteneurs. Si vous avez besoin
de déléguer le contrôle sur des objets inclus dans l’annuaire, créez des unités
d’organisation supplémentaires et placez les objets dans ces unités d’organisation.
Déléguez le contrôle de ces unités d’organisation aux administrateurs de données
appropriés. Ainsi, il est possible de déléguer le contrôle sur des objets inclus dans
l’annuaire sans modifier le contrôle par défaut donné aux administrateurs de service.
Le propriétaire de la forêt détermine le niveau d’autorité délégué à un propriétaire

d’unité d’organisation. Ce niveau peut aller de la capacité à créer et manipuler des
objets au sein de l’unité d’organisation à la seule autorisation de contrôler un attribut
unique d’un seul type d’objet dans l’unité d’organisation. Donner à un utilisateur la
capacité de créer un objet dans l’unité d’organisation lui octroie implicitement la
capacité de manipuler tout attribut de tout objet qu’il crée. En outre, si l’objet créé est
un conteneur, l’utilisateur a implicitement la capacité de créer et manipuler tous les
objets placés dans ce conteneur.

Délégation de l’administration des conteneurs et unités d’organisation par défaut
Délégation de l’administration des unités d’organisation de comptes et de

ressources
Délégation de l’administration des
conteneurs et unités d’organisation par
défaut

Chaque domaine Active Directory contient un ensemble standard de conteneurs et

d’unités d’organisation (UO) créés lors de l’installation de services de domaine Active
Directory (AD DS). Ces options en question sont les suivantes :
Conteneur de domaine, qui sert de conteneur racine à la hiérarchie
Conteneur intégré, qui contient les comptes d’administrateur de service par défaut
Conteneur Utilisateurs, qui est l’emplacement par défaut pour les nouveaux
comptes d’utilisateur et les groupes créés dans le domaine
Conteneur d’ordinateurs, qui est l’emplacement par défaut pour les nouveaux
comptes d’ordinateurs créés dans le domaine
Unité d’organisation contrôleurs de domaine, qui est l’emplacement par défaut des
comptes d’ordinateur pour les comptes d’ordinateur des contrôleurs de domaine
Le propriétaire de la forêt contrôle ces conteneurs et unités d’organisation par défaut.
Conteneur de domaine
Le conteneur de domaine est le conteneur racine de la hiérarchie d’un domaine. Les
modifications apportées aux stratégies ou à la liste de contrôle d’accès (ACL) sur ce
conteneur peuvent potentiellement avoir un impact sur l’ensemble du domaine. Ne pas
déléguer le contrôle de ce conteneur ; elle doit être contrôlée par les administrateurs de
service.
Conteneurs d’utilisateurs et d’ordinateurs

Lorsque vous effectuez une mise à niveau de domaine sur place de Windows Server
2003 vers Windows Server 2008, les utilisateurs et les ordinateurs existants sont
automatiquement placés dans les utilisateurs et les conteneurs d’ordinateurs. Si vous
créez un domaine Active Directory, les utilisateurs et les conteneurs d’ordinateurs sont
les emplacements par défaut de tous les nouveaux comptes d’utilisateur et comptes
d’ordinateurs non contrôleurs de domaine dans le domaine.
） Important
Si vous devez déléguer le contrôle sur les utilisateurs ou les ordinateurs, ne

modifiez pas les paramètres par défaut sur les conteneurs d’utilisateurs et
d’ordinateurs. Au lieu de cela, créez de nouvelles unités d’organisation (en fonction
des besoins) et déplacez les objets utilisateur et ordinateur à partir de leurs
conteneurs par défaut et dans les nouvelles unités d’organisation. Déléguer le
contrôle sur les nouvelles unités d’organisation, si nécessaire. Nous vous
recommandons de ne pas modifier qui contrôle les conteneurs par défaut.
En outre, vous ne pouvez pas appliquer stratégie de groupe paramètres aux utilisateurs
et aux conteneurs d’ordinateurs par défaut. Pour appliquer stratégie de groupe aux
utilisateurs et aux ordinateurs, créez de nouvelles unités d’organisation et déplacez les
objets utilisateur et ordinateur vers ces unités d’organisation. Appliquez les paramètres
stratégie de groupe aux nouvelles unités d’organisation.
Si vous le souhaitez, vous pouvez rediriger la création d’objets placés dans les
conteneurs par défaut à placer dans des conteneurs de votre choix.
Utilisateurs et groupes connus et comptes

intégrés
Par défaut, plusieurs utilisateurs et groupes bien connus et comptes intégrés sont créés
dans un nouveau domaine. Nous recommandons que la gestion de ces comptes reste
sous le contrôle des administrateurs de service. Ne délèguez pas la gestion de ces
comptes à une personne qui n’est pas administrateur de service. Le tableau suivant
répertorie les utilisateurs et groupes connus et les comptes intégrés qui doivent rester
sous le contrôle des administrateurs de service.
Utilisateurs et groupes connus Comptes intégrés

Utilisateurs et groupes connus Comptes intégrés
Éditeurs de certificats Administrateur

Contrôleurs de domaine Invité
Propriétaires créateurs de la stratégie de groupe Invités
KRBTGT Opérateurs de compte
Invités de domaine Administrateurs
Administrateur Opérateurs de sauvegarde
Admins du domaine Générateurs d’approbation de forêt

entrante
Administrateurs de schéma (domaine racine de forêt
uniquement) Opérateurs d'impression
administrateurs Enterprise (domaine racine de forêt Accès pré-Windows 2000 compatible

uniquement)
Opérateurs de serveur
Utilisateurs du domaine
Utilisateurs
Unité d’organisation du contrôleur de domaine

Lorsque les contrôleurs de domaine sont ajoutés au domaine, leurs objets ordinateur
sont automatiquement ajoutés à l’unité d’organisation du contrôleur de domaine. Cette
unité d’organisation a un ensemble de stratégies par défaut qui lui est appliqué. Pour
vous assurer que ces stratégies sont appliquées uniformément à tous les contrôleurs de
domaine, nous vous recommandons de ne pas déplacer les objets ordinateur des
contrôleurs de domaine hors de cette unité d’organisation. Si vous ne parvenez pas à
appliquer les stratégies par défaut, un contrôleur de domaine ne fonctionne pas
correctement.
Par défaut, les administrateurs de service contrôlent cette unité d’organisation. Ne pas
déléguer le contrôle de cette unité d’organisation à des personnes autres que les
administrateurs de service.
Délégation de l’administration des
unités d’organisation de comptes et de
ressources

Les unités d’organisation de comptes contiennent des objets utilisateur, groupe et

ordinateur. Les unités d’organisation de ressources contiennent des ressources et les
comptes chargés de les gérer. Le propriétaire de la forêt est chargé de créer une
structure d’unité d’organisation pour gérer ces objets et ressources, ainsi que de
déléguer le contrôle de cette structure au propriétaire de l’unité d’organisation.
Délégation de l’administration des unités

d’organisation de comptes
Déléguez une structure d’unité d’organisation de comptes aux administrateurs de
données s’ils doivent créer et modifier des objets utilisateur, groupe et ordinateur. La
structure d’unité d’organisation de comptes est une sous-arborescence d’unités
d’organisation pour chaque type de compte qui doit être contrôlé indépendamment.
Par exemple, le propriétaire de l’unité d’organisation peut déléguer un contrôle
spécifique à différents administrateurs de données sur les unités d’organisation enfants
dans une unité d’organisation de comptes pour les utilisateurs, les ordinateurs, les
groupes et les comptes de service.
L’illustration suivante montre un exemple de structure d’unité d’organisation de

comptes.
Le tableau suivant répertorie et décrit les unités d’organisation enfants possibles que
vous pouvez créer dans une structure d’unité d’organisation de comptes.
OU Objectif
Utilisateurs Contient des comptes d’utilisateur pour le personnel sans rôle d’administrateur.
Comptes de Certains services qui nécessitent l’accès aux ressources réseau s’exécutent en
service tant que comptes d’utilisateur. Cette unité d’organisation est créée pour
séparer les comptes d’utilisateur de services des comptes d’utilisateur contenus
dans l’unité d’organisation des utilisateurs. En outre, le fait de placer les
différents types de comptes d’utilisateur dans des unités d’organisation
distinctes permet de les gérer en fonction des besoins administratifs
spécifiques.
Ordinateurs Contient des comptes pour les ordinateurs autres que les contrôleurs de
domaine.
Groupes Contient des groupes de tous types, à l’exception des groupes d’administration,
qui sont gérés séparément.
OU Objectif
Administrateurs Contient des comptes d’utilisateur et de groupe pour les administrateurs de

données dans la structure d’unité d’organisation de comptes qui permettent de
les gérer séparément des utilisateurs standard. Activez l’audit pour cette unité
d’organisation afin de pouvoir suivre les modifications apportées aux
utilisateurs et groupes administratifs.
L’illustration suivante montre un exemple de conception de groupe d’administration

pour une structure d’unité d’organisation de comptes.
Les groupes qui gèrent les unités d’organisation enfants bénéficient d’un contrôle total
uniquement sur la classe d’objets spécifique qu’ils sont chargés de gérer.
Les types de groupes que vous utilisez pour déléguer le contrôle au sein d’une structure
d’unité d’organisation sont basés sur l’emplacement des comptes par rapport à la
structure d’unité d’organisation qui doit être gérée. Si les comptes d’utilisateur
administrateur et la structure d’unité d’organisation existent tous au sein d’un domaine
unique, les groupes que vous créez pour la délégation doivent être globaux. Si votre
organisation dispose d’un service qui gère ses propres comptes d’utilisateur et existe
dans plusieurs régions géographiques, un groupe d’administrateurs de données peut
être chargé de la gestion des unités d’organisation de comptes dans plusieurs
domaines. Si les comptes des administrateurs de données existent tous dans un
domaine unique et que vous devez déléguer le contrôle à des structures d’unité
d’organisation dans plusieurs domaines, faites de ces comptes d’administration des
membres de groupes globaux et déléguez le contrôle des structures d’unité
d’organisation de chaque domaine à ces groupes globaux. Si les comptes
d’administrateurs de données auxquels vous déléguez le contrôle d’une structure
d’unité d’organisation font partie de plusieurs domaines, vous devez utiliser un groupe
universel. Les groupes universels peuvent contenir des utilisateurs de différents
domaines. Par conséquent, ils peuvent être utilisés pour déléguer le contrôle dans
plusieurs domaines.
Délégation de l’administration des unités

d’organisation de ressources
Les unités d’organisation de ressources sont utilisées pour gérer l’accès aux ressources.
Le propriétaire de l’unité d’organisation de ressources crée des comptes d’ordinateur
pour les serveurs qui sont joints au domaine comprenant des ressources comme des
partages de fichiers, des bases de données et des imprimantes. Le propriétaire de l’unité
d’organisation de ressources crée également des groupes pour contrôler l’accès à ces
ressources.
L’illustration suivante montre les deux emplacements possibles pour l’unité

d’organisation de ressources.
L’unité d’organisation de ressources peut se trouver sous la racine du domaine ou en
tant qu’unité d’organisation enfant de l’unité d’organisation de comptes correspondant
dans la hiérarchie administrative de l’unité d’organisation. Les unités d’organisation de
ressources n’ont pas d’unités d’organisation enfants standard. Les ordinateurs et les
groupes sont placés directement dans l’unité d’organisation de ressources.
Le propriétaire de l’unité d’organisation de ressources est propriétaire des objets au sein

de l’unité d’organisation, mais pas du conteneur d’unité d’organisation lui-même. Les
propriétaires de l’unité d’organisation de ressources gèrent uniquement les objets
d’ordinateur et de groupe. Ils ne peuvent pas créer d’autres classes d’objets au sein de
l’unité d’organisation ni d’unités d’organisation enfants.
７ Notes
Le créateur ou le propriétaire d’un objet peut définir la liste de contrôle d’accès

(ACL) sur l’objet, quelles que soient les autorisations héritées du conteneur parent.
Si un propriétaire d’unité d’organisation de ressources peut réinitialiser la liste de
contrôle d’accès sur une unité d’organisation, il peut créer toute classe d’objet dans
l’unité d’organisation, notamment des utilisateurs. C’est pourquoi les propriétaires
d’unité d’organisation de ressources ne sont pas autorisés à créer des unités
d’organisation.
Pour chaque unité d’organisation de ressources dans le domaine, créez un groupe

global pour représenter les administrateurs de données qui sont chargés de gérer le
contenu de l’unité d’organisation. Ce groupe dispose d’un contrôle total sur les objets
de groupe et d’ordinateur dans l’unité d’organisation, mais pas sur le conteneur d’unité
d’organisation lui-même.
L’illustration suivante montre la conception de groupe d’administration pour une unité

d’organisation de ressources.
En plaçant les comptes d’ordinateur dans une unité d’organisation de ressources, le
propriétaire de l’unité d’organisation peut contrôler les objets de compte, mais il ne
devient pas un administrateur des ordinateurs. Dans un domaine Active Directory, le
groupe Administrateurs de domaine est placé par défaut dans le groupe
Administrateurs local sur tous les ordinateurs. Autrement dit, les administrateurs de
services contrôlent ces ordinateurs. Si les propriétaires de l’unité d’organisation de
ressources ont besoin d’un contrôle administratif sur les ordinateurs de leurs unités
d’organisation, le propriétaire de la forêt peut appliquer une stratégie de groupe
Groupes restreints pour que le propriétaire de l’unité d’organisation de ressources
devienne membre du groupe Administrateurs sur les ordinateurs de cette unité
d’organisation.
Recherche de ressources
supplémentaires pour la conception de
la structure logique

Vous trouverez des ressources supplémentaires pour la conception de structure logique

dans la documentation suivante sur les services de domaine Active Directory (AD DS) :
Pour plus d’informations sur la conception de la topologie de site, consultez

Conception de la topologie de site pour Windows Server 2008 AD DS.
Pour que les feuilles de calcul vous aident à documenter la conception de la forêt,
du domaine, de l’infrastructure DNS (Domain Name System) et de l’unité
d’organisation (OU), téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip à partir du
Kit de déploiement Windows Server 2003 .
Pour plus d’informations sur l’authentification déléguée et la délégation contrainte,

consultez Délégation de l’authentification.
Pour plus d’informations sur la configuration des pare-feu à utiliser avec AD DS,
consultez Active Directory dans réseaux segmentés par pare-feu.
Pour plus d’informations sur la mise à niveau des domaines Active Directory vers
Windows Server 2008, consultez La mise à niveau des domaines Active Directory
vers Windows Server 2008 et Windows Server 2008 R2 AD DS Domain.
Pour plus d’informations sur la restructuration des domaines AD DS au sein et

entre les forêts, consultez le Guide ADMT : Migration et restructuration des
domaines Active Directory.
Pour plus d’informations sur le déploiement d’un domaine racine de forêt,

consultez Déploiement d’un domaine racine de forêt Windows Server 2008.
Pour plus d’informations sur le déploiement de DNS, consultez Déploiement du

système DNS (Domain Name System).
Pour plus d’informations sur la hiérarchie DNS et le processus de résolution de
noms, consultez la référence technique DNS.
Pour plus d’informations sur la façon dont DNS prend en charge AD DS, consultez
la prise en charge DNS de la référence technique Active Directory.
Pour plus d’informations sur WINS, consultez la référence technique WINS.
Pour plus d’informations sur la création d’un espace de noms disjoint, consultez
Créer un espace de noms Disjoint.
Pour plus d’informations sur la définition des noms de principal de service (SPN),
consultez Échec des journaux de service en raison d’un paramètre incorrect des
noms de principal de service.
Pour plus d’informations sur la façon de déléguer des autorisations pour modifier
des SPN aux administrateurs subordonnés, consultez Délégation de l’autorité pour
modifier les spN.
Pour plus d’informations sur les exigences de certificat du contrôleur de domaine,

consultez l’article 321051 dans la Base de connaissances Microsoft, Comment
activer LDAP via SSL avec une autorité de certification tierce .
Pour plus d’informations sur l’authentification LDAP (Lightweight Directory Access

Protocol) sur l’authentification LDAPS (Secure Sockets Layer) pour Windows Server
2003, consultez l’article 938703 dans la Base de connaissances Microsoft, comment
résoudre les problèmes de connexion LDAP via SSL .
Pour plus d’informations sur l’infrastructure de stratégie de groupe, consultez

Conception d’une infrastructure de stratégie de groupe.
Pour plus d’informations sur les contrôleurs de domaine en lecture seule (RODCs),
consultez AD DS : Read-Only Contrôleurs de domaine.
Pour plus d’informations sur les stratégies de verrouillage de mot de passe et de

verrouillage de compte affinés, consultez le guide pas à pas Fine-Grained de la
stratégie de verrouillage de mot de passe et de verrouillage de compte AD DS.
Pour plus d’informations sur les conventions d’affectation de noms dans AD DS,
consultez l’article 909264 dans la Base de connaissances Microsoft, les conventions
d’affectation de noms dans Active Directory pour les ordinateurs, les domaines, les
sites et les unités d’organisation .

Une topologie de site de service d’annuaire est une représentation logique de votre
réseau physique. La conception d’une topologie de site pour Active Directory Domain
Services (AD DS) implique la planification de l’emplacement des contrôleurs de domaine
et la conception de sites, de sous-réseaux, de liens de sites et de ponts entre liens de
sites pour garantir un routage efficace du trafic de requêtes et de réplications.
La conception d’une topologie de site vous permet de router efficacement les requêtes
des clients et de Active Directory le trafic de réplication. Une topologie de site bien
conçue permet à votre organisation de bénéficier des avantages suivants :
Réduire le coût de la réplication des données Active Directory.
Réduire les efforts administratifs requis pour gérer la topologie du site.
Planifier la réplication qui active les emplacements avec des liaisons réseau lentes
ou d’accès à distance pour répliquer Active Directory données pendant les heures
creuses.
Optimisez la capacité des ordinateurs clients à localiser les ressources les plus
proches, telles que les contrôleurs de domaine et les serveurs de système de
fichiers DFS (DFS). Cela permet de réduire le trafic réseau sur les liaisons de réseau
étendu (WAN) lentes, d’améliorer les processus d’ouverture et de fermeture de
session et d’accélérer les opérations de téléchargement de fichiers.
Avant de commencer à concevoir la topologie de votre site, vous devez comprendre la

structure de votre réseau physique. En outre, vous devez d’abord concevoir votre
structure logique Active Directory, y compris la hiérarchie administrative, le plan de forêt
et le plan de domaine pour chaque forêt. Vous devez également effectuer la conception
de votre infrastructure DNS (Domain Name System) pour AD DS. pour plus
d’informations sur la conception de votre structure logique et de votre infrastructure
DNS Active Directory, consultez conception de la structure logique pour Windows
Server 2008 AD DS.
une fois que vous avez terminé la conception de la topologie de votre site, vous devez
vérifier que vos contrôleurs de domaine satisfont à la configuration matérielle requise
pour Windows server 2008 Standard, Windows server 2008 Enterprise et Windows server
2008 Datacenter.
Contenu de ce guide
Présentation de la topologie de site Active Directory
Collecte d’informations réseau
Planification de l’emplacement des contrôleurs de domaine
Création d’une conception de site
Création d’une conception de lien de sites
Création d’une conception de pont lien de sites
recherche de ressources supplémentaires pour la conception de la topologie de

Site Windows Server 2008 Active Directory
Présentation de la topologie de site
Active Directory

La topologie de votre site affecte de manière significative les performances de votre

réseau et la capacité des utilisateurs à accéder aux ressources du réseau. avant de
commencer à concevoir la topologie de votre site, familiarisez-vous avec les fonctions
des sites dans Windows Server 2008, les différentes topologies de réseau que les
organisations utilisent couramment, le rôle du propriétaire de la topologie de site et
certains concepts de réplication Active Directory.
Dans cette section

Fonctions de site
Rôle de propriétaire de topologie de site
Concepts de réplication Active Directory

Fonctions de site

Windows Server 2008 utilise des informations de site à de nombreuses fins, notamment
la réplication de routage, l’affinité du client, la réplication du volume système (SYSVOL),
les espaces de noms de système de fichiers DFS (DFSN) et l’emplacement du service.
Réplication du routage
Active Directory Domain Services (AD DS) utilise une méthode multimaître, de stockage
et de transfert de réplication. Un contrôleur de domaine communique les modifications
d’annuaire à un deuxième contrôleur de domaine, qui communique ensuite avec un
troisième, et ainsi de suite, jusqu’à ce que tous les contrôleurs de domaine aient reçu la
modification. Pour obtenir le meilleur équilibre entre la réduction de la latence de
réplication et la réduction du trafic, les contrôles de topologie de site Active Directory la
réplication en distinguant la réplication qui se produit au sein d’un site et la réplication
qui se produit entre les sites.
Dans les sites, la réplication est optimisée pour la vitesse, les mises à jour de données
déclenchent la réplication et les données sont envoyées sans la surcharge requise par la
compression des données. À l’inverse, la réplication entre les sites est compressée pour
réduire le coût des transmissions sur des liaisons de réseau étendu (WAN). Lorsque la
réplication a lieu entre des sites, un seul contrôleur de domaine par domaine sur chaque
site collecte et stocke les modifications d’annuaire et les communique à une heure
planifiée à un contrôleur de domaine d’un autre site.
Affinité du client
Les contrôleurs de domaine utilisent les informations de site pour informer Active
Directory clients des contrôleurs de domaine présents dans le site le plus proche en tant
que client. Par exemple, imaginez un client sur le site de Seattle qui ne connaît pas son
affiliation à un site et qui contacte un contrôleur de domaine à partir du site Atlanta. En
fonction de l’adresse IP du client, le contrôleur de domaine à Atlanta détermine le site à
partir duquel le client provient et renvoie les informations du site au client. Le contrôleur
de domaine informe également le client si le contrôleur de domaine choisi est le
contrôleur de domaine le plus proche. Le client met en cache les informations de site
fournies par le contrôleur de domaine à Atlanta, interroge l’enregistrement de ressource
de service spécifique au site (SRV) (un enregistrement de ressource DNS (Domain Name
System) utilisé pour localiser les contrôleurs de domaine pour AD DS) et trouve ainsi un
contrôleur de domaine au sein du même site.
En recherchant un contrôleur de domaine dans le même site, le client évite les

communications sur les liaisons de réseau étendu. Si aucun contrôleur de domaine n’est
situé sur le site du client, un contrôleur de domaine qui dispose des connexions les
moins coûteuses par rapport à d’autres sites connectés se publie lui-même (inscrit un
enregistrement de ressource de service spécifique au site (SRV) dans DNS) sur le site qui
n’a pas de contrôleur de domaine. Les contrôleurs de domaine qui sont publiés dans
DNS sont ceux du site le plus proche, tel que défini par la topologie de site. Ce
processus garantit que chaque site dispose d’un contrôleur de domaine préféré pour
Pour plus d’informations sur le processus de localisation d’un contrôleur de domaine,

consultez Active Directory Collection.
Réplication SYSVOL
SYSVOL est un ensemble de dossiers dans le système de fichiers qui existe sur chaque
contrôleur de domaine dans un domaine. Les dossiers SYSVOL fournissent un
emplacement par défaut Active Directory pour les fichiers qui doivent être répliqués
dans l’ensemble d’un domaine, y compris les objets stratégie de groupe (GPO), les
scripts de démarrage et d’arrêt, ainsi que les scripts d’ouverture et de fermeture de
session. Windows Server 2008 peut utiliser le Service de réplication de fichiers (FRS) ou
la réplication de système de fichiers DFS (DFSR) pour répliquer les modifications
apportées aux dossiers SYSVOL d’un contrôleur de domaine à d’autres contrôleurs de
domaine. FRS et DFSR répliquent ces modifications en fonction de la planification que
vous créez lors de la conception de la topologie de votre site.
DFSN
DFSN utilise les informations de site pour diriger un client vers le serveur qui héberge
les données demandées dans le site. Si DFSN ne trouve pas de copie des données dans
le même site que le client, DFSN utilise les informations du site dans AD DS pour
déterminer le serveur de fichiers qui contient les données partagées DFSN le plus
proche du client.
Emplacement du service
En publiant des services tels que les services de fichiers et d’impression dans AD DS,
vous permettez aux clients Active Directory de localiser le service demandé dans le
même site ou le site le plus proche. Les services d’impression utilisent l’attribut
emplacement stocké dans AD DS pour permettre aux utilisateurs de rechercher des
imprimantes par emplacement sans connaître leur emplacement précis. Pour plus
d’informations sur la conception et le déploiement de serveurs d’impression, consultez
conception et déploiement de serveurs d’impression.
Rôle de propriétaire de topologie de site

L’administrateur qui gère la topologie de site est appelé propriétaire de la topologie de

site. Le propriétaire de la topologie de site comprend les conditions du réseau entre les
sites et est habilitée à modifier les paramètres de Active Directory Domain Services (AD
DS) pour implémenter les modifications apportées à la topologie de site. Les
modifications apportées à la topologie de site affectent les modifications apportées à la
topologie de réplication. Les responsabilités du propriétaire de la topologie de site sont
les suivantes :
Contrôle des modifications apportées à la topologie de site en cas de modification

de la connectivité réseau.
Obtenir et gérer des informations sur les connexions réseau et les routeurs à partir
du groupe réseau. Le propriétaire de la topologie de site doit tenir à jour la liste
des adresses de sous-réseau, des masques de sous-réseau et de l’emplacement
auquel chacun appartient. Le propriétaire de la topologie de site doit également
comprendre tous les problèmes liés à la vitesse et à la capacité du réseau qui
affectent la topologie de site pour définir efficacement les coûts pour les liens de
sites.
Déplacement d’objets Active Directory Server représentant des contrôleurs de

domaine entre des sites si l’adresse IP d’un contrôleur de domaine change en un
autre sous-réseau dans un autre site, ou si le sous-réseau lui-même est attribué à
un autre site. Dans les deux cas, le propriétaire de la topologie de site doit
déplacer manuellement l’objet Active Directory Server du contrôleur de domaine
vers le nouveau site.
Concepts de réplication Active Directory

Avant de concevoir la topologie de site, familiarisez-vous avec certains concepts de

réplication Active Directory.
Objet Connection
Vérificateur de cohérence des données
Fonctionnalité de basculement
Sous-réseau
Site
Lien de sites
Pont lien de sites
Transitivité des liens de sites
Serveur du catalogue global
Mise en cache de l’appartenance aux groupes universels
Connexion (objet)
Un objet de connexion est un objet Active Directory qui représente une connexion de
réplication d’un contrôleur de domaine source à un contrôleur de domaine de
destination. Un contrôleur de domaine est membre d’un seul site et est représenté dans
le site par un objet serveur dans AD DS (Active Directory Domain Services). Chaque
objet serveur a un objet Paramètres NTDS enfant qui représente le contrôleur de
domaine de réplication dans le site.
L’objet de connexion est un enfant de l’objet Paramètres NTDS sur le serveur de

destination. Pour que la réplication se produise entre deux contrôleurs de domaine,
l’objet serveur de l’un de ces contrôleurs doit avoir un objet de connexion qui
représente la réplication entrante à partir de l’autre contrôleur. Toutes les connexions de
réplication pour un contrôleur de domaine sont stockées comme objets de connexion
sous l’objet Paramètres NTDS. L’objet de connexion identifie le serveur source de la
réplication, contient une planification de réplication et spécifie un transport de
réplication.
Le vérificateur de cohérence des données (KCC, Knowledge Consistency Checker) crée

automatiquement des objets de connexion, mais ceux-ci peuvent également être créés
manuellement. Les objets de connexion créés par le KCC apparaissent dans le
composant logiciel enfichable Sites et services Active Directory comme <générés
automatiquement> et sont considérés comme adéquats dans des conditions de
fonctionnement normales. Les objets de connexion créés par un administrateur sont des
objets de connexion créés manuellement. Un objet de connexion créé manuellement est
identifié par le nom attribué par l’administrateur au moment de sa création. Quand vous
modifiez un objet de connexion <généré automatiquement>, vous le convertissez en
objet de connexion modifié administrativement et l’objet apparaît sous la forme d’un
GUID. Le KCC n’apporte pas de modifications aux objets de connexion manuels ou
modifiés.
Vérificateur de cohérence des données

Le KCC est un processus intégré qui s’exécute sur tous les contrôleurs de domaine et
génère la topologie de réplication pour la forêt Active Directory. Le KCC crée des
topologies de réplication distinctes selon que la réplication se produit au sein d’un site
(intrasite) ou entre des sites (intersite). Le KCC ajuste également dynamiquement la
topologie pour prendre en charge l’ajout de nouveaux contrôleurs de domaine, la
suppression des contrôleurs de domaine existants, le déplacement de contrôleurs de
domaine vers des sites et à partir de sites, les coûts et planifications changeants et les
contrôleurs de domaine qui sont temporairement indisponibles ou dans un état
d’erreur.
Au sein d’un site, les connexions entre contrôleurs de domaine accessibles en écriture
sont toujours organisées en anneau bidirectionnel, avec des connexions de raccourci
supplémentaires pour réduire la latence dans les grands sites. En revanche, la topologie
intersite est une superposition d’arborescences couvrant plusieurs sites : une connexion
intersite existe toujours entre deux sites pour chaque partition d’annuaire et ne contient
généralement pas de connexions de raccourci. Pour plus d’informations sur ces
arborescences et la topologie de réplication Active Directory, consultez Référence
technique de la topologie de réplication Active Directory
(https://go.microsoft.com/fwlink/?LinkID=93578).
Sur chaque contrôleur de domaine, le KCC crée des routes de réplication en créant des
objets de connexion entrante unidirectionnelle qui définissent des connexions à partir
d’autres contrôleurs de domaine. Pour les contrôleurs de domaine du même site, le KCC
crée automatiquement des objets de connexion sans intervention de l’administrateur.
Quand vous avez plusieurs sites, vous configurez des liens de sites entre les sites et un
seul KCC dans chaque site crée automatiquement des connexions entre les sites.
Améliorations du KCC pour les contrôleurs de domaine

en lecture seule Windows Server 2008
Un certain nombre d’améliorations ont été apportées au KCC pour qu’il prenne en
charge le contrôleur de domaine en lecture seule désormais disponible dans
Windows Server 2008. Le déploiement de contrôleur de domaine en lecture seule en
succursale est un scénario classique. La topologie de réplication Active Directory la plus
couramment déployée dans ce scénario est basée sur une conception hub-and-spoke,
dans laquelle les contrôleurs de domaine d’une succursale dans plusieurs sites se
répliquent avec un petit nombre de serveurs tête de pont dans un site hub.
La réplication unidirectionnelle fait partie des avantages du déploiement de contrôleur

de domaine en lecture seule. La réplication à partir du contrôleur de domaine en lecture
seule ne nécessite pas de serveur tête de pont, ce qui allège l’administration et réduit
l’utilisation du réseau.
Toutefois, sur les versions précédentes du système d’exploitation Windows Server, la

topologie hub-and-spoke met en lumière un défi administratif : après l’ajout d’un
nouveau contrôleur de domaine tête de pont au hub, il n’existe pas de mécanisme
automatique permettant de redistribuer les connexions de réplication entre les
contrôleurs de domaine de la succursale et ceux du hub pour tirer parti du nouveau
contrôleur de domaine de hub.
Pour les contrôleurs de domaine en lecture seule Windows Server 2008, le

fonctionnement normal du KCC offre un certain rééquilibrage. La nouvelle fonctionnalité
est activée par défaut. Vous pouvez la désactiver en ajoutant l’ensemble de clés de
registre suivant sur le contrôleur de domaine en lecture seule de domaine en lecture
seule :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
« Random BH Loadbalancing Allowed »1 = Fonctionnalité activée (par défaut), 0 =

Fonctionnalité désactivée
Pour plus d’informations sur le fonctionnement de ces fonctionnalités améliorées du

KCC, consultez Planification et déploiement d’Active Directory Domain Services pour les
succursales (https://go.microsoft.com/fwlink/?LinkId=107114).
Fonctionnalité de basculement
Les sites garantissent que la réplication est routée pour contourner les défaillances
réseau et les contrôleurs de domaine hors connexion. Le KCC s’exécute à intervalles
spécifiés pour ajuster la topologie de réplication en fonction des modifications qui se
produisent dans AD DS, par exemple quand de nouveaux contrôleurs de domaine sont
ajoutés et que des sites sont créés. Le KCC vérifie l’état de réplication des connexions
existantes pour déterminer si certaines ne fonctionnent pas. Si une connexion ne
fonctionne pas en raison d’un contrôleur de domaine défaillant, le KCC crée
automatiquement des connexions temporaires avec d’autres partenaires de réplication
(le cas échéant) pour garantir l’exécution de la réplication. Si tous les contrôleurs de
domaine d’un site sont indisponibles, le KCC crée automatiquement des connexions de
réplication entre les contrôleurs de domaine à partir d’un autre site.
Subnet
Un sous-réseau est un segment d’un réseau TCP/IP auquel un ensemble d’adresses IP
logiques est affecté. Les sous-réseaux regroupent les ordinateurs de manière à identifier
leur proximité physique sur le réseau. Les objets de sous-réseau dans AD DS identifient
les adresses réseau utilisées pour mapper les ordinateurs aux sites.
Site
Les sites sont des objets Active Directory qui représentent un ou plusieurs sous-réseaux
TCP/IP avec des connexions réseau très fiables et rapides. Les informations de site
permettent aux administrateurs de configurer l’accès et la réplication Active Directory
pour optimiser l’utilisation du réseau physique. Les objets de site sont associés à un
ensemble de sous-réseaux et chaque contrôleur de domaine d’une forêt est associé à un
site Active Directory selon son adresse IP. Les sites peuvent héberger des contrôleurs de
domaine de plusieurs domaines et un domaine peut être représenté dans plusieurs sites.
Lien de sites
Les liens de sites sont des objets Active Directory qui représentent des chemins logiques
utilisés par le KCC pour établir une connexion pour la réplication Active Directory. Un
objet de lien de sites représente un ensemble de sites pouvant communiquer dans le
cadre d’un transport intersite spécifié avec un coût uniforme.
Tous les sites contenus dans le lien de sites sont considérés comme connectés avec le
même type de réseau. Les sites doivent être liés manuellement à d’autres sites à l’aide
de liens de sites pour que les contrôleurs de domaine d’un site puissent répliquer les
modifications d’annuaire à partir de contrôleurs de domaine d’un autre site. Étant donné
que les liens de sites ne correspondent pas au chemin réel emprunté par les paquets
réseau sur le réseau physique pendant la réplication, vous n’avez pas besoin de créer
des liens de sites redondants pour améliorer l’efficacité de la réplication
Active Directory.
Quand deux sites sont connectés par un lien de sites, le système de réplication crée
automatiquement des connexions entre des contrôleurs de domaine spécifiques de
chaque site, appelés serveurs tête de pont. Dans Windows Server 2008, tous les
contrôleurs de domaine d’un site hébergeant la même partition d’annuaire peuvent être
sélectionnés comme serveurs tête de pont. Les connexions de réplication créées par le
KCC sont distribuées de manière aléatoire entre tous les serveurs tête de pont candidats
d’un site pour partager la charge de travail de réplication. Par défaut, le processus de
sélection aléatoire n’a lieu qu’une seule fois, quand les objets de connexion sont
initialement ajoutés au site.
Pont lien de sites

Un pont lien de sites est un objet Active Directory qui représente un ensemble de liens
de sites, dont tous les sites peuvent communiquer à l’aide d’un transport commun. Les
ponts lien de sites permettent aux contrôleurs de domaine qui ne sont pas directement
connectés avec un lien de communication de se répliquer entre eux. En règle générale,
un pont lien de sites correspond à un routeur (ou à un ensemble de routeurs) sur un
réseau IP.
Par défaut, le KCC peut former une route transitive via tous les liens de sites qui ont
certains sites en commun. Si ce comportement est désactivé, chaque lien de sites
représente son propre réseau distinct et isolé. Les ensembles de liens de sites qui
peuvent être traités comme route unique se présentent sous la forme d’un pont lien de
sites. Chaque pont représente un environnement de communication isolé pour le trafic
réseau.
Les ponts lien de sites constituent un mécanisme permettant de représenter

logiquement la connectivité physique transitive entre les sites. Un pont lien de sites
permet au KCC d’utiliser n’importe quelle combinaison des liens de sites inclus afin de
déterminer la route la moins coûteuse pour interconnecter les partitions d’annuaire
contenues dans ces sites. Le pont lien de sites ne fournit pas de connectivité réelle avec
les contrôleurs de domaine. Si le pont lien de sites est supprimé, la réplication sur les
liens de sites combinés se poursuit jusqu’à ce que le KCC supprime les liens.
Les ponts lien de sites sont nécessaires uniquement si un site contient un contrôleur de
domaine hébergeant une partition d’annuaire qui n’est pas également hébergée sur un
contrôleur de domaine dans un site adjacent, mais qu’un contrôleur de domaine
hébergeant cette partition d’annuaire se trouve dans un ou plusieurs autres sites de la
forêt. Les sites adjacents se définissent comme deux sites ou plus inclus dans un même
lien de sites.
Un pont lien de sites crée une connexion logique entre deux liens de sites. Pour cela, il
fournit un chemin transitif entre deux sites déconnectés en utilisant un site
intermédiaire. Pour les besoins du générateur de topologie intersite, le pont implique
une connectivité physique à l’aide du site intermédiaire. Le pont n’implique pas qu’un
contrôleur de domaine dans le site intermédiaire fournisse le chemin de réplication.
Toutefois, ce serait le cas si le site intermédiaire contenait un contrôleur de domaine qui
hébergeait la partition d’annuaire à répliquer. Un pont lien de sites ne serait alors pas
nécessaire.
Le coût de chaque lien de sites est ajouté, ce qui crée un coût total pour le chemin
résultant. Le pont lien de sites est utilisé si le site intermédiaire ne contient pas de
contrôleur de domaine hébergeant la partition d’annuaire et s’il n’existe pas de lien
moins coûteux. Si le site intermédiaire contenait un contrôleur de domaine hébergeant
la partition d’annuaire, deux sites déconnectés configurent des connexions de
réplication vers le contrôleur de domaine intermédiaire sans utiliser le pont.
Transitivité des liens de sites

Par défaut, tous les liens de sites sont transitifs ou « pontés ». Quand des liens de sites
sont pontés et que les planifications se chevauchent, le KCC crée des connexions de
réplication qui déterminent les partenaires de réplication du contrôleur de domaine
entre les sites, où les sites ne sont pas directement connectés par des liens de sites, mais
connectés de manière transitive via un ensemble de sites communs. Cela signifie que
vous pouvez connecter n’importe quel site à n’importe quel autre site via une
combinaison de liens de sites.
En général, pour un réseau entièrement routé, vous n’avez pas besoin de créer de ponts
lien de sites, sauf si vous souhaitez contrôler le flux de changements de réplication. Si
votre réseau n’est pas entièrement routé, vous devez créer des ponts lien de sites pour
éviter les tentatives de réplication impossible. Tous les liens de sites pour un transport
spécifique appartiennent implicitement à un même pont lien de sites pour ce transport.
Le pontage par défaut pour les liens de sites se produit automatiquement et aucun
objet Active Directory ne représente ce pont. Le paramètre Ponter tous les liens de sites
dans les propriétés des conteneurs de transport intersite IP et SMTP (Simple Mail
Transfer Protocol) implémente le pontage automatique de liens de sites.
７ Notes
La réplication SMTP ne sera pas prise en charge dans les versions futures d’AD DS.
Il n’est donc pas recommandé de créer des objets de lien de sites dans le
conteneur SMTP.
Serveur du catalogue global

Un serveur de catalogue global est un contrôleur de domaine qui stocke des
informations sur tous les objets de la forêt pour que les applications puissent effectuer
des recherches dans AD DS sans faire référence à des contrôleurs de domaine
spécifiques stockant les données demandées. Comme tous les contrôleurs de domaine,
un serveur de catalogue global stocke des réplicas complets et accessibles en écriture
des partitions d’annuaire de configuration et de schéma ainsi qu’un réplica complet et
accessible en écriture de la partition d’annuaire de domaine pour le domaine qu’il
héberge. En outre, un serveur de catalogue global stocke un réplica partiel en lecture
seule de tous les autres domaines de la forêt. Les réplicas de domaine partiels en lecture
seule contiennent tous les objets du domaine, mais uniquement un sous-ensemble des
attributs (attributs les plus couramment utilisés pour la recherche de l’objet).
Mise en cache de l’appartenance aux groupes

universels
La mise en cache de l’appartenance aux groupes universels permet au contrôleur de
domaine de mettre en cache les informations d’appartenance aux groupes universels
pour les utilisateurs. Vous pouvez activer les contrôleurs de domaine qui exécutent
Windows Server 2008 pour mettre en cache les appartenances aux groupes universels à
l’aide du composant logiciel enfichable Sites et services Active Directory.
L’activation de la mise en cache de l’appartenance aux groupes universels élimine la

nécessité de disposer d’un serveur de catalogue global sur chaque site d’un domaine.
Ceci réduit l’utilisation de la bande passante réseau, car un contrôleur de domaine n’a
pas besoin de répliquer tous les objets situés dans la forêt. Ceci réduit également les
temps d’ouverture de session, car les contrôleurs de domaine d’authentification n’ont
pas toujours besoin d’accéder à un catalogue global pour obtenir des informations
d’appartenance aux groupes universels. Pour plus d’informations sur l’opportunité
d’utiliser la mise en cache de l’appartenance aux groupes universels, consultez
Planification de l’emplacement du serveur de catalogue global.
Collecte d'informations réseau

La première étape de la conception d’une topologie de site efficace dans Active

Directory Domain Services (AD DS) consiste à consulter le groupe réseau de votre
organisation pour collecter des informations et communiquer régulièrement avec lui au
sujet de votre topologie de réseau physique.
Création d’une carte d’emplacement

Créez une carte d’emplacement qui représente l’infrastructure réseau physique de votre
organisation. Sur la carte d’emplacement, identifiez les emplacements géographiques
qui contiennent des groupes d’ordinateurs avec une connectivité interne de
10 mégabits par seconde (Mbits/s) ou plus (vitesse du réseau local (LAN) ou supérieure).
Liste des liens de communication et de la

bande passante disponible
Après avoir créé une carte de localisation, documentez le type de lien de
communication, sa vitesse de liaison et la bande passante disponible entre chaque
emplacement. Obtenez une topologie de réseau étendu (WAN) à partir de votre groupe
réseau. Pour obtenir la liste des types de circuits WAN courants et de leurs bandes
passantes, consultez la section « Détermination du coût » dans Création d’une
conception de lien de site. Vous aurez besoin de ces informations pour créer des liens
de site plus loin dans le processus de conception de la topologie de site.
La bande passante fait référence à la quantité de données que vous pouvez transmettre
sur un canal de communication dans un laps de temps donné. La bande passante
disponible fait référence à la quantité de bande passante réellement disponible pour
une utilisation par AD DS. Vous pouvez obtenir les informations de bande passante
disponibles auprès de votre groupe réseau ou analyser le trafic sur chaque lien à l’aide
d’un analyseur de protocole tel que le Moniteur réseau Microsoft. Pour plus
d’informations sur l’installation du Moniteur réseau Microsoft, consultez l’article
Surveillance du trafic réseau.
Documentez chaque emplacement et les autres emplacements qui y sont liés. Vous
devez aussi enregistrer le type de liaison de communication et sa bande passante
disponible. Pour obtenir une feuille de calcul qui vous aidera à répertorier les liens de
communication et la bande passante disponible, consultez Aide aux travaux pour le Kit
de déploiement Windows Server 2003 , téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrez
« Emplacements géographiques et liens de communication » (DSSTOPO_1.doc).
Liste des sous-réseaux IP dans chaque

emplacement
Après avoir documenté les liens de communication et la bande passante disponible
entre chaque emplacement, enregistrez les sous-réseaux IP dans chaque emplacement.
Si vous ne connaissez pas encore le masque de sous-réseau et l’adresse IP dans chaque
emplacement, consultez votre groupe réseau.
AD DS associe une station de travail à un site en comparant l’adresse IP de la station de

travail avec les sous-réseaux associés à chaque site. Lorsque vous ajoutez des
contrôleurs de domaine à un domaine, AD DS examine également leurs adresses IP et
les place dans le site le plus approprié.
Pour obtenir une feuille de calcul qui vous aidera à répertorier les sous-réseaux IP dans
chaque emplacement, consultez Aide aux travaux pour le Kit de déploiement Windows
Server 2003 , téléchargez
« Emplacements et sous-réseaux » (DSSTOPO_2.doc).
７ Notes
En plus des adresses IP version 4 (IPv4), Windows Server prend également en

charge les préfixes de sous-réseau IP version 6 (IPv6). Pour obtenir une feuille de
calcul qui vous aidera à répertorier les préfixes de sous-réseau IPv6, consultez
l’Annexe A : Emplacements et préfixes de sous-réseau.
Liste des domaines et nombre d’utilisateurs

pour chaque emplacement
Le nombre d’utilisateurs pour chaque domaine régional représenté dans un
emplacement est l’un des facteurs qui déterminent l’emplacement des contrôleurs de
domaines régionaux et des serveurs de catalogue global, ce qui constitue l’étape
suivante du processus de conception de la topologie de site. Par exemple, prévoyez de
placer un contrôleur de domaine régional dans un emplacement qui contient plus de
100 utilisateurs de domaines régionaux afin qu’ils puissent toujours se connecter au
domaine si la liaison WAN échoue.
Enregistrez les emplacements, les domaines qui sont représentés dans chaque
emplacement et le nombre d’utilisateurs pour chaque domaine représenté dans chaque
emplacement. Pour obtenir une feuille de calcul qui vous aidera à répertorier les
domaines et le nombre d’utilisateurs représentés dans chaque emplacement, consultez
Aide aux travaux pour le Kit de déploiement Windows Server 2003 , téléchargez
« Domaines et utilisateurs dans chaque emplacement » (DSSTOPO_3.doc).
Planification de l'emplacement des
contrôleurs de domaine

Une fois que vous avez collecté toutes les informations réseau qui seront utilisées pour
concevoir la topologie de votre site, planifiez le positionnement des contrôleurs de
domaine, notamment des contrôleurs de domaine racine de forêt, des contrôleurs de
domaine régionaux, des détenteurs du rôle de maître d’opérations et des serveurs de
catalogue global.
Dans Windows Server 2008, vous pouvez également exploiter des contrôleurs de

domaine en lecture seule. Un contrôleur de domaine en lecture seule est un nouveau
type de contrôleur de domaine qui héberge des partitions en lecture seule de la base de
données Active Directory. À l’exception des mots de passe de compte, un RODC
contient tous les objets et attributs Active Directory qu’un contrôleur de domaine
accessible en écriture contient. En revanche, aucune modification ne peut être apportée
à la base de données stockée sur le contrôleur de domaine en lecture seule. Les
modifications doivent être apportées sur un contrôleur de domaine accessible en
écriture, puis répliquées sur le contrôleur de domaine en lecture seule.
Un contrôleur de domaine en lecture seule est conçu principalement pour être déployé
dans des environnements distants ou de filiales, qui ont généralement relativement peu
d’utilisateurs, une sécurité physique médiocre, une bande passante réseau relativement
faible vers un site hub et un personnel dont les connaissances en informatique sont
limitées. Le déploiement de contrôleurs de domaine en lecture seule permet d’améliorer
la sécurité et l’efficacité de l’accès aux ressources réseau. Pour plus d’informations sur
les fonctionnalités d’un contrôleur de domaine en lecture seule, consultez AD DS :
Contrôleurs de domaine en lecture seule. Pour plus d’informations sur le déploiement
d’un contrôleur de domaine en lecture seule, consultez le guide pas à pas des
contrôleurs de domaine en lecture seule.
７ Notes
Ce guide n’explique pas comment déterminer le nombre approprié de contrôleurs

de domaine et la configuration matérielle requise des contrôleurs de domaine pour
chaque domaine représenté dans chaque site.
Planification de l’emplacement des contrôleurs de domaine racines de forêt
Planification du positionnement des contrôleurs de domaine régionaux
Planification de l’emplacement des serveurs de catalogues globaux
Planification de l’emplacement des rôles de maître d’opérations

Planification de l’emplacement des
contrôleurs de domaine racines de forêt

Les contrôleurs de domaine racines de forêt sont nécessaires pour créer des chemins
d’accès d’approbation pour les clients qui doivent accéder aux ressources dans des
domaines autres que les leurs. Placez des contrôleurs de domaine racines de forêt dans
des emplacements hub et dans des emplacements qui hébergent des centres de
données. Si les utilisateurs d’un emplacement donné doivent accéder aux ressources
d’autres domaines dans le même emplacement, et que la disponibilité réseau entre le
centre de données et l’emplacement de l’utilisateur n’est pas fiable, vous pouvez ajouter
un contrôleur de domaine racine de forêt à l’emplacement ou créer un raccourci
d’approbation entre les deux domaines. Il est plus économique de créer un raccourci
d’approbation entre les domaines, sauf si vous avez d’autres raisons de placer un
contrôleur de domaine racine de forêt à cet emplacement.
Les raccourcis d’approbation permettent d’optimiser les demandes d’authentification

effectuées par les utilisateurs situés dans l’un ou l’autre domaine. Pour plus
d’informations sur les raccourcis d’approbation entre domaines, voir l’article Dans quels
cas créer un raccourci d’approbation.
Pour obtenir une feuille de calcul pour vous aider à documenter l’emplacement de votre
contrôleur de domaine racine de forêt, consultez Outils de déploiement pour
Windows Server 2003 , téléchargez
« Domain Controller Placement » (DSSTOPO_4.doc).
Vous devrez vous référer à ces informations lorsque vous créez le domaine racine de
forêt. Pour plus d’informations sur le déploiement du domaine racine de forêt, consultez
Déploiement d’un domaine racine de forêt Windows Server 2008.
Planification de l’emplacement du
contrôleur de domaine régional

Pour garantir l’efficacité des coûts, envisagez de placer le moins de contrôleurs de

domaine régionaux possible. Tout d’abord, passez en revue la feuille de calcul «
Emplacements géographiques et liens de communication » (DSSTOPO_1.doc) utilisée
dans la collecte d’informations réseau pour déterminer si un emplacement est un hub.
Prévoyez de placer des contrôleurs de domaine régionaux pour chaque domaine

représenté dans chaque emplacement hub. Après avoir placé des contrôleurs de
domaine régionaux dans tous les emplacements hub, évaluez la nécessité de placer des
contrôleurs de domaine régionaux à des emplacements satellites. L’élimination des
contrôleurs de domaine régionaux inutiles à partir d’emplacements satellites réduit les
coûts de support nécessaires à la maintenance d’une infrastructure de serveur distant.
En outre, assurez-vous de la sécurité physique des contrôleurs de domaine dans les

emplacements hub et satellite afin que le personnel non autorisé ne puisse pas y
accéder. Ne placez pas de contrôleurs de domaine accessibles en écriture dans des
emplacements hub et satellite dans lesquels vous ne pouvez pas garantir la sécurité
physique du contrôleur de domaine. Une personne disposant d’un accès physique à un
contrôleur de domaine accessible en écriture peut attaquer le système en :
Accès aux disques physiques en démarrant un autre système d’exploitation sur un

Suppression (et éventuellement remplacement) de disques physiques sur un
Obtention et manipulation d’une copie d’une sauvegarde de l’état du système du
Ajoutez des contrôleurs de domaine régionaux accessibles en écriture uniquement aux

emplacements dans lesquels vous pouvez garantir leur sécurité physique.
Dans les emplacements avec une sécurité physique insuffisante, le déploiement d’un
contrôleur de domaine en lecture seule (RODC) est la solution recommandée. À
l’exception des mots de passe de compte, un contrôleur de domaine en lecture seule
contient tous les objets et attributs Active Directory qu’un contrôleur de domaine
accessible en écriture contient. Toutefois, les modifications ne peuvent pas être
apportées à la base de données stockée sur le contrôleur de domaine en lecture seule.
Les modifications doivent être apportées sur un contrôleur de domaine accessible en
écriture, puis répliquées vers le contrôleur de domaine en lecture seule.
Pour authentifier les ouvertures de session client et l’accès aux serveurs de fichiers
locaux, la plupart des organisations placent des contrôleurs de domaine régionaux pour
tous les domaines régionaux représentés dans un emplacement donné. Toutefois, vous
devez prendre en compte de nombreuses variables lorsque vous évaluez si un
emplacement métier nécessite que ses clients disposent d’une authentification locale ou
que les clients puissent s’appuyer sur l’authentification et interroger un lien réseau
étendu (WAN). L’illustration suivante montre comment déterminer s’il faut placer des
contrôleurs de domaine à des emplacements satellites.
Disponibilité de l’expertise technique sur site

Les contrôleurs de domaine doivent être gérés en continu pour diverses raisons. Placez
un contrôleur de domaine régional uniquement dans des emplacements qui incluent le
personnel qui peut administrer le contrôleur de domaine, ou assurez-vous que le
contrôleur de domaine peut être géré à distance.
Dans les environnements de succursale avec une sécurité physique et un personnel
généralement médiocres avec peu de connaissances en technologies de l’information, le
déploiement d’un CONTRÔLEUR de domaine en lecture seule est souvent la solution
recommandée. Les autorisations d’administration locales pour un contrôleur de
domaine peuvent être déléguées à n’importe quel utilisateur de domaine sans accorder
à cet utilisateur des droits d’utilisateur pour le domaine ou d’autres contrôleurs de
domaine. Cela permet à un utilisateur de branche locale de se connecter à un contrôleur
de domaine en lecture seule et d’effectuer un travail de maintenance sur le serveur,
comme la mise à niveau d’un pilote. Toutefois, l’utilisateur de branche ne peut pas se
connecter à un autre contrôleur de domaine ou effectuer une autre tâche administrative
dans le domaine. De cette façon, l’utilisateur de la branche peut être délégué à la
possibilité de gérer efficacement le RODC dans la filiale sans compromettre la sécurité
du reste du domaine ou de la forêt.
Disponibilité des liaisons WAN

Les liens WAN qui rencontrent des pannes fréquentes peuvent entraîner une perte de
productivité significative pour les utilisateurs si l’emplacement n’inclut pas de contrôleur
de domaine qui peut authentifier les utilisateurs. Si la disponibilité de votre liaison WAN
n’est pas de 100 % et que vos sites distants ne peuvent pas tolérer une panne de
service, placez un contrôleur de domaine régional dans des emplacements où les
utilisateurs nécessitent la possibilité de se connecter ou d’échanger l’accès au serveur
lorsque la liaison WAN est arrêtée.
Disponibilité de l’authentification
Certaines organisations, telles que les banques, exigent que les utilisateurs soient
authentifiés à tout moment. Placez un contrôleur de domaine régional dans un
emplacement où la disponibilité de la liaison WAN n’est pas de 100 pour cent, mais les
utilisateurs ont besoin d’une authentification à tout moment.
Performances d’ouverture de session via des

liens WAN
Si la disponibilité de votre liaison WAN est très fiable, le placement d’un contrôleur de
domaine à l’emplacement dépend des exigences de performances d’ouverture de
session sur la liaison WAN. Les facteurs qui influencent les performances d’ouverture de
session sur le WAN incluent la vitesse de liaison et la bande passante disponible, le
nombre d’utilisateurs et les profils d’utilisation, ainsi que la quantité de trafic réseau
d’ouverture de session par rapport au trafic de réplication.
Vitesse de liaison WAN et utilisation de la bande passante

Les activités d’un seul utilisateur peuvent ingérer un lien WAN lent. Placez un contrôleur
de domaine à un emplacement si les performances d’ouverture de session sur le lien
WAN sont inacceptables.
Le pourcentage moyen d’utilisation de la bande passante indique la façon dont une

liaison réseau est ingérée. Si une liaison réseau a une utilisation moyenne de la bande
passante supérieure à une valeur acceptable, placez un contrôleur de domaine à cet
emplacement.
Nombre d’utilisateurs et de profils d’utilisation

Le nombre d’utilisateurs et leurs profils d’utilisation à un emplacement donné peuvent
vous aider à déterminer si vous devez placer des contrôleurs de domaine régionaux à
cet emplacement. Pour éviter une perte de productivité en cas d’échec d’une liaison
WAN, placez un contrôleur de domaine régional à un emplacement avec 100 utilisateurs
ou plus.
Les profils d’utilisation indiquent comment les utilisateurs utilisent les ressources réseau.
Vous n’avez pas besoin de placer un contrôleur de domaine dans un emplacement qui
contient seulement quelques utilisateurs qui n’accèdent pas fréquemment aux
ressources réseau.
Trafic réseau d’ouverture de session et trafic de

réplication
Si un contrôleur de domaine n’est pas disponible dans le même emplacement que le
client Active Directory, le client crée le trafic d’ouverture de session sur le réseau. La
quantité de trafic réseau d’ouverture de session créée sur le réseau physique est
influencée par plusieurs facteurs, y compris les appartenances aux groupes; nombre et
taille d’objets stratégie de groupe (GPO) ; scripts d’ouverture de session ; fonctionnalités
telles que les dossiers hors connexion, la redirection de dossiers et les profils itinérants.
En revanche, un contrôleur de domaine placé à un emplacement donné génère le trafic

de réplication sur le réseau. La fréquence et la quantité de mises à jour effectuées sur les
partitions hébergées sur les contrôleurs de domaine influencent la quantité de trafic de
réplication créé sur le réseau. Les différents types de mises à jour qui peuvent être
effectuées sur les partitions hébergées sur les contrôleurs de domaine incluent l’ajout ou
la modification des utilisateurs et des attributs utilisateur, la modification des mots de
passe et l’ajout ou la modification de groupes globaux, d’imprimantes ou de volumes.
Pour déterminer si vous devez placer un contrôleur de domaine régional à un

emplacement, comparez le coût du trafic d’ouverture de session créé par un
emplacement sans contrôleur de domaine par rapport au coût du trafic de réplication
créé en plaçant un contrôleur de domaine à l’emplacement.
Par exemple, considérez un réseau qui dispose de succursales connectées via des liens
lents vers le siège social et dans lequel les contrôleurs de domaine peuvent facilement
être ajoutés. Si le trafic quotidien de recherche d’annuaire et d’ouverture de session de
quelques utilisateurs de site distants entraîne plus de trafic réseau que la réplication de
toutes les données d’entreprise vers la branche, envisagez d’ajouter un contrôleur de
domaine à la branche.
Si la réduction du coût de maintenance des contrôleurs de domaine est plus importante

que le trafic réseau, centraliser les contrôleurs de domaine pour ce domaine et ne
placent aucun contrôleur de domaine régional à l’emplacement ou envisagez de placer
des contrôleurs de domaine à l’emplacement.
Pour obtenir une feuille de calcul pour vous aider à documenter l’emplacement des
contrôleurs de domaine régionaux et le nombre d’utilisateurs pour chaque domaine
représenté à chaque emplacement, consultez Aide au travail pour Windows Kit de
déploiement Server 2003 , télécharger
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrir «
Placement du contrôleur de domaine » (DSSTOPO_4.doc).
Vous devez faire référence aux informations sur les emplacements dans lesquels vous
devez placer des contrôleurs de domaine régionaux lorsque vous déployez des
domaines régionaux. Pour plus d’informations sur le déploiement de domaines
régionaux, consultez Déploiement Windows Domaines régionaux Server 2008.
Planification de l’emplacement des
serveurs de catalogue global

Le placement global du catalogue nécessite une planification, sauf si vous disposez

d’une forêt à domaine unique. Dans une forêt à domaine unique, configurez tous les
contrôleurs de domaine en tant que serveurs de catalogue globaux. Étant donné que
chaque contrôleur de domaine stocke la seule partition d’annuaire de domaine dans la
forêt, la configuration de chaque contrôleur de domaine en tant que serveur de
catalogue global ne nécessite pas d’utilisation supplémentaire de l’espace disque, de
l’utilisation du processeur ou du trafic de réplication. Dans une forêt à domaine unique,
tous les contrôleurs de domaine agissent en tant que serveurs de catalogue globaux
virtuels; autrement dit, ils peuvent tous répondre à n’importe quelle demande
d’authentification ou de service. Cette condition spéciale pour les forêts à domaine
unique est par conception. Les demandes d’authentification ne nécessitent pas de
contacter un serveur de catalogue global comme ils le font lorsqu’il existe plusieurs
domaines, et un utilisateur peut être membre d’un groupe universel qui existe dans un
autre domaine. Toutefois, seuls les contrôleurs de domaine désignés comme serveurs de
catalogue globaux peuvent répondre aux requêtes de catalogue globale sur le port de
catalogue global 3268. Pour simplifier l’administration dans ce scénario et pour garantir
des réponses cohérentes, la conception de tous les contrôleurs de domaine en tant que
serveurs de catalogue globaux élimine le problème auquel les contrôleurs de domaine
peuvent répondre aux requêtes de catalogue globale. Plus précisément, chaque fois
qu’un utilisateur utilise Start\Search\For People ou Find Printers ou développe des
groupes universels, ces demandes sont envoyées uniquement au catalogue global.
Dans plusieurs forêts de domaine, les serveurs de catalogue globaux facilitent les
requêtes d’ouverture de session utilisateur et les recherches à l’échelle de la forêt.
L’illustration suivante montre comment déterminer quels emplacements nécessitent des
serveurs de catalogue globaux.
Dans la plupart des cas, il est recommandé d’inclure le catalogue global lorsque vous
installez de nouveaux contrôleurs de domaine. Il existe toutefois certaines exceptions :
Bande passante limitée : dans les sites distants, si le lien réseau étendu (WAN)
entre le site distant et le site hub est limité, vous pouvez utiliser la mise en cache
d’appartenance à un groupe universel dans le site distant pour répondre aux
besoins d’ouverture de session des utilisateurs du site.
Incompatibilité du rôle maître des opérations d’infrastructure : n’placez pas le
catalogue global sur un contrôleur de domaine qui héberge le rôle maître des
opérations d’infrastructure dans le domaine, sauf si tous les contrôleurs de
domaine du domaine sont des serveurs de catalogue globaux ou que la forêt n’a
qu’un seul domaine.
Ajout de serveurs de catalogue globaux en

fonction des exigences de l’application
Certaines applications, telles que Microsoft Exchange, Message Queuing (également
appelées MSMQ) et les applications utilisant DCOM ne fournissent pas de réponse
adéquate sur les liens WAN latents et ont donc besoin d’une infrastructure de catalogue
globale hautement disponible pour fournir une faible latence de requête. Déterminez si
les applications qui fonctionnent mal sur un lien WAN lent s’exécutent dans des
emplacements ou si les emplacements nécessitent Microsoft Exchange Server. Si vos
emplacements incluent des applications qui ne fournissent pas de réponse adéquate sur
un lien WAN, vous devez placer un serveur de catalogue global à l’emplacement pour
réduire la latence des requêtes.
７ Notes
Les contrôleurs de domaine en lecture seule peuvent être promus avec succès vers
l’état du serveur de catalogue global. Toutefois, certaines applications avec
annuaire ne peuvent pas prendre en charge un RODC en tant que serveur de
catalogue global. Par exemple, aucune version de Microsoft Exchange Server
n’utilise des contrôleurs de domaine. Toutefois, Microsoft Exchange Server
fonctionne dans des environnements qui incluent des contrôleurs de domaine
accessibles en écriture, tant qu’il existe des contrôleurs de domaine accessibles en
écriture. Exchange Server 2007 ignore efficacement les rodCs. Exchange Server
2003 ignore également les contrôleurs de domaine dans des conditions par défaut
où Exchange composants détectent automatiquement les contrôleurs de domaine
disponibles. Aucune modification n’a été apportée à Exchange Server 2003 pour
l’informer des serveurs d’annuaires en lecture seule. Par conséquent, la tentative de
forcer Exchange Server des services et des outils de gestion 2003 à utiliser des
rodCs peut entraîner un comportement imprévisible.
Ajout de serveurs de catalogue globaux pour

un grand nombre d’utilisateurs
Placez des serveurs de catalogue globaux à tous les emplacements qui contiennent plus
de 100 utilisateurs pour réduire la congestion des liaisons RÉSEAU WAN et empêcher la
perte de productivité en cas de défaillance de liaison WAN.
Utilisation de la bande passante hautement

disponible
Vous n’avez pas besoin de placer un catalogue global à un emplacement qui n’inclut pas
d’applications nécessitant un serveur de catalogue global, inclut moins de 100
utilisateurs et est également connecté à un autre emplacement qui inclut un serveur de
catalogue global par un lien WAN disponible pour services de domaine Active Directory
(AD DS). Dans ce cas, les utilisateurs peuvent accéder au serveur de catalogue global via
le lien WAN.
Les utilisateurs itinérants doivent contacter les serveurs de catalogue globaux chaque
fois qu’ils se connectent pour la première fois à n’importe quel emplacement. Si le
temps d’ouverture de session sur le lien WAN est inacceptable, placez un catalogue
global à un emplacement visité par un grand nombre d’utilisateurs itinérants.
Activation de la mise en cache d’appartenance

aux groupes universels
Pour les emplacements qui incluent moins de 100 utilisateurs et qui n’incluent pas un
grand nombre d’utilisateurs itinérants ou d’applications nécessitant un serveur de
catalogue global, vous pouvez déployer des contrôleurs de domaine qui exécutent
Windows Server 2008 et activer la mise en cache d’appartenance aux groupes universels.
Vérifiez que les serveurs de catalogue globaux ne sont pas plusieurs tronçons de
réplication du contrôleur de domaine sur lesquels la mise en cache d’appartenance à un
groupe universel est activée afin que les informations de groupe universelles dans le
cache puissent être actualisées. Pour plus d’informations sur le fonctionnement de la
mise en cache de groupes universels, consultez l’article Fonctionnement du catalogue
global.
Pour obtenir une feuille de calcul pour vous aider à documenter où vous envisagez
d’placer des serveurs de catalogue globaux et des contrôleurs de domaine avec la mise
en cache de groupe universelle activée, consultez Aide au travail pour Windows Kit de
déploiement Server 2003 , télécharger
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrir le
placement du contrôleur de domaine (DSSTOPO_4.doc). Consultez les informations sur
les emplacements dans lesquels vous devez placer des serveurs de catalogue globaux
lorsque vous déployez le domaine racine de forêt et les domaines régionaux.
Planification de l’emplacement des rôles
de maître d’opérations

Active Directory Domain Services (AD DS) prend en charge la réplication multimaître des
données d’annuaire, ce qui signifie que n’importe quel contrôleur de domaine peut
accepter des modifications d’annuaire et répliquer les modifications sur tous les autres
contrôleurs de domaine. Toutefois, certaines modifications, telles que les modifications
de schéma, sont impossibles à effectuer dans un mode multimaître. Pour cette raison,
certains contrôleurs de domaine, connus sous le nom de maîtres d’opérations,
détiennent des rôles chargés d’accepter des demandes pour certaines modifications
spécifiques.
７ Notes
Les détenteurs du rôle de maître d’opérations doivent être en mesure d’écrire des
informations dans la base de données Active Directory. En raison de la nature en
lecture seule de la base de données Active Directory sur un contrôleur de domaine
en lecture seule (RODC), les contrôleurs de domaine en lecture seule ne peuvent
pas jouer le rôle de détenteur du rôle de maître d’opérations.
Trois rôles de maître d’opérations (également appelés opérations à maître unique

flottant ou FSMO) existent dans chaque domaine :
Le maître d’opérations de l’émulateur de contrôleur de domaine principal traite

toutes les mises à jour de mot de passe.
Le maître d’opérations RID (relative ID) conserve le pool RID global pour le
domaine et alloue des pools RID locaux à tous les contrôleurs de domaine pour
s’assurer que tous les principaux de sécurité créés dans le domaine ont un
identificateur unique.
Le maître d’opérations d’infrastructure pour un domaine donné gère une liste des
principaux de sécurité d’autres domaines qui sont membres de groupes au sein de
son domaine.
Outre les trois rôles de maître d’opérations au niveau du domaine, deux rôles de maître
d’opérations existent dans chaque forêt :
Le maître d’opérations de schéma régit les modifications apportées au schéma.

Le maître d’opérations d’attribution de noms de domaine ajoute et supprime des
domaines et d’autres partitions d’annuaire (par exemple, les partitions
d’application DNS (Domain Name System)) vers et depuis la forêt.
Placez les contrôleurs de domaine qui hébergent ces rôles de maître d’opérations dans
les domaines où la fiabilité du réseau est élevée, et assurez-vous que l’émulateur de
contrôleur de domaine principal et le maître RID sont toujours disponibles.
Les détenteurs du rôle de maître d’opérations sont attribués automatiquement lors de la

création du premier contrôleur de domaine dans un domaine donné. Les deux rôles au
niveau de la forêt (contrôleur de schéma et maître d’attribution de noms de domaine)
sont affectés au premier contrôleur de domaine créé dans une forêt. En outre, les trois
rôles au niveau du domaine (maître RID, maître d’infrastructure et émulateur PDC) sont
affectés au premier contrôleur de domaine créé dans un domaine.
７ Notes
Les attributions de détenteur du rôle de maître d’opérations automatique sont

effectuées uniquement lorsqu’un nouveau domaine est créé et lorsqu’un détenteur
de rôle actuel est rétrogradé. Toutes les autres modifications apportées aux
propriétaires de rôle doivent être initiées par un administrateur.
Ces attributions de rôle de maître d’opérations automatique peuvent entraîner une

utilisation très élevée du processeur sur le premier contrôleur de domaine créé dans la
forêt ou le domaine. Pour éviter cela, affectez des rôles de maître d’opérations (transfert)
à différents contrôleurs de domaine dans votre forêt ou domaine. Placez les contrôleurs
de domaine qui hébergent les rôles de maître d’opérations dans les domaines où le
réseau est fiable et où les maîtres d’opérations sont accessibles par tous les autres
contrôleurs de domaine de la forêt.
Vous devez également désigner des maîtres d’opérations de secours pour tous les rôles
de maître d’opérations. Les maîtres d’opérations en attente sont des contrôleurs de
domaine vers lesquels vous pouvez transférer les rôles de maître d’opérations en cas
d’échec des détenteurs de rôle d’origine. Assurez-vous que les maîtres d’opérations en
attente sont des partenaires de réplication directs des maîtres d’opérations réels.
Planification de l’emplacement de l’émulateur
de contrôleur de domaine principal
L’émulateur de contrôleur de domaine principal traite les modifications de mot de passe
client. Un seul contrôleur de domaine joue le rôle d’émulateur de contrôleur de
domaine principal dans chaque domaine de la forêt.
même si tous les contrôleurs de domaine sont mis à niveau vers Windows 2000,
Windows server 2003 et Windows server 2008, et que le domaine fonctionne au niveau
fonctionnel natif Windows 2000, l’émulateur PDC reçoit la réplication préférentielle des
modifications de mot de passe effectuées par les autres contrôleurs de domaine du
domaine. Si un mot de passe a été modifié récemment, la réplication de ce changement
prend du temps sur chaque contrôleur de domaine du domaine. Si l’authentification
d’ouverture de session échoue sur un autre contrôleur de domaine en raison d’un mot
de passe incorrect, ce contrôleur de domaine transfère la demande d’authentification à
l’émulateur PDC avant de décider d’accepter ou de refuser la tentative d’ouverture de
session.
Placez l’émulateur de contrôleur de domaine principal dans un emplacement qui

contient un grand nombre d’utilisateurs de ce domaine pour les opérations de transfert
de mot de passe, si nécessaire. En outre, assurez-vous que l’emplacement est bien
connecté à d’autres emplacements pour réduire la latence de la réplication.
pour obtenir une feuille de calcul qui vous aide à documenter les informations relatives
à l’emplacement où vous envisagez de placer les émulateurs de contrôleur de domaine
principal et le nombre d’utilisateurs pour chaque domaine représenté à chaque
emplacement, consultez les aide-mémoire pour Windows Server 2003 Deployment
Kit , téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et ouvrez le
Placement du contrôleur de domaine (DSSTOPO_4.doc).
Vous devez faire référence aux informations sur les emplacements dans lesquels vous
devez placer des émulateurs de contrôleur de domaine principal lorsque vous déployez
des domaines régionaux. pour plus d’informations sur le déploiement de domaines
régionaux, voir déploiement de Windows Server 2008 domaines régionaux.
Configuration requise pour le placement du

maître d’infrastructure
Le maître d’infrastructure met à jour les noms des principaux de sécurité à partir
d’autres domaines ajoutés aux groupes dans son propre domaine. Par exemple, si un
utilisateur d’un domaine est membre d’un groupe dans un deuxième domaine et que le
nom de l’utilisateur est modifié dans le premier domaine, le deuxième domaine n’est
pas notifié que le nom de l’utilisateur doit être mis à jour dans la liste d’appartenance du
groupe. Étant donné que les contrôleurs de domaine dans un domaine ne répliquent
pas les principaux de sécurité sur les contrôleurs de domaine d’un autre domaine, le
deuxième domaine ne prend jamais connaissance de la modification en l’absence du
maître d’infrastructure.
Le maître d’infrastructure surveille constamment les appartenances aux groupes, en

recherchant les principaux de sécurité des autres domaines. S’il en trouve un, il consulte
le domaine de l’entité de sécurité pour vérifier que les informations sont mises à jour. Si
les informations sont obsolètes, le maître d’infrastructure effectue la mise à jour, puis
réplique la modification sur les autres contrôleurs de domaine de son domaine.
Deux exceptions s’appliquent à cette règle. Premièrement, si tous les contrôleurs de

domaine sont des serveurs de catalogue global, le contrôleur de domaine qui héberge
le rôle de maître d’infrastructure n’est pas significatif, car les catalogues globaux
répliquent les informations mises à jour quel que soit le domaine auquel ils
appartiennent. Deuxièmement, si la forêt n’a qu’un seul domaine, le contrôleur de
domaine qui héberge le rôle de maître d’infrastructure n’est pas significatif, car les
principaux de sécurité des autres domaines n’existent pas.
Ne placez pas le maître d’infrastructure sur un contrôleur de domaine qui est également
un serveur de catalogue global. Si le maître d’infrastructure et le catalogue global se
trouvent sur le même contrôleur de domaine, le maître d’infrastructure ne fonctionnera
pas. Le maître d’infrastructure ne trouvera jamais de données obsolètes. par conséquent,
il ne répliquera jamais les modifications apportées aux autres contrôleurs de domaine
du domaine.
Emplacement du maître d’opérations pour les

réseaux avec une connectivité limitée
Sachez que si votre environnement dispose d’un emplacement central ou d’un site hub
dans lequel vous pouvez placer des détenteurs du rôle de maître d’opérations, certaines
opérations de contrôleur de domaine qui dépendent de la disponibilité de ces
conteneurs de rôles de maître d’opérations peuvent être affectées.
Supposons, par exemple, qu’une organisation crée des sites A, B, C et D. des liens de
sites existent entre A et B, entre B et C, et entre C et D. la connectivité réseau reflète
exactement la connectivité réseau des liens de sites. Dans cet exemple, tous les rôles de
maître d’opérations sont placés dans le site A et l’option permettant de relier tous les
liens de sites n’est pas sélectionnée.
Bien que cette configuration entraîne la réussite de la réplication entre tous les sites, les
fonctions du rôle de maître d’opérations présentent les limitations suivantes :
Les contrôleurs de domaine dans les sites C et D ne peuvent pas accéder à

l’émulateur de contrôleur de domaine principal dans le site A pour mettre à jour
un mot de passe ou le vérifier pour un mot de passe qui a été récemment mis à
jour.
Les contrôleurs de domaine dans les sites C et D ne peuvent pas accéder au maître
RID du site A pour obtenir un pool RID initial après l’installation du Active
Directory et actualiser les pools RID à mesure qu’ils sont épuisés.
Les contrôleurs de domaine dans les sites C et D ne peuvent pas ajouter ou
supprimer des partitions d’applications d’annuaire, DNS ou personnalisées.
Les contrôleurs de domaine dans les sites C et D ne peuvent pas apporter de
modifications au schéma.
pour obtenir une feuille de calcul pour vous aider à planifier le placement du rôle de
maître d’opérations, consultez les outils d’aide pour Windows Server 2003 Deployment
Kit , téléchargez
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et le placement
du contrôleur de domaine (DSSTOPO_4.doc).
Vous devrez vous référer à ces informations lorsque vous créerez le domaine racine de
forêt et les domaines régionaux. pour plus d’informations sur le déploiement du
domaine racine de la forêt, voir déploiement d’un domaine racine de forêt Windows
Server 2008. pour plus d’informations sur le déploiement de domaines régionaux, voir
déploiement de Windows Server 2008 domaines régionaux.
Étapes suivantes
Vous trouverez des informations supplémentaires sur l’emplacement des rôles FSMO
dans la rubrique de support placement et optimisation du rôle FSMO sur les contrôleurs
de domaine Active Directory
Création d'une conception de site

La création d’une conception de site implique de déterminer les emplacements qui

deviendront des sites, de créer des objets de site, de créer des objets de sous-réseau et
d’associer les sous-réseaux avec les sites.
Choix des emplacements qui deviendront des

sites
Décidez à quels emplacements créer des sites comme suit :
Créez des sites pour tous les emplacements dans lesquels vous envisagez de placer
des contrôleurs de domaine. Reportez-vous aux informations documentées dans la
feuille de calcul « placement du contrôleur de domaine » (DSSTOPO_4.doc) pour
identifier les emplacements qui incluent des contrôleurs de domaine.
Créez des sites pour les emplacements qui incluent des serveurs exécutant des
applications qui nécessitent la création d’un site. Certaines applications, telles que
les espaces de noms système de fichiers DFS, utilisent des objets de site pour
localiser les serveurs les plus proches des clients.
７ Notes
Si votre organisation dispose de plusieurs réseaux à proximité avec des connexions

rapides et fiables, vous pouvez inclure tous les sous-réseaux de ces réseaux dans un
seul site de Active Directory. Par exemple, si la latence réseau aller-retour entre
deux serveurs de différents sous-réseaux est de 10 ms ou moins, vous pouvez
inclure les deux sous-réseaux dans le même site de Active Directory. Si la latence
du réseau entre les deux emplacements est supérieure à 10 ms, vous ne devez pas
inclure les sous-réseaux dans un seul site de Active Directory. Même lorsque la
latence est de 10 ms ou moins, vous pouvez choisir de déployer des sites distincts
si vous souhaitez segmenter le trafic entre les sites pour les applications basées sur
Active Directory.
Si un site n’est pas requis pour un emplacement, ajoutez le sous-réseau de

l’emplacement à un site pour lequel l’emplacement dispose de la vitesse maximale
du réseau étendu (WAN) et de la bande passante disponible.
Emplacements des documents qui deviendront des sites et les adresses réseau et les
masques de sous-réseau dans chaque emplacement. pour obtenir une feuille de calcul
pour vous aider dans la documentation des sites, consultez les aide-mémoire pour
Windows Server 2003 Deployment Kit , téléchargez
« association de sous-réseaux avec des sites » (DSSTOPO_6.doc).
Création d’une conception d’objet de site

Pour chaque emplacement où vous avez décidé de créer des sites, envisagez de créer
des objets de site dans Active Directory Domain Services (AD DS). Emplacements des
documents qui deviendront des sites dans la feuille de calcul « Association de sous-
réseaux avec des sites ».
Pour plus d’informations sur la création d’objets de site, consultez l’article créer un site.
Création d’une conception d’objet sous-réseau

Pour chaque sous-réseau IP et masque de sous-réseau associé à chaque emplacement,
envisagez de créer des objets de sous-réseau dans AD DS représentant toutes les
adresses IP au sein du site.
Lorsque vous créez un objet de sous-réseau Active Directory, les informations relatives
au sous-réseau IP et au masque de sous-réseau sont automatiquement converties dans
le format < de la notation de longueur du préfixe réseau adresse > IP/ < longueur > du
préfixe. Par exemple, l’adresse IP de la version 4 (IPv4) du réseau 172.16.4.0 avec un
masque de sous-réseau 255.255.252.0 apparaît comme 172.16.4.0/22. outre les adresses
IPv4, Windows Server 2008 prend également en charge les préfixes de sous-réseau IP
version 6 (IPv6), par exemple 3FFE : FFFF : 0 : C000 ::/64. Pour plus d’informations sur les
sous-réseaux IP dans chaque emplacement, reportez-vous à la feuille de calcul
« emplacements et sous-réseaux » (DSSTOPO_2.doc) dans collecte d’informations réseau
et annexe A : emplacements et préfixes de sous-réseau.
Associez chaque objet de sous-réseau à un objet de site en faisant référence à la feuille

de calcul « Association de sous-réseaux avec des sites » (DSSTOPO_6.doc) de la section
« choix des emplacements qui deviendront des sites » pour déterminer quel sous-réseau
doit être associé à quel site. Documentez l’objet sous-réseau Active Directory associé à
chaque emplacement dans la feuille de calcul « Association de sous-réseaux avec des
sites » (DSSTOPO_6.doc).
Pour plus d’informations sur la création d’objets de sous-réseau, consultez l’article créer
un sous-réseau.
Création d'une conception de lien de
site
Article • 14/04/2023

Créez une structure de liaisons de site pour connecter vos sites avec des liaisons de site.
Les liaisons de site reflètent la connectivité intersite et la méthode utilisée pour
transférer le trafic de réplication. Vous devez connecter les sites avec des liaisons de site
afin que les contrôleurs de domaine de chaque site puissent répliquer les modifications
Connexion de sites à des liens de sites

Pour connecter des sites avec des liaisons de site, identifiez les sites membres que vous
souhaitez connecter avec la liaison de site, créez un objet de liaison de site dans le
conteneur Transports intersites correspondant, puis nommez la liaison de site. Après
avoir créé la liaison de site, vous pouvez poursuivre par la définition des propriétés de la
liaison de site.
Lors de la création de liaisons de site, vérifiez que chaque site est inclus dans une liaison
de site. Assurez-vous également que tous les sites sont connectés les uns aux autres par
le biais d’autres liaisons de site, afin que les modifications puissent être répliquées à
partir des contrôleurs de domaine, de n’importe quel site vers tous les autres sites. Si
vous ne le faites pas, un message d’erreur est généré dans le journal du service
d’annuaire de l’observateur d’événements et signale que la topologie de site n’est pas
connectée.
Chaque fois que vous ajoutez des sites à une liaison de site nouvellement créée,
déterminez si le site ajouté est membre d’autres liaisons de site et modifiez
l’appartenance à la liaison de site du site si nécessaire. Par exemple, si vous faites d’un
site un membre de Default-First-Site-Link lorsque vous créez initialement le site, veillez à
supprimer ce site de Default-First-Site-Link après l’avoir ajouté à une nouvelle liaison de
site. Si vous ne supprimez pas le site de Default-First-Site-Link, le vérificateur de
cohérence des données (KCC) prend des décisions de routage en fonction de
l’appartenance des deux liaisons de site, ce qui peut entraîner un routage incorrect.
Pour identifier les sites membres que vous souhaitez connecter avec une liaison de site,
utilisez la liste des emplacements et des emplacements liés que vous avez enregistrés
dans la feuille de calcul « Emplacements géographiques et liaisons de communication »
(DSSTOPO_1.doc). Si plusieurs sites disposent de la même connectivité et de la même
disponibilité les uns avec les autres, vous pouvez les connecter avec la même liaison de
site.
Le conteneur Transports intersites fournit les moyens pour le mappage des liaisons de
site au transport utilisé par la liaison. Lorsque vous créez un objet de liaison de site, vous
le créez soit dans le conteneur IP, ce qui associe la liaison de site à l’appel de procédure
distante (RPC) sur le transport IP, soit dans le conteneur SMTP (Simple Mail Transfer
Protocol), ce qui associe la liaison de site au transport SMTP.
７ Notes
La réplication SMTP ne sera pas prise en charge dans les versions futures d’Active
Directory Domain Services (AD DS). Nous ne vous recommandons donc pas de
créer des objets de liaison de site dans le conteneur SMTP.
Lorsque vous créez un objet de liaison de site dans le conteneur Transports intersites
correspondant, AD DS utilise RPC sur IP pour transférer la réplication intersite et intrasite
entre les contrôleurs de domaine. Pour sécuriser les données lors du transit, la
réplication RPC sur IP utilise à la fois le protocole d’authentification Kerberos et le
chiffrement des données.
Lorsqu’aucune connexion IP directe n’est disponible, vous pouvez configurer la

réplication entre les sites de façon à utiliser le protocole SMTP. Toutefois, la
fonctionnalité de réplication SMTP est limitée et nécessite une autorité de certification
d’entreprise. SMTP ne peut répliquer que les partitions de configuration, de schéma et
d’annuaire d’applications ; il ne prend pas en charge la réplication des partitions
d’annuaires de domaine.
Pour nommer les liaisons de site, utilisez un schéma de nommage cohérent, tel que
nom_de_site1-nom_de_site2. Enregistrez dans une feuille de calcul la liste des sites, des
sites liés et les noms des liaisons de site qui relient ces sites. Pour obtenir une feuille de
calcul qui vous aide à enregistrer les noms de sites et les noms de liaisons de site
associés, consultez Kit d’aides aux tâches de déploiement Windows Server 2003 ,
téléchargez Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip et
ouvrez « Sites et liaisons de site associées » (DSSTOPO_5.doc).
Contenu de ce guide
Définition des propriétés des liens de sites
Définition des propriétés des liens de
sites

La réplication intersite a lieu en fonction des propriétés des objets de connexion.

Lorsque le vérificateur de cohérence des connaissances (KCC) crée des objets de
connexion, il dérive la planification de réplication des propriétés des objets de lien de
sites. Chaque objet lien de site représente la connexion de réseau étendu (WAN) entre
deux sites ou plus.
La définition des propriétés de l’objet lien de site comprend les étapes suivantes :
Détermination du coût associé à ce chemin de réplication. Le KCC utilise le coût

pour déterminer l’itinéraire le moins coûteux pour la réplication entre deux sites
qui répliquent la même partition d’annuaire.
Détermination de la planification qui définit les heures pendant lesquelles la

réplication intersite peut se produire.
Détermination de l’intervalle de réplication qui définit la fréquence à laquelle la

réplication doit se produire au moment où la réplication est autorisée, comme
défini dans la planification.
Contenu de ce guide
Détermination du coût
Détermination de la planification
Détermination de l’intervalle
Détermination du coût

Vous attribuez des valeurs de coût aux liens de sites pour favoriser les connexions peu
onéreuses sur des connexions coûteuses. Certains services et applications, tels que le
localisateur de contrôleur de domaine (du localisateur) et les espaces de noms système
de fichiers DFS (DFSN), utilisent également les informations de coût pour localiser les
ressources les plus proches. Le coût d’un lien de site peut être utilisé pour déterminer
quel contrôleur de domaine est contacté par les clients dans un site si le contrôleur de
domaine pour le domaine spécifié n’existe pas sur ce site. Le client contacte le
contrôleur de domaine à l’aide du lien de sites auquel est affecté le coût le plus bas.
Nous vous recommandons de définir la valeur de coût sur l’ensemble du site. Le coût est
généralement basé non seulement sur la bande passante totale du lien, mais également
sur la disponibilité, la latence et le coût monétaire du lien.
Pour déterminer les coûts à placer sur les liens de sites, documentez la vitesse de
connexion de chaque lien de sites. Pour plus d’informations sur la vitesse de connexion
que vous avez identifiée, reportez-vous à la feuille de calcul « emplacements
géographiques et liens de communication » (DSSTOPO_1.doc) dans collecte des
informations réseau .
Le tableau suivant répertorie les vitesses pour les différents types de réseaux.
Type de réseau Vitesse
Très lentes 56 Ko par seconde (Ko/s)
Lente 64 Kbits/s
Réseau numérique à intégration 64 kbit/s ou 128 kbit/s

de services (RNIS)
Relais de trames Vitesse variable, généralement comprise entre 56 kbit/s et 1,5

mégabits par seconde (Mbits/s)
T1 1,5 Mbits/s
T3 45 Mbits/s
10Baset 10 Mbits/s
Type de réseau Vitesse
Mode de transfert asynchrone Vitesse variable, généralement comprise entre 155 Mbits/s et
(ATM) 622 Mbits/s
100Baset 100 Mbits/s
Gigabit Ethernet 1 Go par seconde (Go/s)
Utilisez le tableau suivant pour calculer le coût de chaque lien de site en fonction de la
vitesse de liaison du réseau étendu (WAN). Pour la vitesse de liaison de réseau étendu
qui ne figure pas dans le tableau, vous pouvez calculer un facteur de coût relatif en
divisant 1 024 par le logarithme de la bande passante disponible, mesuré en Kbits/s.
Bande passante disponible (kbps) Coût
9,6 1 042
19,2 798
38,4 644
56 586
64 567
128 486
256 425
512 378
1 024 340
2 048 309
4 096 283
Ces coûts ne reflètent pas les différences de fiabilité entre les liaisons réseau. Définissez
des coûts plus élevés sur les liaisons réseau sujettes aux défaillances, afin de ne pas
avoir à vous appuyer sur ces liens pour la réplication. En définissant des coûts de liens
de sites supérieurs, vous pouvez contrôler le basculement de réplication en cas d’échec
d’une liaison de site.
Permettre aux clients de localiser le
contrôleur de domaine suivant le plus
proche

Si vous avez un contrôleur de domaine qui exécute Windows Server 2008 ou version
ultérieure, vous pouvez le rendre possible pour les ordinateurs clients qui exécutent
Windows Vista ou plus récent ou Windows Server 2008 ou version ultérieure pour
localiser les contrôleurs de domaine plus efficacement en activant le paramètre Try Next
Closest Site stratégie de groupe. Ce paramètre améliore le localisateur de contrôleurs
de domaine (localisateur DC) en aidant à rationaliser le trafic réseau, en particulier dans
les grandes entreprises qui ont de nombreuses succursales et sites.
Ce nouveau paramètre peut affecter la façon dont vous configurez les coûts de liaison
de site, car il affecte l’ordre dans lequel se trouvent les contrôleurs de domaine. Pour les
entreprises qui ont de nombreux sites hub et succursales, vous pouvez réduire
considérablement le trafic Active Directory sur le réseau en garantissant que les clients
basculent vers le site hub le plus proche suivant lorsqu’ils ne trouvent pas de contrôleur
de domaine dans le site hub le plus proche.
En règle générale, vous devez simplifier la topologie de votre site et les coûts de lien de
site autant que possible si vous activez le paramètre Try Next Closest Site . Dans les
entreprises avec de nombreux sites hub, cela peut simplifier les plans que vous effectuez
pour gérer les situations dans lesquelles les clients d’un site doivent basculer vers un
contrôleur de domaine dans un autre site.
Par défaut, le paramètre Try Next Closest Site n’est pas activé. Lorsque le paramètre
n’est pas activé, le localisateur dc utilise l’algorithme suivant pour localiser un contrôleur
de domaine :
Essayez de trouver un contrôleur de domaine dans le même site.

Si aucun contrôleur de domaine n’est disponible sur le même site, essayez de
trouver un contrôleur de domaine dans le domaine.
７ Notes
Il s’agit du même algorithme que le localisateur dc utilisé dans les versions
précédentes d’Active Directory. Pour plus d’informations, consultez l’article How
DNS Support for Active Directory Works.
Si vous activez le paramètre Try Next Closest Site , DC Locator utilise l’algorithme
suivant pour localiser un contrôleur de domaine :
Essayez de trouver un contrôleur de domaine dans le même site.

Si aucun contrôleur de domaine n’est disponible sur le même site, essayez de
trouver un contrôleur de domaine dans le site le plus proche suivant. Un site est
plus proche s’il a un coût de lien de site inférieur à celui d’un autre site avec un
coût de lien de site plus élevé.
Si aucun contrôleur de domaine n’est disponible dans le site le plus proche suivant,
essayez de trouver un contrôleur de domaine dans le domaine.
Le paramètre Try Next Closest Site fonctionne en coordination avec la couverture

automatique du site. Par exemple, si le site le plus proche suivant n’a pas de contrôleur
de domaine, le localisateur de domaine tente de trouver le contrôleur de domaine qui
effectue une couverture automatique de site pour ce site.
Par défaut, le localisateur dc ne considère aucun site qui contient un contrôleur de

domaine en lecture seule (RODC) lorsqu’il détermine le site le plus proche suivant. En
outre, lorsque le client obtient une réponse à partir d’un contrôleur de domaine qui
exécute une version antérieure à Windows Server 2008, le comportement du localisateur
de contrôleur de domaine est identique au moment où le paramètre n’est pas activé.
Par exemple, supposons qu’une topologie de site comporte quatre sites avec les valeurs
de lien de site dans l’illustration suivante. Dans cet exemple, tous les contrôleurs de
domaine sont des contrôleurs de domaine accessibles en écriture qui exécutent
Windows Server 2008 ou version ultérieure.
Lorsque le paramètre Try Next Closest Site stratégie de groupe est activé dans cet
exemple, si un ordinateur client dans Site_B tente de localiser un contrôleur de domaine,
il tente d’abord de trouver un contrôleur de domaine dans son propre Site_B. Si aucun
n’est disponible dans Site_B, il tente de trouver un contrôleur de domaine dans Site_A.
Si le paramètre n’est pas activé, le client tente de trouver un contrôleur de domaine

dans Site_A, Site_C ou Site_D si aucun contrôleur de domaine n’est disponible dans
Site_B.
７ Notes
Le paramètre Try Next Closest Site fonctionne en coordination avec la couverture

automatique du site. Par exemple, si le site le plus proche suivant n’a pas de
contrôleur de domaine, le localisateur de domaine tente de trouver le contrôleur de
domaine qui effectue une couverture automatique de site pour ce site.
Pour appliquer le paramètre Try Next Closest Site, vous pouvez créer un objet stratégie
de groupe (GPO) et le lier à l’objet approprié pour votre organisation, ou vous pouvez
modifier la stratégie de domaine par défaut pour qu’elle affecte tous les clients qui
exécutent Windows Vista ou version ultérieure et Windows Server 2008 ou version
ultérieure dans le domaine. Pour plus d’informations sur la définition du paramètre Try
Next Closest Site , consultez Enable Clients to Locate a Domain Controller in the Next
Closest Site.
Détermination des prévisions

Vous pouvez contrôler la disponibilité des liaisons de sites en définissant une

planification pour les liens de sites. Lorsque la réplication entre deux sites parcourt
plusieurs liens de sites, l’intersection des planifications de réplication sur tous les liens
pertinents détermine la planification de la connexion entre les deux sites.
Pour planifier la définition de la planification de lien de sites, créez deux planifications

qui se chevauchent entre les liens de sites qui contiennent des contrôleurs de domaine
qui se répliquent directement les uns avec les autres. Utilisez la planification par défaut
(100% disponible) sur ces liens, sauf si vous souhaitez bloquer le trafic de réplication
pendant les heures de pointe. En bloquant la réplication, vous attribuez la priorité à un
autre trafic, mais vous augmentez également la latence de la réplication.
Les contrôleurs de domaine stockent l’heure en temps universel coordonné (UTC). Les
paramètres de temps dans les planifications d’objet de lien de sites sont conformes à
l’heure locale du site et de l’ordinateur sur lequel la planification est définie. Lorsqu’un
contrôleur de domaine contacte un ordinateur qui se trouve dans un autre site et un
autre fuseau horaire, la planification sur le contrôleur de domaine affiche le paramètre
d’heure en fonction de l’heure locale du site de l’ordinateur.
Détermination de l’intervalle

Vous devez définir la propriété intervalle de réplication de lien de site pour indiquer la
fréquence à laquelle vous souhaitez que la réplication se produise au moment où la
planification autorise la réplication. Par exemple, si la planification autorise la réplication
entre 02:00 heures et 04:00 heures et que l’intervalle de réplication est défini sur 30
minutes, la réplication peut se produire jusqu’à quatre fois au cours de l’heure planifiée.
L’intervalle de réplication par défaut est de 180 minutes, soit 3 heures. L’intervalle
minimal est de 15 minutes.
Prenez en compte les critères suivants pour déterminer la fréquence à laquelle la

réplication a lieu dans la fenêtre de planification :
Un petit intervalle réduit la latence, mais augmente la quantité de trafic de réseau

étendu (WAN).
Pour tenir à jour les partitions d’annuaire de domaine, une faible latence est
recommandée.
Avec une stratégie de réplication de stockage et de transfert, il est difficile de

déterminer combien de temps une mise à jour de répertoire peut être nécessaire pour
être répliquée sur chaque contrôleur de domaine. Pour fournir une estimation
conservatrice de la latence maximale, effectuez les tâches suivantes :
Créez un tableau de tous les sites de votre réseau, comme illustré dans l’exemple
suivant :
Sites Seattle Boston Los Angeles New York Washington, D.C.
Seattle 0,25
Boston 0,25
Los Angeles 0,25
New York 0,25
Washington, D.C. 0,25
Une latence au pire dans le cas d’un site est estimée à 15 minutes.
À partir de la planification de réplication, déterminez la latence de réplication
maximale possible sur n’importe quel lien de site qui connecte deux sites hub.
Par exemple, si la réplication a lieu entre Seattle et New York toutes les trois
heures, le délai maximal pour la réplication entre ces sites est de trois heures. Si le
délai de réplication entre New York et Seattle est le délai le plus long entre tous les
sites hub, la latence maximale entre tous les hubs est de trois heures.
Pour chaque site Hub, créez un tableau des latences maximales entre le site Hub et
l’un de ses sites satellites.
Par exemple, si la réplication a lieu entre New York et Washington, D.C., toutes les
quatre heures et qu’il s’agit du délai de réplication le plus long entre New York et
l’un de ses sites satellites, la latence maximale entre New York et ses satellites est
de quatre heures.
Combinez ces latences maximales pour déterminer la latence maximale de

l’ensemble du réseau.
Par exemple, si la latence maximale entre Seattle et son site satellite à Los Angeles
est d’une journée, la latence de réplication maximale pour cet ensemble de liens
(Washington, D.C.-New York-Seattle-Los Angeles) est de 31 heures, c’est-à-dire 4
(Washington, D.C.-New York) + 3 (New York-Seattle) + 24 (Seattle-Los Angeles),
comme indiqué dans le tableau suivant.
Sites Seattle Boston Los Angeles New York Washington, D.C.
Seattle 0,25 4+3 24.00 3.00 4+3
Boston 0,25 4 + 3 + 24 4,00 4,00
Los Angeles 0,25 plus de 24 + 3 24 + 3 + 4
New York 0,25 4,00
Washington, D.C. 0,25

Création d'une conception de pont lien
de sites

Un pont de liaison de site connecte au moins deux liens de site et permet la transitivité
entre les liens de site. Chaque lien de site dans un pont doit avoir un site en commun
avec un autre lien de site dans le pont. Le vérificateur de cohérence des connaissances
(KCC) utilise les informations de chaque lien de site pour calculer le coût de réplication
entre les sites dans un lien de site et les sites dans les autres liens de site du pont. Sans
la présence d’un site commun entre les liens de site, le KCC ne peut pas non plus établir
de connexions directes entre les contrôleurs de domaine dans les sites qui sont
connectés par le même pont de liaison de site.
Par défaut, tous les liens de site sont transitifs. Nous vous recommandons de conserver
la transitivité activée en ne modifiant pas la valeur par défaut de Relier tous les liens de
site (activé par défaut). Toutefois, vous devez désactiver Relier tous les liens de site et
effectuer une conception de pont de liaison de site si :
Votre réseau IP n’est pas entièrement routé. Lorsque vous désactivez Relier tous
les liens de site, tous les liens de site sont considérés comme non transitifs, et vous
pouvez créer et configurer des objets de pont de liaison de site pour modéliser le
comportement de routage réel de votre réseau.
Vous devez contrôler le flux de réplication des modifications apportées dans Active
Directory Domain Services (AD DS). En désactivant Relier tous les liens de site
pour le transport IP de liaison de site et en configurant un pont de liaison de site,
le pont de liaison de site devient l’équivalent d’un réseau disjoint. Tous les liens de
site à l’intérieur du pont de liaison de site peuvent être acheminés de manière
transitive, mais ils ne sont pas acheminés à l’extérieur du pont de liaison de site.
Pour plus d’informations sur l’utilisation du composant logiciel enfichable Sites et

services Active Directory pour désactiver le paramètre Relier tous les liens du site,
consultez l’article Activer ou désactiver les ponts de liaison de site.
Contrôle du flux de réplication AD DS

Deux scénarios dans lesquels vous avez besoin d’une conception de pont de liaison de
site pour contrôler le flux de réplication sont le contrôle du basculement de réplication
et le contrôle de la réplication via un pare-feu.
Contrôle du basculement de réplication

Si votre organisation dispose d’une topologie de réseau hub-and-spoke, il n’est
généralement pas recommandé que les sites satellites créent des connexions de
réplication vers d’autres sites satellites si tous les contrôleurs de domaine du site hub
échouent. Dans ces scénarios, vous devez désactiver Relier tous les liens de site et créer
des ponts de liaison de site afin que des connexions de réplication soient créées entre le
site satellite et un autre site hub qui se trouve à un ou deux sauts du site satellite.
Contrôle de la réplication via un pare-feu

Si deux contrôleurs de domaine représentant le même domaine dans deux sites
différents sont spécifiquement autorisés à communiquer entre eux uniquement par le
biais d’un pare-feu, vous pouvez désactiver Relier tous les liens de site et créer des
ponts de liaison de site pour les sites du même côté du pare-feu. Par conséquent, si
votre réseau est séparé par des pare-feu, nous vous recommandons de désactiver la
transitivité des liens de site et de créer des ponts de liaison de site pour le réseau d’un
côté du pare-feu.
supplémentaires pour la conception de
la topologie de site Windows
Server 2008 Active Directory

vous trouverez la documentation suivante sur Active Directory Domain Services (AD DS)
sur les sites web TechCenter Windows server 2003 et Windows server 2008 :
Pour plus d’informations sur le processus de localisation d’un contrôleur de

domaine, consultez Active Directory Collection.
Pour plus d’informations sur la conception et le déploiement de serveurs

d’impression, consultez conception et déploiement de serveurs d’impression.
Pour plus d’informations sur la répartition des arborescences et la topologie de

réplication Active Directory, consultez Active Directory référence technique de la
topologie de réplication.
pour plus d’informations sur l’utilisation de Adlb.exe et de la gestion

d’environnements comportant 100 ou plusieurs succursales, consultez la page
examen des améliorations apportées au serveur tête de pont Load-Balancing avec
Windows server 2008 rodc.
Pour plus d’informations sur l’installation de Moniteur réseau, consultez

surveillance du trafic réseau.
pour obtenir des feuilles de travail qui vous aideront à documenter votre
conception de topologie de site Windows server 2008 AD DS, consultez outils
d’aide aux travaux pour le Kit de déploiement de Windows server 2003 .
Pour plus d’informations sur les raccourcis d’approbations entre les domaines,
consultez comprendre quand créer un raccourci d’approbation.
pour plus d’informations sur le déploiement du domaine racine de la forêt, voir

déploiement d’un domaine racine de forêt Windows Server 2008.
Pour plus d’informations sur la sécurisation des contrôleurs de domaine, consultez
AD DS conception et planification.
pour plus d’informations sur le déploiement de domaines régionaux, voir

déploiement de Windows Server 2008 domaines régionaux.
Pour plus d’informations sur le fonctionnement de la mise en cache du groupe

universel, consultez fonctionnement du catalogue global.
Pour plus d’informations sur la création d’objets de site, consultez créer un site.
Pour plus d’informations sur la création d’objets de sous-réseau, consultez créer un

sous-réseau.
Pour plus d’informations sur l’utilisation du composant logiciel enfichable sites et

services Active Directory pour désactiver le paramètre relier tous les liens de sites ,
consultez activer ou désactiver des ponts entre liens de sites.
Pour plus d’informations sur les fonctionnalités de contrôleur de domaine en

lecture seule (RODC), consultez AD DS : Read-Only des contrôleurs de domaine.
Pour plus d’informations sur le déploiement d’un contrôleur de domaine en lecture

seule, consultez le Guide pas à pas des contrôleurs de domaine en lecture seule.
Annexe A : Emplacements et préfixes de
sous-réseau
Article • 14/04/2023

Utilisez le tableau suivant pour vous aider à répertorier les préfixes de sous-réseau IP
version 6 (IPv6) lorsque vous concevez la topologie de site pour Active Directory
Domain Services (AD DS) dans Windows Server 2008.
Emplacement Préfixe de sous-réseau du réseau

Activation des fonctionnalités avancées
pour les services AD DS

Active Directory Domain Services (AD DS) vous permet d’introduire des fonctionnalités
avancées dans votre environnement en augmentant les niveaux fonctionnels du
domaine ou de la forêt. Pour utiliser les fonctionnalités de AD DS avancées, vous devez
identifier les systèmes d’exploitation qui s’exécutent sur les contrôleurs de domaine
dans votre environnement.
Vous devez également déterminer le meilleur niveau fonctionnel de votre organisation

en fonction de votre infrastructure existante, puis augmenter le niveau fonctionnel du
domaine ou de la forêt selon vos besoins. Vous pouvez augmenter le niveau fonctionnel
lorsque tous les contrôleurs de domaine du domaine ou de la forêt exécutent une
version appropriée de Windows. bien que le fait d’augmenter le niveau fonctionnel vous
permette d’activer de nouvelles fonctionnalités, il limite également les versions de
Windows systèmes d’exploitation que vous pouvez exécuter sur les contrôleurs de
domaine dans votre environnement.
Niveaux fonctionnels de domaine et de
forêt
Les niveaux fonctionnels déterminent les capacités de domaine ou de forêt Active

Directory Domain Services (AD DS). Ils déterminent également quels systèmes
d’exploitation Windows Server vous pouvez exécuter sur des contrôleurs de domaine
dans le domaine ou la forêt. Toutefois, les niveaux fonctionnels n’affectent pas les
systèmes d’exploitation que vous pouvez exécuter sur des postes de travail et les
serveurs membres qui sont joints au domaine ou à la forêt.
Lorsque vous déployez AD DS, définissez les niveaux fonctionnels du domaine et de la

forêt sur la valeur la plus élevée prise en charge par votre environnement. Vous pourrez
ainsi utiliser autant de fonctionnalités AD DS que possible. Lorsque vous déployez une
nouvelle forêt, vous êtes invité à définir le niveau fonctionnel de celle-ci, puis le niveau
fonctionnel du domaine. Vous pouvez définir le niveau fonctionnel du domaine sur une
valeur supérieure au niveau fonctionnel de la forêt, mais vous ne pouvez pas définir le
niveau fonctionnel du domaine sur une valeur inférieure au niveau fonctionnel de la
forêt.
Avec la fin de vie de Windows 2003, 2008 et 2008 R2, ces contrôleurs de domaine

doivent être mis à jour vers Windows Server 2012, 2012 R2, 2016 ou 2019. Par
conséquent, tous les contrôleurs de domaine qui exécutent Windows Server 2008 R2 et
antérieur doivent être supprimés du domaine.
Aux niveaux fonctionnels de domaine Windows Server 2008 et supérieurs, la réplication

DFS (Distributed File Service) est utilisée pour répliquer le contenu du dossier SYSVOL
entre les contrôleurs de domaine. Si vous créez un domaine au niveau fonctionnel de
domaine Windows Server 2008 ou supérieur, la réplication DFS est automatiquement
utilisée pour répliquer SYSVOL. Si vous avez créé le domaine à un niveau fonctionnel
inférieur, vous devez passer de l’utilisation de FRS à la réplication DFS pour SYSVOL.
Pour connaître les étapes de migration, reportez-vous aux procédures sur TechNet ou à
l’ensemble de procédures simplifiées sur le blog Storage Team File Cabinet . Windows
Server 2016 RS1 est la dernière version de Windows Server qui comprend le service de
réplication de fichiers.
Windows Server 2019
Aucun nouveau niveau fonctionnel de domaine ou de forêt n’est ajouté dans cette
version.
La configuration requise minimale pour ajouter un contrôleur de domaine Windows

Server 2019 est le niveau fonctionnel Windows Server 2008. Le domaine doit également
utiliser DFS-R comme moteur pour répliquer SYSVOL.
Windows Server 2016
Système d’exploitation de contrôleur de domaine pris en charge :
Windows Server 2019
Windows Server 2016
Fonctionnalités du niveau fonctionnel de forêt Windows

Server 2016
Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2012 R2,
plus les fonctionnalités suivantes sont disponibles :
La gestion des accès privilégiés (Privileged Access Management, PAM) utilisant
Microsoft Identity Manager (MIM)
Fonctionnalités du niveau fonctionnel de domaine

Windows Server 2016
Toutes les fonctionnalités Active Directory par défaut, toutes les fonctionnalités du
niveau fonctionnel de domaine Windows Server 2012 R2, plus les fonctionnalités
suivantes :
Les contrôleurs de domaine peuvent prendre en charge le déroulement

automatique des NTLM et autres secrets basés sur un mot de passe sur un
compte d’utilisateur configuré pour exiger l’authentification PKI. Cette
configuration est également appelée « Carte à puce requise pour l’ouverture de
session interactive »
Les contrôleurs de domaine peuvent prendre en charge l’autorisation de réseau

NTLM lorsqu’un utilisateur est limité à certains appareils associés à un domaine.
Les clients Kerberos qui sont authentifiés avec l’extension PKInit Freshness
obtiennent le SID d’identité de clé publique actualisé.
Pour plus d’informations, voir Nouveautés de l’authentification Kerberos et
Nouveautés de la protection des informations d’identification
Windows Server 2012 R2
Windows Server 2019
Windows Server 2016

Server 2012 R2
Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2012,
mais pas de fonctionnalités supplémentaires.
Fonctionnalités du niveau de domaine Windows

Server 2012 R2
niveau fonctionnel du domaine Windows Server 2012, plus les fonctionnalités
suivantes :
Protections côté contrôleur de domaine pour les utilisateurs protégés. Les
utilisateurs protégés qui s’authentifient auprès d’un domaine Windows
Server 2012 R2 ne peuvent plus effectuer les opérations suivantes :
s’authentifier avec l’authentification NTLM ;
utiliser les suites de chiffrement DES ou RC4 dans la pré-authentification
Kerberos ;
être délégués en utilisant la délégation non contrainte ou contrainte ;
renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4
heures.
Stratégies d'authentification
Nouvelles stratégies Active Directory basées sur une forêt qui peuvent être
appliquées à des comptes dans les domaines Windows Server 2012 R2 pour
contrôler les hôtes à partir desquels un compte peut se connecter et
appliquer des conditions de contrôle d’accès pour l’authentification auprès
de services s’exécutant en tant que compte.
Silos de stratégies d'authentification
Nouvel objet Active Directory basé sur une forêt, qui peut créer une relation
entre des comptes d’utilisateurs, de services gérés et d’ordinateurs
permettant de classer les comptes pour les stratégies d’authentification ou
pour l’isolation de l’authentification.
Windows Server 2012
Windows Server 2019
Windows Server 2016
Windows Server 2012

Server 2012
Toutes les fonctionnalités du niveau fonctionnel de forêt Windows Server 2008 R2,
mais pas de fonctionnalités supplémentaires.

Windows Server 2012
niveau fonctionnel de domaine Windows Server 2008 R2, plus les fonctionnalités
suivantes :
La prise en charge du centre de distribution de clés pour les revendications,
l’authentification composée et la stratégie de modèles d’administration du
centre de distribution de clés du blindage Kerberos possède deux paramètres
(Toujours fournir des revendications et Rejeter les demandes d’authentification
non blindées) qui nécessitent le niveau fonctionnel de domaine Windows
Server 2012. Pour plus d’informations, voir Nouveautés de l’authentification
Kerberos.

Windows Server 2019
Windows Server 2016
Windows Server 2012

Server 2008 R2
plus les fonctionnalités suivantes :
La corbeille Active Directory offre la possibilité de restaurer des objets
supprimés dans leur intégralité pendant que les services de domaine Active
Directory sont en cours d’exécution.

niveau fonctionnel de domaine Windows Server 2008, plus les fonctionnalités
suivantes :
L’assurance du mécanisme d’authentification stocke des informations sur le type
de méthode d’ouverture de session (carte à puce ou nom d’utilisateur/mot de
passe) utilisé pour authentifier les utilisateurs d’un domaine à l’intérieur du
jeton Kerberos de chaque utilisateur. Lorsque cette fonctionnalité est activée
dans un environnement réseau ayant déployé une infrastructure de gestion des
identités fédérées, telle que les services AD FS (Active Directory Federation
Services), les informations contenues dans le jeton peuvent être extraites
chaque fois qu’un utilisateur tente d’accéder à une application prenant en
charge les revendications, développée de façon à déterminer l’autorisation en
fonction de la méthode d’ouverture de session d’un utilisateur.
Gestion automatique des noms principaux de service pour les services en cours
d’exécution sur un ordinateur particulier dans le contexte d’un compte de
service géré lorsque le nom ou le nom d’hôte DNS du compte d’ordinateur
change. Pour plus d’informations sur les Comptes de service administrés,
consultez Guide pas à pas des comptes de service.
Windows Server 2008

Windows Server 2019
Windows Server 2016
Windows Server 2012
Windows Server 2008

Server 2008
mais aucune fonctionnalité supplémentaire n’est disponible.

Windows Server 2008
Toutes les fonctionnalités AD DS par défaut, toutes les fonctionnalités du niveau
fonctionnel de domaine Windows Server 2003, plus les fonctionnalités suivantes
sont disponibles :
Prise en charge de la réplication du système de fichiers DFS (Distributed File

System) pour le volume système Windows Server 2003 (SYSVOL)
La prise en charge de la réplication DFS offre une réplication plus fiable et

plus granulaire du contenu de SYSVOL.
７ Notes
À partir de Windows Server 2012 R2, le Service de réplication de fichiers

(FRS) est déconseillé. Un nouveau domaine créé sur un contrôleur de
domaine qui exécute au moins Windows Server 2012 R2 doit être défini
sur le niveau fonctionnel de domaine Windows Server 2008 ou
supérieur.
Les espaces de noms DFS de domaine exécutés en mode Windows Server 2008,

qui prend en charge l’énumération basée sur l’accès et une extensibilité accrue.
Les espace de noms de domaine en mode Windows Server 2008 exigent
également que la forêt utilise le niveau fonctionnel de forêt Windows
Server 2003. Pour plus d’informations, consultez Choisir un type d’espace de
noms.
Prise en charge d’Advanced Encryption Standard (AES 128 et AES 256) pour le
protocole Kerberos. Pour que les tickets TGT soient émis à l’aide d’AES, le niveau
fonctionnel de domaine doit être Windows Server 2008 ou supérieur et le mot
de passe de domaine doit être modifié.
Pour plus d’informations, voir Améliorations liées à Kerberos.
７ Notes
Des erreurs d’authentification peuvent se produire sur un contrôleur de

domaine lorsque le niveau fonctionnel de domaine a été élevé à
Windows Server 2008 ou supérieur si le contrôleur de domaine a déjà
répliqué le changement DFL mais n’a pas encore actualisé le mot de
passe krbtgt. Dans ce cas, un redémarrage du service KDC sur le
contrôleur de domaine déclenchera une actualisation en mémoire du
nouveau mot de passe krbtgt et résoudra les erreurs d’authentification
associées.
L’élément Dernière ouverture de session interactive affiche les informations

suivantes :
le nombre total de tentatives d’ouverture de session ayant échoué sur un
serveur Windows Server 2008 ou un poste de travail Windows Vista associé
au domaine ;
le nombre total de tentatives d’ouverture de session ayant échoué après une
ouverture de session réussie sur un serveur Windows Server 2008 ou un
poste de travail Windows Vista ;
l’heure de la dernière tentative d’ouverture de session ayant échoué sur un
serveur Windows Server 2008 ou un poste de travail Windows Vista ;
l’heure de la dernière tentative d’ouverture de session réussie sur un serveur
Windows Server 2008 ou un poste de travail Windows Vista.
Les stratégies de mot de passe affinées vous permettent de spécifier les

stratégies de mot de passe et de verrouillage de compte pour les utilisateurs et
les groupes de sécurité globaux d’un domaine. Pour plus d’informations, voir le
guide pas à pas relatif à la configuration des stratégies de verrouillage de
compte et de mot de passe affinées.
Bureaux virtuels personnels

Pour utiliser la nouvelle fonctionnalité disponible sous l’onglet Bureau virtuel
personnel de la boîte de dialogue Propriétés du compte d’utilisateur dans
Utilisateurs et ordinateurs Active Directory, votre schéma AD DS doit être
étendu pour Windows Server 2008 R2 (version de l’objet de schéma = 47).
Pour plus d’informations, voir le Guide pas à pas de déploiement des bureaux
virtuels personnels via les connexions aux programmes RemoteApp et aux
services Bureau à distance.
Windows Server 2003

Windows Server 2016
Windows Server 2012
Windows Server 2008
Windows Server 2003

Server 2003
Toutes les fonctionnalités AD DS par défaut, ainsi que les suivantes, sont
disponibles :
Approbation de forêt
changement de nom de domaine ;
Réplication de valeurs liées
La réplication de valeurs liées vous permet de modifier l’appartenance de
groupe de façon à stocker et répliquer des valeurs pour chaque membre au
lieu de répliquer l’ensemble de l’appartenance comme une seule unité. Le fait
de stocker et de répliquer les valeurs de chaque membre utilise moins de
bande passante réseau et moins de cycles de processeur au cours de la
réplication. Cela vous empêche également de perdre des mises à jour lorsque
vous ajoutez ou supprimez plusieurs membres simultanément auprès de
différents contrôleurs de domaine.
Possibilité de déployer un contrôleur de domaine en lecture seule (RODC)
Extensibilité et algorithmes du vérificateur de cohérence des données améliorés
Le générateur de topologie intersite (ISTG) utilise des algorithmes améliorés
qui s’adaptent pour prendre en charge des forêts contenant un nombre de
sites supérieur à celui pouvant être pris en charge par le niveau fonctionnel
de forêt Windows 2000. L’algorithme d’élection amélioré du générateur de
topologie intersite propose un mécanisme de sélection d’ISTG au niveau
fonctionnel de la forêt Windows 2000 moins contraignant.
Possibilité de créer des instances de la classe auxiliaire dynamique appelée
dynamicObject dans une partition d’annuaire de domaine.
Possibilité de convertir une instance d’objet inetOrgPerson en instance d’objet
User et d’effectuer la conversion en sens inverse.
Possibilité de créer des instances de nouveaux types de groupes pour prendre
en charge l’autorisation basée sur les rôles.
Ces types sont appelés groupes de base d’application et groupes de requête
LDAP.
désactivation et redéfinition des attributs et classes du schéma. Les attributs
suivants peuvent être réutilisés : ldapDisplayName, schemaIdGuid, OID et
mapiID.
Les espaces de noms DFS de domaine exécutés en mode Windows Server 2008,
qui prend en charge l’énumération basée sur l’accès et une extensibilité accrue.
Pour plus d’informations, consultez Choisir un type d’espace de noms.

Windows Server 2003
Toutes les fonctionnalités AD DS par défaut, toutes les fonctionnalités du niveau
fonctionnel de domaine natif Windows 2000 ainsi que les fonctionnalités suivantes
sont disponibles :
L’outil de gestion de domaine, Netdom.exe, qui vous permet de renommer les
Mises à jour relatives à l’horodatage d’ouverture de session
L’attribut lastLogonTimestamp est mis à jour avec l’heure de la dernière
ouverture de session de l’utilisateur ou ordinateur. Cet attribut est répliqué
au sein du domaine.) ;
Possibilité de définir l’attribut userPassword comme mot de passe effectif pour
l’objet inetOrgPerson et les objets utilisateur
Possibilité de rediriger les conteneurs Utilisateurs et ordinateurs
Par défaut, deux conteneurs connus sont fournis pour héberger les comptes
d’ordinateurs et d’utilisateurs, à savoir cn=Computers,<domain root> et
cn=Users,<domain root>. Cette fonctionnalité permet de définir un nouvel
emplacement connu pour ces comptes.
Possibilité pour le Gestionnaire d’autorisations de stocker ses stratégies
d’autorisation dans les services de domaine Active Directory (AD DS)
Délégation contrainte
La délégation contrainte permet aux applications de tirer parti de la
délégation sécurisée des informations d’identification de l’utilisateur au
moyen du protocole d’authentification Kerberos
Vous pouvez limiter la délégation à certains services de destination.
Authentification sélective
L’authentification sélective vous permet de spécifier les utilisateurs et les
groupes d’une forêt approuvée autorisés à s’authentifier auprès des serveurs
de ressources d’une forêt d’approbation.
Windows 2000
Windows Server 2008
Windows Server 2003
Windows 2000
Fonctionnalités du niveau fonctionnel de forêt natif

Windows 2000
Toutes les fonctionnalités AD DS par défaut sont disponibles.
Fonctionnalités du niveau fonctionnel de domaine natif

Windows 2000
Toutes les fonctionnalités AD DS par défaut et les fonctionnalités d’annuaire
suivantes sont disponibles, notamment :
groupes universels pour les groupes de distribution et les groupes de sécurité ;
imbrication de groupes ;
conversion de groupe, qui permet la conversion entre groupes de sécurité et de
distribution
historique SID.
Étapes suivantes
Augmenter le niveau fonctionnel de domaine
Augmenter le niveau fonctionnel de forêt
Identification de la mise à niveau de
votre niveau fonctionnel

Avant de pouvoir augmenter les niveaux fonctionnels des domaines et des forêts, vous
devez évaluer votre environnement actuel et identifier l’exigence de niveau fonctionnel
qui répond le mieux aux besoins de votre organisation. Évaluez votre environnement
actuel en identifiant les domaines de votre forêt, les contrôleurs de domaine qui se
trouvent dans chaque domaine, le système d’exploitation et les service packs exécutés
par chaque contrôleur de domaine, ainsi que la date à laquelle vous envisagez de mettre
à niveau les contrôleurs de domaine. Si vous envisagez de mettre hors service un
contrôleur de domaine, assurez-vous que vous comprenez l’impact total de cette
opération sur votre environnement.
les circonstances suivantes peuvent vous empêcher de mettre à niveau une version
antérieure du système d’exploitation Windows server vers le niveau fonctionnel
Windows server 2008 ou Windows server 2008 R2 :
Matériel insuffisant
un contrôleur de domaine exécutant un logiciel antivirus qui est incompatible avec

Windows server 2008 ou Windows server 2008 R2
utilisation d’un programme spécifique à la version qui ne s’exécute pas sur

Windows server 2008 ou Windows server 2008 R2
La nécessité de mettre à niveau un programme avec la dernière Service Pack
la documentation de ces informations peut vous aider à identifier les étapes à suivre
pour vous assurer que vous disposez d’un environnement Windows server 2008 ou
Windows server 2008 R2 entièrement fonctionnel.
Une fois que vous avez évalué votre environnement actuel, vous devez identifier la mise
à niveau fonctionnelle qui s’applique à votre organisation. Les options suivantes sont
disponibles :
Windows environnement en mode natif 2000 à Windows server 2008 ou Windows

server 2008 R2
Windows de la forêt du serveur 2003 vers Windows server 2008 ou Windows server
2008 R2
nouvelle forêt Windows Server 2008
nouvelle forêt Windows Server 2008 R2
mise à niveau des niveaux fonctionnels dans

une forêt native Windows 2000 Active
Directory
dans un environnement natif Windows 2000 qui se compose uniquement de contrôleurs
de domaine basés sur Windows 2000, les niveaux fonctionnels sont définis par défaut
aux niveaux suivants, et ils restent à ces niveaux jusqu’à ce que vous les montiez
manuellement :
Windows niveau fonctionnel du domaine natif 2000
niveau fonctionnel de la forêt Windows 2000
pour utiliser toutes les fonctionnalités au niveau de la forêt et du domaine dans

Windows server 2008 ou Windows server 2008 r2, vous devez mettre à niveau cet
environnement Windows 2000 vers Windows server 2008 ou Windows server 2008 r2.
Vous pouvez effectuer cette mise à niveau de l’une des manières suivantes :
introduisez les contrôleurs de domaine Windows server 2008 ou Windows server

2008 R2 récemment installés dans la forêt, puis mettez hors service tous les
contrôleurs de domaine exécutant Windows 2000.
effectuez une mise à niveau sur place de tous les contrôleurs de domaine existants
exécutant Windows 2000 dans la forêt vers les contrôleurs de domaine exécutant
Windows Server 2003. ensuite, effectuez une mise à niveau sur place de ces
contrôleurs de domaine vers Windows server 2008 ou Windows server 2008 R2.
pour plus d’informations, consultez mise à niveau des domaines de Active
Directory vers Windows serveurs 2008 et Windows server 2008 R2 AD DS
domaines.
） Important
Windows Server 2008 R2 est un système d’exploitation basé sur x64. si votre
serveur exécute une version x64 de Windows server 2003, vous pouvez
effectuer une mise à niveau sur place du système d’exploitation de cet
ordinateur vers Windows server 2008 R2. si votre serveur exécute une version
x86 de Windows server 2003, vous ne pouvez pas mettre à niveau cet
ordinateur vers Windows server 2008 R2.
pour utiliser les fonctionnalités au niveau du domaine Windows server 2008 ou

Windows server 2008 R2 sans mettre à niveau la totalité de votre forêt Windows 2000
vers Windows server 2008 ou Windows server 2008 r2, augmentez uniquement le niveau
fonctionnel du domaine à Windows server 2008 ou Windows server 2008 r2.
７ Notes
avant d’augmenter le niveau fonctionnel du domaine, vous devez mettre à niveau

tous les contrôleurs de domaine Windows 2000 de ce domaine vers Windows
server 2008 ou Windows server 2008 R2.
après avoir remplacé tous les contrôleurs de domaine Windows 2000 de la forêt par des
contrôleurs de domaine qui exécutent Windows server 2008 ou Windows server 2008 r2,
vous pouvez augmenter le niveau fonctionnel de la forêt à Windows server 2008 ou
Windows server 2008 r2. cela déclenche automatiquement le niveau fonctionnel de tous
les domaines de la forêt qui sont définis sur Windows 2000 natif ou ultérieur sur
Windows server 2008 ou Windows server 2008 R2.
pour plus d’informations sur l’augmentation des niveaux fonctionnels de forêt et de

domaine, et pour les procédures d’exécution de ces tâches, consultez déploiement d’un
domaine racine de forêt Windows Server 2008.

une forêt Windows Server 2003 Active
Directory
dans un environnement Windows server 2003 qui se compose uniquement de
contrôleurs de domaine basés sur Windows Server 2003, les niveaux fonctionnels sont
définis par défaut aux niveaux suivants, et ils restent à ces niveaux jusqu’à ce que vous
les montiez manuellement :

pour utiliser toutes les fonctionnalités au niveau de la forêt et du domaine dans
Windows server 2008 ou Windows server 2008 r2, vous devez mettre à niveau cet
environnement Windows server 2003 vers Windows server 2008 ou Windows server
2008 r2. Vous pouvez effectuer cette mise à niveau de l’une des manières suivantes :
introduisez un contrôleur de domaine Windows server 2008 ou Windows server

2008 R2 récemment installé dans la forêt, puis retirez tous les contrôleurs de
domaine exécutant Windows server 2003 ou mettez-les à niveau vers Windows
server 2008 ou Windows server 2008 R2.
effectuez une mise à niveau sur place de tous les contrôleurs de domaine existants
exécutant Windows server 2003 vers des contrôleurs de domaine exécutant
Windows server 2008 ou Windows server 2008 R2. pour plus d’informations,
consultez mise à niveau des domaines de Active Directory vers Windows serveurs
2008 et Windows server 2008 R2 AD DS domaines.
） Important
Windows Server 2008 R2 est un système d’exploitation basé sur x64. si votre
serveur exécute une version x64 de Windows server 2003, vous pouvez effectuer
une mise à niveau sur place du système d’exploitation de cet ordinateur vers
Windows server 2008 R2. si votre serveur exécute une version x86 de Windows
server 2003, vous ne pouvez pas mettre à niveau cet ordinateur pour exécuter
Windows server 2008 R2.
pour utiliser toutes les fonctionnalités au niveau du domaine Windows server 2008 ou
Windows server 2008 r2 sans mettre à niveau la totalité de votre forêt Windows server
2003 vers Windows server 2008 ou Windows server 2008 r2, augmentez uniquement le
niveau fonctionnel du domaine à Windows server 2008 ou Windows server 2008 r2.
７ Notes
avant d’augmenter le niveau fonctionnel du domaine, vous devez mettre à niveau

tous les contrôleurs de domaine Windows server 2003 de ce domaine vers
Windows server 2008 ou Windows server 2008 R2.
après avoir mis à niveau tous les contrôleurs de domaine Windows server 2003 de la
forêt vers Windows server 2008 ou Windows server 2008 r2, vous pouvez augmenter le
niveau fonctionnel de la forêt à Windows server 2008 ou Windows server 2008 r2. cela
déclenche automatiquement le niveau fonctionnel de tous les domaines de la forêt qui
sont définis sur Windows server 2003 sur Windows server 2008 ou Windows server 2008
R2.


une nouvelle forêt Windows Server 2008
lorsque vous installez le premier contrôleur de domaine dans une nouvelle forêt
Windows Server 2008, les niveaux fonctionnels sont définis par défaut aux niveaux
suivants, et ils restent à ces niveaux jusqu’à ce que vous les montiez manuellement :
les niveaux fonctionnels sont définis à ces niveaux par défaut pour vous permettre
d’ajouter des contrôleurs de domaine Windows 2000 ou Windows server 2003 à votre
nouvelle forêt Windows server 2008. après avoir créé un domaine racine de forêt, le
niveau fonctionnel de domaine pour chaque domaine que vous ajoutez à la forêt
Windows Server 2008 est défini sur Windows 2000 natif. toutefois, si vous souhaitez que
tous les contrôleurs de domaine de votre nouvel environnement Windows server 2008
s’exécutent Windows server 2008, définissez le niveau fonctionnel de la forêt, puis le
niveau fonctionnel du domaine, sur Windows Server 2008 quand vous installez le
premier contrôleur de domaine dans votre forêt. cela permet d’économiser du temps et
d’activer toutes les fonctionnalités au niveau de la forêt et du domaine dans Windows
Server 2008.
） Important
si la forêt opère au niveau fonctionnel du serveur Windows 2008 et que vous tentez
d’installer Active Directory sur un serveur membre basé sur Windows server 2003
ou sur un serveur membre Windows 2000, l’installation échoue.

une nouvelle forêt Windows Server 2008 R2
lorsque vous installez le premier contrôleur de domaine dans une nouvelle forêt
Windows Server 2008 R2, les niveaux fonctionnels sont définis par défaut aux niveaux
suivants, et ils restent à ces niveaux jusqu’à ce que vous les montiez manuellement :
niveau fonctionnel du domaine Windows Server 2003
niveau fonctionnel de la forêt du serveur Windows 2003
les niveaux fonctionnels sont définis à ces niveaux par défaut pour vous permettre
d’ajouter Windows contrôleurs de domaine basés sur le serveur 2003 à votre nouvelle
forêt Windows server 2008 R2. une fois que vous avez créé un domaine racine de forêt,
le niveau fonctionnel de domaine pour chaque domaine que vous ajoutez à la forêt
Windows server 2008 R2 est défini sur Windows Server 2003. toutefois, si vous souhaitez
que tous les contrôleurs de domaine de votre nouvel environnement Windows server
2008 r2 s’exécutent Windows server 2008 r2, définissez le niveau fonctionnel de la forêt,
puis le niveau fonctionnel du domaine, sur Windows Server 2008 r2 lorsque vous
installez le premier contrôleur de domaine dans votre forêt. cela permet d’économiser
du temps et d’activer toutes les fonctionnalités au niveau de la forêt et du domaine dans
Windows Server 2008 R2.
） Important
si la forêt fonctionne au niveau fonctionnel Windows server 2008 R2 et que vous

tentez d’installer Active Directory sur un serveur membre basé sur Windows server
2008 ou Windows server 2003, ou sur un serveur membre Windows 2000,
l’installation échoue.

７ Notes
même si admt v 3.1 doit être installé sur Windows Server 2008, vous pouvez utiliser
admt v 3.1 pour migrer des objets vers un domaine hébergé par un ou plusieurs
contrôleurs de domaine Windows Server 2008 R2. pour plus d’informations, voir
l’article 976659 de la Base de connaissances Microsoft, problèmes connus qui
peuvent se produire lorsque vous utilisez ADMT 3,1 pour migrer vers un domaine
qui contient des contrôleurs de domaine Windows Server 2008 R2 .
supplémentaires pour l’activation des
fonctionnalités avancées

vous trouverez la documentation suivante sur Active Directory Domain Services (AD DS)
dans la bibliothèque technique de Windows Server 2008 :
pour plus d’informations sur le déploiement d’un domaine racine de forêt

Windows server 2008, consultez déploiement d’un domaine racine de forêt
Windows server 2008.
pour plus d’informations sur la mise à niveau d’un domaine Active Directory vers
Windows server 2008, consultez mise à niveau des domaines Active Directory vers
Windows server 2008 et Windows server 2008 R2 AD DS domains.
pour plus d’informations sur le déploiement de AD DS, consultez le guide pas à

pas du guide pas à pas pour l' Installation et la suppressiond’Windows Server 2008
AD DS.
Évaluation des exemples de stratégies
de déploiement des services AD DS

Prenons l’exemple suivant d’une société fictive, Contoso Pharmaceuticals, qui déploie
services de domaine Active Directory (AD DS) dans son environnement.
L’environnement Contoso se compose de quatre domaines. Le niveau fonctionnel de la
forêt est Windows Server 2003. L’illustration suivante montre la structure de domaine
actuelle pour l’organisation Contoso.
Après avoir examiné son environnement existant et identifié ses objectifs de

déploiement, Contoso a établi la stratégie de déploiement AD DS suivante :
Mettez à niveau les domaines Windows Server 2003 vers les domaines Windows
Server 2008.
Activez les fonctionnalités AD DS avancées en augmentant les niveaux fonctionnels

de domaine et de forêt à Windows Server 2008.
Restructurez le domaine africa.concorp.contoso.com dans la forêt pour consolider

ce domaine avec le domaine emea.concorp.contoso.com.
L’élévation du niveau fonctionnel de la forêt à Windows Server 2008 permettra à

Contoso de tirer pleinement parti des nouvelles fonctionnalités AD DS. La
restructuration des domaines dans la forêt, comme illustré dans l’illustration suivante,
réduira la quantité d’administration nécessaire à la gestion des domaines.
Annexe A : Révision des principaux
termes relatifs aux services AD DS
Article • 11/04/2023

Les termes suivants s’appliquent au processus de déploiement pour les services de

domaine Active Directory (AD DS) Windows Server 2008.
Domaine Active Directory

Unité administrative d’un réseau d’ordinateurs qui, pour faciliter la gestion, regroupe
plusieurs fonctionnalités, notamment les suivantes :
Identité utilisateur à l’échelle du réseau. Dans les domaines, les identités

d’utilisateur peuvent être créées une seule fois, puis référencées sur n’importe quel
ordinateur joint à la forêt dans laquelle se trouve le domaine. Les contrôleurs de
domaine qui composent les comptes d’utilisateur et les informations
d’identification utilisateur d’un magasin de domaine, comme des mots de passe ou
des certificats, de manière sécurisée.
Authentification. Les contrôleurs de domaine fournissent des services

d’authentification pour les utilisateurs. Ils fournissent également des données
d’autorisation supplémentaires, comme les appartenances aux groupes
d’utilisateurs. Les administrateurs peuvent utiliser ces services pour contrôler
l’accès aux ressources sur le réseau.
Relations d’approbation. Les domaines étendent les services d’authentification aux

utilisateurs d’autres domaines de leur propre forêt au moyen d’approbations
bidirectionnelles automatiques. Les domaines étendent également les services
d’authentification aux utilisateurs dans des domaines dans d’autres forêts au
moyen d’approbations de forêt ou d’approbations externes créées manuellement.
Administration de stratégie. Un domaine est une étendue de stratégies

administratives, comme la complexité des mots de passe et les règles de
réutilisation des mots de passe.
Réplication : Un domaine définit une partition de l’arborescence de répertoires qui

fournit des données adéquates pour fournir les services requis et qui est répliquée
entre les contrôleurs de domaine. De cette façon, tous les contrôleurs de domaine
sont des homologues dans un domaine, et ils sont gérés en tant qu’unité.
Forêt Active Directory

Collection d’un ou plusieurs domaines Active Directory qui partagent une structure
logique, un schéma d’annuaire et une configuration réseau communs, ainsi que des
relations d’approbation automatiques, bidirectionnelles et transitives. Chaque forêt est
une instance unique de l’annuaire et définit une limite de sécurité.
Niveaux fonctionnels d’Active Directory

Un paramètre AD DS qui active des fonctionnalités AD DS avancées à l’échelle du
domaine ou de la forêt.
Migration
Processus de déplacement d’un objet d’un domaine source vers un domaine cible, tout
en conservant ou en modifiant les caractéristiques de l’objet pour le rendre accessible
dans le nouveau domaine.
Restructuration de domaine
Processus de migration qui implique la modification de la structure de domaine d’une
forêt. Une restructuration de domaine peut impliquer la consolidation ou l’ajout de
domaines, et peut avoir lieu entre forêts ou au sein d’une forêt.
Consolidation de domaine
Processus de restructuration qui implique l’élimination des domaines AD DS en
fusionnant leur contenu avec le contenu d’autres domaines.
Mise à niveau de domaine

Processus de mise à niveau du service d’annuaire d’un domaine vers une version
ultérieure du service d’annuaire. Cela inclut la mise à niveau du système d’exploitation
sur tous les contrôleurs de domaine et l’élévation du niveau fonctionnel AD DS le cas
échéant.
Mise à niveau de domaine sur place
Processus de mise à niveau des systèmes d’exploitation de tous les contrôleurs de
domaine d’un domaine donné, par exemple, la mise à niveau de Windows Server 2003
vers Windows Server 2008, et l’élévation du niveau fonctionnel du domaine, le cas
échéant, tout en laissant les objets de domaine, comme les utilisateurs et les groupes,
en place.
Domaine racine de forêt

Premier domaine créé dans la forêt Active Directory. Ce domaine est automatiquement
désigné comme domaine racine de forêt. Il fournit la base de l’infrastructure de forêt
Active Directory.
Domaine régional
Domaine enfant créé dans une région géographique pour optimiser le trafic de
réplication.
Déploiement AD DS
Article • 11/04/2023

Ce guide explique comment installer et supprimer les services de domaine

Active Directory (AD DS) dans Windows Server 2012. Il couvre également les éléments
importants dont vous devez tenir compte lorsque vous ajoutez de nouveaux contrôleurs
de domaine à un environnement Active Directory existant.
Nouveautés relatives à l’installation et à la suppression d’Active Directory Domain

Services
Mettre à niveau des contrôleurs de domaine vers Windows Server 2012 R2 et

Windows Server 2012
Installer les services de domaine Active Directory (niveau 100)
Étapes à suivre pour supprimer les services de domaine Active Directory
Descriptions des pages des Assistants Installation et suppression d’AD DS
Modifications apportées par Adprep
Niveaux fonctionnels de Windows Server
Résolution des problèmes de déploiement de contrôleur de domaine

Nouveautés relatives à l’installation et à
la suppression des services de domaine
Active Directory

Le déploiement des services de domaine Active Directory (AD DS) dans Windows Server
2012 est plus simple et plus rapide que les versions précédentes de Windows Server. Le
processus d’installation des services AD DS repose à présent sur Windows PowerShell et
est intégré au Gestionnaire de serveur. Le nombre d’étapes requises pour introduire des
contrôleurs de domaine dans un environnement Active Directory existant est en baisse,
ce qui rend le processus de création d’un environnement Active Directory plus simple et
plus efficace. Le nouveau processus de déploiement des services AD DS réduit au
minimum le risque d’erreurs susceptibles de bloquer l’installation.
Par ailleurs, vous pouvez installer les binaires du rôle serveur AD DS (c’est-à-dire le rôle
serveur AD DS) sur plusieurs serveurs en même temps. Vous pouvez également exécuter
l’Assistant Installation des services de domaine Active Directory à distance sur un
serveur individuel. Ces améliorations offrent davantage de flexibilité pour déployer des
contrôleurs de domaine qui exécutent Windows Server 2012, en particulier pour les
déploiements globaux à grande échelle où de nombreux contrôleurs de domaine
doivent être déployés dans des bureaux dans différentes régions.
L’installation des services AD DS comprend les fonctionnalités suivantes :
Intégration d’Adprep.exe dans le processus d’installation AD DS. Certaines étapes

jugées peu pratiques et qui étaient requises pour préparer un annuaire
Active Directory existant, comme la nécessité d’utiliser une série d’informations
d’identification différentes, la copie des fichiers Adprep.exe ou encore la connexion
à des contrôleurs de domaine spécifiques, ont été simplifiées ou sont effectuées
automatiquement. Il en résulte une réduction du temps nécessaire à l’installation
des services AD DS et une réduction du risque d’erreurs susceptibles de bloquer la
promotion du contrôleur de domaine.
Concernant les environnements dans lesquels il est préférable d’exécuter des

commandes adprep.exe préalablement à l’installation d’un nouveau contrôleur de
domaine, vous pouvez toujours exécuter les commandes adprep.exe séparément
de l’installation des services AD DS. La version de Windows Server 2012 de
adprep.exe s’exécute à distance. Vous pouvez donc exécuter toutes les
commandes nécessaires à partir d’un serveur qui exécute une version 64 bits de
Windows Server 2008 ou ultérieure.
La nouvelle installation des services AD DS repose sur Windows PowerShell et

peut être appelée à distance. De par l’intégration de la nouvelle installation des
services AD DS au Gestionnaire de serveur, vous pouvez utiliser la même interface
pour installer les services AD DS que celle que vous utilisez pour installer d’autres
rôles serveurs. Pour les utilisateurs Windows PowerShell, les applets de commande
de déploiement des services AD DS offrent plus de fonctionnalités et une flexibilité
accrue. Une parité fonctionnelle existe entre les options d’installation de ligne de
commande et celles de l’interface graphique utilisateur.
La nouvelle installation des services AD DS inclut la validation des conditions

préalables. Les erreurs potentielles sont identifiées avant le début de l’installation.
Vous pouvez corriger les conditions d’erreur avant qu’elles ne se produisent et
éviter ainsi les problèmes résultant d’une mise à niveau partiellement terminée. Par
exemple, si la commande adprep /domainprep doit être exécutée, l’Assistant
Installation vérifie que l’utilisateur dispose des droits suffisants pour exécuter
l’opération.
Les pages de configuration sont regroupées en une séquence qui reflète les
exigences des options de promotion les plus courantes avec des options
associées regroupées dans moins de pages de l’Assistant. Cela offre un meilleur
contexte pour les choix d’installation.
Vous pouvez exporter un script Windows PowerShell qui contient toutes les
options qui ont été spécifiées pendant l’installation graphique. À la fin d’une
installation ou d’une suppression, vous pouvez exporter les paramètres vers un
script Windows PowerShell pour automatiser la même opération.
Seule la réplication critique se produit avant le redémarrage. Nouveau

commutateur permettant la réplication des données non critiques avant le
redémarrage. Pour plus d’informations, voir Arguments de l’applet de commande
ADDSDeployment.
Assistant Configuration des services de

domaine Active Directory
À compter de Windows Server 2012, l’Assistant Configuration des services de domaine
Active Directory remplace l’Assistant Installation des services de domaine Active
Directory héritée en tant qu’option d’interface utilisateur pour spécifier les paramètres
lorsque vous installez un contrôleur de domaine. L’Assistant Configuration des services
de domaine Active Directory est lancé au terme de l’exécution de l’Assistant Ajout de
rôles.
２ Avertissement
L’Assistant Installation des services de domaine Active Directory hérité

(dcpromo.exe) est déconseillé à compter de Windows Server 2012.
Dans Installer les services de domaine Active Directory (niveau 100), les procédures
d’interface utilisateur montrent comment démarrer l’Assistant Ajout de rôles pour
installer les fichiers binaires de rôle serveur AD DS, puis exécuter l’Assistant
Configuration des services de domaine Active Directory pour terminer l’installation du
contrôleur de domaine. Les exemples Windows PowerShell montrent comment effectuer
les deux étapes à l’aide d’une applet de commande de déploiement AD DS.
Intégration d’Adprep.exe
À compter de Windows Server 2012, il n’existe qu’une seule version de Adprep.exe (il
n’existe aucune version 32 bits, adprep32.exe). Les commandes Adprep sont exécutées
automatiquement si nécessaire lorsque vous installez un contrôleur de domaine qui
exécute Windows Server 2012 sur un domaine ou une forêt Active Directory existant.
Bien que les opérations adprep soient exécutées automatiquement, vous pouvez
exécuter Adprep.exe séparément. Par exemple, si l’utilisateur qui installe les services AD
DS n’est pas membre du groupe Administrateurs de l’entreprise (une condition requise
à l’exécution d’Adprep /forestprep), vous devrez peut-être exécuter la commande
séparément. Toutefois, vous devez uniquement exécuter adprep.exe si vous envisagez
de mettre à niveau votre premier contrôleur de domaine Windows Server 2012 (en
d’autres termes, vous envisagez de mettre à niveau le système d’exploitation d’un
contrôleur de domaine qui exécute Windows Server 2012).
Adprep.exe se trouve dans le dossier \support\adprep du disque d’installation de

Windows Server 2012. La version de Windows Server 2012 d’adprep est capable de
s’exécuter à distance.
La version windows Server 2012 de adprep.exe peut s’exécuter sur n’importe quel
serveur qui exécute une version 64 bits de Windows Server 2008 ou ultérieure. Le
serveur doit bénéficier d’une connectivité réseau au contrôleur de schéma pour la forêt
et au maître d’infrastructure sur lequel vous voulez ajouter un contrôleur de domaine. Si
l’un de ces rôles est hébergé sur un serveur Windows Server 2003, adprep doit être
exécuté à distance. Le serveur sur lequel vous exécutez adprep ne doit pas forcément
être un contrôleur de domaine. Il peut soit être joint à un domaine, soit se trouver dans
un groupe de travail.
７ Notes
Si vous essayez d’exécuter la version de Windows Server 2012 de adprep.exe sur un

serveur qui exécute Windows Server 2003, l’erreur suivante s’affiche :
Adprep.exe n’est pas une application Win32 valide.
Pour plus d’informations sur la résolution d’autres erreurs retournées par Adprep.exe,
voir Problèmes connus.
Vérification de l’appartenance aux groupes par rapport

aux rôles de maître d’opérations Windows Server 2003
Pour chaque commande (/forestprep, /domainprep ou /rodcprep), Adprep vérifie
l’appartenance aux groupes pour déterminer si les informations d’identification
spécifiées représentent un compte dans certains groupes. Pour effectuer cette
vérification, Adprep contacte le propriétaire du rôle de maître d’opérations. Si le maître
d’opérations exécute Windows Server 2003 et que vous exécutez Adprep.exe, vous
devez spécifier les paramètres de ligne de commande /user et /userdomain pour vous
assurer que la vérification de l’appartenance aux groupes est effectuée dans tous les cas.
Les paramètres /user et /userdomain sont de nouveaux paramètres pour Adprep.exe
dans Windows Server 2012. Ces paramètres spécifient respectivement le nom du
compte et le domaine de l’utilisateur qui exécute la commande adprep. L’utilitaire de
ligne de commande Adprep.exe vous empêche de ne spécifier qu’un seul des deux
paramètres (/userdomain ou /user).
Toutefois, les opérations Adprep peuvent également être exécutées dans le cadre d’une
installation des services AD DS à l’aide de Windows PowerShell ou du Gestionnaire de
serveur. Ces expériences partagent la même implémentation sous-jacente (adprep.dll)
qu’adprep.exe. L’entrée des informations d’identification, qui s’effectue séparément pour
Windows PowerShell et le Gestionnaire de serveur, n’impose pas les mêmes conditions
que celles requises par adprep.exe. Si vous utilisez Windows PowerShell ou le
Gestionnaire de serveur, il est possible de passer une valeur pour /user mais pas
/userdomain à adprep.dll. Si /user est spécifié mais que /userdomain n’est pas spécifié,
le domaine de l’ordinateur local est utilisé pour effectuer la vérification. Si l’ordinateur
n’est pas joint à un domaine, l’appartenance aux groupes ne peut pas être vérifiée.
Lorsque l’appartenance aux groupes ne peut pas être vérifiée, Adprep affiche un
message d’avertissement dans les fichiers journaux adprep et continue :
Adprep was unable to check the specified user's group membership. This could
happen if the FSMO role owner <DNS host name of operations master> is
running Windows Server 2003 or lower version of Windows.
Si vous exécutez Adprep.exe sans spécifier les paramètres /user et /userdomain et que
le maître d’opérations exécute Windows Server 2003, Adprep.exe contacte un contrôleur
de domaine dans le domaine de l’utilisateur actuellement connecté. Si l’utilisateur
actuellement connecté n’est pas un compte de domaine, Adprep.exe ne peut pas
effectuer la vérification de l’appartenance aux groupes. Il en va de même si des
informations d’identification de carte à puce sont utilisées, et ce même si vous spécifiez
/user et /userdomain.
Si l’exécution d’Adprep se termine correctement, aucune action n’est requise. En cas

d’échec de l’exécution d’Adprep avec des erreurs d’accès, spécifiez un compte avec une
appartenance correcte. Pour plus d’informations, voir Informations d’identification
requises pour exécuter Adprep.exe et installer les services de domaine Active Directory.
Syntaxe pour Adprep dans Windows Server 2012

Utilisez la syntaxe suivante pour exécuter adprep séparément d’une installation des
services AD DS :
Adprep.exe /forestprep /forest <forest name> /userdomain <user domain name>
/user <user name> /password *
Utilisez /logdsid dans la commande afin de générer une journalisation plus détaillée. Le
journal adprep.log se trouve à l’emplacement suivant :
%windir%\System32\Debug\Adprep\Logs.
Exécution d’adprep à l’aide d’une carte à puce

La version de Windows Server 2012 de adprep.exe fonctionne à l’aide de la carte à puce
comme informations d’identification, mais il n’existe aucun moyen simple de spécifier
les informations d’identification de la carte à puce via la ligne de commande. Une façon
d’y parvenir consiste à d’obtenir les informations d’identification de carte à puce par le
biais de l’applet de commande PowerShell Get-Credential. Ensuite, il suffit d’utiliser le
nom d’utilisateur de l’objet PSCredential retourné, celui-ci apparaissant sous la forme
@@... . Le mot de passe est le code confidentiel de la carte à puce.
Adprep.exe requiert /userdomain si /user est spécifié. Pour les informations

d’identification de carte à puce , /userdomain doit être le domaine du compte
d’utilisateur sous-jacent représenté par la carte à puce.
La commande adprep /domainprep /gpprep n’est pas

exécutée automatiquement.
La commande adprep /domainprep /gpprep n’est pas exécutée dans le cadre de
l’installation des services AD DS. Cette commande définit les autorisations requises pour
le mode de planification du jeu de stratégie résultant (RSoP). Pour plus d’informations
sur cette commande, voir l’article 324392 de la Base de connaissances Microsoft. Si la
commande doit être exécutée dans votre domaine Active Directory, vous pouvez
l’exécuter séparément de l’installation des services AD DS. Si la commande a déjà été
exécutée en préparation du déploiement de contrôleurs de domaine exécutant
Windows Server 2003 SP1 ou version ultérieure, il est inutile de réexécuter la
commande.
Vous pouvez ajouter en toute sécurité des contrôleurs de domaine qui exécutent
Windows Server 2012 à un domaine existant sans exécuter adprep /domainprep
/gpprep, mais le mode de planification RSOP ne fonctionne pas correctement.
Validation des conditions préalables à
l’installation des services AD DS
L’Assistant Installation des services de domaine Active Directory vérifie que les
conditions préalables suivantes sont remplies avant de démarrer l’installation. Cela vous
donne la possibilité de corriger les problèmes susceptibles de bloquer l’installation.
Parmi les conditions préalables liées à Adprep, citons les suivantes :
Vérification des informations d’identification d’adprep : si l’exécution d’adprep

s’avère nécessaire, l’Assistant Installation vérifie que l’utilisateur dispose de droits
suffisants pour exécuter les opérations Adprep requises.
Vérification de la disponibilité du contrôleur de schéma : si l’Assistant Installation
détermine que la commande adprep /forestprep doit être exécutée, il vérifie que le
contrôleur de schéma est en ligne ; sinon, il échoue.
Vérification de la disponibilité du maître d’infrastructure : si l’Assistant Installation
détermine que la commande adprep /domainprep doit être exécutée, il vérifie que
le maître d’infrastructure est en ligne ; sinon, il échoue.
Voici d’autres vérifications des conditions préalables qui sont issues de l’Assistant
Installation des services de domaine Active Directory hérité (dcpromo.exe) :
Vérification du nom de la forêt : vérifie que le nom de la forêt est valide et qu’il
n’est pas déjà utilisé.
Vérification du nom NetBIOS : vérifie que le nom NetBIOS fourni est valide et qu’il
n’est pas en conflit avec des noms existants.
Vérification des chemins d’accès des composants : vérifie que les chemins d’accès
pour la base de données Active Directory, les journaux et SYSVOL sont valides et
que l’espace disque nécessaire pour les prendre en charge est suffisant.
Vérification du nom du domaine enfant : vérifie que les noms du parent et du
nouveau domaine enfant sont valides et qu’ils ne sont pas en conflit avec des
domaines existants.
Vérification du nom du domaine de l’arborescence : vérifie que le nom de
l’arborescence spécifié est valide et qu’il n’existe pas actuellement.
Configuration système requise

La configuration système requise pour Windows Server 2012 n’est pas modifiée par
rapport à Windows Server 2008 R2. Pour plus d’informations, consultez Windows Server
2008 R2 avec la configuration système requise
(https://www.microsoft.com/windowsserver2008/en/us/system-
requirements.aspx SP1).
Il est possible que des conditions supplémentaires soient associées à certaines

fonctionnalités. Par exemple, la fonctionnalité de clonage du contrôleur de domaine
virtuel nécessite que l’émulateur de contrôleur de domaine principal exécute Windows
Server 2012 et un ordinateur exécutant Windows Server 2012 avec le rôle Hyper-V
installé.
Problèmes connus
Cette section répertorie certains des problèmes connus qui affectent l’installation d’AD
DS dans Windows Server 2012. Pour découvrir d’autres problèmes connus, voir
Résolution des problèmes de déploiement de contrôleur de domaine.
Si l’accès WMI au maître de schéma est bloqué par le Pare-feu Windows lorsque
vous exécutez à distance adprep /forestprep, l’erreur suivante est enregistrée dans
le journal adprep à l’emplacement %systemroot%\system32\debug\adprep :
Adprep encountered a Win32 error.

Error code: 0x6ba Error message: The RPC server is unavailable.
Dans ce cas, pour contourner cette erreur, vous pouvez soit exécuter adprep
/forestprep directement sur le contrôleur de schéma, soit exécuter l’une des
commandes suivantes pour autoriser le trafic de WMI à travers le Pare-feu
Windows.
Pour Windows Server 2008 ou version ultérieure :
netsh advfirewall firewall set rule group="windows management

instrumentation (wmi)" new enable=yes
Pour Windows Server 2003 :
netsh firewall set service RemoteAdmin enable
Une fois adprep terminé, vous pouvez exécuter l’une des commandes suivantes
pour bloquer de nouveau le trafic WMI :
netsh advfirewall firewall set rule group="windows management

instrumentation (wmi)" new enable=no
netsh firewall set service remoteadmin disable
Vous pouvez appuyer sur CTRL+C pour annuler l’applet de commande Install-
ADDSForest. L’annulation arrête l’installation, et toutes les modifications apportées
à l’état du serveur sont annulées. Toutefois, après l’émission de la commande
d’annulation, le contrôle n’est pas retourné à Windows PowerShell et l’applet de
commande peut se bloquer indéfiniment.
L’installation d’un contrôleur de domaine supplémentaire au moyen

d’informations d’identification de carte à puce échoue si le serveur cible n’est
pas joint au domaine avant l’installation.
Le message d’erreur retourné dans ce cas est le suivant :
Impossible de se connecter au contrôleur de domaine source de réplication nom

du contrôleur de domaine source. (Exception : Échec de l’ouverture de session : nom
d’utilisateur inconnu ou mot de passe incorrect)
Si vous joignez le serveur cible au domaine, puis effectuez l’installation à l’aide

d’une carte à puce, l’installation aboutit.
Le module ADDSDeployment ne s’exécute pas sous les processus 32 bits. Si vous

automatisez le déploiement et la configuration de Windows Server 2012 à l’aide
d’un script qui inclut une applet de commande ADDSDeployment et toute autre
applet de commande qui ne prend pas en charge les processus natifs 64 bits, le
script peut échouer avec une erreur indiquant que l’applet de commande
ADDSDeployment est introuvable.
Dans ce cas, vous devez exécuter l’applet de commande ADDSDeployment

séparément de l’applet de commande qui ne prend pas en charge les processus
64 bits natifs.
Il existe un nouveau système de fichiers dans Windows Server 2012 nommé

Resilient File System. Ne stockez pas la base de données Active Directory, les
fichiers journaux ou SYSVOL sur un volume de données au format ReFS. Pour plus
d’informations sur ReFS, consultez Génération du système de fichiers de prochaine
génération pour Windows : ReFS.
Dans le Gestionnaire de serveur, les serveurs qui exécutent AD DS ou d’autres rôles

serveur sur une installation Server Core et qui ont été mis à niveau vers Windows
Server 2012, le rôle serveur peut apparaître avec un état rouge, même si les
événements et l’état sont collectés comme prévu. Les serveurs qui exécutent une
installation Server Core d’une version préliminaire de Windows Server 2012
peuvent également être affectés.
L’installation des services de domaine Active Directory se

bloque si une erreur empêche une réplication critique.
Si l’installation des services AD DS se heurte à une erreur lors de la phase de réplication
critique, l’installation peut se bloquer indéfiniment. Par exemple, si des erreurs réseau
empêchent l’achèvement de la réplication critique, l’installation ne continue pas.
Si vous effectuez l’installation à l’aide du Gestionnaire de serveur, il est possible que la

page de progression de l’installation reste ouverte sans qu’aucune erreur ne soit
signalée à l’écran et que la progression reste inchangée pendant environ 15 minutes. Si
vous utilisez Windows PowerShell, la progression affichée dans la fenêtre Windows
PowerShell n’évolue pas pendant plus de 15 minutes.
Si vous rencontrez ce problème, examinez le fichier dcpromo.log dans le dossier

%systemroot%\debug sur le serveur cible. Le fichier journal indique généralement des
échecs répétés à répliquer. Parmi les causes connues de ce problème, citons les
suivantes :
Des problèmes réseau empêchent la réplication critique entre le serveur cible qui
est promu et le contrôleur de domaine source de réplication.
Par exemple, le journal dcpromo.log affiche ce qui suit :
05/02/2012 14:16:46 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC

Client : 1963
Internal event: The following local directory service received an

exception from a remote procedure call (RPC) connection. Extensive RPC
information was requested. This is intermediate information and might
not contain a possible cause.
Process ID:
500
Reported error information:
Error value:
Could not find the domain controller for this domain. (1908)
directory service:
<domain>.com
Extensive error information:
Error value:
A security package specific error occurred. 1825
directory service:
<DC Name>
Étant donné que le processus d’installation retente la réplication critique

indéfiniment, l’installation du contrôleur de domaine se poursuit si les problèmes
réseau sous-jacents sont résolus. Étudiez le problème réseau à l’aide d’outils tels
qu’ipconfig, nslookup et netmon, si nécessaire. Vérifiez l’existence d’une
connectivité entre le contrôleur de domaine que vous promouvez et le partenaire
de réplication sélectionné pendant l’installation des services AD DS. Vérifiez
également que la résolution de noms fonctionne.
La configuration requise pour l’installation des services AD DS pour la connectivité

réseau et la résolution de noms est validée pendant la vérification de la
configuration requise, avant le début de l’installation. Certaines conditions d’erreur
peuvent néanmoins se produire entre le moment de la validation préalable et la fin
de l’installation, par exemple si le partenaire de réplication devient indisponible
pendant l’installation.
Au cours de l’installation du contrôleur de domaine réplica, le compte

d’administrateur local du serveur cible est spécifié pour les informations
d’identification d’installation et le mot de passe du compte d’administrateur local
correspond au mot de passe d’un compte d’administrateur de domaine. Dans ce
cas, vous pouvez terminer l’Assistant Installation et commencer l’installation avant
de rencontrer l’échec « Accès refusé ».
Par exemple, le journal dcpromo.log affiche ce qui suit :
03/30/2012 11:36:51 [INFO] Creating the NTDS Settings object for this
Active Directory Domain Controller on the remote AD DC
DC2.contoso.com...
03/30/2012 11:36:51 [INFO] EVENTLOG (Error): NTDS Replication / DS RPC

Client : 1963Internal event: The following local directory service
received an exception from a remote procedure call (RPC) connection.
Extensive RPC information was requested. This is intermediate
information and might not contain a possible cause.
Process ID:
508
Reported error information:
Error value:
Access is denied. (5)
directory service:
DC2.contoso.com
Si l’erreur est causée par la spécification d’un compte et d’un mot de passe
d’administrateur local, vous devez, pour corriger le problème, réinstaller le système
d’exploitation, effectuer un nettoyage des métadonnées du compte pour le
contrôleur de domaine qui n’a pas réussi à effectuer l’installation, puis réessayer
l’installation des services de domaine Active Directory à l’aide d’informations
d’identification de l’administrateur de domaine. Le redémarrage du serveur ne
corrige pas cette condition d’erreur, car le serveur indique que les services AD DS
est installé même si l’installation ne s’est pas terminée correctement.
L’Assistant Configuration des services de domaine Active

Directory vous avertit si un nom DNS non normalisé est
spécifié.
Si vous créez un domaine ou une forêt et que vous spécifiez un nom de domaine DNS
contenant des caractères internationaux qui ne sont pas normalisés, l’Assistant
Configuration des services de domaine Active Directory affiche alors un avertissement
indiquant l’échec possible des requêtes DNS pour le nom. Bien que le nom de domaine
DNS soit spécifié dans la page Configuration de déploiement, l’avertissement apparaît
dans la page Vérification de la configuration requise plus loin dans l’Assistant.
Si un nom de domaine DNS est spécifié à l’aide d’un nom non normalisé comme füß
ball.com ou 'ΣΤ'.com (les versions normalisées sont : füssball.com et σστα.com), les
applications clientes qui tentent de l’accéder avec WinHTTP normalisent le nom avant
d’appeler les API de résolution de noms. Si l’utilisateur tape « 'ΣΤ'.com » dans une boîte
de dialogue, la requête DNS est envoyée en tant que « σστα.com » et aucun serveur
DNS ne correspond à celui-ci avec un enregistrement de ressource pour « 'ΣΤ'.com ».
L’utilisateur ne sera pas en mesure de résoudre le nom.
L’exemple suivant explique l’un des problèmes pouvant se produire lors de l’utilisation
d’un nom IDN qui n’est pas normalisé :
1. Le domaine utilisant un nom non normalisé est créé et inscrit sur le serveur dns :
füß ball.com
2. La machine « nps » est jointe au domaine et obtient son nom inscrit : nps.füß
ball.com
3. Une application cliente tente de se connecter au serveur nps.füß ball.com
4. L’application cliente tente de résoudre le nom nps.füß ball.com les API de
résolution de noms appelantes.
5. En raison de la normalisation, le nom est converti en nps.füssball.com et est
interrogé sur le fil comme nps.füß ball.com
6. L’application cliente ne parvient pas à résoudre le nom, car le nom inscrit est
nps.füß ball.com
Si l’avertissement apparaît dans la page Vérification de la configuration requise de

l’Assistant Configuration des services de domaine Active Directory, retournez à la page
Configuration de déploiement et spécifiez un nom de domaine DNS normalisé. Si vous
installez un nouveau domaine à l’aide de Windows PowerShell, spécifiez un nom DNS
normalisé pour l’option -DomainName.
Pour plus d’informations sur les noms IDN, voir Traitement des noms de domaines
internationaux.
Mettre à niveau les contrôleurs de
domaine vers une version plus récente
de Windows Server
Cet article fournit des informations générales sur Active Directory Domain Services dans
Windows Server et explique le processus de mise à niveau des contrôleurs de domaine à
partir d’une version antérieure de Windows Server.
Prérequis
La méthode recommandée pour mettre à niveau un domaine consiste à promouvoir de
nouveaux serveurs sur les contrôleurs de domaine qui exécutent une version plus
récente de Windows Server et rétrograder les contrôleurs de domaine plus anciens en
fonction des besoins. Cette méthode est préférable à la mise à niveau du système
d’exploitation d’un contrôleur de domaine existant, également appelée mise à niveau
sur place.
Suivez ces étapes générales avant de promouvoir un serveur sur un contrôleur de

domaine qui exécute une version plus récente de Windows Server :
1. Vérifiez que le serveur cible répond à la configuration système requise.
2. Vérifiez la compatibilité des applications.
3. Passez en revue les recommandations relatives à la migration vers une version plus
récente de Windows Server.
4. Vérifiez les paramètres de sécurité
5. Vérifiez la connectivité au serveur cible à partir de l’ordinateur sur lequel vous

envisagez d’exécuter l’installation.
6. Vérifiez la disponibilité des rôles FSMO (Flexible Single Master Operation)

nécessaires dans Active Directory. Cette étape est requise pour les scénarios
suivants :
Pour installer le premier contrôleur de domaine qui exécute la dernière
version de Windows Server dans un domaine et une forêt existants, la
machine sur laquelle vous exécutez l’installation doit être connectée aux
éléments suivants :
Le contrôleur de schéma pour exécuter adprep /forestprep .
Le maître d’infrastructure pour exécuter adprep /domainprep .
Pour installer le premier contrôleur de domaine dans un domaine où le
schéma de la forêt est déjà étendu, seule une connectivité au maître
d’infrastructure est requise.
Pour installer ou supprimer un domaine dans une forêt existante, vous avez
besoin d’une connectivité au maître d’opérations des noms de domaine.
Toute installation d’un contrôleur de domaine requiert également une
connectivité au maître RID.
Si vous installez le premier contrôleur de domaine en lecture seule dans une
forêt existante, vous avez besoin d’une connectivité au maître
d’infrastructure pour chaque partition d’annuaire d’applications, également
désignée sous le nom de contexte de nommage (autre que celui d’un
domaine).
Pour déterminer le ou les serveurs qui détiennent le rôle FSMO, exécutez les
commandes suivantes dans une session PowerShell avec élévation de privilèges à
l’aide d’un compte membre du groupe Administrateurs de domaine :
PowerShell
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | FL DomainNamingMaster, SchemaMaster
Actions d’installation et niveaux d’administration requis

Le tableau suivant fournit un résumé des actions d’installation et des autorisations
requises pour effectuer ces étapes.
Action d’installation Informations d’identification requises
Installer une nouvelle forêt. Administrateur local sur le serveur cible
Installer un nouveau domaine dans une Administrateurs d’entreprise

forêt existante.
Installer un autre contrôleur de domaine Administrateurs de domaine

dans un domaine existant.
Exécutez adprep /forestprep . Administrateurs de schéma, Administrateurs

d’entreprise et Administrateurs de domaine
Exécutez adprep /domainprep . Administrateurs de domaine
Exécutez adprep /domainprep /gpprep. Administrateurs de domaine
Exécutez adprep /rodcprep . Administrateurs d’entreprise
Chemins de mise à niveau sur place pris en

charge
Seules les mises à niveau de la version 64 bits sont prises en charge. Pour plus
d’informations sur les chemins de mise à niveau pris en charge, consultez Chemins de
mise à niveau pris en charge.
Adprep - forestprep et domainprep

Pour une mise à niveau sur place d’un contrôleur de domaine existant, vous devez
exécuter adprep /forestprep et adprep /domainprep manuellement. Vous ne devez
exécuter Adprep /forestprep qu’une seule fois dans la forêt pour chaque version plus
récente de Windows Server. Exécutez Adprep /domainprep une fois dans chaque
domaine où vous avez des contrôleurs de domaine que vous mettez à niveau pour
chaque version plus récente de Windows Server.
Si vous faites passer un nouveau serveur sur un contrôleur de domaine, vous n’avez pas
besoin d’exécuter ces outils en ligne de commande manuellement. Ils sont intégrés aux
expériences PowerShell et Gestionnaire de serveur.
Pour plus d’informations sur l’exécution d’adprep, consultez Exécution d’Adprep.
Fonctionnalités et exigences de niveau

fonctionnel
Windows Server 2019 ou version ultérieure nécessite, au minimum, un niveau
fonctionnel de forêt Windows Server 2008. Windows Server 2016 nécessite, au
minimum, un niveau fonctionnel de forêt Windows Server 2003. Si la forêt contient des
contrôleurs de domaine exécutant un niveau fonctionnel de forêt plus ancien que celui
pris en charge par le système d’exploitation, l’installation est bloquée. Ces contrôleurs
de domaine doivent être supprimés et le niveau fonctionnel de la forêt doit être élevé à
une version prise en charge avant d’ajouter des contrôleurs de domaine Windows Server
plus récents à votre forêt. Pour plus d’informations sur les niveaux fonctionnels pris en
charge, consultez Niveaux fonctionnels de forêt et de domaine.
７ Notes
Aucun nouveau niveau fonctionnel de forêt ou de domaine n’a été ajouté depuis
Windows Server 2016. Les versions de système d’exploitation ultérieures peuvent et
doivent être utilisées pour les contrôleurs de domaine. Elles utilisent Windows
Server 2016 comme niveaux fonctionnels les plus récents.
Restaurer les niveaux fonctionnels

Une fois que vous avez défini le niveau fonctionnel de la forêt sur une certaine valeur,
vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques
exceptions près :
Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt

Windows Server 2012 R2, vous pouvez revenir à Windows Server 2012 R2.
Si vous effectuez une mise à niveau à partir du niveau fonctionnel de forêt
Windows Server 2008 R2, vous pouvez revenir à Windows Server 2008 R2.
Une fois que vous avez défini le niveau fonctionnel du domaine sur une certaine valeur,
vous ne pouvez pas le restaurer à sa valeur précédente ou le diminuer, à quelques
exceptions près :
Lorsque vous augmentez le niveau fonctionnel du domaine sur Windows

Server 2016 et que le niveau fonctionnel de la forêt est Windows Server 2012 ou
inférieur, vous avez la possibilité de restaurer le niveau fonctionnel du domaine sur
Windows Server 2012 ou Windows Server 2012 R2.
Pour plus d’informations sur les fonctionnalités disponibles pour chacun des niveaux
fonctionnels, consultez Niveaux fonctionnels de forêt et de domaine.
Interopérabilité d’Active Directory Domain

Services
Active Directory Domain Services n’est pas pris en charge sur les systèmes d’exploitation
Windows suivants :
Windows MultiPoint Server
Windows Server Essentials
Active Directory Domain Services ne peut pas être installé sur un serveur qui exécute
également les rôles de serveur ou les services de rôle suivants :
Microsoft Hyper-V Server

Service Broker pour les connexions Bureau à distance
Administration de Windows Server
Utilisez les Outils d’administration de serveur distant pour Windows 10 ou version
ultérieure pour gérer les contrôleurs de domaine et d’autres serveurs qui exécutent
Windows Server. Vous pouvez exécuter les Outils d’administration de serveur distant
Windows Server sur un ordinateur Windows 10 ou version ultérieure.
Ajouter un nouveau contrôleur de domaine

avec une version plus récente de
Windows Server
L’exemple suivant montre comment mettre à niveau la forêt Contoso à partir d’une
version antérieure de Windows Server vers une version ultérieure.
1. Joignez le nouveau Windows Server à votre forêt. Redémarrez quand vous y êtes

invité.
2. Connectez-vous au nouveau Windows Server avec un compte d’administrateur de
domaine.
3. Dans Gestionnaire de serveur, sous Ajouter des rôles et des fonctionnalités,

installez Active Directory Domain Services sur le nouveau serveur
Windows Server. Cette action exécute automatiquement adprep sur la version
antérieure de la forêt et du domaine.
4. Dans Gestionnaire de serveur, sélectionnez le triangle jaune. Dans la liste

déroulante, sélectionnez Promouvoir le serveur en contrôleur de domaine.
5. Dans l’écran Configuration du déploiement, sélectionnez Ajouter un nouveau

domaine à une forêt existante, puis Suivant.
6. Dans l’écran Options du contrôleur de domaine, entrez le mot de passe du Mode
de restauration Directory Services (DSRM), puis sélectionnez Suivant.
7. Pour les autres écrans, sélectionnez Suivant.
8. Dans l’écran Vérification des prérequis, sélectionnez Installer. Une fois le

redémarrage terminé, reconnectez-vous.
9. Dans la version antérieure de Windows Server, dans Gestionnaire de serveur, sous

Outils, sélectionnez Module Active Directory pour Windows PowerShell.
10. Dans la fenêtre PowerShell, utilisez l’applet de commande Move-
ADDirectoryServerOperationMasterRole pour déplacer les rôles FSMO. Vous pouvez
entrer le nom de chaque Rôle de maître des opérations ou utiliser des nombres
pour spécifier les rôles. Pour plus d’informations, consultez Move-
ADDirectoryServerOperationMasterRole.
PowerShell
Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -

OperationMasterRole 0,1,2,3,4
11. Pour vérifier que les rôles ont été déplacés, accédez au nouveau serveur
Windows Server. Dans Gestionnaire de serveur, sous Outils, sélectionnez Module
Active Directory pour Windows PowerShell. Utilisez les applets de commande
Get-ADDomain et Get-ADForest pour afficher les titulaires des rôles FSMO.
12. Rétrogradez et supprimez le contrôleur de domaine Windows Server antérieur.
Pour plus d’informations sur la rétrogradation d’un contrôleur de domaine,
consultez Rétrogradation de contrôleurs de domaine et de domaines.
13. Une fois le serveur rétrogradé et supprimé, vous pouvez élever les niveaux
fonctionnels de la forêt et du domaine sur la dernière version de Windows Server.
Étapes suivantes
Nouveautés relatives à l’installation et à la suppression d’Active Directory Domain
Services
Niveaux fonctionnels de Windows Server
Mettre à niveau des contrôleurs de
domaine vers Windows Server 2012 R2
et Windows Server 2012

Cette rubrique fournit des informations générales sur AD DS (Active Directory Domain
Services) dans Windows Server 2012 R2 and Windows Server 2012, et décrit le processus
de mise à niveau des contrôleurs de domaine à partir de Windows Server 2008 ou
Procédure de mise à niveau des contrôleurs de

domaine
La méthode recommandée pour mettre à niveau un domaine consiste à promouvoir les
contrôleurs de domaine qui exécutent des versions plus récentes de Windows Server et
rétrograder les contrôleurs de domaine plus anciens en fonction des besoins. Cette
méthode est préférable à la mise à niveau du système d’exploitation d’un contrôleur de
domaine existant. Cette liste couvre les étapes générales à suivre avant de promouvoir
un contrôleur de domaine qui exécute une version plus récente de Windows Server :
1. Vérifiez que le serveur cible répond à la configuration requise.
2. Vérifiez la compatibilité des applications.
3. Vérifiez les paramètres de sécurité Pour plus d’informations, consultez

Fonctionnalités déconseillées et modifications de comportement associées aux
services de domaine Active Directory dans Windows Server 2012 et Secure default
settings in Windows Server 2008 et Windows Server 2008 R2.
4. Vérifiez la connectivité au serveur cible à partir de l’ordinateur sur lequel vous

envisagez d’exécuter l’installation.
5. Vérifiez la disponibilité des rôles de maître d’opérations nécessaires :
Pour installer le premier contrôleur de domaine qui exécute Windows

Server 2012 dans une forêt et un domaine existants, l’ordinateur sur lequel
vous exécutez l’installation requiert une connectivité au contrôleur de schéma
afin d’exécuter adprep /forestprep et au maître d’infrastructure afin
d’exécuter adprep /domainprep.
Pour installer le premier contrôleur de domaine dans un domaine où le
schéma de la forêt est déjà étendu, seule une connectivité au maître
d’infrastructure est requise.
Pour installer ou supprimer un domaine dans une forêt existante, vous avez
besoin d’une connectivité au maître d’opérations des noms de domaine.
Toute installation d’un contrôleur de domaine requiert également une
connectivité au maître RID.
Si vous installez le premier contrôleur de domaine en lecture seule dans une
forêt existante, vous avez besoin d’une connectivité au maître d’infrastructure
pour chaque partition d’annuaire d’applications, également désignée sous le
nom de contexte de nommage (autre que celui d’un domaine).
6. Veillez à fournir les informations d’identification requises pour exécuter

l’installation des services de domaine Active Directory.
Installer une nouvelle forêt Administrateur local sur le serveur cible
Installer un nouveau domaine dans Administrateurs de l’entreprise

une forêt existante
Installer un autre contrôleur de Administrateurs du domaine

domaine dans un domaine existant
Exécuter adprep /forestprep Administrateurs du schéma, Administrateurs de

l’entreprise et Administrateurs du domaine
Exécuter adprep /domainprep Administrateurs du domaine
Exécuter adprep /domainprep Administrateurs du domaine

/gpprep
Exécuter adprep /rodcprep Administrateurs de l’entreprise
Vous pouvez déléguer des autorisations pour installer les services de domaine
Active Directory. Pour plus d’informations, voir Tâches de gestion de l’installation.
Vous pouvez trouver des instructions pas à pas pour promouvoir des contrôleurs de
domaine Windows Server 2012 nouveaux et répliqués à l’aide des applets de commande
Windows PowerShell et du Gestionnaire de serveur en suivant les liens ci-dessous :

Installer une nouvelle forêt Active Directory Windows Server 2012 (niveau 200)
Installer un contrôleur de domaine Windows Server 2012 répliqué dans un
domaine existant (niveau 200)
Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory
Windows Server 2012 (niveau 200)
Installer un contrôleur de domaine en lecture seule Active Directory Windows
Server 2012 (niveau 200)
Windows Server 2012 - Forum sur les contrôleurs de domaine
Considérations relatives à Windows Update

Avant la version Windows 8, Windows Update gérait sa propre planification interne pour
rechercher les mises à jour, puis pour les télécharger et les installer. Pour cela, l'Agent de
mise à jour automatique Windows Update devait toujours être en cours d'exécution en
arrière-plan et utilisait de la mémoire ainsi que d'autres ressources système.
Windows 8 et Windows Server 2012 introduisent la nouvelle fonctionnalité de

maintenance automatique. La maintenance automatique consolide de nombreuses
fonctionnalités différentes qui géraient chacune leur propre logique de planification et
d'exécution. Cette consolidation permet à tous ces composants d’utiliser beaucoup
moins de ressources système, de fonctionner de façon cohérente, de respecter le nouvel
état Veille connectée pour les nouveaux types d’appareils et de consommer moins de
batterie sur les appareils mobiles.
Comme Windows Update fait partie de la maintenance automatique dans Windows 8 et

Windows Server 2012, sa propre planification interne pour définir un jour et une heure
d'installation des mises à jour n'est plus en vigueur. Pour garantir un comportement de
redémarrage cohérent et prévisible pour tous les appareils et ordinateurs de votre
entreprise, notamment ceux qui exécutent Windows 8 et Windows Server 2012,
consultez l’article de la Base de connaissances Microsoft 2885694 (ou le correctif
cumulatif d’octobre 2013 2883201 ), puis configurez les paramètres de stratégie
décrits dans le billet de blog WSUS Enabling a more predictable Windows Update
experience for Windows 8 and Windows Server 2012 (KB 2885694)(en anglais).
Nouveautés d’AD DS (Active Directory Domain

Services) dans Windows Server 2012 R2
Le tableau suivant récapitule les nouvelles fonctionnalités pour les services de domaine
Active Directory dans Windows Server 2012 R2, avec un lien vers des informations plus
détaillées le cas échéant. Pour obtenir une explication plus détaillée de certaines
fonctionnalités, notamment les conditions requises, voir Nouveautés d’Active Directory
sous Windows Server 2012 R2.
Fonctionnalité Description
Jonction d’espace Permet aux travailleurs de l'information d'établir une connexion entre leurs
de travail appareils personnels et leur entreprise pour accéder aux ressources et
services de celle-ci.
Proxy Fournit l'accès à une application web à l'aide d'un nouveau service de rôle
d’application web Accès à distance.
Active Directory Les services AD FS ont simplifié le déploiement et apporté des améliorations
Federation pour permettre aux utilisateurs d'accéder aux ressources à partir des
Services appareils personnels et aider les services informatiques à gérer le contrôle
d'accès.
Unicité des noms Les contrôleurs de domaine exécutant Windows Server 2012 R2 bloquent la
SPN et UPN création de noms de principal du service (SPN) et de noms d'utilisateurs
principaux (UPN) en double.
Connexion de Permet aux applications d'écran de verrouillage d'être redémarrées et

redémarrage disponibles sur les appareils Windows 8.1.
automatique
Winlogon
Attestation de clé Permet aux autorités de certification d'attester par chiffrement dans un
TPM certificat émis que la clé privée du demandeur de certificat est réellement
protégée par un module de plateforme sécurisée (TPM).
Gestion et Nouveaux contrôles d'authentification de domaine et de protection des

protection des informations d'identification pour réduire le vol d'informations
informations d'identification.
d’identification
Désapprobation Le niveau fonctionnel de domaine Windows Server 2003 est également

du service de déconseillé, car le service de réplication de fichiers permet de répliquer
réplication de SYSVOL au niveau fonctionnel. Cela signifie que, quand vous créez un
fichiers domaine sur un serveur qui exécute Windows Server 2012 R2, le niveau
fonctionnel de domaine doit être Windows Server 2008 ou version plus
récente. Vous pouvez toujours ajouter un contrôleur de domaine qui exécute
Windows Server 2012 R2 à un domaine existant avec un niveau fonctionnel
de domaine Windows Server 2003, mais vous ne pouvez pas créer un
domaine à ce niveau.
Nouveaux Il existe de nouveaux niveaux fonctionnels pour Windows Server 2012 R2. De
niveaux nouvelles fonctionnalités sont disponibles au niveau fonctionnel de domaine
fonctionnels de Windows Server 2012 R2.
domaines et de
forêt
Modifications de Améliorations des performances au niveau de l'efficacité des recherches LDAP

l’optimiseur de et du temps de recherche LDAP pour les requêtes complexes.
requête LDAP
Améliorations de Les statistiques des résultats de recherche LDAP ont été ajoutées à l'ID
l'événement 1644 d'événement 1644 pour faciliter le dépannage.
Amélioration du Remplace le débit de réplication Active Directory maximal de 40 Mbits/s par

débit de 600 Mbits/s environ.
réplication Active
Directory
Nouveautés d’AD DS (Active Directory Domain

Services) dans Windows Server 2012
Le tableau suivant récapitule les nouvelles fonctionnalités pour les services de domaine
Active Directory dans Windows Server 2012, avec un lien vers des informations plus
détaillées le cas échéant. Pour obtenir une explication plus détaillée de certaines
fonctionnalités, notamment les conditions requises, consultez Nouveautés d’AD DS
(Active Directory Domain Services).
Activation basée sur Active Simplifie la tâche de configuration de la distribution et de la gestion

Directory ; voir Vue des licences de logiciels en volume.
d’ensemble de l’activation
en volume
Active Directory Ajoute l’installation du rôle via le Gestionnaire de serveur, une

Federation Services configuration d’approbation simplifiée, une gestion de la relation
(AD FS) d’approbation automatique, une prise en charge du protocole
SAML, et bien plus encore.
Événements de vidage des L’événement NTDS ISAM 530 avec erreur Jet -1119 est consigné
pages perdues Active pour détecter les événements de vidage des pages perdues dans les
Directory bases de données Active Directory.
Interface utilisateur de la Le Centre d’administration Active Directory ajoute une gestion

Corbeille Active Directory d’interface graphique utilisateur de la fonctionnalité Corbeille
introduite à l’origine dans Windows Server 2008 R2.
Applets de commande Prend en charge la création et la gestion des sites, liens de sites,
Windows PowerShell de objets de connexion Active Directory (entre autres) à l’aide de
topologie et de réplication Windows PowerShell.
Active Directory
Contrôle d'accès Nouvelle plateforme d’autorisation basée sur des revendications qui
dynamique améliore le modèle de contrôle d’accès hérité.
Interface utilisateur de la Le Centre d’administration Active Directory ajoute la prise en charge

stratégie de mot de passe d’interface graphique utilisateur pour la création, la modification et
affinée l’affectation des objets PSO ajoutés à l’origine dans Windows Server
2008.
Comptes de service Nouveau type de principal de sécurité connu sous le nom de

administrés de groupe compte de service administré de groupe. Les services exécutés sur
plusieurs hôtes peuvent être exécutés sous le même compte de
service administré de groupe.
Jonction de domaine hors Étend la jonction de domaine hors connexion en incluant les
connexion DirectAccess conditions préalables DirectAccess.
Déploiement rapide via le Les contrôleurs de domaine virtualisés peuvent être rapidement
clonage de contrôleur de déployés en clonant des contrôleurs de domaine virtuels existants à
domaine virtuel l’aide des applets de commande Windows PowerShell.
Modifications du pool RID Ajoute de nouveaux quotas et événements de contrôle pour

empêcher une consommation excessive du pool RID global. Double
éventuellement la taille du pool RID global si le pool d’origine est
épuisé.
Service de temps sécurisé Améliore la sécurité pour W32tm en supprimant des secrets du
réseau, en supprimant les fonctions de hachage MD5 et en
demandant au serveur de s’authentifier auprès des clients du service
de temps Windows 8
Protection des La restauration accidentelle des sauvegardes de captures

restaurations USN pour les instantanées des contrôleurs de domaine virtualisés ne provoque
contrôleurs de domaine plus de restauration USN.
virtualisés
Visionneuse de l’historique Permet aux administrateurs d’afficher les commandes Windows

de Windows PowerShell PowerShell exécutées lors de l’utilisation du Centre d’administration
Active Directory.
Maintenance automatique et modifications du

comportement de redémarrage après l'application des
mises à jour par Windows Update
Avant la version Windows 8, Windows Update gérait sa propre planification interne pour
rechercher les mises à jour, puis pour les télécharger et les installer. Pour cela, l'Agent de
mise à jour automatique Windows Update devait toujours être en cours d'exécution en
arrière-plan et utilisait de la mémoire ainsi que d'autres ressources système.
Windows 8 et Windows Server 2012 introduisent la nouvelle fonctionnalité de

maintenance automatique. La maintenance automatique consolide de nombreuses
fonctionnalités différentes qui géraient chacune leur propre logique de planification et
d'exécution. Cette consolidation permet à tous ces composants d’utiliser beaucoup
moins de ressources système, de fonctionner de façon cohérente, de respecter le nouvel
état Veille connectée pour les nouveaux types d’appareils et de consommer moins de
batterie sur les appareils mobiles.
Comme Windows Update fait partie de la maintenance automatique dans Windows 8 et

Windows Server 2012, sa propre planification interne pour définir un jour et une heure
d'installation des mises à jour n'est plus en vigueur. Pour garantir un comportement de
redémarrage cohérent et prévisible pour tous les appareils et ordinateurs de votre
entreprise, notamment ceux qui exécutent Windows 8 et Windows Server 2012, vous
pouvez configurer les paramètres de stratégie de groupe suivants :
Configuration de l'ordinateur|Stratégies|Modèles d'administration|Composants

Windows|Windows Update|Configuration du service Mises à jour automatiques
Windows|Windows Update|Pas de redémarrage automatique avec des
utilisateurs connectés
Windows|Planificateur de maintenance|Délai aléatoire de maintenance
Le tableau suivant répertorie certains exemples de configuration de ces paramètres pour

fournir le comportement de redémarrage souhaité.
Scénario Configuration(s) recommandée(s)
Gestion par WSUS Définition d'une installation automatique sur les ordinateurs, aucun
redémarrage automatique jusqu'au moment voulu
- Installer des mises à jour Stratégie: Configuration du service Mises à jour automatiques
une fois par semaine
(activée)
- Redémarrer l’appareil les
vendredis à 23:00 Configuration de la mise à jour automatique : 4 – Téléchargement
automatique et planification des installations
Stratégie : pas de redémarrage automatique avec des utilisateurs

connectés (désactivée)
Échéance WSUS : les vendredis à 23:00

Scénario Configuration(s) recommandée(s)
Gestion par WSUS Définition de groupes cibles pour différents groupes d'ordinateurs
qui doivent être mis à jour ensemble
- Échelonner les Utilisation des étapes ci-dessus pour le scénario précédent
installations sur différentes
heures/journées Définition de différentes échéances pour différents groupes cibles
Pas de gestion par WSUS, Stratégie: Configuration du service Mises à jour automatiques
pas de prise en charge des (activée)
échéances
Configuration de la mise à jour automatique : 4 – Téléchargement
- Échelonner les automatique et planification des installations
installations à différentes
heures Clé de Registre : Activez la clé de Registre présentée dans l’article
2835627
Stratégie : Délai aléatoire de maintenance automatique (activée)
Affectation de la valeur PT6H au Délai aléatoire de la maintenance

classique pour un délai aléatoire de 6 heures afin d'obtenir le
comportement suivant :
- Les mises à jour seront installées à l’heure de maintenance

configurée plus un délai aléatoire
- Le redémarrage de chaque ordinateur aura lieu exactement

3 jours plus tard
Vous pouvez également définir une heure de maintenance

différente pour chaque groupe d'ordinateurs
Pour plus d’informations sur la raison pour laquelle l’équipe d’ingénierie Windows a
implémenté ces modifications, consultez Comment réduire vos chances d’être invité à
redémarrer votre ordinateur.
Modifications apportées à l’installation du rôle

de serveur AD DS
De Windows Server 2003 à Windows Server 2008 R2, vous exécutiez la version x86 ou
X64 de l’outil en ligne de commande Adprep.exe avant d’exécuter l’Assistant Installation
de Active Directory, Dcpromo.exe, et Dcpromo.exe proposait des variantes facultatives
pour une installation à partir du support ou une installation sans assistance.
À compter de Windows Server 2012, les installations de ligne de commande sont

effectuées à l'aide du module ADDSDeployment dans Windows PowerShell. Des
promotions basées sur l’interface graphique utilisateur sont effectuées dans le
Gestionnaire de serveur à l’aide d’un Assistant Configuration des services de domaine
Active Directory entièrement nouveau. Pour simplifier le processus d’installation, la
commande ADPREP a été intégrée à l’installation des services de domaine Active
Directory et est exécutée automatiquement si nécessaire. L’Assistant Configuration AD
DS Windows PowerShell cible automatiquement les rôles de contrôleur de schéma et
maître d’infrastructure dans les domaines où les contrôleurs de domaine sont ajoutés,
puis exécute à distance les commandes ADPREP requises sur les contrôleurs de domaine
appropriés.
Les vérifications de configuration requise dans l’Assistant Installation des services de

domaine Active Directory identifient les erreurs potentielles avant le début de
l’installation. Les conditions d’erreur peuvent être corrigées pour éliminer les problèmes
résultant d’une mise à niveau partiellement terminée. L’Assistant exporte également un
script Windows PowerShell qui contient toutes les options qui ont été spécifiées
pendant l’installation graphique.
Dans leur ensemble, les modifications apportées à l'installation des services de domaine
Active Directory simplifient le processus d'installation du rôle de contrôleur de domaine
et réduisent la probabilité d'erreurs d'administration, en particulier quand vous déployez
plusieurs contrôleurs de domaine sur des régions et domaines globaux.
Pour obtenir
des informations plus détaillées sur l’interface graphique utilisateur et les installations
Windows PowerShell, notamment la syntaxe de ligne de commande et les instructions
pas à pas de l’Assistant, voir Installer les services de domaine Active Directory. Pour les
administrateurs qui veulent contrôler l’introduction des modifications de schéma dans
une forêt Active Directory indépendamment de l’installation des contrôleurs de domaine
Windows Server 2012 dans une forêt existante, les commandes Adprep.exe peuvent
toujours être exécutées à une invite de commandes avec élévation de privilèges.
Fonctionnalités déconseillées et modifications

de comportement associées aux services de
domaine Active Directory dans Windows Server
2012
Il existe quelques modifications associées aux services de domaine Active Directory :
Désapprobation d’Adprep32.exe
Il n'existe qu'une seule version d'Adprep.exe et elle peut être exécutée en
fonction des besoins sur des serveurs 64 bits qui exécutent Windows Server
2008 ou version ultérieure. Elle peut être exécutée à distance, et doit l’être si ce
rôle de maître d’opérations ciblé est hébergé sur un système d’exploitation 32
bits ou Windows Server 2003.
Désapprobation de Dcpromo.exe
Dcpromo est déconseillé, même s’il est toujours possible de l’exécuter dans
Windows Server 2012 uniquement avec un fichier de réponses ou des
paramètres de ligne de commande pour donner aux organisations le temps de
convertir l’automatisation existante vers les nouvelles options d’installation de
Windows PowerShell.
LMHash est désactivé sur les comptes d’utilisateurs
Les paramètres par défaut sécurisés dans les modèles de sécurité de Windows
Server 2008, Windows Server 2008 R2 et Windows Server 2012 activent la
stratégie NoLMHash qui est désactivée dans les modèles de sécurité des
contrôleurs de domaine Windows 2000 et Windows Server 2003. Désactivez la
stratégie NoLMHash pour les clients dépendants de LMHash en fonction des
besoins, en suivant les étapes décrites sur la page Comment empêcher
Windows de stocker un code de hachage du gestionnaire LAN de votre mot de
passe dans Active Directory et les bases de données SAM locales.
Depuis Windows Server 2008, les contrôleurs de domaine ont également les paramètres
par défaut sécurisés suivants, comparés aux contrôleurs de domaine exécutant Windows
Server 2003 ou Windows 2000 :
Type de Paramètre Paramètre Commentaire

chiffrement ou par par
stratégie défaut défaut
Windows Windows
Server Server
2008 2012 et
Windows
Server
2008 R2
AllowNT4Crypto Désactivé Désactivé Les clients du protocole SMB (Server Message

Block) tiers peuvent être incompatibles avec les
paramètres par défaut sécurisés sur les contrôleurs
de domaine. Dans tous les cas, la valeur de ces
paramètres peut être moins stricte pour permettre
l’interopérabilité, mais uniquement au détriment de
la sécurité. Pour plus d’informations, consultez
Désactiver le paramètre AllowNT4Crypto sur tous
les contrôleurs de domaine concernés dans la Base
de connaissances Microsoft (/services-
hub/unified/health/remediation-steps-ad/disable-
the-allownt4crypto-setting-on-all-affected-
domain-controllers).
Type de Paramètre Paramètre Commentaire
chiffrement ou par par
stratégie défaut défaut
Windows Windows
Server Server
2008 2012 et
Windows
Server
2008 R2
DES activé Désactivé Article 977321 de la Base de connaissances

Microsoft (https://go.microsoft.com/fwlink/?
LinkId=177717 )
Jeton de liaison N/A activé Consultez l’Avis de sécurité Microsoft Security

de (937811) (https://go.microsoft.com/fwlink/?
canal/Protection LinkId=164559 ) et l’article 976918 de la Base de
étendue pour connaissances Microsoft
l’authentification (https://go.microsoft.com/fwlink/?
intégrée LinkId=178251 ).
Passez en revue et installez le correctif logiciel dans

Installer les Service Packs et correctifs logiciels -
Client Windows (/troubleshoot/windows-
client/deployment/install-service-packs-hotfixes)
dans la Base de connaissances Microsoft si
nécessaire.
LMv2 activé Désactivé Article 976918 de la Base de connaissances

Microsoft (https://go.microsoft.com/fwlink/?
LinkId=178251 )
Système d'exploitation requis

La configuration minimale requise pour Windows Server 2012 est indiquée dans le
tableau ci-dessous. Pour plus d’informations sur la configuration requise et la
préinstallation, voir Installation de Windows Server 2012. Aucune configuration
supplémentaire n’est requise pour installer une nouvelle forêt Active Directory, mais
vous devez ajouter suffisamment de mémoire pour mettre en cache le contenu de la
base de données Active Directory afin d’améliorer les performances pour les contrôleurs
de domaine, les demandes de clients LDAP et les applications prenant en charge Active
Directory. Si vous mettez à niveau un contrôleur de domaine existant ou que vous
ajoutez un nouveau contrôleur de domaine à une forêt existante, passez en revue la
section suivante pour vous assurer que l'espace disque du serveur est suffisant.
Condition requise Valeur

Condition requise Valeur
Processeur Processeur 1,4 GHz 64 bits
Mémoire vive (RAM) 512 Mo
Espace disque spécifique requis 32 Go
Résolution de l’écran 800 x 600, ou supérieure
Dispositions diverses Lecteur de DVD, clavier, accès Internet
Espace disque requis pour la mise à niveau de contrôleurs

de domaine
Cette section traite des besoins en espace disque uniquement pour la mise à niveau des
contrôleurs de domaine à partir de Windows Server 2008 ou Windows Server 2008 R2 .
Pour plus d’informations sur l’espace disque requis pour mettre à niveau des contrôleurs
de domaine vers des versions antérieures de Windows Server, voir Espace disque requis
pour la mise à niveau vers Windows Server 2008 ou Espace disque requis pour la mise à
niveau vers Windows Server 2008 R2.
Dimensionnez le disque qui héberge la base de données Active Directory et les fichiers
journaux afin de prendre en compte les extensions de schéma personnalisées et pilotées
par l’application, les index initiés par l’administrateur et l’application, plus l’espace pour
les objets et attributs que vous ajouterez au répertoire pendant toute la durée du
déploiement du contrôleur de domaine (en général, 5 à 8 ans). Bien évaluer la taille du
disque au moment du déploiement est en général plus intéressant financièrement, car
les coûts supplémentaires qu’implique l’ajout de stockage sur disque après le
déploiement se révèlent plus élevés. Pour plus d’informations, voir Planification de la
capacité pour les services de domaine Active Directory.
Sur les contrôleurs de domaine que vous prévoyez de mettre à niveau, assurez-vous que
le lecteur qui héberge la base de données Active Directory (NTDS.DIT) dispose d'une
quantité d'espace disque disponible qui représente au moins 20 % du fichier NTDS.DIT
avant de lancer la mise à niveau du système d'exploitation. Si l’espace disque disponible
est insuffisant sur le volume, la mise à niveau peut échouer et le rapport de
compatibilité de la mise à niveau retourne une erreur indiquant que la quantité d’espace
disque disponible est insuffisante :
Dans ce cas, vous pouvez tenter de lancer une défragmentation hors connexion de la
base de données Active Directory pour libérer plus d’espace, puis réessayer la mise à
niveau. Pour plus d’informations, voir Compacter le fichier de base de données
d’annuaire (défragmentation hors connexion).
Références SKU disponibles

Il existe 4 éditions de Windows Server : Foundation, Essentials, Standard et Datacenter.
Les deux éditions qui prennent en charge le rôle AD DS sont Standard et Datacenter.
Dans les versions précédentes, les éditions de Windows Server étaient différentes dans
la prise en charge des rôles de serveur, le nombre de processeurs et la prise en charge
de grande mémoire. Les éditions Standard et Datacenter de Windows Server prennent
en charge toutes les fonctionnalités et le matériel sous-jacent, mais varient dans leurs
droits de virtualisation : deux instances virtuelles sont autorisées pour l’édition Standard
et un nombre illimité d’instances virtuelles est autorisé pour l’édition Datacenter.
Systèmes d'exploitation Windows Server et clients

Windows pris en charge pour rejoindre des domaines
Windows Server
Les systèmes d'exploitation Windows Server et clients Windows suivants sont pris en
charge pour des ordinateurs membres du domaine avec des contrôleurs de domaine qui
exécutent Windows Server 2012 ou version ultérieure :
Systèmes d'exploitation Windows Server : Windows Server 2012 R2, Windows

Server 2012, Windows Server 2008 R2, Windows Server 2008, Windows Server 2003
R2, Windows Server 2003
Chemins de mise à niveau sur place pris en

charge
Il est possible de mettre à niveau des contrôleurs de domaine qui exécutent des
versions 64 bits de Windows Server 2008 ou Windows Server 2008 R2 vers Windows
Server 2012. Vous ne pouvez pas mettre à niveau des contrôleurs de domaine qui
exécutent Windows Server 2003 ou des versions 32 bits de Windows Server 2008. Pour
les remplacer, installez des contrôleurs de domaine qui exécutent une version ultérieure
de Windows Server dans le domaine, puis supprimez les contrôleurs de domaine
Si vous exécutez ces éditions Vous pouvez effectuer une mise à niveau vers ces
éditions
Si vous exécutez ces éditions Vous pouvez effectuer une mise à niveau vers ces
éditions
Windows Server 2008 Standard avec SP2 Windows Server 2012 Standard

OR OR
Windows Server 2008 Entreprise avec Windows Server 2012 Datacenter

SP2
Windows Server 2008 Datacenter avec Windows Server 2012 Datacenter

SP2
Windows Web Server 2008 Windows Server 2012 Standard
Windows Server 2008 R2 Standard avec Windows Server 2012 Standard

SP1 OR
OR
Windows Server 2012 Datacenter
Windows Server 2008 R2 Entreprise avec
SP1
Windows Server 2008 R2 Datacenter Windows Server 2012 Datacenter

avec SP1
Windows Web Server 2008 R2 Windows Server 2012 Standard
Pour plus d’informations sur les chemins de mise à niveau pris en charge, voir Versions
d’évaluation et options de mise à niveau pour Windows Server 2012. Notez que vous ne
pouvez pas convertir un contrôleur de domaine qui exécute une version d’évaluation de
Windows Server 2012 directement en version commerciale. À la place, installez un
contrôleur de domaine supplémentaire sur un serveur qui exécute une version
commerciale, puis supprimez les services AD DS du contrôleur de domaine qui exécute
la version d’évaluation.
En raison d’un problème connu, vous ne pouvez pas mettre à niveau un contrôleur de
domaine qui exécute une installation minimale de Windows Server 2008 R2 vers une
installation minimale de Windows Server 2012. La mise à niveau se bloque sur un écran
noir vers la fin du processus de mise à niveau. Le redémarrage de ces contrôleurs de
domaine expose une option dans le fichier boot.ini pour restaurer la version de système
d’exploitation précédente. Un autre redémarrage déclenche la restauration automatique
de la version de système d’exploitation précédente. Tant qu’aucune solution ne sera
disponible, il est recommandé d’installer un nouveau contrôleur de domaine exécutant
une installation minimale de Windows Server 2012 au lieu d’effectuer une mise à niveau
sur place d’un contrôleur de domaine existant qui exécute une installation minimale de
Windows Server 2008 R2. Pour plus d’informations, voir l’article 2734222de la Base de
connaissances.
Fonctionnalités et exigences de niveau
fonctionnel
Windows Server 2012 nécessite un niveau fonctionnel de forêt Windows Server 2003.
Ainsi, avant d’ajouter un contrôleur de domaine qui exécute Windows Server 2012 à une
forêt Active Directory existante, le niveau fonctionnel de forêt doit être Windows
Server 2003 ou version supérieure. Cela signifie que les contrôleurs de domaine qui
exécutent Windows Server 2008 R2, Windows Server 2008 ou Windows Server 2003
peuvent fonctionner dans la même forêt, mais que les contrôleurs de domaine qui
exécutent Windows 2000 Server ne sont pas pris en charge et bloqueront l’installation
d’un contrôleur de domaine qui exécute Windows Server 2012. Si la forêt contient des
contrôleurs de domaine exécutant Windows Server 2003 ou version supérieure, mais
que le niveau fonctionnel de la forêt est toujours Windows 2000, l’installation est
également bloquée.
Les contrôleurs de domaine Windows 2000 doivent être supprimés avant d’ajouter des
contrôleurs de domaine Windows Server 2012 à votre forêt. Dans ce cas, examinez le
flux de travail suivant :
1. Installez des contrôleurs de domaine qui exécutent Windows Server 2003 ou

version supérieure. Ces contrôleurs de domaine peuvent être déployés sur une
version d’évaluation de Windows Server. Cette étape nécessite également l’
exécution d’adprep.exe pour cette version du système d’exploitation comme
condition préalable.
2. Supprimez les contrôleurs de domaine Windows 2000. Plus précisément,
rétrogradez correctement ou supprimez de force les contrôleurs de domaine
Windows Server 2000 dans le domaine et utilisez Utilisateurs et ordinateurs Active
Directory pour supprimer les comptes de tous les contrôleurs de domaine
supprimés.
3. Augmentez le niveau fonctionnel de la forêt à Windows Server 2003 ou version
ultérieure.
4. Installez des contrôleurs de domaine qui exécutent Windows Server 2012.
5. Supprimez les contrôleurs de domaine qui exécutent des versions précédentes de
Windows Server.
Le nouveau niveau fonctionnel de domaine Windows Server 2012 offre une nouvelle

fonctionnalité : la stratégie de modèles d’administration du centre de distribution de
clés Prise en charge du centre de distribution de clés pour les revendications,
l’authentification composée et le blindage Kerberos disposent de deux paramètres
(Toujours fournir des revendications et Rejeter les demandes d’authentification non
blindées) qui nécessitent le niveau fonctionnel de domaine Windows Server 2012.
Le niveau fonctionnel de forêt Windows Server 2012 ne fournit aucune nouvelle
fonctionnalité, mais il garantit que tout nouveau domaine créé dans la forêt fonctionne
automatiquement au niveau fonctionnel de domaine Windows Server 2012. Le niveau
fonctionnel de domaine Windows Server 2012 ne fournit aucune autre nouvelle
fonctionnalité au-delà de la prise en charge du centre de distribution de clés pour les
revendications, l’authentification composée et le blindage Kerberos. Il garantit toutefois
que tout contrôleur de domaine du domaine exécute Windows Server 2012. Pour plus
d’informations sur les autres fonctionnalités disponibles à différents niveaux
fonctionnels, voir Présentation des niveaux fonctionnels des services de domaine Active
Directory (AD DS).
Une fois une valeur attribuée au niveau fonctionnel de forêt, vous ne pouvez pas rétablir
sa valeur précédente ni la diminuer, avec les exceptions suivantes : quand vous
augmentez le niveau fonctionnel de forêt à Windows Server 2012, vous avez la
possibilité de le réduire à Windows Server 2008 R2. Si la Corbeille Active Directory n’a
pas été activée, vous pouvez également abaisser le niveau fonctionnel de la forêt de
Windows Server 2012 vers Windows Server 2008 R2 ou Windows Server 2008 ou à partir
de Windows Server 2008 R2 vers Windows Server 2008. Si le niveau fonctionnel de forêt
a la valeur Windows Server 2008 R2, il n’est pas possible de rétablir, par exemple, la
valeur Windows Server 2003.
Une fois une valeur attribuée au niveau fonctionnel de domaine, vous ne pouvez pas
rétablir sa valeur précédente ni le diminuer, avec les exceptions suivantes : quand vous
augmentez le niveau fonctionnel de domaine à Windows Server 2008 R2 ou Windows
Server 2012 et que le niveau fonctionnel de forêt correspond au plus à Windows
Server 2008, vous avez la possibilité de restaurer le niveau fonctionnel de domaine à
Windows Server 2008 ou Windows Server 2008 R2. Vous pouvez réduire le niveau
fonctionnel du domaine uniquement de Windows Server 2012 vers Windows
Server 2008 R2 ou Windows Server 2008 ou de Windows Server 2008 R2 vers Windows
Server 2008 . Si le niveau fonctionnel de domaine a la valeur Windows Server 2008 R2, il
n’est pas possible de rétablir, par exemple, la valeur Windows Server 2003.
Pour plus d’informations sur les fonctionnalités qui sont disponibles à des niveaux
fonctionnels inférieurs, voir Présentation des niveaux fonctionnels des services de
domaine Active Directory (AD DS).
Au-delà des niveaux fonctionnels, un contrôleur de domaine qui exécute Windows

Server 2012 fournit des fonctionnalités supplémentaires qui ne sont pas disponibles sur
un contrôleur de domaine exécutant une version antérieure de Windows Server. Par
exemple, un contrôleur de domaine qui exécute Windows Server 2012 peut être utilisé
pour le clonage de contrôleur de domaine virtuel, ce qui n’est pas possible avec un
contrôleur de domaine qui exécute une version antérieure de Windows Server.
Toutefois, le clonage et les protections de contrôleur de domaine virtuel dans Windows
Server 2012 n’ont aucune condition de niveau fonctionnel.
７ Notes
Microsoft Exchange Server 2013 exige un niveau fonctionnel de la forêt de

Windows Server 2003 ou version supérieure.
Interopérabilité des services de domaine Active

Directory avec d’autres rôles de serveur et
systèmes d’exploitation Windows
Les services de domaine Active Directory ne sont pas pris en charge sur les systèmes
d’exploitation Windows suivants :
Windows MultiPoint Server

Windows Server 2012 Essentials
Les services de domaine Active Directory ne peuvent pas être installés sur un serveur qui
exécute également les rôles de serveur ou services de rôle suivants :
Hyper-V Server
Service Broker pour les connexions Bureau à distance
Rôles de maître d’opérations

De nouvelles fonctionnalités dans Windows Server 2012 affectent les rôles de maître
d’opérations :
L’émulateur de contrôleur de domaine principal doit exécuter Windows

Server 2012 pour prendre en charge le clonage des contrôleurs de domaine
virtuels. Des conditions préalables sont requises pour le clonage de contrôleurs de
domaine virtuels. Pour plus d’informations, voir Virtualisation des services de
domaine Active Directory (AD DS).
De nouveaux principaux de sécurité sont créés quand l’émulateur de contrôleur de
domaine principal exécute Windows Server 2012.
Le maître RID dispose d’une nouvelle fonctionnalité d’émission et de surveillance
RID. Parmi les améliorations, citons une meilleure journalisation des événements,
des limites plus appropriées et la capacité, en cas d’urgence, d’augmenter
l’allocation globale du pool RID d’un bit. Pour plus d'informations, voir Gestion de
l'émission RID.
７ Notes
Bien qu’il ne s’agisse pas de rôles de maître d’opérations, le rôle Serveur DNS et le
catalogue global sont installés par défaut sur tous les contrôleurs de domaine
Windows Server 2012 pendant l’installation des services AD DS.
Virtualisation de contrôleurs de domaine

Les améliorations apportées aux services AD DS à compter de Windows Server 2012
permettent une virtualisation plus fiable des contrôleurs de domaine et la possibilité de
cloner des contrôleurs de domaine. Le clonage de contrôleurs de domaine permet
quant à lui de déployer rapidement des contrôleurs de domaine supplémentaires dans
un nouveau domaine et de profiter d’autres avantages. Pour plus d'informations, voir
Présentation de la virtualisation des services de domaine Active Directory (AD DS)
(niveau 100).
Administration de serveurs Windows Server

2012
Utilisez les Outils d’administration de serveur distant pour Windows 8 pour gérer les
contrôleurs de domaine et d’autres serveurs qui exécutent Windows Server 2012. Vous
pouvez exécuter les Outils d’administration de serveur distant Windows Server 2012 sur
un ordinateur Windows 8.
Compatibilité des applications

Le tableau suivant affiche des applications Microsoft intégrées à Active Directory
courantes. Le tableau indique les versions de Windows Server sur lesquelles les
applications peuvent être installées et si l’introduction des contrôleurs de domaine
Windows Server 2012 a une incidence sur la compatibilité des applications.
Produit Notes
Produit Notes
Microsoft Le Service Pack 2 de SharePoint 2010 est requis pour l’installation et les

SharePoint 2010 opérations
SharePoint 2010 sur les serveurs Windows Server 2012
SharePoint 2010 Foundation Service Pack 2 est requis pour installer et faire
fonctionner SharePoint 2010 Foundation sur les serveurs Windows Server 2012
Le processus d’installation de SharePoint Server 2010 (sans les Service Packs)

échoue sur Windows Server 2012
Le programme d’installation des prérequis de SharePoint Server 2010

(PrerequisiteInstaller.exe) échoue avec l’erreur « Ce programme présente des
problèmes de compatibilité ». Le fait de cliquer sur « Exécuter le programme
sans obtenir d’aide » affiche l’erreur « Vérification si SharePoint peut être
installé | SharePoint Server 2010 (sans Service Packs) ne peut pas être installé
sur Windows Server 2012. »
Microsoft Configuration minimale requise pour un serveur de base de données dans une
SharePoint 2013 batterie
Édition 64 bits de Windows Server 2008 R2 Service Pack 1 (SP1) Standard,
Entreprise ou Datacenter, ou édition 64 bits de Windows Server 2012 Standard
ou Datacenter
Configuration minimale requise pour un serveur unique avec une base de

données intégrée :

ou Datacenter
Configuration minimale requise pour des serveurs Web frontaux et des

serveurs d’applications dans une batterie :

ou Datacenter.
Produit Notes
Configuration Service Pack 1 de Configuration Manager 2012 :

Manager 2012 Microsoft ajoutera les systèmes d’exploitation suivants à notre matrice de prise
en charge des clients avec la mise sur le marché du Service Pack 1 :
- Windows 8 Professionnel
- Windows 8 Entreprise
- Windows Server 2012 Standard
- Windows Server 2012 Datacenter
Tous les rôles de serveur de site (notamment les serveurs de site, les
fournisseurs SMS et les points de gestion) peuvent être déployés sur des
serveurs avec les éditions des systèmes d’exploitation ci-dessous :
Microsoft Systèmes d’exploitation pris en charge pour les serveurs de système

Endpoint Configuration Manager.
Configuration
Manager
(branche
actuelle)
Microsoft Lync Lync Server 2013 requiert Windows Server 2008 R2 ou Windows Server 2012. Il
Server 2013 ne peut pas être exécuté sur une installation minimale Il peut être exécuté sur
des serveurs virtuels.
Lync Lync Server 2010 peut être installé sur une nouvelle installation (et non une
Server 2010 installation mise à niveau) de Windows Server 2012 si les mises à jour
cumulatives pour Lync Server datées d’octobre 2012 sont installées. La mise
à niveau du système d’exploitation vers Windows Server 2012 pour une
installation existante de Lync Server 2010 n’est pas prise en charge. Le serveur
de conversation de groupe Microsoft Lync Server 2010 n’est pas non plus pris
en charge sur Windows Server 2012.
System Center System Center 2012 Endpoint Protection Service Pack 1 mettra à jour la matrice
2012 Endpoint de prise en charge des clients pour inclure les systèmes d’exploitation suivants
Protection - Windows 8 Professionnel
- Windows 8 Entreprise
System Center FEP 2010 avec le correctif cumulatif 1 mettra à jour la matrice de prise en
2012 Forefront charge des clients pour inclure les systèmes d’exploitation suivants
Endpoint - Windows 8 Professionnel
Protection - Windows 8 Entreprise
Produit Notes
Forefront Threat L’exécution de TMG est prise en charge uniquement sur Windows Server 2008
Management et Windows Server 2008 R2. Pour plus d’informations, voir Configuration
Gateway (TMG) requise pour Forefront TMG.
Windows Server Cette version de WSUS prend déjà en charge les ordinateurs Windows 8 ou
Update Services Windows Server 2012 comme clients.
Services WSUS Mettre à jour l’article de la Base de connaissances 2734608 permet aux

(Windows serveurs exécutant Windows Server Update Services (WSUS) 3.0 SP2 de fournir
Server Update des mises à jour aux ordinateurs qui exécutent Windows 8 ou Windows
Services) 3.0 Server 2012 : Remarque : les clients qui disposent d’environnements
WSUS 3.0 SP2 autonomes ou Configuration Manager environnements Service
Pack 2 2007 avec WSUS 3.0 SP2 ont besoin de l’article 2734608 pour gérer
correctement les ordinateurs Windows 8 ou les ordinateurs Windows
Server 2012 en tant que clients.
Exchange 2013 Les éditions Standard et Datacenter de Windows Server 2012 sont prises en
charge pour les rôles suivants : contrôleur de schéma, serveur de catalogue
global, contrôleur de domaine, rôle de serveur de boîtes aux lettres et d’accès
au client
Niveau fonctionnel de forêt : Windows Server 2003 ou version ultérieure
Source : configuration requise pour Exchange 2013
Exchange 2010 Source : Exchange 2010 Service Pack 3
Exchange 2010 avec Service Pack 3 peut être installé sur les serveurs membres
Laconfiguration requise pour Exchange 2010 répertorie les derniers contrôleur

de schéma, serveur de catalogue global et contrôleur de domaine pris en
charge comme Windows Server 2008 R2.
Niveau fonctionnel de forêt : Windows Server 2003 ou version ultérieure
SQL Server 2012 Source : Article de la Base de connaissances 2681562
SQL Server 2012 RTM est pris en charge sur Windows Server 2012.
SQL Source : Article de la Base de connaissances 2681562

Server 2008 R2
Requiert SQL Server 2008 R2 avec Service Pack 1 ou version ultérieure pour
une installation sur Windows Server 2012.
Requiert SQL Server 2008 avec Service Pack 3 ou version ultérieure pour une
installation sur Windows Server 2012.
Produit Notes
Pas de prise en charge pour une installation sur Windows Server 2012.
Problèmes connus
Le tableau suivant répertorie les problèmes connus associés à l’installation d’AD DS :
Numéro et titre de Domaine Problème/description

l’article de la Base de technologique
connaissances concerné
2830145 : SID S-1-18-1 et Gestion des Les applications qui mappent SID S-1-18-1 et
SID S-1-18-2 ne peuvent services AD SID S-1-18-2, nouveautés de Windows Server
pas être mappés à des DS/Compatibilité 2012, risquent d'échouer car les identificateurs
ordinateurs Windows 7 ni des applications de sécurité (SID) ne peuvent pas être résolus
Windows Server 2008 R2 sur des ordinateurs Windows 7 ni Windows
dans un environnement de Server 2008 R2. Pour résoudre ce problème,
domaine installez le correctif logiciel sur les ordinateurs
Windows 7 et Windows Server 2008 R2 du
domaine.
2737129 : La préparation Installation des La commande Adprep /domainprep /gpprep

des stratégies de groupe services de n’est pas exécutée automatiquement dans le
n'est pas effectuée quand domaine Active cadre de l’installation du premier contrôleur de
vous préparez Directory domaine qui exécute Windows Server 2012
automatiquement un dans un domaine. Si elle n’a jamais été
domaine existant pour exécutée auparavant dans le domaine, elle doit
Windows Server 2012 être exécutée manuellement.
2737416: Le déploiement Installation des Des avertissements peuvent s’afficher pendant

de contrôleur de domaine services de la validation des conditions préalables, puis
Windows PowerShell domaine Active réapparaître pendant l’installation.
multiplie les avertissements Directory
2737424: L'erreur « Le Installation des Cette erreur s’affiche si vous supprimez le

format du nom de domaine services de dernier contrôleur d’un domaine dans lequel
spécifié n'est pas valide » domaine Active des comptes de contrôleur de domaine en
s'affiche quand vous tentez Directory lecture seule créés au préalable existent
de supprimer les services toujours. Ce problème concerne Windows
de domaine Active Server 2012, Windows Server 2008 R2 et
Directory d'un contrôleur Windows Server 2008.
de domaine
2737463 : Le contrôleur Installation des Un contrôleur de domaine ne démarre pas, car

de domaine ne démarre services de un administrateur a utilisé Dism.exe,
pas, l'erreur c00002e2 se domaine Active Pkgmgr.exe ou Ocsetup.exe pour supprimer le
produit ou le message « Directory rôle DirectoryServices-DomainController.
Choisir une option »
s'affiche
2737516 : Limites de la Installation des La vérification de l’installation à partir du

vérification de l'installation services de support peut avoir des limites, comme décrit
à partir du support dans le domaine Active dans l’article de la Base de connaissances.
Gestionnaire de serveur Directory
Windows Server 2012
2737535: L'applet de Installation des Une erreur peut s’afficher lorsque vous essayez
commande Install- services de d’attacher un serveur à un compte de
AddsDomainController domaine Active contrôleur de domaine en lecture seule si vous
retourne une erreur de Directory spécifiez des arguments qui figurent déjà sur ce
définition de paramètres compte créé au préalable.
pour le contrôleur de
domaine en lecture seule
2737560: Erreur « Installation des La vérification de la configuration requise

Impossible d'effectuer un services de échoue lorsque vous configurez le premier
contrôle de conflit de domaine Active contrôleur de domaine Windows Server 2012
schéma Exchange » et Directory dans un domaine existant, car les contrôleurs
échec de la vérification de de domaine n’ont pas le droit d’ouverture de
la configuration requise session SeServiceLogonRight pour le service
réseau, ou parce que les protocoles WMI ou
DCOM sont bloqués.
2737797: Le module Installation des Le paramètre –WhatIf indique que le serveur

AddsDeployment avec services de DNS ne sera pas installé, mais il le sera.
l'argument -Whatif affiche domaine Active
des résultats DNS Directory
incorrects
2737807: Le bouton Suivant Installation des Le bouton Suivant est désactivé sur la page
n'est pas disponible dans la services de Options du contrôleur de domaine, car
page Options du contrôleur domaine Active l’adresse IP du contrôleur de domaine cible ne
de domaine Directory mappe à aucun site ni sous-réseau existant, ou
parce que le mot de passe du mode de
restauration des services d’annuaire (DSRM)
n’est pas tapé et confirmé correctement.
2737935 : L'installation Installation des L’installation se bloque, car le mot de passe

d'Active Directory s'arrête services de Administrateur local correspond au mot de
au niveau de l'étape « domaine Active passe Administrateur de domaine, ou parce que
Création de l'objet Directory des problèmes réseau empêchent l’achèvement
Paramètres NTDS » de la réplication critique.
2738060: Le message Installation des Le message d’erreur s’affiche lorsque vous

d'erreur « Accès refusé » services de exécutez Install-ADDSDomain avec l’applet de
s'affiche quand vous créez domaine Active commande Invoke-Command si
un domaine enfant à Directory DNSDelegationCredential a un mot de passe
distance en utilisant Install- incorrect.
AddsDomain
2738697 : Erreur de Installation des Ce message d’erreur s’affiche lorsque vous

configuration du contrôleur services de essayez d’installer les services de domaine
de domaine « Le serveur domaine Active Active Directory sur un ordinateur de groupe
n'est pas opérationnel » Directory de travail, car l’authentification NTLM est
quand vous configurez un désactivée.
serveur à l'aide du
Gestionnaire de serveur
2738746 : Vous recevez Installation des Lorsque vous ouvrez une session à l’aide d’un
des erreurs d'accès refusé services de compte Administrateur local et non du compte
après avoir ouvert une domaine Active Administrateur intégré, puis créez un domaine,
session sur un compte de Directory le compte n’est pas ajouté au groupe
domaine d'administrateur Administrateurs du domaine.
local
2743345 : « Le fichier Installation des Ce message d’erreur s’affiche lorsque vous

spécifié est introuvable », services de exécutez adprep /gpprep, car le maître
erreur Adprep /gpprep, ou domaine Active d’infrastructure implémente un espace de noms
l'outil se bloque Directory dissocié
2743367 : Erreur Adprep « Installation des Ce message d’erreur s’affiche, car la commande
Pas une application Win32 services de Adprep Windows Server 2012 ne peut pas être
valide » sur Windows domaine Active exécutée sur Windows Server 2003.
Server 2003, version 64 bits Directory
2753560: Erreurs ADMT ADMT 3.2 ne peut pas être installé sur Windows
d'installation ADMT 3.2 et Server 2012 par conception.
PES 3.1 sur Windows Server
2012
2750857 : Les rapports de Réplication DFS Le rapport de diagnostic de la réplication DFS

diagnostic de la réplication ne s’affiche pas correctement en raison de
DFS ne s'affichent pas modifications dans Internet Explorer 10.
correctement dans Internet
Explorer 10
2741537: Les mises à jour Stratégie de Cela est dû à l’exécution de tâches planifiées
des stratégies de groupe à groupe dans le contexte de chaque utilisateur qui est
distance sont visibles pour connecté. La conception du Planificateur de
les utilisateurs tâches Windows requiert une invite interactive
dans ce scénario.
2741591: Les fichiers ADM Stratégie de La réplication de la stratégie de groupe peut

ne sont pas présents dans groupe signaler « Réplication en cours », car l’état
SYSVOL dans l'option de d’infrastructure de la console de gestion des
l'état d'infrastructure de la stratégies de groupe (GPMC) ne suit pas les
console de gestion des règles de filtrage personnalisées.
stratégies de groupe
(GPMC)
2737880 : Erreur « Clonage de Ce message d’erreur s’affiche lors de

Impossible de démarrer le contrôleur de l’installation ou de la suppression des services
service » lors de la domaine virtuel de domaine Active Directory, ou du clonage,
configuration des services car le service du serveur de rôles DS est
de domaine Active désactivé.
Directory
2742836: Deux baux DHCP Clonage de Cette situation se produit car le contrôleur de
sont créés pour chaque contrôleur de domaine cloné a reçu un bail avant le clonage
contrôleur de domaine domaine virtuel et un autre à la fin du clonage.
quand vous utilisez la
fonctionnalité de clonage
de contrôleur de domaine
virtuel
2742844: Le clonage de Clonage de Le contrôleur de domaine cloné démarre en

contrôleur de domaine contrôleur de mode de restauration des services d’annuaire
échoue et le serveur domaine virtuel (DSRM), car le clonage a échoué pour l’une des
redémarre en mode de raisons signalées dans l’article de la Base de
restauration des services connaissances.
d'annuaire (DSRM) dans
Windows Server 2012
2742874: Le clonage de Clonage de Certains noms de principal du service en trois

contrôleur de domaine ne contrôleur de parties ne sont pas recréés sur le contrôleur de
recrée pas tous les noms de domaine virtuel domaine cloné en raison d’une limitation
principal du service lorsque le domaine change de nom.
2742908 : Erreur « Aucun Clonage de Ce message d’erreur s’affiche lorsque vous

serveur d'accès n'est contrôleur de essayez d’ouvrir une session après le clonage
disponible » après le domaine virtuel d’un contrôleur de domaine virtualisé, car le
clonage de contrôleur de clonage a échoué et le contrôleur de domaine a
domaine démarré en mode de restauration des services
d’annuaire (DSRM). Ouvrez une session sous le
nom .\administrateur pour résoudre le
problème de clonage.
2742916: Le clonage de Clonage de Le clonage échoue, car l’émulateur de

contrôleur de domaine contrôleur de contrôleur de domaine principal (PDC) n’a pas
échoue avec l'erreur 8610 domaine virtuel effectué de réplication entrante de la partition
dans dcpromo.log de domaine, probablement parce que le rôle a
été transféré.
2742927: Erreur New- Clonage de L’erreur s’affiche une fois que vous avez
AdDcCloneConfig « L'index contrôleur de exécuté l’applet de commande New-
était hors limites » domaine virtuel ADDCCloneConfigFile lors du clonage de
contrôleurs de domaine virtuels, parce que
l’applet de commande n’a pas été exécutée à
partir d’une invite de commandes avec
élévation de privilèges ou parce que votre jeton
d’accès ne contient pas le groupe
Administrateurs.
2742959: Le clonage de Clonage de Le clonage a échoué parce qu’un nom de clone

contrôleur de domaine contrôleur de non valide ou un nom NetBIOS dupliqué a été
échoue avec l’erreur 8437 : domaine virtuel spécifié.
« Un paramètre non valide
a été spécifié pour cette
opération de réplication »
2742970: Le clonage de Clonage de Le contrôleur de domaine virtuel cloné démarre

contrôleur de domaine contrôleur de en mode de restauration des services
échoue sans mode de domaine virtuel d’annuaire (DSRM), en utilisant un nom
restauration des services dupliqué comme contrôleur de domaine
d'annuaire (DSRM), source source, car le fichier DCCloneConfig.xml n’a pas
dupliquée ni ordinateur été créé à l’emplacement approprié ou parce
clone que le contrôleur de domaine source a été
redémarré avant le clonage.
2743278: Erreur de clonage Clonage de Le contrôleur de domaine cloné démarre en

de contrôleur de domaine contrôleur de mode de restauration des services d’annuaire
0x80041005 domaine virtuel (DSRM) car un seul serveur WINS a été spécifié.
Si un serveur WINS est spécifié, des serveurs
WINS préféré et auxiliaire doivent tous deux
être spécifiés.
2745013: Message d'erreur Clonage de Ce message d’erreur s’affiche une fois que vous
« Le serveur n'est pas contrôleur de avez exécuté l’applet de commande New-
opérationnel » si vous domaine virtuel ADDCCloneConfigFile, car le serveur ne peut
exécutez New- pas contacter de serveur de catalogue global.
AdDcCloneConfigFile dans
Windows Server 2012
2747974: L'événement de Clonage de L’ID d’événement 2224 indique de façon

clonage de contrôleur de contrôleur de incorrecte que les comptes de service
domaine 2224 fournit des domaine virtuel administrés doivent être supprimés avant le
instructions incorrectes clonage. Les comptes de service administrés
autonomes doivent être supprimés, mais les
comptes de service administrés de groupe ne
bloquent pas le clonage.
2748266: Vous ne pouvez BitLocker Une erreur « Application introuvable » s’affiche

pas déverrouiller un lecteur lorsque vous essayez de déverrouiller un lecteur
chiffré par BitLocker après sur un ordinateur qui a été mis à niveau à partir
la mise à niveau vers de Windows 7.
Windows 8
Voir aussi
Ressources d’évaluation Windows Server 2012 Guide d’évaluation pour Windows
Server 2012 Installer et déployer Windows Server 2012
Administration simplifiée AD DS

Cette rubrique décrit les fonctions et les avantages du déploiement et de

l’administration de contrôleur de domaine Windows Server 2012 ainsi que les
différences entre le déploiement de contrôleur de domaine sur des systèmes
d’exploitation précédents et la nouvelle implémentation Windows Server 2012.
Windows Server 2012 a introduit la future génération de l’administration simplifiée des

services de domaine Active Directory et incarné la nouvelle conception de domaine la
plus radicale depuis Windows 2000 Server. L'administration simplifiée AD DS tire ses
enseignements de douze années d'Active Directory pour créer une expérience
d'administration mieux prise en charge, plus souple et plus intuitive pour les architectes
et administrateurs. Cela revient à créer des versions de technologies existantes ainsi qu'à
étendre les fonctions des composants fournis dans Windows Server 2008 R2.
L'administration simplifiée AD DS réinvente le déploiement de domaine.
Le déploiement de rôle AD DS fait maintenant partie de la nouvelle architecture de

Gestionnaire de serveur et permet une installation à distance.
Le moteur de configuration et de déploiement des services AD DS est maintenant
Windows PowerShell, même pendant l'utilisation du nouvel Assistant Configuration
des services de domaine Active Directory.
L'extension de schéma, la préparation de la forêt et la préparation du domaine font
automatiquement partie de la promotion du contrôleur de domaine et ne
nécessitent plus des tâches séparées sur des serveurs spéciaux tels que le
contrôleur de schéma.
La promotion inclut maintenant la vérification de la configuration requise qui
valide la disponibilité de la forêt et du domaine pour le nouveau contrôleur de
domaine, ce qui réduit le risque d'échec des promotions.
Le module Active Directory pour Windows PowerShell comprend maintenant des
applets de commande pour la gestion de la topologie et de la réplication, un
contrôle d'accès dynamique et d'autres opérations.
Le niveau fonctionnel de forêt Windows Server 2012 n'implémente pas de
nouvelles fonctionnalités et le niveau fonctionnel de domaine est requis
uniquement pour un sous-ensemble de nouvelles fonctionnalités Kerberos, ce qui
décharge les administrateurs du besoin fréquent d'un environnement de
contrôleur de domaine homogène.
Ajout de la prise en charge complète des contrôleurs de domaine virtualisés pour
inclure le déploiement automatisé et la protection des restaurations.
Pour plus d'informations sur les contrôleurs de domaine virtualisés, voir
Présentation de la virtualisation des services de domaine Active Directory
(AD DS) (niveau 100).
En outre, de nombreuses améliorations ont été apportées au niveau de l'administration

et de la maintenance :
Le Centre d'administration Active Directory inclut une Corbeille Active Directory

graphique, la gestion de la stratégie de mot de passe affinée et la Visionneuse de
l'historique Windows PowerShell.
Le nouveau Gestionnaire de serveur dispose d'interfaces spécifiques aux services
de domaine Active Directory pour l'analyse des performances, l'analyse des
meilleures pratiques, les services critiques et les journaux des événements.
Les comptes de service administrés de groupe prennent en charge plusieurs
ordinateurs avec les mêmes principaux de sécurité.
Améliorations apportées à l'émission d'identificateurs relatifs (RID, Relative
Identifier) et à l'analyse pour une plus grande facilité de gestion dans les domaines
Active Directory développés.
Les services AD DS tirent parti des autres nouvelles fonctionnalités incluses dans
Windows Server 2012, par exemple :
Association de cartes réseau et DCB (Data Center Bridging)

Sécurité DNS et disponibilité de zone intégrée à Active Directory plus rapide après
le démarrage
Améliorations de la fiabilité et de l'extensibilité Hyper-V
Déverrouillage réseau BitLocker
Autres modules d'administration de composants Windows PowerShell
Intégration d'ADPREP
La préparation du domaine et l'extension de schéma de la forêt Active Directory sont
maintenant intégrées au processus de configuration de contrôleur de domaine. Si vous
promouvez un nouveau contrôleur de domaine dans une forêt existante, le processus
détecte l'état de la mise à niveau et les phases de préparation du domaine et
d'extension de schéma se produisent automatiquement. L'utilisateur qui installe le
premier contrôleur de domaine Windows Server 2012 doit cependant être un
Administrateur de l'entreprise et Administrateur du schéma ou fournir d'autres
informations d'identification valides.
Adprep.exe demeure sur le DVD pour une préparation distincte du domaine et de la

forêt. La version de l'outil qui figure dans Windows Server 2012 est à compatibilité
descendante avec Windows Server 2008 x64 et Windows Server 2008 R2. Adprep.exe
prend également en charge les commandes forestprep et domainprep à distance, tout
comme les outils de configuration du contrôleur de domaine basé sur
ADDSDeployment.
Pour plus d’informations sur Adprep et la préparation de la forêt sur des systèmes
d’exploitation précédents, voir Exécution d’Adprep.exe (Windows Server 2008 R2).
Intégration des services de domaine Active

Directory au Gestionnaire de serveur
Le Gestionnaire de serveur joue le rôle de Hub pour les tâches de gestion de serveur.
Son aspect de style tableau de bord actualise régulièrement les vues des groupes de
serveurs distants et rôles installés. Le Gestionnaire de serveur offre une gestion
centralisée des serveurs locaux et distants, sans besoin d'accéder à la console.
Les services de domaine Active Directory représentent l’un de ces rôles de Hub ; en

exécutant le Gestionnaire de serveur sur un contrôleur de domaine ou les outils
d’administration de serveur distant sur Windows 8, vous voyez des problèmes récents et
importants sur les contrôleurs de domaine dans votre forêt.
Ces vues sont notamment les suivantes :
Disponibilité du serveur
Alertes de l'Analyseur de performances pour l'utilisation élevée de la mémoire et
du processeur
État des services Windows spécifiques aux services de domaine Active Directory
Entrées d'erreur et d'avertissement récentes liées aux services d'annuaire dans le
journal des événements
Analyse des meilleures pratiques d'un contrôleur de domaine par rapport à un
ensemble de règles recommandées par Microsoft
Corbeille du Centre d'administration Active

Directory
Windows Server 2008 R2 a introduit la Corbeille Active Directory, qui récupère les objets
Active Directory supprimés sans restauration à partir de la sauvegarde, redémarrage des
services de domaine Active Directory ni redémarrage des contrôleurs de domaine.
Windows Server 2012 améliore les fonctions de restauration Windows PowerShell

existantes avec une nouvelle interface graphique dans le Centre d'administration Active
Directory. Cela permet aux administrateurs d'activer la Corbeille et de localiser ou de
restaurer les objets supprimés dans les contextes de domaine de la forêt, le tout sans
exécuter directement les applets de commande Windows PowerShell. Le Centre
d'administration Active Directory et la Corbeille Active Directory utilisant toujours
Windows PowerShell en coulisse, les procédures et scripts précédents sont encore utiles.
Pour plus d’informations sur la Corbeille Active Directory, voir Guide pas à pas de la
corbeille Active Directory (Windows Server 2008 R2).
Stratégie de mot de passe affinée du Centre

Windows Server 2008 a introduit la stratégie de mot de passe affinée, qui permet aux
administrateurs de configurer plusieurs stratégies de verrouillage de compte et de mot
de passe par domaine. Les domaines disposent ainsi d'une solution flexible pour
appliquer des règles de mot de passe plus ou moins restrictives, selon les utilisateurs et
les groupes. Elle ne présentait aucune interface de gestionnaire et les administrateurs
devaient la configurer à l'aide de Ldp.exe ou d'Adsiedit.msc. Windows Server 2008 R2 a
introduit le module Active Directory pour Windows PowerShell, qui accordait aux
administrateurs une interface en ligne de commande pour la stratégie de mot de passe
affinée.
Windows Server 2012 apporte une interface graphique à la stratégie de mot de passe
affinée. Le Centre d'administration Active Directory abrite cette nouvelle boîte de
dialogue, qui offre une gestion simplifiée de la stratégie de mot de passe affinée à tous
les administrateurs.
Pour plus d’informations sur la stratégie de mot de passe affinée, voir Guide pas à pas
relatif à la configuration des stratégies de verrouillage de compte et de mot de passe
affinées (Windows Server 2008 R2).
Visionneuse de l'historique Windows

PowerShell du Centre d'administration Active
Directory
Windows Server 2008 R2 a introduit le Centre d'administration Active Directory, qui

remplaçait l'ancien composant logiciel enfichable Utilisateurs et ordinateurs Active
Directory créé dans Windows 2000. Le Centre d'administration Active Directory crée une
interface d'administration graphique pour le module Active Directory pour Windows
PowerShell alors tout nouveau.
Alors que le module Active Directory contient plus d'une centaine d'applets de
commande, le processus d'apprentissage pour un administrateur peut être difficile.
Comme Windows PowerShell est fortement intégré à la stratégie de l'administration
Windows, le Centre d'administration Active Directory comprend maintenant une
Visionneuse qui vous permet de voir l'exécution de l'applet de commande dans
l'interface graphique. Vous pouvez effectuer des recherches dans l'historique, le copier
et l'effacer ainsi qu'ajouter des remarques avec une simple interface. Le but pour un
administrateur est d'utiliser l'interface graphique pour créer et modifier des objets, puis
de les passer en revue dans la Visionneuse de l'historique pour en savoir plus sur les
scripts Windows PowerShell et modifier les exemples.
Réplication Active Directory avec Windows

PowerShell
Windows Server 2012 ajoute d'autres applets de commande de réplication Active

Directory au module Active Directory pour Windows PowerShell. Elles permettent la
configuration de sites, de sous-réseaux, de connexions, de liens de sites et de ponts
nouveaux ou existants. Elles retournent également des métadonnées de réplication
Active Directory, l'état de la réplication, la mise en file d'attente et les informations de
vecteur de version de mise à jour. L'introduction des applets de commande de
réplication, associée au déploiement et à d'autres applets de commande des services AD
DS existantes, permet d'administrer une forêt à l'aide de Windows PowerShell
uniquement. De nouvelles opportunités sont ainsi offertes aux administrateurs qui
veulent configurer et gérer Windows Server 2012 sans interface graphique ; la surface
d'attaque du système d'exploitation et les besoins en maintenance sont ainsi réduits.
Cela est particulièrement important pendant le déploiement de serveurs sur des réseaux
de haute sécurité, tels que SIPR (Secret Internet Protocol Router) et les réseaux DMZ
d'entreprise.
Pour plus d’informations sur la topologie et la réplication de site AD DS, voir

Informations techniques de référence sur Windows Server.
Améliorations apportées à l'émission et à la

gestion RID
Active Directory Windows 2000 a introduit le maître RID, qui émet des pools
d'identificateurs relatifs vers les contrôleurs de domaine pour créer des identificateurs
de sécurité (SID, Security Identifier) de clients approuvés de sécurité, tels que les
utilisateurs, groupes et ordinateurs. Par défaut, cet espace RID global est limité à 230 (ou
1 073 741 823) identificateurs SID au total créés dans un domaine. Les identificateurs
SID ne peuvent pas retourner au pool ni être émis à nouveau. Au fil du temps, un
domaine de grande taille peut commencer à manquer d'identificateurs RID, ou des
accidents peuvent aboutir à une diminution et un épuisement final des identificateurs
RID inutiles.
Windows Server 2012 traite un certain nombre des problèmes de gestion et d'émission
RID non abordés par les clients ni par le support technique Microsoft, car les services de
domaine Active Directory ont évolué depuis la création des premiers domaines Active
Directory en 1999. notamment :
Des avertissements liés à la consommation d'identificateurs RID périodiques sont

écrits dans le journal des événements.
Des événements sont consignés quand un administrateur invalide un pool RID.
Une limite maximale sur la taille de bloc RID de stratégie RID est maintenant
appliquée.
Des plafonds RID artificiels sont maintenant appliqués et consignés quand l'espace
RID global est faible, ce qui permet à un administrateur d'agir avant que l'espace
global ne soit épuisé.
L'espace RID global peut être augmenté d'un bit, ce qui double la taille à 231
(2 147 483 648 identificateurs SID)
Pour plus d’informations sur les identificateurs RID et le maître RID, voir Fonctionnement
des identificateurs de sécurité.
Architecture de gestion et de déploiement de

rôle AD DS
Le Gestionnaire de serveur et Windows PowerShell ADDSDeployment reposent sur les
principaux assemblys suivants pour les fonctions pendant le déploiement ou la gestion
du rôle AD DS :
Microsoft.ADroles.Aspects.dll
Microsoft.ADroles.Instrumentation.dll
Microsoft.ADRoles.ServerManager.Common.dll
Microsoft.ADRoles.UI.Common.dll
Microsoft.DirectoryServices.Deployment.Types.dll
Microsoft.DirectoryServices.ServerManager.dll
Addsdeployment.psm1
Addsdeployment.psd1
Les deux s'appuient sur Windows PowerShell et sa commande invoke-command
distante pour l'installation et la configuration de rôle à distance.
Windows Server 2012 refactorise également certaines opérations de promotion

précédentes hors de LSASS.EXE, dans le cadre :
du service de serveur de rôles du service d'annuaire (DsRoleSvc) ;

de DSRoleSvc.dll (chargé par le service DsRoleSvc).
Ce service doit être présent et en cours d'exécution pour promouvoir, rétrograder ou

cloner des contrôleurs de domaine virtuels. L'installation de rôle AD DS ajoute ce service
et définit le type de démarrage Manuel par défaut. Ne désactivez pas ce service.
Architecture de vérification de la configuration

requise et ADPrep
Il n'est plus nécessaire d'exécuter Adprep sur le contrôleur de schéma. Il peut être
exécuté à distance à partir d'un ordinateur qui exécute Windows Server 2008 x64 ou
version ultérieure.
７ Notes
Adprep utilise LDAP pour importer des fichiers Schxx.ldf et ne se reconnecte pas
automatiquement si la connexion au contrôleur de schéma est perdue pendant
l'importation. Dans le cadre du processus d'importation, le contrôleur de schéma
est défini dans un mode spécifique et la reconnexion automatique est désactivée,
car elle n'est pas rétablie dans le mode spécifique si LDAP se reconnecte une fois la
connexion perdue. Dans ce cas, le schéma n'est pas correctement mis à jour.
La vérification de la configuration requise permet de garantir que certaines conditions

sont remplies. Ces conditions sont requises pour la réussite de l'installation des services
de domaine Active Directory. Si certaines conditions requises ne sont pas remplies, elles
peuvent être résolues avant de poursuivre l'installation. Cette vérification détecte
également si une forêt ou un domaine ne sont pas encore préparés pour que le code de
déploiement Adprep soit automatiquement exécuté.
Exécutables ADPrep, DLL, LDF, fichiers

ADprep.dll
Ldifde.dll
Csvde.dll
Sch14.ldf - Sch56.ldf
Schupgrade.cat
*dcpromo.csv
Le code de préparation Active Directory auparavant hébergé dans ADprep.exe est

refactorisé en adprep.dll. Cela permet à la fois à ADPrep.exe et au module Windows
PowerShell ADDSDeployment d'utiliser la bibliothèque pour les mêmes tâches et d'avoir
les mêmes fonctions. Adprep.exe est inclus avec le support d'installation, mais les
processus automatisés ne l'appellent pas directement ; seul un administrateur l'exécute
manuellement. Il ne peut être exécuté que sur les systèmes d'exploitation Windows
Server 2008 x64 et ultérieurs. Ldifde.exe et csvde.exe disposent également de versions
refactorisées en tant que DLL chargées par le processus de préparation. L'extension de
schéma utilise toujours les fichiers LDF dont la signature est vérifiée, comme dans les
versions précédentes du système d'exploitation.
） Important
Il n'existe pas d'outil Adprep32.exe 32 bits pour Windows Server 2012. Vous devez
disposer d'au moins un ordinateur Windows Server 2008 x64, Windows Server 2008
R2 ou Windows Server 2012 qui fonctionne en tant que contrôleur de domaine,
serveur membre ou dans un groupe de travail pour préparer la forêt et le domaine.
Adprep.exe ne s'exécute pas sur Windows Server 2003 x64.
Vérification de la configuration requise
Le système de vérification de la configuration requise intégré au code managé Windows
PowerShell ADDSDeployment fonctionne dans différents modes, selon l'opération. Les
tableaux ci-dessous décrivent chaque test et son utilisation, et fournissent une
description du mode de validation et des éléments validés. Ces tableaux peuvent être
utiles si vous rencontrez des problèmes quand la validation échoue et que l'erreur ne
suffit pas à résoudre le problème.
Ces tests sont consignés dans le canal du journal des événements opérationnel
DirectoryServices-Deployment sous la catégorie de tâche Core, toujours en tant qu'ID
d'événement 103.
Configuration requise Windows PowerShell

Il existe des applets de commande Windows PowerShell ADDSDeployment pour toutes
les applets de commande de déploiement de contrôleur de domaine. Elles ont
approximativement les mêmes arguments que leurs applets de commande associées.
Test-ADDSDomainControllerInstallation
Test-ADDSDomainControllerUninstallation
Test-ADDSDomainInstallation
Test-ADDSForestInstallation
Test-ADDSReadOnlyDomainControllerAccountCreation
D'ordinaire, il n'est pas nécessaire d'exécuter ces applets de commande ; elles

s'exécutent déjà automatiquement avec les applets de commande de déploiement par
défaut.
Tests de configuration requise
Nom du test Protocoles Description et remarques

utilisés
utilisés
VerifyAdminTrusted LDAP Valide que vous disposez du privilège « Permettre à

ForDelegationProvider l'ordinateur et aux comptes d'utilisateurs d'être
approuvés pour la délégation »
(SeEnableDelegationPrivilege) sur le contrôleur de
domaine partenaire existant. L'accès à votre attribut
tokenGroups construit est requis.
Ce test n'est pas utilisé pour les communications avec
les contrôleurs de domaine Windows Server 2003. Vous
devez manuellement confirmer ce privilège avant la
promotion
VerifyADPrep LDAP Détecte et contacte le contrôleur de schéma à l'aide de

Conditions préalables l'attribut namingContexts rootDSE et de l'attribut
(forêt) fsmoRoleOwner du contexte de nommage de schéma.
Identifie les opérations préparatoires (forestprep,
domainprep ou rodcprep) requises pour l'installation
des services AD DS. Valide que l'attribut objectVersion
du schéma est prévu et vérifie si une extension
supplémentaire est requise.
VerifyADPrep LDAP Détecte et contacte le maître d'infrastructure à l'aide de

Conditions préalables l'attribut namingContexts rootDSE et de l'attribut
(domaine et contrôleur fsmoRoleOwner du conteneur d'infrastructure. Dans le
de domaine en lecture cas de l'installation d'un contrôleur de domaine en
seule) lecture seule, ce test détecte le maître d'opérations des
noms de domaine et s'assure qu'il est en ligne.
CheckGroup LDAP, Valide que l'utilisateur est membre du groupe Admins

Adhésion RPC sur du domaine ou Administrateurs de l'entreprise, en
SMB fonction de l'opération (Admins du domaine pour l'ajout
(LSARPC) ou la rétrogradation d'un contrôleur de domaine,
Administrateurs de l'entreprise pour l'ajout ou la
suppression d'un domaine)
CheckForestPrep LDAP, Valide que l'utilisateur est membre des groupes

GroupMembership RPC sur Administrateurs de l'entreprise et Administrateurs du
SMB schéma, et qu'il dispose du privilège Gérer le journal
(LSARPC) d'audit et de la sécurité (SesScurityPrivilege) sur les
contrôleurs de domaine existants
CheckDomainPrep LDAP, Valide que l'utilisateur est membre du groupe Admins

GroupMembership RPC sur du domaine et qu'il dispose du privilège Gérer le journal
SMB d'audit et de la sécurité (SesScurityPrivilege) sur les
(LSARPC) contrôleurs de domaine existants
utilisés
CheckRODCPrep LDAP, Valide que l'utilisateur est membre du groupe

GroupMembership RPC sur Administrateurs de l'entreprise et qu'il dispose du
SMB privilège Gérer le journal d'audit et de la sécurité
(LSARPC) (SesScurityPrivilege) sur les contrôleurs de domaine
existants
VerifyInitSync LDAP Valide que le contrôleur de schéma a été répliqué au

AfterReboot moins une fois depuis son redémarrage en définissant
une valeur factice sur l'attribut rootDSE
becomeSchemaMaster
VerifySFUHotFix LDAP Valide que le schéma de la forêt existant ne contient pas

Applied l’extension SFU2 de problème connu pour l’attribut UID
avec l’OID 1.2.840.113556.1.4.7000.187.102
(Impact des modifications de schéma -
Applications Win32)
VerifyExchange LDAP, Valide que le schéma de la forêt existant ne contient pas

SchemaFixed WMI, encore les extensions Exchange 2000 des problèmes
DCOM, ms-Exch-Assistant-Name, ms-Exch-LabeledURI et ms-
RPC Exch-House-Identifier (À propos des extensions de
schéma - Configuration Manager)
VerifyWin2KSchema LDAP Valide que le schéma de la forêt existant a des attributs

Cohérence et classes de base cohérents (qui ne sont pas modifiés
de façon incorrecte par un tiers).
DCPromo DRSR sur Valide la syntaxe de ligne de commande passée au code

RPC, de promotion et à la promotion de test. Valide que la
LDAP, forêt ou le domaine n'existe pas déjà si vous en créez
un.
DNS
RPC sur
SMB
(SAMR)
VerifyOutbound LDAP, Valide que la réplication sortante du contrôleur de

ReplicationEnabled DRSR sur domaine existant spécifié comme partenaire de
SMB, RPC réplication est activée en vérifiant l'attribut des options
sur SMB de l'objet Paramètres NTDS pour
(LSARPC) NTDSDSA_OPT_DISABLE_OUTBOUND_REPL
(0x00000004)
utilisés
VerifyMachineAdmin DRSR sur Valide que le mot de passe du mode sans échec défini
Mot de passe RPC, pour DSRM répond aux exigences de complexité pour
LDAP, les domaines.
DNS
RPC sur
SMB
(SAMR)
VerifySafeModePassword N/A Valide que le mot de passe d'administrateur local défini

répond aux exigences de complexité de la stratégie de
sécurité de l'ordinateur.
Annexe une Administration simplifiée

Boîte de dialogue Ajouter des serveurs du Gestionnaire de serveur

(Active Directory)
État des serveurs distants dans le Gestionnaire de serveur
Chargement du module Windows PowerShell
Correctifs logiciels relatifs à l’émission RID pour les systèmes d’exploitation

antérieurs
Modifications de la méthode d’installation à partir du support (Install From Media)

de Ntdsutil.exe
Boîte de dialogue Ajouter des serveurs du

Gestionnaire de serveur (Active Directory)
La boîte de dialogue Ajouter des serveurs permet de rechercher des serveurs dans
Active Directory par système d’exploitation, à l’aide de caractères génériques et par
emplacement. La boîte de dialogue permet également d’utiliser des requêtes DNS par
nom de domaine complet ou nom de préfixe. Ces recherches utilisent des protocoles
DNS et LDAP natifs implémentés avec .NET et non AD Windows PowerShell sur la
passerelle de gestion AD avec SOAP. Ainsi, les contrôleurs de domaine contactés par le
Gestionnaire de serveur peuvent même exécuter Windows Server 2003. Vous pouvez
également importer un fichier avec des noms de serveur à des fins de provisionnement.
La recherche Active Directory utilise les filtres LDAP suivants :
(&(ObjectCategory=computer)
(&(ObjectCategory=computer)(cn=dc*)(OperatingSystemVersion=6.2*))
(&(ObjectCategory=computer)(OperatingSystemVersion=6.1*))
(&(ObjectCategory=computer)(OperatingSystemVersion=6.0*))
(&(ObjectCategory=computer)(|(OperatingSystemVersion=5.2*)
(OperatingSystemVersion=5.1*)))
La recherche Active Directory retourne les attributs suivants :
( dnsHostName )( operatingSystem )( cn )
État des serveurs distants dans le Gestionnaire

de serveur
Le Gestionnaire de serveur teste l’accessibilité des serveurs distants à l’aide du protocole
de routage d’adresse (ARP, Address Routing Protocol). Les serveurs qui ne répondent
pas aux requêtes ARP ne sont pas listés, même s’ils se trouvent dans le pool.
Si ARP répond, des connexions DCOM et WMI sont établies avec le serveur pour
retourner des informations d’état. Si RPC, DCOM et WMI sont inaccessibles, le
Gestionnaire de serveur ne peut pas gérer pleinement le serveur.
Chargement du module Windows PowerShell

Windows PowerShell 3.0 implémente le chargement de module dynamique. L’utilisation
de la cmdlet Import-Module n’est généralement plus nécessaire : le simple appel de la
cmdlet, de l’alias ou de la fonction charge automatiquement le module.
Pour voir les modules chargés, utilisez la cmdlet Get-Module.
Get-Module
Pour voir tous les modules installés avec leurs cmdlets et fonctions exportées, utilisez :
Get-Module -ListAvailable
La commande import-module est principalement utilisée quand vous devez accéder à

l’unité virtuelle Windows PowerShell « AD: » et que rien d’autre n’a déjà chargé le
module, par exemple, avec les commandes suivantes :
cd ad:
dir
Correctifs logiciels relatifs à l’émission RID pour

les systèmes d’exploitation antérieurs
Consultez Une mise à jour est disponible pour détecter et éviter une consommation trop
importante du pool RID global sur un contrôleur de domaine exécutant
Windows Server 2008 R2 .
Modifications de la méthode d’installation à
partir du support (Install From Media) de
Ntdsutil.exe
Windows Server 2012 ajoute deux options à l’outil en ligne de commande Ntdsutil.exe
pour le menu IFM (IFM Media Creation). Celles-ci vous permettent de créer des
magasins IFM sans effectuer au préalable une défragmentation hors connexion du
fichier de base de données NTDS.DIT exporté. Quand l’espace disque n’est pas
premium, cela permet de créer l’IFM plus rapidement.
Le tableau suivant décrit les deux nouveaux éléments de menu :
Élément de Explication
menu
Create Full Crée un support IFM sans défragmentation pour un contrôleur de domaine
NoDefrag %s AD complet ou une instance AD/LDS dans le dossier %s
Create Sysvol Full Crée un support IFM avec SYSVOL et sans défragmentation pour un
NoDefrag %s contrôleur de domaine AD complet dans le dossier %s
Installer les services de domaine Active
Directory (niveau 100)
Article • 11/04/2023
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows

Server 2012 R2, Windows Server 2012
Cette rubrique explique comment installer les services AD DS dans Windows Server 2012 à l’aide de
l’une des méthodes suivantes :
Informations d’identification requises pour exécuter Adprep.exe et installer les services de

Installation des services AD DS à l’aide de Windows PowerShell
Installation des services AD DS à l’aide du Gestionnaire de serveur
Installation intermédiaire d’un contrôleur de domaine à l’aide de l’interface utilisateur graphique
Informations d’identification requises pour exécuter

Adprep.exe et installer les services de domaine
Active Directory
Les informations d’identification suivantes sont requises pour exécuter Adprep.exe et installer les
services AD DS.
Pour installer une nouvelle forêt, vous devez avoir ouvert une session en tant qu’administrateur
local de l’ordinateur.
Pour installer un nouveau domaine enfant ou une nouvelle arborescence de domaine, vous devez
avoir ouvert une session en tant que membre du groupe Administrateurs de l’entreprise.
Pour installer un autre contrôleur de domaine dans un domaine existant, vous devez être membre
du groupe Admins du domaine.
７ Notes
Si vous n’exécutez pas la commande adprep.exe séparément et que vous installez le premier
contrôleur de domaine Windows Server 2012 dans un domaine ou une forêt existant, vous
serez invité à fournir des informations d’identification pour exécuter les commandes Adprep.
Les informations d’identification requises sont les suivantes :
Pour introduire le premier contrôleur de domaine Windows Server 2012 dans la forêt,

vous devez fournir les informations d’identification d’un membre du groupe
Administrateurs de l’entreprise, du groupe Administrateurs du schéma et du groupe
Admins du domaine dans le domaine qui héberge le contrôleur de schéma.
Pour introduire le premier contrôleur de domaine Windows Server 2012 dans un domaine,
vous devez fournir les informations d’identification d’un membre du groupe Admins du
domaine.
Pour introduire le premier contrôleur de domaine en lecture seule (RODC) dans la forêt,
vous devez fournir les informations d’identification d’un membre du groupe
Administrateurs de l’entreprise.
７ Notes
Si vous avez déjà exécuté adprep /rodcprep dans Windows Server 2008 ou Windows
Server 2008 R2, il est inutile de l’exécuter à nouveau pour Windows Server 2012.
Installation des services AD DS à l’aide de Windows

PowerShell
À compter de Windows Server 2012, vous pouvez installer les services AD DS à l’aide de Windows
PowerShell. L’utilisation de dcpromo.exe est déconseillée à compter de Windows Server 2012, mais
vous pouvez toujours exécuter dcpromo.exe à l’aide d’un fichier de réponses (dcpromo /unattend:
<fichier_de_réponses> ou dcpromo /answer:<fichier_de_réponses>). La possibilité d’exécuter
dcpromo.exe avec un fichier de réponses donne aux organisations ayant investi des ressources dans la
création d’une automatisation avec dcpromo.exe le temps de convertir l’automatisation existante vers
Windows PowerShell. Pour plus d’informations sur l’exécution de dcpromo.exe avec un fichier de
réponses, voir https://support.microsoft.com/kb/947034 .
Pour plus d’informations sur la suppression des services AD DS à l’aide de Windows PowerShell, voir
Supprimer les services AD DS à l’aide de Windows PowerShell .
Commencez par ajouter le rôle à l’aide de Windows PowerShell. Cette commande installe le rôle
serveur AD DS ainsi que les outils d’administration de serveur AD DS et AD LDS, y compris des outils
basés sur une interface utilisateur graphique tels qu’Utilisateurs et ordinateurs Active Directory et des
outils de ligne de commande tels que dcdia.exe. Les outils d’administration de serveur ne sont pas
installés par défaut lorsque vous utilisez Windows PowerShell. Vous devez spécifier
IncludeManagementTools pour gérer le serveur local ou installer les Outils d’administration de serveur
distant pour gérer un serveur distant.
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
<<Windows PowerShell cmdlet and arguments>>
Aucun redémarrage n’est requis avant la fin de l’installation des services AD DS.
Vous pouvez alors exécuter cette commande pour voir les applets de commande disponibles dans le
module ADDSDeployment.
Get-Command -Module ADDSDeployment
Pour afficher la liste des arguments que vous pouvez spécifier pour les applets de commande et la
syntaxe à utiliser :
Get-Help <cmdlet name>
Par exemple, pour afficher les arguments à utiliser pour créer un compte de contrôleur de domaine en
lecture seule (RODC) inoccupé, tapez :
Get-Help Add-ADDSReadOnlyDomainControllerAccount
Les arguments facultatifs apparaissent entre crochets.
Vous pouvez également télécharger les derniers exemples et concepts d’aide pour les applets de
commande Windows PowerShell. Pour plus d’informations, voir about_Updatable_Help.
Vous pouvez exécuter les applets de commande Windows PowerShell sur des serveurs distants :
Dans Windows PowerShell, utilisez Invoke-Command avec l’applet de commande

ADDSDeployment. Par exemple, pour installer les services AD DS sur un serveur distant nommé
ConDC3 dans le domaine contoso.com, tapez :
Invoke-Command { Install-ADDSDomainController -DomainName contoso.com -Credential

(Get-Credential) } -ComputerName ConDC3
-ou-
Dans le Gestionnaire de serveur, créez un groupe de serveurs qui inclut le serveur distant. Cliquez
avec le bouton droit sur le nom du serveur distant, puis cliquez sur Windows PowerShell.
Les sections suivantes expliquent comment exécuter les applets de commande du module
ADDSDeployment pour installer les services AD DS.
Arguments de l’applet de commande ADDSDeployment
Spécification des informations d’identification Windows PowerShell
Utilisation d’applets de commande de test
Installation d’un nouveau domaine racine de forêt à l’aide de Windows PowerShell
Installation d’un nouveau domaine enfant ou domaine d’arborescence à l’aide de Windows

PowerShell
Installation d’un contrôleur de domaine supplémentaire (réplica) à l’aide de Windows PowerShell
Arguments de l’applet de commande ADDSDeployment

Le tableau suivant répertorie les arguments de l’applet de commande ADDSDeployment dans
Windows PowerShell. Les arguments en gras sont requis. Les arguments équivalents pour dcpromo.exe
sont répertoriés entre parenthèses s’ils sont nommés différemment dans Windows PowerShell.
Les commutateurs Windows PowerShell acceptent les arguments $TRUE ou $FALSE. Les arguments qui
sont $TRUE par défaut n’ont pas besoin d’être spécifiés.
Pour remplacer des valeurs par défaut, vous pouvez spécifier l’argument avec une valeur $False. Par
exemple, l’argument -InstallDNS étant exécuté automatiquement lors de l’installation d’une nouvelle
forêt même s’il n’est pas spécifié, la seule façon d’empêcher l’installation DNS lorsque vous installez
une nouvelle forêt est d’utiliser ce qui suit :
-InstallDNS:$False
De même, étant donné que l’argument -InstallDNS a par défaut la valeur $False si vous installez un
contrôleur de domaine dans un environnement qui n’héberge pas le serveur DNS Windows Server,
vous devez spécifier l’argument suivant pour installer le serveur DNS :
-InstallDNS:$True
Argument Description
ADPrepCredential <Justificatif PS>Remarque : Spécifie le compte appartenant au groupe Administrateurs de

Requis si vous installez le premier contrôleur de l’entreprise et Administrateurs du schéma qui peut préparer la forêt
domaine Windows Server 2012 dans un domaine selon les règles de Get-Credential et un objet PSCredential.
ou une forêt et que les informations d’identification
de l’utilisateur actuel sont insuffisantes pour Si aucune valeur n’est spécifiée, la valeur de l’argument credential
effectuer l’opération. est utilisée.
AllowDomainControllerReinstall Indique si l’installation de ce contrôleur de domaine accessible en

écriture doit se poursuivre même si autre compte de contrôleur de
domaine accessible en écriture du même nom a été détecté.
Utilisez $True uniquement si vous êtes sûr que le compte n’est pas
actuellement utilisé par un autre contrôleur de domaine accessible
en écriture.
La valeur par défaut est $False.
Cet argument n’est pas valide pour un contrôleur de domaine en

lecture seule.
AllowDomainReinstall Indique si un domaine existant est recréé.

La valeur par défaut est $False.
AllowPasswordReplicationAccountName <string []> Spécifie les noms des comptes d’utilisateur, des comptes de groupe
et des comptes d’ordinateur dont les mots de passe peuvent être
répliqués sur ce contrôleur de domaine en lecture seule. Utilisez une
chaîne vide "" si vous voulez que la valeur reste vide. Par défaut, seul
le « Groupe de réplication dont le mot de passe RODC est autorisé »
est autorisé et il est vide à l’origine.
Spécifiez les valeurs sous forme d’un tableau de chaînes. Par
exemple :
Code -AllowPasswordReplicationAccountName
"JSmith","JSmithPC","Branch Users"
ApplicationPartitionsToReplicate <string Spécifie les partitions de l’annuaire d’applications à répliquer. Cet

[]>Remarque : Il n’existe aucune option équivalente argument est uniquement appliqué lorsque vous spécifiez
dans l’interface utilisateur. Si vous procédez à l’argument -InstallationMediaPath pour effectuer l’installation à
l’installation à l’aide de l’interface utilisateur ou de partir du support. Par défaut, toutes les partitions d’application sont
l’option Installation à partir du support, toutes les répliquées selon leur propre étendue.
partitions d’application sont alors répliquées.
exemple :
Code -
-
ApplicationPartitionsToReplicate "partition1","partition2","partition3"
Confirmer Vous demande une confirmation avant d’exécuter l’applet de

commande.
CreateDnsDelegation Remarque : Vous ne pouvez Indique si une délégation DNS qui référence le nouveau serveur
pas spécifier cet argument lorsque vous exécutez DNS que vous installez avec le contrôleur de domaine doit être
l’applet de commande Add- créée. Valide uniquement pour un serveur DNS intégré à
ADDSReadOnlyDomainController. Active Directory. Les enregistrements de délégation ne peuvent être
créés que sur des serveurs DNS Microsoft qui sont en ligne et
accessibles. Il est impossible de créer des enregistrements de
délégation pour des domaines qui sont immédiatement
subordonnés à des domaines de premier niveau tels que .com, .gov,
.biz, .edu ou à des domaines dont l’indicatif de pays comporte deux
lettres, tels que .nz et .au.
La valeur par défaut est calculée automatiquement en fonction de
l’environnement.
Justificatifs <Justificatifs PS>Remarque : Requis Spécifie le compte de domaine qui peut se connecter au domaine
uniquement si les informations d’identification de selon les règles de Get-Credential et un objet PSCredential.
l’utilisateur actuel sont insuffisantes pour effectuer
l’opération. Si aucune valeur n’est spécifiée, les informations d’identification de
l’utilisateur actuel sont utilisées.
CriticalReplicationOnly Spécifie si l’opération d’installation des services AD DS effectue

uniquement la réplication critique avant le redémarrage, puis
continue. La réplication non critique a lieu au terme de l’installation
et après le redémarrage de l’ordinateur.
L’utilisation de cet argument n’est pas recommandée.
Aucune option équivalente n’est disponible dans l’interface

utilisateur.
DatabasePath <string> Spécifie le chemin d’accès complet non UNC (Universal Naming
Convention) à un répertoire sur un disque fixe de l’ordinateur local
contenant la base de données du domaine. Par exemple,
C:\Windows\NTDS.
La valeur par défaut est %SYSTEMROOT%\NTDS. Important : Alors

que vous pouvez stocker la base de données et les fichiers
journaux AD DS sur un volume formaté avec le système ReFS
(Resilient File System), l’hébergement des services AD DS sur ReFS
ne présente pas d’avantage particulier autre que les avantages
classiques de la résilience dont vous bénéficiez en hébergeant
n’importe quelle donnée sur ReFS.
DelegatedAdministratorAccountName <string> Spécifie le nom de l’utilisateur ou du groupe pouvant installer et

gérer le contrôleur de domaine en lecture seule.
Par défaut, seuls les membres du groupe Admins du domaine
peuvent gérer un contrôleur de domaine en lecture seule.
DenyPasswordReplicationAccountName <string []> Spécifie les noms des comptes d’utilisateur, des comptes de groupe
et des comptes d’ordinateur dont les mots de passe ne doivent pas
être répliqués sur ce contrôleur de domaine en lecture seule. Utilisez
une chaîne vide "" si vous ne voulez refuser la réplication des
informations d’identification d’aucun utilisateur ou ordinateur. Par
défaut, Administrateurs, Opérateurs de serveur, Opérateurs de
sauvegarde, Opérateurs de compte et Groupe de réplication dont le
mot de passe RODC est refusé sont refusés. Par défaut, le Groupe
de réplication dont le mot de passe RODC est refusé inclut Éditeurs
de certificats, Admins du domaine, Administrateurs de l’entreprise,
Contrôleurs de domaine d’entreprise, Contrôleurs de domaine
d’entreprise en lecture seule, Propriétaires créateurs de la stratégie
de groupe, le compte krbtgt et Administrateurs du schéma.
exemple :
Code -
-DenyPasswordReplicationAccountName
"RegionalAdmins","AdminPCs"
DnsDelegationCredential <Justificatifs Spécifie le nom d’utilisateur et le mot de passe pour créer la

PS>Remarque : Vous ne pouvez pas spécifier cet délégation DNS selon les règles de Get-Credential et un objet
argument lorsque vous exécutez l’applet de PSCredential.
commande Add-ADDSReadOnlyDomainController.
DomainMode <DomainMode> {Win2003 | Spécifie le niveau fonctionnel du domaine au cours de la création

Win2008 | Win2008R2 | Win2012 | Win2012R2} d’un domaine.
ou Le niveau fonctionnel du domaine ne peut pas être inférieur à celui
de la forêt, mais il peut être supérieur.
DomainMode <DomainMode> {2 | 3 | 4 | 5 | 6}
La valeur par défaut est automatiquement calculée et correspond au
niveau fonctionnel existant de la forêt ou à la valeur définir pour -
ForestMode.
DomainName Spécifie le nom de domaine complet du domaine dans lequel vous

voulez installer un contrôleur de domaine supplémentaire.
Requis pour les applets de commande Install-
ADDSForest et Install-ADDSDomainController.
DomainNetbiosName <string> À utiliser avec Install-ADDSForest. Attribue un nom NetBIOS au

nouveau domaine racine de forêt.
Requis pour Install-ADDSForest si le nom du préfixe
du nom de domaine complet comporte plus de
15 caractères.
DomainType <DomainType> {ChildDomain | Indique le type de domaine que vous voulez créer : une nouvelle
TreeDomain} or {child | tree} arborescence de domaine dans une forêt existante, un enfant d’un
domaine existant ou une nouvelle forêt.
La valeur par défaut est ChildDomain.
Force Lorsque ce paramètre est spécifié, tous les avertissements

susceptibles d’apparaître normalement lors de l’installation et de
l’ajout du contrôleur de domaine sont supprimés pour permettre à
l’applet de commande de terminer son exécution. Il peut être utile
d’inclure ce paramètre dans le cadre d’une installation avec un
script.
ForestMode <ForestMode> {Win2003 | Win2008 | Spécifie le niveau fonctionnel de la forêt lorsque vous créez une
Win2008R2 | Win2012 | Win2012R2} forêt.
ou La valeur par défaut est Win2012.
ForestMode <ForestMode> {2 | 3 | 4 | 5 | 6}
InstallationMediaPath Indique l’emplacement du support d’installation qui sera utilisé pour

installer un nouveau contrôleur de domaine.
InstallDNS Spécifie si le service Serveur DNS doit être installé et configuré sur
le contrôleur de domaine.
Pour une nouvelle forêt, la valeur par défaut est $True et le service
Serveur DNS est installé.
Pour un nouveau domaine enfant ou une nouvelle arborescence de

domaine, si le domaine parent (ou le domaine racine de forêt pour
une arborescence de domaine) héberge et stocke déjà les noms
DNS pour le domaine, la valeur par défaut pour ce paramètre est
$True.
Dans le cadre de l’installation d’un contrôleur de domaine dans un

domaine existant, si ce paramètre n’est pas spécifié et que le
domaine actuel héberge et stocke déjà les noms DNS pour le
domaine, la valeur par défaut pour ce paramètre est alors $True.
Dans le cas contraire, si les noms de domaine DNS sont hébergés en
dehors d’Active Directory, la valeur par défaut est $False et aucun
serveur DNS n’est installé.
LogPath <string> Spécifie le chemin d’accès complet non UNC à un répertoire sur un
disque fixe de l’ordinateur local contenant les fichiers journaux du
domaine. Par exemple, C:\Windows\Logs.
La valeur par défaut est %SYSTEMROOT%\NTDS. Important : Ne

stockez pas les fichiers journaux Active Directory sur un volume de
données au format ReFS (Resilient File System).
MoveInfrastructureOperationMasterRoleIfNecessary Spécifie si le rôle de maître d’opérations du maître d’infrastructure

(également connu sous le nom de rôle d’opérations à maître unique
flottant ou FSMO) doit être transféré sur le contrôleur de domaine
que vous créez, s’il est actuellement hébergé sur un serveur de
catalogue global et que vous n’envisagez pas d’utiliser le contrôleur
de domaine que vous créez comme serveur de catalogue global.
Spécifiez ce paramètre pour transférer le rôle de maître
d’infrastructure sur le contrôleur de domaine que vous créez si le
transfert est nécessaire ; dans ce cas, spécifiez l’option
NoGlobalCatalog si vous voulez que le rôle de maître
d’infrastructure demeure à son emplacement actuel.
NewDomainName <string>Remarque : Spécifie le nom de domaine unique pour le nouveau domaine.

Obligatoire uniquement pour Install-ADDSDomain. Par exemple, si vous voulez créer un nouveau domaine enfant
nommé emea.corp.fabrikam.com, spécifiez emea comme valeur de
cet argument.
NewDomainNetbiosName <string> À utiliser avec Install-ADDSDomain. Attribue un nom NetBIOS au

nouveau domaine. La valeur par défaut est dérivée de la valeur de
Requis pour Install-ADDSDomain si le nom du NewDomainName.
préfixe du nom de domaine complet comporte plus
de 15 caractères.
NoDnsOnNetwork Spécifie que le service DNS n’est pas disponible sur le réseau. Ce
paramètre est uniquement utilisé lorsque le paramètre IP de la carte
réseau de cet ordinateur n’est pas configuré avec le nom d’un
serveur DNS à des fins de résolution de noms. Il indique que le
serveur DNS sera installé sur cet ordinateur à des fins de résolution
de noms. Sinon, les paramètres IP de la carte réseau doivent être au
préalable configurés avec l’adresse d’un serveur DNS.
Si ce paramètre est omis (par défaut), cela signifie que les
paramètres du client TCP/IP de la carte réseau sur cet ordinateur
serveur seront utilisés pour contacter un serveur DNS. Par
conséquent, si vous ne spécifiez pas ce paramètre, vérifiez que les
paramètres du client TCP/IP sont au préalable configurés avec
l’adresse d’un serveur DNS préféré.
NoGlobalCatalog Indique que vous ne voulez pas que le contrôleur de domaine soit
un serveur de catalogue global.
Les contrôleurs de domaine Windows Server 2012 sont installés
avec le catalogue global par défaut. En d’autres termes, l’exécution a
lieu automatiquement sans calcul, sauf si vous spécifiez :
Code -
-NoGlobalCatalog
NoRebootOnCompletion Spécifie si l’ordinateur doit être redémarré à la fin d’une commande,

qu’elle ait abouti ou non. Par défaut, l’ordinateur redémarre. Pour
empêcher le serveur de redémarrer, spécifiez :
Code -
-NoRebootOnCompletion:$True
Aucune option équivalente n’est disponible dans l’interface

utilisateur.
ParentDomainName <string>Remarque : Spécifie le nom de domaine complet d’un domaine parent existant.
obligatoire pour l’applet de commande Install- Vous utilisez cet argument lorsque vous installez un domaine
ADDSDomain d’enfant ou une nouvelle arborescence de domaine.
Par exemple, si vous voulez créer un nouveau domaine enfant
nommé emea.corp.fabrikam.com, spécifiez corp.fabrikam.com
comme valeur de cet argument.
ReadOnlyReplica Spécifie si un contrôleur de domaine en lecture seule doit être

installé.
ReplicationSourceDC <string> Indique le nom de domaine complet du contrôleur de domaine

partenaire à partir duquel vous répliquez les informations du
domaine. La valeur par défaut est automatiquement calculée.
SafeModeAdministratorPassword <securestring> Fournit le mot de passe du compte d’administrateur lorsque

l’ordinateur est démarré en mode sans échec ou dans une variante
du mode sans échec, par exemple le mode Restauration des services
d’annuaire.
La valeur par défaut est un mot de passe vide. Vous devez fournir un
mot de passe. Le mot de passe doit être spécifié au format
System.Security.SecureString, comme celui fourni par read-host -
assecurestring ou ConvertTo-SecureString.
Le fonctionnement de l’argument SafeModeAdministratorPassword

est spécial : s’il n’est pas spécifié en tant qu’argument, l’applet de
commande vous invite à entrer et à confirmer un mot de passe
masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution
interactive de l’applet de commande. S’il est spécifié sans valeur et
qu’aucun autre argument n’est spécifié pour l’applet de commande,
cette dernière vous invite à entrer un mot de passe masqué sans
confirmation. Il ne s’agit pas du mode d’utilisation préféré en cas
d’exécution interactive de l’applet de commande. S’ils sont spécifiés
avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit
pas du mode d’utilisation préféré en cas d’exécution interactive de
l’applet de commande. Par exemple, vous pouvez manuellement
inviter l'utilisateur à entrer un mot de passe sous forme d'une
chaîne sécurisée à l'aide de l'applet de commande Read-Host :
safemodeadministratorpassword (read-host -prompt "Password:" -
assecurestring). Vous pouvez également fournir une chaîne
sécurisée sous forme d'une variable en texte clair convertie, bien
que ceci soit fortement déconseillé. -
safemodeadministratorpassword (convertto-securestring
"Password1" -asplaintext -force)
SiteName <string> Spécifie le site dans lequel le contrôleur de domaine sera installé. Il
n’y a pas d’argument sitename lorsque vous exécutez Install-
Requis pour l’applet de commande Add- ADDSForest, car le premier site créé est Default-First-Site-Name.
addsreadonlydomaincontrolleraccount
Le nom du site doit déjà exister s’il est fourni en tant qu’argument à
-sitename. L’applet de commande ne crée pas le site.
SkipAutoConfigureDNS Ignore la configuration automatique des paramètres des clients

DNS, des redirecteurs et des indications de racine. Cet argument est
uniquement en vigueur si le service Serveur DNS est déjà installé ou
automatiquement installé avec -InstallDNS.
SystemKey <string> Spécifie la clé système du support à partir duquel vous répliquez les
données.
La valeur par défaut est none.
Les données doivent être au format fourni par read-host -

assecurestring ou ConvertTo-SecureString.
SysvolPath <string> Spécifie le chemin d’accès complet non UNC à un répertoire sur un
disque fixe de l’ordinateur local. Par exemple, C:\Windows\SYSVOL.
La valeur par défaut est %SYSTEMROOT%\SYSVOL. Important :

SYSVOL ne peut pas être stocké sur un volume de données au
format ReFS (Resilient File System).
SkipPreChecks N’exécute pas les vérifications de la configuration requise avant le

début de l’installation. Il n’est pas conseillé d’utiliser ce paramètre.
WhatIf Montre ce qui se passe en cas d’exécution de l’applet de

commande. L’applet de commande n’est pas exécutée.
Spécification des informations d’identification Windows PowerShell

Vous pouvez spécifier des informations d’identification sans les divulguer en texte brut à l’écran à l’aide
de Get-credential.
Le fonctionnement des arguments -SafeModeAdministratorPassword et LocalAdministratorPassword

est spécial :
S’ils ne sont pas spécifiés en tant qu’arguments, l’applet de commande vous invite à entrer et à
confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution
interactive de l’applet de commande.
S’ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du
mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.
Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe sous forme d’une
chaîne sécurisée à l’aide de l’applet de commande Read-Host.
-SafeModeAdministratorPassword (Read-Host -Prompt "DSRM Password:" -AsSecureString)
２ Avertissement
Étant donné que l’option précédente ne confirme pas le mot de passe, faites preuve de prudence,
car le mot de passe n’est pas visible.
Vous pouvez également fournir une chaîne sécurisée sous forme d’une variable en texte clair convertie,
bien que ceci soit fortement déconseillé.
-SafeModeAdministratorPassword (ConvertTo-SecureString "Password1" -AsPlainText -Force)
２ Avertissement
Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair. Toute personne
qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le
mot de passe DSRM de ce contrôleur de domaine. Munie de cette information, elle peut alors
emprunter l’identité du contrôleur de domaine elle-même et élever son privilège au niveau le plus
élevé d’une forêt Active Directory.
Utilisation d’applets de commande de test

Chaque applet de commande ADDSDeployment est associée à une applet de commande de test. Les
applets de commande de test exécutent uniquement les vérifications de la configuration requise pour
l’opération d’installation ; aucun paramètre d’installation n’est configuré. Les arguments pour chaque
applet de commande de test sont les mêmes que pour l’applet de commande d’installation
correspondante, mais SkipPreChecks n’est pas disponible pour les applets de commande de test.
Applet de commande de test Description
Test-ADDSForestInstallation Exécute les vérifications de la configuration requise pour

installer une nouvelle forêt Active Directory.
Test-ADDSDomainInstallation Exécute les vérifications de la configuration requise pour

installer un nouveau domaine dans Active Directory.
Test-ADDSDomainControllerInstallation Exécute les vérifications de la configuration requise pour

installer un contrôleur de domaine dans Active Directory.
Test- Exécute les vérifications de la configuration requise pour

ADDSReadOnlyDomainControllerAccountCreation ajouter un compte de contrôleur de domaine en lecture seule.
Installation d’un nouveau domaine racine de forêt à l’aide de

Windows PowerShell
La syntaxe de commande pour installer une nouvelle forêt est la suivante. Les arguments facultatifs
apparaissent entre crochets.
Install-ADDSForest [-SkipPreChecks] -DomainName <string> -SafeModeAdministratorPassword
<SecureString> [-CreateDNSDelegation] [-DatabasePath <string>] [-DNSDelegationCredential
<PS Credential>] [-NoDNSOnNetwork] [-DomainMode <DomainMode> {Win2003 | Win2008 |
Win2008R2 | Win2012}] [-DomainNetBIOSName <string>] [-ForestMode <ForestMode> {Win2003 |
Win2008 | Win2008R2 | Win2012}] [-InstallDNS] [-LogPath <string>] [-NoRebootOnCompletion]
[-SkipAutoConfigureDNS] [-SYSVOLPath] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
７ Notes
L’argument -DomainNetBIOSName est requis si vous voulez modifier le nom de 15 caractères qui
est automatiquement généré en fonction du préfixe du nom de domaine DNS ou si le nom fait
plus de 15 caractères.
Par exemple, pour installer une nouvelle forêt nommée corp.contoso.com et inviter l’utilisateur à entrer
de manière sécurisée le mot de passe DSRM, tapez :
Install-ADDSForest -DomainName "corp.contoso.com"
７ Notes
Le serveur DNS est installé par défaut lorsque vous exécutez Install-ADDSForest.
Pour installer une nouvelle forêt nommée corp.contoso.com, créer une délégation DNS dans le
domaine contoso.com, définir Windows Server 2008 R2 comme niveau fonctionnel du domaine et
définir Windows Server 2008 comme niveau fonctionnel de la forêt, installer la base de données Active
Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\ et inviter
l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM), tapez :
Install-ADDSForest -DomainName corp.contoso.com -CreateDNSDelegation -DomainMode Win2008

-ForestMode Win2008R2 -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installation d’un nouveau domaine enfant ou domaine

d’arborescence à l’aide de Windows PowerShell
La syntaxe de commande pour installer un nouveau domaine est la suivante. Les arguments facultatifs
Install-ADDSDomain [-SkipPreChecks] -NewDomainName <string> -ParentDomainName <string> -

SafeModeAdministratorPassword <SecureString> [-ADPrepCredential <PS Credential>] [-
AllowDomainReinstall] [-CreateDNSDelegation] [-Credential <PS Credential>] [-DatabasePath
<string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-DomainMode
<DomainMode> {Win2003 | Win2008 | Win2008R2 | Win2012}] [DomainType <DomainType> {Child
Domain | TreeDomain} [-InstallDNS] [-LogPath <string>] [-NoGlobalCatalog] [-
NewDomainNetBIOSName <string>] [-NoRebootOnCompletion] [-ReplicationSourceDC <string>] [-
SiteName <string>] [-SkipAutoConfigureDNS] [-Systemkey <SecureString>] [-SYSVOLPath] [-
Force] [-WhatIf] [-Confirm] [<CommonParameters>]
７ Notes
L’argument -credential est uniquement requis lorsque vous n’êtes pas actuellement connecté en
tant que membre du groupe Administrateurs de l’entreprise.
L’argument -NewDomainNetBIOSName est requis si vous voulez modifier le nom de

15 caractères automatiquement généré en fonction du préfixe du nom de domaine DNS ou si le
nom fait plus de 15 caractères.
Par exemple, pour utiliser les informations d’identification de corp\EnterpriseAdmin1 pour créer un
domaine enfant nommé child.corp.contoso.com, installer Serveur DNS, créer une délégation DNS dans
le domaine corp.contoso.com, définir Windows Server 2003 comme niveau fonctionnel du domaine,
configurer le contrôleur de domaine en tant que serveur de catalogue global dans un site nommé
Houston, utiliser DC1.corp.contoso.com comme contrôleur de domaine source de réplication, installer
la base de données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le
lecteur E:\ et inviter l’utilisateur à fournir le mot de passe du mode de restauration des services
d’annuaire (DSRM) sans lui demander de confirmer la commande, tapez :
Install-ADDSDomain -SafeModeAdministratorPassword -Credential (get-credential

corp\EnterpriseAdmin1) -NewDomainName child -ParentDomainName corp.contoso.com -
InstallDNS -CreateDNSDelegation -DomainMode Win2003 -ReplicationSourceDC
DC1.corp.contoso.com -SiteName Houston -DatabasePath "d:\NTDS" "SYSVOLPath "d:\SYSVOL" -
LogPath "e:\Logs" -Confirm:$False
Installation d’un contrôleur de domaine supplémentaire (réplica) à

l’aide de Windows PowerShell
La syntaxe de commande pour installer un contrôleur de domaine supplémentaire est la suivante. Les
arguments facultatifs apparaissent entre crochets.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -

AllowDomainControllerReinstall] [-ApplicationPartitionsToReplicate <string[]>] [-
CreateDNSDelegation] [-Credential <PS Credential>] [-CriticalReplicationOnly] [-
DatabasePath <string>] [-DNSDelegationCredential <PS Credential>] [-NoDNSOnNetwork] [-
NoGlobalCatalog] [-InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-
MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-
ReplicationSourceDC <string>] [-SiteName <string>] [-SkipAutoConfigureDNS] [-SystemKey
<SecureString>] [-SYSVOLPath <string>] [-Force] [-WhatIf] [-Confirm] [<CommonParameters>]
Pour installer un contrôleur de domaine et un serveur DNS dans le domaine corp.contoso.com et

inviter l’utilisateur à entrer les informations d’identification de l’administrateur du domaine et le mot de
passe DSRM, tapez :
Install-ADDSDomainController -Credential (Get-Credential CORP\Administrator) -DomainName

"corp.contoso.com"
Si l’ordinateur est déjà joint à un domaine et que vous êtes membre du groupe Admins du domaine,
vous pouvez utiliser :
Install-ADDSDomainController -DomainName "corp.contoso.com"
Pour inviter l’utilisateur à entrer le nom du domaine, tapez :
Install-ADDSDomainController -Credential (Get-Credential) -DomainName (Read-Host "Domain

to promote into")
La commande suivante utilise les informations d’identification de Contoso\EnterpriseAdmin1 pour

installer un contrôleur de domaine accessible en écriture et un serveur de catalogue global dans un site
nommé Boston, installer le serveur DNS, créer une délégation DNS dans le domaine contoso.com,
effectuer l’installation à partir du support stocké dans le dossier c:\ADDS IFM, installer la base de
données Active Directory et SYSVOL sur le lecteur D:\, installer les fichiers journaux sur le lecteur E:\,
redémarrer automatiquement le serveur une fois l’installation des services AD DS terminée et inviter
l’utilisateur à fournir le mot de passe du mode de restauration des services d’annuaire (DSRM).
Install-ADDSDomainController -Credential (Get-Credential CONTOSO\EnterpriseAdmin1) -

CreateDNSDelegation -DomainName corp.contoso.com -SiteName Boston -InstallationMediaPath
"c:\ADDS IFM" -DatabasePath "d:\NTDS" -SYSVOLPath "d:\SYSVOL" -LogPath "e:\Logs"
Installation intermédiaire d’un contrôleur de domaine à l’aide de

Windows PowerShell
La syntaxe de commande pour créer un compte RODC est la suivante. Les arguments facultatifs
Add-ADDSReadOnlyDomainControllerAccount [-SkipPreChecks] -DomainControllerAccuntName

<string> -DomainName <string> -SiteName <string> [-AllowPasswordReplicationAccountName
<string []>] [-NoGlobalCatalog] [-Credential <PS Credential>] [-
DelegatedAdministratorAccountName <string>] [-DenyPasswordReplicationAccountName <string
[]>] [-InstallDNS] [-ReplicationSourceDC <string>] [-Force] [-WhatIf] [-Confirm] [<Common
Parameters>]
La syntaxe de commande pour attacher un serveur à compte RODC est la suivante. Les arguments
facultatifs apparaissent entre crochets.
Install-ADDSDomainController -DomainName <string> [-SkipPreChecks] -

ApplicationPartitionsToReplicate <string[]>] [-Credential <PS Credential>] [-
CriticalReplicationOnly] [-DatabasePath <string>] [-NoDNSOnNetwork] [-
InstallationMediaPath <string>] [-InstallDNS] [-LogPath <string>] [-
MoveInfrastructureOperationMasterRoleIfNecessary] [-NoRebootOnCompletion] [-
ReplicationSourceDC <string>] [-SkipAutoConfigureDNS] [-SystemKey <SecureString>] [-
SYSVOLPath <string>] [-UseExistingAccount] [-Force] [-WhatIf] [-Confirm]
[<CommonParameters>]
Par exemple, pour créer un compte RODC nommé RODC1 :
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName RODC1 -DomainName

corp.contoso.com -SiteName Boston DelegatedAdministratoraccountName AdminUser
Exécutez ensuite les commandes suivantes sur le serveur que vous voulez attacher au compte RODC1.
Le serveur ne peut pas être joint au domaine. Pour commencer, installez le rôle serveur AD DS et les
outils de gestion :
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Ensuite, exécutez la commande suivante pour créer le contrôleur de domaine en lecture seule :
Install-ADDSDomainController -DomainName corp.contoso.com -SafeModeAdministratorPassword

(Read-Host -Prompt "DSRM Password:" -AsSecureString) -Credential (Get-Credential
Corp\AdminUser) -UseExistingAccount
Appuyez sur O pour confirmer ou incluez l’argument confirm pour ne pas afficher l’invite de
confirmation.
Installation des services AD DS à l’aide du Gestionnaire

de serveur
Les services AD DS peuvent être installés sur Windows Server 2012 à l’aide de l’Assistant Ajout de rôles
dans le Gestionnaire de serveur, puis de l’Assistant Configuration des services de domaine Active
Directory, ce qui est une nouvelle possibilité à compter de Windows Server 2012. L’utilisation de
l’Assistant Installation Active Directory Domain Services (dcpromo.exe) est déconseillée à compter de
Les sections suivantes expliquent comment créer des pools de serveurs pour installer et gérer les
services AD DS sur plusieurs serveurs et comment utiliser les Assistants pour installer les services
AD DS.
Création de pools de serveurs

Le Gestionnaire de serveur peut mettre en pool d’autres serveurs sur le réseau tant qu’ils sont
accessibles à partir de l’ordinateur exécutant le Gestionnaire de serveur. Une fois la mise en pool
terminée, vous pouvez sélectionner ces serveurs en vue d’une installation à distance des services
AD DS ou toute autre option de configuration possible dans le Gestionnaire de serveur. L’ordinateur
exécutant le Gestionnaire de serveur se met en pool automatiquement. Pour plus d’informations sur les
pools de serveurs, consultez Ajouter des serveurs au Gestionnaire de serveur.
７ Notes
Pour gérer un ordinateur appartenant à un domaine à l’aide du Gestionnaire de serveur sur un

serveur de groupe de travail, ou inversement, des étapes de configuration supplémentaires sont
nécessaires. Pour plus d’informations, consultez « Ajouter et gérer des serveurs dans des groupes
de travail » dans Ajouter des serveurs au Gestionnaire de serveur.
Installation des services AD DS

Informations d’identification d’administration
Les informations d’identification requises pour installer les services AD DS varient en fonction de la
configuration de déploiement que vous choisissez. Pour plus d’informations, voir Informations
d’identification requises pour exécuter Adprep.exe et installer les services de domaine Active Directory.
Utilisez les procédures suivantes pour installer les services AD DS à l’aide de l’interface graphique
utilisateur. Les étapes peuvent être effectuées localement ou à distance. Pour obtenir une explication
plus détaillée de ces étapes, voir les rubriques suivantes :
Déploiement d’une forêt avec le Gestionnaire de serveur
Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine existant
(niveau 200)
Installer un nouveau domaine enfant ou domaine d’arborescence Active Directory Windows

Installer un contrôleur de domaine en lecture seule Active Directory Windows Server 2012 (niveau
200)
Pour installer les services AD DS à l’aide du Gestionnaire de serveur

1. Dans le Gestionnaire de serveur, cliquez sur Gérer, puis sur Ajout de rôles et de fonctionnalités
pour démarrer l’Assistant Ajout de rôles.
3. Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une
fonctionnalité, puis sur Suivant.
4. Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool
de serveurs, cliquez sur le nom du serveur sur lequel vous voulez installer les services AD DS, puis
Pour sélectionner des serveurs distants, commencez par créer un pool de serveurs et ajoutez-y les
serveurs distants. Pour plus d’informations sur la création de pools de serveurs, consultez Ajouter
des serveurs au Gestionnaire de serveur.
Active Directory. Ensuite, dans la boîte de dialogue Assistant Ajout de rôles et de
fonctionnalités, cliquez Ajouter des fonctionnalités, puis sur Suivant.
6. Dans la page Sélectionner des fonctionnalités, sélectionnez les fonctionnalités supplémentaires à

installer, puis cliquez sur Suivant.
7. Dans Services de domaine Active Directory, examinez les informations, puis cliquez sur Suivant.
9. Dans la page Résultats, vérifiez que l’installation s’est correctement déroulée, puis cliquez sur
Promouvoir ce serveur en contrôleur de domaine pour démarrer l’Assistant Configuration des
） Important
Si vous fermez l’Assistant Ajout de rôles à ce stade sans démarrer l’Assistant Configuration
des services de domaine Active Directory, vous pouvez le redémarrer en cliquant sur Tâches
dans le Gestionnaire de serveur.
10. Dans la page Configuration de déploiement, choisissez l’une des options suivantes :
Si vous installez un contrôleur de domaine supplémentaire dans un domaine existant,

cliquez sur Ajouter un contrôleur de domaine à un domaine existant et tapez le nom du
domaine (par exemple, emea.corp.contoso.com) ou cliquez sur Sélectionner… pour choisir
un domaine et les informations d’identification (par exemple, spécifiez un compte qui est un
membre du groupe Admins du domaine), puis cliquez sur Suivant.
７ Notes
Le nom du domaine et les informations d’identification de l’utilisateur actuel sont

fournis par défaut uniquement si l’ordinateur est joint à un domaine et que vous
effectuez une installation locale. Si vous installez les services AD DS sur un serveur
distant, vous devez, par conception, spécifier les informations d’identification. Si les
informations d’identification de l’utilisateur actuel ne sont pas suffisantes pour
effectuer l’installation, cliquez sur Modifier… pour spécifier des informations
d’identification différentes.
Pour plus d’informations, voir Installer un contrôleur de domaine Windows Server 2012

répliqué dans un domaine existant (niveau 200).
Si vous installez un nouveau domaine enfant, cliquez sur Ajouter un nouveau domaine à
une forêt existante, pour Sélectionnez le type du domaine, sélectionnez Domaine enfant,
tapez le nom DNS du domaine parent (par exemple, corp.contoso.com) ou accédez à celui-
ci, tapez le nom relatif du nouveau domaine enfant (par exemple, emea), tapez les
informations d’identification à utiliser pour créer le domaine, puis cliquez sur Suivant.
Pour plus d’informations, voir Installer un nouveau domaine enfant ou domaine

d’arborescence Active Directory Windows Server 2012 (niveau 200).
Si vous installez une nouvelle arborescence de domaine, cliquez sur Ajouter un nouveau
domaine à une forêt existante, pour Sélectionnez le type du domaine, sélectionnez
Domaine de l’arborescence, tapez le nom du domaine racine (par exemple,
corp.contoso.com), tapez le nom DNS du nouveau domaine (par exemple, fabrikam.com),
tapez les informations d’identification à utiliser pour créer le domaine, puis cliquez sur
Suivant.
Pour plus d’informations, voir Installer un nouveau domaine enfant ou domaine

d’arborescence Active Directory Windows Server 2012 (niveau 200).
Si vous installez une nouvelle forêt, cliquez sur Ajouter une nouvelle forêt, puis tapez le
nom du domaine racine (par exemple, corp.contoso.com).
Pour plus d’informations, voir Installer une nouvelle forêt Active Directory Windows
Server 2012 (niveau 200).
11. Dans la page Options du contrôleur de domaine, choisissez l’une des options suivantes :
Si vous créez une forêt ou un domaine, sélectionnez les niveaux fonctionnels du domaine et
de la forêt, cliquez sur Serveur du Système de Noms de Domaine (DNS), spécifiez le mot
de passe DSRM, puis cliquez sur Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, cliquez sur Serveur du

Système de Noms de Domaine (DNS), Catalogue global (GC) ou Contrôleur de domaine
en lecture seule (RODC) selon les besoins, puis choisissez le nom du site. Ensuite, tapez le
mot de passe DSRM, puis cliquez sur Suivant.
Pour plus d’informations sur les options disponibles ou non dans cette page dans des conditions
différentes, voir Options du contrôleur de domaine.
12. Dans la page Options DNS (qui apparaît uniquement si vous installez un serveur DNS), cliquez sur
Mettre à jour la délégation DNS selon les besoins. Dans ce cas, entrez les informations
d’identification qui autorisent la création d’enregistrements de délégation DNS dans la zone DNS
parente.
Si un serveur DNS qui héberge la zone parente ne peut pas être contacté, l’option Mettre à jour
la délégation DNS n’est pas disponible.
Pour plus d’informations sur la nécessité ou non de mettre à jour la délégation DNS, consultez
Présentation de la délégation de zone. Si vous tentez de mettre à jour la délégation DNS et
qu’une erreur se produit, voir Options DNS.
13. Dans la page Options RODC (qui apparaît uniquement si vous installez un contrôleur de domaine
en lecture seule), spécifiez le nom d’un groupe ou d’un utilisateur qui gèrera le contrôleur de
domaine en lecture seule, ajoutez des comptes aux groupes de réplication de mot de passe
Autorisé ou Refusé ou supprimez des comptes de ceux-ci, puis cliquez sur Suivant.
Pour plus d’informations, consultez Stratégie de réplication de mot de passe.
14. Dans la page Options supplémentaires, choisissez l’une des options suivantes :
Si vous créez un nouveau domaine, tapez un nouveau nom NetBIOS ou vérifiez le nom
NetBIOS par défaut du domaine, puis cliquez sur Suivant.
Si vous ajoutez un contrôleur de domaine à un domaine existant, sélectionnez le contrôleur

de domaine à partir duquel vous voulez répliquer les données d’installation AD DS (ou
autorisez l’Assistant à sélectionner n’importe quel contrôleur de domaine). Si vous effectuez
l’installation à partir d’un support, cliquez sur Installation à partir du chemin d’accès au
support et vérifiez le chemin d’accès aux fichiers de la source d’installation, puis cliquez sur
Suivant.
Vous ne pouvez pas recourir à l’installation à partir du support (IFM) pour installer le premier
contrôleur de domaine dans un domaine. IFM ne fonctionne pas entre différentes versions
de système d’exploitation. En d’autres termes, pour installer un contrôleur de domaine
supplémentaire exécutant Windows Server 2012 à l’aide d’IFM, vous devez créer le support
de sauvegarde sur un contrôleur de domaine Windows Server 2012. Pour plus
d’informations sur IFM, consultez Installation d’un contrôleur de domaine supplémentaire à
l’aide d’IFM.
15. Dans la page Chemins d’accès, tapez les emplacements de la base de données Active Directory,
des fichiers journaux et du dossier SYSVOL (ou acceptez les emplacements par défaut), puis
） Important
Ne stockez pas la base de données Active Directory, les fichiers journaux ou le dossier

SYSVOL sur un volume de données au format ReFS.
16. Dans page Options de préparation, tapez des informations d’identification suffisantes pour
exécuter adprep. Pour plus d’informations, voir Informations d’identification requises pour
exécuter Adprep.exe et installer les services de domaine Active Directory.
17. Dans la page Examiner les options, confirmez vos sélections, cliquez sur Afficher le script si vous
voulez exporter les paramètres vers un script Windows PowerShell, puis cliquez sur Suivant.

19. Dans la page Résultats, vérifiez que le serveur a été correctement configuré en tant que
contrôleur de domaine. Le serveur est redémarré automatiquement pour terminer l’installation
des services AD DS.
Installation intermédiaire d’un contrôleur de domaine à
l’aide de l’interface utilisateur graphique
Une installation RODC intermédiaire vous permet de créer un contrôleur de domaine en lecture seule
en deux étapes. Lors de la première phase, un membre du groupe Admins du domaine crée un compte
RODC. Lors de la deuxième phase, un serveur est attaché au compte RODC. La deuxième phase peut
être effectuée par un membre du groupe Admins du domaine ou un utilisateur ou un groupe d’un
domaine délégué.
Pour créer un compte RODC à l’aide des outils de gestion Active Directory

1. Vous pouvez créer le compte RODC dans le Centre d’administration Active Directory ou dans
Utilisateurs et ordinateurs Active Directory.
a. Cliquez sur Démarrer, Outils d’administration, puis sur Centre d’administration

Active Directory.
b. Dans le volet de navigation (volet gauche), cliquez sur le nom du domaine.
c. Dans la liste Gestion (volet central), cliquez sur l’unité d’organisation Domain Controllers.
d. Dans le volet Tâches (volet droit), cliquez sur Pré-créer un compte de contrôleur de domaine
en lecture seule.
-Ou-
a. Cliquez sur Démarrer, Outils d'administration, puis sur Utilisateurs et ordinateurs Active
Directory.
b. Cliquez avec le bouton droit sur l’unité d’organisation Domain Controllers ou cliquez sur
l’unité d’organisation Domain Controllers, puis cliquez sur Action.
c. Cliquez sur Créer au préalable un compte de contrôleur de domaine en lecture seule.
2. Dans la page Assistant Installation des services de domaine Active Directory, si vous souhaitez
modifier la stratégie de réplication de mot de passe par défaut, sélectionnez Utiliser l’installation
en mode avancé, puis cliquez sur Suivant.
3. Dans la page Informations d’identification réseau, sous Spécifiez les informations

d’identification de compte à utiliser pour effectuer l’installation, cliquez sur Mes informations
d’identification de connexion actuelles ou sur Autres informations d’identification, puis cliquez
sur Définir. Dans la boîte de dialogue Sécurité de Windows, indiquez le nom d’utilisateur et le
mot de passe d’un compte pouvant installer le contrôleur de domaine supplémentaire. Pour
installer un contrôleur de domaine supplémentaire, vous devez être membre du groupe
Administrateurs de l’entreprise ou du groupe Admins du domaine. Une fois les informations
d’identification fournies, cliquez sur Suivant.
4. Dans la page Spécifiez le nom de l’ordinateur, tapez le nom d’ordinateur du serveur devant jouer
le rôle de contrôleur de domaine en lecture seule.
5. Dans la page Sélectionnez un site, choisissez un site dans la liste ou sélectionnez l’option
permettant d’installer le contrôleur de domaine dans le site qui correspond à l’adresse IP de
l’ordinateur sur lequel vous exécutez l’Assistant, puis cliquez sur Suivant.
6. Dans la page Options supplémentaires pour le contrôleur de domaine, effectuez les sélections
suivantes, puis cliquez sur Suivant :
Serveur DNS : cette case à cocher est activée par défaut pour que votre contrôleur de
domaine puisse fonctionner en tant que serveur DNS (Domain Name System). Si vous ne
souhaitez pas que le contrôleur de domaine soit un serveur DNS, désactivez cette case à
cocher. Toutefois, si vous n’installez pas le rôle Serveur DNS sur le contrôleur de domaine en
lecture seule et que ce dernier est le seul contrôleur de domaine dans la filiale, les
utilisateurs dans la filiale ne peuvent pas effectuer la résolution de noms lorsque le réseau
étendu (WAN) relié au site hub est hors connexion.
Catalogue global : cette option est activée par défaut. Elle ajoute les partitions d’annuaire
en lecture seule de catalogue global au contrôleur de domaine, et elle active la
fonctionnalité de recherche dans le catalogue global. Si vous ne souhaitez pas que le
contrôleur de domaine soit un serveur de catalogue global, désactivez cette case à cocher.
Cependant, si vous n’installez aucun serveur de catalogue global dans la succursale ou
activez la mise en cache de l’appartenance au groupe universel pour le site comprenant le
contrôleur de domaine en lecture seule, les utilisateurs de la succursale ne pourront pas se
connecter au domaine lorsque le réseau étendu (WAN) relié au site hub est hors connexion.
Contrôleur de domaine en lecture seule : cette option est sélectionnée par défaut et ne
peut être désactivée lorsque vous créez un compte de contrôleur de domaine en lecture
seule.
7. Si vous avez activé la case à cocher Utiliser l’installation en mode avancé dans la page
Bienvenue, la page Spécifier la stratégie de réplication de mot de passe apparaît. Par défaut,
aucun mot de passe de compte n’est répliqué dans le contrôleur de domaine en lecture seule et
les mots de passe des comptes dont la sécurité est primordiale (tels que les membres du groupe
Admins du domaine) ne peuvent en aucun cas être répliqués sur le contrôleur de domaine en
lecture seule.
Pour ajouter d’autres comptes à la stratégie, cliquez sur Ajouter, puis sur Autoriser la réplication
des mots de passe du compte sur ce contrôleur de domaine en lecture seule (RODC) ou cliquez
sur Refuser la réplication des mots de passe du compte sur le contrôleur de domaine en lecture
seule (RODC), puis sélectionnez les comptes.
Une fois terminé (ou pour accepter le paramètre par défaut), cliquez sur Suivant.
8. Sur la page Délégation de l’installation et de l’administration du contrôleur de domaine en

lecture seule (RODC), tapez le nom de l’utilisateur ou du groupe qui joindra le serveur au compte
de contrôleur de domaine en lecture que vous créez. Vous pouvez taper le nom d’un seul
principal de sécurité.
Pour rechercher un utilisateur ou un groupe spécifique dans l’annuaire, cliquez sur Définir. Dans
Sélectionner Utilisateur ou groupe, tapez le nom de l’utilisateur ou du groupe. Nous vous
recommandons de déléguer l’installation et l’administration d’un contrôleur de domaine en
lecture seule à un groupe.
Cet utilisateur ou ce groupe disposera de droits d’administrateur local sur le contrôleur de

domaine en lecture seule après l’installation. Si vous ne spécifiez aucun utilisateur ou groupe,
seuls les membres du groupe Admins du domaine ou du groupe Administrateurs de l’entreprise
seront en mesure de joindre le serveur au compte.
Quand vous avez terminé, cliquez sur Suivant.
9. Dans la page Résumé, vérifiez vos sélections. Cliquez sur Précédent pour modifier les sélections,
si nécessaire.
Pour enregistrer les paramètres sélectionnés dans un fichier de réponses qui peut vous permettre
d’automatiser les prochaines opérations des services AD DS, cliquez sur Exporter les paramètres.
Tapez le nom de votre fichier de réponses, puis cliquez sur Enregistrer.
Lorsque vous êtes certain que vos sélections sont correctes, cliquez sur Suivant pour créer le
compte RODC.
10. Dans la page Fin de l’Assistant Installation des services de domaine Active Directory, cliquez sur
Terminer.
Une fois qu’un compte RODC est créé, vous pouvez attacher un serveur au compte pour terminer
l’installation du contrôleur de domaine en lecture seule. Cette deuxième phase peut être effectuée
dans la filiale où le contrôleur de domaine en lecture seule sera situé. Le serveur sur lequel vous
effectuez cette procédure ne doit pas être joint au domaine. À compter de Windows Server 2012,
l’Assistant Ajout de rôles du Gestionnaire de serveur est utilisé pour attacher un serveur à un compte
de RODC.
Pour attacher un serveur à un compte RODC à l’aide du Gestionnaire de

serveur
1. Ouvrez une session en tant qu’administrateur local.
4. Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur un rôle ou une
fonctionnalité, puis sur Suivant.
5. Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un serveur du pool
de serveurs, cliquez sur le nom du serveur sur lequel vous voulez installer les services AD DS, puis
Active Directory, sur Ajouter des fonctionnalités, puis sur Suivant.
7. Dans la page Sélectionner des fonctionnalités, sélectionnez les fonctionnalités supplémentaires à

installer, puis cliquez sur Suivant.
8. Dans Services de domaine Active Directory, examinez les informations, puis cliquez sur Suivant.
10. Dans la page Résultats, vérifiez la présence du message Réussite de l’installation, puis cliquez sur
Promouvoir ce serveur en contrôleur de domaine pour démarrer l’Assistant Configuration des
） Important
Si vous fermez l’Assistant Ajout de rôles à ce stade sans démarrer l’Assistant Configuration
des services de domaine Active Directory, vous pouvez le redémarrer en cliquant sur Tâches
dans le Gestionnaire de serveur.
(media/Install-Active-Directory-Domain-Services--Level-100-/ADDS_SMI_Tasks.gif)
11. Dans la page Configuration de déploiement, cliquez sur Ajouter un contrôleur de domaine à un
domaine existant, tapez le nom du domaine (par exemple, emea.contoso.com) et les
informations d’identification (par exemple, spécifiez un compte qui est délégué pour gérer et
installer le contrôleur de domaine en lecture seule), puis cliquez sur Suivant.
12. Dans la page Options du contrôleur de domaine, cliquez sur Utiliser le compte RODC existant,
tapez et confirmez le mot de passe du mode de restauration des services d’annuaire, puis cliquez
sur Suivant.
13. Dans la page Options supplémentaires, si vous effectuez l’installation à partir d’un support,
cliquez sur Installation à partir du chemin d’accès au support et vérifiez le chemin d’accès aux
fichiers de la source d’installation, sélectionnez le contrôleur de domaine à partir duquel vous
voulez répliquer les données d’installation AD DS (ou autorisez l’Assistant à sélectionner
n’importe quel contrôleur de domaine), puis cliquez sur Suivant.
14. Dans la page Chemins d’accès, tapez les emplacements de la base de données Active Directory,
des fichiers journaux et du dossier SYSVOL (ou acceptez les emplacements par défaut), puis
15. Dans la page Examiner les options, confirmez vos sélections, cliquez sur Afficher le script pour
exporter les paramètres vers un script Windows PowerShell, puis cliquez sur Suivant.

Pour terminer l’installation des services AD DS, le serveur redémarre automatiquement.
Voir aussi
Résolution des problèmes de déploiement du contrôleur de domaineInstaller une nouvelle forêt Active
Directory Windows Server 2012 (niveau 200)Installer un nouveau domaine enfant ou domaine
d’arborescence Active Directory Windows Server 2012 (niveau 200)Installer un contrôleur de domaine
Windows Server 2012 répliqué dans un domaine existant (niveau 200)
Installer une nouvelle forêt Active
Directory Windows Server 2012 (niveau
200)

Cette rubrique présente les bases de la nouvelle fonctionnalité de promotion du

contrôleur de domaine des services de domaine Active Directory Windows Server 2012.
Dans Windows Server 2012, les services de domaine Active Directory remplacent l'outil
Dcpromo par un système de déploiement basé sur le Gestionnaire de serveur et
Windows PowerShell.
Administration simplifiée des services de domaine Active Directory
Vue d’ensemble technique
Déploiement d’une forêt avec le Gestionnaire de serveur
Déploiement d'une forêt avec Windows PowerShell
Administration simplifiée des services de

Windows Server 2012 présente la future génération de l'administration simplifiée des
services de domaine Active Directory et incarne la nouvelle conception de domaine la
plus radicale depuis Windows 2000 Server. L'administration simplifiée AD DS tire ses
enseignements de douze années d'Active Directory pour créer une expérience
d'administration mieux prise en charge, plus souple et plus intuitive pour les architectes
et administrateurs. Cela revient à créer des versions de technologies existantes ainsi qu'à
étendre les fonctions des composants fournis dans Windows Server 2008 R2.
Qu'est-ce que l'administration simplifiée AD DS ?

L'administration simplifiée AD DS réinvente le déploiement de domaine. Ces
fonctionnalités sont notamment :
Le déploiement de rôle AD DS fait maintenant partie de la nouvelle architecture de
Gestionnaire de serveur et permet une installation à distance.
Le moteur de configuration et de déploiement des services AD DS est maintenant

Windows PowerShell, même pendant l'utilisation d'un programme d'installation
graphique.
La promotion inclut maintenant la vérification de la configuration requise qui

valide la disponibilité de la forêt et du domaine pour le nouveau contrôleur de
domaine, ce qui réduit le risque d'échec des promotions.
Le niveau fonctionnel de forêt Windows Server 2012 n'implémente pas de

nouvelles fonctionnalités et le niveau fonctionnel de domaine est requis
uniquement pour un sous-ensemble de nouvelles fonctionnalités Kerberos, ce qui
décharge les administrateurs du besoin fréquent d'un environnement de
contrôleur de domaine homogène.
Objectif et avantages
Ces modifications peuvent sembler plus complexes et non plus simples. Cependant,
pour la nouvelle conception du processus de déploiement des services AD DS, il a été
possible de regrouper de nombreuses étapes et meilleures pratiques en moins d'actions
plus faciles. Cela signifie, par exemple, que la configuration graphique d'un nouveau
contrôleur de domaine répliqué est effectuée à l'aide de huit boîtes de dialogue contre
douze auparavant. La création d'une forêt Active Directory requiert une seule commande
Windows PowerShell avec un seul argument : le nom du domaine.
Pourquoi accorder une telle importance à Windows PowerShell dans Windows Server
2012 ? Avec l'évolution des traitements distribués, Windows PowerShell propose un
moteur unique pour la configuration et la maintenance à partir des interfaces graphique
et de ligne de commande. Il permet de créer des scripts de composant très complets en
offrant aux professionnels de l'informatique les mêmes fonctions de programmation
qu'offre une API aux développeurs. Avec l'omniprésence de l'informatique cloud,
Windows PowerShell permet aussi finalement d'administrer un serveur à distance, un
ordinateur sans interface graphique ayant les mêmes fonctions de gestion qu'un autre
avec un écran et une souris.
Un administrateur des services AD DS expérimenté devrait constater que ses

connaissances acquises sont hautement pertinentes. Un administrateur débutant
trouvera que le processus d'apprentissage est beaucoup plus léger.
Vue d'ensemble technique

Ce que vous devez savoir avant de commencer
Cette rubrique suppose que vous connaissez les versions précédentes des services de
domaine Active Directory et ne fournit pas de détails élémentaires sur leurs objectifs ni
leurs fonctionnalités. Pour plus d'informations sur les services AD DS, voir les pages du
portail TechNet dont les liens figurent ci-dessous :
Services de domaine Active Directory pour Windows Server 2008 R2
Services de domaine Active Directory pour Windows Server 2008
Informations techniques de référence Windows Server
Descriptions fonctionnelles
Installation de rôle AD DS
L'installation des services de domaine Active Directory utilise le Gestionnaire de serveur

et Windows PowerShell, comme tous les autres rôles et fonctionnalités dans Windows
Server 2012. Le programme Dcpromo.exe ne fournit plus d'options de configuration de
l'interface graphique utilisateur.
Vous utilisez un Assistant graphique dans le Gestionnaire de serveur ou le module
ServerManager pour Windows PowerShell à la fois dans les installations locales et à
distance. En exécutant plusieurs instances de ces Assistants ou applets de commande et
en ciblant différents serveurs, vous pouvez déployer les services AD DS vers plusieurs
contrôleurs de domaine à la fois et à partir d'une seule console. Même si ces nouvelles
fonctionnalités ne sont pas à compatibilité descendante avec Windows Server 2008 R2
ni des systèmes d'exploitation antérieurs, vous pouvez aussi utiliser encore l'application
Dism.exe introduite dans Windows Server 2008 R2 pour une installation de rôle en local
à partir de la ligne de commande classique.
Configuration de rôle AD DS
La configuration des services de domaine Active Directory (auparavant appelée
DCPROMO) est maintenant une opération discrète effectuée à partir de l’installation de
rôle. Après avoir installé le rôle AD DS, un administrateur configure le serveur comme un
contrôleur de domaine en utilisant un Assistant distinct dans le Gestionnaire de serveur
ou le module Windows PowerShell ADDSDeployment.
La configuration de rôle AD DS s'appuie sur douze ans d'expérience sur le terrain et

configure maintenant les contrôleurs de domaine selon les meilleures pratiques
Microsoft les plus récentes. Par exemple, DNS (Domain Name System) et les catalogues
globaux sont installés par défaut sur chaque contrôleur de domaine.
L’Assistant Configuration des services de domaine Active Directory du Gestionnaire de

serveur fusionne de nombreuses boîtes de dialogue individuelles en moins d’invites et
ne masque plus les paramètres dans un mode « avancé ». L'intégralité du processus de
promotion est contenue dans une boîte de dialogue de taille dynamique pendant
l'installation. L'Assistant et le module Windows PowerShell ADDSDeployment vous
indiquent les problèmes de sécurité et changements notables, avec des liens vers des
informations supplémentaires.
Dcpromo.exe demeure dans Windows Server 2012 pour les installations de ligne de
commande sans assistance uniquement et n'exécute plus l'Assistant Installation
graphique. Il est vivement conseillé de ne plus utiliser Dcpromo.exe pour les installations
sans assistance et de le remplacer par le module ADDSDeployment, car l'exécutable
maintenant déconseillé ne sera pas inclus dans la prochaine version de Windows.
Ces nouvelles fonctionnalités ne sont pas à compatibilité descendante avec Windows

Server 2008 R2 ni des systèmes d'exploitation plus anciens.
） Important
Dcpromo.exe ne contient plus d'Assistant graphique et n'installe plus des fichiers

binaires de rôles ni de fonctionnalités. Si vous tentez d'exécuter Dcpromo.exe à
partir de l'interpréteur de commandes de l'Explorateur, le message suivant s'affiche
:
« L’Assistant Installation des services de domaine Active Directory a été déplacé
dans le Gestionnaire de serveur. Pour plus d’informations, consultez
https://go.microsoft.com/fwlink/?LinkId=220921 .
Si vous tentez d'exécuter Dcpromo.exe /unattend, les fichiers binaires sont quand
même installés, comme dans les systèmes d'exploitation antérieurs, mais
l'avertissement suivant s'affiche :
« L’opération sans assistance dcpromo est remplacée par le module

d’ADDSDeployment pour Windows PowerShell. Pour plus d’informations, consultez
https://go.microsoft.com/fwlink/?LinkId=220924 .
Windows Server 2012 déconseille dcpromo.exe qui ne sera pas inclus dans les
futures versions de Windows, et aucune autre amélioration ne lui sera apportée
dans ce système d'exploitation. Les administrateurs doivent arrêter son utilisation
et passer aux modules Windows PowerShell pris en charge s'ils veulent créer des
contrôleurs de domaine à partir de la ligne de commande.
La configuration de contrôleur de domaine implémente également une phase de

vérification de la configuration requise qui évalue la forêt et le domaine avant de
poursuivre la promotion du contrôleur de domaine. Cette phase inclut la disponibilité
des rôles FSMO, les privilèges d'utilisateur, la compatibilité du schéma étendu et
d'autres exigences. Cette nouvelle conception atténue les problèmes si la promotion du
contrôleur de domaine démarre, puis s'arrête à mi-chemin avec une erreur de
configuration fatale. Elle réduit le risque de trouver des métadonnées de contrôleur de
domaine orphelines dans la forêt ou un serveur qui croit à tort qu'il est contrôleur de
domaine.
Déploiement d’une forêt avec le Gestionnaire

de serveur
Cette section explique comme installer le premier contrôleur de domaine dans un
domaine racine de forêt à l'aide du Gestionnaire de serveur sur un ordinateur Windows
Server 2012 graphique.
Processus d'installation de rôle AD DS avec le

Le diagramme ci-dessous illustre le processus d'installation de rôle des services de
domaine Active Directory, qui commence quand vous exécutez ServerManager.exe et se
termine juste avant la promotion du contrôleur de domaine.
Pool de serveurs et ajout de rôles
Tous les ordinateurs Windows Server 2012 accessibles à partir de l'ordinateur exécutant
le Gestionnaire de serveur peuvent être mis en pool. Une fois mis en pool, vous
sélectionnez ces serveurs pour une installation à distance des services AD DS ou toute
autre option de configuration possible dans le Gestionnaire de serveur.
Pour ajouter des serveurs, choisissez l'une des méthodes suivantes :
Cliquez sur Ajouter d'autres serveurs à gérer dans la fenêtre de bienvenue du

tableau de bord.
Cliquez sur le menu Gérer, puis sélectionnez Ajouter des serveurs.
Cliquez avec le bouton droit sur Tous les serveurs et choisissez Ajouter des
serveurs
La boîte de dialogue Ajouter des serveurs s'affiche :

Vous avez alors trois moyens d'ajouter des serveurs au pool pour les utiliser ou les
regrouper :
Recherche Active Directory (utilise LDAP, requiert que les ordinateurs

appartiennent à un domaine, autorise le filtrage du système d'exploitation et prend
en charge les caractères génériques)
Recherche DNS (utilise l'alias DNS ou l'adresse IP via une diffusion ARP ou NetBIOS
ou une recherche WINS, n'autorise pas le filtrage du système d'exploitation et ne
prend pas en charge les caractères génériques)
Importation (utilise une liste au format texte des serveurs séparés par CR/LF)
Cliquez sur Rechercher maintenant pour retourner une liste des serveurs de ce même
domaine Active Directory auquel l'ordinateur est joint, puis cliquez sur un ou plusieurs
noms de serveur dans la liste. Cliquez sur la flèche droite pour ajouter les serveurs à la
liste Sélectionné. Utilisez la boîte de dialogue Ajouter des serveurs pour ajouter des
serveurs sélectionnés aux groupes de rôles du tableau de bord. Vous pouvez également
cliquer sur Gérer, puis sur Créer un groupe de serveurs ou sur Créer un groupe de
serveurs dans la fenêtre BIENVENUE DANS GESTIONNAIRE DE SERVEUR du tableau de
bord pour créer des groupes de serveurs personnalisés.
７ Notes
La procédure Ajouter des serveurs ne valide pas le fait qu’un serveur est en ligne ou
accessible. Toutefois, tous les serveurs inaccessibles sont marqués d'un indicateur
dans l'affichage Facilité de gestion du Gestionnaire de serveur à la prochaine
actualisation.
Vous pouvez installer des rôles à distance sur n'importe quel ordinateur Windows Server
2012 ajouté au pool, comme illustré ci-dessous :
Vous ne pouvez pas gérer entièrement des serveurs exécutant des systèmes
d'exploitation antérieurs à Windows Server 2012. La sélection Ajouter des rôles et
fonctionnalités exécute le module Windows PowerShell ServerManager Install-
WindowsFeature.
Vous pouvez également utiliser le tableau de bord du Gestionnaire de serveur sur un

contrôleur de domaine existant pour sélectionner l'installation des services AD DS sur un
serveur distant avec le rôle déjà présélectionné en cliquant avec le bouton droit sur la
vignette du tableau de bord des services AD DS et en sélectionnant Ajouter AD DS à un
autre serveur. Cela revient à appeler Install-WindowsFeature AD-Domain-Services.
L'ordinateur sur lequel vous exécutez le Gestionnaire de serveur se met en pool

automatiquement. Pour installer le rôle AD DS ici, il vous suffit de cliquer sur le menu
Gérer et sur Ajouter des rôles et fonctionnalités.
Type d’installation
La boîte de dialogue Type d'installation fournit une option qui ne prend pas en charge
les services de domaine Active Directory : Installation basée sur un scénario des
services Bureau à distance. Cette option autorise uniquement les services Bureau à
distance dans une charge de travail distribuée multiserveur. Si vous la sélectionnez, les
services de domaine Active Directory ne peuvent pas être installés.
Laissez toujours la sélection par défaut en place lors de l'installation des services de
domaine Active Directory : Installation basée sur un rôle ou une fonctionnalité.
Sélection du serveur
La boîte de dialogue Sélection du serveur vous permet de choisir l'un des serveurs
précédemment ajoutés au pool, tant qu'il est accessible. Le serveur local exécutant le
Gestionnaire de serveur est automatiquement disponible.
En outre, vous pouvez sélectionner des fichiers VHD Hyper-V hors connexion avec le
système d'exploitation Windows Server 2012 et le Gestionnaire de serveur leur ajoute
directement le rôle via la maintenance des composants. Cela vous permet
d'approvisionner les serveurs virtuels avec les composants nécessaires avant de les
configurer davantage.
Rôles et fonctionnalités de serveur

Sélectionnez le rôle Services de domaine Active Directory si vous envisagez de
promouvoir un contrôleur de domaine. Toutes les fonctionnalités d'administration et
tous les services requis Active Directory sont automatiquement installes, même s'ils font
soi-disant partie d'un autre rôle ou ne semblent pas être sélectionnés dans l'interface du
Gestionnaire de serveur.
Le Gestionnaire de serveur présente également une boîte de dialogue d'information qui

indique les fonctionnalités de gestion installées implicitement par ce rôle ; cela est
équivalent à l'argument -IncludeManagementTools.
D'autres Fonctionnalités peuvent être ajoutées ici si vous le souhaitez.
Active Directory Domain Services

La boîte de dialogue Services de domaine Active Directory fournit des informations
limitées sur la configuration requise et les meilleures pratiques. Elle a pour fonction
principale de confirmer que vous avez choisi le rôle AD DS : si cet écran ne s’affiche pas,
vous n’avez pas sélectionné AD DS.
Confirmation
La boîte de dialogue Confirmation est le point de contrôle final avant le début de
l'installation du rôle. Elle permet de redémarrer l'ordinateur si nécessaire après
l'installation du rôle, mais l'installation des services AD DS ne nécessite pas de
redémarrage.
En cliquant sur Installer, vous confirmez que vous êtes prêt à commencer l'installation
du rôle. Vous ne pouvez pas annuler une installation de rôle une fois qu'elle a
commencé.
Résultats
La boîte de dialogue Résultats indique la progression et l'état de l'installation en cours.

L'installation de rôle continue que le Gestionnaire de serveur soit fermé ou non.
La vérification des résultats de l'installation est toujours recommandée. Si vous fermez la

boîte de dialogue Résultats avant la fin de l'installation, vous pouvez vérifier les résultats
à l'aide de l'indicateur de notification du Gestionnaire de serveur. Le Gestionnaire de
serveur affiche également un message d'avertissement pour tous les serveurs qui ont
installé le rôle AD DS mais qui n'ont pas été davantage configurés en tant que
Notifications de tâche
Détails AD DS
Détails de la tâche
Promouvoir en contrôleur de domaine

À la fin de l'installation du rôle AD DS, vous pouvez poursuivre la configuration en
utilisant le lien Promouvoir ce serveur en contrôleur de domaine. Cette opération est
requise pour transformer le serveur en contrôleur de domaine, mais n'est pas nécessaire
pour exécuter l'Assistant Configuration immédiatement. Par exemple, vous pouvez
vouloir uniquement approvisionner les serveurs avec les fichiers binaires AD DS avant de
les envoyer à une autre filiale pour une configuration ultérieure. En ajoutant le rôle AD
DS avant l'expédition, vous gagnez du temps quand il arrive à destination. Vous suivez
également la meilleure pratique qui consiste à ne pas garder un contrôleur de domaine
hors connexion pendant des jours ou des semaines. Enfin, vous avez la possibilité de
mettre à jour les composants avant la promotion du contrôleur de domaine, ce qui vous
épargne au moins un autre redémarrage.
La sélection de ce lien à une étape ultérieure appelle les applets de commande

ADDSDeployment : install-addsforest, install-addsdomain ou install-
addsdomaincontroller.
Désinstallation/Désactivation
Vous supprimez le rôle AD DS comme n'importe quel autre rôle, que vous ayez ou non
promu le serveur en contrôleur de domaine. Toutefois, la suppression du rôle AD DS
nécessite un redémarrage quand elle est terminée.
La suppression des rôles dans les services de domaine Active Directory est différente de
l'installation, car elle nécessite une rétrogradation du contrôleur de domaine pour être
effectuée. Cela est nécessaire pour empêcher que les fichiers binaires de rôle d'un
contrôleur de domaine ne soient désinstallés sans un nettoyage des métadonnées
approprié dans la forêt. Pour plus d’informations, voir Rétrogradation de contrôleurs de
domaine et de domaines (niveau 200).
２ Avertissement
La suppression des rôles AD DS avec Dism.exe ou le module DISM Windows

PowerShell après la promotion vers un contrôleur de domaine n'est pas prise en
charge et empêche le démarrage normal du serveur.
À la différence du Gestionnaire de serveur ou du module de déploiement des

services AD DS pour Windows PowerShell, DISM est un système de maintenance
natif sans connaissance inhérente des services AD DS ni de leur configuration.
N'utilisez pas Dism.exe ni le module DISM Windows PowerShell pour désinstaller le
rôle AD DS sauf si le serveur n'est plus un contrôleur de domaine.
Créer un domaine racine de forêt AD DS avec le

Le diagramme suivant illustre le processus de configuration des services de domaine
Active Directory quand vous avez auparavant installé le rôle AD DS et démarré
l'Assistant Configuration des services de domaine Active Directory à l'aide du
Gestionnaire de serveur.
Configuration du déploiement
Le Gestionnaire de serveur commence la promotion de chaque contrôleur de domaine
par la page Configuration de déploiement. Dans cette page et les pages suivantes, les
options disponibles et les champs requis varient selon l’opération de déploiement que
vous sélectionnez.
Pour créer une forêt Active Directory, cliquez sur Ajouter une nouvelle forêt. Vous devez
indiquer un nom de domaine racine valide ; le nom ne peut pas être en une partie (par
exemple, le nom doit être contoso.com ou équivalent et non uniquement contoso) et doit
satisfaire aux conditions d'attribution des noms de domaine DNS.
Pour plus d’informations sur les noms de domaine valides, voir l’article de la Base de
connaissances Conventions d’affectation de noms dans Active Directory pour les
ordinateurs, domaines, sites et unités d’organisation
２ Avertissement
Ne créez pas de forêts Active Directory portant le même nom qu'un DNS externe.
Par exemple, si votre URL DNS Internet est http://contoso.com , vous devez
choisir un nom différent pour que votre forêt interne évite tout problème de
compatibilité futur. Ce nom doit être unique et faire l'objet d'une utilisation peu
probable en termes de trafic web. Par exemple, corp.contoso.com.
Une nouvelle forêt ne nécessite pas de nouvelles informations d'identification pour le

compte Administrateur du domaine. Le processus de promotion du contrôleur de
domaine utilise les informations d'identification du compte Administrateur intégré à
partir du premier contrôleur de domaine utilisé pour créer la racine de forêt. Il n'existe
aucun moyen (par défaut) de désactiver ni de verrouiller le compte Administrateur
intégré et il peut s'agir du seul point d'entrée dans une forêt si les autres comptes du
domaine administratif ne sont pas utilisables. Il est essentiel de connaître le mot de
passe avant le déploiement d'une nouvelle forêt.
DomainName nécessite un nom DNS de domaine complet valide et est requis.
Options de contrôleur de domaine :
La page Options du contrôleur de domaine vous permet de configurer le niveau

fonctionnel de forêt et le niveau fonctionnel de domaine pour le nouveau domaine
racine de forêt. Par défaut, ces paramètres sont Windows Server 2012 dans un nouveau
domaine racine de forêt. Le niveau fonctionnel de forêt Windows Server 2012 ne fournit
aucune nouvelle fonctionnalité par rapport au niveau fonctionnel de forêt Windows
Server 2008 R2. Le niveau fonctionnel du domaine Windows Server 2012 est requis
uniquement pour implémenter les nouveaux paramètres Kerberos « toujours fournir des
revendications » et « faire échouer les demandes d’authentification non limitées ». Un
des usages principaux pour les niveaux fonctionnels dans Windows Server 2012 consiste
à limiter la participation au domaine aux contrôleurs de domaine qui répondent à la
configuration minimale requise du système d’exploitation autorisé. En d’autres termes,
vous pouvez spécifier que les contrôleurs de domaine en lecture seule avec le niveau
fonctionnel de domaine Windows Server 2012 qui exécutent Windows Server 2012
peuvent héberger le domaine. Windows Server 2012 implémente un nouvel indicateur
de contrôleur de domaine appelé DS_WIN8_REQUIRED dans la fonction DSGetDcName
de NetLogon qui localise exclusivement les contrôleurs de domaine Windows
Server 2012. Vous bénéficiez ainsi de la souplesse d'une forêt plus homogène ou
hétérogène qui permet aux systèmes d'exploitation d'être exécutés sur des contrôleurs
de domaine.
Pour plus d’informations sur la localisation d’un contrôleur de domaine, voir Fonctions
du service d’annuaire.
La seule fonction de contrôleur de domaine configurable est l'option Serveur DNS.

Microsoft recommande que tous les contrôleurs de domaine fournissent des services
DNS à des fins de haute disponibilité dans les environnements distribués. Cette option
est donc sélectionnée par défaut pendant l'installation d'un contrôleur de domaine dans
n'importe quel mode ou domaine. Les options de contrôleur de domaine en lecture
seule et de catalogue global ne sont pas disponibles pendant la création d'un domaine
racine de forêt ; le premier contrôleur de domaine doit être un catalogue global et ne
peut pas être un contrôleur de domaine en lecture seule.
Le Mot de passe du mode de restauration des services d'annuaire spécifié doit

respecter la stratégie de mot de passe appliquée au serveur. Celle-ci, par défaut, ne
requiert pas un mot de passe fort, mais seulement un mot de passe non vide. Choisissez
toujours un mot de passe fort complexe ou, de préférence, une phrase secrète.
Options DNS et informations d'identification de délégation DNS
La page Options DNS vous permet de configurer la délégation DNS et de fournir

d'autres informations d'identification d'administration DNS.
Vous ne pouvez pas configurer la délégation ni les options DNS dans l'Assistant
Configuration des services de domaine Active Directory pendant l'installation d'un
nouveau domaine racine de forêt Active Directory où vous avez sélectionné Serveur
DNS dans la page Options du contrôleur de domaine. L'option Créer une délégation
DNS est disponible pendant la création d'une zone DNS racine de forêt dans une
infrastructure de serveur DNS existante. Cette option vous permet de fournir d'autres
informations d'identification d'administration DNS avec les droits de mise à jour de la
zone DNS.
Pour plus d’informations sur la nécessité de créer une délégation DNS, voir Présentation
de la délégation de zone.
Options supplémentaires
La page Options supplémentaires indique le nom NetBIOS du domaine et vous permet

de le remplacer. Par défaut, le nom de domaine NetBIOS correspond à la partie la plus à
gauche du nom de domaine complet fourni dans la page Configuration de
déploiement. Par exemple, si vous avez indiqué le nom de domaine complet
corp.contoso.com, le nom de domaine NetBIOS par défaut est CORP.
Si le nom contient au maximum 15 caractères et n'est en conflit avec aucun autre nom
NetBIOS, il n'est pas modifié. S'il est en conflit avec un autre nom NetBIOS, un numéro
est ajouté au nom. Si le nom contient plus de 15 caractères, l'Assistant propose une
suggestion tronquée unique. Dans les deux cas, l'Assistant valide d'abord que le nom
n'est pas déjà utilisé via une recherche WINS et une diffusion NetBIOS.
Pour plus d’informations sur les noms de domaine valides, voir l’article de la Base de
connaissances Conventions d’affectation de noms dans Active Directory pour les
ordinateurs, domaines, sites et unités d’organisation
Chemins d'accès
La page Chemins d’accès vous permet de remplacer les emplacements de dossier par
défaut de la base de données AD DS, des journaux de transaction de base de données
et du partage SYSVOL. Les emplacements par défaut sont toujours dans des sous-
répertoires de %systemroot% (autrement dit, C:\Windows).
Examiner les options et Afficher le script

La page Examiner les options vous permet de valider vos paramètres et de vérifier qu'ils
répondent à vos exigences avant le démarrage de l'installation. Notez que vous avez
encore la possibilité d'arrêter l'installation quand vous utilisez le Gestionnaire de
serveur. Il s'agit simplement d'une option permettant de confirmer vos paramètres avant
de poursuivre la configuration
La page Examiner les options du Gestionnaire de serveur offre également un bouton

Afficher le script facultatif pour créer un fichier texte Unicode qui contient la
configuration ADDSDeployment actuelle sous forme d’un script Windows PowerShell
unique. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de serveur sous
forme d’un studio de déploiement Windows PowerShell. Utilisez l’Assistant
Configuration des services de domaine Active Directory pour configurer les options,
exportez la configuration, puis annulez l’Assistant. Ce processus crée un exemple valide
et correct du point de vue syntaxique pour permettre des modifications ultérieures ou
une utilisation directe. Par exemple :
PowerShell
# Windows PowerShell Script for AD DS Deployment
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDNSDelegation `
-DatabasePath "C:\Windows\NTDS" `
-DomainMode "Win2012" `
-DomainName "corp.contoso.com" `
-DomainNetBIOSName "CORP" `
-ForestMode "Win2012" `
-InstallDNS:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SYSVOLPath "C:\Windows\SYSVOL"
-Force:$true
７ Notes
Le Gestionnaire de serveur renseigne généralement tous les arguments avec des

valeurs pendant la promotion et ne s'appuie pas sur les valeurs par défaut (car elles
peuvent changer entre les futures versions de Windows ou les Service Packs). La
seule exception concerne l'argument -safemodeadministratorpassword (qui est
délibérément omis du script). Pour forcer une demande de confirmation, omettez la
valeur en cas d'exécution interactive de l'applet de commande.

La fonctionnalité Vérification de la configuration requise est nouvelle dans la
configuration de domaine AD DS. Cette nouvelle phase valide que la configuration du
serveur est capable de prendre en charge une nouvelle forêt AD DS.
Pendant l'installation d'un nouveau domaine racine de forêt, l'Assistant Configuration

des services de domaine Active Directory du Gestionnaire de serveur appelle une série
de tests modulaires. Ces tests vous alertent avec des suggestions d'opérations de
réparation. Vous pouvez exécuter les tests autant de fois que nécessaire. Le processus
du contrôleur de domaine ne peut pas continuer tant que tous les tests de configuration
requise ne sont pas réussis.
La fonctionnalité Vérification de la configuration requise met également en évidence

des informations pertinentes, telles que les modifications de sécurité qui affectent les
systèmes d'exploitation plus anciens.
Pour plus d'informations sur les vérifications spécifiques de la configuration requise, voir
Vérification de la configuration requise.
Installation
Lorsque la page Installation s'affiche, la configuration du contrôleur de domaine

commence et ne peut pas être arrêtée ni annulée. Les opérations détaillées s'affichent
dans cette page et sont écrites dans les journaux :
%systemroot%\debug\dcpromo.log
%systemroot%\debug\dcpromoui.log
７ Notes
Vous pouvez exécuter plusieurs Assistants pour l'installation des rôles et la

configuration des services de domaine Active Directory à partir de la même console
du Gestionnaire de serveur en même temps.
Résultats
La page Résultats indique la réussite ou l'échec de la promotion et toute information

d'administration importante. Le contrôleur de domaine redémarre automatiquement
après 10 secondes.
Déploiement d'une forêt avec Windows

PowerShell
Cette section explique comme installer le premier contrôleur de domaine dans un
domaine racine de forêt à l'aide de Windows PowerShell sur un ordinateur Windows
Server 2012 de base.
Processus d'installation de rôle AD DS avec Windows
PowerShell
En implémentant quelques applets de commande de déploiement ServerManager
simples dans vos processus de déploiement, vous concrétisez davantage la vision de
l'administration simplifiée AD DS.
La figure suivante illustre le processus d'installation de rôle des services de domaine

Active Directory, qui commence quand vous exécutez PowerShell.exe et se termine juste
avant la promotion du contrôleur de domaine.
Applet de Arguments (ceux en gras sont requis, et ceux en italique peuvent

commande être spécifiés à l’aide de Windows PowerShell ou de l’Assistant
ServerManager Configuration des services de domaine Active Directory.)
Install- -Name
WindowsFeature/Add-
WindowsFeature -Restart
-IncludeAllSubFeature
-IncludeManagementTools
-Source
-ComputerName
-Credential
-LogPath
-Vhd
-ConfigurationFilePath
７ Notes
Même s'il n'est pas requis, l'argument -IncludeManagementTools est vivement

conseillé pendant l'installation des fichiers binaires du rôle AD DS.
Le module ServerManager expose les parties de l'installation du rôle, de l'état et de la
suppression du nouveau module DISM pour Windows PowerShell. Cette disposition
simplifie la plupart des tâches et réduit le besoin d'utiliser directement le puissant (mais
dangereux en cas d'utilisation incorrecte) module DISM.
Utilisez Get-Command pour exporter les alias et applets de commande dans

ServerManager.
PowerShell
Get-Command -module ServerManager
Par exemple :
Pour ajouter le rôle Services de domaine Active Directory, exécutez simplement Install-
WindowsFeature avec le nom de rôle AD DS en tant qu'argument. Comme le
Gestionnaire de serveur, tous les services requis implicites du rôle AD DS sont
automatiquement installés.
PowerShell
Install-WindowsFeature -name AD-Domain-Services
Si vous voulez également installer les outils de gestion des services AD DS, ce qui est
vivement conseillé, indiquez l'argument -IncludeManagementTools :
PowerShell
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
Par exemple :
Pour répertorier l'ensemble des fonctionnalités et rôles avec leur état d'installation,
utilisez Get-WindowsFeature sans arguments. Spécifiez l'argument -ComputerName
pour l'état d'installation à partir d'un serveur distant.
PowerShell
Get-WindowsFeature
Comme Get-WindowsFeature n'a pas de mécanisme de filtrage, vous devez utiliser

Where-Object avec un pipeline pour trouver des fonctionnalités spécifiques. Le pipeline
est un canal utilisé entre plusieurs applets de commande pour transmettre les données
et l'applet de commande Where-Object agit comme un filtre. La variable $_ intégrée
joue le rôle de l'objet actuel qui traverse le pipeline avec toutes les propriétés qu'il peut
contenir.
PowerShell
Get-WindowsFeature | where-object <options>
Par exemple, pour retrouver toutes les fonctionnalités contenant « Active Dir » dans leur
propriété Display Name, utilisez :
PowerShell
Get-WindowsFeature | where displayname -like "*active dir*"
D'autres exemples sont illustrés ci-dessous :

Pour plus d’informations sur d’autres opérations Windows PowerShell avec des pipelines
et Where-Object, voir Définition et utilisation des pipelines dans Windows PowerShell.
Notez également que Windows PowerShell 3.0 a considérablement simplifié les

arguments de ligne de commande nécessaires dans cette opération de pipeline.
Windows PowerShell 2.0 aurait requis les éléments suivants :
PowerShell
Get-WindowsFeature | where {$_.displayname - like "*active dir*"}
En utilisant le pipeline Windows PowerShell, vous pouvez créer des résultats lisibles. Par
exemple :
PowerShell
Install-WindowsFeature | Format-List
Install-WindowsFeature | select-object | Format-List
Notez comment l'utilisation de l'applet de commande Select-Object avec l'argument -

expandproperty retourne des données intéressantes :
７ Notes
L'argument Select-Object -expandproperty ralentit légèrement les performances

globales de l'installation.
Créer un domaine racine de forêt AD DS avec Windows

PowerShell
Pour installer une nouvelle forêt Active Directory à l'aide du module ADDSDeployment,
utilisez l'applet de commande suivante :
PowerShell
Install-addsforest
L'applet de commande Install-AddsForest comprend uniquement deux phases

(vérification de la configuration requise et installation). Les deux figures ci-dessous
illustrent la phase d'installation avec l'argument requis minimal -domainname.
Applet de Arguments (ceux en gras sont requis, et ceux en italique peuvent être
commande spécifiés à l’aide de Windows PowerShell ou de l’Assistant
ADDSDeployment Configuration des services de domaine Active Directory.)
install-addsforest -Confirm
-CreateDNSDelegation
-DatabasePath
-DomainMode
-DomainName
-DomainNetBIOSName
-DNSDelegationCredential
-ForestMode
-Force
-InstallDNS
-LogPath
-NoDnsOnNetwork
-NoRebootOnCompletion
-SafeModeAdministratorPassword
-SkipAutoConfigureDNS
-SkipPreChecks
-SYSVOLPath
-Whatif
７ Notes
L'argument -DomainNetBIOSName est requis si vous voulez modifier le nom de

15 caractères automatiquement généré en fonction du préfixe du nom de domaine
DNS ou si le nom compte plus de 15 caractères.
L'applet de commande ADDSDeployment Configuration de déploiement du

Gestionnaire de serveur équivalente et les arguments sont les suivants :
PowerShell
Install-ADDSForest
-DomainName <string>
Les arguments de l'applet de commande ADDSDeployment Options du contrôleur de

domaine du Gestionnaire de serveur équivalents sont les suivants :
PowerShell
-ForestMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-InstallDNS <{$false | $true}>
-SafeModeAdministratorPassword <secure string>
Les arguments Install-ADDSForest suivent les mêmes paramètres par défaut que le
Gestionnaire de serveur s'ils ne sont pas spécifiés.
Le fonctionnement de l'argument SafeModeAdministratorPassword est spécial :
S'ils ne sont pas spécifiés en tant qu'arguments, l'applet de commande vous invite
à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation
préféré en cas d’exécution interactive de l’applet de commande.
Par exemple, pour créer une forêt nommée corp.contoso.com et être invité à entrer
et à confirmer un mot de passe masqué :
PowerShell
Install-ADDSForest "DomainName corp.contoso.com
S'ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne
s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet
de commande.
Par exemple, vous pouvez manuellement inviter l'utilisateur à entrer un mot de passe
sous forme d'une chaîne sécurisée à l'aide de l'applet de commande Read-Host.
PowerShell
-safemodeadministratorpassword (read-host -prompt "Password:" -

assecurestring)
２ Avertissement
Étant donné que l’option précédente ne confirme pas le mot de passe, faites
preuve de prudence, car le mot de passe n’est pas visible.
Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte
clair convertie, bien que ceci soit fortement déconseillé.
PowerShell
-safemodeadministratorpassword (convertto-securestring "Password1" -

asplaintext -force)
Enfin, vous pouvez stocker le mot de passe obscurci dans un fichier, puis le réutiliser
plus tard, sans que le mot de passe en texte clair ne s'affiche. Par exemple :
PowerShell
$file = "c:\pw.txt"
$pw = read-host -prompt "Password:" -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file
-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)
２ Avertissement
Il n'est pas recommandé de fournir ni de stocker un mot de passe en texte clair ou

obfusqué. Toute personne qui exécute cette commande dans un script ou qui
regarde par-dessus votre épaule connaît le mot de passe DSRM de ce contrôleur
de domaine. Toute personne ayant accès au fichier peut annuler ce mot de passe
obfusqué. Munie de cette information, elle peut ouvrir une session sur un
contrôleur de domaine en mode DSRM et finir par emprunter l'identité du
contrôleur de domaine lui-même, en élevant ses privilèges au niveau le plus élevé
d'une forêt Active Directory. Une autre procédure utilisant
System.Security.Cryptography pour chiffrer les données du fichier texte est
conseillée, mais n'est pas traitée ici. Le mieux est d'éviter totalement tout stockage
de mot de passe.
L'applet de commande ADDSDeployment offre une autre option permettant d'ignorer la

configuration automatique des paramètres des clients DNS, des redirecteurs et des
indications de racine. Vous ne pouvez pas ignorer cette option de configuration quand
vous utilisez le Gestionnaire de serveur. Cet argument n'est important que si vous avez
installé le rôle Serveur DNS avant de configurer le contrôleur de domaine :
PowerShell
Le fonctionnement de DomainNetBIOSName est également spécial :
Si l'argument DomainNetBIOSName n'est pas spécifié avec un nom de domaine

NetBIOS et que le nom de domaine avec préfixe en une partie dans l'argument
DomainName contient au maximum 15 caractères, la promotion continue avec un
nom généré automatiquement.
Si l'argument DomainNetBIOSName n'est pas spécifié avec un nom de domaine

NetBIOS et que le nom de domaine avec préfixe en une partie dans l'argument
DomainName contient au minimum 16 caractères, la promotion échoue.
Si l'argument DomainNetBIOSName est spécifié avec un nom de domaine

NetBIOS de 15 caractères au maximum, la promotion continue avec ce nom
spécifié.
Si l'argument DomainNetBIOSName est spécifié avec un nom de domaine

NetBIOS de 16 caractères au minimum, la promotion échoue.
L'argument de l'applet de commande ADDSDeployment Options supplémentaires du

Gestionnaire de serveur équivalent est le suivant :
PowerShell
-domainnetbiosname <string>
Les arguments de l'applet de commande ADDSDeployment Chemins d'accès du

Gestionnaire de serveur équivalents sont les suivants :
PowerShell
-databasepath <string>
-logpath <string>
-sysvolpath <string>
Utilisez l'argument Whatif facultatif avec l'applet de commande Install-ADDSForest

pour passer en revue les informations de configuration. Cela vous permet de voir les
valeurs explicites et implicites des arguments d'une applet de commande.
Par exemple :
Vous ne pouvez pas ignorer la fonctionnalité Vérification de la configuration requise
quand vous utilisez le Gestionnaire de serveur, mais vous pouvez ignorer le processus
quand vous utilisez l'applet de commande de déploiement des services AD DS avec
l'argument suivant :
PowerShell
-skipprechecks
２ Avertissement
Microsoft déconseille d'ignorer la vérification de la configuration requise, car cela

peut aboutir à une promotion partielle du contrôleur de domaine ou à
l'endommagement de la forêt AD DS.
Notez comment, de la même façon que le Gestionnaire de serveur, Install-ADDSForest

vous rappelle que la promotion redémarre automatiquement le serveur.
Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force
ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell
ADDSDeployment. Pour empêcher le serveur de redémarrer automatiquement à la fin
de la promotion, utilisez l'argument -norebootoncompletion.
２ Avertissement
Il n'est pas conseillé de remplacer le redémarrage. Le contrôleur de domaine doit

redémarrer pour fonctionner correctement.
Voir aussi
services de domaine Active Directory (portail TechNet)Services de domaine Active
Directory pour Windows Server 2008 R2Services de domaine Active Directory pour
Windows Server 2008Référence technique Windows Server (Windows
Server 2003)Centre d’administration Active Directory : Prise en main (Windows
Server 2008 R2)Administration d’Active Directory avec Windows PowerShell (Windows
Server 2008 R2)Demandez à l’équipe des services Directory (blog officiel du support
technique commercial Microsoft)
Installer un contrôleur de domaine
Windows Server 2012 répliqué dans un
domaine existant (niveau 200)

Cette rubrique décrit les étapes nécessaires à la mise à niveau d'une forêt ou d'un
domaine existant vers Windows Server 2012 à l'aide du Gestionnaire de serveur ou de
Windows PowerShell. Elle explique comment ajouter des contrôleurs de domaine qui
exécutent Windows Server 2012 à un domaine existant.
Workflow de mise à niveau et de réplication
Mise à niveau et réplication dans Windows PowerShell
Déploiement
Workflow de mise à niveau et de réplication

Gestionnaire de serveur pour créer un contrôleur de domaine dans un domaine existant.
Mise à niveau et réplication dans Windows
PowerShell
Applet de Arguments (ceux en gras sont requis et ceux en italique peuvent
Install- -SkipPreChecks
AddsDomaincontroller -DomainName
-SiteName
-ADPrepCredential
-ApplicationPartitionsToReplicate
-AllowDomainControllerReinstall
-Confirm
-Credential
-CriticalReplicationOnly
-DatabasePath
-Force
-InstallationMediaPath
-InstallDNS
-LogPath
-MoveInfrastructureOperationMasterRoleIfNecessary
-NoDnsOnNetwork
-NoGlobalCatalog
-Norebootoncompletion
-ReplicationSourceDC
-SiteName
-SystemKey
-SYSVOLPath
-UseExistingAccount
-Whatif
７ Notes
L'argument -credential est uniquement requis si vous n'êtes pas déjà connecté en
tant que membre des groupes Administrateurs de l'entreprise et Administrateurs
du schéma (si vous mettez à niveau la forêt) ou du groupe Admins du domaine (si
vous ajoutez un nouveau contrôleur de domaine à un domaine existant).
Déploiement

vous sélectionnez.
Pour mettre à niveau une forêt existante ou ajouter un contrôleur de domaine accessible
en écriture à un domaine existant, cliquez sur Ajouter un contrôleur de domaine à un
domaine existant et sur le bouton Sélectionner associé à Spécifiez les informations de
domaine pour cette opération. Le cas échéant, le Gestionnaire de serveur vous invite à
entrer des informations d’identification valides.
La mise à niveau de la forêt nécessite des informations d'identification qui incluent des
appartenances aux groupes Administrateurs de l'entreprise et Administrateurs du
schéma dans Windows Server 2012. L’Assistant Configuration des services de domaine
Active Directory vous avertit par la suite si vos informations d’identification actuelles ne
comptent pas les autorisations ou les appartenances aux groupes appropriées.
Le processus Adprep automatique est la seule différence opérationnelle entre l'ajout

d'un contrôleur de domaine à un domaine Windows Server 2012 existant et un domaine
dans lequel les contrôleurs exécutent une version antérieure de Windows Server.
L'applet de commande ADDSDeployment de configuration du déploiement et les

arguments sont les suivants :
Install-AddsDomainController
-domainname <string>
-credential <pscredential>
Certains tests sont effectués sur chaque page et une partie d'entre eux sont répétés plus
tard en tant que vérifications discrètes de la configuration requise. Par exemple, si le
domaine sélectionné ne répond pas aux niveaux fonctionnels minimaux, vous n'avez pas
besoin de procéder à toute la promotion jusqu'à la vérification de la configuration
requise pour découvrir ce qui suit :

La page Options du contrôleur de domaine spécifie les fonctions du contrôleur de
domaine pour le nouveau contrôleur de domaine. Les fonctions du contrôleur de
domaine configurables sont Serveur DNS, Catalogue global et Contrôleur de domaine
en lecture seule. Microsoft recommande que tous les contrôleurs de domaine
fournissent des services DNS et de catalogue global à des fins de haute disponibilité
dans les environnements distribués. Le catalogue global est toujours sélectionné par
défaut et le serveur DNS est sélectionné par défaut si le domaine actuel héberge déjà
DNS sur ses contrôleurs de domaine, selon une requête SOA (Start-of-Authority). La
page Options du contrôleur de domaine vous permet également de choisir le nom de
site logique Active Directory approprié à partir de la configuration de la forêt. Par
défaut, le sous-réseau le mieux adapté est sélectionné. S'il n'existe qu'un site, celui-ci est
automatiquement sélectionné.
７ Notes
Si le serveur n'appartient pas à un sous-réseau Active Directory et qu'il existe

plusieurs sites Active Directory, rien n'est sélectionné et le bouton Suivant
n'apparaît que quand vous avez choisi un site dans la liste.

respecter la stratégie de mot de passe appliquée au serveur. Choisissez toujours un mot
de passe fort complexe ou, de préférence, une phrase secrète.
Les arguments ADDSDeployment Options du contrôleur de domaine sont les suivants :

-NoGlobalCatalog <{$false | $true}>
-sitename <string>
） Important
Le nom du site doit déjà exister s’il est fourni en tant qu’argument à -sitename.
L'applet de commande install-AddsDomainController ne crée pas de site. Vous
pouvez utiliser l'applet de commande new-adreplicationsite pour créer des sites.
Par exemple, pour créer un autre contrôleur de domaine dans le domaine

treyresearch.net et être invité à entrer et à confirmer un mot de passe masqué :
Install-ADDSDomainController "DomainName treyresearch.net "credential

(get-credential)
de commande.

assecurestring)
２ Avertissement

asplaintext -force)
$file = "c:\pw.txt"
２ Avertissement

de mot de passe.
L'applet de commande ADDSDeployment offre une autre option permettant d'ignorer la

indications de racine. Vous ne pouvez pas ignorer cette option de configuration quand
vous utilisez le Gestionnaire de serveur. Cet argument n'est important que si vous avez
installé le rôle Serveur DNS avant de configurer le contrôleur de domaine :
La page Options du contrôleur de domaine vous avertit que vous ne pouvez pas créer
de contrôleurs de domaine en lecture seule si vos contrôleurs de domaine existants
exécutent Windows Server 2003. Ce scénario est prévu et vous pouvez fermer
l'avertissement.
Options DNS et informations d'identification de

délégation DNS
La page Options DNS vous permet de configurer la délégation DNS si vous avez
sélectionné l'option Serveur DNS dans la page Options du contrôleur de domaine et si
vous pointez vers une zone où les délégations DNS sont autorisées. Il est possible que
vous deviez fournir d'autres informations d'identification d'un utilisateur qui est membre
du groupe Administrateurs DNS.
Les arguments de l'applet de commande ADDSDeployment Options DNS sont les

suivants :
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Pour plus d’informations sur la nécessité de créer une délégation DNS, voir Présentation
de la délégation de zone.
La page Options supplémentaires offre l'option de configuration permettant de

nommer un contrôleur de domaine en tant que source de réplication ; vous pouvez
aussi utiliser n'importe quel contrôleur de domaine comme source de réplication.
Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un support
sauvegardé à l’aide de l’option Installation à partir du support (IFM). La case Installation
à partir du support fournit une option de navigation quand elle est cochée et vous
devez cliquer sur Vérifier pour garantir que le chemin d'accès indiqué est un support
valide. Le support utilisé par l'option Installation à partir du support est créé avec
Sauvegarde Windows Server ou Ntdsutil.exe à partir d'un autre ordinateur Windows
Server 2012 existant uniquement ; vous ne pouvez pas utiliser Windows Server 2008 R2
ni un système d'exploitation antérieur pour créer des supports pour un contrôleur de
domaine Windows Server 2012. Pour plus d'informations sur les modifications apportées
à l'option Installation à partir du support, voir Annexe de l'administration simplifiée. En
cas d'utilisation du support protégé avec SYSKEY, le Gestionnaire de serveur vous invite
à entrer le mot de passe de l'image pendant la vérification.
Les arguments de l'applet de commande ADDSDeployment Options supplémentaires
sont les suivants :
-replicationsourcedc <string>
-installationmediapath <string>
-syskey <secure string>
Chemins d'accès
répertoires de %systemroot%.
Les arguments de l'applet de commande ADDSDeployment Chemins d'accès Active

Directory sont les suivants :
-logpath <string>
Options de préparation
La page Options de préparation vous informe que la configuration des services de

domaine Active Directory comprend l'extension du schéma (forestprep) et la mise à jour
du domaine (domainprep). Cette page ne s'affiche que quand la forêt et le domaine
n'ont pas été préparés par une précédente installation de contrôleur de domaine
Windows Server 2012 ni par une exécution manuelle d'Adprep.exe. Par exemple,
l'Assistant Configuration des services de domaine Active Directory supprime cette page
si vous ajoutez un nouveau contrôleur de domaine à un domaine racine de forêt
Windows Server 2012 existant.
L'extension du schéma et la mise à jour du domaine ne se produisent pas quand vous

cliquez sur Suivant. Ces événements se produisent uniquement pendant la phase
d'installation. Cette page vous informe simplement des événements qui vont se
produire plus tard pendant l'installation.
Cette page valide également que les informations d'identification de l'utilisateur actuel
sont membres des groupes Administrateurs de l'entreprise et Administrateurs du
schéma, car l'appartenance à ces groupes est nécessaire pour étendre le schéma ou
préparer un domaine. Cliquez sur Modifier pour fournir des informations d'identification
d'utilisateur appropriées si la page vous indique que les informations d'identification
actuelles n'offrent pas des autorisations suffisantes.
L’argument supplémentaire de l’applet de commande ADDSDeployment est :
-adprepcredential <pscredential>
） Important
Comme avec les versions précédentes de Windows Server, la préparation du

domaine automatisée pour les contrôleurs de domaine qui exécutent Windows
Server 2012 n'exécute pas GPPREP. Exécutez adprep.exe /gpprep manuellement
pour tous les domaines qui n'étaient pas auparavant préparés pour Windows
Server 2003, Windows Server 2008 ni Windows Server 2008 R2. Vous ne devez
exécuter GPPrep qu'une seule fois dans l'historique d'un domaine et non avec
chaque mise à niveau. Adprep.exe n'exécute pas /gpprep automatiquement, car
l'opération peut provoquer une nouvelle réplication de tous les fichiers et dossiers
dans le dossier SYSVOL sur tous les contrôleurs de domaine.
La commande RODCPrep automatique est exécutée quand vous promouvez le

premier contrôleur de domaine en lecture seule non intermédiaire dans un
domaine. Elle n'est pas exécutée quand vous promouvez le premier contrôleur de
domaine Windows Server 2012 accessible en écriture. Vous pouvez aussi exécuter
manuellement adprep.exe /rodcprep si vous envisagez de déployer des
La page Examiner les options vous permet de valider vos paramètres et de vérifier qu’ils
répondent à vos exigences avant le démarrage de l’installation. Notez que vous avez
encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de serveur. Cette
page vous permet simplement d’examiner et de confirmer vos paramètres avant de
poursuivre la configuration.

une utilisation directe.
Par exemple :
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DomainName "root.fabrikam.com" `
-InstallDNS:$true `
-SiteName "Default-First-Site-Name" `
-Force:$true
７ Notes

seule exception concerne l'argument -safemodeadministratorpassword. Pour
forcer une demande de confirmation, omettez la valeur en cas d'exécution
interactive de l'applet de commande.
Utilisez l'argument Whatif facultatif avec l'applet de commande Install-

ADDSDomainController pour passer en revue les informations de configuration.
Cela vous permet de voir les valeurs explicites et implicites des arguments d'une
applet de commande.
configuration de domaine AD DS. Cette nouvelle phase valide que le domaine et la forêt
sont capables de prendre en charge un nouveau contrôleur de domaine Windows
Server 2012.
Pendant l'installation d'un nouveau contrôleur de domaine, l'Assistant Configuration des

services de domaine Active Directory du Gestionnaire de serveur appelle une série de
tests modulaires sérialisés. Ces tests vous alertent avec des suggestions d'opérations de
réparation. Vous pouvez exécuter les tests autant de fois que nécessaire. Le processus
du contrôleur de domaine ne peut pas continuer tant que tous les tests de configuration
requise ne sont pas réussis.


-skipprechecks
２ Avertissement

Cliquez sur Installer pour commencer le processus de promotion du contrôleur de

domaine. Il s'agit de la dernière possibilité d'annuler l'installation. Vous ne pouvez pas
annuler le processus de promotion une fois qu'il a commencé. L'ordinateur redémarre
automatiquement à la fin de la promotion, quel qu'en soit le résultat. La page
Vérification de la configuration requise affiche tous les problèmes rencontrés pendant
le processus et des indications pour les résoudre.
Installation

%systemroot%\debug\adprep\logs
%systemroot%\debug\netsetup.log (si le serveur est dans un groupe de travail)
Install-addsdomaincontroller
Pour connaître les arguments requis et facultatifs, voir Mise à niveau et réplication dans
Windows PowerShell.
L'applet de commande Install-AddsDomainController comprend uniquement deux
phases (vérification de la configuration requise et installation). Les deux figures ci-
dessous illustrent la phase d'installation avec les arguments requis minimaux -
domainname et -credential. Notez comment l'opération Adprep a lieu
automatiquement dans le cadre de l'ajout du premier contrôleur de domaine Windows
Server 2012 à une forêt Windows Server 2003 existante :
Notez comment, de la même façon que le Gestionnaire de serveur, Install-

ADDSDomainController vous rappelle que la promotion redémarre automatiquement le
serveur. Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments
-force ou -confirm:$false avec n'importe quelle applet de commande Windows
PowerShell ADDSDeployment. Pour empêcher le serveur de redémarrer
automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion.
２ Avertissement

Pour configurer un contrôleur de domaine à distance à l’aide de Windows PowerShell,
encapsulez l’applet de commande install-adddomaincontrollerdans l’applet de
commande invoke-command. Cette opération requiert l'utilisation des accolades.
invoke-command {install-addsdomaincontroller "domainname <domain> -

credential (get-credential)} -computername <dc name>
Par exemple :
７ Notes
Pour plus d'informations sur l'installation et le fonctionnement du processus

Adprep, voir Résolution des problèmes de déploiement de contrôleur de
domaine.
Résultats
d'administration importante. En cas de réussite, le contrôleur de domaine redémarre
automatiquement après 10 secondes.
Comme avec les versions précédentes de Windows Server, la préparation du domaine

automatisée pour les contrôleurs de domaine qui exécutent Windows Server 2012
n'exécute pas GPPREP. Exécutez adprep.exe /gpprep manuellement pour tous les
domaines qui n'étaient pas auparavant préparés pour Windows Server 2003, Windows
Server 2008 ni Windows Server 2008 R2. Vous ne devez exécuter GPPrep qu'une seule
fois dans l'historique d'un domaine et non avec chaque mise à niveau. Adprep.exe
n'exécute pas /gpprep automatiquement, car l'opération peut provoquer une nouvelle
réplication de tous les fichiers et dossiers dans le dossier SYSVOL sur tous les
Installer un nouveau domaine enfant ou
domaine d’arborescence Active
Directory Windows Server 2012 (niveau
200)

Cette rubrique explique comment ajouter des domaines enfants et d'arborescence à une
forêt Windows Server 2012 existante à l'aide du Gestionnaire de serveur ou de Windows
PowerShell.
Workflow des domaines enfants et d'arborescence
Domaine enfant et d'arborescence dans Windows PowerShell
Déploiement
Workflow des domaines enfants et

d'arborescence
Gestionnaire de serveur pour créer un domaine dans une forêt existante.
Domaine enfant et d'arborescence dans
Windows PowerShell
AddsDomain -NewDomainName
-ParentDomainName
-ADPrepCredential
-AllowDomainReinstall
-Confirm
-Credential
-DatabasePath
-NoDNSOnNetwork
-DomainMode
-DomainType
-Force
-InstallDNS
-LogPath
-NewDomainNetBIOSName
-NoGlobalCatalog
-NoNorebootoncompletion
-SiteName
-SYSVOLPath
-Whatif
７ Notes
L'argument -credential est uniquement requis quand vous n'êtes actuellement pas
connecté en tant que membre du groupe Administrateurs de l'entreprise.
L'argument -NewDomainNetBIOSName est requis si vous voulez modifier le nom
de 15 caractères automatiquement généré en fonction du préfixe du nom de
domaine DNS ou si le nom compte plus de 15 caractères.
Déploiement
La capture d'écran suivante présente les options permettant d'ajouter un domaine
enfant :
La capture d'écran suivante présente les options permettant d'ajouter un domaine

d'arborescence :
vous sélectionnez.
Cette rubrique combine deux opérations discrètes : la promotion d'un domaine enfant
et la promotion d'un domaine d'arborescence. La seule différence entre les deux
opérations concerne le type de domaine que vous choisissez de créer. Toutes les autres
étapes sont identiques entre les deux opérations.
Pour créer un domaine enfant, cliquez sur Ajouter un nouveau domaine à une
forêt existante et choisissez Domaine enfant. Pour Nom du domaine parent,
tapez ou sélectionnez le nom du domaine parent. Tapez ensuite le nom du
nouveau domaine dans la zone Nouveau nom de domaine. Entrez un nom de
domaine enfant en une partie valide ; le nom doit satisfaire aux conditions
d'attribution des noms de domaine DNS.
Pour créer un domaine d'arborescence dans une forêt existante, cliquez sur
Ajouter un nouveau domaine à une forêt existante et choisissez Domaine de
l'arborescence. Tapez le nom du domaine racine de forêt, puis celui du nouveau
domaine. Entrez un nom de domaine racine complet valide ; le nom ne doit pas
être en une partie et doit satisfaire aux conditions d'attribution des noms de
domaine DNS.
Pour plus d'informations sur les noms DNS, consultez la page Conventions d'affectation
de noms dans Active Directory pour les ordinateurs, domaines, sites et unités
d'organisation .
L'Assistant Configuration des services de domaine Active Directory du Gestionnaire de

serveur vous invite à entrer les informations d'identification du domaine si vos
informations d'identification actuelles ne proviennent pas du domaine. Cliquez sur
Modifier pour fournir des informations d'identification du domaine pour l'opération de
promotion.
L'applet de commande ADDSDeployment de configuration du déploiement et les

arguments sont les suivants :
Install-AddsDomain
-domaintype <{childdomain | treedomain}>
-parentdomainname <string>
-newdomainname <string>

La page Options du contrôleur de domaine spécifie les options du contrôleur de
domaine pour le nouveau contrôleur de domaine. Parmi les options du contrôleur de
domaine configurables figurent Serveur DNS et Catalogue global. Notez que vous ne
pouvez pas configurer un contrôleur de domaine en lecture seule comme premier
contrôleur de domaine dans un nouveau domaine.
Microsoft recommande que tous les contrôleurs de domaine fournissent des services
DNS et de catalogue global à des fins de haute disponibilité dans les environnements
distribués. Le catalogue global est toujours sélectionné par défaut et DNS est
sélectionné par défaut si le domaine actuel héberge déjà DNS sur ses contrôleurs de
domaine, selon une requête SOA (Start-of-Authority). Vous devez également spécifier un
Niveau fonctionnel du domaine. Le niveau fonctionnel par défaut est Windows Server
2012 et vous pouvez choisir toute autre valeur supérieure ou égale au niveau
fonctionnel actuel de la forêt.
La page Options du contrôleur de domaine vous permet également de choisir le nom

de site logique Active Directory approprié à partir de la configuration de la forêt. Par
défaut, le site avec le sous-réseau le mieux adapté est sélectionné. S'il n'existe qu'un site,
celui-ci est automatiquement sélectionné.
） Important

Les arguments de l'applet de commande ADDSDeployment Options du contrôleur de

domaine sont les suivants :
-NoGlobalCatalog <{$false | $true}>
-DomainMode <{Win2003 | Win2008 | Win2008R2 | Win2012 | Default}>
-Sitename <string>
-Credential <pscredential>
） Important
Le nom du site doit déjà exister quand il est fourni en tant que valeur à l'argument
sitename. L'applet de commande install-AddsDomainController ne crée pas de
nom de site. Vous pouvez utiliser l'applet de commande new-adreplicationsite
pour créer des sites.
Les arguments de l'applet de commande Install-ADDSDomainController suivent les

mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.
Par exemple, pour créer un domaine enfant nommé NorthAmerica dans la forêt
Contoso.com et être invité à entrer et à confirmer un mot de passe masqué :
Install-ADDSDomain "NewDomainName NorthAmerica "ParentDomainName

Contoso.com "DomainType Child
de commande.

assecurestring)
２ Avertissement

asplaintext -force)
$file = "c:\pw.txt"
２ Avertissement

de mot de passe.
Le module ADDSDeployment offre une autre option permettant d'ignorer la

indications de racine. Cette option n'est pas configurable en utilisant le Gestionnaire de
serveur. Cet argument n'est important que si vous avez déjà installé le service Serveur
DNS avant de configurer le contrôleur de domaine :
Options DNS et informations d'identification de

délégation DNS
La page Options DNS vous permet d'indiquer d'autres informations d'identification

d'administration DNS pour la délégation.
Pendant l'installation d'un nouveau domaine dans une forêt existante, où vous avez
sélectionné l'installation du service DNS dans la page Options du contrôleur de
domaine, vous ne pouvez configurer aucune option ; la délégation se produit de façon
automatique et irrévocable. Vous avez la possibilité de fournir d'autres informations
d'identification d'administration DNS avec des droits de mise à jour de cette structure.
Les arguments Windows PowerShell ADDSDeployment Options DNS sont les suivants :
-creatednsdelegation
-dnsdelegationcredential <pscredential>
Pour plus d'informations sur la délégation DNS, consultez la page Présentation de la

délégation de zone.
La page Options supplémentaires indique le nom NetBIOS du domaine et vous permet

de le remplacer. Par défaut, le nom de domaine NetBIOS correspond à la partie la plus à
gauche du nom de domaine complet fourni dans la page Configuration de
déploiement. Par exemple, si vous avez indiqué le nom de domaine complet
corp.contoso.com, le nom de domaine NetBIOS par défaut est CORP.
Si le nom contient au maximum 15 caractères et n'est en conflit avec aucun autre nom
NetBIOS, il n'est pas modifié. S'il est en conflit avec un autre nom NetBIOS, un numéro
est ajouté au nom. Si le nom contient plus de 15 caractères, l'Assistant propose une
suggestion tronquée unique. Dans les deux cas, l'Assistant valide d'abord que le nom
n'est pas déjà utilisé via une recherche WINS et une diffusion NetBIOS.
Pour plus d'informations sur les noms DNS, consultez la page Conventions d'affectation
de noms dans Active Directory pour les ordinateurs, domaines, sites et unités
d'organisation .
Les arguments Install-AddsDomain suivent les mêmes paramètres par défaut que le
Gestionnaire de serveur s'ils ne sont pas spécifiés. Le fonctionnement de
DomainNetBIOSName est spécial :
1. Si l'argument NewDomainNetBIOSName n'est pas spécifié avec un nom de

domaine NetBIOS et que le nom de domaine avec préfixe en une partie dans
l'argument DomainName contient au maximum 15 caractères, la promotion
continue avec un nom généré automatiquement.
2. Si l'argument NewDomainNetBIOSName n'est pas spécifié avec un nom de

domaine NetBIOS et que le nom de domaine avec préfixe en une partie dans
l'argument DomainName contient au minimum 16 caractères, la promotion
échoue.
3. Si l'argument NewDomainNetBIOSName est spécifié avec un nom de domaine

NetBIOS de 15 caractères au maximum, la promotion continue avec ce nom
spécifié.
4. Si l'argument NewDomainNetBIOSName est spécifié avec un nom de domaine

NetBIOS de 16 caractères au minimum, la promotion échoue.
L'argument de l'applet de commande ADDSDeployment Options supplémentaires est

le suivant :
-newdomainnetbiosname <string>
Chemins d'accès
La page Chemins d'accès vous permet de remplacer les emplacements de dossier par
défaut de la base de données AD DS, les journaux des transactions de base de données
et le partage SYSVOL. Les emplacements par défaut sont toujours dans des sous-
répertoires de %systemroot%.
Les arguments de l'applet de commande ADDSDeployment Chemins d'accès sont les

suivants :
-logpath <string>

La page Examiner les options vous permet de valider vos paramètres et de vérifier qu'ils
répondent à vos exigences avant le démarrage de l'installation. Notez que vous avez
encore la possibilité d'arrêter l'installation quand vous utilisez le Gestionnaire de
serveur. Il s'agit simplement d'une option permettant de confirmer vos paramètres avant
de poursuivre la configuration

Install-ADDSDomain `
-NoGlobalCatalog:$false `
-DomainMode "Win2012" `
-DomainType "ChildDomain" `
-InstallDNS:$true `
-NewDomainName "research" `
-NewDomainNetBIOSName "RESEARCH" `
-ParentDomainName "corp.contoso.com" `
-Norebootoncompletion:$false `
-SiteName "Default-First-Site-Name" `
-Force:$true
７ Notes

seule exception concerne l'argument -safemodeadministratorpassword (qui est
délibérément omis du script). Pour forcer une demande de confirmation, omettez la
valeur en cas d'exécution interactive de l'applet de commande.
Utilisez l'argument Whatif facultatif avec l'applet de commande Install-ADDSForest

pour passer en revue les informations de configuration. Cela vous permet de voir les
valeurs explicites et implicites des arguments d'une applet de commande.
serveur est capable de prendre en charge un nouveau domaine AD DS.

de tests modulaires sérialisés. Ces tests vous alertent avec des suggestions d'opérations
de réparation. Vous pouvez exécuter les tests autant de fois que nécessaire. Le
processus du contrôleur de domaine ne peut pas continuer tant que tous les tests de
configuration requise ne sont pas réussis.


-skipprechecks
２ Avertissement


automatiquement à la fin de la promotion, quel qu'en soit le résultat.
Installation

Pour installer un nouveau domaine Active Directory à l'aide du module
ADDSDeployment, utilisez l'applet de commande suivante :
Install-addsdomain
Pour connaître les arguments requis et facultatifs, voir Domaine enfant et

d'arborescence dans Windows PowerShell. L'applet de commande Install-addsdomain
comprend uniquement deux phases (vérification de la configuration requise et
installation). Les deux figures ci-dessous illustrent la phase d'installation avec les
arguments requis minimaux -domaintype, -newdomainname, -parentdomainname et -
credential. Notez comment, de la même façon que le Gestionnaire de serveur, Install-
ADDSDomain vous rappelle que la promotion redémarre automatiquement le serveur.

２ Avertissement
Il n'est pas recommandé de remplacer le redémarrage. Le contrôleur de domaine
doit redémarrer pour fonctionner correctement.
Résultats

après 10 secondes.
Installer un contrôleur de domaine en
lecture seule Active Directory Windows

Cette rubrique explique comment créer un compte de contrôleur de domaine en lecture

seule intermédiaire, puis associer un serveur à ce compte pendant l'installation d'un
contrôleur de domaine en lecture seule. Cette rubrique explique également comment
installer un contrôleur de domaine en lecture seule sans effectuer d'installation
intermédiaire.
Workflow de création d'un contrôleur de

domaine en lecture seule intermédiaire
L'installation d'un contrôleur de domaine en lecture seule intermédiaire se déroule en
deux phases discrètes :
1. Création intermédiaire d'un compte d'ordinateur inoccupé
2. Association d'un contrôleur de domaine en lecture seule à ce compte pendant la

promotion
Le diagramme suivant illustre le processus de création intermédiaire d'un contrôleur de

domaine en lecture seule des services de domaine Active Directory, où vous créez un
compte d'ordinateur de contrôleur de domaine en lecture seule vide dans le domaine à
l'aide du Centre d'administration Active Directory (Dsac.exe).
Créer un contrôleur de domaine en lecture
seule intermédiaire dans Windows PowerShell
Applet de commande Arguments (ceux en gras sont requis et ceux en
ADDSDeployment italique peuvent être spécifiés à l’aide de
Windows PowerShell ou de l’Assistant Configuration
des services de domaine Active Directory.)
Add- -SkipPreChecks
addsreadonlydomaincontrolleraccount -DomainControllerAccountName
-DomainName
-SiteName
-AllowPasswordReplicationAccountName
-Credential
-DelegatedAdministratorAccountName
-NoGlobalCatalog
-InstallDNS
７ Notes
tant que membre du groupe Admins du domaine.
Workflow d'association d'un contrôleur de

Le diagramme ci-dessous illustre le processus de configuration des services de domaine
Active Directory, où vous avez déjà installé le rôle AD DS, créé le compte du contrôleur
de domaine en lecture seule intermédiaire et démarré Promouvoir ce serveur en
contrôleur de domaine à l'aide du Gestionnaire de serveur pour créer un contrôleur de
domaine en lecture seule dans un domaine existant, en l'associant au compte
d'ordinateur intermédiaire.
Associer un contrôleur de domaine en lecture

seule dans Windows PowerShell
-Credential
-DatabasePath
-LogPath
-SystemKey
-SYSVOLPath
-UseExistingAccount
７ Notes
Préproduction
Vous procédez à la création intermédiaire d'un compte d'ordinateur de contrôleur de
domaine en lecture seule en ouvrant le Centre d'administration Active Directory
(Dsac.exe). Cliquez sur le nom du domaine dans le volet de navigation. Double-cliquez
sur Contrôleurs de domaine dans la liste de gestion. Cliquez sur Pré-créer un compte
de contrôleur de domaine en lecture seule dans le volet des tâches.
Pour plus d’informations sur le Centre d’administration Active Directory, voir Gestion
avancée des services AD DS à l’aide du Centre d’administration Active Directory
(niveau 200), puis Centre d’administration Active Directory : Prise en main.
Si vous avez déjà créé des contrôleurs de domaine en lecture seule, vous allez découvrir
que l'Assistant Installation a la même interface graphique que celle affichée avec l'ancien
composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de Windows
Server 2008 et utilise le même code, qui comprend l'exportation de la configuration au
format de fichier d'installation sans assistance employé par le processus dcpromo
obsolète.
Windows Server 2012 introduit une nouvelle applet de commande ADDSDeployment

pour créer des comptes d'ordinateurs de contrôleur de domaine en lecture seule
intermédiaires, mais l'Assistant ne l'utilise pas pour son opération. Les sections suivantes
affichent l'applet de commande et les arguments équivalents pour faciliter la
compréhension des informations associées.
Le lien Pré-créer un compte de contrôleur de domaine en lecture seule dans le volet

des tâches du Centre d’administration Active Directory est l’équivalent de la cmdlet
Windows PowerShell ADDSDeployment :
Add-addsreadonlydomaincontrolleraccount
Bienvenue
La boîte de dialogue Assistant Installation des services de domaine Active Directory

contient une option nommée Utiliser l'installation en mode avancé. Cochez cette case
et cliquez sur Suivant pour afficher des options de stratégie de réplication de mot de
passe. Décochez cette case pour utiliser les valeurs par défaut pour les options de
stratégie de réplication de mot de passe (cela est décrit plus en détail plus loin dans
cette section).
Informations d'identification réseau

L'option de nom de domaine dans la boîte de dialogue Informations d'identification
réseau affiche le domaine ciblé par le Centre d'administration Active Directory par
défaut. Vos informations d'identification actuelles sont utilisées par défaut. Si elles ne
comprennent pas l'appartenance au groupe Admins du domaine, cliquez sur Autres
informations d'identification, puis sur Définir pour fournir à l'Assistant un nom
d'utilisateur et un mot de passe d'un membre du groupe Admins du domaine.
L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :
Gardez à l'esprit que le système intermédiaire est un port direct de Windows Server
2008 R2 et ne fournit pas la nouvelle fonctionnalité Adprep. Si vous envisagez de
déployer des comptes de contrôleur de domaine en lecture seule intermédiaires, vous
devez d'abord déployer un contrôleur de domaine en lecture seule non intermédiaire
dans ce domaine pour que l'opération rodcprep automatique s'exécute, ou commencer
par exécuter manuellement adprep.exe /rodcprep.
Dans le cas contraire, une erreur s’affiche indiquant « Vous ne pourrez pas installer un
contrôleur de domaine en lecture seule dans ce domaine, car adprep /rodcprep n’a pas
encore été exécuté. »
Spécifiez le nom de l'ordinateur
La boîte de dialogue Spécifiez le nom de l'ordinateur vous demande d'entrer le Nom

de l'ordinateur en une partie d'un contrôleur de domaine qui n'existe pas. Le contrôleur
de domaine que vous configurez et associez à ce compte par la suite doit avoir le même
nom. À défaut, l'opération de promotion ne détecte pas le compte intermédiaire.
-domaincontrolleraccountname <string>
Sélectionner un site
La boîte de dialogue Sélectionner un site affiche une liste de sites Active Directory pour
la forêt actuelle. L'opération du contrôleur de domaine en lecture seule intermédiaire
vous demande de sélectionner un seul site dans la liste. Le contrôleur de domaine en
lecture seule utilise ces informations pour créer son objet Paramètres NTDS dans la
partition de configuration et se joint au site approprié quand il démarre pour la
première fois après son déploiement.
-sitename <string>
Options supplémentaires pour le contrôleur de domaine

La boîte de dialogue Options supplémentaires du contrôleur de domaine vous permet
d'indiquer qu'un contrôleur de domaine inclut une exécution en tant que Serveur DNS
et Catalogue global. Comme Microsoft recommande que les contrôleurs de domaine en
lecture seule fournissent des services DNS et de catalogue global, les deux sont installés
par défaut ; le rôle de contrôleur de domaine en lecture seule est également destiné aux
filiales dans lesquelles le réseau étendu peut ne pas être disponible et, sans ces services
DNS et de catalogue global, les ordinateurs de la filiale ne pourraient pas utiliser les
fonctions et ressources des services de domaine Active Directory.
L'option Contrôleur de domaine en lecture seule (RODC) est présélectionnée et ne

peut pas être désactivée. Les arguments Windows PowerShell ADDSDeployment
équivalents sont les suivants :
-installdns <string>
-NoGlobalCatalog <{$true | $false}>
７ Notes
Par défaut, la valeur de –NoGlobalCatalog est $false, ce qui signifie que le

contrôleur de domaine sera un serveur de catalogue global si l’argument n’est pas
spécifié.
Spécifier la stratégie de réplication de mot de passe
La boîte de dialogue Spécifier la stratégie de réplication de mot de passe vous permet

de modifier la liste par défaut de comptes qui sont autorisés à mettre en cache leurs
mots de passe sur ce contrôleur de domaine en lecture seule. Les comptes de la liste
configurés avec Refuser ou qui ne figurent pas dans la liste (implicites) ne mettent pas
en cache leur mot de passe. Les comptes qui ne sont pas autorisés à mettre en cache
leurs mots de passe sur le contrôleur de domaine en lecture seule et qui ne peuvent pas
se connecter à un contrôleur de domaine accessible en écriture ni s'authentifier auprès
de celui-ci ne sont pas en mesure d'accéder aux fonctions ni ressources fournies par
Active Directory.
） Important
L'Assistant affiche cette boîte de dialogue uniquement si vous cochez la case

Utiliser l'installation en mode avancé sur l'écran d'accueil. Si vous décochez cette
case, l'Assistant utilise les valeurs et les groupes par défaut suivants :
Administrateurs - Refuser
Opérateurs de serveur - Refuser
Opérateurs de sauvegarde - Refuser
Opérateurs de compte - Refuser
Groupe de réplication dont le mot de passe RODC est refusé - Refuser
Groupe de réplication dont le mot de passe RODC est autorisé - Autoriser
Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
Délégation de l'installation et de l'administration du

contrôleur de domaine en lecture seule (RODC)
La boîte de dialogue Délégation de l'installation et de l'administration du contrôleur
de domaine en lecture seule (RODC) vous permet de configurer un utilisateur ou un
groupe contenant des utilisateurs qui sont autorisés à associer le serveur au compte
d'ordinateur de contrôleur de domaine en lecture seule. Cliquez sur Définir pour
rechercher un utilisateur ou un groupe dans le domaine. L'utilisateur ou le groupe
spécifié dans cette boîte de dialogue obtient des autorisations d'administrateur local sur
le contrôleur de domaine en lecture seule. L’utilisateur spécifié ou les membres du
groupe spécifié peuvent effectuer des opérations sur le contrôleur de domaine en
lecture seule avec des privilèges équivalents au groupe Administrateurs de l’ordinateur.
Ils ne sont pas membres du groupe Admins du domaine ni du groupe Administrateurs
intégré au domaine.
Utilisez cette option pour déléguer l'administration de filiale sans accorder à

l'administrateur de filiale l'appartenance au groupe Admins du domaine. La délégation
de l’administration du contrôleur de domaine en lecture seule n'est pas requise.
-delegatedadministratoraccountname <string>
Résumé
La boîte de dialogue Résumé vous permet de confirmer vos paramètres. Il s'agit de la
dernière possibilité d'arrêter l'installation avant que l'Assistant ne crée le compte
intermédiaire. Cliquez sur Suivant quand vous êtes prêt à créer le compte d'ordinateur
de contrôleur de domaine en lecture seule intermédiaire. Cliquez sur Exporter les
paramètres pour enregistrer un fichier de réponses au format de fichier d'installation
sans assistance du processus dcpromo obsolète.
Création
L'Assistant Installation des services de domaine Active Directory crée le contrôleur de
domaine en lecture seule intermédiaire dans Active Directory. Vous ne pouvez pas
annuler cette opération une fois qu'elle a démarré.
Utilisez l'applet de commande suivante pour créer un compte d'ordinateur de

contrôleur de domaine en lecture seule intermédiaire à l'aide du module Windows
PowerShell ADDSDeployment :
Add-addsreadonlydomaincontrolleraccount
Pour connaître les arguments requis et facultatifs, voir Créer un contrôleur de domaine
en lecture seule intermédiaire dans Windows PowerShell.
Comme Add-addsreadonlydomaincontrolleraccount contient uniquement une action

avec deux phases (vérification de la configuration requise et installation), les captures
d’écran suivantes illustrent la phase d’installation avec les arguments requis minimaux.
L'opération de création d'un contrôleur de domaine en lecture seule intermédiaire crée
le compte d'ordinateur de contrôleur de domaine en lecture seule dans Active Directory.
Le Centre d'administration Active Directory affiche le Type de contrôleur de domaine
comme étant un Compte de contrôleur de domaine inoccupé. Ce type de contrôleur
de domaine indique que le compte de contrôleur de domaine en lecture seule
intermédiaire est prêt à être associé à un serveur comme contrôleur de domaine en
lecture seule.
） Important
Le Centre d'administration Active Directory n'a plus à associer un serveur à un

compte d'ordinateur de contrôleur de domaine en lecture seule. Utilisez le
Gestionnaire de serveur et l'Assistant Configuration des services de domaine
Active Directory ou l'applet de commande du module Windows PowerShell
ADDSDeployment Install-AddsDomainController pour associer un nouveau
contrôleur de domaine en lecture seule à son compte intermédiaire. Les étapes
sont semblables à l'ajout d'un nouveau contrôleur de domaine accessible en
écriture à un domaine existant, excepté que le compte d'ordinateur de contrôleur
de domaine en lecture seule intermédiaire contient des options de configuration
choisies au moment de la création du compte d'ordinateur de contrôleur de
domaine en lecture seule intermédiaire.
attachement

vous sélectionnez.
Pour ajouter un contrôleur de domaine en lecture seule à un domaine existant,

sélectionnez Ajouter un contrôleur de domaine à un domaine existant et cliquez sur le
bouton Sélectionner associé à Spécifiez les informations de domaine pour cette
opération. Le Gestionnaire de serveur vous invite automatiquement à entrer des
informations d'identification valides, ou vous pouvez cliquer sur Modifier.
L'association d'un contrôleur de domaine en lecture seule requiert l'appartenance au

groupe Admins du domaine dans Windows Server 2012. L’Assistant Configuration des
services de domaine Active Directory vous avertit par la suite si vos informations
d’identification actuelles ne comptent pas les autorisations ou les appartenances aux
groupes appropriées.
L'applet de commande Windows PowerShell ADDSDeployment Configuration de

déploiement et les arguments sont les suivants :
La page Options du contrôleur de domaine affiche les options du contrôleur de

domaine pour le nouveau contrôleur de domaine. Quand cette page est chargée,
l'Assistant Configuration des services de domaine Active Directory envoie une requête
LDAP à un contrôleur de domaine existant pour rechercher les comptes inoccupés. Si la
requête trouve un compte d’ordinateur de contrôleur de domaine inoccupé qui partage
le même nom que l’ordinateur actuel, l’Assistant affiche un message d’information en
haut de la page qui indique Un compte RODC précréé correspondant au nom du
serveur cible existe dans l’annuaire. Choisissez d’utiliser le compte RODC existant ou
de réinstaller ce contrôleur de domaine. L'Assistant utilise l'option Utiliser le compte
RODC existant comme configuration par défaut.
） Important
Vous pouvez utiliser l'option Réinstaller ce contrôleur de domaine quand un

contrôleur de domaine a rencontré un problème physique et ne peut plus
fonctionner. Vous gagnez du temps quand vous configurez le contrôleur de
domaine de remplacement en laissant le compte d'ordinateur de contrôleur de
domaine et les métadonnées d'objet dans Active Directory. Installez le nouvel
ordinateur avec le même nom et promouvez-le comme contrôleur du domaine.
L’option Réinstaller ce contrôleur de domaine n’est pas disponible si vous avez
supprimé les métadonnées de l’objet contrôleur de domaine d’Active Directory
(nettoyage des métadonnées).
Vous ne pouvez pas configurer des options de contrôleur de domaine quand vous
associez un serveur à un compte d'ordinateur de contrôleur de domaine en lecture
seule. Vous configurez des options de contrôleur de domaine quand vous créez le
compte d'ordinateur de contrôleur de domaine en lecture seule intermédiaire.

Les arguments Windows PowerShell ADDSDeployment Options du contrôleur de

domaine sont les suivants :
-UseExistingAccount <{$true | $false}>
） Important
L'applet de commande install-AddsDomainController ne crée pas de nom de site.
Vous pouvez utiliser l'applet de commande new-adreplicationsite pour créer des
sites.
Les arguments Install-ADDSDomainController suivent les mêmes paramètres par défaut

que le Gestionnaire de serveur s'ils ne sont pas spécifiés.
Par exemple, pour créer un contrôleur de domaine en lecture seule dans le

domaine corp.contoso.com et être invité à entrer et à confirmer un mot de passe
masqué :
Install-ADDSDomainController -DomainName corp.contoso.com -credential

(get-credential)
de commande.
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
２ Avertissement
-safemodeadministratorpassword (convertto-securestring Password1 -

asplaintext -force)
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
２ Avertissement

de mot de passe.
La page Options supplémentaires offre des options de configuration permettant de

valide.
Instructions pour la source IFM :
Le support utilisé par l’option IFM est créé avec la Sauvegarde Windows Server ou
Ntdsutil.exe à partir d’un autre contrôleur de domaine Windows Server existant
doté de la même version de système d’exploitation uniquement. Par exemple, vous
ne pouvez pas utiliser Windows Server 2008 R2 ni un système d’exploitation
antérieur pour créer des supports pour un contrôleur de domaine Windows
Server 2012.
Les données sources IFM doivent provenir d’un contrôleur de domaine accessible
en écriture. Bien qu’une source de RODC fonctionne techniquement pour créer un
contrôleur de domaine en lecture seule, des avertissements de réplication qui sont
des faux positifs indiquent que le contrôleur de domaine principal de la source IFM
n’est pas répliqué.
Pour plus d'informations sur les modifications apportées à l'option Installation à partir
du support, voir Modifications apportées à l'option Installation à partir du support avec
Ntdsutil.exe. En cas d'utilisation du support protégé avec SYSKEY, le Gestionnaire de
serveur vous invite à entrer le mot de passe de l'image pendant la vérification.
Les arguments de l'applet de commande ADDSDeployment Options supplémentaires
sont les suivants :
-systemkey <secure string>
Chemins d'accès
répertoires de %systemroot%. Les arguments de l'applet de commande
ADDSDeployment Chemins d'accès sont les suivants :
-logpath <string>

poursuivre la configuration. La page Examiner les options du Gestionnaire de serveur
offre également un bouton Afficher le script facultatif pour créer un fichier texte
Unicode qui contient la configuration ADDSDeployment actuelle sous forme d’un script
Windows PowerShell unique. Vous pouvez ainsi utiliser l’interface graphique
Gestionnaire de serveur sous forme d’un studio de déploiement Windows PowerShell.
Utilisez l’Assistant Configuration des services de domaine Active Directory pour
configurer les options, exportez la configuration, puis annulez l’Assistant. Ce processus
crée un exemple valide et correct du point de vue syntaxique pour permettre des
modifications ultérieures ou une utilisation directe. Par exemple :
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true
７ Notes

Utilisez l'argument Whatif facultatif avec l'applet de commande Install-

ADDSDomainController pour passer en revue les informations de configuration. Cela
vous permet de voir les valeurs explicites et implicites des arguments d'une applet de
commande.


processus d'installation du contrôleur de domaine ne peut pas continuer tant que tous
les tests de configuration requise ne sont pas réussis.

systèmes d'exploitation plus anciens. Pour plus d'informations sur les vérifications de la
configuration requise, voir Vérification de la configuration requise.

-skipprechecks
２ Avertissement


Installation
Quand la page Installation s'affiche, la configuration du contrôleur de domaine

Pour connaître les arguments requis et facultatifs, voir Associer un contrôleur de

domaine en lecture seule dans Windows PowerShell.
L'applet de commande Install-addsdomaincontroller comprend uniquement deux

domainname, -useexistingaccount et -credential. Notez comment, de la même façon
que le Gestionnaire de serveur, Install-ADDSDomainController vous rappelle que la
promotion redémarre automatiquement le serveur :

２ Avertissement

Résultats

après 10 secondes.
Workflow de contrôleur de domaine en lecture

seule sans création intermédiaire
Gestionnaire de serveur pour créer un contrôleur de domaine en lecture seule non
intermédiaire dans un domaine Windows Server 2012 existant.
Contrôleur de domaine en lecture seule sans
création intermédiaire dans Windows
PowerShell
-SiteName
-Credential
-DatabasePath
-DNSOnNetwork
-InstallDNS
-LogPath
-MoveInfrastructureOperationMasterRoleIfNecessary
-NoGlobalCatalog
-SystemKey
-SYSVOLPath
-AllowPasswordReplicationAccountName
-DelegatedAdministratorAccountName
-ReadOnlyReplica
７ Notes
Déploiement de contrôleur de domaine en

lecture seule sans création intermédiaire

vous sélectionnez.
Pour ajouter un contrôleur de domaine en lecture seule non intermédiaire à un domaine

Windows Server 2012 existant, sélectionnez Ajouter un contrôleur de domaine à un
domaine existant et cliquez sur le bouton Sélectionner associé à Spécifiez les
informations de domaine pour cette opération. Le Gestionnaire de serveur vous invite
automatiquement à entrer des informations d'identification valides, ou vous pouvez
cliquer sur Modifier.
L'association d'un contrôleur de domaine en lecture seule requiert l'appartenance au
groupe Admins du domaine dans Windows Server 2012. L’Assistant Configuration des
services de domaine Active Directory vous avertit par la suite si vos informations
d’identification actuelles ne comptent pas les autorisations ou les appartenances aux
groupes appropriées.
L'applet de commande Windows PowerShell ADDSDeployment Configuration de

déploiement et les arguments sont les suivants :
La page Options du contrôleur de domaine spécifie les fonctions du contrôleur de

domaine pour le nouveau contrôleur de domaine. Les fonctions du contrôleur de
domaine configurables sont Serveur DNS, Catalogue global et Contrôleur de domaine
en lecture seule. Microsoft recommande que tous les contrôleurs de domaine
fournissent des services DNS et de catalogue global à des fins de haute disponibilité
dans les environnements distribués. Le catalogue global est toujours sélectionné par
défaut et le serveur DNS est sélectionné par défaut si le domaine actuel héberge déjà
DNS sur ses contrôleurs de domaine, selon une requête SOA (Start-of-Authority).
La page Options du contrôleur de domaine vous permet également de choisir le nom
de site logique Active Directory approprié à partir de la configuration de la forêt. Par
défaut, le sous-réseau le mieux adapté est sélectionné. S’il n’y a qu’un site, celui-ci est
automatiquement sélectionné.
） Important


de passe fort complexe ou, de préférence, une phrase secrète. Les arguments Windows
PowerShell ADDSDeployment Options du contrôleur de domaine sont les suivants :
-UseExistingAccount <{$true | $false}>
） Important
L'applet de commande install-AddsDomainController ne crée pas de nom de site.
Vous pouvez utiliser l'applet de commande new-adreplicationsite pour créer des
sites.
Les arguments Install-ADDSDomainController suivent les mêmes paramètres par défaut

que le Gestionnaire de serveur s'ils ne sont pas spécifiés.
Par exemple, pour créer un contrôleur de domaine en lecture seule dans le

domaine corp.contoso.com et être invité à entrer et à confirmer un mot de passe
masqué :
Install-ADDSDomainController -DomainName corp.contoso.com -credential
(get-credential)
de commande.
-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)
２ Avertissement
-safemodeadministratorpassword (convertto-securestring Password1 -

asplaintext -force)
$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
２ Avertissement
de mot de passe.
Options du contrôleur de domaine en lecture seule
La page Options RODC vous permet de modifier les paramètres :
Compte d'administrateur délégué
Comptes autorisés à répliquer les mots de passe pour RODC
Comptes non autorisés à répliquer les mots de passe pour RODC

Les comptes d’administrateurs délégués se voient octroyer des autorisations
administratives locales au contrôleur de domaine en lecture seule. Ces utilisateurs
bénéficient de privilèges équivalents à ceux du groupe Administrateurs de l’ordinateur
local. Ils ne sont membres ni du groupe Admins du domaine ni du groupe
Administrateurs intégré au domaine. Cette option est utile pour déléguer
l’administration de filiales sans octroyer d’autorisations administratives au domaine. La
configuration de la délégation de l’administration n’est pas requise.
-delegatedadministratoraccountname <string>
Les comptes qui ne sont pas autorisés à mettre en cache leurs mots de passe sur le
contrôleur de domaine en lecture seule et qui ne peuvent pas se connecter à un
contrôleur de domaine accessible en écriture ni s'authentifier auprès de celui-ci ne sont
pas en mesure d'accéder aux fonctions ni ressources fournies par Active Directory.
） Important
En l'absence de modification, les paramètres et groupes par défaut sont utilisés :
Administrateurs - Refuser
Opérateurs de serveur - Refuser
Opérateurs de sauvegarde - Refuser
Opérateurs de compte - Refuser
Groupe de réplication dont le mot de passe RODC est refusé - Refuser
Groupe de réplication dont le mot de passe RODC est autorisé - Autoriser
-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>
La page Options supplémentaires offre des options de configuration permettant de

valide.
Instructions pour la source IFM :

Le support utilisé par l’option IFM est créé avec la Sauvegarde Windows Server ou
Ntdsutil.exe à partir d’un autre contrôleur de domaine Windows Server existant
doté de la même version de système d’exploitation uniquement. Par exemple, vous
ne pouvez pas utiliser Windows Server 2008 R2 ni un système d’exploitation
antérieur pour créer des supports pour un contrôleur de domaine Windows
Server 2012.
Les données sources IFM doivent provenir d’un contrôleur de domaine accessible
en écriture. Bien qu’une source de RODC fonctionne techniquement pour créer un
contrôleur de domaine en lecture seule, des avertissements de réplication qui sont
des faux positifs indiquent que le contrôleur de domaine principal de la source IFM
n’est pas répliqué.
Pour plus d'informations sur les modifications apportées à l'option Installation à partir
du support, voir Modifications apportées à l'option Installation à partir du support avec
Ntdsutil.exe. En cas d'utilisation du support protégé avec SYSKEY, le Gestionnaire de
serveur vous invite à entrer le mot de passe de l'image pendant la vérification.
Les arguments de l’applet de commande ADDSDeployment Options supplémentaires

sont les suivants :
-systemkey <secure string>
Chemins d'accès
répertoires de %systemroot%. Les arguments de l'applet de commande
ADDSDeployment Chemins d'accès sont les suivants :
-logpath <string>
La page Options de préparation vous informe que la configuration des services de
domaine Active Directory comprend l'extension du schéma (forestprep) et la mise à jour
du domaine (domainprep). Cette page ne s'affiche que quand la forêt ou le domaine n'a
pas été préparé par une précédente installation de contrôleur de domaine Windows
Server 2012 ni par une exécution manuelle d'Adprep.exe. Par exemple, l'Assistant
Configuration des services de domaine Active Directory supprime cette page si vous
ajoutez un nouveau contrôleur de domaine répliqué à un domaine racine de forêt
Windows Server 2012 existant.
L'extension du schéma et la mise à jour du domaine ne se produisent pas quand vous

cliquez sur Suivant. Ces événements se produisent uniquement pendant la phase
d'installation. Cette page vous informe simplement des événements qui vont se
produire plus tard pendant l'installation.
Cette page valide également que les informations d'identification de l'utilisateur actuel
sont membres des groupes Administrateurs de l'entreprise et Administrateurs du
schéma, car l'appartenance à ces groupes est nécessaire pour étendre le schéma ou
préparer un domaine. Cliquez sur Modifier pour fournir des informations d'identification
d'utilisateur appropriées si la page vous indique que les informations d'identification
actuelles n'offrent pas des autorisations suffisantes.
L’argument supplémentaire de l’applet de commande ADDSDeployment est :
-adprepcredential <pscredential>
） Important
Comme avec les versions précédentes de Windows Server, la préparation du

domaine automatisée de Windows Server 2012 n'exécute pas GPPREP. Exécutez
adprep.exe /gpprep manuellement pour tous les domaines qui n'étaient pas
auparavant préparés pour Windows Server 2003, Windows Server 2008 ni Windows
Server 2008 R2. Vous ne devez exécuter GPPrep qu'une seule fois dans l'historique
d'un domaine et non avec chaque mise à niveau. Adprep.exe n'exécute pas /gpprep
automatiquement, car l'opération peut provoquer une nouvelle réplication de tous
les fichiers et dossiers dans le dossier SYSVOL sur tous les contrôleurs de domaine.
La commande RODCPrep automatique est exécutée quand vous promouvez le

premier contrôleur de domaine en lecture seule non intermédiaire dans un
domaine. Elle n'est pas exécutée quand vous promouvez le premier contrôleur de
domaine Windows Server 2012 accessible en écriture. Vous pouvez aussi exécuter
manuellement adprep.exe /rodcprep si vous envisagez de déployer des

poursuivre la configuration.

-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password

Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and
Computers) `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server

Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied
RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true
７ Notes

Utilisez l’argument Whatif facultatif avec l’applet de commande Install-

ADDSDomainController pour passer en revue les informations de configuration. Cela
vous permet de voir les valeurs explicites et implicites des arguments d'une applet de
commande.


processus du contrôleur de domaine ne peut pas continuer tant que tous les tests de
configuration requise ne sont pas réussis.


-skipprechecks

Installation

Pour connaître les arguments obligatoires et facultatifs, voir le tableau Cmdlet

ADDSDeployment au début de cette section.
L'applet de commande Install-addsdomaincontroller comprend uniquement deux
domainname, -readonlyreplica, -sitename et -credential. Notez comment, de la même
façon que le Gestionnaire de serveur, Install-ADDSDomainController vous rappelle que
la promotion redémarre automatiquement le serveur :

２ Avertissement
Il n'est pas recommandé de remplacer le redémarrage. Le contrôleur de domaine

doit redémarrer pour fonctionner correctement. Si vous fermez la session du
contrôleur de domaine, vous ne pouvez pas la rouvrir de façon interactive tant que
vous ne l'avez pas redémarré.
Résultats
après 10 secondes.
Rétrogradation de contrôleurs de
domaine et de domaines
Cette rubrique explique comment supprimer les services AD DS à l'aide du Gestionnaire

de serveur ou de Windows PowerShell.
Workflow de suppression des services AD DS
Ｕ Attention
La suppression des rôles AD DS avec Dism.exe ou le module DISM Windows

PowerShell après la promotion vers un contrôleur de domaine n'est pas prise en
charge et empêche le démarrage normal du serveur.
À la différence du Gestionnaire de serveur ou du module ADDSDeployment pour

Windows PowerShell, DISM est un système de maintenance natif sans connaissance
inhérente des services AD DS ni de leur configuration. N'utilisez pas Dism.exe ni le
module DISM Windows PowerShell pour désinstaller le rôle AD DS sauf si le serveur
n'est plus un contrôleur de domaine.
Rétrogradation et suppression de rôle avec
PowerShell
Applets de commande Arguments (ceux en gras sont requis et ceux en italique peuvent
ADDSDeployment et être spécifiés à l’aide de Windows PowerShell ou de l’Assistant
ServerManager Configuration des services de domaine Active Directory.)
Uninstall- -SkipPreChecks
ADDSDomainController -LocalAdministratorPassword
-Confirm
-Credential
-DemoteOperationMasterRole
-DNSDelegationRemovalCredential
-Force
-ForceRemoval
-IgnoreLastDCInDomainMismatch
-IgnoreLastDNSServerForZone
-LastDomainControllerInDomain
-RemoveApplicationPartitions
-RemoveDNSDelegation
-RetainDCMetadata
Uninstall- -Name
WindowsFeature/Remove-
WindowsFeature -IncludeManagementTools
-Restart
-Remove
-Force
-ComputerName
-Credential
-LogPath
-Vhd
７ Notes
L'argument -credential n'est requis que si vous n'êtes pas déjà connecté en tant
que membre du groupe Administrateurs de l'entreprise (rétrogradation du dernier
contrôleur de domaine dans un domaine) ou du groupe Admins du domaine
(rétrogradation d'un contrôleur de domaine répliqué). L'argument -
includemanagementtools n'est requis que si vous voulez supprimer tous les
utilitaires de gestion des services AD DS.
Demote (Rétrograder)
Supprimer des rôles et des fonctionnalités

Le Gestionnaire de serveur offre deux interfaces permettant de supprimer le rôle
Services de domaine Active Directory :
Menu Gérer du tableau de bord principal, avec Supprimer des rôles et

fonctionnalités
Cliquez sur AD DS ou Tous les serveurs dans le volet de navigation. Faites défiler
les options jusqu'à la section Rôles et fonctionnalités. Cliquez avec le bouton droit
sur Services de domaine Active Directory dans la liste Rôles et fonctionnalités et
cliquez sur Supprimer un rôle ou une fonctionnalité. Cette interface ignore la
page Sélection du serveur.
Les cmdlets ServerManager Uninstall-WindowsFeature et Remove-WindowsFeature
vous empêchent de supprimer le rôle AD DS tant que vous n’avez pas rétrogradé le
Sélection du serveur
La boîte de dialogue Sélection du serveur vous permet de choisir l'un des serveurs
précédemment ajoutés au pool, tant qu'il est accessible. Le serveur local exécutant le
Gestionnaire de serveur est toujours automatiquement accessible.
Rôles et fonctionnalités de serveur

Décochez la case Services de domaine Active Directory pour rétrograder un contrôleur
de domaine ; si le serveur est actuellement un contrôleur de domaine, le rôle AD DS
n'est pas supprimé, mais une boîte de dialogue Résultats de la validation s'affiche avec
la proposition de rétrogradation. Sinon, cette opération supprime les fichiers binaires
comme toute autre fonctionnalité de rôle.
Ne supprimez aucun autre rôle ni fonctionnalité associés aux services de domaine

Active Directory (par exemple, DNS, GPMC ou les outils RSAT) si vous envisagez de
promouvoir à nouveau le contrôleur de domaine dans l'immédiat. La suppression
d'autres rôles et fonctionnalités augmente le temps nécessaire à une nouvelle
promotion, car le Gestionnaire de serveur réinstalle ces fonctionnalités quand vous
réinstallez le rôle.
Supprimez les rôles et fonctionnalités des services de domaine Active Directory

inutiles selon vos souhaits si vous envisagez de rétrograder le contrôleur de
domaine de façon définitive. Vous devez pour cela décocher les cases associées à
ces rôles et fonctionnalités.
La liste complète des rôles et fonctionnalités associés aux services de domaine

Active Directory contient notamment :
Module Active Directory pour la fonctionnalité Windows PowerShell
Fonctionnalité des outils AD DS et AD LDS
Fonctionnalité du Centre d'administration Active Directory
Fonctionnalité des composants logiciels enfichables et outils en ligne de
commande AD DS
Serveur DNS
Console de gestion des stratégies de groupe
Les applets de commande Windows PowerShell ADDSDeployment et ServerManager

équivalentes sont les suivantes :
Uninstall-addsdomaincontroller
Uninstall-windowsfeature
Informations d'identification
La page Informations d’identification vous permet de configurer des options de
rétrogradation. Entrez les informations d’identification nécessaires pour effectuer la
rétrogradation à partir de la liste suivante :
La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des

informations d’identification d’administrateur de domaine. Le fait de sélectionner
Forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de
domaine sans supprimer les métadonnées de l’objet contrôleur de domaine
２ Avertissement
Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient

pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen
raisonnable ne permet de résoudre ce problème réseau. La rétrogradation
forcée laisse des métadonnées orphelines dans Active Directory sur les
contrôleurs de domaine restants dans la forêt. Par ailleurs, toutes les
modifications non répliquées sur ce contrôleur de domaine, notamment les
mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement
perdues. Les métadonnées orphelines sont la cause première d’un grand
nombre de problèmes soumis au support technique Microsoft pour AD DS,
Exchange, SQL et d’autres logiciels.
Si vous rétrogradez de force un contrôleur de domaine, vous devez

immédiatement effectuer un nettoyage manuel des métadonnées. Pour la
procédure à suivre, voir Nettoyage des métadonnées du serveur.
La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite

l'appartenance au groupe Administrateurs de l'entreprise, cette opération
entraînant la suppression du domaine à proprement parler (s'il s'agit du dernier
domaine dans la forêt, la forêt est supprimée). Le Gestionnaire de serveur vous
informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine
dans le domaine. Cochez la case Dernier contrôleur de domaine du domaine pour
confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine
dans le domaine.
-forceremoval <{ $true | false }>

-lastdomaincontrollerindomain <{ $true | false }>
Avertissements
La page Avertissements vous informe des conséquences possibles de la suppression de
ce contrôleur de domaine. Pour continuer, vous devez sélectionner Procéder à la
suppression.
２ Avertissement
Si vous avez auparavant sélectionné Forcer la suppression de ce contrôleur de

domaine dans la page Informations d'identification, la page Avertissements
affiche tous les rôles FSMO (Flexible Single Master Operations) hébergés par ce
contrôleur de domaine. Vous devez prendre les rôles d'un autre contrôleur de
domaine immédiatement après la rétrogradation de ce serveur. Pour plus
d’informations sur la prise des rôles FSMO, voir Prendre le rôle de maître
d’opérations.
Cette page n'a pas d'argument Windows PowerShell ADDSDeployment équivalent.
Options de suppression
La page Options de suppression s'affiche en fonction de la sélection précédente du
Dernier contrôleur de domaine du domaine dans la page Informations
d'identification. Cette page vous permet de configurer d'autres options de suppression.
Sélectionnez Ignorer le dernier serveur DNS pour zone, Supprimer les partitions
d’application et Supprimer la délégation DNS pour activer le bouton Suivant.
Les options ne s'affichent que si elles sont applicables à ce contrôleur de domaine. Par
exemple, s'il n'existe aucune délégation DNS pour ce serveur, cette case ne s'affiche pas.
Cliquez sur Modifier pour spécifier d'autres informations d'identification

d'administration DNS. Cliquez sur Afficher les partitions pour afficher d'autres partitions
que l'Assistant supprime pendant la rétrogradation. Par défaut, les seules autres
partitions sont les zones DNS du domaine et DNS de la forêt. Toutes les autres partitions
sont des partitions non-Windows.
Les arguments de l'applet de commande ADDSDeployment équivalents sont les suivants

:
-ignorelastdnsserverforzone <{ $true | false }>
-removeapplicationpartitions <{ $true | false }>
-removednsdelegation <{ $true | false }>
-dnsdelegationremovalcredential <pscredential>
Nouveau mot de passe d’administrateur

Quand la rétrogradation est terminée et que l’ordinateur devient un serveur membre de
domaine ou un ordinateur de groupe de travail, la page Nouveau mot de passe
d’administrateur vous demande de fournir un mot de passe pour le compte
Administrateur de l’ordinateur local intégré.
L'applet de commande Uninstall-ADDSDomainController et les arguments suivent les

mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.
L'argument LocalAdministratorPassword est spécial :
S'il n'est pas spécifié en tant qu'argument, l'applet de commande vous invite à
entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation
S'il est spécifié avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit
pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de
commande.
Par exemple, vous pouvez manuellement inviter l’utilisateur à entrer un mot de passe
sous forme d’une chaîne sécurisée à l’aide de la cmdlet Read-Host.
-localadministratorpassword (read-host -prompt "Password:" -assecurestring)
２ Avertissement
Étant donné que les deux options précédentes ne confirment pas le mot de passe,
faites preuve de prudence, car le mot de passe n’est pas visible.
clair convertie, bien que ceci soit fortement déconseillé. Par exemple :
-localadministratorpassword (convertto-securestring "Password1" -asplaintext

-force)
２ Avertissement
Il n’est pas recommandé de fournir ou de stocker un mot de passe en texte clair.

Toute personne qui exécute cette commande dans un script ou qui regarde par-
dessus votre épaule connaît le mot de passe d'administrateur local de cet
ordinateur. Elle peut ensuite accéder à l'ensemble des données qu'il contient et
emprunter l'identité du serveur lui-même.
Confirmation
La page Confirmation indique la rétrogradation planifiée ; elle ne répertorie pas les

options de configuration de la rétrogradation. Il s'agit de la dernière page affichée par
l'Assistant avant le début de la rétrogradation. Le bouton Afficher le script crée un script
de rétrogradation Windows PowerShell.
Cliquez sur Rétrograder pour exécuter l'applet de commande de déploiement des

services AD DS suivante :
Uninstall-ADDSDomainController
Utilisez l'argument Whatif facultatif avec Uninstall-ADDSDomainController et l'applet

de commande pour passer en revue les informations de configuration. Cela vous permet
de voir les valeurs explicites et implicites des arguments d'une applet de commande.
Par exemple :
L'invite de redémarrage représente votre dernière possibilité d'annuler cette opération

quand vous utilisez Windows PowerShell ADDSDeployment. Pour remplacer cette invite,
utilisez les arguments -force ou confirm:$false.
Rétrogradation
Quand la page Rétrogradation s'affiche, la configuration du contrôleur de domaine
Comme Uninstall-ADDSDomainController et Uninstall-WindowsFeature n’ont qu’une

action chacune, elles sont indiquées ici dans la phase de confirmation avec les
arguments requis minimaux. En appuyant sur Entrée, vous démarrez le processus de
rétrogradation irrévocable et redémarrez l'ordinateur.

de la promotion, utilisez l'argument -norebootoncompletion:$false.
２ Avertissement
Il n'est pas conseillé de remplacer le redémarrage. Le serveur membre doit

Voici un exemple de rétrogradation forcée avec ses arguments requis minimaux pour -
forceremoval et -demoteoperationmasterrole. L’argument -credential n’est pas requis,
car l’utilisateur a ouvert une session en tant que membre du groupe Administrateurs de
l’entreprise :
Voici un exemple illustrant la suppression du dernier contrôleur de domaine dans le

domaine avec ses arguments requis minimaux -lastdomaincontrollerindomain et -
removeapplicationpartitions :
Si vous tentez de supprimer le rôle AD DS avant la rétrogradation du serveur,

Windows PowerShell vous bloque avec une erreur :
） Important
Vous devez redémarrer l'ordinateur après la rétrogradation du serveur avant de

pouvoir supprimer les fichiers binaires du rôle AD-Domain-Services.
Résultats

après 10 secondes.
Nettoyer les métadonnées d’un serveur
contrôleur de domaine Active Directory
Le nettoyage des métadonnées est une procédure obligatoire après la suppression

forcée de services AD DS (Active Directory Domain Services). Vous effectuez le
nettoyage des métadonnées sur un contrôleur de domaine dans le domaine du
contrôleur de domaine ayant fait l’objet d’une suppression forcée. Le nettoyage des
métadonnées supprime les données d’AD DS, qui identifient un contrôleur de domaine
auprès du système de réplication. Le nettoyage des métadonnées supprime également
les connexions de réplication d’un service de réplication de fichiers (FRS, File Replication
Service) et d’un système de fichiers DFS (Distributed File System) et tente de prendre ou
transférer tous les rôles de maître d’opérations (également appelés rôles d’opérations à
maître unique flottant ou FSMO) détenus par le contrôleur de domaine mis hors service.
Il existe deux options pour nettoyer les métadonnées d’un serveur :
Nettoyer les métadonnées d’un serveur à l’aide d’outils d’interface utilisateur

graphique
Nettoyez les métadonnées d’un serveur à l’aide de la ligne de commande
７ Notes
Si vous recevez une erreur « Accès refusé » quand vous utilisez l’une de ces
méthodes pour effectuer un nettoyage des métadonnées, vérifiez que l’objet
ordinateur et l’objet Paramètres NTDS du contrôleur de domaine ne sont pas
protégés contre la suppression accidentelle. Pour cela, cliquez avec le bouton droit
sur l’objet ordinateur ou l’objet Paramètres NTDS, cliquez sur Propriétés, cliquez
sur Objet, puis désactivez la case à cocher Protéger l’objet contre la suppression
accidentelle. Dans l’outil Utilisateurs et ordinateurs Active Directory, l’onglet Objet
d’un objet s’affiche si vous cliquez sur Voir, puis sur Fonctionnalités avancées.
Nettoyer les métadonnées d’un serveur à l’aide

d’outils d’interface utilisateur graphique
Quand vous utilisez les Outils d’administration de serveur distant ou la console
Utilisateurs et ordinateurs Active Directory (Dsa.msc) incluse avec Windows Server pour
supprimer le compte d’ordinateur d’un contrôleur de domaine de l’unité d’organisation
Contrôleurs de domaine, le nettoyage des métadonnées du serveur est effectué
automatiquement. Avant Windows Server 2008, vous deviez effectuer une procédure de
nettoyage des métadonnées distincte.
Vous pouvez aussi utiliser la console Sites et services Active Directory (Dssite.msc) pour
supprimer le compte d’ordinateur d’un contrôleur de domaine. Le nettoyage des
métadonnées est alors également effectué automatiquement. Toutefois, l’outil Sites et
services Active Directory supprime automatiquement les métadonnées uniquement
quand vous supprimez d’abord l’objet Paramètres NTDS sous le compte d’ordinateur
dans Dssite.msc.
Si vous utilisez les Outils d’administration de serveur distant de Dsa.msc ou Dssite.msca

avec Windows Server 2008 ou une version ultérieure, vous pouvez nettoyer
automatiquement les métadonnées pour les contrôleurs de domaine exécutant des
versions antérieures des systèmes d’exploitation Windows.
L’appartenance au groupe Administrateurs du domaine, ou équivalent, est la condition

minimale requise pour effectuer ces procédures.
Nettoyer les métadonnées d’un serveur à l’aide de l’outil

Utilisateurs et ordinateurs Active Directory
1. Ouvrez Utilisateurs et ordinateurs Active Directory.
2. Si vous avez identifié des partenaires de réplication en vue de cette procédure et si
vous n’êtes pas connecté à un partenaire de réplication du contrôleur de domaine
supprimé dont vous nettoyez les métadonnées, cliquez avec le bouton droit sur le
nœud Utilisateurs et ordinateurs Active Directory, puis cliquez sur Modifier le
contrôleur de domaine. Cliquez sur le nom du contrôleur de domaine dont vous
souhaitez supprimer les métadonnées, puis cliquez sur OK.
3. Développez le domaine du contrôleur de domaine ayant fait l’objet d’une
suppression forcée, puis cliquez sur Contrôleurs de domaine.
4. Dans le volet d’informations, cliquez avec le bouton droit sur l’objet ordinateur du
contrôleur de domaine dont vous souhaitez nettoyer les métadonnées, puis
cliquez sur Supprimer.
5. Dans la boîte de dialogue Active Directory Domain Services, vérifiez que le nom
du contrôleur de domaine que vous souhaitez supprimer s’affiche, puis cliquez sur
Oui pour confirmer la suppression de l’objet ordinateur.
6. Dans la boîte de dialogue Suppression du contrôleur de domaine, sélectionnez Ce
contrôleur de domaine est définitivement hors connexion et ne peut plus être
rétrogradé à l’aide de l’Assistant Installation des services de domaine
Active Directory (DCPROMO), puis cliquez sur Supprimer.
7. Si le contrôleur de domaine est un serveur de catalogue global, dans la boîte de
dialogue Supprimer le contrôleur de domaine, cliquez sur Oui pour poursuivre la
suppression.
8. Si un ou plusieurs rôles de maître d’opérations sont actuellement attribués au
contrôleur de domaine, cliquez sur OK pour transférer ces rôles au contrôleur de
domaine affiché. Vous ne pouvez pas modifier ce contrôleur de domaine. Si vous
souhaitez transférer le rôle à un autre contrôleur de domaine, vous devez le faire
après la procédure de nettoyage des métadonnées du serveur.
Nettoyer les métadonnées d’un serveur à l’aide de l’outil

Sites et services Active Directory
1. Ouvrez Sites et services Active Directory.
2. Si vous avez identifié des partenaires de réplication en vue de cette procédure et si
vous n’êtes pas connecté à un partenaire de réplication du contrôleur de domaine
supprimé dont vous nettoyez les métadonnées, cliquez avec le bouton droit sur
Sites et services Active Directory, puis cliquez sur Modifier le contrôleur de
domaine. Cliquez sur le nom du contrôleur de domaine dont vous souhaitez
supprimer les métadonnées, puis cliquez sur OK.
3. Développez le site du contrôleur de domaine ayant fait l’objet d’une suppression
forcée, développez Serveurs, développez le nom du contrôleur de domaine,
cliquez avec le bouton droit sur l’objet Paramètres NTDS, puis cliquez sur
Supprimer.
4. Dans la boîte de dialogue Sites et services Active Directory, cliquez sur Oui pour
confirmer la suppression de l’objet Paramètres NTDS.
5. Dans la boîte de dialogue Suppression du contrôleur de domaine, sélectionnez Ce
contrôleur de domaine est définitivement hors connexion et ne peut plus être
rétrogradé à l’aide de l’Assistant Installation des services de domaine
Active Directory (DCPROMO), puis cliquez sur Supprimer.
6. Si le contrôleur de domaine est un serveur de catalogue global, dans la boîte de
dialogue Supprimer le contrôleur de domaine, cliquez sur Oui pour poursuivre la
suppression.
7. Si un ou plusieurs rôles de maître d’opérations sont actuellement attribués au
contrôleur de domaine, cliquez sur OK pour transférer ces rôles au contrôleur de
domaine affiché.
8. Cliquez avec le bouton droit sur le contrôleur de domaine ayant fait l’objet d’une
suppression forcée, puis cliquez sur Supprimer.
9. Dans la boîte de dialogue Active Directory Domain Services, cliquez sur Oui pour
confirmer la suppression du contrôleur de domaine.
Nettoyer les métadonnées d’un serveur à l’aide

de la ligne de commande
Vous pouvez également nettoyer les métadonnées à l’aide de l’outil en ligne de
commande ntdsutil.exe, qui est installé automatiquement sur tous les serveurs et
contrôleurs de domaine sur lesquels sont installés les services AD LDS (Active Directory
Lightweight Directory Services). ntdsutil.exe est également disponible sur les ordinateurs
sur lesquels sont installés les Outils d’administration de serveur distant. Pour nettoyer les
métadonnées du serveur à l’aide de ntdsutil, effectuez les étapes suivantes :
1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu

Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur
Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte
d’utilisateur s’affiche, entrez des informations d’identification d’administrateur
d’entreprise si nécessaire, puis cliquez sur Continuer.
2. À l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :
ntdsutil
3. À l’invite ntdsutil: , tapez la commande suivante, puis appuyez sur Entrée :
metadata cleanup
4. À l’invite metadata cleanup: , tapez la commande suivante, puis appuyez sur

Entrée :
remove selected server <ServerName>
5. Dans la boîte de dialogue Configuration de suppression de serveur, consultez les

informations et l’avertissement, puis cliquez sur Oui pour supprimer l’objet serveur
et les métadonnées.
À ce stade, Ntdsutil confirme que le contrôleur de domaine a été supprimé. Si vous

recevez un message d’erreur indiquant que l’objet est introuvable, il se peut que le
contrôleur de domaine ait déjà été supprimé.
6. Aux invites metadata cleanup: et ntdsutil: , tapez quit , puis appuyez sur Entrée.
7. Pour confirmer la suppression du contrôleur de domaine :
Ouvrez Utilisateurs et ordinateurs Active Directory. Dans le domaine du contrôleur

de domaine supprimé, cliquez sur Contrôleurs de domaine. Dans le volet
d’informations, aucun objet ne doit pas apparaître pour le contrôleur de domaine
que vous avez supprimé.
Ouvrez Sites et services Active Directory. Accédez au conteneur Serveurs et vérifiez

que l’objet serveur du contrôleur de domaine que vous avez supprimé ne contient
pas d’objet Paramètres NTDS. Si aucun objet enfant n’apparaît sous l’objet serveur,
vous pouvez le supprimer. Si un objet enfant apparaît, ne supprimez pas l’objet
serveur, car il est utilisé par une autre application.
Voir aussi
Rétrogradation de contrôleurs de domaine
Informations de référence sur les commandes Ntdsutil
Descriptions des pages des Assistants
Installation et Suppression des services
de domaine Active Directory

Cette rubrique décrit les commandes figurant sur les pages des Assistants suivants en
rapport avec l’installation et la suppression du rôle serveur AD DS dans le Gestionnaire
de serveur.
Options DNS
Options du contrôleur de domaine en lecture seule
Chemins d’accès
Examiner les options
Vérification des prérequis
Résultats
Informations d’identification de suppression de rôle
Options et avertissements liés à la suppression des services AD DS
Confirmer les sélections de suppression de rôle
Dans le Gestionnaire de serveur, chaque installation d’un contrôleur de domaine débute
vous sélectionnez. Par exemple, si vous créez une forêt, la page Options de préparation
n’apparaît pas. En revanche, elle s’affiche si vous installez le premier contrôleur de
domaine exécutant Windows Server 2012 dans une forêt ou un domaine existant.
Des tests de validation sont effectués sur cette page et, par la suite, dans le cadre de la
vérification de la configuration requise. Par exemple, si vous essayez d’installer le
premier contrôleur de domaine Windows Server 2012 dans une forêt ayant le niveau
fonctionnel Windows 2000, une erreur apparaît sur cette page.
Les options suivantes apparaissent lorsque vous créez une forêt.
Lorsque vous créez une forêt, vous devez spécifier le nom du domaine racine de
forêt. Le nom du domaine racine de forêt ne doit pas être en une partie (par
exemple, vous devez utiliser « contoso.com » et non « contoso »). Il doit respecter
les conventions d’affectation des noms des domaines DNS. Vous pouvez spécifier
un nom de domaine international. Pour plus d’informations sur les conventions
d’affectation des noms de domaine DNS, voir l’article 909264 de la Base de
connaissances Microsoft .
Ne créez pas de forêts Active Directory portant le même nom que votre nom DNS
externe. Par exemple, si votre URL DNS Internet est http://contoso.com, vous devez
choisir un nom différent pour que votre forêt interne évite tout problème de
compatibilité futur. Ce nom doit être unique et faire l’objet d’une utilisation peu
probable en termes de trafic Web, comme corp.contoso.com.
Vous devez être membre du groupe Administrateurs sur le serveur sur lequel vous
voulez créer une forêt.
Pour plus d’informations sur la création d’une forêt, voir Installer une nouvelle forêt
Active Directory Windows Server 2012 (niveau 200).
Les options suivantes apparaissent lorsque vous créez un domaine.
７ Notes
Si vous créez un domaine d’arborescence, vous devez spécifier le nom du domaine

racine de forêt à la place du domaine parent, mais les pages et les options
restantes de l’Assistant restent les mêmes.
Cliquez sur Sélectionner pour accéder au domaine parent ou à l’arborescence

Active Directory, ou bien tapez un domaine parent valide ou un nom
d’arborescence. Tapez ensuite le nom du nouveau domaine dans Nouveau nom de
domaine.
Domaine d’arborescence : entrez un nom de domaine racine complet valide ; le

nom ne doit pas être en une partie et doit satisfaire aux conditions d’attribution
des noms de domaine DNS.
Domaine enfant : entrez un nom de domaine enfant en une partie valide ; le nom
doit satisfaire aux conditions d’attribution des noms de domaine DNS.
L’Assistant Configuration des services de domaine Active Directory vous invite à

entrer les informations d’identification du domaine si vos informations
d’identification actuelles ne proviennent pas du domaine. Cliquez sur Modifier
pour entrer les informations d’identification du domaine.
Pour plus d’informations sur la création d’un domaine, voir Installer un nouveau
domaine enfant ou domaine d’arborescence Active Directory Windows Server 2012
(niveau 200).
Les options suivantes apparaissent lorsque vous ajoutez un nouveau contrôleur de

domaine à un domaine existant.
Cliquez sur Sélectionner pour accéder au domaine ou tapez un nom de domaine

valide.
Le cas échéant, le Gestionnaire de serveur vous invite à entrer des informations
d’identification valides. Pour installer un contrôleur de domaine supplémentaire,
vous devez être membre du groupe Admins du domaine.
Par ailleurs, quand vous installez le premier contrôleur de domaine exécutant

Windows Server 2012 dans une forêt, vos informations d’identification doivent
inclure des appartenances aux groupes Administrateurs de l’entreprise et
Administrateurs du schéma. L’Assistant Configuration des services de domaine
Active Directory vous avertit par la suite si vos informations d’identification
actuelles ne comptent pas les autorisations ou les appartenances aux groupes
appropriées.
Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant,
voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine
existant (niveau 200).

Si vous créez une forêt, la page Options du contrôleur de domaine recense les options
suivantes :
Les niveaux fonctionnels de forêt et de domaine sont définis sur

Windows Server 2012 par défaut.
Une nouvelle fonctionnalité est disponible au niveau fonctionnel de domaine
Windows Server 2012 : la stratégie de modèle d’administration du centre de
distribution de clés Prise en charge du contrôle d’accès dynamique et du blindage
Kerberos comprend deux paramètres (Toujours fournir des revendications et
Rejeter les demandes d’authentification non blindées) qui nécessitent le niveau
fonctionnel de domaine Windows Server 2012. Pour plus d’informations, consultez
« Prise en charge des revendications, de l’authentification composée et du
blindage Kerberos » dans Nouveautés de l’authentification Kerberos.
Le niveau
fonctionnel de forêt Windows Server 2012 ne fournit aucune nouvelle
fonctionnalité, mais il garantit que tout domaine créé dans la forêt fonctionne
automatiquement au niveau fonctionnel de domaine Windows Server 2012. Outre
la prise en charge du contrôle d’accès dynamique et du blindage Kerberos, le
niveau fonctionnel de domaine Windows Server 2012 ne propose pas d’autres
nouveautés, mais il garantit que tout contrôleur de domaine dans le domaine
exécute Windows Server 2012. Pour plus d’informations sur les autres
fonctionnalités disponibles à différents niveaux fonctionnels, voir Présentation des
niveaux fonctionnels des services de domaine Active Directory (AD DS).
Au-delà des niveaux fonctionnels, un contrôleur de domaine qui exécute

Windows Server 2012 fournit des fonctionnalités supplémentaires qui ne sont pas
disponibles sur un contrôleur de domaine exécutant une version antérieure de
Windows Server. Par exemple, un contrôleur de domaine qui exécute
Windows Server 2012 peut être utilisé pour le clonage de contrôleur de domaine
virtuel, ce qui n’est pas possible avec un contrôleur de domaine qui exécute une
version antérieure de Windows Server.
Le serveur DNS est sélectionné par défaut lorsque vous créez une forêt. Le premier
contrôleur de domaine dans la forêt doit être un serveur de catalogue global. Il ne
peut pas s’agir d’un contrôleur de domaine en lecture seule.
Le mot de passe du mode de restauration des services d’annuaire (DSRM) est

requis pour ouvrir une session sur un contrôleur de domaine où les services AD DS
ne s’exécutent pas. Le mot de passe que vous spécifiez doit respecter la stratégie
de mot de passe appliquée au serveur. Celle-ci, par défaut, ne requiert pas un mot
de passe fort, mais seulement un mot de passe non vide. Choisissez toujours un
mot de passe fort complexe ou, de préférence, une phrase secrète. Pour plus
d’informations sur la façon synchroniser le mot de passe DSRM avec le mot de
passe d’un compte utilisateur de domaine, voir l’l’article 961320 de la Base de
connaissances Microsoft .
Pour plus d’informations sur la création d’une forêt, voir Installer une nouvelle forêt
Active Directory Windows Server 2012 (niveau 200).
Si vous créez un domaine enfant, la page Options du contrôleur de domaine recense les
options suivantes :
Le niveau fonctionnel de domaine est défini sur Windows Server 2012 par défaut.

Vous pouvez spécifier n’importe quelle autre valeur tant que celle-ci est au moins
égale à la valeur du niveau fonctionnel de la forêt.
Parmi les options du contrôleur de domaine configurables figurent Serveur DNS et

Catalogue global. Notez que vous ne pouvez pas configurer un contrôleur de
domaine en lecture seule comme premier contrôleur de domaine dans un nouveau
domaine.
Microsoft recommande que tous les contrôleurs de domaine fournissent des

services DNS et de catalogue global à des fins de haute disponibilité dans les
environnements distribués. Ces options sont donc activées par défaut dans
l’Assistant lors de la création d’un domaine.
La page Options du contrôleur de domaine vous permet également de choisir le

nom de site logique Active Directory approprié à partir de la configuration de la
forêt. Par défaut, le sous-réseau le mieux adapté est sélectionné. S’il n’y a qu’un
site, celui-ci est automatiquement sélectionné.
） Important
Si le serveur n’appartient pas à un sous-réseau Active Directory et que
plusieurs sites existent, rien n’est sélectionné et le bouton Suivant n’apparaît
que lorsque vous choisissez un site dans la liste.
(niveau 200).
Si vous ajoutez un contrôleur de domaine à un domaine, la page Options du contrôleur

de domaine recense les options suivantes :
Parmi les options du contrôleur de domaine configurables figurent Serveur DNS,

Catalogue global et Contrôleur de domaine en lecture seule.
Microsoft recommande que tous les contrôleurs de domaine fournissent des

services DNS et de catalogue global à des fins de haute disponibilité dans les
environnements distribués. Ces options sont donc activées par défaut dans
l’Assistant. Pour plus d’informations sur le déploiement de contrôleurs de domaine
en lecture seule, voir le guide de planification et de déploiement relatif aux
Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un domaine existant,
voir Installer un contrôleur de domaine Windows Server 2012 répliqué dans un domaine
existant (niveau 200).
Options DNS
Si vous installez Serveur DNS, la page Options DNS suivante s’affiche :
Lorsque vous installez Serveur DNS, des enregistrements de délégation qui pointent
vers le serveur DNS comme faisant autorité pour la zone doivent être créés dans la zone
DNS (Domain Name System) parente. Les enregistrements de délégation transfèrent
l’autorité en matière de résolution de noms et fournissent une référence correcte aux
autres serveurs et clients DNS pour les nouveaux serveurs faisant autorité pour la
nouvelle zone. Il s’agit des enregistrements de ressources suivants :
Un enregistrement de serveur de noms (NS) pour rendre la délégation effective.

Cet enregistrement de ressource annonce que le serveur nommé
ns1.na.example.microsoft.com est un serveur faisant autorité pour le sous-domaine
délégué.
Un enregistrement de ressource hôte (A ou AAAA), également appelé

enregistrement de type glue, doit être présent pour résoudre le nom du serveur
spécifié dans l’enregistrement de serveur de noms par son adresse IP. Le processus
consistant à résoudre le nom de l’hôte dans cet enregistrement de ressource par le
serveur DNS délégué dans l’enregistrement de serveur de noms est parfois appelé
« recherche d’enregistrements de type glue ».
Vous pouvez configurer l’Assistant Configuration des services de domaine

Active Directory de manière à ce qu’il les crée automatiquement. L’Assistant vérifie que
les enregistrements appropriés existent dans la zone DNS parente une fois que vous
avez cliqué sur Suivant dans la page Options du contrôleur de domaine. Si l’Assistant
ne peut pas vérifier que les enregistrements existent dans le domaine parent, l’Assistant
vous donne l’option de créer automatiquement une délégation DNS pour un nouveau
domaine (ou de mettre à jour la délégation existante) avant de poursuivre l’installation
du nouveau contrôleur de domaine.
Vous pouvez également créer ces enregistrements de délégation DNS avant d’installer le
serveur DNS. Pour créer une délégation de zone, ouvrez le Gestionnaire DNS, cliquez
avec le bouton droit sur le domaine parent, puis cliquez sur Nouvelle délégation. Suivez
les étapes de l’Assistant Nouvelle délégation pour créer la délégation.
Le processus d’installation tente de créer la délégation pour vérifier que les ordinateurs
des autres domaines peuvent résoudre les requêtes DNS pour les hôtes, notamment les
contrôleurs de domaine et les ordinateurs membres, dans le sous-domaine DNS. Notez
que les enregistrements de délégation ne peuvent être automatiquement créés que sur
des serveurs DNS Microsoft. Si la zone de domaine DNS parente réside sur des serveurs
DNS tiers tels que BIND, un avertissement vous informant de l’impossibilité de créer les
enregistrements de délégation DNS apparaît sur la page Vérification de la configuration
requise. Pour plus d’informations sur l’avertissement, voir Problèmes connus liés à
l’installation des services de domaine Active Directory (AD DS).
Il est possible de créer et de valider des délégations entre le domaine parent et le sous-
domaine qui est promu avant ou après l’installation. Il n’y a aucune raison de différer
l’installation d’un nouveau contrôleur de domaine si vous ne pouvez pas créer ou mettre
à jour la délégation DNS.
Pour plus d’informations sur la délégation, consultez Compréhension de la délégation

de zone (https://go.microsoft.com/fwlink/?LinkId=164773 ). Si la délégation de zone
n’est pas possible dans votre situation, vous pouvez envisager d’autres méthodes pour
assurer la résolution de noms à partir d’autres domaines aux hôtes de votre domaine.
Par exemple, l’administrateur DNS d’un autre domaine pourrait configurer des zones de
stub de transfert conditionnel, ou des zones secondaires pour résoudre des noms dans
votre domaine. Pour plus d'informations, voir les rubriques suivantes :
Compréhension des types de zone (https://go.microsoft.com/fwlink/?

LinkID=157399 )
Compréhension des zones de stub (https://go.microsoft.com/fwlink/?
LinkId=164776 )
Compréhension des redirecteurs (https://go.microsoft.com/fwlink/?

LinkId=164778 )
Options du contrôleur de domaine en lecture

seule
Les options suivantes apparaissent lorsque vous installez un contrôleur de domaine en
lecture seule (RODC).
Les comptes d’administrateurs délégués se voient octroyer des autorisations

administratives locales au contrôleur de domaine en lecture seule. Ces utilisateurs
bénéficient de privilèges équivalents à ceux du groupe Administrateurs de
l’ordinateur local. Ils ne sont membres ni du groupe Admins du domaine ni du
groupe Administrateurs intégré au domaine. Cette option est utile pour déléguer
l’administration de filiales sans octroyer d’autorisations administratives au
domaine. La configuration de la délégation de l’administration n’est pas requise.
Pour plus d’informations, voir Séparation des rôles d’administrateur.
La stratégie de réplication de mot de passe joue le rôle de liste de contrôle d’accès.
Elle détermine si un contrôleur de domaine en lecture seule est autorisé à mettre
en cache un mot de passe. Lorsque le contrôleur de domaine en lecture seule
reçoit une demande d’ouverture de session d’un utilisateur ou d’un d’ordinateur
authentifié, il se rapporte à la Stratégie de réplication de mot de passe pour
déterminer si le mot de passe pour le compte doit être mis en cache. Lors des
ouvertures de session suivantes, le même compte peut alors opérer plus
efficacement.
La Stratégie de réplication de mot de passe (PRP) répertorie les comptes dont les
mots de passe sont autorisés à être mis en cache et les comptes pour lesquels la
mise en cache des mots de passe est explicitement refusée. Même si des comptes
d’utilisateurs et d’ordinateurs étant autorisés à être mis en cache figurent dans la
liste, cela ne signifie pas nécessairement que le contrôleur de domaine en lecture
seule a mis en cache les mots de passe pour ces comptes. Un administrateur peut,
par exemple, spécifier à l’avance les comptes qu’un contrôleur de domaine en
lecture seule mettra en cache. De cette façon, le contrôleur de domaine en lecture
seule peut authentifier ces comptes, même si le lien WAN vers le site hub est hors
connexion.
Les utilisateurs ou ordinateurs qui ne sont pas autorisés (même implicitement) ou

qui font l’objet d’un refus ne mettent pas en cache leur mot de passe. Si ces
utilisateurs ou ordinateurs n’ont pas accès à un contrôleur de domaine accessible
en écriture, ils ne peuvent pas accéder aux ressources ou aux fonctionnalités
fournies par les services AD DS. Pour plus d’informations sur la stratégie de
réplication de mot de passe, voir Stratégie de réplication de mot de passe. Pour
plus d’informations sur la gestion de la stratégie de réplication de mot de passe,
voir Administration de la stratégie de réplication de mot de passe.
Pour plus d’informations sur l’installation de contrôleurs de domaine en lecture, voir

Installer un contrôleur de domaine en lecture seule Active Directory Windows
Server 2012 (niveau 200).
L’option suivante apparaît dans la page Options supplémentaires lorsque vous créez un
domaine :
Les options suivantes apparaissent dans la page Options supplémentaires lorsque vous
installez un contrôleur de domaine supplémentaire dans un domaine existant :
Vous pouvez soit spécifier un contrôleur de domaine comme source de réplication,
soit autoriser l’Assistant à choisir n’importe quel contrôleur de domaine comme
source de réplication.
Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un

support sauvegardé à l’aide de l’option Installation à partir du support (IFM). Si le
support d’installation est stocké localement, l’option Installation à partir du
support vous permet d’accéder à l’emplacement du fichier. L’option Parcourir n’est
pas disponible dans le cadre d’une installation à distance. Vous pouvez cliquer sur
Vérifier pour vous assurer que le chemin d’accès fourni pointe vers un support
valide. Le support utilisé par l’option Installation à partir du support doit être créé
avec Sauvegarde Windows Server ou Ntdsutil.exe à partir d’un autre ordinateur
Windows Server 2012 existant uniquement. Vous ne pouvez pas utiliser
Windows Server 2008 R2 ni un système d’exploitation antérieur pour créer des
supports pour un contrôleur de domaine Windows Server 2012. Si le support est
protégé avec SYSKEY, le Gestionnaire de serveur vous invite à entrer le mot de
passe de l’image pendant la vérification.
(niveau 200). Pour plus d’informations sur l’ajout d’un contrôleur de domaine à un
domaine existant, voir Installer un contrôleur de domaine Windows Server 2012 répliqué
dans un domaine existant (niveau 200).
Chemins d'accès
Les options suivantes apparaissent dans la page Chemins d’accès.
La page Chemins d’accès vous permet de remplacer les emplacements de dossier
par défaut de la base de données AD DS, des journaux de transaction de base de
données et du partage SYSVOL. Les emplacements par défaut sont toujours dans
%systemroot%.
Spécifiez l’emplacement de la base de données AD DS (NTDS.DIT), des fichiers journaux

et de SYSVOL. Pour une installation locale, vous pouvez accéder à l’emplacement où
vous voulez stocker les fichiers.
Si vous n’êtes pas actuellement connecté avec des informations d’identification
suffisantes pour exécuter les commandes adprep.exe et que l’exécution d’adprep est
requise afin d’effectuer l’installation des services AD DS, vous êtes invité à entrer des
informations d’identification pour exécuter adprep.exe. L’exécution d’adprep est requise
pour ajouter le premier contrôleur de domaine exécutant Windows Server 2012 à une
forêt ou un domaine existant. Plus précisément :
Adprep /forestprep doit être exécuté pour ajouter le premier contrôleur de

domaine exécutant Windows Server 2012 à une forêt existante. Cette commande
doit être exécutée par un membre du groupe Administrateurs de l’entreprise, du
groupe Administrateurs du schéma et du groupe Admins du domaine dans le
domaine qui héberge le contrôleur de schéma. Pour que cette commande
s’exécute correctement, une connectivité doit être établie entre l’ordinateur sur
lequel vous exécutez la commande et le contrôleur de schéma pour la forêt.
Adprep /domainprep doit être exécuté pour ajouter le premier contrôleur de

domaine exécutant Windows Server 2012 à un domaine existant. Cette commande
doit être exécutée par un membre du groupe Admins du domaine dans le
domaine où vous installez le contrôleur de domaine exécutant
Windows Server 2012. Pour que cette commande s’exécute correctement, une
connectivité doit être établie entre l’ordinateur sur lequel vous exécutez la
commande et le maître d’infrastructure pour le domaine.
Vous devez exécuter la commande adprep /rodcprep pour ajouter le premier
contrôleur de domaine en lecture seule à une forêt existante. Cette commande
doit être exécutée par un membre du groupe Administrateurs de l’entreprise. Pour
que cette commande s’exécute correctement, une connectivité doit être établie
entre l’ordinateur sur lequel vous exécutez la commande et le maître
d’infrastructure pour chaque partition de l’annuaire d’applications dans la forêt.
Pour plus d’informations sur Adprep.exe, voir Intégration d’Adprep.exe et Exécution

d’Adprep.exe.
Examiner les options
La page Examiner les options vous permet de valider vos paramètres et de vérifier
qu’ils répondent à vos exigences avant le démarrage de l’installation. Notez que
vous avez encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de
serveur. Cette page vous permet simplement d’examiner et de confirmer vos
paramètres avant de poursuivre la configuration.
La page Examiner les options du Gestionnaire de serveur offre également un

bouton Afficher le script facultatif pour créer un fichier texte Unicode qui contient
la configuration ADDSDeployment actuelle sous forme d’un script Windows
PowerShell unique. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de
serveur sous forme d’un studio de déploiement Windows PowerShell. Utilisez
l’Assistant Configuration des services de domaine Active Directory pour configurer
les options, exportez la configuration, puis annulez l’Assistant. Ce processus crée
un exemple valide et correct du point de vue syntaxique pour permettre des
modifications ultérieures ou une utilisation directe.
Parmi les avertissements qui apparaissent sur cette page, citons les suivants :
Les contrôleurs de domaine exécutant Windows Server 2008 (ou version ultérieure)

ont un paramètre par défaut nommé « Autoriser les algorithmes de chiffrement
compatibles avec Windows NT 4 », qui empêche l’utilisation d’algorithmes de
chiffrement plus faibles quand des sessions sont établies sur des canaux sécurisés.
Pour plus d’informations sur l’impact potentiel et les solutions de contournement,
consultez Désactiver le paramètre AllowNT4Crypto sur tous les contrôleurs de
domaine concernés.
Impossible de créer ou de mettre à jour la délégation DNS. Pour plus

d’informations, voir Options DNS.
La vérification de la configuration requise nécessite des appels WMI. Ceux-ci

peuvent échouer s’ils sont bloqués par un bloc de règles de pare-feu et retourner
une erreur indiquant l’indisponibilité du serveur RPC.
Pour plus d’informations sur les vérifications spécifiques de la configuration requise qui
sont effectuées pour l’installation des services de domaine Active Directory, voir Tests de
configuration requise.
Résultats
Dans cette page, vous pouvez examiner les résultats de l’installation.
Vous pouvez également choisir de redémarrer le serveur cible une fois l’Assistant
terminé ; toutefois, si l’installation réussit, le serveur redémarre toujours, et ce quel que
soit l’état de cette option. Dans certains cas, lorsque l’Assistant se termine sur un serveur
cible qui n’a pas été joint au domaine avant l’installation, l’état du système du serveur
cible peut rendre le serveur inaccessible sur le réseau ou l’état du système peut vous
empêcher d’avoir les autorisations nécessaires pour gérer le serveur distant.
Si le serveur cible ne parvient pas à redémarrer dans ce cas, vous devez le redémarrer
manuellement. Il est impossible de le redémarrer à l’aide d’outils tels que shutdown.exe
ou Windows PowerShell. Vous pouvez utiliser les services Bureau à distance pour ouvrir
une session et arrêter à distance le serveur cible.
Informations d’identification de suppression de
rôle
La page Informations d’identification vous permet de configurer des options de

rétrogradation. Entrez les informations d’identification nécessaires pour effectuer la
rétrogradation à partir de la liste suivante :
La rétrogradation d’un contrôleur de domaine supplémentaire nécessite des

informations d’identification d’administrateur de domaine. Le fait de sélectionner
Forcer la suppression de ce contrôleur de domaine rétrograde le contrôleur de
domaine sans supprimer les métadonnées de l’objet contrôleur de domaine
） Important
Sélectionnez cette option uniquement si le contrôleur de domaine ne parvient

pas à contacter d’autres contrôleurs de domaine et qu’aucun moyen
raisonnable ne permet de résoudre ce problème réseau. La rétrogradation
forcée laisse des métadonnées orphelines dans Active Directory sur les
contrôleurs de domaine restants dans la forêt. Par ailleurs, toutes les
modifications non répliquées sur ce contrôleur de domaine, notamment les
mots de passe ou les nouveaux comptes d’utilisateur, sont définitivement
perdues. Les métadonnées orphelines sont la cause première d’un grand
nombre de problèmes soumis au support technique Microsoft pour AD DS,
Exchange, SQL et d’autres logiciels. Si vous rétrogradez de force un contrôleur
de domaine, vous devez immédiatement effectuer un nettoyage manuel des
métadonnées. Pour la procédure à suivre, voir Nettoyage des métadonnées
du serveur.
La rétrogradation du dernier contrôleur de domaine dans un domaine nécessite

l’appartenance au groupe Administrateurs de l’entreprise, cette opération
entraînant la suppression du domaine à proprement parler (s’il s’agit du dernier
domaine dans la forêt, la forêt est supprimée). Le Gestionnaire de serveur vous
informe si le contrôleur de domaine actuel est le dernier contrôleur de domaine
dans le domaine. Sélectionnez Dernier contrôleur de domaine du domaine pour
confirmer que le contrôleur de domaine est bien le dernier contrôleur de domaine
dans le domaine.
Pour plus d’informations sur la suppression des services AD DS, voir Supprimer les
services de domaine Active Directory (niveau 100) et Rétrogradation de contrôleurs de
Options et avertissements liés à la suppression

des services AD DS
Si vous avez besoin d’aide au sujet de la page Examiner les options, voir Examiner les
options.
Si le contrôleur de domaine héberge des rôles supplémentaires, tels que le rôle Serveur
DNS ou le serveur de catalogue global, la page d’avertissement suivante apparaît :
Avant de cliquer sur Suivant pour continuer, vous devez cliquer sur Procéder à la
suppression pour confirmer que les rôles supplémentaires ne seront plus disponibles.
Si vous forcez la suppression d’un contrôleur de domaine, toutes les modifications

apportées à un objet Active Directory qui n’ont pas été répliquées vers d’autres
contrôleurs de domaine dans le domaine seront perdues. Par ailleurs, si le contrôleur de
domaine héberge des rôles de maître d’opérations, le catalogue global ou le rôle
Serveur DNS, des opérations critiques dans le domaine et la forêt peuvent être touchées
de la manière suivante. Avant de supprimer un contrôleur de domaine qui héberge un
rôle quelconque de maître d’opérations, essayez de transférer le rôle vers un autre
contrôleur de domaine. S’il n’est pas possible de transférer le rôle, supprimez d’abord
les services de domaine Active Directory de cet ordinateur, puis utilisez Ntdsutil.exe
pour prendre le rôle. Utilisez Ntdsutil sur le contrôleur de domaine auquel vous
envisagez de prendre le rôle ; si possible, utilisez un partenaire de réplication récent
dans le même site que ce contrôleur de domaine. Pour plus d’informations sur le
transfert et la prise des rôles de maître d’opérations, voir l’article 255504 de la Base de
connaissances Microsoft. Si l’Assistant n’est pas en mesure de déterminer si le
contrôleur de domaine héberge un rôle de maître d’opérations, exécutez la commande
netdom.exe pour déterminer si ce contrôleur de domaine effectue des rôles de maître
d’opérations.
Catalogue global : les utilisateurs peuvent avoir des difficultés à ouvrir une session
aux domaines de la forêt. Avant de supprimer un serveur de catalogue global,
assurez-vous qu’il y a suffisamment de serveurs de ce type dans cette forêt et ce
site pour traiter les ouvertures de session utilisateur. Au besoin, désignez un autre
serveur de catalogue global et mettez à jour les clients et les applications avec les
nouvelles informations.
Serveur DNS : toutes les données DNS qui sont stockées dans des zones intégrées
à Active Directory seront perdues. Une fois les services AD DS supprimés, ce
serveur DNS n’est plus en mesure d’effectuer la résolution de noms pour les zones
DNS précédemment intégrées à Active Directory. Par conséquent, nous vous
recommandons de mettre à jour la configuration DNS de tous les ordinateurs qui
se rapportent actuellement à l’adresse IP de ce serveur DNS à des fins de
résolution de noms avec l’adresse IP d’un nouveau serveur DNS.
Maître d’infrastructure : les clients du domaine peuvent avoir des difficultés à

localiser des objets dans d’autres domaines. Avant de continuer, transférez le rôle
de maître d’infrastructure à un contrôleur de domaine qui n’est pas un serveur de
catalogue global.
Maître RID : des problèmes peuvent se produire lors de la création de nouveaux

comptes d’utilisateur, comptes d’ordinateur et groupes de sécurité. Avant de
continuer, transférez le rôle maître RID à un contrôleur de domaine dans le même
domaine que ce contrôleur de domaine.
Émulateur de contrôleur de domaine principal : les opérations qui sont effectuées

par l’émulateur de contrôleur de domaine principal, notamment les mises à jour de
stratégie de groupe et les réinitialisations du mot de passe pour les comptes non-
AD DS, ne fonctionnent pas correctement. Avant de continuer, transférez le rôle
maître d’émulateur de contrôleur de domaine principal à un contrôleur de
domaine qui se trouve dans le même domaine que ce contrôleur de domaine.
Contrôleur de schéma : vous ne pouvez plus modifier le schéma pour cette forêt.
Avant de continuer, transférez le rôle de contrôleur de schéma à un contrôleur de
domaine dans le domaine racine de la forêt.
Maître d’opérations des noms de domaine : vous ne pouvez plus ajouter de

domaines à cette forêt ni en supprimer. Avant de continuer, transférez le rôle de
maître d’opérations des noms de domaine à un contrôleur de domaine dans le
domaine racine de la forêt.
Toutes les partitions de l’annuaire d’applications sur ce contrôleur de domaine

Active Directory seront supprimées. Si un contrôleur de domaine contient le
dernier réplica d’une ou plusieurs partitions de répertoire d’application, ces
partitions n’existeront plus au terme de l’opération de suppression.
Sachez que le domaine n’existera plus à l’issue de la désinstallation des services de

domaine Active Directory du dernier contrôleur de domaine dans le domaine.
Si le contrôleur de domaine est un serveur DNS qui est délégué pour héberger la zone
DNS, la page suivante vous donne l’option de supprimer le serveur DNS de la
délégation de zone DNS.

Quand la rétrogradation est terminée et que l’ordinateur devient un serveur membre de
domaine ou un ordinateur de groupe de travail, la page Nouveau mot de passe
d’administrateur vous demande de fournir un mot de passe pour le compte
Administrateur de l’ordinateur local intégré.
Page Examiner les options

La page Examiner les options vous donne la possibilité d’exporter les paramètres de
configuration pour la rétrogradation vers un script Windows PowerShell de manière à
automatiser des rétrogradations supplémentaires. Cliquez sur Rétrograder pour
supprimer les services AD DS.
Changes Made by Adprep.exe

Cette rubrique décrit les modifications apportées par Adprep.exe dans

Windows Server 2012 R2 et Windows Server 2012.
Mises à jour à l’échelle de la forêt
Mises à jour à l’échelle du domaine
Mises à jour du contrôleur de domaine en lecture seule
Mises à jour des schémas
Voir aussi
Windows Server 2008 R2 : Annexe des modifications de l’outil Adprep.exe pour la
prise en charge des services de domaine Active Directory
Windows Server 2008 : Annexe des modifications de l’outil Adprep.exe pour la

prise en charge des services de domaine Active Directory
Mises à jour de schéma Windows Server
Active Directory
Cette rubrique répertorie les fichiers LDF qui incluent les modifications apportées par
Adprep.exe.
Mise à jour de schéma dans Windows

Server 2019
Sch88.ldf est le seul nouveau fichier introduit avec Windows Server 2019.
Sch88.ldf
dn: CN=ms-DS-Preferred-Data-Location,CN=schema,CN=configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: attributeSchema
attributeID: 1.2.840.113556.1.4.2366
attributeSyntax: 2.5.5.12
adminDisplayName: ms-DS-Preferred-Data-Location
adminDescription: ms-DS-Preferred-Data-Location
oMSyntax: 64
lDAPDisplayName: msDS-preferredDataLocation
isSingleValued: TRUE
schemaIDGUID:: 3ooM+pRMEEa6zhgO/e4hQA==
searchFlags: 0
showInAdvancedViewOnly: FALSE
systemFlags: 16
systemOnly: FALSE
rangeLower: 1
rangeUpper: 10
isMemberOfPartialAttributeSet: TRUE
dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
dn: CN=User,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaModify
add: systemMayContain
systemMayContain: 1.2.840.113556.1.4.2366
dn: CN=Contact,CN=Schema,CN=Configuration,DC=X
dn: CN=Group,CN=Schema,CN=Configuration,DC=X
dn: CN=Schema,CN=Configuration,DC=X
changeType: ntdsSchemaModify
replace: objectVersion
objectVersion: 88
dn:
changetype: modify
schemaUpdateNow: 1
Mises à jour de schéma dans Windows

Server 2016
Sch70.ldf et Sch87.ldf sont introduits avec Windows Server 2016.
Sch70.ldf
dn: CN=ms-DS-Device-MDMStatus,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-MDMStatus
adminDisplayName: ms-DS-Device-MDMStatus
adminDescription: This attribute is used to manage the mobile device

management status of the device.
ldapDisplayName: msDS-DeviceMDMStatus
attributeId: 1.2.840.113556.1.4.2308
omSyntax: 64
instanceType: 4
rangeUpper: 256
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: lo8K9sRXLEKjrZ4voJzm9w==
showInAdvancedViewOnly: TRUE
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Device,CN=Schema,CN=Configuration,DC=X
objectVersion: 70
dn:
changetype: modify
schemaUpdateNow: 1
Sch71.ldf
dn: CN=ms-DS-GeoCoordinates-Altitude,CN=Schema,CN=Configuration,DC=X
replace: systemFlags
systemFlags: 16
dn: CN=ms-DS-GeoCoordinates-Latitude,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-GeoCoordinates-Longitude,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Device-OS-Version,CN=Schema,CN=Configuration,DC=X
replace: searchFlags
searchFlags: 1
dn: CN=ms-DS-Device-OS-Type,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
# Increase schema version
objectVersion: 71
dn:
changetype: modify
schemaUpdateNow: 1
Sch72.ldf
dn: CN=ms-DS-External-Directory-Object-Id,CN=Schema,CN=Configuration,DC=X
adminDisplayName: ms-DS-External-Directory-Object-Id
adminDescription: ms-DS-External-Directory-Object-Id
ldapDisplayName: msDS-ExternalDirectoryObjectId
attributeSecurityGuid:: hri1d0qU0RGuvQAA+ANnwQ==
attributeId: 1.2.840.113556.1.4.2310
omSyntax: 64
instanceType: 4
rangeUpper: 256
schemaIdGuid:: kL8pva1m4UCIexDfBwQZpg==
searchFlags: 9
systemOnly: FALSE
systemFlags: 16
dn:
schemaUpdateNow: 1
dn: CN=Mail-Recipient,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.4.2310
dn: CN=Top,CN=Schema,CN=Configuration,DC=X
objectVersion: 72
Sch73.ldf
dn: CN=ms-DS-Is-Compliant,CN=Schema,CN=Configuration,DC=x
CN: ms-DS-Is-Compliant
adminDescription: This attribute is used to determine if the object is

compliant with company policies.
adminDisplayName: msDS-IsCompliant
lDAPDisplayName: msDS-IsCompliant
attributeId: 1.2.840.113556.1.4.2314
oMSyntax: 1
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIDGUID:: D31SWcC34kyh3XHO9pYykg==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 73
dn:
changetype: modify
schemaUpdateNow: 1
Sch74.ldf
dn: CN=ms-DS-Key-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyId
adminDisplayName: msDS-KeyId
adminDescription: This attribute contains a key identifier.
attributeId: 1.2.840.113556.1.4.2315
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: S/iUwq0vcUu+TJ/FcB9gug==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Key-Material,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyMaterial
adminDisplayName: msDS-KeyMaterial
adminDescription: This attribute contains key material.
attributeId: 1.2.840.113556.1.4.2316
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nw4uodveMU+PIRMRuVgYLw==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Key-Usage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyUsage
adminDisplayName: msDS-KeyUsage
adminDescription: This attribute identifies the usage scenario for the key.
attributeId: 1.2.840.113556.1.4.2317
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TLRx3ropl0WeysM0is4ZFw==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Key-Principal,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyPrincipal
adminDisplayName: msDS-KeyPrincipal
adminDescription: This attribute specifies the principal that a key object

applies to.
attributeId: 1.2.840.113556.1.4.2318
omObjectClass:: KwwCh3McAIVK
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OyVhvQGUOUGmkzVvxADz6g==
systemFlags: 16
instanceType: 4
linkID: 2218
dn: CN=ms-DS-Key-Principal-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyPrincipalBL
adminDisplayName: msDS-KeyPrincipalBL
adminDescription: This attribute is the backlink for msDS-KeyPrincipal.
attributeId: 1.2.840.113556.1.4.2319
omSyntax: 127
isSingleValued: FALSE
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: vI8y0XSFUEGIHQsQiIJ4eA==
systemFlags: 16
instanceType: 4
linkID: 2219
dn: CN=ms-DS-Device-DN,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-DeviceDN
adminDisplayName: msDS-DeviceDN
adminDescription: This attribute identifies the registered device from which

this key object was provisioned.
attributeId: 1.2.840.113556.1.4.2320
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KREsZJk4IUeOIUg545iM5Q==
systemFlags: 16
instanceType: 4
dn: CN=ms-DS-Computer-SID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ComputerSID
adminDisplayName: msDS-ComputerSID
adminDescription: This attribute identifies a domain-joined computer.
attributeId: 1.2.840.113556.1.4.2321
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: INf733IILkCZQPzXjbBJug==
systemFlags: 16
dn: CN=ms-DS-Custom-Key-Information,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-CustomKeyInformation
adminDisplayName: msDS-CustomKeyInformation
adminDescription: This attribute contains additional information about the

key.
attributeId: 1.2.840.113556.1.4.2322
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iOnltuTlhkyirg2suXCg4Q==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Key-Approximate-Last-Logon-Time-
Stamp,CN=Schema,CN=Configuration,DC=X
adminDisplayName: msDS-KeyApproximateLastLogonTimeStamp
adminDescription: The approximate time this key was last used in a logon
operation.
ldapDisplayName: msDS-KeyApproximateLastLogonTimeStamp
attributeId: 1.2.840.113556.1.4.2323
omSyntax: 65
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: jcmaZJqbQU2va/YW8qYuSg==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Key-Credential,CN=Schema,CN=Configuration,DC=X
objectClass: classSchema
ldapDisplayName: msDS-KeyCredential
adminDisplayName: msDS-KeyCredential
adminDescription: An instance of this class contains key material.
governsId: 1.2.840.113556.1.5.297
objectClassCategory: 1
rdnAttId: cn
schemaIdGuid:: Q1Uf7i58akeLP+EfSvbEmA==
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;EA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
defaultHidingValue: FALSE
systemOnly: FALSE
systemFlags: 16
instanceType: 4
subClassOf: top
systemPossSuperiors: 1.2.840.113556.1.3.23
systemMustContain: 1.2.840.113556.1.4.2315
add:systemMayContain
objectVersion: 74
dn:
changetype: modify
schemaUpdateNow: 1
Sch75.ldf
dn: CN=ms-DS-Device-Trust-Type,CN=Schema,CN=Configuration,DC=X
CN: ms-DS-Device-Trust-Type
adminDescription: Represents join type for devices.
adminDisplayName: msDS-DeviceTrustType
lDAPDisplayName: msDS-DeviceTrustType
attributeId: 1.2.840.113556.1.4.2325
oMSyntax: 2
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIDGUID:: B2ikxNxqu0uX3mvtGBob/g==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
# Optional Feature Object
dn: CN=Expiring Group Membership Feature,CN=Optional Features,CN=Directory

Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
objectClass: msDS-OptionalFeature
msDS-OptionalFeatureFlags: 1
msDS-OptionalFeatureGUID:: c+hD7OjMQEa0qwf/5KtbzQ==
msDS-RequiredForestBehaviorVersion: 7
# 0x800000000
# 0x080000000
# 0x040000000
systemFlags: 2348810240
objectVersion: 75
dn:
changetype: modify
schemaUpdateNow: 1
Sch76.ldf
dn: CN=ms-DS-Shadow-Principal-Sid,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: msDS-ShadowPrincipalSid
adminDisplayName: ms-DS-Shadow-Principal-Sid
adminDescription: Contains the SID of a principal from an external forest.
attributeID: 1.2.840.113556.1.4.2324
oMSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: IgfMHbCq70+Vbydv4Z3hBw==
systemFlags: 16
instanceType: 4
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Shadow-Principal-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ShadowPrincipalContainer
adminDisplayName: ms-DS-Shadow-Principal-Container
adminDescription: Dedicated container for msDS-ShadowPrincipal objects.
governsId: 1.2.840.113556.1.5.298
rdnAttId: cn
schemaIdGuid:: RVX5ERLXUEy4R9J4FTfGMw==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPLCLORC;;;AU)
systemOnly: FALSE
systemFlags: 16
instanceType: 4
subClassOf: container
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Shadow-Principal,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ShadowPrincipal
adminDisplayName: ms-DS-Shadow-Principal
adminDescription: Represents a principal from an external forest.
governsId: 1.2.840.113556.1.5.299
rdnAttId: cn
schemaIdGuid:: s0wPd0MWnEa3Zu3XeqdeFA==
systemOnly: FALSE
systemFlags: 16
instanceType: 4
subClassOf: top
systemPossSuperiors: msDS-ShadowPrincipalContainer
systemMayContain: member
systemMustContain: msDS-ShadowPrincipalSid
dn: CN=Shadow Principal Feature,CN=Optional Features,CN=Directory

msDS-OptionalFeatureGUID:: KbW388juRVatNjmTdiXpNg==
dn: CN=Shadow Principal Configuration,CN=Services,CN=Configuration,DC=X
objectClass: msDS-ShadowPrincipalContainer
objectVersion: 76
dn:
changetype: modify
schemaUpdateNow: 1
Sch77.ldf
dn: CN=ms-DS-Key-Id,CN=Schema,CN=Configuration,DC=X
replace: isMemberOfPartialAttributeSet
isMemberOfPartialAttributeSet: FALSE
dn: CN=ms-DS-Key-Material,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Key-Usage,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Key-Principal,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Device-DN,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Computer-SID,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Custom-Key-Information,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Key-Approximate-Last-Logon-Time-
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Key-Credential,CN=Schema,CN=Configuration,DC=X
objectVersion: 77
dn:
changetype: modify
schemaUpdateNow: 1
Sch78.ldf
# Optional Feature Object

# FLAG_ALLOW_RENAME 0x400000

changetype: ntdsSchemaModRdn
newrdn: Privileged Access Management Feature
deleteoldrdn: 1
dn: CN=Privileged Access Management Feature,CN=Optional

Features,CN=Directory Service,CN=Windows
NT,CN=Services,CN=Configuration,DC=X
# FLAG_DISALLOW_DELETE 0x80000000
# FLAG_DOMAIN_DISALLOW_RENAME0x08000000
# FLAG_DOMAIN_DISALLOW_MOVE0x04000000

# FLAG_DOMAIN_DISALLOW_RENAME0x08000000
# FLAG_DOMAIN_DISALLOW_MOVE0x04000000

changetype: ntdsSchemaDelete
objectVersion: 78
dn:
changetype: modify
schemaUpdateNow: 1
Sch79.ldf
objectVersion: 79
dn:
changetype: modify
schemaUpdateNow: 1
Sch80.ldf
dn: CN=ms-DS-Key-Credential-Link,CN=schema,CN=configuration,DC=X
attributeID: 1.2.840.113556.1.4.2328
adminDisplayName: ms-DS-Key-Credential-Link
adminDescription: Contains key material and usage.
oMSyntax: 127
oMObjectClass:: KoZIhvcUAQEBCw==
lDAPDisplayName: msDS-KeyCredentialLink
systemOnly: FALSE
schemaIDGUID:: D9ZHW5BgskCfNypN6I8wYw==
searchFlags: 0
systemFlags: 16
linkId: 2220
dn: CN=ms-DS-Key-Credential-Link-BL,CN=schema,CN=configuration,DC=X
attributeID: 1.2.840.113556.1.4.2329
oMSyntax: 127
lDAPDisplayName: msDS-KeyCredentialLink-BL
systemOnly: FALSE
schemaIDGUID:: iNeKk18i7k6Tua0koVnh2w==
searchFlags: 0
systemFlags: 16
linkId: 2221
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 80
dn:
changetype: modify
schemaUpdateNow: 1
Sch81.ldf
dn: CN=DS-Validated-Write-Computer,CN=Extended-Rights,CN=Configuration,DC=X
objectClass: controlAccessRight
displayName: Validated write to computer attributes.
rightsGuid: 9b026da6-0d3c-465c-8bee-5199d7165cba
appliesTo: bf967a86-0de6-11d0-a285-00aa003049e2
ShowInAdvancedViewOnly: TRUE
validAccesses: 8
dn: CN=ms-DS-Key-Credential-Link,CN=schema,CN=configuration,DC=X
add: attributeSecurityGUID
attributeSecurityGUID:: pm0CmzwNXEaL7lGZ1xZcug==
objectVersion: 81
dn:
changetype: modify
schemaUpdateNow: 1
Sch82.ldf
dn: CN=Dns-Zone-Scope-Container,CN=Schema,CN=Configuration,DC=X
cn: Dns-Zone-Scope-Container
adminDisplayName: Dns-Zone-Scope-Container
adminDescription: Container for Dns Zone Scope objects.
ldapDisplayName: dnsZoneScopeContainer
rDNAttID: cn
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;ED)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;CC;;;AU)(A;;RPLCLORC;;;WD)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)
governsId: 1.2.840.113556.1.5.300
instanceType: 4
schemaIdGuid:: k5Bp8lryIEKd6wPfTMSpxQ==
defaultHidingValue: TRUE
systemOnly: FALSE
systemFlags: 16
subClassOf: top
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Dns-Zone-Scope,CN=Schema,CN=Configuration,DC=X
cn: Dns-Zone-Scope
adminDisplayName: Dns-Zone-Scope
adminDescription: A zonescope of a zone is another copy of the zone

contained in the zone with different set of resource records.
ldapDisplayName: dnsZoneScope
rDNAttID: cn
(A;;CC;;;AU)(A;;RPLCLORC;;;WD)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)
governsId: 1.2.840.113556.1.5.301
instanceType: 4
schemaIdGuid:: YYpvaT8tzkCks+J138xJxQ==
systemOnly: FALSE
systemFlags: 16
subClassOf: top
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Dns-Node,CN=Schema,CN=Configuration,DC=X
add: systemPossSuperiors
objectVersion: 82
dn:
changetype: modify
schemaUpdateNow: 1
Sch83.ldf
dn: CN=ms-DS-Expire-Passwords-On-Smart-Card-Only-
Accounts,CN=Schema,CN=Configuration,DC=X
CN: ms-DS-Expire-Passwords-On-Smart-Card-Only-Accounts
attributeID: 1.2.840.113556.1.4.2344
adminDisplayName: ms-DS-Expire-Passwords-On-Smart-Card-Only-Accounts
adminDescription: This attribute controls whether the passwords on smart-

card-only accounts expire in accordance with the password policy.
oMSyntax: 1
lDAPDisplayName: msDS-ExpirePasswordsOnSmartCardOnlyAccounts
systemOnly: FALSE
schemaIDGUID:: SKsXNCTfsU+AsA/LNn4l4w==
systemFlags: 16
searchFlags: 0
instanceType: 4
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=X
objectVersion: 83
dn:
changetype: modify
schemaUpdateNow: 1
Sch84.ldf
dn: CN=ms-DS-Token-Group-Names,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msds-tokenGroupNames
adminDisplayName: ms-DS-Token-Group-Names
adminDescription: The distinguished names of security groups the principal

is directly or indirectly a member of.
attributeId: 1.2.840.113556.1.4.2345
omSyntax: 127
systemOnly: TRUE
# 0x00000800 (Attribute is returned only on base searches.)
# searchFlags hex value 0x00000800
searchFlags: 2048
schemaIdGuid:: dgVlZZlGyU+NGCbgzQE3pg==
attributeSecurityGuid:: +IhwA+EK0hG0IgCgyWj5OQ==
# 0x00000001 (Attribute is not replicated)
# 0x00000004 (Attribute is constructed)
# 0x00000008 (Attribute is operational)
# 0x00000010 (Attribute is in the base schema)
# systemFlags hex value 0x0000001D
systemFlags: 29
dn: CN=ms-DS-Token-Group-Names-Global-And-
Universal,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msds-tokenGroupNamesGlobalAndUniversal
adminDisplayName: ms-DS-Token-Group-Names-Global-And-Universal
adminDescription: The distinguished names of global and universal security

groups the principal is directly or indirectly a member of.
attributeId: 1.2.840.113556.1.4.2346
omSyntax: 127
systemOnly: TRUE
searchFlags: 2048
schemaIdGuid:: 9NEG+iJ5rUq3nLIgH1RBfA==
systemFlags: 29
dn: CN=ms-DS-Token-Group-Names-No-GC-
Acceptable,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msds-tokenGroupNamesNoGCAcceptable
adminDisplayName: ms-DS-Token-Group-Names-No-GC-Acceptable
adminDescription: The distinguished names of security groups the principal

is directly or indirectly a member of as reported by the local DC.
attributeId: 1.2.840.113556.1.4.2347
omSyntax: 127
systemOnly: TRUE
searchFlags: 2048
schemaIdGuid:: yMY/UvSaAkqc1z3qEp7rJw==
systemFlags: 29
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Security-Principal,CN=Schema,CN=Configuration,DC=X
objectVersion: 84
dn:
changetype: modify
schemaUpdateNow: 1
Sch85.ldf
dn: CN=ms-DS-User-Allowed-NTLM-Network-
Authentication,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserAllowedNTLMNetworkAuthentication
adminDisplayName: ms-DS-User-Allowed-NTLM-Network-Authentication
adminDescription: This attribute is used to determine if a user is allowed

to authenticate using NTLM authentication.
attributeId: 1.2.840.113556.1.4.2348
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
# schemaIdGuid {7ece040f-9327-4cdc-aad3-037adfe62639}
schemaIdGuid:: DwTOfieT3Eyq0wN63+YmOQ==
# attributeSecurityGuid {00000000-0000-0000-0000-000000000000}
# systemFlags hex value 0x00000010
systemFlags: 16
dn: CN=ms-DS-Service-Allowed-NTLM-Network-
Authentication,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceAllowedNTLMNetworkAuthentication
adminDisplayName: ms-DS-Service-Allowed-NTLM-Network-Authentication
adminDescription: This attribute is used to determine if a service is

allowed to authenticate using NTLM authentication.
attributeId: 1.2.840.113556.1.4.2349
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
# schemaIdGuid {278947b9-5222-435e-96b7-1503858c2b48}
schemaIdGuid:: uUeJJyJSXkOWtxUDhYwrSA==
systemFlags: 16
dn: CN=ms-DS-Strong-NTLM-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-StrongNTLMPolicy
adminDisplayName: ms-DS-Strong-NTLM-Policy
adminDescription: This attribute specifies policy options for NTLM secrets

with strong entropy.
attributeId: 1.2.840.113556.1.4.2350
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
# schemaIdGuid {aacd2170-482a-44c6-b66e-42c2f66a285c}
schemaIdGuid:: cCHNqipIxkS2bkLC9mooXA==
systemFlags: 16
dn: CN=ms-DS-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
objectVersion: 85
dn:
changetype: modify
schemaUpdateNow: 1
Sch86.ldf
dn: CN=ms-DS-Source-Anchor,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SourceAnchor
adminDisplayName: ms-DS-Source-Anchor
adminDescription: Unique, immutable identifier for the object in the

authoritative directory.
attributeId: 1.2.840.113556.1.4.2352
# Syntax: String
oMSyntax: 64
# Note that we do not supply rangeUpper here.DS API enforces a maximum

length of 256 Unicode characters,
# which may translate to more than 256 multi-byte characters in AD given
that the AD syntax for this
# attribute is not String(Unicode).
rangeLower: 1
systemOnly: FALSE
# searchFlags: +fPDNTATTINDEX for SearchForAddressListObjects
# searchFlags: fPDNTATTINDEX | fPRESERVEONDELETE
searchFlags: 10
schemaIDGUID:: B/QCsEAT60G8oL19k44lqQ==
systemFlags: 16
dn: CN=ms-DS-Object-SOA,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ObjectSoa
adminDisplayName: ms-DS-Object-SOA
adminDescription: This attribute is used to identify the source of authority

of the object.
attributeId: 1.2.840.113556.1.4.2353
# Syntax: String
oMSyntax: 64
# Note that we do not supply rangeUpper here.DS API enforces a maximum

length of 256 Unicode characters,
# which may translate to more than 256 multi-byte characters in AD given
that the AD syntax for this
# attribute is not String(Unicode).
rangeLower: 1
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: 9b32NHkuO0yOFD2Tt1qriQ==
systemFlags: 16
objectVersion: 86
dn:
changetype: modify
schemaUpdateNow: 1
Sch87.ldf
dn: CN=Send-As,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
appliesTo: 7b8b558a-93a5-4af7-adca-c017e67f1057
dn: CN=Receive-As,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
dn: CN=Personal-Information,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
dn: CN=Public-Information,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
dn: CN=Validated-SPN,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
dn: CN=Allowed-To-Authenticate,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
dn: CN=MS-TS-GatewayAccess,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
objectVersion: 87
dn:
changetype: modify
schemaUpdateNow: 1

Server 2012 R2
Sch57.ldf et Sch69.ldf sont introduits avec Windows Server 2012 R2.
Sch57.ldf
dn: CN=ms-DS-Issuer-Certificates,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Issuer-Certificates
adminDisplayName: ms-DS-Issuer-Certificates
adminDescription: The keys used to sign certificates issued by the

Registration Service.
ldapDisplayName: msDS-IssuerCertificates
attributeId: 1.2.840.113556.1.4.2240
omSyntax: 4
instanceType: 4
rangeLower: 1
rangeUpper: 65536
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: 2m89a5MIxEOJ+x+1KmYWqQ==
systemFlags: 16
dn: CN=ms-DS-Registration-Quota,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Registration-Quota
adminDisplayName: ms-DS-Registration-Quota
adminDescription: Policy used to limit the number of registrations allowed

for a single user.
ldapDisplayName: msDS-RegistrationQuota
attributeId: 1.2.840.113556.1.4.2241
omSyntax: 2
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: woYyymQfeUCWvOYrYQ5zDw==
systemFlags: 16
dn: CN=ms-DS-Maximum-Registration-Inactivity-
Period,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Maximum-Registration-Inactivity-Period
adminDisplayName: ms-DS-Maximum-Registration-Inactivity-Period
adminDescription: The maximum amount of days used to detect inactivty of

registration objects.
ldapDisplayName: msDS-MaximumRegistrationInactivityPeriod
attributeId: 1.2.840.113556.1.4.2242
omSyntax: 2
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: OapcCuYFykm4CAJbk2YQ5w==
systemFlags: 16
dn: CN=ms-DS-Is-Enabled,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Is-Enabled
adminDisplayName: ms-DS-Is-Enabled
adminDescription: This attribute is used to enable or disable the user-

device relationship.
ldapDisplayName: msDS-IsEnabled
attributeId: 1.2.840.113556.1.4.2248
omSyntax: 1
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: DlypIoMfgkyUzr6miM/IcQ==
systemFlags: 16
cn: ms-DS-Device-OS-Type
adminDisplayName: ms-DS-Device-OS-Type
adminDescription: This attribute is used to track the type of device based

on the OS.
ldapDisplayName: msDS-DeviceOSType
attributeId: 1.2.840.113556.1.4.2249
omSyntax: 64
instanceType: 4
rangeLower: 0
rangeUpper: 1024
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: TUUOELvzy02EX41e3EccWQ==
systemFlags: 16
cn: ms-DS-Device-OS-Version
adminDisplayName: ms-DS-Device-OS-Version
adminDescription: This attribute is used to track the OS version of the

device.
ldapDisplayName: msDS-DeviceOSVersion
attributeId: 1.2.840.113556.1.4.2250
omSyntax: 64
instanceType: 4
rangeLower: 0
rangeUpper: 512
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: Y4z7cKtfBEWrnRSzKain+A==
systemFlags: 16
dn: CN=ms-DS-Device-Physical-IDs,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Physical-IDs
adminDisplayName: ms-DS-Device-Physical-IDs
adminDescription: This attribute is used to store identifiers of the

physical device.
ldapDisplayName: msDS-DevicePhysicalIDs
attributeId: 1.2.840.113556.1.4.2251
omSyntax: 4
instanceType: 4
rangeLower: 1
rangeUpper: 10485760
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: FFRhkKCiR0Spk1NAlZm3Tg==
systemFlags: 16
dn: CN=ms-DS-Device-ID,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-ID
adminDisplayName: ms-DS-Device-ID
adminDescription: This attribute stores the ID of the device.
ldapDisplayName: msDS-DeviceID
attributeId: 1.2.840.113556.1.4.2252
omSyntax: 4
instanceType: 4
rangeLower: 16
rangeUpper: 16
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: x4EBw0Jj+0GyeffFZsvgpw==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Device-Registration-Service-
Container,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Registration-Service-Container
adminDisplayName: ms-DS-Device-Registration-Service-Container
adminDescription: A class for the container used to house all enrollment

services used for device registrations.
ldapDisplayName: msDS-DeviceRegistrationServiceContainer
rDNAttID: cn
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)
governsId: 1.2.840.113556.1.5.287
instanceType: 4
schemaIdGuid:: zlULMc09kkOpbcnjU5fCTw==
systemOnly: FALSE
systemFlags: 16
subClassOf: top
dn: CN=ms-DS-Device-Container,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Container
adminDisplayName: ms-DS-Device-Container
adminDescription: A class for the container used to hold device objects.
ldapDisplayName: msDS-DeviceContainer
rDNAttID: cn
defaultSecurityDescriptor: D:(A;;RPLCLORC;;;AU)
(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
governsId: 1.2.840.113556.1.5.289
instanceType: 4
schemaIdGuid:: WIyefBuQqE627E656fwOEQ==
systemOnly: FALSE
systemFlags: 16
subClassOf: top
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Device-Registration-Service,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Registration-Service
adminDisplayName: ms-DS-Device-Registration-Service
adminDescription: An object of this class holds the registration service

configuration used for devices.
ldapDisplayName: msDS-DeviceRegistrationService
rDNAttID: cn
governsId: 1.2.840.113556.1.5.284
instanceType: 4
schemaIdGuid:: Gjq8ltLj00mvEXsN951n9Q==
systemOnly: FALSE
systemFlags: 16
subClassOf: top
cn: ms-DS-Device
adminDisplayName: ms-DS-Device
adminDescription: An object of this type represents a registered device.
ldapDisplayName: msDS-Device
rDNAttID: cn
(A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
governsId: 1.2.840.113556.1.5.286
instanceType: 4
schemaIdGuid:: c7byXUFtdEez6NUujun/mQ==
systemOnly: FALSE
systemFlags: 16
subClassOf: top
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 57
Sch58.ldf
dn: CN=ms-DS-Resource-Property-List,CN=Schema,CN=Configuration,DC=X
replace: defaultHidingValue
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 58
Sch59.ldf
dn: CN=ms-DS-User-Device-Registration,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-User-Device-Registration-
replace: isDefunct
isDefunct: TRUE
delete: systemMayContain
dn: CN=ms-DS-User-Device-Registration-Link,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-User-Device-Registration-Link-
BL,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-Authentication-Level,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-Approximate-Last-Use-Time-Stamp,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-Device-Reference,CN=Schema,CN=Configuration,DC=X
replace: isDefunct
isDefunct: TRUE
dn: CN=ms-DS-Device-Location,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Location
adminDisplayName: ms-DS-Device-Location
adminDescription: The DN under which the device objects will be created.
ldapDisplayName: msDS-DeviceLocation
attributeId: 1.2.840.113556.1.4.2261
omSyntax: 127
instanceType: 4
searchFlags: 0
systemOnly: TRUE
schemaIdGuid:: yFb74+hd9UWxsdK2zTHnYg==
systemFlags: 16
dn: CN=ms-DS-Registered-Owner,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Registered-Owner
adminDisplayName: ms-DS-Registered-Owner
adminDescription: Single valued binary attribute containing the primary SID

referencing the first user to register the device. The value is not removed
during de-registration, but could be managed by an administrator.
ldapDisplayName: msDS-RegisteredOwner
attributeId: 1.2.840.113556.1.4.2258
omSyntax: 4
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: 6SZ2YesBz0KZH85heYIjfg==
systemFlags: 18
dn: CN=ms-DS-Registered-Users,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Registered-Users
adminDisplayName: ms-DS-Registered-Users
adminDescription: Contains the list of users that have registered the

device.Users in this list have all of the features provided by the "Company
Portal" app.And they have SSO to company resources.
ldapDisplayName: msDS-RegisteredUsers
attributeId: 1.2.840.113556.1.4.2263
omSyntax: 4
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: DBZJBI5ayE+wUgHA9uSPAg==
systemFlags: 18
dn: CN=ms-DS-Approximate-Last-Logon-Time-
cn: ms-DS-Approximate-Last-Logon-Time-Stamp
adminDisplayName: ms-DS-Approximate-Last-Logon-Time-Stamp
adminDescription: The approximate time a user last logged on with from the
device.
ldapDisplayName: msDS-ApproximateLastLogonTimeStamp
attributeId: 1.2.840.113556.1.4.2262
omSyntax: 65
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: O5hPo8aEDE+QUKOhSh01pA==
systemFlags: 16
dn: CN=ms-DS-Device-Object-Version,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Device-Object-Version
adminDisplayName: ms-DS-Device-Object-Version
adminDescription: This attribute is used to identify the schema version of

the device.
ldapDisplayName: msDS-DeviceObjectVersion
attributeId: 1.2.840.113556.1.4.2257
omSyntax: 2
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: Wmll73nxak6T3rAeBmgc+w==
systemFlags: 18
replace: isSingleValued
searchFlags: 1
replace: omSyntax
omSyntax: 64
replace: attributeSyntax
replace: rangeUpper
rangeUpper: 1024
dn:
changetype: modify
schemaUpdateNow: 1
add: systemMustContain
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 59
Sch60.ldf
dn: CN=ms-DS-Is-Member-Of-DL-Transitive,CN=Schema,CN=Configuration,DC=X
# This constructed attribute transitively expands the
# linked attribute "isMemberOfDL"

changetype: ntdsschemaadd
lDAPDisplayName: msds-memberOfTransitive
adminDisplayName: msds-memberOfTransitive
adminDescription: msds-memberOfTransitive
attributeID: 1.2.840.113556.1.4.2236
oMSyntax: 127
oMObjectClass:: KwwCh3McAIVK
systemOnly: TRUE
# 0x800(only return on base search)
searchFlags: 2048
schemaIdGuid:: tmYhhkHJJ0eVZUi//ylB3g==
# 0x10 (base schema) +
# 0x08 (operational) +
# 0x04 (constructed) +
# 0x01 (not replicated)
systemFlags: 29
dn: CN=ms-DS-Member-Transitive,CN=Schema,CN=Configuration,DC=X
# This constructed attribute transitively expands the
# linked attribute "member"
lDAPDisplayName: msds-memberTransitive
adminDisplayName: msds-memberTransitive
adminDescription: msds-memberTransitive
attributeID: 1.2.840.113556.1.4.2238
oMSyntax: 127
systemOnly: TRUE
# 0x800(only return on base search)
searchFlags: 2048
schemaIdGuid:: WzkV4gSR2US4lDmeyeId/A==
systemFlags: 29
dn: CN=ms-DS-Parent-Dist-Name,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: msDS-parentdistname
adminDisplayName: ms-DS-Parent-Dist-Name
adminDescription: ms-DS-Parent-Dist-Name
attributeID: 1.2.840.113556.1.4.2203
oMSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: ff4YuRqXBPSeIZJhq+yXCw==
systemFlags: 29
dn: CN=ms-DS-Repl-Value-Meta-Data-Ext,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ReplValueMetaDataExt
adminDisplayName: ms-DS-Repl-Value-Meta-Data-Ext
adminDescription: ms-DS-Repl-Value-Meta-Data-Ext
attributeId: 1.2.840.113556.1.4.2235
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 79ICHq1EskamfZ/RjXgLyg==
# 0x04 (constructed)
systemFlags: 20
dn:
changetype: modify
schemaUpdateNow: 1
dn: cn=Top,cn=Schema,cn=Configuration,dc=X
changetype: ntdsschemamodify
dn: CN=DS-Set-Owner,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Set Owner of an object during creation.
rightsGuid: 4125c71f-7fac-4ff0-bcb7-f09a41325286
appliesTo: 26f11b08-a29d-4869-99bb-ef0b99fd883e
validAccesses: 256
dn: CN=DS-Bypass-Quota,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Bypass the quota restrictions during creation.
rightsGuid: 88a9933e-e5c8-4f2a-9dd7-2527416b8092
validAccesses: 256
dn: CN=DS-Read-Partition-Secrets,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Read secret attributes of objects in a Partition
rightsGuid: 084c93a2-620d-4879-a836-f0ae47de0e89
validAccesses: 256
dn: CN=DS-Write-Partition-Secrets,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Write secret attributes of objects in a Partition
rightsGuid: 94825A8D-B171-4116-8146-1E34D8F54401
validAccesses: 256
objectVersion: 60
Sch61.ldf
dn: CN=ms-DS-Drs-Farm-ID,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Drs-Farm-ID
adminDisplayName: ms-DS-Drs-Farm-ID
adminDescription: This attribute stores the name of the federation service

this DRS object is associated with.
ldapDisplayName: msDS-DrsFarmID
attributeId: 1.2.840.113556.1.4.2265
omSyntax: 64
instanceType: 4
searchFlags: 0
systemOnly: TRUE
schemaIdGuid:: ZvdVYC4gzUmovuUrsVnt+w==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 61
dn:
changetype: modify
schemaUpdateNow: 1
Sch62.ldf
dn: CN=ms-DS-Issuer-Public-Certificates,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Issuer-Public-Certificates
adminDisplayName: ms-DS-Issuer-Public-Certificates
adminDescription: The public keysof the keys used to sign certificates

issued by the Registration Service.
ldapDisplayName: msDS-IssuerPublicCertificates
attributeId: 1.2.840.113556.1.4.2269
omSyntax: 4
instanceType: 4
rangeLower: 1
rangeUpper: 65536
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: /u3xtdK0dkCrD2FINCsL9g==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 62
Sch63.ldf
dn: CN=ms-DS-Issuer-Certificates,CN=Schema,CN=Configuration,DC=X
searchFlags: 128
replace: defaultSecurityDescriptor
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 63
Sch64.ldf
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;EA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;EA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 64
Sch65.ldf
dn: CN=ms-DS-Registration-Quota,CN=Schema,CN=Configuration,DC=X
add: showInAdvancedViewOnly
dn: CN=ms-DS-Maximum-Registration-Inactivity-
dn: CN=ms-DS-Registered-Owner,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Registered-Users,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Approximate-Last-Logon-Time-
dn: CN=ms-DS-Is-Enabled,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Device-ID,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Device-Object-Version,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-IsManaged,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-IsManaged
adminDisplayName: ms-DS-IsManaged
adminDescription: This attribute is used to indicate the device is managed
by a on-premises MDM.
ldapDisplayName: msDS-IsManaged
attributeId: 1.2.840.113556.1.4.2270
omSyntax: 1
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: zmpoYCds3kOk5fAML40zCQ==
systemFlags: 16
dn: CN=ms-DS-Cloud-IsManaged,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Cloud-IsManaged
adminDisplayName: ms-DS-Cloud-IsManaged
adminDescription: This attribute is used to indicate the device is managed

by a cloud MDM.
ldapDisplayName: msDS-CloudIsManaged
attributeId: 1.2.840.113556.1.4.2271
omSyntax: 1
instanceType: 4
searchFlags: 1
systemOnly: FALSE
schemaIdGuid:: jroVU4+VUku9OBNJowTdYw==
systemFlags: 16
dn: CN=ms-DS-Cloud-Anchor,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Cloud-Anchor
adminDisplayName: ms-DS-Cloud-Anchor
adminDescription: This attribute is used by the DirSync engine to indicate

the object SOA and to maintain the relationship between the on-premises and
cloud object.
ldapDisplayName: msDS-CloudAnchor
attributeId: 1.2.840.113556.1.4.2273
omSyntax: 4
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: gF5WeNQD40+vrIw7yi82Uw==
systemFlags: 16
dn: CN=ms-DS-Cloud-Issuer-Public-
Certificates,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Cloud-Issuer-Public-Certificates
adminDisplayName: ms-DS-Cloud-Issuer-Public-Certificates
adminDescription: The public keys used by the cloud DRS to sign certificates
issued by the Registration Service.
ldapDisplayName: msDS-CloudIssuerPublicCertificates
attributeId: 1.2.840.113556.1.4.2274
omSyntax: 4
instanceType: 4
rangeLower: 1
rangeUpper: 65536
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: T7XoodZL0k+Y4rzukqVUlw==
systemFlags: 16
dn: CN=ms-DS-Cloud-IsEnabled,CN=Schema,CN=Configuration,DC=X
cn: ms-DS-Cloud-IsEnabled
adminDisplayName: ms-DS-Cloud-IsEnabled
adminDescription: This attribute is used to indicate whether cloud DRS is

enabled.
ldapDisplayName: msDS-CloudIsEnabled
attributeId: 1.2.840.113556.1.4.2275
omSyntax: 1
instanceType: 4
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: KIOEiU58b0+gEyjOOtKC3A==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 65
Sch66.ldf
dn: CN=ms-DS-SyncServerUrl,CN=Schema,CN=Configuration,DC=X
changeType: ntdsSchemaAdd
cn: ms-DS-SyncServerUrl
ldapDisplayName: msDS-SyncServerUrl
adminDisplayName: ms-DS-SyncServerUrl
adminDescription: Use this attribute to store the sync server (Url format)
which hosts the user sync folder
AttributeID: 1.2.840.113556.1.4.2276
omSyntax: 64
SystemOnly: FALSE
searchFlags: 1
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: 0sOst3QqpE+sJeY/6LYSGA==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 66
dn:
changetype: modify
schemaUpdateNow: 1
Sch67.ldf
delete: systemMustContain
dn:
changetype: modify
schemaUpdateNow: 1
add: isDefunct
isDefunct: TRUE
objectVersion: 67
dn:
changetype: modify
schemaUpdateNow: 1
Sch68.ldf
dn: CN=ms-DS-User-Allowed-To-Authenticate-To,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserAllowedToAuthenticateTo
adminDisplayName: ms-DS-User-Allowed-To-Authenticate-To
adminDescription: This attribute is used to determine if a user has

permission to authenticate to a service.
attributeId: 1.2.840.113556.1.4.2277
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: f6oM3k5yhkKxeRkmce/GZA==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-User-Allowed-To-Authenticate-
From,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserAllowedToAuthenticateFrom
adminDisplayName: ms-DS-User-Allowed-To-Authenticate-From
adminDescription: This attribute is used to determine if a user has

permission to authenticate from a computer.
attributeId: 1.2.840.113556.1.4.2278
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AJZMLOGwfUSN2nSQIle9tQ==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-User-TGT-Lifetime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserTGTLifetime
adminDisplayName: User TGT Lifetime
adminDescription: This attribute specifies the maximum age of a Kerberos TGT

issued to a user in units of 10^(-7) seconds.
attributeId: 1.2.840.113556.1.4.2279
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: g8khhZn1D0K5q7EiK9+VwQ==
systemFlags: 16
instanceType: 4
dn: CN=ms-DS-Computer-Allowed-To-Authenticate-
To,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ComputerAllowedToAuthenticateTo
adminDisplayName: ms-DS-Computer-Allowed-To-Authenticate-To
adminDescription: This attribute is used to determine if a computer has

attributeId: 1.2.840.113556.1.4.2280
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6atbEH4Hk0e5dO8EELYlcw==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Computer-TGT-Lifetime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ComputerTGTLifetime
adminDisplayName: Computer TGT Lifetime

issued to a computer in units of 10^(-7) seconds.
attributeId: 1.2.840.113556.1.4.2281
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JHWTLrnfrEykNqW32mT9Zg==
systemFlags: 16
instanceType: 4
dn: CN=ms-DS-Service-Allowed-To-Authenticate-
To,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceAllowedToAuthenticateTo
adminDisplayName: ms-DS-Service-Allowed-To-Authenticate-To
adminDescription: This attribute is used to determine if a service has

attributeId: 1.2.840.113556.1.4.2282
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MTGX8k2bIEi03gR07zuEnw==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Service-Allowed-To-Authenticate-
From,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceAllowedToAuthenticateFrom
adminDisplayName: ms-DS-Service-Allowed-To-Authenticate-From
adminDescription: This attribute is used to determine if a service has

permission to authenticate from a computer.
attributeId: 1.2.840.113556.1.4.2283
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mnDalxY3Zkmx0YOLpTw9iQ==
systemFlags: 16
RangeLower: 0
RangeUpper: 132096
instanceType: 4
dn: CN=ms-DS-Service-TGT-Lifetime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceTGTLifetime
adminDisplayName: Service TGT Lifetime

issued to a service in units of 10^(-7) seconds.
attributeId: 1.2.840.113556.1.4.2284
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IDz+XSnKfUCbq4Qh5V63XA==
systemFlags: 16
instanceType: 4
dn: CN=ms-DS-Assigned-AuthN-Policy-Silo,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AssignedAuthNPolicySilo
adminDisplayName: Assigned Authentication Policy Silo
adminDescription: This attribute specifies which AuthNPolicySilo a principal

is assigned to.
attributeId: 1.2.840.113556.1.4.2285
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QcE/svUN6kqzPWz0kwd7Pw==
systemFlags: 16
instanceType: 4
linkID: 2202
dn: CN=ms-DS-Assigned-AuthN-Policy-Silo-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AssignedAuthNPolicySiloBL
adminDisplayName: Assigned Authentication Policy Silo Backlink
adminDescription: This attribute is the backlink for msDS-

AssignedAuthNPolicySilo.
attributeId: 1.2.840.113556.1.4.2286
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: FAUUM3r10keOxATEZmYAxw==
systemFlags: 16
instanceType: 4
linkID: 2203
dn: CN=ms-DS-AuthN-Policy-Silo-Members,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicySiloMembers
adminDisplayName: Authentication Policy Silo Members
adminDescription: This attribute specifies which principals are assigned to

the AuthNPolicySilo.
attributeId: 1.2.840.113556.1.4.2287
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BR5NFqZIhkio6XeiAG48dw==
systemFlags: 16
instanceType: 4
linkID: 2204
dn: CN=ms-DS-AuthN-Policy-Silo-Members-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicySiloMembersBL
adminDisplayName: Authentication Policy Silo Members Backlink

AuthNPolicySiloMembers.
attributeId: 1.2.840.113556.1.4.2288
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: x8v8EeT7UUm0t63fb579RA==
systemFlags: 16
instanceType: 4
linkID: 2205
dn: CN=ms-DS-User-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserAuthNPolicy
adminDisplayName: User Authentication Policy
adminDescription: This attribute specifies which AuthNPolicy should be

applied to users assigned to this silo object.
attributeId: 1.2.840.113556.1.4.2289
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 87kmzRXUKkSPeHxhUj7pWw==
systemFlags: 16
instanceType: 4
linkID: 2206
dn: CN=ms-DS-User-AuthN-Policy-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserAuthNPolicyBL
adminDisplayName: User Authentication Policy Backlink
adminDescription: This attribute is the backlink for msDS-UserAuthNPolicy.
attributeId: 1.2.840.113556.1.4.2290
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: qfoXL0ddH0uXfqpS+r5lyA==
systemFlags: 16
instanceType: 4
linkID: 2207
dn: CN=ms-DS-Computer-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ComputerAuthNPolicy
adminDisplayName: Computer Authentication Policy

applied to computers assigned to this silo object.
attributeId: 1.2.840.113556.1.4.2291
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yWO4r6O+D0Sp82FTzGaJKQ==
systemFlags: 16
instanceType: 4
linkID: 2208
dn: CN=ms-DS-Computer-AuthN-Policy-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ComputerAuthNPolicyBL
adminDisplayName: Computer Authentication Policy Backlink

ComputerAuthNPolicy.
attributeId: 1.2.840.113556.1.4.2292
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: MmLvK6EwfkWGBHr22/ExuA==
systemFlags: 16
instanceType: 4
linkID: 2209
dn: CN=ms-DS-Service-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceAuthNPolicy
adminDisplayName: Service Authentication Policy

applied to services assigned to this silo object.
attributeId: 1.2.840.113556.1.4.2293
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lW1qKs4o7km7JG0fwB4xEQ==
systemFlags: 16
instanceType: 4
linkID: 2210
dn: CN=ms-DS-Service-AuthN-Policy-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ServiceAuthNPolicyBL
adminDisplayName: Service Authentication Policy Backlink

ServiceAuthNPolicy.
attributeId: 1.2.840.113556.1.4.2294
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 7CgRLKJao0KzLfCXnKn80g==
systemFlags: 16
instanceType: 4
linkID: 2211
dn: CN=ms-DS-Assigned-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AssignedAuthNPolicy
adminDisplayName: Assigned Authentication Policy

applied to this principal.
attributeId: 1.2.840.113556.1.4.2295
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2Ap6uPdUwUmEoOZNEoU1iA==
systemFlags: 16
instanceType: 4
linkID: 2212
dn: CN=ms-DS-Assigned-AuthN-Policy-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AssignedAuthNPolicyBL
adminDisplayName: Assigned Authentication Policy Backlink

AssignedAuthNPolicy.
attributeId: 1.2.840.113556.1.4.2296
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: PBsTLZ/T7kqBXo20vBznrA==
systemFlags: 16
instanceType: 4
linkID: 2213
dn: CN=ms-DS-AuthN-Policy-Enforced,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicyEnforced
adminDisplayName: Authentication Policy Enforced
adminDescription: This attribute specifies whether the authentication policy

is enforced.
attributeId: 1.2.840.113556.1.4.2297
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wgxWekXsukSy1yEjatWf1Q==
instanceType: 4
systemFlags: 16
dn: CN=ms-DS-AuthN-Policy-Silo-Enforced,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicySiloEnforced
adminDisplayName: Authentication Policy Silo Enforced
adminDescription: This attribute specifies whether the authentication policy

silo is enforced.
attributeId: 1.2.840.113556.1.4.2298
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AhH18uBrPUmHJhVGzbyHcQ==
instanceType: 4
systemFlags: 16
dn: CN=ms-DS-AuthN-Policy-Silos,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicySilos
adminDisplayName: Authentication Policy Silos
adminDescription: A container of this class can contain authentication

policy silo objects.
governsId: 1.2.840.113556.1.5.291
rdnAttId: cn
schemaIdGuid:: Ckex0oSPHkmnUrQB7gD+XA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-AuthN-Policy-
Silos,CN=Schema,CN=Configuration,DC=X
instanceType: 4
systemFlags: 16
subClassOf: top
dn: CN=ms-DS-AuthN-Policies,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicies
adminDisplayName: Authentication Policies
adminDescription: A container of this class can contain authentication

policy objects.
governsId: 1.2.840.113556.1.5.293
rdnAttId: cn
schemaIdGuid:: Xd+aOpd7fk+rtOW1XBwGtA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-AuthN-
Policies,CN=Schema,CN=Configuration,DC=X
instanceType: 4
systemFlags: 16
subClassOf: top
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-AuthN-Policy-Silo,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthNPolicySilo
adminDisplayName: Authentication Policy Silo
adminDescription: An instance of this class defines authentication policies

and related behaviors for assigned users, computers, and services.
governsId: 1.2.840.113556.1.5.292
rdnAttId: cn
schemaIdGuid:: Hkbw+X1piUaSmTfmHWF7DQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-AuthN-Policy-
Silo,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
instanceType: 4
systemmaycontain: msDS-AuthNPolicySiloMembers
systemmaycontain: msDS-UserAuthNPolicy
systemmaycontain: msDS-ComputerAuthNPolicy
systemmaycontain: msDS-ServiceAuthNPolicy
systemmaycontain: msDS-AssignedAuthNPolicySiloBL
systemmaycontain: msDS-AuthNPolicySiloEnforced
subClassOf: top
systemPossSuperiors: msDS-AuthNPolicySilos
ldapDisplayName: msDS-AuthNPolicy
adminDisplayName: Authentication Policy
adminDescription: An instance of this class defines authentication policy

behaviors for assigned principals.
governsId: 1.2.840.113556.1.5.294
rdnAttId: cn
schemaIdGuid:: VhFqq8dN9UCRgI5M5C/lzQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-AuthN-Policy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
instanceType: 4
systemmaycontain: msDS-UserAllowedToAuthenticateTo
systemmaycontain: msDS-UserAllowedToAuthenticateFrom
systemmaycontain: msDS-UserTGTLifetime
systemmaycontain: msDS-ComputerAllowedToAuthenticateTo
systemmaycontain: msDS-ComputerTGTLifetime
systemmaycontain: msDS-ServiceAllowedToAuthenticateTo
systemmaycontain: msDS-ServiceAllowedToAuthenticateFrom
systemmaycontain: msDS-ServiceTGTLifetime
systemmaycontain: msDS-UserAuthNPolicyBL
systemmaycontain: msDS-ComputerAuthNPolicyBL
systemmaycontain: msDS-ServiceAuthNPolicyBL
systemmaycontain: msDS-AssignedAuthNPolicyBL
systemmaycontain: msDS-AuthNPolicyEnforced
subClassOf: top
systemPossSuperiors: msDS-AuthNPolicies
dn: CN=user,CN=Schema,CN=Configuration,DC=X
add:systemmaycontain
systemmaycontain: msDS-AssignedAuthNPolicy
systemmaycontain: msDS-AssignedAuthNPolicySilo
systemmaycontain: msDS-AuthNPolicySiloMembersBL
objectVersion: 68
dn:
changetype: modify
schemaUpdateNow: 1
Sch69.ldf
dn: CN=ms-DS-AuthN-Policy-Silo,CN=Schema,CN=Configuration,DC=X
add: defaultHidingValue
add: defaultHidingValue
objectVersion: 69
dn:
changetype: modify
schemaUpdateNow: 1

Server 2012
Sch48.ldf à Sch56.ldf sont introduits avec Windows Server 2012.
Sch48.ldf
dn: CN=ms-DS-Members-Of-Resource-Property-
List,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MembersOfResourcePropertyList
adminDisplayName: ms-DS-Members-Of-Resource-Property-List
adminDescription: For a resource property list object, this multi-valued

link attribute points to one or more resource property objects.
attributeId: 1.2.840.113556.1.4.2103
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ERw3Ta1MQUyK0rGAqyvRPA==
linkID: 2180
systemFlags: 16
dn: CN=ms-DS-Members-Of-Resource-Property-List-
ldapDisplayName: msDS-MembersOfResourcePropertyListBL
adminDisplayName: ms-DS-Members-Of-Resource-Property-List-BL
adminDescription: Backlink for ms-DS-Members-Of-Resource-Property-List. For

a resource property object, this attribute references the resource property
list object that it is a member of.
attributeId: 1.2.840.113556.1.4.2104
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BLdpdLDtaEWlpVn0hix1pw==
linkID: 2181
systemFlags: 17
dn: CN=ms-DS-Claim-Value-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimValueType
adminDisplayName: ms-DS-Claim-Value-Type
adminDescription: For a claim type object, specifies the value type of the
claims issued.
attributeId: 1.2.840.113556.1.4.2098
omSyntax: 65
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: uRdixo7k90e31WVSuK/WGQ==
systemFlags: 16
dn: CN=ms-DS-Claim-Possible-Values,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimPossibleValues
adminDisplayName: ms-DS-Claim-Possible-Values
adminDescription: For a claim type or resource property object, this

attribute describes the values suggested to a user when the he/she use the
claim type or resource property in applications.
attributeId: 1.2.840.113556.1.4.2097
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1048576
schemaIdGuid:: 7u0oLnztP0Wv5JO9hvIXTw==
systemFlags: 16
dn: CN=ms-DS-Claim-Attribute-Source,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimAttributeSource
adminDisplayName: ms-DS-Claim-Attribute-Source
adminDescription: For a claim type object, this attribute points to the

attribute that will be used as the source for the claim type.
attributeId: 1.2.840.113556.1.4.2099
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PhK87ua6ZkGeWymISot2sA==
systemFlags: 16
dn: CN=ms-DS-Claim-Type-Applies-To-Class,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimTypeAppliesToClass
adminDisplayName: ms-DS-Claim-Type-Applies-To-Class
adminDescription: For a claim type object, this linked attribute points to

the AD security principal classes that for which claims should be issued.
(For example, a link to the user class).
attributeId: 1.2.840.113556.1.4.2100
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TA77anbYfEOutsPkFFTCcg==
linkID: 2176
systemFlags: 16
dn: CN=ms-DS-Claim-Shares-Possible-Values-
With,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimSharesPossibleValuesWith
adminDisplayName: ms-DS-Claim-Shares-Possible-Values-With
adminDescription: For a resource property object, this attribute indicates

that the suggested values of the claims issued are defined on the object
that this linked attribute points to. Overrides ms-DS-Claim-Possible-Values
on itself, if populated.
attributeId: 1.2.840.113556.1.4.2101
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OtHIUgvOV0+JKxj1pDokAA==
linkID: 2178
systemFlags: 16
dn: CN=ms-DS-Claim-Shares-Possible-Values-With-
ldapDisplayName: msDS-ClaimSharesPossibleValuesWithBL
adminDisplayName: ms-DS-Claim-Shares-Possible-Values-With-BL
adminDescription: For a claim type object, this attribute indicates that the
possible values described in ms-DS-Claim-Possible-Values are being
referenced by other claim type objects.
attributeId: 1.2.840.113556.1.4.2102
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2yLVVJXs9UibvRiA67shgA==
linkID: 2179
systemFlags: 17
dn: CN=ms-DS-Is-Used-As-Resource-Security-
Attribute,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsUsedAsResourceSecurityAttribute
adminDisplayName: ms-DS-Is-Used-As-Resource-Security-Attribute
adminDescription: For a resource property, this attribute indicates whether

it is being used as a secure attribute.
attributeId: 1.2.840.113556.1.4.2095
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nfjJUTBHjUaitR1JMhLRfg==
systemFlags: 16
dn: CN=ms-SPP-KMS-Ids,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-KMSIds
adminDisplayName: ms-SPP-KMS-Ids
adminDescription: KMS IDs enabled by the Activation Object
attributeId: 1.2.840.113556.1.4.2082
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: 2j5mm0I11kad8DFAJa8rrA==
systemFlags: 16
dn: CN=ms-SPP-CSVLK-Pid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-CSVLKPid
adminDisplayName: ms-SPP-CSVLK-Pid
adminDescription: ID of CSVLK product-key used to create the Activation

Object
attributeId: 1.2.840.113556.1.4.2105
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 512
schemaIdGuid:: DVF/tFBr4Ue1VncseeT/xA==
systemFlags: 16
dn: CN=ms-SPP-CSVLK-Sku-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-CSVLKSkuId
adminDisplayName: ms-SPP-CSVLK-Sku-Id
adminDescription: SKU ID of CSVLK product-key used to create the Activation

Object
attributeId: 1.2.840.113556.1.4.2081
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: OfeElnh7bUeNdDGtdpLu9A==
systemFlags: 16
dn: CN=ms-SPP-Phone-License,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-PhoneLicense
adminDisplayName: ms-SPP-Phone-License
adminDescription: License used during phone activation of the Active

Directory forest
attributeId: 1.2.840.113556.1.4.2086
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 5242880
schemaIdGuid:: EtnkZ2LzUkCMeUL0W6eyIQ==
systemFlags: 16
dn: CN=ms-SPP-Config-License,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-ConfigLicense
adminDisplayName: ms-SPP-Config-License
adminDescription: Product-key configuration license used during online/phone

activation of the Active Directory forest
attributeId: 1.2.840.113556.1.4.2087
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 5242880
schemaIdGuid:: tcRTA5nRsECzxd6zL9nsBg==
systemFlags: 16
dn: CN=ms-SPP-Online-License,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-OnlineLicense
adminDisplayName: ms-SPP-Online-License
adminDescription: License used during online activation of the Active

Directory forest
attributeId: 1.2.840.113556.1.4.2085
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 5242880
schemaIdGuid:: jjaPCRJIzUivt6E2uWgH7Q==
systemFlags: 16
dn: CN=ms-SPP-Confirmation-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-ConfirmationId
adminDisplayName: ms-SPP-Confirmation-Id
adminDescription: Confirmation ID (CID) used for phone activation of the

Active Directory forest
attributeId: 1.2.840.113556.1.4.2084
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 512
schemaIdGuid:: xJeHbtqsSUqHQLC9Bam4MQ==
systemFlags: 16
dn: CN=ms-SPP-Installation-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-InstallationId
adminDisplayName: ms-SPP-Installation-Id
adminDescription: Installation ID (IID) used for phone activation of the

Active Directory forest
attributeId: 1.2.840.113556.1.4.2083
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 512
schemaIdGuid:: FLG/aXtAOUeiE8ZjgCs+Nw==
systemFlags: 16
dn: CN=ms-SPP-Issuance-License,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-IssuanceLicense
adminDisplayName: ms-SPP-Issuance-License
adminDescription: Issuance license used during online/phone activation of

the Active Directory forest
attributeId: 1.2.840.113556.1.4.2088
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 5242880
schemaIdGuid:: obN1EK+70kmujcTyXIIzAw==
systemFlags: 16
dn: CN=ms-SPP-CSVLK-Partial-Product-Key,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-CSVLKPartialProductKey
adminDisplayName: ms-SPP-CSVLK-Partial-Product-Key
adminDescription: Last 5 characters of CSVLK product-key used to create the

Activation Object
attributeId: 1.2.840.113556.1.4.2106
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 5
rangeUpper: 5
schemaIdGuid:: kbABplKGOkWzhoetI5t8CA==
systemFlags: 16
dn: CN=ms-TPM-Srk-Pub-Thumbprint,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-SrkPubThumbprint
adminDisplayName: TPM-SrkPubThumbprint
adminDescription: This attribute contains the thumbprint of the SrkPub

corresponding to a particular TPM. This helps to index the TPM devices in
the directory.
attributeId: 1.2.840.113556.1.4.2107
omSyntax: 4
systemOnly: FALSE
searchFlags: 11
rangeUpper: 20
schemaIdGuid:: 6wbXGXZNokSF1hw0K+O+Nw==
systemFlags: 16
dn: CN=ms-TPM-Owner-Information-Temp,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-OwnerInformationTemp
adminDisplayName: TPM-OwnerInformationTemp
adminDescription: This attribute contains temporary owner information for a

particular TPM.
attributeId: 1.2.840.113556.1.4.2108
omSyntax: 64
systemOnly: FALSE
searchFlags: 640
rangeUpper: 128
schemaIdGuid:: nYCUyBO1+E+IEfT0P1rHvA==
systemFlags: 16
dn: CN=ms-TPM-Tpm-Information-For-Computer,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-TpmInformationForComputer
adminDisplayName: TPM-TpmInformationForComputer
adminDescription: This attribute links a Computer object to a TPM object.
attributeId: 1.2.840.113556.1.4.2109
omSyntax: 127
systemOnly: FALSE
searchFlags: 16
schemaIdGuid:: k3sb6khe1Ua8bE30/aeKNQ==
linkID: 2182
systemFlags: 16
dn: CN=ms-TPM-Tpm-Information-For-Computer-
ldapDisplayName: msTPM-TpmInformationForComputerBL
adminDisplayName: TPM-TpmInformationForComputerBL
adminDescription: This attribute links a TPM object to the Computer objects

associated with it.
attributeId: 1.2.840.113556.1.4.2110
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: yYT6FM2OSEO8kW087Ucqtw==
linkID: 2183
systemFlags: 17
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Claim-Types,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimTypes
adminDisplayName: ms-DS-Claim-Types
adminDescription: A container of this class can contain claim type objects.
governsId: 1.2.840.113556.1.5.270
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: NTIJNhXHIUirarVvsoBaWA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Claim-Types,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Resource-Property-List,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ResourcePropertyList
adminDisplayName: ms-DS-Resource-Property-List
adminDescription: An object of this class contains a list of resource

properties.
governsId: 1.2.840.113556.1.5.274
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: etTjckKzRU2PVrr/gDyr+Q==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Resource-Property-
List,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Resource-Properties,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ResourceProperties
adminDisplayName: ms-DS-Resource-Properties
adminDescription: A container of this class can contain resource properties.
governsId: 1.2.840.113556.1.5.271
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: hEVKelCzj0es1rS4UtgswA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Resource-
Properties,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Claim-Type-Property-Base,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimTypePropertyBase
adminDisplayName: ms-DS-Claim-Type-Property-Base
adminDescription: An abstract class that defines the base class for claim
type or resource property classes.
governsId: 1.2.840.113556.1.5.269
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: WC9EuJDEh0SKndgLiDJxrQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Claim-Type-Property-
Base,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Resource-Property,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ResourceProperty
adminDisplayName: ms-DS-Resource-Property
adminDescription: An instance of this class holds the definition of a

property on resources.
governsId: 1.2.840.113556.1.5.273
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.269
schemaIdGuid:: Xj0oWwSElUGTOYRQGIxQGg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Resource-
Property,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Claim-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimType
adminDisplayName: ms-DS-Claim-Type
adminDescription: An instance of this class holds the definition of a claim

type that can be defined on security principals.
governsId: 1.2.840.113556.1.5.272
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.269
schemaIdGuid:: fIWjgWlUj02q5sJ2mXYmBA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Claim-Type,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-SPP-Activation-Objects-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-ActivationObjectsContainer
adminDisplayName: ms-SPP-Activation-Objects-Container
adminDescription: Container for Activation Objects used by Active Directory

based activation
governsId: 1.2.840.113556.1.5.266
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: K4YvtyW7XU2qUWLFm9+Qrg==
defaultSecurityDescriptor: O:BAG:BAD: (A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)

(A;;RPLCLORC;;;AU)
systemOnly: FALSE
defaultObjectCategory: CN=ms-SPP-Activation-Objects-
systemFlags: 16
dn: CN=ms-SPP-Activation-Object,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSPP-ActivationObject
adminDisplayName: ms-SPP-Activation-Object
adminDescription: Activation Object used in Active Directory based

activation
governsId: 1.2.840.113556.1.5.267
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: jOagUcUNykOTXcHJEb8u5Q==
defaultSecurityDescriptor: O:BAG:BAD: (A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)

(A;;RPLCLORC;;;AU)
systemOnly: FALSE
defaultObjectCategory: CN=ms-SPP-Activation-
Object,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-TPM-Information-Objects-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-InformationObjectsContainer
adminDisplayName: TPM-InformationObjectsContainer
adminDescription: Container for TPM objects.
governsId: 1.2.840.113556.1.5.276
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMustContain: 2.5.4.3
schemaIdGuid:: vagn4FZk3kWQozhZOHfudA==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;LOLCCCRP;;;DC)
systemOnly: FALSE
defaultObjectCategory: CN=ms-TPM-Information-Objects-
systemFlags: 16
dn: CN=ms-TPM-Information-Object,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-InformationObject
adminDisplayName: TPM-InformationObject
adminDescription: This class contains recovery information for a Trusted

Platform Module (TPM) device.
governsId: 1.2.840.113556.1.5.275
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: alsEhaZHQ0KnzGiQcB9mLA==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPLO;;;DC)(A;;WP;;;CO)
systemOnly: FALSE
defaultObjectCategory: CN=ms-TPM-Information-
Object,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Computer,CN=Schema,CN=Configuration,DC=X
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 48
Sch49.ldf
dn: CN=ms-DNS-Is-Signed,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-IsSigned
adminDisplayName: ms-DNS-Is-Signed
adminDescription: An attribute used to define whether or not the DNS zone is

signed.
attributeId: 1.2.840.113556.1.4.2130
omSyntax: 1
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: TIUSqvzYXk2RyjaLjYKb7g==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-OptOut,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3OptOut
adminDisplayName: ms-DNS-NSEC3-OptOut
adminDescription: An attribute used to define whether or not the DNS zone

should be signed using NSEC opt-out.
attributeId: 1.2.840.113556.1.4.2132
omSyntax: 1
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: iCDqe+KMPEKxkWbsUGsVlQ==
systemFlags: 16
dn: CN=ms-DNS-Signing-Keys,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-SigningKeys
adminDisplayName: ms-DNS-Signing-Keys
adminDescription: An attribute that contains the set of encrypted DNSSEC

signing keys used by the DNS server to sign the DNS zone.
attributeId: 1.2.840.113556.1.4.2144
omSyntax: 4
systemOnly: FALSE
searchFlags: 8
rangeUpper: 10000
schemaIdGuid:: bT5nt9nKnk6zGmPoCY/dYw==
systemFlags: 16
dn: CN=ms-DNS-Sign-With-NSEC3,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-SignWithNSEC3
adminDisplayName: ms-DNS-Sign-With-NSEC3
adminDescription: An attribute used to define whether or not the DNS zone is

signed with NSEC3.
attributeId: 1.2.840.113556.1.4.2131
omSyntax: 1
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: mSGfx6Ft/0aSPB8/gAxyHg==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-User-Salt,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3UserSalt
adminDisplayName: ms-DNS-NSEC3-User-Salt
adminDescription: An attribute that defines a user-specified NSEC3 salt

string to use when signing the DNS zone. If empty, random salt will be used.
attributeId: 1.2.840.113556.1.4.2148
omSyntax: 64
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 510
schemaIdGuid:: cGfxryKWvE+hKDCId3YFuQ==
systemFlags: 16
dn: CN=ms-DNS-DNSKEY-Records,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-DNSKEYRecords
adminDisplayName: ms-DNS-DNSKEY-Records
adminDescription: An attribute that contains the DNSKEY record set for the
root of the DNS zone and the root key signing key signature records.
attributeId: 1.2.840.113556.1.4.2145
omSyntax: 4
systemOnly: FALSE
searchFlags: 8
rangeUpper: 10000
schemaIdGuid:: 9VjEKC1gyUqnfLPxvlA6fg==
systemFlags: 16
dn: CN=ms-DNS-DS-Record-Set-TTL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-DSRecordSetTTL
adminDisplayName: ms-DNS-DS-Record-Set-TTL
adminDescription: An attribute that defines the time-to-live (TTL) value

assigned to DS records when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2140
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 2592000
schemaIdGuid:: fJuGKcRk/kKX1fvC+hJBYA==
systemFlags: 16
dn: CN=ms-DNS-Keymaster-Zones,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-KeymasterZones
adminDisplayName: ms-DNS-Keymaster-Zones
adminDescription: A list of Active Directory-integrated zones for which the

DNS server is the keymaster.
attributeId: 1.2.840.113556.1.4.2128
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: O93gCxoEjEGs6S8X0j6dQg==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-Iterations,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3Iterations
adminDisplayName: ms-DNS-NSEC3-Iterations
adminDescription: An attribute that defines how many NSEC3 hash iterations

to perform when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2138
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 10000
schemaIdGuid:: qwq3gFmJwE6OkxJudt86yg==
systemFlags: 16
dn: CN=ms-DNS-Propagation-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-PropagationTime
adminDisplayName: ms-DNS-Propagation-Time
adminDescription: An attribute used to define in seconds the expected time

required to propagate zone changes through Active Directory.
attributeId: 1.2.840.113556.1.4.2147
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: Rw00uoEhoEyi9vrkR52rKg==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-Current-Salt,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3CurrentSalt
adminDisplayName: ms-DNS-NSEC3-Current-Salt
adminDescription: An attribute that defines the current NSEC3 salt string

being used to sign the DNS zone.
attributeId: 1.2.840.113556.1.4.2149
omSyntax: 64
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 510
schemaIdGuid:: MpR9ONGmdESCzQqJquCErg==
systemFlags: 16
dn: CN=ms-DNS-RFC5011-Key-Rollovers,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-RFC5011KeyRollovers
adminDisplayName: ms-DNS-RFC5011-Key-Rollovers
adminDescription: An attribute that defines whether or not the DNS zone

should be maintained using key rollover procedures defined in RFC 5011.
attributeId: 1.2.840.113556.1.4.2135
omSyntax: 1
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: QDzZJ1oGwEO92M3yx9Egqg==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-Hash-Algorithm,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3HashAlgorithm
adminDisplayName: ms-DNS-NSEC3-Hash-Algorithm
adminDescription: An attribute that defines the NSEC3 hash algorithm to use

when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2136
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: UlWe/7d9OEGIiAXOMgoDIw==
systemFlags: 16
dn: CN=ms-DNS-DS-Record-Algorithms,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-DSRecordAlgorithms
adminDisplayName: ms-DNS-DS-Record-Algorithms
adminDescription: An attribute used to define the algorithms used when

writing the dsset file during zone signing.
attributeId: 1.2.840.113556.1.4.2134
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: 0npbXPogu0S+szS5wPZVeQ==
systemFlags: 16
dn: CN=ms-DNS-DNSKEY-Record-Set-TTL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-DNSKEYRecordSetTTL
adminDisplayName: ms-DNS-DNSKEY-Record-Set-TTL
adminDescription: An attribute that defines the time-to-live (TTL) value

assigned to DNSKEY records when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2139
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 2592000
schemaIdGuid:: fzFOj9coLESm3x9JH5ezJg==
systemFlags: 16
dn: CN=ms-DNS-Maintain-Trust-Anchor,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-MaintainTrustAnchor
adminDisplayName: ms-DNS-Maintain-Trust-Anchor
adminDescription: An attribute used to define the type of trust anchor to

automatically publish in the forest-wide trust anchor store when the DNS
zone is signed.
attributeId: 1.2.840.113556.1.4.2133
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: wWPADdlSVkSeFZwkNKr9lA==
systemFlags: 16
dn: CN=ms-DNS-NSEC3-Random-Salt-Length,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-NSEC3RandomSaltLength
adminDisplayName: ms-DNS-NSEC3-Random-Salt-Length
adminDescription: An attribute that defines the length in bytes of the

random salt used when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2137
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: ZRY2E2yR502lnbHrvQ3hKQ==
systemFlags: 16
dn: CN=ms-DNS-Signing-Key-Descriptors,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-SigningKeyDescriptors
adminDisplayName: ms-DNS-Signing-Key-Descriptors
adminDescription: An attribute that contains the set of DNSSEC Signing Key

Descriptors (SKDs) used by the DNS server to generate keys and sign the DNS
zone.
attributeId: 1.2.840.113556.1.4.2143
omSyntax: 4
systemOnly: FALSE
searchFlags: 8
rangeUpper: 10000
schemaIdGuid:: zdhDNLblO0+wmGWaAhSgeQ==
systemFlags: 16
dn: CN=ms-DNS-Signature-Inception-Offset,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-SignatureInceptionOffset
adminDisplayName: ms-DNS-Signature-Inception-Offset
adminDescription: An attribute that defines in seconds how far in the past

DNSSEC signature validity periods should begin when signing the DNS zone.
attributeId: 1.2.840.113556.1.4.2141
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 2592000
schemaIdGuid:: LsPUAxfiYUqWmXu8RymgJg==
systemFlags: 16
dn: CN=ms-DNS-Parent-Has-Secure-Delegation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-ParentHasSecureDelegation
adminDisplayName: ms-DNS-Parent-Has-Secure-Delegation
adminDescription: An attribute used to define whether the parental

delegation to the DNS zone is secure.
attributeId: 1.2.840.113556.1.4.2146
omSyntax: 1
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: ZGlcKBrBnkmW2L98daIjxg==
systemFlags: 16
dn: CN=ms-DNS-Secure-Delegation-Polling-
ldapDisplayName: msDNS-SecureDelegationPollingPeriod
adminDisplayName: ms-DNS-Secure-Delegation-Polling-Period
adminDescription: An attribute that defines in seconds the time between

polling attempts for child zone key rollovers.
attributeId: 1.2.840.113556.1.4.2142
omSyntax: 2
systemOnly: FALSE
searchFlags: 8
rangeLower: 0
rangeUpper: 2592000
schemaIdGuid:: vvCw9uSoaESP2cPEe4ci+Q==
systemFlags: 16
dn: CN=ms-Authz-Member-Rules-In-Central-Access-
Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-MemberRulesInCentralAccessPolicy
adminDisplayName: ms-Authz-Member-Rules-In-Central-Access-Policy
adminDescription: For a central access policy, this attribute identifies the

central access rules that comprise the policy.
attributeId: 1.2.840.113556.1.4.2155
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ei/yV343w0KYcs7G8h0uPg==
linkID: 2184
systemFlags: 16
dn: CN=ms-Authz-Member-Rules-In-Central-Access-Policy-
ldapDisplayName: msAuthz-MemberRulesInCentralAccessPolicyBL
adminDisplayName: ms-Authz-Member-Rules-In-Central-Access-Policy-BL
adminDescription: Backlink for ms-Authz-Member-Rules-In-Central-Access-

Policy. For a central access rule object, this attribute references one or
more central access policies that point to it.
attributeId: 1.2.840.113556.1.4.2156
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: z2duUd3+lES7OrxQapSIkQ==
linkID: 2185
systemFlags: 17
dn: CN=ms-DS-Claim-Source,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimSource
adminDisplayName: ms-DS-Claim-Source
adminDescription: For a claim type, this attribute indicates the source of

the claim type. For example, the source can be certificate.
attributeId: 1.2.840.113556.1.4.2157
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pvIy+ovy0Ee/kWY+j5EKcg==
systemFlags: 16
dn: CN=ms-Authz-Proposed-Security-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-ProposedSecurityPolicy
adminDisplayName: ms-Authz-Proposed-Security-Policy
adminDescription: For a Central Access Policy Entry, defines the proposed

security policy of the objects the CAPE is applied to.
attributeId: 1.2.840.113556.1.4.2151
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: zr5GubUJakuyWktjozDoDg==
systemFlags: 16
dn: CN=ms-DS-Claim-Source-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimSourceType
adminDisplayName: ms-DS-Claim-Source-Type
adminDescription: For a security principal claim type, lists the type of

store the issued claim is sourced from
attributeId: 1.2.840.113556.1.4.2158
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BZzxkvqNIkK70SxPAUh3VA==
systemFlags: 16
dn: CN=ms-Authz-Effective-Security-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-EffectiveSecurityPolicy
adminDisplayName: ms-Authz-Security-Policy
adminDescription: For a central access rule, this attribute defines the

permission that is applying to the target resources on the central access
rule.
attributeId: 1.2.840.113556.1.4.2150
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GRmDB5SPtk+KQpFUXcza0w==
systemFlags: 16
dn: CN=ms-DS-Claim-Is-Single-Valued,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimIsSingleValued
adminDisplayName: ms-DS-Claim-Is-Single-Valued
adminDescription: For a claim type object, this attribute identifies if the

claim type or resource property can only contain single value.
attributeId: 1.2.840.113556.1.4.2160
omSyntax: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: uZ94zbSWSEaCGco3gWGvOA==
systemFlags: 16
dn: CN=ms-Authz-Last-Effective-Security-
ldapDisplayName: msAuthz-LastEffectiveSecurityPolicy
adminDisplayName: ms-Authz-Last-Effective-Security-Policy
adminDescription: For a Central Access Policy Entry, defines the security

policy that was last applied to the objects the CAPE is applied to.
attributeId: 1.2.840.113556.1.4.2152
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xoUWji8+okiljVrw6nifoA==
systemFlags: 16
dn: CN=ms-Authz-Resource-Condition,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-ResourceCondition
adminDisplayName: ms-Authz-Resource-Condition
adminDescription: For a central access rule, this attribute is an expression

that identifies the scope of the target resource to which the policy
applies.
attributeId: 1.2.840.113556.1.4.2153
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: d3iZgHT4aEyGTW5QioO9vQ==
systemFlags: 16
dn: CN=ms-DS-Claim-Is-Value-Space-Restricted,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimIsValueSpaceRestricted
adminDisplayName: ms-DS-Claim-Is-Value-Space-Restricted
adminDescription: For a claim type, this attribute identifies whether a user

can input values other than those described in the msDS-ClaimPossibleValues
in applications.
attributeId: 1.2.840.113556.1.4.2159
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: x+QsDMPxgkSFeMYNS7dEIg==
systemFlags: 16
dn: CN=ms-Authz-Central-Access-Policy-ID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-CentralAccessPolicyID
adminDisplayName: ms-Authz-Central-Access-Policy-ID
adminDescription: For a Central Access Policy, this attribute defines a GUID

that can be used to identify the set of policies when applied to a resource.
attributeId: 1.2.840.113556.1.4.2154
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YJvyYnS+MEaUVi9mkZk6hg==
systemFlags: 16
dn: CN=ms-DS-Generation-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GenerationId
adminDisplayName: ms-DS-Generation-Id
adminDescription: For virtual machine snapshot resuming detection. This

attribute represents the VM Generation ID.
attributeId: 1.2.840.113556.1.4.2166
omSyntax: 4
rangeLower: 16
rangeUpper: 16
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: PTldHreMT0uECpc7NswJww==
systemFlags: 17
dn: CN=ms-DS-Claim-Shares-Possible-Values-
With,CN=Schema,CN=Configuration,DC=X
replace: adminDescription
adminDescription: For a claim type object, indicates that the possible

values of the claims issued are defined on the object this linked attribute
points to; overrides msDS-ClaimPossibleValues, msDS-ClaimValueType, and
msDS-ClaimIsValueSpaceRestricted, if populated.
dn: CN=ms-DNS-Server-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDNS-ServerSettings
adminDisplayName: ms-DNS-Server-Settings
adminDescription: A container for storing DNS server settings.
governsId: 1.2.840.113556.1.4.2129
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 7cMv7xhuW0GZ5DEUqMsSSw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DNS-Server-
Settings,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-Authz-Central-Access-Policies,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-CentralAccessPolicies
adminDisplayName: ms-Authz-Central-Access-Policies
adminDescription: A container of this class can contain Central Access

Policy objects.
governsId: 1.2.840.113556.1.4.2161
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: wyFcVTahWkWTl3lrvTWOJQ==
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;EA)
systemOnly: FALSE
defaultObjectCategory: CN=ms-Authz-Central-Access-
systemFlags: 16
dn: CN=ms-Authz-Central-Access-Rules,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-CentralAccessRules
adminDisplayName: ms-Authz-Central-Access-Rules
adminDescription: A container of this class can contain Central Access

Policy Entry objects.
governsId: 1.2.840.113556.1.4.2162
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: ehu7mW1gi0+ADuFb5VTKjQ==
systemOnly: FALSE
Rules,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-Authz-Central-Access-Rule,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-CentralAccessRule
adminDisplayName: ms-Authz-Central-Access-Rule
adminDescription: A class that defines Central Access Rules used to

construct a central access policy.
governsId: 1.2.840.113556.1.4.2163
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 3AZKWxwl206IEwvdcTJyJg==
systemOnly: FALSE
Rule,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-Authz-Central-Access-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msAuthz-CentralAccessPolicy
adminDisplayName: ms-Authz-Central-Access-Policy
adminDescription: A class that defines Central Access Policy objects.
governsId: 1.2.840.113556.1.4.2164
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: sJxnpZ1vLEOLdR4+g08Cqg==
systemOnly: FALSE
systemFlags: 16
dn: CN=ms-DS-Claim-Types,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Resource-Properties,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-List-Of-Claim-Types,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Claim-Type,CN=Schema,CN=Configuration,DC=X
dn: CN=Dns-Zone,CN=Schema,CN=Configuration,DC=X
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=DS-Clone-Domain-Controller,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Allow a DC to create a clone of itself
rightsGuid: 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e
appliesTo: 19195a5b-6da0-11d0-afd3-00c04fd930c9
validAccesses: 256
localizationDisplayId: 80
objectVersion: 49
Sch50.ldf
dn: CN=ms-DS-Allowed-To-Act-On-Behalf-Of-Other-
Identity,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AllowedToActOnBehalfOfOtherIdentity
adminDisplayName: ms-DS-Allowed-To-Act-On-Behalf-Of-Other-Identity
adminDescription: This attribute is used for access checks to determine if a

requester has permission to act on the behalf of other identities to
services running as this account.
attributeId: 1.2.840.113556.1.4.2182
omSyntax: 66
systemOnly: TRUE
searchFlags: 0
rangeLower: 0
rangeUpper: 132096
schemaIdGuid:: 5cN4P5r3vUaguJ0YEW3ceQ==
systemFlags: 16
dn: CN=ms-Kds-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-Version
adminDisplayName: ms-Kds-Version
adminDescription: Version number of this root key.
attributeId: 1.2.840.113556.1.4.2176
omSyntax: 2
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: QHPw1bDmSh6Xvg0zGL2dsQ==
systemFlags: 16
dn: CN=ms-Kds-DomainID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-DomainID
adminDisplayName: ms-Kds-DomainID
adminDescription: Distinguished name of the Domain Controller which
generated this root key.
attributeId: 1.2.840.113556.1.4.2177
omSyntax: 127
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: ggRAlgfPTOmQ6PLvxPBJXg==
systemFlags: 16
dn: CN=ms-Kds-KDF-Param,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-KDFParam
adminDisplayName: ms-Kds-KDF-Param
adminDescription: Parameters for the key derivation algorithm.
attributeId: 1.2.840.113556.1.4.2170
omSyntax: 4
systemOnly: FALSE
searchFlags: 640
rangeUpper: 2000
schemaIdGuid:: cgeAirj0TxW0HC5Cce/3pw==
systemFlags: 16
dn: CN=ms-Kds-CreateTime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-CreateTime
adminDisplayName: ms-Kds-CreateTime
adminDescription: The time when this root key was created.
attributeId: 1.2.840.113556.1.4.2179
omSyntax: 65
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: nxEYrpBjRQCzLZfbxwGu9w==
systemFlags: 16
dn: CN=ms-Kds-RootKeyData,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-RootKeyData
adminDisplayName: ms-Kds-RootKeyData
adminDescription: Root key.
attributeId: 1.2.840.113556.1.4.2175
omSyntax: 4
systemOnly: FALSE
searchFlags: 640
rangeUpper: 128
schemaIdGuid:: J3xiJqIIQAqhsY3OhbQpkw==
systemFlags: 16
dn: CN=ms-DS-Primary-Computer,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PrimaryComputer
adminDisplayName: ms-DS-Primary-Computer
adminDescription: For a user or group object, identifies the primary

computers.
attributeId: 1.2.840.113556.1.4.2167
omSyntax: 127
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 4vQ9obDb60yCi4suFD6egQ==
linkID: 2186
systemFlags: 16
dn: CN=ms-Kds-UseStartTime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-UseStartTime
adminDisplayName: ms-Kds-UseStartTime
adminDescription: The time after which this root key may be used.
attributeId: 1.2.840.113556.1.4.2178
omSyntax: 65
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: fwTcbCL1SreanNlayM39og==
systemFlags: 16
dn: CN=ms-Imaging-Hash-Algorithm,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-HashAlgorithm
adminDisplayName: ms-Imaging-Hash-Algorithm
adminDescription: Contains the name of the hash algorithm used to create the
Thumbprint Hash for the Scan Repository/Secure Print Device.
attributeId: 1.2.840.113556.1.4.2181
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: tQ3nigZklkGS/vO7VXUgpw==
systemFlags: 16
dn: CN=ms-Kds-KDF-AlgorithmID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-KDFAlgorithmID
adminDisplayName: ms-Kds-KDF-AlgorithmID
adminDescription: The algorithm name of the key derivation function used to

compute keys.
attributeId: 1.2.840.113556.1.4.2169
omSyntax: 64
systemOnly: FALSE
searchFlags: 640
rangeUpper: 200
schemaIdGuid:: skgs203RTuyfWK1XnYtEDg==
systemFlags: 16
dn: CN=ms-Imaging-Thumbprint-Hash,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-ThumbprintHash
adminDisplayName: ms-Imaging-Thumbprint-Hash
adminDescription: Contains a hash of the security certificate for the Scan

Repository/Secure Print Device.
attributeId: 1.2.840.113556.1.4.2180
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: xdvfnAQDaUWV9sT2Y/5a5g==
systemFlags: 16
dn: CN=ms-Kds-PublicKey-Length,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-PublicKeyLength
adminDisplayName: ms-Kds-PublicKey-Length
adminDescription: The length of the secret agreement public key.
attributeId: 1.2.840.113556.1.4.2173
omSyntax: 2
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: cPQ44805SUWrW/afnlg/4A==
systemFlags: 16
dn: CN=ms-Kds-PrivateKey-Length,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-PrivateKeyLength
adminDisplayName: ms-Kds-PrivateKey-Length
adminDescription: The length of the secret agreement private key.
attributeId: 1.2.840.113556.1.4.2174
omSyntax: 2
systemOnly: FALSE
searchFlags: 640
schemaIdGuid:: oUJfYec3SBGg3TAH4Jz8gQ==
systemFlags: 16
dn: CN=ms-DS-Is-Primary-Computer-For,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsPrimaryComputerFor
adminDisplayName: ms-DS-Is-Primary-Computer-For
adminDescription: Backlink attribute for msDS-IsPrimaryComputer.
attributeId: 1.2.840.113556.1.4.2168
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rAaMmYc/TkSl3xGwPcilDA==
linkID: 2187
systemFlags: 17
dn: CN=ms-Kds-SecretAgreement-Param,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-SecretAgreementParam
adminDisplayName: ms-Kds-SecretAgreement-Param
adminDescription: The parameters for the secret agreement algorithm.
attributeId: 1.2.840.113556.1.4.2172
omSyntax: 4
systemOnly: FALSE
searchFlags: 640
rangeUpper: 2000
schemaIdGuid:: MLCZ2e3+dUm4B+ukRNp56Q==
systemFlags: 16
dn: CN=ms-Kds-SecretAgreement-AlgorithmID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-SecretAgreementAlgorithmID
adminDisplayName: ms-Kds-SecretAgreement-AlgorithmID
adminDescription: The name of the secret agreement algorithm to be used with

public keys.
attributeId: 1.2.840.113556.1.4.2171
omSyntax: 64
systemOnly: FALSE
searchFlags: 640
rangeUpper: 200
schemaIdGuid:: XZcCF14iSsuxXQ2uqLXpkA==
systemFlags: 16
dn: CN=ms-DS-Value-Type-Reference,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ValueTypeReference
adminDisplayName: ms-DS-Value-Type-Reference
adminDescription: This attribute is used to link a resource property object

to its value type.
attributeId: 1.2.840.113556.1.4.2187
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: hF38eNzBSDGJhFj3ktQdPg==
linkID: 2188
systemFlags: 16
dn: CN=ms-DS-Value-Type-Reference-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ValueTypeReferenceBL
adminDisplayName: ms-DS-Value-Type-Reference-BL
adminDescription: This is the back link for ms-DS-Value-Type-Reference. It

links a value type object back to resource properties.
attributeId: 1.2.840.113556.1.4.2188
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: rUNVq6EjRTu5N5sxPVR0qA==
linkID: 2189
systemFlags: 17
dn: CN=ms-DS-Is-Possible-Values-Present,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsPossibleValuesPresent
adminDisplayName: ms-DS-Is-Possible-Values-Present
adminDescription: This attribute identifies if ms-DS-Claim-Possible-Values

on linked resource property must have value or must not have value.
attributeId: 1.2.840.113556.1.4.2186
omSyntax: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 2tyrb1OMTyCxpJ3wxnwetA==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-Kds-Prov-RootKey,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-ProvRootKey
adminDisplayName: ms-Kds-Prov-RootKey
adminDescription: Root keys for the Group Key Distribution Service.
governsId: 1.2.840.113556.1.5.278
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: Qf0CquAXGE+Gh7Ijlklzaw==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
systemOnly: FALSE
defaultObjectCategory: CN=ms-Kds-Prov-
RootKey,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-Kds-Prov-ServerConfiguration,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msKds-ProvServerConfiguration
adminDisplayName: ms-Kds-Prov-ServerConfiguration
adminDescription: Configuration for the Group Key Distribution Service.
governsId: 1.2.840.113556.1.5.277
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: qEPyXiUqpkWLcwinGuZ3zg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-Kds-Prov-
ServerConfiguration,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Organizational-Person,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Value-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ValueType
adminDisplayName: ms-DS-Value-Type
adminDescription: An value type object holds value type information for a

resource property.
governsId: 1.2.840.113556.1.5.279
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 33/C4x2wTk+H5wVu7w65Ig==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Value-Type,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Validated-MS-DS-Behavior-Version,CN=Extended-
Rights,CN=Configuration,DC=X
rightsGuid: d31a8757-2447-4545-8081-3bb610cacbf2
appliesTo: f0f8ffab-1191-11d0-a060-00aa006c33ed
displayName: Validated write to MS DS behavior version
validAccesses: 8
dn: CN=Validated-MS-DS-Additional-DNS-Host-Name,CN=Extended-
rightsGuid: 80863791-dbe9-4eb8-837e-7f0ab55d9ac7
displayName: Validated write to MS DS Additional DNS Host Name
validAccesses: 8
objectVersion: 50
Sch51.ldf
dn: CN=ms-DS-Transformation-Rules,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TransformationRules
adminDisplayName: ms-DS-Transformation-Rules
adminDescription: Specifies the Transformation Rules for Across-Forest

Claims Transformation.
attributeId: 1.2.840.113556.1.4.2189
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cSuHVbLESDuuUUCV+R7GAA==
systemFlags: 16
dn: CN=ms-DS-Applies-To-Resource-Types,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AppliesToResourceTypes
adminDisplayName: ms-DS-Applies-To-Resource-Types
adminDescription: For a resource property, this attribute indicates what

resource types this resource property applies to.
attributeId: 1.2.840.113556.1.4.2195
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BiA/aWRXSj2EOVjwSqtLWQ==
systemFlags: 16
dn: CN=ms-DS-Transformation-Rules-Compiled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TransformationRulesCompiled
adminDisplayName: ms-DS-Transformation-Rules-Compiled
adminDescription: Blob containing compiled transformation rules.
attributeId: 1.2.840.113556.1.4.2190
omSyntax: 4
systemOnly: TRUE
searchFlags: 128
schemaIdGuid:: EJq0C2tTTbyicwurDdS9EA==
systemFlags: 17
dn: CN=ms-DS-Egress-Claims-Transformation-
ldapDisplayName: msDS-EgressClaimsTransformationPolicy
adminDisplayName: ms-DS-Egress-Claims-Transformation-Policy
adminDescription: This is a link to a Claims Transformation Policy Object

for the egress claims (claims leaving this forest) to the Trusted Domain.
This is applicable only for an incoming or bidirectional Across-Forest
Trust. When this link is not present, all claims are allowed to egress as-
is.
attributeId: 1.2.840.113556.1.4.2192
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fkI3wXOaQLCRkBsJW7QyiA==
linkID: 2192
systemFlags: 16
dn: CN=ms-DS-Ingress-Claims-Transformation-
ldapDisplayName: msDS-IngressClaimsTransformationPolicy
adminDisplayName: ms-DS-Ingress-Claims-Transformation-Policy
adminDescription: This is a link to a Claims Transformation Policy Object

for the ingress claims (claims entering this forest) from the Trusted
Domain. This is applicable only for an outgoing or bidirectional Across-
Forest Trust. If this link is absent, all the ingress claims are dropped.
attributeId: 1.2.840.113556.1.4.2191
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CEwohm4MQBWLFXUUfSPSDQ==
linkID: 2190
systemFlags: 16
dn: CN=ms-DS-TDO-Egress-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TDOEgressBL
adminDisplayName: ms-DS-TDO-Egress-BL
adminDescription: Backlink to TDO Egress rules link on object.
attributeId: 1.2.840.113556.1.4.2194
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: KWIA1ROZQiKLF4N2HR4OWw==
linkID: 2193
systemFlags: 17
dn: CN=ms-DS-TDO-Ingress-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TDOIngressBL
adminDisplayName: ms-DS-TDO-Ingress-BL
adminDescription: Backlink to TDO Ingress rules link on object.
attributeId: 1.2.840.113556.1.4.2193
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: oWFWWsaXS1SAVuQw/nvFVA==
linkID: 2191
systemFlags: 17
dn: CN=ms-DS-ManagedPassword,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ManagedPassword
adminDisplayName: msDS-ManagedPassword
adminDescription: This attribute is the managed password data for a group

MSA.
attributeId: 1.2.840.113556.1.4.2196
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hu1i4yi3QgiyfS3qep3yGA==
systemFlags: 20
dn: CN=ms-DS-ManagedPasswordId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ManagedPasswordId
adminDisplayName: msDS-ManagedPasswordId
adminDescription: This attribute is the identifier for the current managed

password data for a group MSA.
attributeId: 1.2.840.113556.1.4.2197
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: Wil4DtPGQAq0kdYiUf+gpg==
systemFlags: 16
dn: CN=ms-DS-GroupMSAMembership,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GroupMSAMembership
adminDisplayName: msDS-GroupMSAMembership
adminDescription: This attribute is used for access checks to determine if a

requester has permission to retrieve the password for a group MSA.
attributeId: 1.2.840.113556.1.4.2200
omSyntax: 66
systemOnly: FALSE
searchFlags: 0
rangeUpper: 132096
schemaIdGuid:: 1u2OiATOQN+0YrilDkG6OA==
systemFlags: 16
dn: CN=ms-DS-GeoCoordinates-Altitude,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GeoCoordinatesAltitude
adminDisplayName: ms-DS-GeoCoordinates-Altitude
adminDescription: ms-DS-GeoCoordinates-Altitude
attributeId: 1.2.840.113556.1.4.2183
omSyntax: 65
searchFlags: 1
schemaIdGuid:: twMXoUFWnE2GPl+zMl504A==
systemFlags: 16
dn: CN=ms-DS-GeoCoordinates-Latitude,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GeoCoordinatesLatitude
adminDisplayName: ms-DS-GeoCoordinates-Latitude
adminDescription: ms-DS-GeoCoordinates-Latitude
attributeId: 1.2.840.113556.1.4.2184
omSyntax: 65
searchFlags: 1
schemaIdGuid:: TtRm3EM99UCFxTwS4WmSfg==
systemFlags: 16
dn: CN=ms-DS-GeoCoordinates-Longitude,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GeoCoordinatesLongitude
adminDisplayName: ms-DS-GeoCoordinates-Longitude
adminDescription: ms-DS-GeoCoordinates-Longitude
attributeId: 1.2.840.113556.1.4.2185
omSyntax: 65
searchFlags: 1
schemaIdGuid:: ECHElOS66kyFd6+BOvXaJQ==
systemFlags: 16
dn: CN=ms-DS-ManagedPasswordInterval,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ManagedPasswordInterval
adminDisplayName: msDS-ManagedPasswordInterval
adminDescription: This attribute is used to retrieve the number of days

before a managed password is automatically changed for a group MSA.
attributeId: 1.2.840.113556.1.4.2199
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 9451+HasQ4ii7qJrTcr0CQ==
systemFlags: 16
dn: CN=ms-DS-ManagedPasswordPreviousId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ManagedPasswordPreviousId
adminDisplayName: msDS-ManagedPasswordPreviousId
adminDescription: This attribute is the identifier for the previous managed

password data for a group MSA.
attributeId: 1.2.840.113556.1.4.2198
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: MSHW0EotT9CZ2RxjZGIppA==
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DS-Claims-Transformation-Policies,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimsTransformationPolicies
adminDisplayName: ms-DS-Claims-Transformation-Policies
adminDescription: An object of this class holds the one set of Claims

Transformation Policy for Across-Forest Claims Transformation.
governsId: 1.2.840.113556.1.5.281
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: san8yIh9T7uCekSJJ3EHYg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Claims-Transformation-
systemFlags: 16
dn: CN=ms-DS-Claims-Transformation-Policy-
Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ClaimsTransformationPolicyType
adminDisplayName: ms-DS-Claims-Transformation-Policy-Type
adminDescription: An object of this class holds the one set of Claims

Transformation Policy for Across-Forest Claims Transformation.
governsId: 1.2.840.113556.1.5.280
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: s2LrLnMTRf6BATh/Fnbtxw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Claims-Transformation-Policy-
Type,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Trusted-Domain,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.4.2183
mayContain: 1.2.840.113556.1.4.2184
mayContain: 1.2.840.113556.1.4.2185
dn: CN=ms-DS-Group-Managed-Service-Account,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-GroupManagedServiceAccount
adminDisplayName: msDS-Group-Managed-Service-Account
adminDescription: The group managed service account class is used to create

an account which can be shared by different computers to run Windows
services.
governsId: 1.2.840.113556.1.5.282
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.30
systemPossSuperiors: 2.5.6.5
schemaIdGuid:: ilWLe6WT90qtysAX5n8QVw==
defaultSecurityDescriptor: D:(OD;;CR;00299570-246d-11d0-a768-
00aa006e0529;;WD)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPCRLCLORCSDDT;;;CO)(OA;;WP;4c164200-20c0-11d0-a768-00aa006e0529;;CO)
(OA;;SW;72e39547-7b18-11d1-adef-00c04fd8d5cd;;CO)(OA;;SW;f3a64788-5306-11d1-
a9c5-0000f80367c1;;CO)(OA;;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;bf967a86-
0de6-11d0-a285-00aa003049e2;CO)(OA;;WP;5f202010-79a5-11d0-9020-
00c04fc2d4cf;bf967a86-0de6-11d0-a285-00aa003049e2;CO)(OA;;WP;bf967950-0de6-
11d0-a285-00aa003049e2;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
(OA;;WP;bf967953-0de6-11d0-a285-00aa003049e2;bf967a86-0de6-11d0-a285-
00aa003049e2;CO)(OA;;SW;f3a64788-5306-11d1-a9c5-0000f80367c1;;PS)
(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)(OA;;SW;72e39547-7b18-
11d1-adef-00c04fd8d5cd;;PS)(A;;RPLCLORC;;;AU)(OA;;RPWP;bf967a7f-0de6-11d0-
a285-00aa003049e2;;CA)(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-
32-560)(OA;;RP;e362ed86-b728-0842-b27d-2dea7a9df218;;WD)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Group-Managed-Service-
Account,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 51
Sch52.ldf
dn: CN=ms-DS-RID-Pool-Allocation-Enabled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RIDPoolAllocationEnabled
adminDisplayName: ms-DS-RID-Pool-Allocation-Enabled
adminDescription: This attribute indicates whether RID pool allocation is

enabled or not.
attributeId: 1.2.840.113556.1.4.2213
omSyntax: 1
instanceType: 4
systemOnly: TRUE
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: jHyXJLfBQDO09is3XrcR1w==
systemFlags: 16
dn: CN=RID-Set-References,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=Netboot-DUID,CN=Schema,CN=Configuration,DC=X
cn: Netboot-DUID
ldapDisplayName: netbootDUID
adminDisplayName: Netboot-DUID
adminDescription: This attribute is used to store DHCPv6 DUID device ID.
attributeId: 1.2.840.113556.1.4.2234
omSyntax: 4
instanceType: 4
searchFlags: 1
systemFlags: 16
systemOnly: FALSE
rangeLower: 2
rangeUpper: 128
schemaIdGuid:: vXAlU3c9T0KCLw1jbcbarQ==
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=RID-Manager,CN=Schema,CN=Configuration,DC=X
dn: CN=domainDNS-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
add: adminContextMenu
adminContextMenu: 3,{2fb1b669-59ea-4f64-b728-05309f2c11c8}
dn: CN=computer-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
add: adminPropertyPages
adminPropertyPages: 13,{2fb1b669-59ea-4f64-b728-05309f2c11c8}
dn: CN=Certificate-AutoEnrollment,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: e5209ca2-3bba-11d2-90cc-00c04fd91ab1
displayname: AutoEnrollment
rightsGuid: a05b8cc2-17bc-4802-a710-e7c15ab866a2
validAccesses: 256
# Update element: computer
add: mayContain
mayContain: 1.2.840.113556.1.4.2234
dn: CN=ms-DS-cloudExtensionAttribute1,CN=Schema,CN=Configuration,dc=X
cn: ms-DS-cloudExtensionAttribute1
lDAPDisplayName: msDS-cloudExtensionAttribute1
adminDisplayName: ms-DS-cloudExtensionAttribute1
adminDescription: An attribute used to house an arbitrary cloud-relevant

string
attributeID: 1.2.840.113556.1.4.2214
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: r+oJl9pJsk2QigRG5eq4RA==
attributeSecurityGUID:: hri1d0qU0RGuvQAA+ANnwQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2215
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: rOBO88HAqUuCyRqQdS8WpQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2216
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: Gsj2gtr6DUqw93BtRoOOtQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2217
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: NzS/nG5OW0iykSKwJVQnPw==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2218
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: W+gVKUfjUkiquyLlplHIZA==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2219
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: eSZFYOEo7Eus43EoMzYUVg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2220
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: GRN8Sk7jwkCdAGD/eJDyBw==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2221
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: FMXRPEmEykSBwAIXgYANKg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2222
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: LOFjCkAwQUSuJs2Vrw0kfg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2223
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: s/wKZ70T/EeQswpSftgatw==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2224
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: yLuenqV9pkKJJSROEqVuJA==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2225
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: PcQBPAvhyk+Sskz2FdWwmg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2226
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: S0a+KJCreUumsN9DdDHQNg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2227
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: ura8zoBuJ0mFYJj+yghqnw==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2228
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: N9XkqvCKqk2cxmLq24T/Aw==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2229
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: WyGBlZZRU0ChHm/8r8YsTQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2230
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: 2m08PehrKUKWfi/1u5O0zg==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2231
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: NDvniKYKaUSYQm6wGzKltQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2232
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: mf51CQeWikaOGMgA0zhzlQ==
systemFlags: 16

string
attributeID: 1.2.840.113556.1.4.2233
oMSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIDGUID:: KGNE9W6LjUmVqCEXSNWs3A==
systemFlags: 16
dn: CN=ms-DS-Cloud-Extensions,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-CloudExtensions
adminDisplayName: ms-DS-Cloud-Extensions
adminDescription: A collection of attributes used to house arbitrary cloud-

relevant strings.
governsId: 1.2.840.113556.1.5.283
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
MayContain: 1.2.840.113556.1.4.2214
MayContain: 1.2.840.113556.1.4.2215
MayContain: 1.2.840.113556.1.4.2216
MayContain: 1.2.840.113556.1.4.2217
MayContain: 1.2.840.113556.1.4.2218
MayContain: 1.2.840.113556.1.4.2219
MayContain: 1.2.840.113556.1.4.2220
MayContain: 1.2.840.113556.1.4.2221
MayContain: 1.2.840.113556.1.4.2222
MayContain: 1.2.840.113556.1.4.2223
MayContain: 1.2.840.113556.1.4.2224
MayContain: 1.2.840.113556.1.4.2225
MayContain: 1.2.840.113556.1.4.2226
MayContain: 1.2.840.113556.1.4.2227
MayContain: 1.2.840.113556.1.4.2228
MayContain: 1.2.840.113556.1.4.2229
MayContain: 1.2.840.113556.1.4.2230
MayContain: 1.2.840.113556.1.4.2231
MayContain: 1.2.840.113556.1.4.2232
MayContain: 1.2.840.113556.1.4.2233
schemaIdGuid:: pIceZCaDcUe6LccG3zXjWg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Cloud-
Extensions,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
add: systemAuxiliaryClass
systemAuxiliaryClass: 1.2.840.113556.1.5.283
add: appliesTo
appliesTo: 641E87A4-8326-4771-BA2D-C706DF35E35A
objectVersion: 52
Sch53.ldf
dn: CN=ms-Authz-Central-Access-Rule,CN=Schema,CN=Configuration,DC=X
objectVersion: 53
Sch54.ldf
dn: CN=User-Account-Restrictions,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
dn: CN=ms-DS-Allowed-To-Act-On-Behalf-Of-Other-
Identity,CN=Schema,CN=Configuration,DC=X
replace: attributeSecurityGuid
attributeSecurityGuid:: AEIWTMAg0BGnaACqAG4FKQ==
objectVersion: 54
Sch55.ldf
dn: CN=DNS-Host-Name-Attributes,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
dn: CN=Validated-DNS-Host-Name,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
objectVersion: 55
Sch56.ldf
# Update element: computer. Remove netboot-DUID from mayContain
delete: mayContain
mayContain: 1.2.840.113556.1.4.2234
# Update element: computer. Add netboot-DUID to SystemMayContain
objectVersion: 56
Mises à jour de schéma dans les versions

précédentes de Windows Server
Sch0.ldf à Sch47.ldf sont introduits avec Windows Server 2000 dans Windows
Server 2008 R2.
Sch0.ldf
# Make a system-only mod first. If they haven't got the binary
# support necessary, it will fail right here, and the tool can
# later be rerun.
dn: CN=User-Principal-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
systemFlags: 2
# Add these two objects first. If the DC is running a 1717.IDS schema,
# these were deleted just before this. So add them first so that
# the system does not run without them for long
# They are not dependent on any schema changes
dn: CN=container-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
objectClass: displaySpecifier
hideFromAB: TRUE
adminPropertyPages: 1,{6384e23e-736d-11d1-bd0d-00c04fd8d5b6}
adminPropertyPages: 2,{6dfe6488-a212-11d0-bcd5-00c04fd8d5b6}
adminPropertyPages: 3,{4E40F770-369C-11d0-8922-00A024AB2DBB}
shellPropertyPages: 1,{f2c3faae-c8ac-11d0-bcdb-00c04fd8d5b6}
contextMenu: 0,{62AE1F9A-126A-11D0-A14B-0800361B1103}
adminContextMenu: 0,{6971d64e-f335-11d0-b0bc-00c04fd8dca6}
adminContextMenu: 1,{6BA3F852-23C6-11D1-B91F-00A0C9A06D2D}
classDisplayName: Container
attributeDisplayNames: cn,Name
attributeDisplayNames: description,Description
dn: CN=default-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
# Attribute Adds
dn: CN=Pek-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: pekList
adminDisplayName: Pek-List
adminDescription: Pek-List
attributeId: 1.2.840.113556.1.4.865
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemFlags: 1
dn: CN=FRS-Flags,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSFlags
adminDisplayName: FRS-Flags
adminDescription: FRS-Flags
attributeId: 1.2.840.113556.1.4.874
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Site-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteList
adminDisplayName: Site-List
adminDescription: Site-List
attributeId: 1.2.840.113556.1.4.821
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3CwM1VGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Msi-Script,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScript
adminDisplayName: Msi-Script
adminDescription: Msi-Script
attributeId: 1.2.840.113556.1.4.814
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: E4Ph2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSVersion
adminDisplayName: FRS-Version
adminDescription: FRS-Version
attributeId: 1.2.840.113556.1.4.882
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: hSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Treat-As-Leaf,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: treatAsLeaf
adminDisplayName: Treat-As-Leaf
adminDescription: Treat-As-Leaf
attributeId: 1.2.840.113556.1.4.806
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 40TQjx930RGurgAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Product-Code,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: productCode
adminDisplayName: Product-Code
adminDescription: Product-Code
attributeId: 1.2.840.113556.1.4.818
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 16
schemaIdGuid:: F4Ph2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=DNS-Host-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: dNSHostName
adminDisplayName: DNS-Host-Name
adminDescription: DNS-Host-Name
attributeId: 1.2.840.113556.1.4.619
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: R5Xjchh70RGt7wDAT9jVzQ==
hideFromAB: TRUE
dn: CN=Create-Dialog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: createDialog
adminDisplayName: Create-Dialog
adminDescription: Create-Dialog
attributeId: 1.2.840.113556.1.4.810
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ipUJKzGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-SCP-BL,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootSCPBL
adminDisplayName: netboot-SCP-BL
adminDescription: netboot-SCP-BL
attributeId: 1.2.840.113556.1.4.864
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gjA4B9+R0RGuvAAA+ANnwQ==
linkID: 101
hideFromAB: TRUE
systemFlags: 1
dn: CN=Site-Link-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLinkList
adminDisplayName: Site-Link-List
adminDescription: Site-Link-List
attributeId: 1.2.840.113556.1.4.822
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3SwM1VGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Tools,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootTools
adminDisplayName: netboot-Tools
adminDescription: netboot-Tools
attributeId: 1.2.840.113556.1.4.858
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Msi-Script-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScriptName
adminDisplayName: Msi-Script-Name
adminDescription: Msi-Script-Name
attributeId: 1.2.840.113556.1.4.845
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Yt2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootServer
adminDisplayName: netboot-Server
adminDescription: netboot-Server
attributeId: 1.2.840.113556.1.4.860
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gTA4B9+R0RGuvAAA+ANnwQ==
linkID: 100
hideFromAB: TRUE
dn: CN=Msi-Script-Size,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScriptSize
adminDisplayName: Msi-Script-Size
adminDescription: Msi-Script-Size
attributeId: 1.2.840.113556.1.4.846
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Y92nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=LDAP-IPDeny-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: lDAPIPDenyList
adminDisplayName: LDAP-IPDeny-List
adminDescription: LDAP-IPDeny-List
attributeId: 1.2.840.113556.1.4.844
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: U6NZc/eQ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Install-Ui-Level,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: installUiLevel
adminDisplayName: Install-Ui-Level
adminDescription: Install-Ui-Level
attributeId: 1.2.840.113556.1.4.847
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZN2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Terminal-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: terminalServer
adminDisplayName: Terminal-Server
adminDescription: Terminal-Server
attributeId: 1.2.840.113556.1.4.885
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HJq2bSKU0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=LDAP-Admin-Limits,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: lDAPAdminLimits
adminDisplayName: LDAP-Admin-Limits
adminDescription: LDAP-Admin-Limits
attributeId: 1.2.840.113556.1.4.843
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UqNZc/eQ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Create-Wizard-Ext,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: createWizardExt
adminDisplayName: Create-Wizard-Ext
adminDescription: Create-Wizard-Ext
attributeId: 1.2.840.113556.1.4.812
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: i5UJKzGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Purported-Search,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: purportedSearch
adminDisplayName: Purported-Search
adminDescription: Purported-Search
attributeId: 1.2.840.113556.1.4.886
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: UE61tDqU0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=ms-RRAS-Attribute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRRASAttribute
adminDisplayName: ms-RRAS-Attribute
adminDescription: ms-RRAS-Attribute
attributeId: 1.2.840.113556.1.4.884
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rZib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=File-Ext-Priority,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fileExtPriority
adminDisplayName: File-Ext-Priority
adminDescription: File-Ext-Priority
attributeId: 1.2.840.113556.1.4.816
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: FYPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Can-Upgrade-Script,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: canUpgradeScript
adminDisplayName: Can-Upgrade-Script
adminDescription: Can-Upgrade-Script
attributeId: 1.2.840.113556.1.4.815
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FIPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=App-Schema-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: appSchemaVersion
adminDisplayName: App-Schema-Version
adminDescription: App-Schema-Version
attributeId: 1.2.840.113556.1.4.848
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Zd2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Primary-Member,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSPrimaryMember
adminDisplayName: FRS-Primary-Member
adminDescription: FRS-Primary-Member
attributeId: 1.2.840.113556.1.4.878
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkId: 106
schemaIdGuid:: gSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Remote-Storage-GUID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: remoteStorageGUID
adminDisplayName: Remote-Storage-GUID
adminDescription: Remote-Storage-GUID
attributeId: 1.2.840.113556.1.4.809
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sMU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Max-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootMaxClients
adminDisplayName: netboot-Max-Clients
adminDescription: netboot-Max-Clients
attributeId: 1.2.840.113556.1.4.851
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Member-Reference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSMemberReference
adminDisplayName: FRS-Member-Reference
adminDescription: FRS-Member-Reference
attributeId: 1.2.840.113556.1.4.875
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fiUTKnOT0RGuvAAA+ANnwQ==
linkID: 104
hideFromAB: TRUE
systemFlags: 2
dn: CN=Upgrade-Product-Code,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: upgradeProductCode
adminDisplayName: Upgrade-Product-Code
adminDescription: Upgrade-Product-Code
attributeId: 1.2.840.113556.1.4.813
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 16
schemaIdGuid:: EoPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Time-Last-Command,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSTimeLastCommand
adminDisplayName: FRS-Time-Last-Command
adminDescription: FRS-Time-Last-Command
attributeId: 1.2.840.113556.1.4.880
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-New-Machine-OU,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootNewMachineOU
adminDisplayName: netboot-New-Machine-OU
adminDescription: netboot-New-Machine-OU
attributeId: 1.2.840.113556.1.4.856
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Limit-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootLimitClients
adminDisplayName: netboot-Limit-Clients
adminDescription: netboot-Limit-Clients
attributeId: 1.2.840.113556.1.4.850
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Signature-Algorithms,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: signatureAlgorithms
adminDisplayName: Signature-Algorithms
adminDescription: Signature-Algorithms
attributeId: 1.2.840.113556.1.4.824
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ssU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Partner-Auth-Level,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSPartnerAuthLevel
adminDisplayName: FRS-Partner-Auth-Level
adminDescription: FRS-Partner-Auth-Level
attributeId: 1.2.840.113556.1.4.877
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Enrollment-Providers,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: enrollmentProviders
adminDisplayName: Enrollment-Providers
adminDescription: Enrollment-Providers
attributeId: 1.2.840.113556.1.4.825
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: s8U5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Member-Reference-BL,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSMemberReferenceBL
adminDisplayName: FRS-Member-Reference-BL
adminDescription: FRS-Member-Reference-BL
attributeId: 1.2.840.113556.1.4.876
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fyUTKnOT0RGuvAAA+ANnwQ==
linkID: 105
hideFromAB: TRUE
systemFlags: 1
dn: CN=Certificate-Templates,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: certificateTemplates
adminDisplayName: Certificate-Templates
adminDescription: Certificate-Templates
attributeId: 1.2.840.113556.1.4.823
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: scU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Pek-Key-Change-Interval,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: pekKeyChangeInterval
adminDisplayName: Pek-Key-Change-Interval
adminDescription: Pek-Key-Change-Interval
attributeId: 1.2.840.113556.1.4.866
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Localized-Description,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: localizedDescription
adminDisplayName: Localized-Description
adminDescription: Localized-Description
attributeId: 1.2.840.113556.1.4.817
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FoPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Frs-Computer-Reference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: frsComputerReference
adminDisplayName: Frs-Computer-Reference
adminDescription: Frs-Computer-Reference
attributeId: 1.2.840.113556.1.4.869
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eCUTKnOT0RGuvAAA+ANnwQ==
linkID: 102
systemFlags: 2
hideFromAB: TRUE
dn: CN=Alt-Security-Identities,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: altSecurityIdentities
adminDisplayName: Alt-Security-Identities
adminDescription: Alt-Security-Identities
attributeId: 1.2.840.113556.1.4.867
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: DPP7AP6R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Answer-Requests,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAnswerRequests
adminDisplayName: netboot-Answer-Requests
adminDescription: netboot-Answer-Requests
attributeId: 1.2.840.113556.1.4.853
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ejA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Bridgehead-Server-List-BL,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: bridgeheadServerListBL
adminDisplayName: Bridgehead-Server-List-BL
adminDescription: Bridgehead-Server-List-BL
attributeId: 1.2.840.113556.1.4.820
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2ywM1VGJ0RGuvAAA+ANnwQ==
linkID: 99
hideFromAB: TRUE
systemFlags: 1
dn: CN=Frs-Computer-Reference-BL,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: frsComputerReferenceBL
adminDisplayName: Frs-Computer-Reference-BL
adminDescription: Frs-Computer-Reference-BL
attributeId: 1.2.840.113556.1.4.870
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eSUTKnOT0RGuvAAA+ANnwQ==
linkID: 103
hideFromAB: TRUE
systemFlags: 1
dn: CN=FRS-Control-Data-Creation,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlDataCreation
adminDisplayName: FRS-Control-Data-Creation
adminDescription: FRS-Control-Data-Creation
attributeId: 1.2.840.113556.1.4.871
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: eiUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Is-Critical-System-Object,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: isCriticalSystemObject
adminDisplayName: Is-Critical-System-Object
adminDescription: Is-Critical-System-Object
attributeId: 1.2.840.113556.1.4.868
omSyntax: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: DfP7AP6R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Allow-New-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAllowNewClients
adminDisplayName: netboot-Allow-New-Clients
adminDescription: netboot-Allow-New-Clients
attributeId: 1.2.840.113556.1.4.849
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: djA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Time-Last-Config-Change,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSTimeLastConfigChange
adminDisplayName: FRS-Time-Last-Config-Change
adminDescription: FRS-Time-Last-Config-Change
attributeId: 1.2.840.113556.1.4.881
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Bridgehead-Transport-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: bridgeheadTransportList
adminDisplayName: Bridgehead-Transport-List
adminDescription: Bridgehead-Transport-List
attributeId: 1.2.840.113556.1.4.819
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2iwM1VGJ0RGuvAAA+ANnwQ==
linkID: 98
hideFromAB: TRUE
dn: CN=FRS-Service-Command-Status,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSServiceCommandStatus
adminDisplayName: FRS-Service-Command-Status
adminDescription: FRS-Service-Command-Status
attributeId: 1.2.840.113556.1.4.879
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 512
schemaIdGuid:: giUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Control-Inbound-Backlog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlInboundBacklog
adminDisplayName: FRS-Control-Inbound-Backlog
adminDescription: FRS-Control-Inbound-Backlog
attributeId: 1.2.840.113556.1.4.872
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: eyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-IntelliMirror-OSes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootIntelliMirrorOSes
adminDisplayName: netboot-IntelliMirror-OSes
adminDescription: netboot-IntelliMirror-OSes
attributeId: 1.2.840.113556.1.4.857
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fjA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Control-Outbound-Backlog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlOutboundBacklog
adminDisplayName: FRS-Control-Outbound-Backlog
adminDescription: FRS-Control-Outbound-Backlog
attributeId: 1.2.840.113556.1.4.873
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: fCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Current-Client-Count,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootCurrentClientCount
adminDisplayName: netboot-Current-Client-Count
adminDescription: netboot-Current-Client-Count
attributeId: 1.2.840.113556.1.4.852
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=IPSEC-Negotiation-Policy-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: iPSECNegotiationPolicyType
adminDisplayName: IPSEC-Negotiation-Policy-Type
adminDescription: IPSEC-Negotiation-Policy-Type
attributeId: 1.2.840.113556.1.4.887
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=ms-RRAS-Vendor-Attribute-Entry,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRRASVendorAttributeEntry
adminDisplayName: ms-RRAS-Vendor-Attribute-Entry
adminDescription: ms-RRAS-Vendor-Attribute-Entry
attributeId: 1.2.840.113556.1.4.883
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rJib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Locally-Installed-OSes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootLocallyInstalledOSes
adminDisplayName: netboot-Locally-Installed-OSes
adminDescription: netboot-Locally-Installed-OSes
attributeId: 1.2.840.113556.1.4.859
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=IPSEC-Negotiation-Policy-Action,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: iPSECNegotiationPolicyAction
adminDisplayName: IPSEC-Negotiation-Policy-Action
adminDescription: IPSEC-Negotiation-Policy-Action
attributeId: 1.2.840.113556.1.4.888
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-New-Machine-Naming-Policy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootNewMachineNamingPolicy
adminDisplayName: netboot-New-Machine-Naming-Policy
adminDescription: netboot-New-Machine-Naming-Policy
attributeId: 1.2.840.113556.1.4.855
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Answer-Only-Valid-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAnswerOnlyValidClients
adminDisplayName: netboot-Answer-Only-Valid-Clients
adminDescription: netboot-Answer-Only-Valid-Clients
attributeId: 1.2.840.113556.1.4.854
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ezA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=UPN-Suffixes,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: uPNSuffixes
adminDescription: UPN-Suffixes
adminDisplayName: UPN-Suffixes
attributeID: 1.2.840.113556.1.4.890
oMSyntax: 64
schemaIDGUID:: v2AhAySY0RGuwAAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
hideFromAB: TRUE
dn: CN=Additional-Trusted-Service-Names,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: additionalTrustedServiceNames
adminDescription: Additional-Trusted-Service-Names
adminDisplayName: Additional-Trusted-Service-Names
attributeID: 1.2.840.113556.1.4.889
oMSyntax: 64
schemaIDGUID:: vmAhAySY0RGuwAAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
hideFromAB: TRUE
# Here because OID got reused with different syntax
# We will delete Replica-Set-Type, and add FRS-Replica-Set-Type
# with a new OID.
dn: CN=NTFRS-Replica-Set,CN=schema,CN=configuration,DC=X
changetype: modify
dn: CN=Replica-Set-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=FRS-Replica-Set-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSReplicaSetType
adminDisplayName: FRS-Replica-Set-Type
adminDescription: FRS-Replica-Set-Type
attributeId: 1.2.840.113556.1.4.31
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: a3PZJnBg0RGpxgAA+ANnwQ==
hideFromAB: TRUE
# Attribute Renames, plus some modifies in some cases
dn: CN=Replication-DS-Poll,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-DS-Poll
deleteoldrdn: 1
dn: CN=FRS-DS-Poll,CN=schema,CN=configuration,DC=X
changetype: modify
replace: ldapDisplayName
ldapDisplayName: fRSDSPoll
replace: adminDisplayName
adminDisplayName: FRS-DS-Poll
adminDescription: FRS-DS-Poll
dn: CN=Com-Unique-Cat-Id,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: Category-Id
deleteoldrdn: 1
dn: CN=Category-Id,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: categoryId
adminDisplayName: Category-Id
adminDescription: Category-Id
dn: CN=Replication-Root-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Root-Path
deleteoldrdn: 1
dn: CN=FRS-Root-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSRootPath
adminDisplayName: FRS-Root-Path
adminDescription: FRS-Root-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replication-File-Filter,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-File-Filter
deleteoldrdn: 1
dn: CN=FRS-File-Filter,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSFileFilter
adminDisplayName: FRS-File-Filter
-
adminDescription: FRS-File-Filter
-
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replication-Level-Limit,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Level-Limit
deleteoldrdn: 1
dn: CN=FRS-Level-Limit,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSLevelLimit
adminDisplayName: FRS-Level-Limit
-
adminDescription: FRS-Level-Limit
-
dn: CN=Replication-Extensions,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Extensions
deleteoldrdn: 1
dn: CN=FRS-Extensions,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSExtensions
adminDisplayName: FRS-Extensions
adminDescription: FRS-Extensions
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 65536
dn: CN=Replication-Staging-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Staging-Path
deleteoldrdn: 1
dn: CN=FRS-Staging-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSStagingPath
adminDisplayName: FRS-Staging-Path
adminDescription: FRS-Staging-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Code-Package,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: Msi-Script-Path
deleteoldrdn: 1
dn: CN=Msi-Script-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: msiScriptPath
adminDisplayName: Msi-Script-Path
-
adminDescription: Msi-Script-Path
-
dn: CN=Replication-DB-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Working-Path
deleteoldrdn: 1
dn: CN=FRS-Working-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSWorkingPath
adminDisplayName: FRS-Working-Path
adminDescription: FRS-Working-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replica-Version-GUID,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Version-GUID
deleteoldrdn: 1
dn: CN=FRS-Version-GUID,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSVersionGuid
adminDisplayName: FRS-Version-GUID
adminDescription: FRS-Version-GUID
add: rangeLower
rangeLower: 16
add: rangeUpper
rangeUpper: 16
dn: CN=Replication-Root-Security,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Root-Security
deleteoldrdn: 1
dn: CN=FRS-Root-Security,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSRootSecurity
adminDisplayName: FRS-Root-Security
adminDescription: FRS-Root-Security
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 65535
dn: CN=Replication-Update-Timeout,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Update-Timeout
deleteoldrdn: 1
dn: CN=FRS-Update-Timeout,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSUpdateTimeout
-
adminDisplayName: FRS-Update-Timeout
adminDescription: FRS-Update-Timeout
dn: CN=Replication-Service-Command,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Service-Command
deleteoldrdn: 1
dn: CN=FRS-Service-Command,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSServiceCommand
adminDisplayName: FRS-Service-Command
adminDescription: FRS-Service-Command
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 512
dn: CN=Replica-Set-GUID,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Replica-Set-GUID
deleteoldrdn: 1
dn: CN=FRS-Replica-Set-GUID,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSReplicaSetGuid
adminDisplayName: FRS-Replica-Set-GUID
adminDescription: FRS-Replica-Set-GUID
dn: CN=Replication-Status,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Fault-Condition
deleteoldrdn: 1
dn: CN=FRS-Fault-Condition,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSFaultCondition
adminDisplayName: FRS-Fault-Condition
adminDescription: FRS-Fault-Condition
add: rangeLower
rangeLower: 1
add: rangeUpper
rangeUpper: 16
dn: CN=Replication-Directory-Filter,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Directory-Filter
deleteoldrdn: 1
dn: CN=FRS-Directory-Filter,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSDirectoryFilter
adminDisplayName: FRS-Directory-Filter
adminDescription: FRS-Directory-Filter
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Created-Entry,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: rpc-Ns-Entry-Flags
deleteoldrdn: 1
dn: CN=rpc-Ns-Entry-Flags,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: rpcNsEntryFlags
adminDisplayName: rpc-Ns-Entry-Flags
adminDescription: rpc-Ns-Entry-Flags
dn:
schemaUpdateNow: 1
# Class Adds
dn: CN=NTFRS-Member,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: nTFRSMember
adminDisplayName: NTFRS-Member
adminDescription: NTFRS-Member
governsId: 1.2.840.113556.1.5.153
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: hiUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-Member,CN=Schema,CN=Configuration,DC=X
dn: CN=Site-Link-Bridge,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLinkBridge
adminDisplayName: Site-Link-Bridge
adminDescription: Site-Link-Bridge
governsId: 1.2.840.113556.1.5.148
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Link-Bridge,CN=Schema,CN=Configuration,DC=X
dn: CN=RRAS-Administration-Connection-Point,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rRASAdministrationConnectionPoint
adminDisplayName: RRAS-Administration-Connection-Point
adminDescription: RRAS-Administration-Connection-Point
governsId: 1.2.840.113556.1.5.150
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: vsU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RRAS-Administration-Connection-
Point,CN=Schema,CN=Configuration,DC=X
dn: CN=NTFRS-Subscriptions,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: nTFRSSubscriptions
adminDescription: NTFRS-Subscriptions
adminDisplayName: NTFRS-Subscriptions
governsID: 1.2.840.113556.1.5.154
rDNAttID: 2.5.4.3
subClassOf: 2.5.6.0
schemaIDGUID:: hyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-
Subscriptions,CN=Schema,CN=Configuration,DC=X
dn: CN=Remote-Storage-Service-Point,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: remoteStorageServicePoint
adminDisplayName: Remote-Storage-Service-Point
adminDescription: Remote-Storage-Service-Point
governsId: 1.2.840.113556.1.5.146
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: vcU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Remote-Storage-Service-
dn: CN=Intellimirror-Group,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: intellimirrorGroup
adminDescription: Intellimirror-Group
adminDisplayName: Intellimirror-Group
governsID: 1.2.840.113556.1.5.152
rDNAttID: 2.5.4.3
schemaIDGUID:: hjA4B9+R0RGuvAAA+ANnwQ==
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Intellimirror-
Group,CN=Schema,CN=Configuration,DC=X
dn: CN=Site-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLink
adminDisplayName: Site-Link
adminDescription: Site-Link
governsId: 1.2.840.113556.1.5.147
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=Intellimirror-SCP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: intellimirrorSCP
adminDisplayName: Intellimirror-SCP
adminDescription: Intellimirror-SCP
governsId: 1.2.840.113556.1.5.151
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: hTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Intellimirror-SCP,CN=Schema,CN=Configuration,DC=X
dn: CN=NTFRS-Subscriber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: nTFRSSubscriber
adminDisplayName: NTFRS-Subscriber
adminDescription: NTFRS-Subscriber
governsId: 1.2.840.113556.1.5.155
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: iCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-Subscriber,CN=Schema,CN=Configuration,DC=X
dn: CN=RRAS-Administration-Dictionary,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rRASAdministrationDictionary
adminDisplayName: RRAS-Administration-Dictionary
adminDescription: RRAS-Administration-Dictionary
governsId: 1.2.840.113556.1.5.156
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: rpib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RRAS-Administration-
Dictionary,CN=Schema,CN=Configuration,DC=X
# Syntax in two attributes got modified. USN-Source and
# Transport-Address-Type. We don't propagate the changes.
# We will delete both and add new attributes
# to replace them.
# Attribute and Class Modifications
dn: CN=Object-Class,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 0
dn: CN=Surname,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: attributeSecurityGuid
dn: CN=State-Or-Province-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Street-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Title,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Postal-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Postal-Code,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Office-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Post-Office-Box,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Physical-Delivery-Office-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Home-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Telephone-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Telex-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Teletex-Terminal-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Facsimile-Telephone-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=X121-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=International-ISDN-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Registered-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Preferred-Delivery-Method,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Picture,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Mobile-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Pager-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Initials,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Password,CN=Schema,CN=Configuration,DC=X
changetype: modify
attributeSecurityGuid:: spVX5FWU0RGuvQAA+ANnwQ==
dn: CN=Voice-Mail-Recorded-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Greetings,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Volume,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Speed,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Recording-Length,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Forwarding-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Personal-Title,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Address-Home,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Pager-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Fax-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Mobile-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Telex-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-ISDN-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Assistant,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Categories,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: rangeLower
rangeLower: 36
add: rangeUpper
rangeUpper: 36
dn: CN=Creator,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 0
dn: CN=Phone-Ip-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Ip-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=WWW-Page-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
attributeSecurityGuid:: s5VX5FWU0RGuvQAA+ANnwQ==
dn: CN=Group-Type,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 1
add: systemFlags
systemFlags: 2
dn: CN=User-Shared-Folder,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=User-Shared-Folder-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Service-Principal-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
systemFlags: 2
dn: CN=Phone-Home-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=AutoReply,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=AutoReply-Message,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Package-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 1
dn: CN=AutoReply-Subject,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=WWW-Home-Page,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Cross-Ref-Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Inter-Site-Transport,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Group-Of-Names,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: objectClassCategory
changetype: modify
dn: CN=Sam-Domain,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Domain,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: defaultObjectCategory
defaultObjectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=ACS-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=ACS-Subnet,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Class-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Inter-Site-Transport-Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
delete: systemPossSuperiors
changetype: modify
dn: CN=Certification-Authority,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Server,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Print-Queue,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Remote-Mail-Recipient,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Storage,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Class-Store,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=NTDS-DSA,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Package-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=NTDS-Site-Settings,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=NTDS-Connection,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Category-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Display-Specifier,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=NTFRS-Settings,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=NTFRS-Replica-Set,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Query-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Ipsec-Negotiation-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Address-Book-Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Service-Connection-Point,CN=Schema,CN=Configuration,DC=X
changetype: modify
# Attribute and Class deletes
# First delete some objects in Config NC before deleting their classes
dn: CN=RPC,CN=Inter-Site Transports,CN=Site

Connectors,CN=sites,CN=configuration,DC=X
changetype: delete
dn: CN=Inter-Site Transports,CN=Site

changetype: delete
dn: CN=Site Connectors,CN=sites,CN=configuration,DC=X
changetype: delete
dn: CN=RAS-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Information-Store-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MHS-Link-Monitoring-Config,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=LocalGroup,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Exchange-Admin-Service,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Eicon-X25-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-POP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DX-Requestor,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-LDAP-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-LDAP-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-Interface,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Mailbox-Agent,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Eicon-X25-Stack,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Directory-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=NNTP-Newsfeed,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Stack,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Connector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encryption-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=View-Container,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Site-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Application-Registration,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-IMAP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MHS-Server-Monitoring-Config,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Addressing,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Admin-Extension,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-HTTP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MHS-Public-Store,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Add-In,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transport-Stack,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-NNTP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-LDAP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MHS-Message-Store,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-Shared-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MTA-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MHS-Monitoring-Config,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Mail-Gateway,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Distribution-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-Shared-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Local-DXA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=NTFRS-Site-Settings,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MTA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Addr-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=View-Root,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Remote-DXA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Protocol-Cfg-Shared,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=ADMD,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=PRMD,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Run-As,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Req-Seq,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=To-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Runs-On,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Enabled,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encrypt,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-App-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=App-Flags,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Form-Data,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=INSAdmin,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=N-Address,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Send-TNEF,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Line-Wrap,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Auth-Orig,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=From-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Types,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-DN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=View-Flags,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Imp-Seq,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Req-Seq,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=P-Selector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Rid-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=S-Selector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=T-Selector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=HTTP-Pub-PF,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=OWA-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Svr-Seq,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Domain-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-ReqName,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Conf-Seq,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Auth-Orig-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-PS-CLSID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Netboot-NIC,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=HTTP-Pub-GAL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Account,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Remote-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Port-Number,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Require-SSL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Target-MTAs,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Trust-Level,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Create-PF,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Log-Filename,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Contact-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-Host,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Password,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Password,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Content-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Routing-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=HTTP-Servers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-Package-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MTA-Local-Cred,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Group-By-Attr-1,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Character-Set,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Delegate-User,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DL-Member-Rule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Admin-Copy,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Do-OAB-Version,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-Unique-IID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Computer-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Newsfeed-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitor-Clock,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=N-Address-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-Sites,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Referral-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Imp-Seq-USN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Employee-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Req-Seq-USN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Role-Occupant,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Affinity,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Unauth-Orig-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Import-Now,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=USN-Intersite,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Outbound-Host,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Export-Now,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Svr-Seq-USN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=LDAP-Search-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Create-PF-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Create-PF-DL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Local-Admin,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MTA-Local-Desig,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Imp-Seq-Time,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Req-Seq-Time,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Conf-Seq-USN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Svr-Seq-Time,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Property-Pages,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Outbound-Sites,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Use-Site-Values,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Newsgroup-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Report-To-Owner,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RTS-Window-Size,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Unauth-Orig,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Admin-Update,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Domain-Replicas,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Not-Create-PF,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Append-ReqCN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Recipient-CP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MDB-Unread-Limit,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Off-Line-AB-Style,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Conf-Req-Time,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Preserve-DNs,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Employee-Number,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Connection-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Phone-Number,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Authorized-User,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Folder-GUID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Proxy-Space,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=SMIME-Alg-List-NA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Local-Bridge-Head,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitor-Servers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=View-Definition,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Trans-Retry-Mins,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Create-PF-DL-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Logging-Level,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Off-Line-AB-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-Newsfeed,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Maximum-Object-ID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=House-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Remote-Client,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=HTTP-Pub-GAL-Limit,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Anonymous-Access,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Import-Container,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitor-Services,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Supporting-Stack,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Control-Msg-Rules,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Remote-Bridge-Head,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Send-EMail-Message,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-Accept-All,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Not-Create-PF-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Not-Create-PF-DL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Connected-Domains,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Gateway-Local-Cred,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Clock-Alert-Repair,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Clock-Alert-Offset,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-In-Template-Map,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Folders-Container,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DL-Mem-Reject-Perms,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Character-Set-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Expand-DLs-Locally,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Authorized-Domain,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Local-Initial-Turn,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Home-Public-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encrypt-Alg-List-NA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Incoming-Password,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DL-Mem-Submit-Perms,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Outbound-Newsfeed,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=P-Selector-Inbound,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Anonymous-Account,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Num-Of-Open-Retries,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Export-Containers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitored-Servers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Replica-Set-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Realm-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Aliased-Object-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Site-Folder-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=S-Selector-Inbound,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Outbound-Host-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Off-Line-AB-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Trans-Timeout-Mins,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=T-Selector-Inbound,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Callback-Number,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Leased-Line-Port,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Remote-MTA-Phone,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X400-Attachment-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Bridgehead-Servers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Gateway-Local-Desig,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=GWART-Last-Modified,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X400-Selector-Syntax,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Admin-Extension-DLL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=List-Public-Folders,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Lockout-Disconnect,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Display-Name-Suffix,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Certificate-Chain-V3,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Out-Template-Map,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=SMIME-Alg-List-Other,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Space-Last-Computed,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Over-Site-Connector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Remote-SRVR-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RTS-Checkpoint-Size,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Proxy-Generator-DLL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Remote-Out-BH-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Open-Retry-Interval,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=XMIT-Timeout-Normal,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=NNTP-Distributions,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=XMIT-Timeout-Urgent,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MDB-Backoff-Interval,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Import-Sensitivity,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=SMIME-Alg-Selected-NA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Can-Not-Create-PF-DL-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Enabled-Protocol-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DL-Mem-Reject-Perms-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Clock-Warning-Repair,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Replication-Stagger,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Clock-Warning-Offset,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Leased-or-Switched,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Exchange-Options,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Control-Msg-Folder-ID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Action-Other,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Action-First,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DL-Mem-Submit-Perms-BL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Temp-Assoc-Threshold,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Template-Options,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Gateway-Routing-Tree,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Authorized-Password,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Group-By-Attr-Value-DN,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Return-Exact-Msg-Size,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Client-Access-Enabled,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Report-To-Originator,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RTS-Recovery-Timeout,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Off-Line-AB-Containers,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Enable-Compatibility,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Association-Lifetime,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Action-Second,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Cross-Certificate-CRL,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Responsible-Local-DXA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encapsulation-Method,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Inbound-Newsfeed-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=MDB-Msg-Time-Out-Period,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Restart-Delay,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Authentication-To-Use,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=HTTP-Pub-AB-Attributes,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encrypt-Alg-List-Other,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Group-By-Attr-Value-Str,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Hide-DL-Membership,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Filter-Local-Addresses,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encrypt-Alg-Selected-NA,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Default-Message-Format,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Conf-Container-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Translation-Table-Used,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Disabled-Gateway-Proxy,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Native-Address-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Template-TimeStamp,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Alert-Delay,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Replication-Boot-State,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Connection-List-Filter,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Assoc-Protocol-Cfg-NNTP,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Recipients,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-Remote-Entries,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Num-Of-Transfer-Retries,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=CA-Exchange-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Outgoing-Msg-Size-Limit,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Alert-Units,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=OOF-Reply-To-Originator,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Disable-Deferred-Commit,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Turn-Request-Threshold,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=XMIT-Timeout-Non-Urgent,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=SMIME-Alg-Selected-Other,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Restart-Message,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=COM-Auto-Convert-Class-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=RAS-Phonebook-Entry-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=NNTP-Distributions-Flag,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Local-Bridge-Head-Address,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transfer-Timeout-Normal,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transfer-Retry-Interval,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transfer-Timeout-Urgent,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Message-Tracking-Enabled,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=CA-Signature-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Bidirectional-Connector,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Call-User-Data-Incoming,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Available-Distributions,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Replication-Mail-Msg-Size,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Call-User-Data-Outgoing,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transport-Expedited-Data,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-UnConf-Container-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-Exchange-Options,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Warning-Delay,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Session-Disconnect-Timer,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-Template-Options,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Quota-Notification-Style,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Root-Newsgroups-Folder-ID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Warning-Units,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Remote-Bridge-Head-Address,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Export-Custom-Recipients,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Support-SMIME-Signatures,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Encrypt-Alg-Selected-Other,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Container-Administrators,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Recipients-NDR,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Two-Way-Alternate-Facility,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Preserve-Internet-Content,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-Export-Native-Only,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Facilities-Data-Incoming,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=X25-Facilities-Data-Outgoing,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Default-Intra-Site-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Default-Inter-Site-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Connection-List-Filter-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Transfer-Timeout-Non-Urgent,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Quota-Notification-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=CA-Exchange-Certificate-Chain,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Authorized-Password-Confirm,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Normal-Poll-Units,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=CA-Signature-Certificate-Chain,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Certificate-Revocation-List-V1,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
dn: CN=Monitoring-Hotsite-Poll-Units,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Enabled-Authorization-Packages,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-In-Exchange-Sensitivity,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Normal-Poll-Interval,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Escalation-Procedure,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=DXA-Prev-Replication-Sensitivity,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Monitoring-Hotsite-Poll-Interval,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Available-Authorization-Packages,CN=Schema,CN=Configuration,DC=X
changetype: delete
# Changes for earlier schemas
dn: CN=Application-Entity,CN=schema,CN=configuration,DC=X
changetype: modify
systemMustContain: presentationAddress
dn: CN=DMD,CN=schema,CN=configuration,DC=X
changetype: modify
systemMayContain: foreignDSAs
dn: CN=NTDS-DSA,CN=schema,CN=configuration,DC=X
changetype: modify
systemMayContain: presentationAddress
dn: CN=Top,CN=schema,CN=configuration,DC=X
changetype: modify
systemMayContain: masterDSA
dn: CN=Foreign-DSAs,CN=schema,CN=configuration,dc=X
changetype: delete
dn: CN=Presentation-Address,CN=schema,CN=configuration,dc=X
changetype: delete
dn: CN=Ref-Full-Replicas,CN=schema,CN=configuration,dc=X
changetype: delete
dn: CN=Ref-Master-DSA,CN=schema,CN=configuration,dc=X
changetype: delete
# End of changes for earlier schemas
dn:
changetype: modify
schemaUpdateNow: 1
# Config NC changes
# Extended rights
dn: CN=Open-Address-Book,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
appliesTo: 3e74f60f-3e73-11d1-a9c0-0000f80367c1
displayName: Open Address Book
rightsGuid: a1990816-4298-11d1-ade2-00c04fd8d5cd
changetype: add
hideFromAB: TRUE
appliesTo: bf967aba-0de6-11d0-a285-00aa003049e2
displayName: Modify Personal Information
rightsGuid: 77B5B886-944A-11d1-AEBD-0000F80367C1
dn: CN=Email-Information,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Modify Email Information
rightsGuid: E45795B2-9455-11d1-AEBD-0000F80367C1
dn: CN=Web-Information,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Modify Web Information
# Display-Specifiers
dn: CN=localGroup-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: delete
dn: CN=nTFRSSettings-
Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{9da6fd68-c63b-11d0-b94d-00c04fd8d5b0}
adminContextmenu: 0,{6971d64e-f335-11d0-b0bc-00c04fd8dca6}
classDisplayName: NTFRS Settings
dn: CN=nTFRSReplicaSet-
changetype: add
hideFromAB: TRUE
classDisplayName: NTFRS Replica Set
dn: CN=mSFTFRS-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{9da6fd6a-c63b-11d0-b94d-00c04fd8d5b0}
classDisplayName: Microsoft FRS
dn: CN=user-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
add: treatAsLeaf
treatAsLeaf: TRUE
delete: adminPropertyPages
adminPropertyPages: 5,{FD57D295-4FD9-11D1-854E-00C04FC31FD3}
delete: attributeDisplayNames
attributeDisplayNames: comment,Comment
attributeDisplayNames: company,Company
attributeDisplayNames: distinguishedName,X500 DN
attributeDisplayNames: facsimileTelephoneNumber, Facsimile Telephone Numbers
attributeDisplayNames: generationQualifier, Generation Qualifier
attributeDisplayNames: internationalISDNNumber, International ISDN Number
attributeDisplayNames: mobile,Cellular Phone Number
attributeDisplayNames: personalTitle,Personal Title
attributeDisplayNames: physicalDeliveryOfficeName,Delivery Office
attributeDisplayNames: postalCode,ZIP Code
attributeDisplayNames: primaryGroupID,Primary Group SID
attributeDisplayNames: streetAddress,Address
attributeDisplayNames: telephoneNumber,Telephone Number
attributeDisplayNames: title,Title
attributeDisplayNames: url,Web Page Address
attributeDisplayNames: userAccountControl,User Account Control Flags
add: attributeDisplayNames
attributeDisplayNames: assistant,Assistant
attributeDisplayNames: comment,User Account Comment
attributeDisplayNames: co,Company
attributeDisplayNames: distinguishedName,X500 Distinguished Name
attributeDisplayNames: facsimileTelephoneNumber,Facsimile Telephone Number
attributeDisplayNames: generationQualifier,Name Suffix

(Others)
attributeDisplayNames: ipPhone,IP Phone Number
attributeDisplayNames: mobile,Primary Mobile Phone Number
attributeDisplayNames: otherFacsimileTelephoneNumber,Facsimile Telephone

Number (Others)
attributeDisplayNames: otherHomePhone,Home Phone (Others)
attributeDisplayNames: otherIpPhone,IP Phone Number (Others)
attributeDisplayNames: otherMailbox,E-Mail Address (Others)
attributeDisplayNames: otherMobile,Mobile Phone Number (Others)
attributeDisplayNames: otherPager,Pager Number (Others)
attributeDisplayNames: otherTelephone,Office Telephone Number (Others)
attributeDisplayNames: personalTitle,Title
attributeDisplayNames: physicalDeliveryOfficeName,Office Location
attributeDisplayNames: postalCode,ZIP/Postal Code
attributeDisplayNames: primaryInternationalISDNNumber,International ISDN

Number
attributeDisplayNames: primaryTelexNumber,Telex Number
attributeDisplayNames: streetAddress,Other Address
attributeDisplayNames: telephoneNumber,Primary Phone
attributeDisplayNames: telexNumber,Telex Number (Others)
attributeDisplayNames: url,Web Page Address (Others)
attributeDisplayNames: userPrincipalName,Logon Name
attributeDisplayNames: wWWHomePage,Web Page Address
dn: CN=group-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
attributeDisplayNames: desctription,Description
attributeDisplayNames: contactName,Contact Name
attributeDisplayNames: groupAttributes,Group Attribute Flags
attributeDisplayNames: managedBy,Managed By
changetype: modify
delete: classDisplayName
classDisplayName: Domain (DNS)
add: classDisplayName
classDisplayName: Domain
dn: CN=contact-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
attributeDisplayNames: department,Department
attributeDisplayNames: directReports,Direct Reports
attributeDisplayNames: division,Division
attributeDisplayNames: employeeID,Employee ID
attributeDisplayNames: givenName,First Name
attributeDisplayNames: homePhone,Home Phone
attributeDisplayNames: homePostalAddress,Home Address
attributeDisplayNames: info,Notes
attributeDisplayNames: initials,Initials
attributeDisplayNames: internationalISDNNumber,International ISDN Number

(Others)
attributeDisplayNames: l,City
attributeDisplayNames: mail,E-Mail Address
attributeDisplayNames: manager,Manager
attributeDisplayNames: memberOf,Group Membership
attributeDisplayNames: middleName,Middle Name
attributeDisplayNames: otherHomePhone,Home Phone Number (Others)
attributeDisplayNames: otherTelephone,Telephone Number (Others)
attributeDisplayNames: postOfficeBox,Post Office Box

Number
attributeDisplayNames: sn,Last Name
attributeDisplayNames: st,State
dn: CN=domainPolicy-
changetype: modify
adminPropertyPages: 4,{AAD30A04-E1D0-11d0-B859-00A024CDD4DE}
dn: CN=serviceAdministrationPoint-
changetype: modify
classDisplayName: Service Administration Point
classDisplayName: Service
changetype: modify
attributeDisplayNames: operatingSystem,Operating System
attributeDisplayNames: operatingSystemVersion,Operating System Version
attributeDisplayNames: type,Type
dn: CN=printQueue-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
attributeDisplayNames: cn,Directory Service Name
attributeDisplayNames: uNCName,Network Name
attributeDisplayNames: assetNumber,Asset Number
attributeDisplayNames: bytesPerMinute,Bytes per Minute
attributeDisplayNames: contactName,Contact
attributeDisplayNames: description,Comment
attributeDisplayNames: driverName,Model
attributeDisplayNames: driverVersion,Driver Version
attributeDisplayNames: location,Location
attributeDisplayNames: portName,Port
attributeDisplayNames: printBinNames,Input Trays
attributeDisplayNames: printCollate,Supports Collation
attributeDisplayNames: printColor,Supports Color Printing
attributeDisplayNames: printDuplexSupported,Supports Double-sided Printing
attributeDisplayNames: printerName,Name
attributeDisplayNames: printFormName,Form Name
attributeDisplayNames: printLanguage,Data Format
attributeDisplayNames: printMACAddress,Physical Network Address
attributeDisplayNames: printMaxCopies,Maximum Number of Copies
attributeDisplayNames: printMaxResolutionSupported,Maximum Resolution
attributeDisplayNames: printMaxXExtent,Maximum Printable Width
attributeDisplayNames: printMaxYExtent,Maximum Printable Height
attributeDisplayNames: printMediaReady,Paper Available
attributeDisplayNames: printMediaSupported,Paper Types Supported
attributeDisplayNames: printMemory,Installed Memory
attributeDisplayNames: printMinXExtent,Minimum Printable Width
attributeDisplayNames: printMinYExtent,Minimum Printable Height
attributeDisplayNames: printNetworkAddress,Network Address
attributeDisplayNames: printNumberUp,Supports N-Up Printing
attributeDisplayNames: printOrientationsSupported,Orientations Supported
attributeDisplayNames: printOwner,Owner Name
attributeDisplayNames: printRate,Speed
attributeDisplayNames: printRateUnit,Speed Units
attributeDisplayNames: printPagesPerMinute,Pages per Minute
attributeDisplayNames: printShareName,Share Name
attributeDisplayNames: printStaplingSupported,Supports Stapling
attributeDisplayNames: printStatus,State
attributeDisplayNames: priority,Print Job Priority
attributeDisplayNames: serverName,Server Name
attributeDisplayNames: versionNumber,Object Version
attributeDisplayNames: whenChanged,Date Modified
attributeDisplayNames: whenCreated,Date Created
dn: CN=organizationalUnit-
changetype: modify
dn: CN=trustedDomain-
changetype: modify
dn: CN=volume-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
attributeDisplayNames: uNCName,Network Path
classDisplayName: Volume
classDisplayName: Shared Folder
dn: CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=X
changetype: add
objectClass: interSiteTransportContainer
hideFromAB: TRUE
dn: CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=X
changetype: add
objectClass: interSiteTransport
transportDllName: ismip.dll
hideFromAB: TRUE
dn: CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=X
changetype: add
transportDllName: ismsmtp.dll
hideFromAB: TRUE
dn: CN=Default Query Policy,CN=Query-Policies,CN=Directory

changetype: delete

changetype: add
objectClass: queryPolicy
lDAPAdminLimits: MaxConnections=1000
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: AllowDeepNonIndexSearch=False
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxQueryDuration=120
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxPoolThreads=4
lDAPAdminLimits: MaxDatagramRecv=4096
hideFromAB: TRUE
# Used to decide if earlier changes are present,
# so delete this last
dn: CN=Master-DSA,CN=schema,CN=configuration,dc=X
changetype: delete
# Object-Version on schema container
dn: CN=schema,CN=configuration,DC=X
changetype: modify
add: objectVersion
objectVersion: 1
Sch00.ldf
changetype: delete
changetype: delete
Sch1.ldf
changetype: add
hideFromAB: TRUE
classDisplayName: Container
changetype: add
hideFromAB: TRUE
# Attribute Adds
dn: CN=Pek-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: pekList
adminDisplayName: Pek-List
adminDescription: Pek-List
attributeId: 1.2.840.113556.1.4.865
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemFlags: 1
dn: CN=FRS-Flags,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSFlags
adminDisplayName: FRS-Flags
adminDescription: FRS-Flags
attributeId: 1.2.840.113556.1.4.874
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Site-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteList
adminDisplayName: Site-List
adminDescription: Site-List
attributeId: 1.2.840.113556.1.4.821
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3CwM1VGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Msi-Script,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScript
adminDisplayName: Msi-Script
adminDescription: Msi-Script
attributeId: 1.2.840.113556.1.4.814
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: E4Ph2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSVersion
adminDisplayName: FRS-Version
adminDescription: FRS-Version
attributeId: 1.2.840.113556.1.4.882
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: hSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Treat-As-Leaf,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: treatAsLeaf
adminDisplayName: Treat-As-Leaf
adminDescription: Treat-As-Leaf
attributeId: 1.2.840.113556.1.4.806
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 40TQjx930RGurgAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Product-Code,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: productCode
adminDisplayName: Product-Code
adminDescription: Product-Code
attributeId: 1.2.840.113556.1.4.818
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 16
schemaIdGuid:: F4Ph2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: dNSHostName
adminDisplayName: DNS-Host-Name
adminDescription: DNS-Host-Name
attributeId: 1.2.840.113556.1.4.619
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: R5Xjchh70RGt7wDAT9jVzQ==
hideFromAB: TRUE
dn: CN=Create-Dialog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: createDialog
adminDisplayName: Create-Dialog
adminDescription: Create-Dialog
attributeId: 1.2.840.113556.1.4.810
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ipUJKzGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: netbootSCPBL
adminDisplayName: netboot-SCP-BL
adminDescription: netboot-SCP-BL
attributeId: 1.2.840.113556.1.4.864
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gjA4B9+R0RGuvAAA+ANnwQ==
linkID: 101
hideFromAB: TRUE
systemFlags: 1
dn: CN=Site-Link-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLinkList
adminDisplayName: Site-Link-List
adminDescription: Site-Link-List
attributeId: 1.2.840.113556.1.4.822
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3SwM1VGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Tools,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootTools
adminDisplayName: netboot-Tools
adminDescription: netboot-Tools
attributeId: 1.2.840.113556.1.4.858
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Msi-Script-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScriptName
adminDisplayName: Msi-Script-Name
adminDescription: Msi-Script-Name
attributeId: 1.2.840.113556.1.4.845
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Yt2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootServer
adminDisplayName: netboot-Server
adminDescription: netboot-Server
attributeId: 1.2.840.113556.1.4.860
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gTA4B9+R0RGuvAAA+ANnwQ==
linkID: 100
hideFromAB: TRUE
dn: CN=Msi-Script-Size,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msiScriptSize
adminDisplayName: Msi-Script-Size
adminDescription: Msi-Script-Size
attributeId: 1.2.840.113556.1.4.846
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Y92nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=LDAP-IPDeny-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: lDAPIPDenyList
adminDisplayName: LDAP-IPDeny-List
adminDescription: LDAP-IPDeny-List
attributeId: 1.2.840.113556.1.4.844
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: U6NZc/eQ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Install-Ui-Level,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: installUiLevel
adminDisplayName: Install-Ui-Level
adminDescription: Install-Ui-Level
attributeId: 1.2.840.113556.1.4.847
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZN2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: terminalServer
adminDisplayName: Terminal-Server
adminDescription: Terminal-Server
attributeId: 1.2.840.113556.1.4.885
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HJq2bSKU0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=LDAP-Admin-Limits,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: lDAPAdminLimits
adminDisplayName: LDAP-Admin-Limits
adminDescription: LDAP-Admin-Limits
attributeId: 1.2.840.113556.1.4.843
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UqNZc/eQ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Create-Wizard-Ext,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: createWizardExt
adminDisplayName: Create-Wizard-Ext
adminDescription: Create-Wizard-Ext
attributeId: 1.2.840.113556.1.4.812
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: i5UJKzGJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Purported-Search,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: purportedSearch
adminDisplayName: Purported-Search
adminDescription: Purported-Search
attributeId: 1.2.840.113556.1.4.886
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: UE61tDqU0RGuvQAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: msRRASAttribute
adminDisplayName: ms-RRAS-Attribute
adminDescription: ms-RRAS-Attribute
attributeId: 1.2.840.113556.1.4.884
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rZib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=File-Ext-Priority,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fileExtPriority
adminDisplayName: File-Ext-Priority
adminDescription: File-Ext-Priority
attributeId: 1.2.840.113556.1.4.816
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: FYPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Can-Upgrade-Script,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: canUpgradeScript
adminDisplayName: Can-Upgrade-Script
adminDescription: Can-Upgrade-Script
attributeId: 1.2.840.113556.1.4.815
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FIPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=App-Schema-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: appSchemaVersion
adminDisplayName: App-Schema-Version
adminDescription: App-Schema-Version
attributeId: 1.2.840.113556.1.4.848
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Zd2nlhiR0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Primary-Member,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSPrimaryMember
adminDisplayName: FRS-Primary-Member
adminDescription: FRS-Primary-Member
attributeId: 1.2.840.113556.1.4.878
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkId: 106
schemaIdGuid:: gSUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Remote-Storage-GUID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: remoteStorageGUID
adminDisplayName: Remote-Storage-GUID
adminDescription: Remote-Storage-GUID
attributeId: 1.2.840.113556.1.4.809
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sMU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Max-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootMaxClients
adminDisplayName: netboot-Max-Clients
adminDescription: netboot-Max-Clients
attributeId: 1.2.840.113556.1.4.851
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Member-Reference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSMemberReference
adminDisplayName: FRS-Member-Reference
adminDescription: FRS-Member-Reference
attributeId: 1.2.840.113556.1.4.875
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fiUTKnOT0RGuvAAA+ANnwQ==
linkID: 104
hideFromAB: TRUE
systemFlags: 2
dn: CN=Upgrade-Product-Code,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: upgradeProductCode
adminDisplayName: Upgrade-Product-Code
adminDescription: Upgrade-Product-Code
attributeId: 1.2.840.113556.1.4.813
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 16
schemaIdGuid:: EoPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Time-Last-Command,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSTimeLastCommand
adminDisplayName: FRS-Time-Last-Command
adminDescription: FRS-Time-Last-Command
attributeId: 1.2.840.113556.1.4.880
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-New-Machine-OU,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootNewMachineOU
adminDisplayName: netboot-New-Machine-OU
adminDescription: netboot-New-Machine-OU
attributeId: 1.2.840.113556.1.4.856
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Limit-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootLimitClients
adminDisplayName: netboot-Limit-Clients
adminDescription: netboot-Limit-Clients
attributeId: 1.2.840.113556.1.4.850
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dzA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Signature-Algorithms,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: signatureAlgorithms
adminDisplayName: Signature-Algorithms
adminDescription: Signature-Algorithms
attributeId: 1.2.840.113556.1.4.824
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ssU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Partner-Auth-Level,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSPartnerAuthLevel
adminDisplayName: FRS-Partner-Auth-Level
adminDescription: FRS-Partner-Auth-Level
attributeId: 1.2.840.113556.1.4.877
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Enrollment-Providers,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: enrollmentProviders
adminDisplayName: Enrollment-Providers
adminDescription: Enrollment-Providers
attributeId: 1.2.840.113556.1.4.825
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: s8U5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: fRSMemberReferenceBL
adminDisplayName: FRS-Member-Reference-BL
adminDescription: FRS-Member-Reference-BL
attributeId: 1.2.840.113556.1.4.876
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fyUTKnOT0RGuvAAA+ANnwQ==
linkID: 105
hideFromAB: TRUE
systemFlags: 1
dn: CN=Certificate-Templates,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: certificateTemplates
adminDisplayName: Certificate-Templates
adminDescription: Certificate-Templates
attributeId: 1.2.840.113556.1.4.823
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: scU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Pek-Key-Change-Interval,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: pekKeyChangeInterval
adminDisplayName: Pek-Key-Change-Interval
adminDescription: Pek-Key-Change-Interval
attributeId: 1.2.840.113556.1.4.866
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Localized-Description,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: localizedDescription
adminDisplayName: Localized-Description
adminDescription: Localized-Description
attributeId: 1.2.840.113556.1.4.817
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FoPh2TmJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Frs-Computer-Reference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: frsComputerReference
adminDisplayName: Frs-Computer-Reference
adminDescription: Frs-Computer-Reference
attributeId: 1.2.840.113556.1.4.869
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eCUTKnOT0RGuvAAA+ANnwQ==
linkID: 102
systemFlags: 2
hideFromAB: TRUE
changetype: add
ldapDisplayName: altSecurityIdentities
adminDisplayName: Alt-Security-Identities
adminDescription: Alt-Security-Identities
attributeId: 1.2.840.113556.1.4.867
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: DPP7AP6R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Answer-Requests,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAnswerRequests
adminDisplayName: netboot-Answer-Requests
adminDescription: netboot-Answer-Requests
attributeId: 1.2.840.113556.1.4.853
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ejA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: bridgeheadServerListBL
adminDisplayName: Bridgehead-Server-List-BL
adminDescription: Bridgehead-Server-List-BL
attributeId: 1.2.840.113556.1.4.820
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkID: 99
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: frsComputerReferenceBL
adminDisplayName: Frs-Computer-Reference-BL
adminDescription: Frs-Computer-Reference-BL
attributeId: 1.2.840.113556.1.4.870
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eSUTKnOT0RGuvAAA+ANnwQ==
linkID: 103
hideFromAB: TRUE
systemFlags: 1
dn: CN=FRS-Control-Data-Creation,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlDataCreation
adminDisplayName: FRS-Control-Data-Creation
adminDescription: FRS-Control-Data-Creation
attributeId: 1.2.840.113556.1.4.871
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: eiUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Is-Critical-System-Object,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: isCriticalSystemObject
adminDisplayName: Is-Critical-System-Object
adminDescription: Is-Critical-System-Object
attributeId: 1.2.840.113556.1.4.868
omSyntax: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: DfP7AP6R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Allow-New-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAllowNewClients
adminDisplayName: netboot-Allow-New-Clients
adminDescription: netboot-Allow-New-Clients
attributeId: 1.2.840.113556.1.4.849
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: djA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Time-Last-Config-Change,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSTimeLastConfigChange
adminDisplayName: FRS-Time-Last-Config-Change
adminDescription: FRS-Time-Last-Config-Change
attributeId: 1.2.840.113556.1.4.881
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Bridgehead-Transport-List,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: bridgeheadTransportList
adminDisplayName: Bridgehead-Transport-List
adminDescription: Bridgehead-Transport-List
attributeId: 1.2.840.113556.1.4.819
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkID: 98
hideFromAB: TRUE
dn: CN=FRS-Service-Command-Status,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSServiceCommandStatus
adminDisplayName: FRS-Service-Command-Status
adminDescription: FRS-Service-Command-Status
attributeId: 1.2.840.113556.1.4.879
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 512
schemaIdGuid:: giUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Control-Inbound-Backlog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlInboundBacklog
adminDisplayName: FRS-Control-Inbound-Backlog
adminDescription: FRS-Control-Inbound-Backlog
attributeId: 1.2.840.113556.1.4.872
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: eyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-IntelliMirror-OSes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootIntelliMirrorOSes
adminDisplayName: netboot-IntelliMirror-OSes
adminDescription: netboot-IntelliMirror-OSes
attributeId: 1.2.840.113556.1.4.857
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fjA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=FRS-Control-Outbound-Backlog,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fRSControlOutboundBacklog
adminDisplayName: FRS-Control-Outbound-Backlog
adminDescription: FRS-Control-Outbound-Backlog
attributeId: 1.2.840.113556.1.4.873
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32
schemaIdGuid:: fCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Current-Client-Count,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootCurrentClientCount
adminDisplayName: netboot-Current-Client-Count
adminDescription: netboot-Current-Client-Count
attributeId: 1.2.840.113556.1.4.852
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=IPSEC-Negotiation-Policy-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: iPSECNegotiationPolicyType
adminDisplayName: IPSEC-Negotiation-Policy-Type
adminDescription: IPSEC-Negotiation-Policy-Type
attributeId: 1.2.840.113556.1.4.887
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=ms-RRAS-Vendor-Attribute-Entry,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRRASVendorAttributeEntry
adminDisplayName: ms-RRAS-Vendor-Attribute-Entry
adminDescription: ms-RRAS-Vendor-Attribute-Entry
attributeId: 1.2.840.113556.1.4.883
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rJib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Locally-Installed-OSes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootLocallyInstalledOSes
adminDisplayName: netboot-Locally-Installed-OSes
adminDescription: netboot-Locally-Installed-OSes
attributeId: 1.2.840.113556.1.4.859
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=IPSEC-Negotiation-Policy-Action,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: iPSECNegotiationPolicyAction
adminDisplayName: IPSEC-Negotiation-Policy-Action
adminDescription: IPSEC-Negotiation-Policy-Action
attributeId: 1.2.840.113556.1.4.888
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-New-Machine-Naming-Policy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootNewMachineNamingPolicy
adminDisplayName: netboot-New-Machine-Naming-Policy
adminDescription: netboot-New-Machine-Naming-Policy
attributeId: 1.2.840.113556.1.4.855
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fDA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=netboot-Answer-Only-Valid-Clients,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: netbootAnswerOnlyValidClients
adminDisplayName: netboot-Answer-Only-Valid-Clients
adminDescription: netboot-Answer-Only-Valid-Clients
attributeId: 1.2.840.113556.1.4.854
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ezA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
dn: CN=UPN-Suffixes,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: uPNSuffixes
adminDescription: UPN-Suffixes
adminDisplayName: UPN-Suffixes
attributeID: 1.2.840.113556.1.4.890
oMSyntax: 64
schemaIDGUID:: v2AhAySY0RGuwAAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
hideFromAB: TRUE
dn: CN=Additional-Trusted-Service-Names,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: additionalTrustedServiceNames
adminDescription: Additional-Trusted-Service-Names
adminDisplayName: Additional-Trusted-Service-Names
attributeID: 1.2.840.113556.1.4.889
oMSyntax: 64
schemaIDGUID:: vmAhAySY0RGuwAAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
hideFromAB: TRUE
# Change because OID got reused with different syntax.
# We will delete Replica-Set-Type, and add FRS-Replica-Set-Type
# with a new OID.
dn: CN=NTFRS-Replica-Set,CN=schema,CN=configuration,DC=X
changetype: modify
dn: CN=Replica-Set-Type,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn:
changetype: modify
schemaUpdateNow: 1
changetype: add
ldapDisplayName: fRSReplicaSetType
attributeId: 1.2.840.113556.1.4.31
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: a3PZJnBg0RGpxgAA+ANnwQ==
hideFromAB: TRUE
# End of change
# Attribute Renames, plus some modifies in some cases
dn: CN=Replication-DS-Poll,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-DS-Poll
deleteoldrdn: 1
dn: CN=FRS-DS-Poll,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSDSPoll
adminDisplayName: FRS-DS-Poll
adminDescription: FRS-DS-Poll
dn: CN=Com-Unique-Cat-Id,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: Category-Id
deleteoldrdn: 1
dn: CN=Category-Id,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: categoryId
adminDisplayName: Category-Id
adminDescription: Category-Id
dn: CN=Replication-Root-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Root-Path
deleteoldrdn: 1
dn: CN=FRS-Root-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSRootPath
adminDisplayName: FRS-Root-Path
adminDescription: FRS-Root-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replication-File-Filter,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-File-Filter
deleteoldrdn: 1
dn: CN=FRS-File-Filter,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSFileFilter
adminDisplayName: FRS-File-Filter
-
adminDescription: FRS-File-Filter
-
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replication-Level-Limit,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Level-Limit
deleteoldrdn: 1
dn: CN=FRS-Level-Limit,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSLevelLimit
adminDisplayName: FRS-Level-Limit
-
adminDescription: FRS-Level-Limit
-
dn: CN=Replication-Extensions,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Extensions
deleteoldrdn: 1
dn: CN=FRS-Extensions,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSExtensions
adminDisplayName: FRS-Extensions
adminDescription: FRS-Extensions
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 65536
dn: CN=Replication-Staging-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Staging-Path
deleteoldrdn: 1
dn: CN=FRS-Staging-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSStagingPath
adminDisplayName: FRS-Staging-Path
adminDescription: FRS-Staging-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Code-Package,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: Msi-Script-Path
deleteoldrdn: 1
dn: CN=Msi-Script-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: msiScriptPath
adminDisplayName: Msi-Script-Path
-
adminDescription: Msi-Script-Path
-
dn: CN=Replication-DB-Path,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Working-Path
deleteoldrdn: 1
dn: CN=FRS-Working-Path,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSWorkingPath
adminDisplayName: FRS-Working-Path
adminDescription: FRS-Working-Path
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Replica-Version-GUID,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Version-GUID
deleteoldrdn: 1
dn: CN=FRS-Version-GUID,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSVersionGuid
adminDisplayName: FRS-Version-GUID
adminDescription: FRS-Version-GUID
add: rangeLower
rangeLower: 16
add: rangeUpper
rangeUpper: 16
dn: CN=Replication-Root-Security,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Root-Security
deleteoldrdn: 1
dn: CN=FRS-Root-Security,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSRootSecurity
adminDisplayName: FRS-Root-Security
adminDescription: FRS-Root-Security
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 65535
dn: CN=Replication-Update-Timeout,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Update-Timeout
deleteoldrdn: 1
dn: CN=FRS-Update-Timeout,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSUpdateTimeout
-
adminDisplayName: FRS-Update-Timeout
adminDescription: FRS-Update-Timeout
dn: CN=Replication-Service-Command,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Service-Command
deleteoldrdn: 1
dn: CN=FRS-Service-Command,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSServiceCommand
adminDisplayName: FRS-Service-Command
adminDescription: FRS-Service-Command
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 512
dn: CN=Replica-Set-GUID,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Replica-Set-GUID
deleteoldrdn: 1
dn: CN=FRS-Replica-Set-GUID,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSReplicaSetGuid
adminDisplayName: FRS-Replica-Set-GUID
adminDescription: FRS-Replica-Set-GUID
dn: CN=Replication-Status,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Fault-Condition
deleteoldrdn: 1
dn: CN=FRS-Fault-Condition,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSFaultCondition
adminDisplayName: FRS-Fault-Condition
adminDescription: FRS-Fault-Condition
add: rangeLower
rangeLower: 1
add: rangeUpper
rangeUpper: 16
dn: CN=Replication-Directory-Filter,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: FRS-Directory-Filter
deleteoldrdn: 1
dn: CN=FRS-Directory-Filter,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: fRSDirectoryFilter
adminDisplayName: FRS-Directory-Filter
adminDescription: FRS-Directory-Filter
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 2048
dn: CN=Created-Entry,CN=schema,CN=configuration,DC=X
changetype: modrdn
newrdn: rpc-Ns-Entry-Flags
deleteoldrdn: 1
dn: CN=rpc-Ns-Entry-Flags,CN=schema,CN=configuration,DC=X
changetype: modify
ldapDisplayName: rpcNsEntryFlags
adminDisplayName: rpc-Ns-Entry-Flags
adminDescription: rpc-Ns-Entry-Flags
# Class Adds
dn: CN=NTFRS-Member,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: nTFRSMember
adminDisplayName: NTFRS-Member
adminDescription: NTFRS-Member
governsId: 1.2.840.113556.1.5.153
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: hiUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-Member,CN=Schema,CN=Configuration,DC=X
dn: CN=Site-Link-Bridge,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLinkBridge
adminDisplayName: Site-Link-Bridge
adminDescription: Site-Link-Bridge
governsId: 1.2.840.113556.1.5.148
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Link-Bridge,CN=Schema,CN=Configuration,DC=X
dn: CN=RRAS-Administration-Connection-Point,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rRASAdministrationConnectionPoint
adminDisplayName: RRAS-Administration-Connection-Point
adminDescription: RRAS-Administration-Connection-Point
governsId: 1.2.840.113556.1.5.150
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: vsU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RRAS-Administration-Connection-
dn: CN=NTFRS-Subscriptions,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: nTFRSSubscriptions
adminDescription: NTFRS-Subscriptions
adminDisplayName: NTFRS-Subscriptions
governsID: 1.2.840.113556.1.5.154
rDNAttID: 2.5.4.3
subClassOf: 2.5.6.0
schemaIDGUID:: hyUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-
Subscriptions,CN=Schema,CN=Configuration,DC=X
dn: CN=Remote-Storage-Service-Point,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: remoteStorageServicePoint
adminDisplayName: Remote-Storage-Service-Point
adminDescription: Remote-Storage-Service-Point
governsId: 1.2.840.113556.1.5.146
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: vcU5KmCJ0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Remote-Storage-Service-
changetype: add
lDAPDisplayName: intellimirrorGroup
adminDescription: Intellimirror-Group
adminDisplayName: Intellimirror-Group
governsID: 1.2.840.113556.1.5.152
rDNAttID: 2.5.4.3
schemaIDGUID:: hjA4B9+R0RGuvAAA+ANnwQ==
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Intellimirror-
Group,CN=Schema,CN=Configuration,DC=X
dn: CN=Site-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteLink
adminDisplayName: Site-Link
adminDescription: Site-Link
governsId: 1.2.840.113556.1.5.147
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: intellimirrorSCP
adminDisplayName: Intellimirror-SCP
adminDescription: Intellimirror-SCP
governsId: 1.2.840.113556.1.5.151
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.94
schemaIdGuid:: hTA4B9+R0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Intellimirror-SCP,CN=Schema,CN=Configuration,DC=X
dn: CN=NTFRS-Subscriber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: nTFRSSubscriber
adminDisplayName: NTFRS-Subscriber
adminDescription: NTFRS-Subscriber
governsId: 1.2.840.113556.1.5.155
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: iCUTKnOT0RGuvAAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NTFRS-Subscriber,CN=Schema,CN=Configuration,DC=X
dn: CN=RRAS-Administration-Dictionary,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rRASAdministrationDictionary
adminDisplayName: RRAS-Administration-Dictionary
adminDescription: RRAS-Administration-Dictionary
governsId: 1.2.840.113556.1.5.156
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: rpib842T0RGuvQAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RRAS-Administration-
Dictionary,CN=Schema,CN=Configuration,DC=X
# Syntax in two attributes have been modified. USN-Source and
# Transport-Address-Type. We don't propagate the changes.
# We will delete both and add new attributes
# to replace them.
# Attribute and Class Modifications
changetype: modify
searchFlags: 0
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Postal-Code,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Office-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Post-Office-Box,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Physical-Delivery-Office-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
dn: CN=Telex-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Teletex-Terminal-Identifier,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=X121-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=International-ISDN-Number,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Registered-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Preferred-Delivery-Method,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Phone-Mobile-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Pager-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Voice-Mail-Password,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Recorded-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Greetings,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Volume,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Speed,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Voice-Mail-Recording-Length,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Forwarding-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Personal-Title,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
dn: CN=Phone-Fax-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-Mobile-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Telex-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Phone-ISDN-Primary,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Assistant,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
add: systemFlags
systemFlags: 2
dn: CN=Categories,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: rangeLower
rangeLower: 36
add: rangeUpper
rangeUpper: 36
dn: CN=Creator,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 0
changetype: modify
dn: CN=Phone-Ip-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=WWW-Page-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
searchFlags: 1
add: systemFlags
systemFlags: 2
dn: CN=User-Shared-Folder,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=User-Shared-Folder-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
add: systemFlags
systemFlags: 2
dn: CN=Phone-Home-Other,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=AutoReply,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=AutoReply-Message,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Package-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 1
dn: CN=AutoReply-Subject,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=WWW-Home-Page,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Domain,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: defaultObjectCategory
defaultObjectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Class-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Inter-Site-Transport-Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Remote-Mail-Recipient,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Storage,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Class-Store,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
dn: CN=Package-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
dn: CN=Category-Registration,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Query-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Ipsec-Negotiation-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Address-Book-Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
# Attribute and Class deletes
# First delete some objects in Config NC before deleting their classes
dn: CN=RPC,CN=Inter-Site Transports,CN=Site

changetype: delete
dn: CN=Inter-Site Transports,CN=Site

changetype: delete
dn: CN=Site Connectors,CN=sites,CN=configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=LocalGroup,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
dn: CN=Eicon-X25-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-Interface,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
dn: CN=Eicon-X25-Stack,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=View-Container,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
dn: CN=Application-Registration,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Distribution-List,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
dn: CN=NTFRS-Site-Settings,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
dn: CN=View-Root,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Run-As,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
dn: CN=To-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-App-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=App-Flags,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=From-Site,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-PS-CLSID,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Netboot-NIC,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Contact-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-Package-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-Unique-IID,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Property-Pages,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Domain-Replicas,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Replica-Set-Server,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Service-Realm-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Aliased-Object-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=GWART-Last-Modified,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Lockout-Disconnect,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Space-Last-Computed,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Over-Site-Connector,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Group-By-Attr-Value-DN,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Group-By-Attr-Value-Str,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Replication-Boot-State,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=CA-Exchange-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=COM-Auto-Convert-Class-Id,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=CA-Signature-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Bidirectional-Connector,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Container-Administrators,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=Default-Intra-Site-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Default-Inter-Site-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn: CN=CA-Exchange-Certificate-Chain,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
dn: CN=CA-Signature-Certificate-Chain,CN=Schema,CN=Configuration,DC=X
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
changetype: delete
dn:
changetype: modify
schemaUpdateNow: 1
# Config NC changes
# Extended rights
changetype: add
hideFromAB: TRUE
appliesTo: 3e74f60f-3e73-11d1-a9c0-0000f80367c1
displayName: Open Address Book
rightsGuid: a1990816-4298-11d1-ade2-00c04fd8d5cd
changetype: add
hideFromAB: TRUE
displayName: Modify Personal Information
rightsGuid: 77B5B886-944A-11d1-AEBD-0000F80367C1
changetype: add
hideFromAB: TRUE
displayName: Modify Email Information
changetype: add
hideFromAB: TRUE
displayName: Modify Web Information
# Display-Specifiers
dn: CN=localGroup-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: delete
changetype: add
hideFromAB: TRUE
adminContextmenu: 0,{6971d64e-f335-11d0-b0bc-00c04fd8dca6}
classDisplayName: NTFRS Settings
changetype: add
hideFromAB: TRUE
classDisplayName: NTFRS Replica Set
changetype: add
hideFromAB: TRUE
classDisplayName: Microsoft FRS
changetype: modify
add: treatAsLeaf
treatAsLeaf: TRUE
attributeDisplayNames: facsimileTelephoneNumber, Facsimile Telephone Numbers
attributeDisplayNames: generationQualifier, Generation Qualifier
attributeDisplayNames: mobile,Cellular Phone Number
attributeDisplayNames: postalCode,ZIP Code
attributeDisplayNames: primaryGroupID,Primary Group SID
attributeDisplayNames: streetAddress,Address
attributeDisplayNames: title,Title
attributeDisplayNames: userAccountControl,User Account Control Flags

(Others)

Number (Others)
attributeDisplayNames: otherHomePhone,Home Phone (Others)

Number
attributeDisplayNames: userPrincipalName,Logon Name
changetype: modify
attributeDisplayNames: desctription,Description
attributeDisplayNames: contactName,Contact Name
attributeDisplayNames: groupAttributes,Group Attribute Flags
changetype: modify
classDisplayName: Domain (DNS)
classDisplayName: Domain
changetype: modify
attributeDisplayNames: department,Department
attributeDisplayNames: directReports,Direct Reports
attributeDisplayNames: division,Division
attributeDisplayNames: employeeID,Employee ID
attributeDisplayNames: givenName,First Name
attributeDisplayNames: homePhone,Home Phone
attributeDisplayNames: homePostalAddress,Home Address
attributeDisplayNames: initials,Initials
attributeDisplayNames: internationalISDNNumber,International ISDN Number

(Others)
attributeDisplayNames: l,City
attributeDisplayNames: mail,E-Mail Address
attributeDisplayNames: manager,Manager
attributeDisplayNames: memberOf,Group Membership
attributeDisplayNames: middleName,Middle Name
attributeDisplayNames: otherHomePhone,Home Phone Number (Others)
attributeDisplayNames: postOfficeBox,Post Office Box

Number
attributeDisplayNames: sn,Last Name
changetype: modify
changetype: modify
classDisplayName: Service Administration Point
changetype: modify
changetype: modify
attributeDisplayNames: cn,Directory Service Name
attributeDisplayNames: uNCName,Network Name
attributeDisplayNames: assetNumber,Asset Number
attributeDisplayNames: bytesPerMinute,Bytes per Minute
attributeDisplayNames: contactName,Contact
attributeDisplayNames: description,Comment
attributeDisplayNames: driverName,Model
attributeDisplayNames: driverVersion,Driver Version
attributeDisplayNames: location,Location
attributeDisplayNames: portName,Port
attributeDisplayNames: printBinNames,Input Trays
attributeDisplayNames: printCollate,Supports Collation
attributeDisplayNames: printColor,Supports Color Printing
attributeDisplayNames: printDuplexSupported,Supports Double-sided Printing
attributeDisplayNames: printerName,Name
attributeDisplayNames: printFormName,Form Name
attributeDisplayNames: printLanguage,Data Format
attributeDisplayNames: printMACAddress,Physical Network Address
attributeDisplayNames: printMaxCopies,Maximum Number of Copies
attributeDisplayNames: printMaxResolutionSupported,Maximum Resolution
attributeDisplayNames: printMaxXExtent,Maximum Printable Width
attributeDisplayNames: printMaxYExtent,Maximum Printable Height
attributeDisplayNames: printMediaReady,Paper Available
attributeDisplayNames: printMediaSupported,Paper Types Supported
attributeDisplayNames: printMemory,Installed Memory
attributeDisplayNames: printMinXExtent,Minimum Printable Width
attributeDisplayNames: printMinYExtent,Minimum Printable Height
attributeDisplayNames: printNetworkAddress,Network Address
attributeDisplayNames: printNumberUp,Supports N-Up Printing
attributeDisplayNames: printOrientationsSupported,Orientations Supported
attributeDisplayNames: printOwner,Owner Name
attributeDisplayNames: printRate,Speed
attributeDisplayNames: printRateUnit,Speed Units
attributeDisplayNames: printPagesPerMinute,Pages per Minute
attributeDisplayNames: printShareName,Share Name
attributeDisplayNames: printStaplingSupported,Supports Stapling
attributeDisplayNames: printStatus,State
attributeDisplayNames: priority,Print Job Priority
attributeDisplayNames: serverName,Server Name
attributeDisplayNames: versionNumber,Object Version
attributeDisplayNames: whenChanged,Date Modified
attributeDisplayNames: whenCreated,Date Created
changetype: modify
changetype: modify
changetype: modify
attributeDisplayNames: uNCName,Network Path
classDisplayName: Volume
classDisplayName: Shared Folder
dn: CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=X
changetype: add
objectClass: interSiteTransportContainer
hideFromAB: TRUE
changetype: add
transportDllName: ismip.dll
hideFromAB: TRUE
changetype: add
transportDllName: ismsmtp.dll
hideFromAB: TRUE

changetype: delete

changetype: add
objectClass: queryPolicy
lDAPAdminLimits: MaxConnections=1000
lDAPAdminLimits: InitRecvTimeout=120
lDAPAdminLimits: AllowDeepNonIndexSearch=False
lDAPAdminLimits: MaxConnIdleTime=900
lDAPAdminLimits: MaxActiveQueries=20
lDAPAdminLimits: MaxNotificationPerConn=5
lDAPAdminLimits: MaxPageSize=1000
lDAPAdminLimits: MaxQueryDuration=120
lDAPAdminLimits: MaxTempTableSize=10000
lDAPAdminLimits: MaxResultSetSize=262144
lDAPAdminLimits: MaxPoolThreads=4
hideFromAB: TRUE
# Object-Version on schema container
dn: CN=schema,CN=configuration,DC=X
changetype: modify
add: objectVersion
objectVersion: 1
Sch2.ldf
dn: CN=GP-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: gPLink
adminDisplayName: GP-Link
adminDescription: GP-Link
attributeId: 1.2.840.113556.1.4.891
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vjsO8/Cf0RG2AwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=GP-Options,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: gPOptions
adminDisplayName: GP-Options
adminDescription: GP-Options
attributeId: 1.2.840.113556.1.4.892
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vzsO8/Cf0RG2AwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=GPC-File-Sys-Path,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: gPCFileSysPath
adminDisplayName: GPC-File-Sys-Path
adminDescription: GPC-File-Sys-Path
attributeId: 1.2.840.113556.1.4.894
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wTsO8/Cf0RG2AwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=GPC-Functionality-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: gPCFunctionalityVersion
adminDisplayName: GPC-Functionality-Version
adminDescription: GPC-Functionality-Version
attributeId: 1.2.840.113556.1.4.893
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wDsO8/Cf0RG2AwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Transport-Address-Attribute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: transportAddressAttribute
adminDisplayName: Transport-Address-Attribute
adminDescription: Transport-Address-Attribute
attributeId: 1.2.840.113556.1.4.895
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fIbcwWGi0RG2BgAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Group-Policy-Container,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: groupPolicyContainer
adminDisplayName: Group-Policy-Container
adminDescription: Group-Policy-Container
governsId: 1.2.840.113556.1.5.157
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.23
schemaIdGuid:: wjsO8/Cf0RG2AwAA+ANnwQ==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Group-Policy-
# To take care of change of OID for USN-Source
changetype: modify
dn: CN=USN-Source,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=USN-Source,CN=Schema,CN=Configuration,DC=X
changetype: add
lDAPDisplayName: uSNSource
adminDescription: USN-Source
adminDisplayName: USN-Source
attributeID: 1.2.840.113556.1.4.896
mAPIID: 33111
oMSyntax: 65
schemaIDGUID:: rVh3FvNH0RGpwwAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
hideFromAB: TRUE
changetype: modify
changetype: modify
dn: CN=Organizational-Unit,CN=Schema,CN=Configuration,DC=X
changetype: modify
systemMayContain: 2.5.4.6
changetype: modify
changetype: modify
changetype: modify
dn: CN=Domain-Policy,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Container,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Site,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Object-Category,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
systemFlags: 2
# Change of OID of FRS-Replica-Set-Type
# Delete by name, not by OID.
changetype: modify
systemMayContain: fRSReplicaSetType
changetype: delete
changetype: add
lDAPDisplayName: fRSReplicaSetType
attributeID: 1.2.840.113556.1.4.31
hideFromAB: TRUE
oMSyntax: 2
schemaIDGUID:: a3PZJnBg0RGpxgAA+ANnwQ==
searchFlags: 0
systemOnly: FALSE
changetype: modify
dn: CN=Builtin-Sync,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Policy-Name,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Policy-Link,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Policy-Options,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn: CN=Change-Pwd-Logon-Required,CN=Schema,CN=Configuration,DC=X
changetype: delete
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=DS-Replication-Get-Changes,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
appliesTo: bf967a8f-0de6-11d0-a285-00aa003049e2
displayName: Replicating Directory Changes
rightsGUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2
dn: CN=DS-Replication-Synchronize,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Replication Synchronization
rightsGUID: 1131f6ab-9c07-11d1-f79f-00c04fc2dcd2
dn: CN=DS-Replication-Manage-Topology,CN=Extended-
changetype: add
hideFromAB: TRUE
displayName: Manage Replication Topology
rightsGUID: 1131f6ac-9c07-11d1-f79f-00c04fc2dcd2
dn: CN=IntellimirrorGroup-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{C641CF88-892F-11d1-BBEB-0060081692B3}
classDisplayName: IntelliMirror-Group
shellPropertyPages: 1,{C641CF88-892F-11d1-BBEB-0060081692B3}
dn: CN=IntellimirrorSCP-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{AC409538-741C-11d1-BBE6-0060081692B3}
classDisplayName: IntelliMirror-Service
shellPropertyPages: 1,{AC409538-741C-11d1-BBE6-0060081692B3}
changetype: modify
adminPropertyPages: 10,{0F65B1BF-740F-11d1-BBE6-0060081692B3}
changetype: modify
add: transportAddressAttribute
transportAddressAttribute: dnsHostName
changetype: modify
add: transportAddressAttribute
transportAddressAttribute: mailAddress
changetype: modify
objectVersion: 2
Sch3.ldf
# Existing Extended-Rights Mod
dn: CN=User-Force-Change-Password,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
replace: displayName
displayName: Reset Password
add: appliesTo
# New Display-Specifier adds
dn: CN=server-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
adminContextMenu: 1,{08eb4fa6-6ffd-11d1-b0e0-00c04fd8dca6}
classDisplayName: Server
dn: CN=siteLink-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{50d30561-9911-11d1-b9af-00c04fd8d5b0}
classDisplayName: Site Link
dn: CN=siteLinkBridge-
changetype: add
hideFromAB: TRUE
classDisplayName: Site Link Bridge
dn: CN=interSiteTransport-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{6DFE6491-AC8D-11D0-B945-00C04FD8D5B0}
classDisplayName: Inter-Site Transport
dn: CN=licensingSiteSettings-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{717ef500-ac8d-11d0-b945-00c04fd8d5b0}
classDisplayName: Licensing Site Settings
dn: CN=nTDSSiteSettings-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{2f280288-bb6d-11d0-b948-00c04fd8d5b0}
classDisplayName: NTDS Site Settings
dn: CN=nTFRSMember-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
classDisplayName: NTFRS Member
dn: CN=nTFRSSubscriber-
changetype: add
hideFromAB: TRUE
adminPropertyPages: 1,{50d3055f-9911-11d1-b9af-00c04fd8d5b0}
classDisplayName: NTFRS Subscriber
dn: CN=nTFRSSubscriptions-
changetype: add
hideFromAB: TRUE
classDisplayName: NTFRS Subscriptions
dn: CN=rpcContainer-
changetype: add
hideFromAB: TRUE
classDisplayName: RPC Services
# Existing display-specifier mods
changetype: delete
changetype: modify
adminPropertyPages: 3,{6dfe648a-a212-11d0-bcd5-00c04fd8d5b6}
adminPropertyPages: 4,{B52C1E50-1DD2-11D1-BC43-00C04FC31FD3}
adminPropertyPages: 3,{B52C1E50-1DD2-11D1-BC43-00C04FC31FD3}
attributeDisplayNames: userWorkstations,Logon Workstations
changetype: modify
adminPropertyPages: 2,{6dfe648a-a212-11d0-bcd5-00c04fd8d5b6}
adminPropertyPages: 3,{6dfe648b-a212-11d0-bcd5-00c04fd8d5b6}
changetype: modify
changetype: modify
changetype: modify
dn: CN=localPolicy-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=site-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
dn: CN=nTDSSettings-
changetype: modify
dn: CN=nTDSDSA-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
dn: CN=nTDSConnection-
changetype: modify
changetype: modify
changetype: modify
dn: CN=subnet-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
# New Extended-Rights adds
dn: CN=Change-Schema-Master,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Change Schema Master

rightsGUID: e12b56b6-0a95-11d1-adbb-00c04fd8d5cd
dn: CN=Change-Rid-Master,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
appliesTo: 6617188d-8f3c-11d0-afda-00c04fd930c9
displayName: Change Rid Master
rightsGUID: d58d5f36-0a98-11d1-adbb-00c04fd8d5cd
dn: CN=Abandon-Replication,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Abandon Replication
rightsGUID: ee914b82-0a98-11d1-adbb-00c04fd8d5cd
dn: CN=Do-Garbage-Collection,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Do Garbage Collection
rightsGUID: fec364e0-0a98-11d1-adbb-00c04fd8d5cd
dn: CN=Recalculate-Hierarchy,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Recalculate Hierarchy
rightsGUID: 0bc1554e-0a99-11d1-adbb-00c04fd8d5cd
dn: CN=Allocate-Rids,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Allocate Rids
rightsGUID: 1abd7cf8-0a99-11d1-adbb-00c04fd8d5cd
dn: CN=Change-PDC,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Change PDC
rightsGUID: bae50096-4752-11d1-9052-00c04fc2d4cf
dn: CN=Add-GUID,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
displayName: Add GUID
rightsGUID: 440820ad-65b4-11d1-a3da-0000f875ae0d
dn: CN=Change-Domain-Master,CN=Extended-Rights,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
appliesTo: ef9e60e0-56f7-11d1-a9c6-0000f80367c1
displayName: Change Domain Master

rightsGUID: 014bf69c-7b3b-11d1-85f6-08002be74fab
# Bump up the schema version
changetype: modify
objectVersion: 3
Sch4.ldf
# Renames.
dn: CN=DXA-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modrdn
newrdn: Deleted-Item-Flags
deleteoldrdn: 1
dn: CN=Deleted-Item-Flags,CN=Schema,CN=Configuration,DC=X
changetype: modify
ldapDisplayName: deletedItemFlags
-
adminDisplayName: Deleted-Item-Flags
adminsDescription: Deleted-Item-Flags
dn: CN=DXA-Task,CN=Schema,CN=Configuration,DC=X
changetype: modrdn
newrdn: Message-Size-Limit
deleteoldrdn: 1
dn: CN=Message-Size-Limit,CN=Schema,CN=Configuration,DC=X
changetype: modify
ldapDisplayName: messageSizeLimit
-
adminDisplayName: Message-Size-Limit
adminsDescription: Message-Size-Limit
dn: CN=Assoc-NT-Account,CN=Schema,CN=Configuration,DC=X
changetype: modrdn
newrdn: Assoc-NT-Account-Unused
deleteoldrdn: 1
dn: CN=Assoc-NT-Account-Unused,CN=Schema,CN=Configuration,DC=X
changetype: modify
ldapDisplayName: assocNTAccountUnused
adminDisplayName: Assoc-NT-Account-Unused
adminsDescription: Assoc-NT-Account-Unused
changetype: add
ldapDisplayName: assocNTAccount
adminDisplayName: Assoc-NT-Account
adminDescription: Assoc-NT-Account
attributeId: 1.2.840.113556.1.4.1213
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
hideFromAB: TRUE
dn: CN=ANR,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aNR
adminDisplayName: ANR
adminDescription: ANR
attributeId: 1.2.840.113556.1.4.1208
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ABWwRRnE0RG7yQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ADMD
adminDisplayName: ADMD
adminDescription: ADMD
attributeId: 1.2.840.113556.1.2.232
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: kHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32841
hideFromAB: TRUE
changetype: add
ldapDisplayName: PRMD
adminDisplayName: PRMD
adminDescription: PRMD
attributeId: 1.2.840.113556.1.2.224
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: TXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33038
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReqSeq
adminDisplayName: Req-Seq
adminDescription: Req-Seq
attributeId: 1.2.840.113556.1.2.173
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33058
hideFromAB: TRUE
changetype: add
ldapDisplayName: RunsOn
adminDisplayName: Runs-On
adminDescription: Runs-On
attributeId: 1.2.840.113556.1.2.185
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: a3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33066
hideFromAB: TRUE
changetype: add
ldapDisplayName: Enabled
adminDisplayName: Enabled
adminDescription: Enabled
attributeId: 1.2.840.113556.1.2.557
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 8nPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35873
hideFromAB: TRUE
dn: CN=Telephone-Home-Fax,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: homeFax
adminDisplayName: Telephone-Home-Fax
adminDescription: Telephone-Home-Fax
attributeId: 1.2.840.113556.1.2.609
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: hXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 14885
hideFromAB: TRUE
changetype: add
ldapDisplayName: Encrypt
adminDisplayName: Encrypt
adminDescription: Encrypt
attributeId: 1.2.840.113556.1.2.236
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 32931
hideFromAB: TRUE
changetype: add
ldapDisplayName: FormData
adminDisplayName: Form-Data
adminDescription: Form-Data
attributeId: 1.2.840.113556.1.2.607
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35941
hideFromAB: TRUE
changetype: add
ldapDisplayName: INSAdmin
adminDisplayName: INSAdmin
adminDescription: INSAdmin
attributeId: 1.2.840.113556.1.2.543
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33221
hideFromAB: TRUE
changetype: add
ldapDisplayName: NAddress
adminDisplayName: N-Address
adminDescription: N-Address
attributeId: 1.2.840.113556.1.2.282
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 50
schemaIdGuid:: NHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33009
hideFromAB: TRUE
changetype: add
ldapDisplayName: SendTNEF
adminDisplayName: Send-TNEF
adminDescription: Send-TNEF
attributeId: 1.2.840.113556.1.2.492
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: b3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33169
hideFromAB: TRUE
changetype: add
ldapDisplayName: LineWrap
adminDisplayName: Line-Wrap
adminDescription: Line-Wrap
attributeId: 1.2.840.113556.1.2.449
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32964
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthOrig
adminDisplayName: Auth-Orig
adminDescription: Auth-Orig
attributeId: 1.2.840.113556.1.2.129
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
oMObjectClass:: VgYBAgULHQ==
schemaIdGuid:: l3PfqOrF0RG7ywCAx2ZwwA==
linkID: 110
hideFromAB: TRUE
dn: CN=MSMQ-QM-ID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQQMID
adminDisplayName: MSMQ-QM-ID
adminDescription: MSMQ-QM-ID
attributeId: 1.2.840.113556.1.4.951
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXATypes
adminDisplayName: DXA-Types
adminDescription: DXA-Types
attributeId: 1.2.840.113556.1.2.119
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 7XPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32928
hideFromAB: TRUE
dn: CN=MSMQ-Cost,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQCost
adminDisplayName: MSMQ-Cost
adminDescription: MSMQ-Cost
attributeId: 1.2.840.113556.1.4.946
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Site-1,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSite1
adminDisplayName: MSMQ-Site-1
adminDescription: MSMQ-Site-1
attributeId: 1.2.840.113556.1.4.943
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: N8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Site-2,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSite2
adminDisplayName: MSMQ-Site-2
adminDescription: MSMQ-Site-2
attributeId: 1.2.840.113556.1.4.944
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Label,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQLabel
adminDisplayName: MSMQ-Label
adminDescription: MSMQ-Label
attributeId: 1.2.840.113556.1.4.922
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: JcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundDN
adminDisplayName: Inbound-DN
adminDescription: Inbound-DN
attributeId: 1.2.840.113556.1.2.553
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35870
hideFromAB: TRUE
changetype: add
ldapDisplayName: ViewFlags
adminDisplayName: View-Flags
adminDescription: View-Flags
attributeId: 1.2.840.113556.1.2.546
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35864
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAImpSeq
adminDisplayName: DXA-Imp-Seq
adminDescription: DXA-Imp-Seq
attributeId: 1.2.840.113556.1.2.116
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
mapiID: 32899
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAReqSeq
adminDisplayName: DXA-Req-Seq
adminDescription: DXA-Req-Seq
attributeId: 1.2.840.113556.1.2.101
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: 5HPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32918
hideFromAB: TRUE
changetype: add
ldapDisplayName: secretary
adminDisplayName: Assistant-Name
adminDescription: Assistant-Name
attributeId: 1.2.840.113556.1.2.444
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: lHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 14896
hideFromAB: TRUE
changetype: add
ldapDisplayName: PSelector
adminDisplayName: P-Selector
adminDescription: P-Selector
attributeId: 1.2.840.113556.1.2.285
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: SHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33030
hideFromAB: TRUE
changetype: add
ldapDisplayName: RidServer
adminDisplayName: Rid-Server
adminDescription: Rid-Server
attributeId: 1.2.840.113556.1.2.346
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33060
hideFromAB: TRUE
changetype: add
ldapDisplayName: SSelector
adminDisplayName: S-Selector
adminDescription: S-Selector
attributeId: 1.2.840.113556.1.2.284
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: bHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33067
hideFromAB: TRUE
changetype: add
ldapDisplayName: TSelector
adminDisplayName: T-Selector
adminDescription: T-Selector
attributeId: 1.2.840.113556.1.2.283
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: gXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33088
hideFromAB: TRUE
changetype: add
ldapDisplayName: HTTPPubPF
adminDisplayName: HTTP-Pub-PF
adminDescription: HTTP-Pub-PF
attributeId: 1.2.840.113556.1.2.505
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: C3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33182
hideFromAB: TRUE
changetype: add
ldapDisplayName: OWAServer
adminDisplayName: OWA-Server
adminDescription: OWA-Server
attributeId: 1.2.840.113556.1.2.608
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 128
schemaIdGuid:: R3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35942
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXASvrSeq
adminDisplayName: DXA-Svr-Seq
adminDescription: DXA-Svr-Seq
attributeId: 1.2.840.113556.1.2.360
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
mapiID: 32922
hideFromAB: TRUE
dn: CN=From-Entry,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: fromEntry
adminDisplayName: From-Entry
adminDescription: From-Entry
attributeId: 1.2.840.113556.1.4.910
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Sdl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Sites,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSites
adminDisplayName: MSMQ-Sites
adminDescription: MSMQ-Sites
attributeId: 1.2.840.113556.1.4.927
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Quota,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQQuota
adminDisplayName: MSMQ-Quota
adminDescription: MSMQ-Quota
attributeId: 1.2.840.113556.1.4.919
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DomainName
adminDisplayName: Domain-Name
adminDescription: Domain-Name
attributeId: 1.2.840.113556.1.2.147
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 362
schemaIdGuid:: yHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32886
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAReqName
adminDisplayName: DXA-ReqName
adminDescription: DXA-ReqName
attributeId: 1.2.840.113556.1.2.446
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: 53PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32921
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAConfSeq
adminDisplayName: DXA-Conf-Seq
adminDescription: DXA-Conf-Seq
attributeId: 1.2.840.113556.1.2.184
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: znPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32894
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthOrigBL
adminDisplayName: Auth-Orig-BL
adminDescription: Auth-Orig-BL
attributeId: 1.2.840.113556.1.2.290
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mHPfqOrF0RG7ywCAx2ZwwA==
linkID: 111
mapiID: 32851
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: HTTPPubGAL
adminDisplayName: HTTP-Pub-GAL
adminDescription: HTTP-Pub-GAL
attributeId: 1.2.840.113556.1.2.502
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33179
hideFromAB: TRUE
dn: CN=MSMQ-Site-ID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSiteID
adminDisplayName: MSMQ-Site-ID
adminDescription: MSMQ-Site-ID
attributeId: 1.2.840.113556.1.4.953
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASAccount
adminDisplayName: RAS-Account
adminDescription: RAS-Account
attributeId: 1.2.840.113556.1.2.519
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33197
hideFromAB: TRUE
changetype: add
ldapDisplayName: RemoteSite
adminDisplayName: Remote-Site
adminDescription: Remote-Site
attributeId: 1.2.840.113556.1.2.27
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: W3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33053
hideFromAB: TRUE
changetype: add
ldapDisplayName: PortNumber
adminDisplayName: Port-Number
adminDescription: Port-Number
attributeId: 1.2.840.113556.1.2.527
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65535
schemaIdGuid:: SnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33205
hideFromAB: TRUE
changetype: add
ldapDisplayName: RequireSSL
adminDisplayName: Require-SSL
adminDescription: Require-SSL
attributeId: 1.2.840.113556.1.2.560
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35877
hideFromAB: TRUE
changetype: add
ldapDisplayName: TargetMTAs
adminDisplayName: Target-MTAs
adminDescription: Target-MTAs
attributeId: 1.2.840.113556.1.2.259
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 36
schemaIdGuid:: g3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33090
hideFromAB: TRUE
changetype: add
ldapDisplayName: TrustLevel
adminDisplayName: Trust-Level
adminDescription: Trust-Level
attributeId: 1.2.840.113556.1.2.70
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 100
schemaIdGuid:: knTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33103
hideFromAB: TRUE
changetype: add
ldapDisplayName: UnauthOrig
adminDisplayName: Unauth-Orig
adminDescription: Unauth-Orig
attributeId: 1.2.840.113556.1.2.221
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lXTfqOrF0RG7ywCAx2ZwwA==
linkID: 114
hideFromAB: TRUE
dn: CN=MSMQ-OS-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQOSType
adminDisplayName: MSMQ-OS-Type
adminDescription: MSMQ-OS-Type
attributeId: 1.2.840.113556.1.4.935
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanCreatePF
adminDisplayName: Can-Create-PF
adminDescription: Can-Create-PF
attributeId: 1.2.840.113556.1.2.11
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oXPfqOrF0RG7ywCAx2ZwwA==
linkID: 124
mapiID: 32856
hideFromAB: TRUE
changetype: add
ldapDisplayName: LogFilename
adminDisplayName: Log-Filename
adminDescription: Log-Filename
attributeId: 1.2.840.113556.1.2.192
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: HXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32970
hideFromAB: TRUE
dn: CN=Is-Ephemeral,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: isEphemeral
adminDisplayName: Is-Ephemeral
adminDescription: Is-Ephemeral
attributeId: 1.2.840.113556.1.4.1212
omSyntax: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 8FPE9PHF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundHost
adminDisplayName: Inbound-Host
adminDescription: Inbound-Host
attributeId: 1.2.840.113556.1.2.489
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: EXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33166
hideFromAB: TRUE
dn: CN=MSMQ-CSP-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQCSPName
adminDisplayName: MSMQ-CSP-Name
adminDescription: MSMQ-CSP-Name
attributeId: 1.2.840.113556.1.4.940
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPassword
adminDisplayName: DXA-Password
adminDescription: DXA-Password
attributeId: 1.2.840.113556.1.2.305
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 12
mapiID: 32908
hideFromAB: TRUE
dn: CN=MSMQ-Digests,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQDigests
adminDisplayName: MSMQ-Digests
adminDescription: MSMQ-Digests
attributeId: 1.2.840.113556.1.4.948
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: PMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Foreign,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQForeign
adminDisplayName: MSMQ-Foreign
adminDescription: MSMQ-Foreign
attributeId: 1.2.840.113556.1.4.934
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: L8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Owner-ID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQOwnerID
adminDisplayName: MSMQ-Owner-ID
adminDescription: MSMQ-Owner-ID
attributeId: 1.2.840.113556.1.4.925
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: KMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Sign-Key,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSignKey
adminDisplayName: MSMQ-Sign-Key
adminDescription: MSMQ-Sign-Key
attributeId: 1.2.840.113556.1.4.937
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Journal,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQJournal
adminDisplayName: MSMQ-Journal
adminDescription: MSMQ-Journal
attributeId: 1.2.840.113556.1.4.918
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ContentType
adminDisplayName: Content-Type
adminDescription: Content-Type
attributeId: 1.2.840.113556.1.2.481
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 4
schemaIdGuid:: uXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33158
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASPassword
adminDisplayName: RAS-Password
adminDescription: RAS-Password
attributeId: 1.2.840.113556.1.2.520
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: U3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33198
hideFromAB: TRUE
dn: CN=MSMQ-Version,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQVersion
adminDisplayName: MSMQ-Version
adminDescription: MSMQ-Version
attributeId: 1.2.840.113556.1.4.942
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPVersion,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPVersion
adminDisplayName: msNPVersion
adminDescription: msNPVersion
attributeId: 1.2.840.113556.1.4.1135
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: k5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RoutingList
adminDisplayName: Routing-List
adminDescription: Routing-List
attributeId: 1.2.840.113556.1.2.354
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 2243
schemaIdGuid:: Z3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33062
hideFromAB: TRUE
changetype: add
ldapDisplayName: HTTPServers
adminDisplayName: HTTP-Servers
adminDescription: HTTP-Servers
attributeId: 1.2.840.113556.1.2.517
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: DHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33195
hideFromAB: TRUE
changetype: add
ldapDisplayName: MTALocalCred
adminDisplayName: MTA-Local-Cred
adminDescription: MTA-Local-Cred
attributeId: 1.2.840.113556.1.2.270
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: MnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33007
hideFromAB: TRUE
changetype: add
ldapDisplayName: CharacterSet
adminDisplayName: Character-Set
adminDescription: Character-Set
attributeId: 1.2.840.113556.1.2.480
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: rXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33157
hideFromAB: TRUE
changetype: add
ldapDisplayName: DelegateUser
adminDisplayName: Delegate-User
adminDescription: Delegate-User
attributeId: 1.2.840.113556.1.2.591
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35913
hideFromAB: TRUE
changetype: add
ldapDisplayName: DLMemberRule
adminDisplayName: DL-Member-Rule
adminDescription: DL-Member-Rule
attributeId: 1.2.840.113556.1.2.330
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 4096
schemaIdGuid:: xnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32884
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAAdminCopy
adminDisplayName: DXA-Admin-Copy
adminDescription: DXA-Admin-Copy
attributeId: 1.2.840.113556.1.2.378
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32888
hideFromAB: TRUE
changetype: add
ldapDisplayName: DoOABVersion
adminDisplayName: Do-OAB-Version
adminDescription: Do-OAB-Version
attributeId: 1.2.840.113556.1.2.575
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: x3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 35898
hideFromAB: TRUE
dn: CN=MSMQ-Migrated,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQMigrated
adminDisplayName: MSMQ-Migrated
adminDescription: MSMQ-Migrated
attributeId: 1.2.840.113556.1.4.952
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: P8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ComputerName
adminDisplayName: Computer-Name
adminDescription: Computer-Name
attributeId: 1.2.840.113556.1.2.20
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: tHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32869
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitorClock
adminDisplayName: Monitor-Clock
adminDescription: Monitor-Clock
attributeId: 1.2.840.113556.1.2.163
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: I3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32982
hideFromAB: TRUE
changetype: add
ldapDisplayName: NAddressType
adminDisplayName: N-Address-Type
adminDescription: N-Address-Type
attributeId: 1.2.840.113556.1.2.222
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33010
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundSites
adminDisplayName: Inbound-Sites
adminDescription: Inbound-Sites
attributeId: 1.2.840.113556.1.2.71
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32956
hideFromAB: TRUE
dn: CN=msNPSequence,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPSequence
adminDisplayName: msNPSequence
adminDescription: msNPSequence
attributeId: 1.2.840.113556.1.4.1131
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: j5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPVendorID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPVendorID
adminDisplayName: msNPVendorID
adminDescription: msNPVendorID
attributeId: 1.2.840.113556.1.4.1134
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: NewsfeedType
adminDisplayName: Newsfeed-Type
adminDescription: Newsfeed-Type
attributeId: 1.2.840.113556.1.2.495
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: NnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33172
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAImpSeqUSN
adminDisplayName: DXA-Imp-Seq-USN
adminDescription: DXA-Imp-Seq-USN
attributeId: 1.2.840.113556.1.2.86
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
mapiID: 32901
hideFromAB: TRUE
changetype: add
ldapDisplayName: employeeType
adminDisplayName: Employee-Type
adminDescription: Employee-Type
attributeId: 1.2.840.113556.1.2.613
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
mapiID: 35945
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAReqSeqUSN
adminDisplayName: DXA-Req-Seq-USN
adminDescription: DXA-Req-Seq-USN
attributeId: 1.2.840.113556.1.2.182
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
mapiID: 32920
hideFromAB: TRUE
dn: CN=MSMQ-Services,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQServices
adminDisplayName: MSMQ-Services
adminDescription: MSMQ-Services
attributeId: 1.2.840.113556.1.4.950
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReferralList
adminDisplayName: Referral-List
adminDescription: Referral-List
attributeId: 1.2.840.113556.1.2.510
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: V3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33187
hideFromAB: TRUE
changetype: add
ldapDisplayName: roleOccupant
adminDisplayName: Role-Occupant
adminDescription: Role-Occupant
attributeId: 2.5.4.33
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33061
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAImportNow
adminDisplayName: DXA-Import-Now
adminDescription: DXA-Import-Now
attributeId: 1.2.840.113556.1.2.376
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 32902
hideFromAB: TRUE
changetype: add
ldapDisplayName: OutboundHost
adminDisplayName: Outbound-Host
adminDescription: Outbound-Host
attributeId: 1.2.840.113556.1.2.488
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: QnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33165
hideFromAB: TRUE
changetype: add
ldapDisplayName: SiteAffinity
adminDisplayName: Site-Affinity
adminDescription: Site-Affinity
attributeId: 1.2.840.113556.1.2.434
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33079
hideFromAB: TRUE
dn: CN=msAscendFRN391,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRN391
adminDisplayName: msAscendFRN391
adminDescription: msAscendFRN391
attributeId: 1.2.840.113556.1.4.1035
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAExportNow
adminDisplayName: DXA-Export-Now
adminDescription: DXA-Export-Now
attributeId: 1.2.840.113556.1.2.377
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 32897
hideFromAB: TRUE
changetype: add
ldapDisplayName: UnauthOrigBL
adminDisplayName: Unauth-Orig-BL
adminDescription: Unauth-Orig-BL
attributeId: 1.2.840.113556.1.2.292
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lnTfqOrF0RG7ywCAx2ZwwA==
linkID: 115
mapiID: 33106
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: DXASvrSeqUSN
adminDisplayName: DXA-Svr-Seq-USN
adminDescription: DXA-Svr-Seq-USN
attributeId: 1.2.840.113556.1.2.124
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
mapiID: 32924
hideFromAB: TRUE
dn: CN=msAscendFRT391,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRT391
adminDisplayName: msAscendFRT391
adminDescription: msAscendFRT391
attributeId: 1.2.840.113556.1.4.1038
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRT392,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRT392
adminDisplayName: msAscendFRT392
adminDescription: msAscendFRT392
attributeId: 1.2.840.113556.1.4.1039
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: USNIntersite
adminDisplayName: USN-Intersite
adminDescription: USN-Intersite
attributeId: 1.2.840.113556.1.2.469
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: mHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33146
hideFromAB: TRUE
changetype: add
ldapDisplayName: LDAPSearchCfg
adminDisplayName: LDAP-Search-Cfg
adminDescription: LDAP-Search-Cfg
attributeId: 1.2.840.113556.1.2.552
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: F3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35869
hideFromAB: TRUE
dn: CN=Canonical-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: canonicalName
adminDisplayName: Canonical-Name
adminDescription: Canonical-Name
attributeId: 1.2.840.113556.1.4.916
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Rdl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanCreatePFBL
adminDisplayName: Can-Create-PF-BL
adminDescription: Can-Create-PF-BL
attributeId: 1.2.840.113556.1.2.339
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: onPfqOrF0RG7ywCAx2ZwwA==
linkID: 125
mapiID: 32857
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: CanCreatePFDL
adminDisplayName: Can-Create-PF-DL
adminDescription: Can-Create-PF-DL
attributeId: 1.2.840.113556.1.2.62
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: o3PfqOrF0RG7ywCAx2ZwwA==
linkID: 126
mapiID: 32858
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXALocalAdmin
adminDisplayName: DXA-Local-Admin
adminDescription: DXA-Local-Admin
attributeId: 1.2.840.113556.1.2.113
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
mapiID: 32904
hideFromAB: TRUE
changetype: add
ldapDisplayName: MTALocalDesig
adminDisplayName: MTA-Local-Desig
adminDescription: MTA-Local-Desig
attributeId: 1.2.840.113556.1.2.271
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: M3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33008
hideFromAB: TRUE
dn: CN=Object-Classes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: objectClasses
adminDisplayName: Object-Classes
adminDescription: Object-Classes
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: S9l6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAImpSeqTime
adminDisplayName: DXA-Imp-Seq-Time
adminDescription: DXA-Imp-Seq-Time
attributeId: 1.2.840.113556.1.2.117
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
mapiID: 32900
hideFromAB: TRUE
dn: CN=msAscendGroup,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendGroup
adminDisplayName: msAscendGroup
adminDescription: msAscendGroup
attributeId: 1.2.840.113556.1.4.1042
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAReqSeqTime
adminDisplayName: DXA-Req-Seq-Time
adminDescription: DXA-Req-Seq-Time
attributeId: 1.2.840.113556.1.2.114
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
mapiID: 32919
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAConfSeqUSN
adminDisplayName: DXA-Conf-Seq-USN
adminDescription: DXA-Conf-Seq-USN
attributeId: 1.2.840.113556.1.2.45
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: z3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32895
hideFromAB: TRUE
dn: CN=MSMQ-Long-Lived,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQLongLived
adminDisplayName: MSMQ-Long-Lived
adminDescription: MSMQ-Long-Lived
attributeId: 1.2.840.113556.1.4.941
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Site-Gates,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSiteGates
adminDisplayName: MSMQ-Site-Gates
adminDescription: MSMQ-Site-Gates
attributeId: 1.2.840.113556.1.4.945
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPTimeOfDay,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPTimeOfDay
adminDisplayName: msNPTimeOfDay
adminDescription: msNPTimeOfDay
attributeId: 1.2.840.113556.1.4.1133
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSClass,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSClass
adminDisplayName: msRADIUSClass
adminDescription: msRADIUSClass
attributeId: 1.2.840.113556.1.4.1146
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXASvrSeqTime
adminDisplayName: DXA-Svr-Seq-Time
adminDescription: DXA-Svr-Seq-Time
attributeId: 1.2.840.113556.1.2.361
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
mapiID: 32923
hideFromAB: TRUE
dn: CN=MSMQ-Name-Style,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQNameStyle
adminDisplayName: MSMQ-Name-Style
adminDescription: MSMQ-Name-Style
attributeId: 1.2.840.113556.1.4.939
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: M8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: OutboundSites
adminDisplayName: Outbound-Sites
adminDescription: Outbound-Sites
attributeId: 1.2.840.113556.1.2.0
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33029
hideFromAB: TRUE
dn: CN=MSMQ-Queue-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQQueueType
adminDisplayName: MSMQ-Queue-Type
adminDescription: MSMQ-Queue-Type
attributeId: 1.2.840.113556.1.4.917
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: IMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: NewsgroupList
adminDisplayName: Newsgroup-List
adminDescription: Newsgroup-List
attributeId: 1.2.840.113556.1.2.497
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: N3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33174
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReportToOwner
adminDisplayName: Report-To-Owner
adminDescription: Report-To-Owner
attributeId: 1.2.840.113556.1.2.207
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: X3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33057
hideFromAB: TRUE
dn: CN=Telephone-Personal-Pager,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: personalPager
adminDisplayName: Telephone-Personal-Pager
adminDescription: Telephone-Personal-Pager
attributeId: 1.2.840.113556.1.2.612
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: h3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35944
hideFromAB: TRUE
changetype: add
ldapDisplayName: RTSWindowSize
adminDisplayName: RTS-Window-Size
adminDescription: RTS-Window-Size
attributeId: 1.2.840.113556.1.2.153
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 10
schemaIdGuid:: anTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33065
hideFromAB: TRUE
changetype: add
ldapDisplayName: UseSiteValues
adminDisplayName: Use-Site-Values
adminDescription: Use-Site-Values
attributeId: 1.2.840.113556.1.2.478
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: l3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33155
hideFromAB: TRUE
dn: CN=msAscendBridge,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBridge
adminDisplayName: msAscendBridge
adminDescription: msAscendBridge
attributeId: 1.2.840.113556.1.4.989
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: A5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRDLCI,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDLCI
adminDisplayName: msAscendFRDLCI
adminDescription: msAscendFRDLCI
attributeId: 1.2.840.113556.1.4.1030
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendBackup,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBackup
adminDisplayName: msAscendBackup
adminDescription: msAscendBackup
attributeId: 1.2.840.113556.1.4.985
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /48M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendForce56,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendForce56
adminDisplayName: msAscendForce56
adminDescription: msAscendForce56
attributeId: 1.2.840.113556.1.4.1023
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAAdminUpdate
adminDisplayName: DXA-Admin-Update
adminDescription: DXA-Admin-Update
attributeId: 1.2.840.113556.1.2.381
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ynPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32890
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanNotCreatePF
adminDisplayName: Can-Not-Create-PF
adminDescription: Can-Not-Create-PF
attributeId: 1.2.840.113556.1.2.63
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pXPfqOrF0RG7ywCAx2ZwwA==
linkID: 128
mapiID: 32860
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAAppendReqCN
adminDisplayName: DXA-Append-ReqCN
adminDescription: DXA-Append-ReqCN
attributeId: 1.2.840.113556.1.2.174
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: y3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32891
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXARecipientCP
adminDisplayName: DXA-Recipient-CP
adminDescription: DXA-Recipient-CP
attributeId: 1.2.840.113556.1.2.384
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 24
mapiID: 32916
hideFromAB: TRUE
changetype: add
ldapDisplayName: MDBUnreadLimit
adminDisplayName: MDB-Unread-Limit
adminDescription: MDB-Unread-Limit
attributeId: 1.2.840.113556.1.2.69
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32979
hideFromAB: TRUE
dn: CN=msAscendMetric,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMetric
adminDisplayName: msAscendMetric
adminDescription: msAscendMetric
attributeId: 1.2.840.113556.1.4.1065
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: T5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: OffLineABStyle
adminDisplayName: Off-Line-AB-Style
adminDescription: Off-Line-AB-Style
attributeId: 1.2.840.113556.1.2.390
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: P3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33019
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAConfReqTime
adminDisplayName: DXA-Conf-Req-Time
adminDescription: DXA-Conf-Req-Time
attributeId: 1.2.840.113556.1.2.122
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: zXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32893
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanPreserveDNs
adminDisplayName: Can-Preserve-DNs
adminDescription: Can-Preserve-DNs
attributeId: 1.2.840.113556.1.2.455
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32864
hideFromAB: TRUE
changetype: add
ldapDisplayName: employeeNumber
adminDisplayName: Employee-Number
adminDescription: Employee-Number
attributeId: 1.2.840.113556.1.2.610
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
mapiID: 35943
hideFromAB: TRUE
changetype: add
ldapDisplayName: ConnectionType
adminDisplayName: Connection-Type
adminDescription: Connection-Type
attributeId: 1.2.840.113556.1.2.525
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33203
hideFromAB: TRUE
dn: CN=msAscendFRType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRType
adminDisplayName: msAscendFRType
adminDescription: msAscendFRType
attributeId: 1.2.840.113556.1.4.1040
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPIPPoolName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPIPPoolName
adminDisplayName: msNPIPPoolName
adminDescription: msNPIPPoolName
attributeId: 1.2.840.113556.1.4.1128
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: jJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSAnyVSA,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSAnyVSA
adminDisplayName: msRADIUSAnyVSA
adminDescription: msRADIUSAnyVSA
attributeId: 1.2.840.113556.1.4.1137
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRASUseRADIUS,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASUseRADIUS
adminDisplayName: msRASUseRADIUS
adminDescription: msRASUseRADIUS
attributeId: 1.2.840.113556.1.4.1192
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthorizedUser
adminDisplayName: Authorized-User
adminDescription: Authorized-User
attributeId: 1.2.840.113556.1.2.276
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: nXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32854
hideFromAB: TRUE
dn: CN=msNPConstraint,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPConstraint
adminDisplayName: msNPConstraint
adminDescription: msNPConstraint
attributeId: 1.2.840.113556.1.4.1126
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: i5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Attribute-Types,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: attributeTypes
adminDisplayName: Attribute-Types
adminDescription: Attribute-Types
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: RNl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: LocalBridgeHead
adminDisplayName: Local-Bridge-Head
adminDescription: Local-Bridge-Head
attributeId: 1.2.840.113556.1.2.311
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: GnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32966
hideFromAB: TRUE
dn: CN=msRADIUSPrompt,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSPrompt
adminDisplayName: msRADIUSPrompt
adminDescription: msRADIUSPrompt
attributeId: 1.2.840.113556.1.4.1170
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: tZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Encrypt-Key,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQEncryptKey
adminDisplayName: MSMQ-Encrypt-Key
adminDescription: MSMQ-Encrypt-Key
attributeId: 1.2.840.113556.1.4.936
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: McMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASPhoneNumber
adminDisplayName: RAS-Phone-Number
adminDescription: RAS-Phone-Number
attributeId: 1.2.840.113556.1.2.314
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: VHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33046
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitorServers
adminDisplayName: Monitor-Servers
adminDescription: Monitor-Servers
attributeId: 1.2.840.113556.1.2.156
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32983
hideFromAB: TRUE
changetype: add
ldapDisplayName: SiteFolderGUID
adminDisplayName: Site-Folder-GUID
adminDescription: Site-Folder-GUID
attributeId: 1.2.840.113556.1.2.456
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: d3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33126
hideFromAB: TRUE
changetype: add
ldapDisplayName: SiteProxySpace
adminDisplayName: Site-Proxy-Space
adminDescription: Site-Proxy-Space
attributeId: 1.2.840.113556.1.2.385
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1123
schemaIdGuid:: eXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33080
hideFromAB: TRUE
changetype: add
ldapDisplayName: SMIMEAlgListNA
adminDisplayName: SMIME-Alg-List-NA
adminDescription: SMIME-Alg-List-NA
attributeId: 1.2.840.113556.1.2.568
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: enTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35891
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanCreatePFDLBL
adminDisplayName: Can-Create-PF-DL-BL
adminDescription: Can-Create-PF-DL-BL
attributeId: 1.2.840.113556.1.2.340
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pHPfqOrF0RG7ywCAx2ZwwA==
linkID: 127
mapiID: 32859
hideFromAB: TRUE
systemFlags: 1
dn: CN=Telephone-Personal-Mobile,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: personalMobile
adminDisplayName: Telephone-Personal-Mobile
adminDescription: Telephone-Personal-Mobile
attributeId: 1.2.840.113556.1.2.611
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: hnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 14877
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransRetryMins
adminDisplayName: Trans-Retry-Mins
adminDescription: Trans-Retry-Mins
attributeId: 1.2.840.113556.1.2.219
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: inTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33095
hideFromAB: TRUE
changetype: add
ldapDisplayName: ViewDefinition
adminDisplayName: View-Definition
adminDescription: View-Definition
attributeId: 1.2.840.113556.1.2.549
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 2048
schemaIdGuid:: mXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35867
hideFromAB: TRUE
dn: CN=msAscendDataSvc,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDataSvc
adminDisplayName: msAscendDataSvc
adminDescription: msAscendDataSvc
attributeId: 1.2.840.113556.1.4.1009
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: F5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXALoggingLevel
adminDisplayName: DXA-Logging-Level
adminDescription: DXA-Logging-Level
attributeId: 1.2.840.113556.1.2.382
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 1
mapiID: 32905
hideFromAB: TRUE
changetype: add
ldapDisplayName: OffLineABServer
adminDisplayName: Off-Line-AB-Server
adminDescription: Off-Line-AB-Server
attributeId: 1.2.840.113556.1.2.392
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33018
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundNewsfeed
adminDisplayName: Inbound-Newsfeed
adminDescription: Inbound-Newsfeed
attributeId: 1.2.840.113556.1.2.494
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33171
hideFromAB: TRUE
changetype: add
ldapDisplayName: MaximumObjectID
adminDisplayName: Maximum-Object-ID
adminDescription: Maximum-Object-ID
attributeId: 1.2.840.113556.1.2.458
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 22
schemaIdGuid:: HnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33129
hideFromAB: TRUE
changetype: add
ldapDisplayName: houseIdentifier
adminDisplayName: House-Identifier
adminDescription: House-Identifier
attributeId: 1.2.840.113556.1.2.596
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: B3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35924
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXARemoteClient
adminDisplayName: DXA-Remote-Client
adminDescription: DXA-Remote-Client
attributeId: 1.2.840.113556.1.2.112
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
mapiID: 32917
hideFromAB: TRUE
dn: CN=msAscendPPPVJ1172,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPPPVJ1172
adminDisplayName: msAscendPPPVJ1172
adminDescription: msAscendPPPVJ1172
attributeId: 1.2.840.113556.1.4.1080
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPAllowDialin,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPAllowDialin
adminDisplayName: msNPAllowDialin
adminDescription: msNPAllowDialin
attributeId: 1.2.840.113556.1.4.1119
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRouteIP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRouteIP
adminDisplayName: msAscendRouteIP
adminDescription: msAscendRouteIP
attributeId: 1.2.840.113556.1.4.1096
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: HTTPPubGALLimit
adminDisplayName: HTTP-Pub-GAL-Limit
adminDescription: HTTP-Pub-GAL-Limit
attributeId: 1.2.840.113556.1.2.503
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33180
hideFromAB: TRUE
changetype: add
ldapDisplayName: AnonymousAccess
adminDisplayName: Anonymous-Access
adminDescription: Anonymous-Access
attributeId: 1.2.840.113556.1.2.482
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: knPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33159
hideFromAB: TRUE
changetype: add
ldapDisplayName: ImportContainer
adminDisplayName: Import-Container
adminDescription: Import-Container
attributeId: 1.2.840.113556.1.2.110
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32954
hideFromAB: TRUE
dn: CN=Modify-Time-Stamp,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: modifyTimeStamp
adminDisplayName: Modify-Time-Stamp
adminDescription: Modify-Time-Stamp
omSyntax: 24
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Stl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRDCEN392,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDCEN392
adminDisplayName: msAscendFRDCEN392
adminDescription: msAscendFRDCEN392
attributeId: 1.2.840.113556.1.4.1025
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: J5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRDCEN393,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDCEN393
adminDisplayName: msAscendFRDCEN393
adminDescription: msAscendFRDCEN393
attributeId: 1.2.840.113556.1.4.1026
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=DIT-Content-Rules,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: dITContentRules
adminDisplayName: DIT-Content-Rules
adminDescription: DIT-Content-Rules
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Rtl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitorServices
adminDisplayName: Monitor-Services
adminDescription: Monitor-Services
attributeId: 1.2.840.113556.1.2.160
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32984
hideFromAB: TRUE
dn: CN=msAscendFRDTEN392,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDTEN392
adminDisplayName: msAscendFRDTEN392
adminDescription: msAscendFRDTEN392
attributeId: 1.2.840.113556.1.4.1031
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRDTEN393,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDTEN393
adminDisplayName: msAscendFRDTEN393
adminDescription: msAscendFRDTEN393
attributeId: 1.2.840.113556.1.4.1032
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Service-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQServiceType
adminDisplayName: MSMQ-Service-Type
adminDescription: MSMQ-Service-Type
attributeId: 1.2.840.113556.1.4.930
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ControlMsgRules
adminDisplayName: Control-Msg-Rules
adminDescription: Control-Msg-Rules
attributeId: 1.2.840.113556.1.2.485
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32767
schemaIdGuid:: u3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 33162
hideFromAB: TRUE
dn: CN=Short-Server-Name,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: shortServerName
adminDisplayName: Short-Server-Name
adminDescription: Short-Server-Name
attributeId: 1.2.840.113556.1.4.1209
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ARWwRRnE0RG7yQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: SupportingStack
adminDisplayName: Supporting-Stack
adminDescription: Supporting-Stack
attributeId: 1.2.840.113556.1.2.28
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gHTfqOrF0RG7ywCAx2ZwwA==
linkID: 132
mapiID: 33086
hideFromAB: TRUE
dn: CN=msAscendCallback,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallback
adminDisplayName: msAscendCallback
adminDescription: msAscendCallback
attributeId: 1.2.840.113556.1.4.992
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendCBCPMode,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCBCPMode
adminDisplayName: msAscendCBCPMode
adminDescription: msAscendCBCPMode
attributeId: 1.2.840.113556.1.4.1000
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RemoteBridgeHead
adminDisplayName: Remote-Bridge-Head
adminDescription: Remote-Bridge-Head
attributeId: 1.2.840.113556.1.2.191
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: WHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33050
hideFromAB: TRUE
dn: CN=msAscendDataRate,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDataRate
adminDisplayName: msAscendDataRate
adminDescription: msAscendDataRate
attributeId: 1.2.840.113556.1.4.1008
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: HideDLMembership
adminDisplayName: Hide-DL-Membership
adminDescription: Hide-DL-Membership
attributeId: 1.2.840.113556.1.2.297
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32952
hideFromAB: TRUE
changetype: add
ldapDisplayName: SendEMailMessage
adminDisplayName: Send-EMail-Message
adminDescription: Send-EMail-Message
attributeId: 1.2.840.113556.1.2.566
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35889
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundAcceptAll
adminDisplayName: Inbound-Accept-All
adminDescription: Inbound-Accept-All
attributeId: 1.2.840.113556.1.2.555
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: D3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35872
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanNotCreatePFBL
adminDisplayName: Can-Not-Create-PF-BL
adminDescription: Can-Not-Create-PF-BL
attributeId: 1.2.840.113556.1.2.341
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pnPfqOrF0RG7ywCAx2ZwwA==
linkID: 129
mapiID: 32861
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: CanNotCreatePFDL
adminDisplayName: Can-Not-Create-PF-DL
adminDescription: Can-Not-Create-PF-DL
attributeId: 1.2.840.113556.1.2.300
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: p3PfqOrF0RG7ywCAx2ZwwA==
linkID: 130
mapiID: 32862
hideFromAB: TRUE
changetype: add
ldapDisplayName: ConnectedDomains
adminDisplayName: Connected-Domains
adminDescription: Connected-Domains
attributeId: 1.2.840.113556.1.2.211
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1243
schemaIdGuid:: tXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32870
hideFromAB: TRUE
changetype: add
ldapDisplayName: GatewayLocalCred
adminDisplayName: Gateway-Local-Cred
adminDescription: Gateway-Local-Cred
attributeId: 1.2.840.113556.1.2.37
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: AXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32944
hideFromAB: TRUE
dn: CN=msAscendFRDirect,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDirect
adminDisplayName: msAscendFRDirect
adminDescription: msAscendFRDirect
attributeId: 1.2.840.113556.1.4.1027
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIPDirect,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPDirect
adminDisplayName: msAscendIPDirect
adminDescription: msAscendIPDirect
attributeId: 1.2.840.113556.1.4.1053
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Q5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ClockAlertRepair
adminDisplayName: Clock-Alert-Repair
adminDescription: Clock-Alert-Repair
attributeId: 1.2.840.113556.1.2.164
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32866
hideFromAB: TRUE
dn: CN=msAscendIPXAlias,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPXAlias
adminDisplayName: msAscendIPXAlias
adminDescription: msAscendIPXAlias
attributeId: 1.2.840.113556.1.4.1055
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ClockAlertOffset
adminDisplayName: Clock-Alert-Offset
adminDescription: Clock-Alert-Offset
attributeId: 1.2.840.113556.1.2.165
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32865
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAInTemplateMap
adminDisplayName: DXA-In-Template-Map
adminDescription: DXA-In-Template-Map
attributeId: 1.2.840.113556.1.2.363
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
mapiID: 32903
hideFromAB: TRUE
changetype: add
ldapDisplayName: DLMemRejectPerms
adminDisplayName: DL-Mem-Reject-Perms
adminDescription: DL-Mem-Reject-Perms
attributeId: 1.2.840.113556.1.2.47
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wnPfqOrF0RG7ywCAx2ZwwA==
linkID: 116
hideFromAB: TRUE
changetype: add
ldapDisplayName: CharacterSetList
adminDisplayName: Character-Set-List
adminDescription: Character-Set-List
attributeId: 1.2.840.113556.1.2.477
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: rnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33154
hideFromAB: TRUE
changetype: add
ldapDisplayName: ExpandDLsLocally
adminDisplayName: Expand-DLs-Locally
adminDescription: Expand-DLs-Locally
attributeId: 1.2.840.113556.1.2.201
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32932
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthorizedDomain
adminDisplayName: Authorized-Domain
adminDescription: Authorized-Domain
attributeId: 1.2.840.113556.1.2.202
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 15
schemaIdGuid:: mnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32852
hideFromAB: TRUE
changetype: add
ldapDisplayName: FoldersContainer
adminDisplayName: Folders-Container
adminDescription: Folders-Container
attributeId: 1.2.840.113556.1.2.235
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32942
hideFromAB: TRUE
dn: CN=msAscendCallType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallType
adminDisplayName: msAscendCallType
adminDescription: msAscendCallType
attributeId: 1.2.840.113556.1.4.997
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: C5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRLinkUp,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRLinkUp
adminDisplayName: msAscendFRLinkUp
adminDescription: msAscendFRLinkUp
attributeId: 1.2.840.113556.1.4.1034
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendHostInfo,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHostInfo
adminDisplayName: msAscendHostInfo
adminDescription: msAscendHostInfo
attributeId: 1.2.840.113556.1.4.1049
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: P5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: LocalInitialTurn
adminDisplayName: Local-Initial-Turn
adminDescription: Local-Initial-Turn
attributeId: 1.2.840.113556.1.2.39
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32968
hideFromAB: TRUE
changetype: add
ldapDisplayName: HomePublicServer
adminDisplayName: Home-Public-Server
adminDescription: Home-Public-Server
attributeId: 1.2.840.113556.1.2.441
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32831
hideFromAB: TRUE
dn: CN=msAscendMenuItem,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMenuItem
adminDisplayName: msAscendMenuItem
adminDescription: msAscendMenuItem
attributeId: 1.2.840.113556.1.4.1063
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRemoteFW,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRemoteFW
adminDisplayName: msAscendRemoteFW
adminDescription: msAscendRemoteFW
attributeId: 1.2.840.113556.1.4.1092
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: apAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EncryptAlgListNA
adminDisplayName: Encrypt-Alg-List-NA
adminDescription: Encrypt-Alg-List-NA
attributeId: 1.2.840.113556.1.2.130
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
mapiID: 32832
hideFromAB: TRUE
changetype: add
ldapDisplayName: IncomingPassword
adminDisplayName: Incoming-Password
adminDescription: Incoming-Password
attributeId: 1.2.840.113556.1.2.521
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33199
hideFromAB: TRUE
dn: CN=msAscendSendAuth,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSendAuth
adminDisplayName: msAscendSendAuth
adminDescription: msAscendSendAuth
attributeId: 1.2.840.113556.1.4.1101
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: c5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DLMemSubmitPerms
adminDisplayName: DL-Mem-Submit-Perms
adminDescription: DL-Mem-Submit-Perms
attributeId: 1.2.840.113556.1.2.144
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xHPfqOrF0RG7ywCAx2ZwwA==
linkID: 112
hideFromAB: TRUE
dn: CN=msAscendFT1Caller,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFT1Caller
adminDisplayName: msAscendFT1Caller
adminDescription: msAscendFT1Caller
attributeId: 1.2.840.113556.1.4.1041
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: N5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIPXRoute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPXRoute
adminDisplayName: msAscendIPXRoute
adminDescription: msAscendIPXRoute
attributeId: 1.2.840.113556.1.4.1058
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRouteIPX,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRouteIPX
adminDisplayName: msAscendRouteIPX
adminDescription: msAscendRouteIPX
attributeId: 1.2.840.113556.1.4.1097
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: b5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendXmitRate,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendXmitRate
adminDisplayName: msAscendXmitRate
adminDescription: msAscendXmitRate
attributeId: 1.2.840.113556.1.4.1118
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Authenticate,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQAuthenticate
adminDisplayName: MSMQ-Authenticate
adminDescription: MSMQ-Authenticate
attributeId: 1.2.840.113556.1.4.923
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFilterId,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFilterId
adminDisplayName: msRADIUSFilterId
adminDescription: msRADIUSFilterId
attributeId: 1.2.840.113556.1.4.1148
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: n5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AnonymousAccount
adminDisplayName: Anonymous-Account
adminDescription: Anonymous-Account
attributeId: 1.2.840.113556.1.2.561
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: k3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 35878
hideFromAB: TRUE
changetype: add
ldapDisplayName: ExportContainers
adminDisplayName: Export-Containers
adminDescription: Export-Containers
attributeId: 1.2.840.113556.1.2.111
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /HPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32933
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoredServers
adminDisplayName: Monitored-Servers
adminDescription: Monitored-Servers
attributeId: 1.2.840.113556.1.2.179
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32986
hideFromAB: TRUE
dn: CN=MSMQ-Base-Priority,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQBasePriority
adminDisplayName: MSMQ-Base-Priority
adminDescription: MSMQ-Base-Priority
attributeId: 1.2.840.113556.1.4.920
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: I8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: NumOfOpenRetries
adminDisplayName: Num-Of-Open-Retries
adminDescription: Num-Of-Open-Retries
attributeId: 1.2.840.113556.1.2.148
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: OnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33012
hideFromAB: TRUE
changetype: add
ldapDisplayName: OutboundNewsfeed
adminDisplayName: Outbound-Newsfeed
adminDescription: Outbound-Newsfeed
attributeId: 1.2.840.113556.1.2.496
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33173
hideFromAB: TRUE
dn: CN=MSMQ-Journal-Quota,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQJournalQuota
adminDisplayName: MSMQ-Journal-Quota
adminDescription: MSMQ-Journal-Quota
attributeId: 1.2.840.113556.1.4.921
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: PSelectorInbound
adminDisplayName: P-Selector-Inbound
adminDescription: P-Selector-Inbound
attributeId: 1.2.840.113556.1.2.52
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: SXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33031
hideFromAB: TRUE
dn: CN=MSMQ-Computer-Type,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQComputerType
adminDisplayName: MSMQ-Computer-Type
adminDescription: MSMQ-Computer-Type
attributeId: 1.2.840.113556.1.4.933
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: OutboundHostType
adminDisplayName: Outbound-Host-Type
adminDescription: Outbound-Host-Type
attributeId: 1.2.840.113556.1.2.522
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Q3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33200
hideFromAB: TRUE
changetype: add
ldapDisplayName: SSelectorInbound
adminDisplayName: S-Selector-Inbound
adminDescription: S-Selector-Inbound
attributeId: 1.2.840.113556.1.2.46
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 16
schemaIdGuid:: bXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33068
hideFromAB: TRUE
changetype: add
ldapDisplayName: OffLineABSchedule
adminDisplayName: Off-Line-AB-Schedule
adminDescription: Off-Line-AB-Schedule
attributeId: 1.2.840.113556.1.2.389
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 84
rangeUpper: 84
schemaIdGuid:: PXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33017
hideFromAB: TRUE
dn: CN=msAscendCBCPDelay,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCBCPDelay
adminDisplayName: msAscendCBCPDelay
adminDescription: msAscendCBCPDelay
attributeId: 1.2.840.113556.1.4.998
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASCallbackNumber
adminDisplayName: RAS-Callback-Number
adminDescription: RAS-Callback-Number
attributeId: 1.2.840.113556.1.2.315
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 48
schemaIdGuid:: UnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33045
hideFromAB: TRUE
changetype: add
ldapDisplayName: SiteFolderServer
adminDisplayName: Site-Folder-Server
adminDescription: Site-Folder-Server
attributeId: 1.2.840.113556.1.2.457
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33127
hideFromAB: TRUE
changetype: add
ldapDisplayName: TSelectorInbound
adminDisplayName: T-Selector-Inbound
adminDescription: T-Selector-Inbound
attributeId: 1.2.840.113556.1.2.5
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: gnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33089
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransTimeoutMins
adminDisplayName: Trans-Timeout-Mins
adminDescription: Trans-Timeout-Mins
attributeId: 1.2.840.113556.1.2.220
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: i3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33096
hideFromAB: TRUE
changetype: add
ldapDisplayName: BridgeheadServers
adminDisplayName: Bridgehead-Servers
adminDescription: Bridgehead-Servers
attributeId: 1.2.840.113556.1.2.463
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33140
hideFromAB: TRUE
changetype: add
ldapDisplayName: GatewayLocalDesig
adminDisplayName: Gateway-Local-Desig
adminDescription: Gateway-Local-Desig
attributeId: 1.2.840.113556.1.2.29
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: AnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32945
hideFromAB: TRUE
dn: CN=msAscendHandleIPX,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHandleIPX
adminDisplayName: msAscendHandleIPX
adminDescription: msAscendHandleIPX
attributeId: 1.2.840.113556.1.4.1043
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIdleLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIdleLimit
adminDisplayName: msAscendIdleLimit
adminDescription: msAscendIdleLimit
attributeId: 1.2.840.113556.1.4.1050
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIFNetmask,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIFNetmask
adminDisplayName: msAscendIFNetmask
adminDescription: msAscendIFNetmask
attributeId: 1.2.840.113556.1.4.1051
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Extended-Class-Info,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: extendedClassInfo
adminDisplayName: Extended-Class-Info
adminDescription: Extended-Class-Info
attributeId: 1.2.840.113556.1.4.908
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: SNl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendDHCPReply,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDHCPReply
adminDisplayName: msAscendDHCPReply
adminDescription: msAscendDHCPReply
attributeId: 1.2.840.113556.1.4.1014
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRLinkMgt,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRLinkMgt
adminDisplayName: msAscendFRLinkMgt
adminDescription: msAscendFRLinkMgt
attributeId: 1.2.840.113556.1.4.1033
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: L5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AdminExtensionDLL
adminDisplayName: Admin-Extension-DLL
adminDescription: Admin-Extension-DLL
attributeId: 1.2.840.113556.1.2.95
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 255
schemaIdGuid:: kXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32844
hideFromAB: TRUE
dn: CN=msAscendFirstDest,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFirstDest
adminDisplayName: msAscendFirstDest
adminDescription: msAscendFirstDest
attributeId: 1.2.840.113556.1.4.1022
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ListPublicFolders
adminDisplayName: List-Public-Folders
adminDescription: List-Public-Folders
attributeId: 1.2.840.113556.1.2.592
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35920
hideFromAB: TRUE
changetype: add
ldapDisplayName: DisplayNameSuffix
adminDisplayName: Display-Name-Suffix
adminDescription: Display-Name-Suffix
attributeId: 1.2.840.113556.1.2.586
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: wXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35908
hideFromAB: TRUE
dn: CN=msRADIUSEapTypeID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSEapTypeID
adminDisplayName: msRADIUSEapTypeID
adminDescription: msRADIUSEapTypeID
attributeId: 1.2.840.113556.1.4.1210
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 4I3dYZnF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Allowed-Attributes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: allowedAttributes
adminDisplayName: Allowed-Attributes
adminDescription: Allowed-Attributes
attributeId: 1.2.840.113556.1.4.913
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: QNl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: CertificateChainV3
adminDisplayName: Certificate-Chain-V3
adminDescription: Certificate-Chain-V3
attributeId: 1.2.840.113556.1.2.562
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35879
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAOutTemplateMap
adminDisplayName: DXA-Out-Template-Map
adminDescription: DXA-Out-Template-Map
attributeId: 1.2.840.113556.1.2.364
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
mapiID: 32907
hideFromAB: TRUE
dn: CN=msAscendEventType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendEventType
adminDisplayName: msAscendEventType
adminDescription: msAscendEventType
attributeId: 1.2.840.113556.1.4.1019
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Transactional,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQTransactional
adminDisplayName: MSMQ-Transactional
adminDescription: MSMQ-Transactional
attributeId: 1.2.840.113556.1.4.926
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedMTU,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedMTU
adminDisplayName: msRADIUSFramedMTU
adminDescription: msRADIUSFramedMTU
attributeId: 1.2.840.113556.1.4.1156
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: p5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Possible-Inferiors,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: possibleInferiors
adminDisplayName: Possible-Inferiors
adminDescription: Possible-Inferiors
attributeId: 1.2.840.113556.1.4.915
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: TNl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Privacy-Levell,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQPrivacyLevell
adminDisplayName: MSMQ-Privacy-Levell
adminDescription: MSMQ-Privacy-Levell
attributeId: 1.2.840.113556.1.4.924
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: J8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASRemoteSRVRName
adminDisplayName: RAS-Remote-SRVR-Name
adminDescription: RAS-Remote-SRVR-Name
attributeId: 1.2.840.113556.1.2.78
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 15
schemaIdGuid:: VnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33048
hideFromAB: TRUE
changetype: add
ldapDisplayName: ProxyGeneratorDLL
adminDisplayName: Proxy-Generator-DLL
adminDescription: Proxy-Generator-DLL
attributeId: 1.2.840.113556.1.2.328
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 255
schemaIdGuid:: TnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33039
hideFromAB: TRUE
changetype: add
ldapDisplayName: RemoteOutBHServer
adminDisplayName: Remote-Out-BH-Server
adminDescription: Remote-Out-BH-Server
attributeId: 1.2.840.113556.1.2.310
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33052
hideFromAB: TRUE
changetype: add
ldapDisplayName: RTSCheckpointSize
adminDisplayName: RTS-Checkpoint-Size
adminDescription: RTS-Checkpoint-Size
attributeId: 1.2.840.113556.1.2.152
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 100
schemaIdGuid:: aHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33063
hideFromAB: TRUE
dn: CN=msAscendBACPEnable,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBACPEnable
adminDisplayName: msAscendBACPEnable
adminDescription: msAscendBACPEnable
attributeId: 1.2.840.113556.1.4.986
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendCBCPEnable,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCBCPEnable
adminDisplayName: msAscendCBCPEnable
adminDescription: msAscendCBCPEnable
attributeId: 1.2.840.113556.1.4.999
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSPortLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSPortLimit
adminDisplayName: msRADIUSPortLimit
adminDescription: msRADIUSPortLimit
attributeId: 1.2.840.113556.1.4.1169
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: tJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: OpenRetryInterval
adminDisplayName: Open-Retry-Interval
adminDescription: Open-Retry-Interval
attributeId: 1.2.840.113556.1.2.143
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33024
hideFromAB: TRUE
changetype: add
ldapDisplayName: NNTPDistributions
adminDisplayName: NNTP-Distributions
adminDescription: NNTP-Distributions
attributeId: 1.2.840.113556.1.2.498
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 4096
schemaIdGuid:: OHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33175
hideFromAB: TRUE
changetype: add
ldapDisplayName: SMIMEAlgListOther
adminDisplayName: SMIME-Alg-List-Other
adminDescription: SMIME-Alg-List-Other
attributeId: 1.2.840.113556.1.2.569
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: e3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35892
hideFromAB: TRUE
dn: CN=SubSchemaSubEntry,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: subSchemaSubEntry
adminDisplayName: SubSchemaSubEntry
adminDescription: SubSchemaSubEntry
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Tdl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=Well-Known-Objects,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: wellKnownObjects
adminDisplayName: Well-Known-Objects
adminDescription: Well-Known-Objects
attributeId: 1.2.840.113556.1.4.618
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: g4kwBYh20RGt7QDAT9jVzQ==
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25LeasedLinePort
adminDisplayName: X25-Leased-Line-Port
adminDescription: X25-Leased-Line-Port
attributeId: 1.2.840.113556.1.2.321
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 3
schemaIdGuid:: n3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33117
hideFromAB: TRUE
dn: CN=msAscendCallByCall,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallByCall
adminDisplayName: msAscendCallByCall
adminDescription: msAscendCallByCall
attributeId: 1.2.840.113556.1.4.995
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSCallbackId,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSCallbackId
adminDisplayName: msRADIUSCallbackId
adminDescription: msRADIUSCallbackId
attributeId: 1.2.840.113556.1.4.1144
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: m5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25RemoteMTAPhone
adminDisplayName: X25-Remote-MTA-Phone
adminDescription: X25-Remote-MTA-Phone
attributeId: 1.2.840.113556.1.2.373
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 55
schemaIdGuid:: oXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33119
hideFromAB: TRUE
changetype: add
ldapDisplayName: MDBBackoffInterval
adminDisplayName: MDB-Backoff-Interval
adminDescription: MDB-Backoff-Interval
attributeId: 1.2.840.113556.1.2.72
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: H3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32975
hideFromAB: TRUE
changetype: add
ldapDisplayName: X400AttachmentType
adminDisplayName: X400-Attachment-Type
adminDescription: X400-Attachment-Type
attributeId: 1.2.840.113556.1.2.99
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: onTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33120
hideFromAB: TRUE
changetype: add
ldapDisplayName: ImportSensitivity
adminDisplayName: Import-Sensitivity
adminDescription: Import-Sensitivity
attributeId: 1.2.840.113556.1.2.383
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32955
hideFromAB: TRUE
dn: CN=msAscendAddSeconds,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAddSeconds
adminDisplayName: msAscendAddSeconds
adminDescription: msAscendAddSeconds
attributeId: 1.2.840.113556.1.4.978
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +I8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: SMIMEAlgSelectedNA
adminDisplayName: SMIME-Alg-Selected-NA
adminDescription: SMIME-Alg-Selected-NA
attributeId: 1.2.840.113556.1.2.570
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: fHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35893
hideFromAB: TRUE
changetype: add
ldapDisplayName: X400SelectorSyntax
adminDisplayName: X400-Selector-Syntax
adminDescription: X400-Selector-Syntax
attributeId: 1.2.840.113556.1.2.443
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 1
schemaIdGuid:: o3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33121
hideFromAB: TRUE
changetype: add
ldapDisplayName: CanNotCreatePFDLBL
adminDisplayName: Can-Not-Create-PF-DL-BL
adminDescription: Can-Not-Create-PF-DL-BL
attributeId: 1.2.840.113556.1.2.342
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qHPfqOrF0RG7ywCAx2ZwwA==
linkID: 131
mapiID: 32863
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: XMITTimeoutNormal
adminDisplayName: XMIT-Timeout-Normal
adminDescription: XMIT-Timeout-Normal
attributeId: 1.2.840.113556.1.2.67
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: pXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33124
hideFromAB: TRUE
changetype: add
ldapDisplayName: EnabledProtocolCfg
adminDisplayName: Enabled-Protocol-Cfg
adminDescription: Enabled-Protocol-Cfg
attributeId: 1.2.840.113556.1.2.515
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 33192
hideFromAB: TRUE
dn: CN=msAscendDataFilter,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDataFilter
adminDisplayName: msAscendDataFilter
adminDescription: msAscendDataFilter
attributeId: 1.2.840.113556.1.4.1007
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendCallFilter,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallFilter
adminDisplayName: msAscendCallFilter
adminDescription: msAscendCallFilter
attributeId: 1.2.840.113556.1.4.996
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendDialNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDialNumber
adminDisplayName: msAscendDialNumber
adminDescription: msAscendDialNumber
attributeId: 1.2.840.113556.1.4.1015
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: XMITTimeoutUrgent
adminDisplayName: XMIT-Timeout-Urgent
adminDescription: XMIT-Timeout-Urgent
attributeId: 1.2.840.113556.1.2.53
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: pnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33125
hideFromAB: TRUE
dn: CN=msAscendRemoteAddr,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRemoteAddr
adminDisplayName: msAscendRemoteAddr
adminDescription: msAscendRemoteAddr
attributeId: 1.2.840.113556.1.4.1091
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: aZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendTSIdleMode,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendTSIdleMode
adminDisplayName: msAscendTSIdleMode
adminDescription: msAscendTSIdleMode
attributeId: 1.2.840.113556.1.4.1110
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DLMemRejectPermsBL
adminDisplayName: DL-Mem-Reject-Perms-BL
adminDescription: DL-Mem-Reject-Perms-BL
attributeId: 1.2.840.113556.1.2.293
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: w3PfqOrF0RG7ywCAx2ZwwA==
linkID: 117
mapiID: 32882
hideFromAB: TRUE
systemFlags: 1
dn: CN=msAscendDBAMonitor,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDBAMonitor
adminDisplayName: msAscendDBAMonitor
adminDescription: msAscendDBAMonitor
attributeId: 1.2.840.113556.1.4.1010
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ClockWarningRepair
adminDisplayName: Clock-Warning-Repair
adminDescription: Clock-Warning-Repair
attributeId: 1.2.840.113556.1.2.166
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: s3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32868
hideFromAB: TRUE
dn: CN=msAscendPPPAddress,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPPPAddress
adminDisplayName: msAscendPPPAddress
adminDescription: msAscendPPPAddress
attributeId: 1.2.840.113556.1.4.1078
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendSendSecret,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSendSecret
adminDisplayName: msAscendSendSecret
adminDescription: msAscendSendSecret
attributeId: 1.2.840.113556.1.4.1103
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSEapKeyFlag,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSEapKeyFlag
adminDisplayName: msRADIUSEapKeyFlag
adminDescription: msRADIUSEapKeyFlag
attributeId: 1.2.840.113556.1.4.1211
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 4Y3dYZnF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ClockWarningOffset
adminDisplayName: Clock-Warning-Offset
adminDescription: Clock-Warning-Offset
attributeId: 1.2.840.113556.1.2.177
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: snPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32867
hideFromAB: TRUE
dn: CN=msAscendSendPasswd,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSendPasswd
adminDisplayName: msAscendSendPasswd
adminDescription: msAscendSendPasswd
attributeId: 1.2.840.113556.1.4.1102
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAExchangeOptions
adminDisplayName: DXA-Exchange-Options
adminDescription: DXA-Exchange-Options
attributeId: 1.2.840.113556.1.2.359
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 3
mapiID: 32896
hideFromAB: TRUE
changetype: add
ldapDisplayName: ControlMsgFolderID
adminDisplayName: Control-Msg-Folder-ID
adminDescription: Control-Msg-Folder-ID
attributeId: 1.2.840.113556.1.2.483
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: unPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33160
hideFromAB: TRUE
dn: CN=msAscendTargetUtil,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendTargetUtil
adminDisplayName: msAscendTargetUtil
adminDescription: msAscendTargetUtil
attributeId: 1.2.840.113556.1.4.1106
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReplicationStagger
adminDisplayName: Replication-Stagger
adminDescription: Replication-Stagger
attributeId: 1.2.840.113556.1.2.349
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33055
hideFromAB: TRUE
dn: CN=msRADIUSVendorName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSVendorName
adminDisplayName: msRADIUSVendorName
adminDescription: msRADIUSVendorName
attributeId: 1.2.840.113556.1.4.1182
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DLMemSubmitPermsBL
adminDisplayName: DL-Mem-Submit-Perms-BL
adminDescription: DL-Mem-Submit-Perms-BL
attributeId: 1.2.840.113556.1.2.291
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xXPfqOrF0RG7ywCAx2ZwwA==
linkID: 113
mapiID: 32883
hideFromAB: TRUE
systemFlags: 1
changetype: add
ldapDisplayName: ServiceActionFirst
adminDisplayName: Service-Action-First
adminDescription: Service-Action-First
attributeId: 1.2.840.113556.1.2.161
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: cHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33073
hideFromAB: TRUE
dn: CN=msNPAllowedEapType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPAllowedEapType
adminDisplayName: msNPAllowedEapType
adminDescription: msNPAllowedEapType
attributeId: 1.2.840.113556.1.4.1120
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ServiceActionOther
adminDisplayName: Service-Action-Other
adminDescription: Service-Action-Other
attributeId: 1.2.840.113556.1.2.59
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: cXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33074
hideFromAB: TRUE
dn: CN=Telephone-Assistant,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: TelephoneAssistant
adminDisplayName: Telephone-Assistant
adminDescription: Telephone-Assistant
attributeId: 1.2.840.113556.1.2.79
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: hHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 14894
hideFromAB: TRUE
changetype: add
ldapDisplayName: TempAssocThreshold
adminDisplayName: Temp-Assoc-Threshold
adminDescription: Temp-Assoc-Threshold
attributeId: 1.2.840.113556.1.2.329
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32767
schemaIdGuid:: iHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33092
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXATemplateOptions
adminDisplayName: DXA-Template-Options
adminDescription: DXA-Template-Options
attributeId: 1.2.840.113556.1.2.358
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 3
mapiID: 32926
hideFromAB: TRUE
changetype: add
ldapDisplayName: GatewayRoutingTree
adminDisplayName: Gateway-Routing-Tree
adminDescription: Gateway-Routing-Tree
attributeId: 1.2.840.113556.1.2.167
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: A3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32947
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25LeasedorSwitched
adminDisplayName: X25-Leased-or-Switched
adminDescription: X25-Leased-or-Switched
attributeId: 1.2.840.113556.1.2.372
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33118
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthorizedPassword
adminDisplayName: Authorized-Password
adminDescription: Authorized-Password
attributeId: 1.2.840.113556.1.2.193
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: m3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 32853
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReturnExactMsgSize
adminDisplayName: Return-Exact-Msg-Size
adminDescription: Return-Exact-Msg-Size
attributeId: 1.2.840.113556.1.2.594
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Y3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35922
hideFromAB: TRUE
changetype: add
ldapDisplayName: ClientAccessEnabled
adminDisplayName: Client-Access-Enabled
adminDescription: Client-Access-Enabled
attributeId: 1.2.840.113556.1.2.559
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: r3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 35876
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReportToOriginator
adminDisplayName: Report-To-Originator
adminDescription: Report-To-Originator
attributeId: 1.2.840.113556.1.2.206
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33056
hideFromAB: TRUE
dn: CN=msRADIUSTunnelType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelType
adminDisplayName: msRADIUSTunnelType
adminDescription: msRADIUSTunnelType
attributeId: 1.2.840.113556.1.4.1181
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RTSRecoveryTimeout
adminDisplayName: RTS-Recovery-Timeout
adminDescription: RTS-Recovery-Timeout
attributeId: 1.2.840.113556.1.2.151
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: aXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33064
hideFromAB: TRUE
dn: CN=Allowed-Child-Classes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: allowedChildClasses
adminDisplayName: Allowed-Child-Classes
adminDescription: Allowed-Child-Classes
attributeId: 1.2.840.113556.1.4.911
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Qtl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRNailedGrp,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRNailedGrp
adminDisplayName: msAscendFRNailedGrp
adminDescription: msAscendFRNailedGrp
attributeId: 1.2.840.113556.1.4.1036
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendAuthenAlias,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAuthenAlias
adminDisplayName: msAscendAuthenAlias
adminDescription: msAscendAuthenAlias
attributeId: 1.2.840.113556.1.4.984
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /o8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIPXNodeAddr,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPXNodeAddr
adminDisplayName: msAscendIPXNodeAddr
adminDescription: msAscendIPXNodeAddr
attributeId: 1.2.840.113556.1.4.1056
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EnableCompatibility
adminDisplayName: Enable-Compatibility
adminDescription: Enable-Compatibility
attributeId: 1.2.840.113556.1.2.567
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 35890
hideFromAB: TRUE
changetype: add
ldapDisplayName: AssociationLifetime
adminDisplayName: Association-Lifetime
adminDescription: Association-Lifetime
attributeId: 1.2.840.113556.1.2.149
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: lnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32850
hideFromAB: TRUE
changetype: add
ldapDisplayName: OffLineABContainers
adminDisplayName: Off-Line-AB-Containers
adminDescription: Off-Line-AB-Containers
attributeId: 1.2.840.113556.1.2.391
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33016
hideFromAB: TRUE
changetype: add
ldapDisplayName: CrossCertificateCRL
adminDisplayName: Cross-Certificate-CRL
adminDescription: Cross-Certificate-CRL
attributeId: 1.2.840.113556.1.2.565
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35888
hideFromAB: TRUE
dn: CN=msAscendIPXPeerMode,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPXPeerMode
adminDisplayName: msAscendIPXPeerMode
adminDescription: msAscendIPXPeerMode
attributeId: 1.2.840.113556.1.4.1057
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: R5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendTSIdleLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendTSIdleLimit
adminDisplayName: msAscendTSIdleLimit
adminDescription: msAscendTSIdleLimit
attributeId: 1.2.840.113556.1.4.1109
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: e5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMultilinkID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMultilinkID
adminDisplayName: msAscendMultilinkID
adminDescription: msAscendMultilinkID
attributeId: 1.2.840.113556.1.4.1074
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendUserAcctKey,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctKey
adminDisplayName: msAscendUserAcctKey
adminDescription: msAscendUserAcctKey
attributeId: 1.2.840.113556.1.4.1114
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPCalledStationID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPCalledStationID
adminDisplayName: msNPCalledStationID
adminDescription: msNPCalledStationID
attributeId: 1.2.840.113556.1.4.1123
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EncapsulationMethod
adminDisplayName: Encapsulation-Method
adminDescription: Encapsulation-Method
attributeId: 1.2.840.113556.1.2.448
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
mapiID: 32930
hideFromAB: TRUE
dn: CN=msAscendPPPAsyncMap,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPPPAsyncMap
adminDisplayName: msAscendPPPAsyncMap
adminDescription: msAscendPPPAsyncMap
attributeId: 1.2.840.113556.1.4.1079
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMaximumTime,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMaximumTime
adminDisplayName: msAscendMaximumTime
adminDescription: msAscendMaximumTime
attributeId: 1.2.840.113556.1.4.1062
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRequireAuth,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRequireAuth
adminDisplayName: msAscendRequireAuth
adminDescription: msAscendRequireAuth
attributeId: 1.2.840.113556.1.4.1094
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendModemSlotNo,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendModemSlotNo
adminDisplayName: msAscendModemSlotNo
adminDescription: msAscendModemSlotNo
attributeId: 1.2.840.113556.1.4.1069
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: U5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ResponsibleLocalDXA
adminDisplayName: Responsible-Local-DXA
adminDescription: Responsible-Local-DXA
attributeId: 1.2.840.113556.1.2.298
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YnTfqOrF0RG7ywCAx2ZwwA==
linkID: 122
mapiID: 33059
hideFromAB: TRUE
changetype: add
ldapDisplayName: InboundNewsfeedType
adminDisplayName: Inbound-Newsfeed-Type
adminDescription: Inbound-Newsfeed-Type
attributeId: 1.2.840.113556.1.2.554
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: E3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35871
hideFromAB: TRUE
dn: CN=msAscendModemPortNo,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendModemPortNo
adminDisplayName: msAscendModemPortNo
adminDescription: msAscendModemPortNo
attributeId: 1.2.840.113556.1.4.1067
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MDBMsgTimeOutPeriod
adminDisplayName: MDB-Msg-Time-Out-Period
adminDescription: MDB-Msg-Time-Out-Period
attributeId: 1.2.840.113556.1.2.64
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32976
hideFromAB: TRUE
dn: CN=msRADIUSFramedRoute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedRoute
adminDisplayName: msRADIUSFramedRoute
adminDescription: msRADIUSFramedRoute
attributeId: 1.2.840.113556.1.4.1158
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Presentation-Address,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: presentationAddress
adminDisplayName: Presentation-Address
adminDescription: Presentation-Address
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
oMObjectClass:: KwwCh3McAIVc
schemaIdGuid:: S3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendThirdPrompt,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendThirdPrompt
adminDisplayName: msAscendThirdPrompt
adminDescription: msAscendThirdPrompt
attributeId: 1.2.840.113556.1.4.1107
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSIdleTimeout,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSIdleTimeout
adminDisplayName: msRADIUSIdleTimeout
adminDescription: msRADIUSIdleTimeout
attributeId: 1.2.840.113556.1.4.1160
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: q5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthenticationToUse
adminDisplayName: Authentication-To-Use
adminDescription: Authentication-To-Use
attributeId: 1.2.840.113556.1.2.501
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: mXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33178
hideFromAB: TRUE
changetype: add
ldapDisplayName: EncryptAlgListOther
adminDisplayName: Encrypt-Alg-List-Other
adminDescription: Encrypt-Alg-List-Other
attributeId: 1.2.840.113556.1.2.399
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: +HPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32833
hideFromAB: TRUE
changetype: add
ldapDisplayName: HTTPPubABAttributes
adminDisplayName: HTTP-Pub-AB-Attributes
adminDescription: HTTP-Pub-AB-Attributes
attributeId: 1.2.840.113556.1.2.516
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: CHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33193
hideFromAB: TRUE
dn: CN=msRADIUSLoginIPHost,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginIPHost
adminDisplayName: msRADIUSLoginIPHost
adminDescription: msRADIUSLoginIPHost
attributeId: 1.2.840.113556.1.4.1161
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSServiceType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSServiceType
adminDisplayName: msRADIUSServiceType
adminDescription: msRADIUSServiceType
attributeId: 1.2.840.113556.1.4.1171
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: tpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPSessionsAllowed,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPSessionsAllowed
adminDisplayName: msNPSessionsAllowed
adminDescription: msNPSessionsAllowed
attributeId: 1.2.840.113556.1.4.1132
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ServiceActionSecond
adminDisplayName: Service-Action-Second
adminDescription: Service-Action-Second
attributeId: 1.2.840.113556.1.2.60
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: cnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33075
hideFromAB: TRUE
changetype: add
ldapDisplayName: ServiceRestartDelay
adminDisplayName: Service-Restart-Delay
adminDescription: Service-Restart-Delay
attributeId: 1.2.840.113556.1.2.162
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: c3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33076
hideFromAB: TRUE
dn: CN=msAscendFRDirectDLCI,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDirectDLCI
adminDisplayName: msAscendFRDirectDLCI
adminDescription: msAscendFRDirectDLCI
attributeId: 1.2.840.113556.1.4.1028
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendUserAcctBase,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctBase
adminDisplayName: msAscendUserAcctBase
adminDescription: msAscendUserAcctBase
attributeId: 1.2.840.113556.1.4.1112
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFCPParameter,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFCPParameter
adminDisplayName: msAscendFCPParameter
adminDescription: msAscendFCPParameter
attributeId: 1.2.840.113556.1.4.1021
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: I5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: FilterLocalAddresses
adminDisplayName: Filter-Local-Addresses
adminDescription: Filter-Local-Addresses
attributeId: 1.2.840.113556.1.2.44
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /nPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32941
hideFromAB: TRUE
dn: CN=msAscendModemShelfNo,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendModemShelfNo
adminDisplayName: msAscendModemShelfNo
adminDescription: msAscendModemShelfNo
attributeId: 1.2.840.113556.1.4.1068
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EncryptAlgSelectedNA
adminDisplayName: Encrypt-Alg-Selected-NA
adminDescription: Encrypt-Alg-Selected-NA
attributeId: 1.2.840.113556.1.2.401
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: +XPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32835
hideFromAB: TRUE
changetype: add
ldapDisplayName: DefaultMessageFormat
adminDisplayName: Default-Message-Format
adminDescription: Default-Message-Format
attributeId: 1.2.840.113556.1.2.572
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vXPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35895
hideFromAB: TRUE
dn: CN=msAscendEndpointDisc,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendEndpointDisc
adminDisplayName: msAscendEndpointDisc
adminDescription: msAscendEndpointDisc
attributeId: 1.2.840.113556.1.4.1018
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendUserAcctTime,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctTime
adminDisplayName: msAscendUserAcctTime
adminDescription: msAscendUserAcctTime
attributeId: 1.2.840.113556.1.4.1116
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAConfContainerList
adminDisplayName: DXA-Conf-Container-List
adminDescription: DXA-Conf-Container-List
attributeId: 1.2.840.113556.1.2.180
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: zHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32892
hideFromAB: TRUE
dn: CN=msAscendMenuSelector,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMenuSelector
adminDisplayName: msAscendMenuSelector
adminDescription: msAscendMenuSelector
attributeId: 1.2.840.113556.1.4.1064
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Sign-Certificates,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSignCertificates
adminDisplayName: MSMQ-Sign-Certificates
adminDescription: MSMQ-Sign-Certificates
attributeId: 1.2.840.113556.1.4.947
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: O8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendAssignIPPool,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAssignIPPool
adminDisplayName: msAscendAssignIPPool
adminDescription: msAscendAssignIPPool
attributeId: 1.2.840.113556.1.4.982
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /I8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendUserAcctHost,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctHost
adminDisplayName: msAscendUserAcctHost
adminDescription: msAscendUserAcctHost
attributeId: 1.2.840.113556.1.4.1113
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: f5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendPreemptLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreemptLimit
adminDisplayName: msAscendPreemptLimit
adminDescription: msAscendPreemptLimit
attributeId: 1.2.840.113556.1.4.1082
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendUserAcctType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctType
adminDisplayName: msAscendUserAcctType
adminDescription: msAscendUserAcctType
attributeId: 1.2.840.113556.1.4.1117
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: g5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DisabledGatewayProxy
adminDisplayName: Disabled-Gateway-Proxy
adminDescription: Disabled-Gateway-Proxy
attributeId: 1.2.840.113556.1.2.541
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 1024
schemaIdGuid:: wHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33219
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXANativeAddressType
adminDisplayName: DXA-Native-Address-Type
adminDescription: DXA-Native-Address-Type
attributeId: 1.2.840.113556.1.2.331
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
mapiID: 32906
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXATemplateTimeStamp
adminDisplayName: DXA-Template-TimeStamp
adminDescription: DXA-Template-TimeStamp
attributeId: 1.2.840.113556.1.2.365
omSyntax: 23
systemOnly: FALSE
searchFlags: 0
mapiID: 32927
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringAlertDelay
adminDisplayName: Monitoring-Alert-Delay
adminDescription: Monitoring-Alert-Delay
attributeId: 1.2.840.113556.1.2.158
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: J3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32988
hideFromAB: TRUE
dn: CN=msAscendUserAcctPort,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendUserAcctPort
adminDisplayName: msAscendUserAcctPort
adminDescription: msAscendUserAcctPort
attributeId: 1.2.840.113556.1.4.1115
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ConnectionListFilter
adminDisplayName: Connection-List-Filter
adminDescription: Connection-List-Filter
attributeId: 1.2.840.113556.1.2.475
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 10240
schemaIdGuid:: tnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33152
hideFromAB: TRUE
dn: CN=msNPCallingStationID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPCallingStationID
adminDisplayName: msNPCallingStationID
adminDescription: msNPCallingStationID
attributeId: 1.2.840.113556.1.4.1124
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ipAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSArapFeatures,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSArapFeatures
adminDisplayName: msRADIUSArapFeatures
adminDescription: msRADIUSArapFeatures
attributeId: 1.2.840.113556.1.4.1138
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSLoginLATNode,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginLATNode
adminDisplayName: msRADIUSLoginLATNode
adminDescription: msRADIUSLoginLATNode
attributeId: 1.2.840.113556.1.4.1163
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSLoginService,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginService
adminDisplayName: msRADIUSLoginService
adminDescription: msRADIUSLoginService
attributeId: 1.2.840.113556.1.4.1166
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AssocProtocolCfgNNTP
adminDisplayName: Assoc-Protocol-Cfg-NNTP
adminDescription: Assoc-Protocol-Cfg-NNTP
attributeId: 1.2.840.113556.1.2.512
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lXPfqOrF0RG7ywCAx2ZwwA==
linkID: 140
mapiID: 33189
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringRecipients
adminDisplayName: Monitoring-Recipients
adminDescription: Monitoring-Recipients
attributeId: 1.2.840.113556.1.2.159
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33001
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevRemoteEntries
adminDisplayName: DXA-Prev-Remote-Entries
adminDescription: DXA-Prev-Remote-Entries
attributeId: 1.2.840.113556.1.2.265
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
mapiID: 32912
hideFromAB: TRUE
dn: CN=msRADIUSArapSecurity,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSArapSecurity
adminDisplayName: msRADIUSArapSecurity
adminDescription: msRADIUSArapSecurity
attributeId: 1.2.840.113556.1.4.1139
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Text-Encoded-OR-Address,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: textEncodedORAddress
adminDisplayName: Text-Encoded-OR-Address
adminDescription: Text-Encoded-OR-Address
attributeId: 0.9.2342.19200300.100.1.2
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: iXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35949
hideFromAB: TRUE
dn: CN=msRADIUSLoginLATPort,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginLATPort
adminDisplayName: msRADIUSLoginLATPort
adminDescription: msRADIUSLoginLATPort
attributeId: 1.2.840.113556.1.4.1164
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: r5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: NumOfTransferRetries
adminDisplayName: Num-Of-Transfer-Retries
adminDescription: Num-Of-Transfer-Retries
attributeId: 1.2.840.113556.1.2.134
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: O3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33013
hideFromAB: TRUE
dn: CN=ACS-Non-Reserved-Tx-Size,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSNonReservedTxSize
adminDisplayName: ACS-Non-Reserved-Tx-Size
adminDescription: ACS-Non-Reserved-Tx-Size
attributeId: 1.2.840.113556.1.4.898
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DSNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=msAscendCallbackDelay,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallbackDelay
adminDisplayName: msAscendCallbackDelay
adminDescription: msAscendCallbackDelay
attributeId: 1.2.840.113556.1.4.993
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: B5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: TranslationTableUsed
adminDisplayName: Translation-Table-Used
adminDescription: Translation-Table-Used
attributeId: 1.2.840.113556.1.2.396
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: kHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33101
hideFromAB: TRUE
dn: CN=msRADIUSLoginTCPPort,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginTCPPort
adminDisplayName: msRADIUSLoginTCPPort
adminDescription: msRADIUSLoginTCPPort
attributeId: 1.2.840.113556.1.4.1167
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: spAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: OutgoingMsgSizeLimit
adminDisplayName: Outgoing-Msg-Size-Limit
adminDescription: Outgoing-Msg-Size-Limit
attributeId: 1.2.840.113556.1.2.490
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33167
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringAlertUnits
adminDisplayName: Monitoring-Alert-Units
adminDescription: Monitoring-Alert-Units
attributeId: 1.2.840.113556.1.2.57
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: KHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32989
hideFromAB: TRUE
changetype: add
ldapDisplayName: OOFReplyToOriginator
adminDisplayName: OOF-Reply-To-Originator
adminDescription: OOF-Reply-To-Originator
attributeId: 1.2.840.113556.1.2.438
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33023
hideFromAB: TRUE
changetype: add
ldapDisplayName: DisableDeferredCommit
adminDisplayName: Disable-Deferred-Commit
adminDescription: Disable-Deferred-Commit
attributeId: 1.2.840.113556.1.2.558
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: v3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 35875
hideFromAB: TRUE
dn: CN=msNPAllowedPortTypes,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPAllowedPortTypes
adminDisplayName: msNPAllowedPortTypes
adminDescription: msNPAllowedPortTypes
attributeId: 1.2.840.113556.1.4.1121
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: h5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendBridgeAddress,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBridgeAddress
adminDisplayName: msAscendBridgeAddress
adminDescription: msAscendBridgeAddress
attributeId: 1.2.840.113556.1.4.990
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: TurnRequestThreshold
adminDisplayName: Turn-Request-Threshold
adminDescription: Turn-Request-Threshold
attributeId: 1.2.840.113556.1.2.38
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: k3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33104
hideFromAB: TRUE
dn: CN=MSMQ-In-Routing-Servers,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQInRoutingServers
adminDisplayName: MSMQ-In-Routing-Servers
adminDescription: MSMQ-In-Routing-Servers
attributeId: 1.2.840.113556.1.4.929
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: XMITTimeoutNonUrgent
adminDisplayName: XMIT-Timeout-Non-Urgent
adminDescription: XMIT-Timeout-Non-Urgent
attributeId: 1.2.840.113556.1.2.84
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: pHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33123
hideFromAB: TRUE
dn: CN=msAscendBillingNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBillingNumber
adminDisplayName: msAscendBillingNumber
adminDescription: msAscendBillingNumber
attributeId: 1.2.840.113556.1.4.988
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ApAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRProfileName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRProfileName
adminDisplayName: msAscendFRProfileName
adminDescription: msAscendFRProfileName
attributeId: 1.2.840.113556.1.4.1037
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: M5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRCircuitName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRCircuitName
adminDisplayName: msAscendFRCircuitName
adminDescription: msAscendFRCircuitName
attributeId: 1.2.840.113556.1.4.1024
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendReceiveSecret,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendReceiveSecret
adminDisplayName: msAscendReceiveSecret
adminDescription: msAscendReceiveSecret
attributeId: 1.2.840.113556.1.4.1090
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: aJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: SMIMEAlgSelectedOther
adminDisplayName: SMIME-Alg-Selected-Other
adminDescription: SMIME-Alg-Selected-Other
attributeId: 1.2.840.113556.1.2.571
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: fXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35894
hideFromAB: TRUE
dn: CN=msAscendClientGateway,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendClientGateway
adminDisplayName: msAscendClientGateway
adminDescription: msAscendClientGateway
attributeId: 1.2.840.113556.1.4.1003
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRemoveSeconds,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRemoveSeconds
adminDisplayName: msAscendRemoveSeconds
adminDescription: msAscendRemoveSeconds
attributeId: 1.2.840.113556.1.4.1093
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: a5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Extended-Attribute-Info,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: extendedAttributeInfo
adminDisplayName: Extended-Attribute-Info
adminDescription: Extended-Attribute-Info
attributeId: 1.2.840.113556.1.4.909
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: R9l6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRASSavedFramedRoute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASSavedFramedRoute
adminDisplayName: msRASSavedFramedRoute
adminDescription: msRASSavedFramedRoute
attributeId: 1.2.840.113556.1.4.1191
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: x5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPRADIUSProfileName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPRADIUSProfileName
adminDisplayName: msNPRADIUSProfileName
adminDescription: msNPRADIUSProfileName
attributeId: 1.2.840.113556.1.4.1129
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: jZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ServiceRestartMessage
adminDisplayName: Service-Restart-Message
adminDescription: Service-Restart-Message
attributeId: 1.2.840.113556.1.2.58
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 120
schemaIdGuid:: dHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33077
hideFromAB: TRUE
dn: CN=msAscendTransitNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendTransitNumber
adminDisplayName: msAscendTransitNumber
adminDescription: msAscendTransitNumber
attributeId: 1.2.840.113556.1.4.1108
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: epAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedRouting,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedRouting
adminDisplayName: msRADIUSFramedRouting
adminDescription: msRADIUSFramedRouting
attributeId: 1.2.840.113556.1.4.1159
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RASPhonebookEntryName
adminDisplayName: RAS-Phonebook-Entry-Name
adminDescription: RAS-Phonebook-Entry-Name
attributeId: 1.2.840.113556.1.2.313
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: VXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33047
hideFromAB: TRUE
dn: CN=msAscendPRINumberType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPRINumberType
adminDisplayName: msAscendPRINumberType
adminDescription: msAscendPRINumberType
attributeId: 1.2.840.113556.1.4.1089
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Z5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: NNTPDistributionsFlag
adminDisplayName: NNTP-Distributions-Flag
adminDescription: NNTP-Distributions-Flag
attributeId: 1.2.840.113556.1.2.511
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33188
hideFromAB: TRUE
dn: CN=msAscendPPPVJSlotComp,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPPPVJSlotComp
adminDisplayName: msAscendPPPVJSlotComp
adminDescription: msAscendPPPVJSlotComp
attributeId: 1.2.840.113556.1.4.1081
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: X5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: LocalBridgeHeadAddress
adminDisplayName: Local-Bridge-Head-Address
adminDescription: Local-Bridge-Head-Address
attributeId: 1.2.840.113556.1.2.225
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 1118
schemaIdGuid:: G3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32967
hideFromAB: TRUE
dn: CN=msRADIUSLoginLATGroup,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginLATGroup
adminDisplayName: msRADIUSLoginLATGroup
adminDescription: msRADIUSLoginLATGroup
attributeId: 1.2.840.113556.1.4.1162
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendSessionSvrKey,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSessionSvrKey
adminDisplayName: msAscendSessionSvrKey
adminDescription: msAscendSessionSvrKey
attributeId: 1.2.840.113556.1.4.1104
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransferTimeoutNormal
adminDisplayName: Transfer-Timeout-Normal
adminDescription: Transfer-Timeout-Normal
attributeId: 1.2.840.113556.1.2.137
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: jnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33099
hideFromAB: TRUE
dn: CN=msRADIUSAttributeType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSAttributeType
adminDisplayName: msRADIUSAttributeType
adminDescription: msRADIUSAttributeType
attributeId: 1.2.840.113556.1.4.1142
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransferRetryInterval
adminDisplayName: Transfer-Retry-Interval
adminDescription: Transfer-Retry-Interval
attributeId: 1.2.840.113556.1.2.133
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: jHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33097
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransferTimeoutUrgent
adminDisplayName: Transfer-Timeout-Urgent
adminDescription: Transfer-Timeout-Urgent
attributeId: 1.2.840.113556.1.2.142
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: j3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33100
hideFromAB: TRUE
changetype: add
ldapDisplayName: MessageTrackingEnabled
adminDisplayName: Message-Tracking-Enabled
adminDescription: Message-Tracking-Enabled
attributeId: 1.2.840.113556.1.2.453
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: InTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32981
hideFromAB: TRUE
dn: CN=msAscendExpectCallback,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendExpectCallback
adminDisplayName: msAscendExpectCallback
adminDescription: msAscendExpectCallback
attributeId: 1.2.840.113556.1.4.1020
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: IpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSPasswordRetry,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSPasswordRetry
adminDisplayName: msRADIUSPasswordRetry
adminDescription: msRADIUSPasswordRetry
attributeId: 1.2.840.113556.1.4.1168
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: s5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSCallbackNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSCallbackNumber
adminDisplayName: msRADIUSCallbackNumber
adminDescription: msRADIUSCallbackNumber
attributeId: 1.2.840.113556.1.4.1145
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendDialoutAllowed,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDialoutAllowed
adminDisplayName: msAscendDialoutAllowed
adminDescription: msAscendDialoutAllowed
attributeId: 1.2.840.113556.1.4.1016
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=MSMQ-Out-Routing-Servers,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQOutRoutingServers
adminDisplayName: MSMQ-Out-Routing-Servers
adminDescription: MSMQ-Out-Routing-Servers
attributeId: 1.2.840.113556.1.4.928
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: K8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMPPIdlePercent,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMPPIdlePercent
adminDisplayName: msAscendMPPIdlePercent
adminDescription: msAscendMPPIdlePercent
attributeId: 1.2.840.113556.1.4.1070
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: VJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendAssignIPClient,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAssignIPClient
adminDisplayName: msAscendAssignIPClient
adminDescription: msAscendAssignIPClient
attributeId: 1.2.840.113556.1.4.981
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +48M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25CallUserDataIncoming
adminDisplayName: X25-Call-User-Data-Incoming
adminDescription: X25-Call-User-Data-Incoming
attributeId: 1.2.840.113556.1.2.316
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: m3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33113
hideFromAB: TRUE
dn: CN=ACS-Max-No-Of-Account-Files,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSMaxNoOfAccountFiles
adminDisplayName: ACS-Max-No-Of-Account-Files
adminDescription: ACS-Max-No-Of-Account-Files
attributeId: 1.2.840.113556.1.4.901
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ECNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=msAscendDHCPPoolNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDHCPPoolNumber
adminDisplayName: msAscendDHCPPoolNumber
adminDescription: msAscendDHCPPoolNumber
attributeId: 1.2.840.113556.1.4.1013
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: G5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AvailableDistributions
adminDisplayName: Available-Distributions
adminDescription: Available-Distributions
attributeId: 1.2.840.113556.1.2.486
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 10240
schemaIdGuid:: n3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 33163
hideFromAB: TRUE
dn: CN=msAscendAppletalkRoute,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAppletalkRoute
adminDisplayName: msAscendAppletalkRoute
adminDescription: msAscendAppletalkRoute
attributeId: 1.2.840.113556.1.4.980
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +o8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRouteAppletalk,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRouteAppletalk
adminDisplayName: msAscendRouteAppletalk
adminDescription: msAscendRouteAppletalk
attributeId: 1.2.840.113556.1.4.1095
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSArapZoneAccess,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSArapZoneAccess
adminDisplayName: msRADIUSArapZoneAccess
adminDescription: msRADIUSArapZoneAccess
attributeId: 1.2.840.113556.1.4.1140
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: l5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendAssignIPServer,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAssignIPServer
adminDisplayName: msAscendAssignIPServer
adminDescription: msAscendAssignIPServer
attributeId: 1.2.840.113556.1.4.983
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /Y8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAUnConfContainerList
adminDisplayName: DXA-UnConf-Container-List
adminDescription: DXA-UnConf-Container-List
attributeId: 1.2.840.113556.1.2.181
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
mapiID: 32929
hideFromAB: TRUE
changetype: add
ldapDisplayName: ReplicationMailMsgSize
adminDisplayName: Replication-Mail-Msg-Size
adminDescription: Replication-Mail-Msg-Size
attributeId: 1.2.840.113556.1.2.103
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33128
hideFromAB: TRUE
dn: CN=msAscendCBCPTrunkGroup,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCBCPTrunkGroup
adminDisplayName: msAscendCBCPTrunkGroup
adminDescription: msAscendCBCPTrunkGroup
attributeId: 1.2.840.113556.1.4.1001
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: D5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendPreSessionTime,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreSessionTime
adminDisplayName: msAscendPreSessionTime
adminDescription: msAscendPreSessionTime
attributeId: 1.2.840.113556.1.4.1087
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevExchangeOptions
adminDisplayName: DXA-Prev-Exchange-Options
adminDescription: DXA-Prev-Exchange-Options
attributeId: 1.2.840.113556.1.2.216
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 3
mapiID: 32909
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringWarningDelay
adminDisplayName: Monitoring-Warning-Delay
adminDescription: Monitoring-Warning-Delay
attributeId: 1.2.840.113556.1.2.157
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33005
hideFromAB: TRUE
dn: CN=msAscendNetwaretimeout,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendNetwaretimeout
adminDisplayName: msAscendNetwaretimeout
adminDescription: msAscendNetwaretimeout
attributeId: 1.2.840.113556.1.4.1075
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedProtocol,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedProtocol
adminDisplayName: msRADIUSFramedProtocol
adminDescription: msRADIUSFramedProtocol
attributeId: 1.2.840.113556.1.4.1157
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendNumberSessions,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendNumberSessions
adminDisplayName: msAscendNumberSessions
adminDescription: msAscendNumberSessions
attributeId: 1.2.840.113556.1.4.1076
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendNumInMultilink,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendNumInMultilink
adminDisplayName: msAscendNumInMultilink
adminDescription: msAscendNumInMultilink
attributeId: 1.2.840.113556.1.4.1077
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: W5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: SessionDisconnectTimer
adminDisplayName: Session-Disconnect-Timer
adminDescription: Session-Disconnect-Timer
attributeId: 1.2.840.113556.1.2.154
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: dXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33078
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransportExpeditedData
adminDisplayName: Transport-Expedited-Data
adminDescription: Transport-Expedited-Data
attributeId: 1.2.840.113556.1.2.150
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33102
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25CallUserDataOutgoing
adminDisplayName: X25-Call-User-Data-Outgoing
adminDescription: X25-Call-User-Data-Outgoing
attributeId: 1.2.840.113556.1.2.317
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: nHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33114
hideFromAB: TRUE
dn: CN=msAscendPreInputOctets,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreInputOctets
adminDisplayName: msAscendPreInputOctets
adminDescription: msAscendPreInputOctets
attributeId: 1.2.840.113556.1.4.1083
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPAuthenticationType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPAuthenticationType
adminDisplayName: msNPAuthenticationType
adminDescription: msNPAuthenticationType
attributeId: 1.2.840.113556.1.4.1122
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevTemplateOptions
adminDisplayName: DXA-Prev-Template-Options
adminDescription: DXA-Prev-Template-Options
attributeId: 1.2.840.113556.1.2.395
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 3
mapiID: 32914
hideFromAB: TRUE
changetype: add
ldapDisplayName: QuotaNotificationStyle
adminDisplayName: Quota-Notification-Style
adminDescription: Quota-Notification-Style
attributeId: 1.2.840.113556.1.2.388
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: UHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33042
hideFromAB: TRUE
changetype: add
ldapDisplayName: RootNewsgroupsFolderID
adminDisplayName: Root-Newsgroups-Folder-ID
adminDescription: Root-Newsgroups-Folder-ID
attributeId: 1.2.840.113556.1.2.524
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: ZnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33202
hideFromAB: TRUE
dn: CN=MS-MPPE-Encryption-Policy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMPPEEncryptionPolicy
adminDisplayName: MS-MPPE-Encryption-Policy
adminDescription: MS-MPPE-Encryption-Policy
attributeId: 1.2.840.113556.1.4.977
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 948M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringWarningUnits
adminDisplayName: Monitoring-Warning-Units
adminDescription: Monitoring-Warning-Units
attributeId: 1.2.840.113556.1.2.56
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: MXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33006
hideFromAB: TRUE
dn: CN=msRADIUSTunnelPassword,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelPassword
adminDisplayName: msRADIUSTunnelPassword
adminDescription: msRADIUSTunnelPassword
attributeId: 1.2.840.113556.1.4.1177
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: RemoteBridgeHeadAddress
adminDisplayName: Remote-Bridge-Head-Address
adminDescription: Remote-Bridge-Head-Address
attributeId: 1.2.840.113556.1.2.94
omSyntax: 20
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 1118
schemaIdGuid:: WXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33051
hideFromAB: TRUE
changetype: add
ldapDisplayName: ExportCustomRecipients
adminDisplayName: Export-Custom-Recipients
adminDescription: Export-Custom-Recipients
attributeId: 1.2.840.113556.1.2.307
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /XPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32934
hideFromAB: TRUE
dn: CN=msRADIUSSessionTimeout,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSSessionTimeout
adminDisplayName: msRADIUSSessionTimeout
adminDescription: msRADIUSSessionTimeout
attributeId: 1.2.840.113556.1.4.1172
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: t5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendHomeAgentIPAddr,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHomeAgentIPAddr
adminDisplayName: msAscendHomeAgentIPAddr
adminDescription: msAscendHomeAgentIPAddr
attributeId: 1.2.840.113556.1.4.1045
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: O5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendDecChannelCount,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDecChannelCount
adminDisplayName: msAscendDecChannelCount
adminDescription: msAscendDecChannelCount
attributeId: 1.2.840.113556.1.4.1011
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: SupportSMIMESignatures
adminDisplayName: Support-SMIME-Signatures
adminDescription: Support-SMIME-Signatures
attributeId: 1.2.840.113556.1.2.590
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: f3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35912
hideFromAB: TRUE
dn: CN=msAscendDisconnectCause,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDisconnectCause
adminDisplayName: msAscendDisconnectCause
adminDescription: msAscendDisconnectCause
attributeId: 1.2.840.113556.1.4.1017
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: H5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIncChannelCount,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIncChannelCount
adminDisplayName: msAscendIncChannelCount
adminDescription: msAscendIncChannelCount
attributeId: 1.2.840.113556.1.4.1052
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendFRDirectProfile,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendFRDirectProfile
adminDisplayName: msAscendFRDirectProfile
adminDescription: msAscendFRDirectProfile
attributeId: 1.2.840.113556.1.4.1029
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: K5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=ACS-Enable-RSVP-Accounting,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSEnableRSVPAccounting
adminDisplayName: ACS-Enable-RSVP-Accounting
adminDescription: ACS-Enable-RSVP-Accounting
attributeId: 1.2.840.113556.1.4.899
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DiNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=msAscendMinimumChannels,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMinimumChannels
adminDisplayName: msAscendMinimumChannels
adminDescription: msAscendMinimumChannels
attributeId: 1.2.840.113556.1.4.1066
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendClientAssignDNS,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendClientAssignDNS
adminDisplayName: msAscendClientAssignDNS
adminDescription: msAscendClientAssignDNS
attributeId: 1.2.840.113556.1.4.1002
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMaximumChannels,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMaximumChannels
adminDisplayName: msAscendMaximumChannels
adminDescription: msAscendMaximumChannels
attributeId: 1.2.840.113556.1.4.1061
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: S5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedIPAddress,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedIPAddress
adminDisplayName: msRADIUSFramedIPAddress
adminDescription: msRADIUSFramedIPAddress
attributeId: 1.2.840.113556.1.4.1153
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendRoutePreference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendRoutePreference
adminDisplayName: msAscendRoutePreference
adminDescription: msAscendRoutePreference
attributeId: 1.2.840.113556.1.4.1098
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendHomeNetworkName,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHomeNetworkName
adminDisplayName: msAscendHomeNetworkName
adminDescription: msAscendHomeNetworkName
attributeId: 1.2.840.113556.1.4.1048
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMulticastClient,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMulticastClient
adminDisplayName: msAscendMulticastClient
adminDescription: msAscendMulticastClient
attributeId: 1.2.840.113556.1.4.1071
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: VZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EncryptAlgSelectedOther
adminDisplayName: Encrypt-Alg-Selected-Other
adminDescription: Encrypt-Alg-Selected-Other
attributeId: 1.2.840.113556.1.2.397
omSyntax: 19
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32
schemaIdGuid:: +nPfqOrF0RG7ywCAx2ZwwA==
mapiID: 32829
hideFromAB: TRUE
dn: CN=msRADIUSFramedIPNetmask,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedIPNetmask
adminDisplayName: msRADIUSFramedIPNetmask
adminDescription: msRADIUSFramedIPNetmask
attributeId: 1.2.840.113556.1.4.1154
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendConnectProgress,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendConnectProgress
adminDisplayName: msAscendConnectProgress
adminDescription: msAscendConnectProgress
attributeId: 1.2.840.113556.1.4.1006
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendLinkCompression,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendLinkCompression
adminDisplayName: msAscendLinkCompression
adminDescription: msAscendLinkCompression
attributeId: 1.2.840.113556.1.4.1059
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendPreInputPackets,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreInputPackets
adminDisplayName: msAscendPreInputPackets
adminDescription: msAscendPreInputPackets
attributeId: 1.2.840.113556.1.4.1084
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSLoginLATService,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSLoginLATService
adminDisplayName: msRADIUSLoginLATService
adminDescription: msRADIUSLoginLATService
attributeId: 1.2.840.113556.1.4.1165
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringRecipientsNDR
adminDisplayName: Monitoring-Recipients-NDR
adminDescription: Monitoring-Recipients-NDR
attributeId: 1.2.840.113556.1.2.387
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: L3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33002
hideFromAB: TRUE
changetype: add
ldapDisplayName: TwoWayAlternateFacility
adminDisplayName: Two-Way-Alternate-Facility
adminDescription: Two-Way-Alternate-Facility
attributeId: 1.2.840.113556.1.2.40
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33105
hideFromAB: TRUE
dn: CN=msRADIUSAttributeNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSAttributeNumber
adminDisplayName: msRADIUSAttributeNumber
adminDescription: msRADIUSAttributeNumber
attributeId: 1.2.840.113556.1.4.1141
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSAttributeVendor,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSAttributeVendor
adminDisplayName: msRADIUSAttributeVendor
adminDescription: msRADIUSAttributeVendor
attributeId: 1.2.840.113556.1.4.1143
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: PreserveInternetContent
adminDisplayName: Preserve-Internet-Content
adminDescription: Preserve-Internet-Content
attributeId: 1.2.840.113556.1.2.556
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: THTfqOrF0RG7ywCAx2ZwwA==
mapiID: 35874
hideFromAB: TRUE
dn: CN=msAscendPreOutputOctets,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreOutputOctets
adminDisplayName: msAscendPreOutputOctets
adminDescription: msAscendPreOutputOctets
attributeId: 1.2.840.113556.1.4.1085
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Y5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevExportNativeOnly
adminDisplayName: DXA-Prev-Export-Native-Only
adminDescription: DXA-Prev-Export-Native-Only
attributeId: 1.2.840.113556.1.2.203
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
mapiID: 32910
hideFromAB: TRUE
dn: CN=msRASMPPEEncryptionType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASMPPEEncryptionType
adminDisplayName: msRASMPPEEncryptionType
adminDescription: msRASMPPEEncryptionType
attributeId: 1.2.840.113556.1.4.1188
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25FacilitiesDataIncoming
adminDisplayName: X25-Facilities-Data-Incoming
adminDescription: X25-Facilities-Data-Incoming
attributeId: 1.2.840.113556.1.2.318
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 109
schemaIdGuid:: nXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33115
hideFromAB: TRUE
dn: CN=msAscendBaseChannelCount,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendBaseChannelCount
adminDisplayName: msAscendBaseChannelCount
adminDescription: msAscendBaseChannelCount
attributeId: 1.2.840.113556.1.4.987
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRASSavedCallbackNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASSavedCallbackNumber
adminDisplayName: msRASSavedCallbackNumber
adminDescription: msRASSavedCallbackNumber
attributeId: 1.2.840.113556.1.4.1189
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: X25FacilitiesDataOutgoing
adminDisplayName: X25-Facilities-Data-Outgoing
adminDescription: X25-Facilities-Data-Outgoing
attributeId: 1.2.840.113556.1.2.319
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 109
schemaIdGuid:: nnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33116
hideFromAB: TRUE
dn: CN=msAscendCallAttemptLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallAttemptLimit
adminDisplayName: msAscendCallAttemptLimit
adminDescription: msAscendCallAttemptLimit
attributeId: 1.2.840.113556.1.4.991
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendIPPoolDefinition,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendIPPoolDefinition
adminDisplayName: msAscendIPPoolDefinition
adminDescription: msAscendIPPoolDefinition
attributeId: 1.2.840.113556.1.4.1054
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendPrimaryHomeAgent,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPrimaryHomeAgent
adminDisplayName: msAscendPrimaryHomeAgent
adminDescription: msAscendPrimaryHomeAgent
attributeId: 1.2.840.113556.1.4.1088
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendHomeAgentUDPPort,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHomeAgentUDPPort
adminDisplayName: msAscendHomeAgentUDPPort
adminDescription: msAscendHomeAgentUDPPort
attributeId: 1.2.840.113556.1.4.1047
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendClientPrimaryDNS,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendClientPrimaryDNS
adminDisplayName: msAscendClientPrimaryDNS
adminDescription: msAscendClientPrimaryDNS
attributeId: 1.2.840.113556.1.4.1004
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTunnelPreference,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelPreference
adminDisplayName: msRADIUSTunnelPreference
adminDescription: msRADIUSTunnelPreference
attributeId: 1.2.840.113556.1.4.1178
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendSecondsOfHistory,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSecondsOfHistory
adminDisplayName: msAscendSecondsOfHistory
adminDescription: msAscendSecondsOfHistory
attributeId: 1.2.840.113556.1.4.1100
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendPreOutputPackets,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendPreOutputPackets
adminDisplayName: msAscendPreOutputPackets
adminDescription: msAscendPreOutputPackets
attributeId: 1.2.840.113556.1.4.1086
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedIPXNetwork,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedIPXNetwork
adminDisplayName: msRADIUSFramedIPXNetwork
adminDescription: msRADIUSFramedIPXNetwork
attributeId: 1.2.840.113556.1.4.1155
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ppAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: ConnectionListFilterType
adminDisplayName: Connection-List-Filter-Type
adminDescription: Connection-List-Filter-Type
attributeId: 1.2.840.113556.1.2.526
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: t3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 33204
hideFromAB: TRUE
dn: CN=msAscendHistoryWeighType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHistoryWeighType
adminDisplayName: msAscendHistoryWeighType
adminDescription: msAscendHistoryWeighType
attributeId: 1.2.840.113556.1.4.1044
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTunnelMediumType,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelMediumType
adminDisplayName: msRADIUSTunnelMediumType
adminDescription: msRADIUSTunnelMediumType
attributeId: 1.2.840.113556.1.4.1176
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: u5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: TransferTimeoutNonUrgent
adminDisplayName: Transfer-Timeout-Non-Urgent
adminDescription: Transfer-Timeout-Non-Urgent
attributeId: 1.2.840.113556.1.2.136
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: jXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33098
hideFromAB: TRUE
dn: CN=msAscendCallBlockDuration,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendCallBlockDuration
adminDisplayName: msAscendCallBlockDuration
adminDescription: msAscendCallBlockDuration
attributeId: 1.2.840.113556.1.4.994
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendAppletalkPeerMode,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendAppletalkPeerMode
adminDisplayName: msAscendAppletalkPeerMode
adminDescription: msAscendAppletalkPeerMode
attributeId: 1.2.840.113556.1.4.979
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +Y8M2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRASSavedFramedIPAddress,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASSavedFramedIPAddress
adminDisplayName: msRASSavedFramedIPAddress
adminDescription: msRASSavedFramedIPAddress
attributeId: 1.2.840.113556.1.4.1190
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendDHCPMaximumLeases,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendDHCPMaximumLeases
adminDisplayName: msAscendDHCPMaximumLeases
adminDescription: msAscendDHCPMaximumLeases
attributeId: 1.2.840.113556.1.4.1012
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendHomeAgentPassword,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendHomeAgentPassword
adminDisplayName: msAscendHomeAgentPassword
adminDescription: msAscendHomeAgentPassword
attributeId: 1.2.840.113556.1.4.1046
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msNPSavedCallingStationID,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNPSavedCallingStationID
adminDisplayName: msNPSavedCallingStationID
adminDescription: msNPSavedCallingStationID
attributeId: 1.2.840.113556.1.4.1130
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: jpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: QuotaNotificationSchedule
adminDisplayName: Quota-Notification-Schedule
adminDescription: Quota-Notification-Schedule
attributeId: 1.2.840.113556.1.2.98
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 84
rangeUpper: 84
schemaIdGuid:: T3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 33041
hideFromAB: TRUE
dn: CN=msRADIUSFramedCompression,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedCompression
adminDisplayName: msRADIUSFramedCompression
adminDescription: msRADIUSFramedCompression
attributeId: 1.2.840.113556.1.4.1152
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: o5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTerminationAction,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTerminationAction
adminDisplayName: msRADIUSTerminationAction
adminDescription: msRADIUSTerminationAction
attributeId: 1.2.840.113556.1.4.1173
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendTunnelingProtocol,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendTunnelingProtocol
adminDisplayName: msAscendTunnelingProtocol
adminDescription: msAscendTunnelingProtocol
attributeId: 1.2.840.113556.1.4.1111
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: AuthorizedPasswordConfirm
adminDisplayName: Authorized-Password-Confirm
adminDescription: Authorized-Password-Confirm
attributeId: 1.2.840.113556.1.2.493
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: nHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33170
hideFromAB: TRUE
dn: CN=msRASMPPEEncryptionPolicy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRASMPPEEncryptionPolicy
adminDisplayName: msRASMPPEEncryptionPolicy
adminDescription: msRASMPPEEncryptionPolicy
attributeId: 1.2.840.113556.1.4.1187
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: w5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringNormalPollUnits
adminDisplayName: Monitoring-Normal-Poll-Units
adminDescription: Monitoring-Normal-Poll-Units
attributeId: 1.2.840.113556.1.2.88
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: LXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 33000
hideFromAB: TRUE
dn: CN=msAscendSecondaryHomeAgent,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSecondaryHomeAgent
adminDisplayName: msAscendSecondaryHomeAgent
adminDescription: msAscendSecondaryHomeAgent
attributeId: 1.2.840.113556.1.4.1099
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendClientSecondaryDNS,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendClientSecondaryDNS
adminDisplayName: msAscendClientSecondaryDNS
adminDescription: msAscendClientSecondaryDNS
attributeId: 1.2.840.113556.1.4.1005
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: E5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=Allowed-Attributes-Effective,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: allowedAttributesEffective
adminDisplayName: Allowed-Attributes-Effective
adminDescription: Allowed-Attributes-Effective
attributeId: 1.2.840.113556.1.4.914
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Qdl6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMulticastRateLimit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMulticastRateLimit
adminDisplayName: msAscendMulticastRateLimit
adminDescription: msAscendMulticastRateLimit
attributeId: 1.2.840.113556.1.4.1073
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: V5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTunnelAssignmentId,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelAssignmentId
adminDisplayName: msRADIUSTunnelAssignmentId
adminDescription: msRADIUSTunnelAssignmentId
attributeId: 1.2.840.113556.1.4.1174
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSVSAAttributeNumber,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSVSAAttributeNumber
adminDisplayName: msRADIUSVSAAttributeNumber
adminDescription: msRADIUSVSAAttributeNumber
attributeId: 1.2.840.113556.1.4.1183
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendSharedProfileEnable,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendSharedProfileEnable
adminDisplayName: msAscendSharedProfileEnable
adminDescription: msAscendSharedProfileEnable
attributeId: 1.2.840.113556.1.4.1105
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: d5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: CertificateRevocationListV1
adminDisplayName: Certificate-Revocation-List-V1
adminDescription: Certificate-Revocation-List-V1
attributeId: 1.2.840.113556.1.2.564
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: q3PfqOrF0RG7ywCAx2ZwwA==
mapiID: 35881
hideFromAB: TRUE
changetype: add
ldapDisplayName: CertificateRevocationListV3
adminDisplayName: Certificate-Revocation-List-V3
adminDescription: Certificate-Revocation-List-V3
attributeId: 1.2.840.113556.1.2.563
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rHPfqOrF0RG7ywCAx2ZwwA==
mapiID: 35880
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringHotsitePollUnits
adminDisplayName: Monitoring-Hotsite-Poll-Units
adminDescription: Monitoring-Hotsite-Poll-Units
attributeId: 1.2.840.113556.1.2.87
omSyntax: 10
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2
schemaIdGuid:: K3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 32996
hideFromAB: TRUE
dn: CN=msRADIUSFramedAppleTalkLink,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedAppleTalkLink
adminDisplayName: msRADIUSFramedAppleTalkLink
adminDescription: msRADIUSFramedAppleTalkLink
attributeId: 1.2.840.113556.1.4.1149
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oJAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msAscendMaximumCallDuration,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMaximumCallDuration
adminDisplayName: msAscendMaximumCallDuration
adminDescription: msAscendMaximumCallDuration
attributeId: 1.2.840.113556.1.4.1060
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSFramedAppleTalkZone,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedAppleTalkZone
adminDisplayName: msRADIUSFramedAppleTalkZone
adminDescription: msRADIUSFramedAppleTalkZone
attributeId: 1.2.840.113556.1.4.1151
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: opAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=ACS-RSVP-Account-Files-Location,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSRSVPAccountFilesLocation
adminDisplayName: ACS-RSVP-Account-Files-Location
adminDescription: ACS-RSVP-Account-Files-Location
attributeId: 1.2.840.113556.1.4.900
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DyNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=ACS-Max-Size-Of-RSVP-Account-File,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSMaxSizeOfRSVPAccountFile
adminDisplayName: ACS-Max-Size-Of-RSVP-Account-File
adminDescription: ACS-Max-Size-Of-RSVP-Account-File
attributeId: 1.2.840.113556.1.4.902
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ESNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=Allowed-Child-Classes-Effective,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: allowedChildClassesEffective
adminDisplayName: Allowed-Child-Classes-Effective
adminDescription: Allowed-Child-Classes-Effective
attributeId: 1.2.840.113556.1.4.912
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: Q9l6mlPK0RG70ACAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: EnabledAuthorizationPackages
adminDisplayName: Enabled-Authorization-Packages
adminDescription: Enabled-Authorization-Packages
attributeId: 1.2.840.113556.1.2.479
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 128
mapiID: 33156
hideFromAB: TRUE
dn: CN=msAscendMulticastGLeaveDelay,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msAscendMulticastGLeaveDelay
adminDisplayName: msAscendMulticastGLeaveDelay
adminDescription: msAscendMulticastGLeaveDelay
attributeId: 1.2.840.113556.1.4.1072
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: VpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTunnelClientEndpoint,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelClientEndpoint
adminDisplayName: msRADIUSTunnelClientEndpoint
adminDescription: msRADIUSTunnelClientEndpoint
attributeId: 1.2.840.113556.1.4.1175
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: upAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevInExchangeSensitivity
adminDisplayName: DXA-Prev-In-Exchange-Sensitivity
adminDescription: DXA-Prev-In-Exchange-Sensitivity
attributeId: 1.2.840.113556.1.2.90
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
mapiID: 32911
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringNormalPollInterval
adminDisplayName: Monitoring-Normal-Poll-Interval
adminDescription: Monitoring-Normal-Poll-Interval
attributeId: 1.2.840.113556.1.2.187
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LHTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32999
hideFromAB: TRUE
dn: CN=msRADIUSTunnelPrivateGroupId,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelPrivateGroupId
adminDisplayName: msRADIUSTunnelPrivateGroupId
adminDescription: msRADIUSTunnelPrivateGroupId
attributeId: 1.2.840.113556.1.4.1179
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vpAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
dn: CN=msRADIUSTunnelServerEndpoint,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSTunnelServerEndpoint
adminDisplayName: msRADIUSTunnelServerEndpoint
adminDescription: msRADIUSTunnelServerEndpoint
attributeId: 1.2.840.113556.1.4.1180
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: v5AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringEscalationProcedure
adminDisplayName: Monitoring-Escalation-Procedure
adminDescription: Monitoring-Escalation-Procedure
attributeId: 1.2.840.113556.1.2.188
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 1064
schemaIdGuid:: KXTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32994
hideFromAB: TRUE
changetype: add
ldapDisplayName: DXAPrevReplicationSensitivity
adminDisplayName: DXA-Prev-Replication-Sensitivity
adminDescription: DXA-Prev-Replication-Sensitivity
attributeId: 1.2.840.113556.1.2.215
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
mapiID: 32913
hideFromAB: TRUE
changetype: add
ldapDisplayName: MonitoringHotsitePollInterval
adminDisplayName: Monitoring-Hotsite-Poll-Interval
adminDescription: Monitoring-Hotsite-Poll-Interval
attributeId: 1.2.840.113556.1.2.186
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: KnTfqOrF0RG7ywCAx2ZwwA==
mapiID: 32995
hideFromAB: TRUE
changetype: add
ldapDisplayName: AvailableAuthorizationPackages
adminDisplayName: Available-Authorization-Packages
adminDescription: Available-Authorization-Packages
attributeId: 1.2.840.113556.1.2.476
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 512
schemaIdGuid:: nnPfqOrF0RG7ywCAx2ZwwA==
mapiID: 33153
hideFromAB: TRUE
dn: CN=ACS-Max-Aggregate-Peak-Rate-Per-User,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: aCSMaxAggregatePeakRatePerUser
adminDisplayName: ACS-Max-Aggregate-Peak-Rate-Per-User
adminDescription: ACS-Max-Aggregate-Peak-Rate-Per-User
attributeId: 1.2.840.113556.1.4.897
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DCNy8PWu0RG9zwAA+ANnwQ==
hideFromAB: TRUE
dn: CN=msRADIUSFramedAppleTalkNetwork,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSFramedAppleTalkNetwork
adminDisplayName: msRADIUSFramedAppleTalkNetwork
adminDescription: msRADIUSFramedAppleTalkNetwork
attributeId: 1.2.840.113556.1.4.1150
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
changetype: add
ldapDisplayName: mailGateway
adminDisplayName: Mail-Gateway
adminDescription: Mail-Gateway
governsId: 1.2.840.113556.1.3.51
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: t3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Mail-Gateway,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: x400Link
adminDisplayName: X400-Link
adminDescription: X400-Link
governsId: 1.2.840.113556.1.3.29
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.51
schemaIdGuid:: 4HTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: informationStoreCfg
adminDisplayName: Information-Store-Cfg
adminDescription: Information-Store-Cfg
governsId: 1.2.840.113556.1.3.5
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: tHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Information-Store-
Cfg,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mHSMonitoringConfig
adminDisplayName: MHS-Monitoring-Config
adminDescription: MHS-Monitoring-Config
governsId: 1.2.840.113556.1.3.6
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: u3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MHS-Monitoring-
Config,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgShared
adminDisplayName: Protocol-Cfg-Shared
adminDescription: Protocol-Cfg-Shared
governsId: 1.2.840.113556.1.3.65
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-
Shared,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgSharedSite
adminDisplayName: Protocol-Cfg-Shared-Site
adminDescription: Protocol-Cfg-Shared-Site
governsId: 1.2.840.113556.1.3.66
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.65
schemaIdGuid:: 0nTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-Shared-
Site,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mTA
adminDisplayName: MTA
adminDescription: MTA
governsId: 1.2.840.113556.1.3.49
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemPossSuperiors: container
schemaIdGuid:: p3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MTA,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: exchangeAdminService
adminDisplayName: Exchange-Admin-Service
adminDescription: Exchange-Admin-Service
governsId: 1.2.840.113556.1.3.62
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: snTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Exchange-Admin-
Service,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgSharedServer
adminDisplayName: Protocol-Cfg-Shared-Server
adminDescription: Protocol-Cfg-Shared-Server
governsId: 1.2.840.113556.1.3.67
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.65
schemaIdGuid:: 0XTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-Shared-
Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfg
adminDisplayName: Protocol-Cfg
adminDescription: Protocol-Cfg
governsId: 1.2.840.113556.1.3.68
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: wHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg,CN=Schema,CN=Configuration,DC=X
dn: CN=RFC1006-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rFC1006X400Link
adminDisplayName: RFC1006-X400-Link
adminDescription: RFC1006-X400-Link
governsId: 1.2.840.113556.1.3.32
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.29
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RFC1006-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: remoteDXA
adminDisplayName: Remote-DXA
adminDescription: Remote-DXA
governsId: 1.2.840.113556.1.3.2
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Remote-DXA,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgHTTP
adminDisplayName: Protocol-Cfg-HTTP
adminDescription: Protocol-Cfg-HTTP
governsId: 1.2.840.113556.1.3.79
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.68
schemaIdGuid:: wXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-HTTP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgLDAP
adminDisplayName: Protocol-Cfg-LDAP
adminDescription: Protocol-Cfg-LDAP
governsId: 1.2.840.113556.1.3.75
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.68
schemaIdGuid:: x3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-LDAP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgIMAP
adminDisplayName: Protocol-Cfg-IMAP
adminDescription: Protocol-Cfg-IMAP
governsId: 1.2.840.113556.1.3.84
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.68
schemaIdGuid:: xHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-IMAP,CN=Schema,CN=Configuration,DC=X
dn: CN=Protocol-Cfg-HTTP-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgHTTPServer
adminDisplayName: Protocol-Cfg-HTTP-Server
adminDescription: Protocol-Cfg-HTTP-Server
governsId: 1.2.840.113556.1.3.80
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.79
schemaIdGuid:: wnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-HTTP-
changetype: add
ldapDisplayName: protocolCfgNNTP
adminDisplayName: Protocol-Cfg-NNTP
adminDescription: Protocol-Cfg-NNTP
governsId: 1.2.840.113556.1.3.72
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.68
schemaIdGuid:: ynTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-NNTP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mailboxAgent
adminDisplayName: Mailbox-Agent
adminDescription: Mailbox-Agent
governsId: 1.2.840.113556.1.3.17
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.22
schemaIdGuid:: uHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Mailbox-Agent,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: directoryCfg
adminDisplayName: Directory-Cfg
adminDescription: Directory-Cfg
governsId: 1.2.840.113556.1.3.4
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: rXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Directory-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: nNTPNewsfeed
adminDisplayName: NNTP-Newsfeed
adminDescription: NNTP-Newsfeed
governsId: 1.2.840.113556.1.3.78
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: qXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=NNTP-Newsfeed,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: dXASiteServer
adminDisplayName: DXA-Site-Server
adminDescription: DXA-Site-Server
governsId: 1.2.840.113556.1.3.60
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: sHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=DXA-Site-Server,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Site-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSiteLink
adminDisplayName: MSMQ-Site-Link
adminDescription: MSMQ-Site-Link
governsId: 1.2.840.113556.1.5.164
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: RsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Site-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Settings,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQSettings
adminDisplayName: MSMQ-Settings
adminDescription: MSMQ-Settings
governsId: 1.2.840.113556.1.5.165
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: R8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Settings,CN=Schema,CN=Configuration,DC=X
dn: CN=EAP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: eAP
adminDisplayName: EAP
adminDescription: EAP
governsId: 1.2.840.113556.1.5.167
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 2ZAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=EAP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: transportStack
adminDisplayName: Transport-Stack
adminDescription: Transport-Stack
governsId: 1.2.840.113556.1.3.18
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Transport-Stack,CN=Schema,CN=Configuration,DC=X
dn: CN=Mail-Connector,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mailConnector
adminDisplayName: Mail-Connector
adminDescription: Mail-Connector
governsId: 1.2.840.113556.1.3.61
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.51
schemaIdGuid:: tnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Mail-Connector,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Enterprise-Settings,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQEnterpriseSettings
adminDisplayName: MSMQ-Enterprise-Settings
adminDescription: MSMQ-Enterprise-Settings
governsId: 1.2.840.113556.1.5.163
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: RcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Enterprise-
changetype: add
ldapDisplayName: encryptionCfg
adminDisplayName: Encryption-Cfg
adminDescription: Encryption-Cfg
governsId: 1.2.840.113556.1.3.16
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: sXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Encryption-Cfg,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: siteConnector
adminDisplayName: Site-Connector
adminDescription: Site-Connector
governsId: 1.2.840.113556.1.3.50
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Connector,CN=Schema,CN=Configuration,DC=X
dn: CN=DX-Server-Conn,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: dXServerConn
adminDisplayName: DX-Server-Conn
adminDescription: DX-Server-Conn
governsId: 1.2.840.113556.1.3.20
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.2
schemaIdGuid:: r3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=DX-Server-Conn,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgPOP
adminDisplayName: Protocol-Cfg-POP
adminDescription: Protocol-Cfg-POP
governsId: 1.2.840.113556.1.3.69
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.68
schemaIdGuid:: zXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-POP,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mHSLinkMonitoringConfig
adminDisplayName: MHS-Link-Monitoring-Config
adminDescription: MHS-Link-Monitoring-Config
governsId: 1.2.840.113556.1.3.12
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.6
schemaIdGuid:: uXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MHS-Link-Monitoring-
changetype: add
ldapDisplayName: siteAddressing
adminDisplayName: Site-Addressing
adminDescription: Site-Addressing
governsId: 1.2.840.113556.1.3.0
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Site-Addressing,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: adminExtension
adminDisplayName: Admin-Extension
adminDescription: Admin-Extension
governsId: 1.2.840.113556.1.3.21
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: rHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Admin-Extension,CN=Schema,CN=Configuration,DC=X
dn: CN=Protocol-Cfg-POP-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgPOPServer
adminDisplayName: Protocol-Cfg-POP-Server
adminDescription: Protocol-Cfg-POP-Server
governsId: 1.2.840.113556.1.3.71
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.69
schemaIdGuid:: znTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-POP-
changetype: add
ldapDisplayName: mHSPublicStore
adminDisplayName: MHS-Public-Store
adminDescription: MHS-Public-Store
governsId: 1.2.840.113556.1.3.28
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: vHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MHS-Public-Store,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: addIn
adminDisplayName: Add-In
adminDescription: Add-In
governsId: 1.2.840.113556.1.3.36
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: qnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Add-In,CN=Schema,CN=Configuration,DC=X
dn: CN=RFC1006-Stack,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rFC1006Stack
adminDisplayName: RFC1006-Stack
adminDescription: RFC1006-Stack
governsId: 1.2.840.113556.1.3.24
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.18
schemaIdGuid:: 13TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RFC1006-Stack,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgLDAPServer
adminDisplayName: Protocol-Cfg-LDAP-Server
adminDescription: Protocol-Cfg-LDAP-Server
governsId: 1.2.840.113556.1.3.77
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.75
schemaIdGuid:: yHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-LDAP-
dn: CN=Protocol-Cfg-IMAP-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgIMAPServer
adminDisplayName: Protocol-Cfg-IMAP-Server
adminDescription: Protocol-Cfg-IMAP-Server
governsId: 1.2.840.113556.1.3.85
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.84
schemaIdGuid:: xXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-IMAP-
dn: CN=MS-Mail-Connector,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMailConnector
adminDisplayName: MS-Mail-Connector
adminDescription: MS-Mail-Connector
governsId: 1.2.840.113556.1.3.31
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.51
schemaIdGuid:: vnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MS-Mail-Connector,CN=Schema,CN=Configuration,DC=X
dn: CN=msRADIUSProfile,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSProfile
adminDisplayName: msRADIUSProfile
adminDescription: msRADIUSProfile
governsId: 1.2.840.113556.1.5.166
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 2JAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=msRADIUSProfile,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mHSMessageStore
adminDisplayName: MHS-Message-Store
adminDescription: MHS-Message-Store
governsId: 1.2.840.113556.1.3.56
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: unTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MHS-Message-Store,CN=Schema,CN=Configuration,DC=X
dn: CN=Protocol-Cfg-HTTP-Site,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgHTTPSite
adminDisplayName: Protocol-Cfg-HTTP-Site
adminDescription: Protocol-Cfg-HTTP-Site
governsId: 1.2.840.113556.1.3.81
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.79
schemaIdGuid:: w3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-HTTP-
dn: CN=Protocol-Cfg-NNTP-Site,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgNNTPSite
adminDisplayName: Protocol-Cfg-NNTP-Site
adminDescription: Protocol-Cfg-NNTP-Site
governsId: 1.2.840.113556.1.3.73
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.72
schemaIdGuid:: zHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-NNTP-
dn: CN=msRADIUSVendors,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSVendors
adminDisplayName: msRADIUSVendors
adminDescription: msRADIUSVendors
governsId: 1.2.840.113556.1.5.170
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 3JAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=msRADIUSVendors,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mTACfg
adminDisplayName: MTA-Cfg
adminDescription: MTA-Cfg
governsId: 1.2.840.113556.1.3.3
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: qHTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MTA-Cfg,CN=Schema,CN=Configuration,DC=X
dn: CN=Virtual-Computer,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: virtualComputer
adminDisplayName: Virtual-Computer
adminDescription: Virtual-Computer
governsId: 1.2.840.113556.1.5.160
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.30
schemaIdGuid:: QsMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=X
dn: CN=msNetworkPolicy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msNetworkPolicy
adminDisplayName: msNetworkPolicy
adminDescription: msNetworkPolicy
governsId: 1.2.840.113556.1.5.168
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 2pAM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=msNetworkPolicy,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mHSServerMonitoringConfig
adminDisplayName: MHS-Server-Monitoring-Config
adminDescription: MHS-Server-Monitoring-Config
governsId: 1.2.840.113556.1.3.7
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.6
schemaIdGuid:: vXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MHS-Server-Monitoring-
dn: CN=Cluster-Organizational-Unit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: clusterOrganizationalUnit
adminDisplayName: Cluster-Organizational-Unit
adminDescription: Cluster-Organizational-Unit
governsId: 1.2.840.113556.1.5.159
rdnAttId: 2.5.4.11
subClassOf: 2.5.6.5
schemaIdGuid:: QcMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Cluster-Organizational-
Unit,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rASX400Link
adminDisplayName: RAS-X400-Link
adminDescription: RAS-X400-Link
governsId: 1.2.840.113556.1.3.34
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.29
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RAS-X400-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=X25-Stack,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: x25Stack
adminDisplayName: X25-Stack
adminDescription: X25-Stack
governsId: 1.2.840.113556.1.3.27
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.18
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=X25-Stack,CN=Schema,CN=Configuration,DC=X
dn: CN=Protocol-Cfg-NNTP-Server,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgNNTPServer
adminDisplayName: Protocol-Cfg-NNTP-Server
adminDescription: Protocol-Cfg-NNTP-Server
governsId: 1.2.840.113556.1.3.74
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.72
schemaIdGuid:: y3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-NNTP-
dn: CN=Residential-Person,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: residentialPerson
adminDisplayName: Residential-Person
adminDescription: Residential-Person
governsId: 2.5.6.10
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.6
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Residential-Person,CN=Schema,CN=Configuration,DC=X
dn: CN=TP4-Stack,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: tP4Stack
adminDisplayName: TP4-Stack
adminDescription: TP4-Stack
governsId: 1.2.840.113556.1.3.25
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.18
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=TP4-Stack,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Configuration,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQConfiguration
adminDisplayName: MSMQ-Configuration
adminDescription: MSMQ-Configuration
governsId: 1.2.840.113556.1.5.162
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: RMMNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Configuration,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: localDXA
adminDisplayName: Local-DXA
adminDescription: Local-DXA
governsId: 1.2.840.113556.1.3.1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: tXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Local-DXA,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: rASStack
adminDisplayName: RAS-Stack
adminDescription: RAS-Stack
governsId: 1.2.840.113556.1.3.26
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.18
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=RAS-Stack,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: addrType
adminDisplayName: Addr-Type
adminDescription: Addr-Type
governsId: 1.2.840.113556.1.3.57
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: q3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Addr-Type,CN=Schema,CN=Configuration,DC=X
dn: CN=Organizational-Role,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: organizationalRole
adminDisplayName: Organizational-Role
adminDescription: Organizational-Role
governsId: 2.5.6.8
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: v3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Organizational-
Role,CN=Schema,CN=Configuration,DC=X
dn: CN=X25-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: x25X400Link
adminDisplayName: X25-X400-Link
adminDescription: X25-X400-Link
governsId: 1.2.840.113556.1.3.35
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.29
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=X25-X400-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=msRADIUSDictionary,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: msRADIUSDictionary
adminDisplayName: msRADIUSDictionary
adminDescription: msRADIUSDictionary
governsId: 1.2.840.113556.1.5.169
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 25AM2/LB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=msRADIUSDictionary,CN=Schema,CN=Configuration,DC=X
dn: CN=Protocol-Cfg-POP-Site,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgPOPSite
adminDisplayName: Protocol-Cfg-POP-Site
adminDescription: Protocol-Cfg-POP-Site
governsId: 1.2.840.113556.1.3.70
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.69
schemaIdGuid:: z3TfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-POP-
# Make the may-contains of subschema class non-constructed.
changetype: modify
delete: systemFlags
changetype: modify
delete: systemFlags
changetype: modify
delete: systemFlags
changetype: modify
delete: systemFlags
changetype: modify
delete: systemFlags
changetype: modify
delete: systemFlags
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=SubSchema,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: subSchema
adminDisplayName: SubSchema
adminDescription: SubSchema
governsId: 2.5.20.1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: YTKLWo3D0RG7yQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=SubSchema,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
changetype: modify
add: systemFlags
changetype: modify
add: systemFlags
changetype: modify
add: systemFlags
changetype: modify
add: systemFlags
changetype: modify
add: systemFlags
changetype: add
ldapDisplayName: dXRequestor
adminDisplayName: DX-Requestor
adminDescription: DX-Requestor
governsId: 1.2.840.113556.1.3.19
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.2
schemaIdGuid:: rnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=DX-Requestor,CN=Schema,CN=Configuration,DC=X
dn: CN=TP4-X400-Link,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: tP4X400Link
adminDisplayName: TP4-X400-Link
adminDescription: TP4-X400-Link
governsId: 1.2.840.113556.1.3.33
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.29
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=TP4-X400-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Queue,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: mSMQQueue
adminDisplayName: MSMQ-Queue
adminDescription: MSMQ-Queue
governsId: 1.2.840.113556.1.5.161
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: Q8MNmgDB0RG7xQCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Queue,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgLDAPSite
adminDisplayName: Protocol-Cfg-LDAP-Site
adminDescription: Protocol-Cfg-LDAP-Site
governsId: 1.2.840.113556.1.3.76
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.75
schemaIdGuid:: yXTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-LDAP-
dn: CN=Protocol-Cfg-IMAP-Site,CN=Schema,CN=Configuration,DC=X
changetype: add
ldapDisplayName: protocolCfgIMAPSite
adminDisplayName: Protocol-Cfg-IMAP-Site
adminDescription: Protocol-Cfg-IMAP-Site
governsId: 1.2.840.113556.1.3.86
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.84
schemaIdGuid:: xnTfqOrF0RG7ywCAx2ZwwA==
hideFromAB: TRUE
systemOnly: FALSE
defaultObjectCategory: CN=Protocol-Cfg-IMAP-
# Modifies
dn: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
dn: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
changetype: modify
systemMayContain: mail
changetype: modify
systemMayContain: c
dn: CN=RID-Available-Pool,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: systemOnly
systemOnly: FALSE
dn: CN=Activation-Schedule,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: rangeUpper
rangeUpper: 84
add: rangeLower
rangeLower: 84
dn: CN=Extension-Attribute-1,CN=Schema,CN=Configuration,DC=X
changetype: modify
ldapDisplayName: extensionAttribute1
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Common-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
attributeSecurityGuid:: VAGN5Pi80RGHAgDAT7lgUA==
dn: CN=E-mail-Addresses,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Manager,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Description,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Display-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Attribute-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Comment,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Proxied-Object-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
add: systemFlags
systemFlags: 2
dn: CN=Trust-Partner,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 1
dn: CN=User-Cert,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=User-SMIME-Certificate,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Department,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Company,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Alternate-Security-Identities,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Division,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Display-Name-Printable,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
dn: CN=Reports,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=Flat-Name,CN=Schema,CN=Configuration,DC=X
changetype: modify
searchFlags: 1
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Application-Entity,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
dn: CN=Mailbox,CN=Schema,CN=Configuration,DC=X
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
changetype: modify
dn: CN=Remote-Address,CN=Schema,CN=Configuration,DC=X
changetype: modify
dn: CN=When-Created,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: omSyntax
omSyntax: 24
dn: CN=When-Changed,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: omSyntax
omSyntax: 24
dn: CN=Schema-Update,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: omSyntax
omSyntax: 24
dn: CN=Schema-Update-Now,CN=Schema,CN=Configuration,DC=X
changetype: modify
replace: omSyntax
omSyntax: 24
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=Aggregate,CN=Schema,CN=Configuration,DC=X
changetype: add
objectClass: subschema
dn: CN=User-Change-Password,CN=Extended-Rights,CN=Configuration,DC=X
changetype: modify
add: appliesTo
displayName: Change Password
changetype: modify
add: appliesTo
changetype: modify
add: appliesTo
changetype: modify
add: appliesTo
appliesTo: bf967a9c-0de6-11d0-a285-00aa003049e2
changetype: modify
add: appliesTo
appliesTo: 5cb41ed0-0e4c-11d0-a286-00aa003049e2
changetype: modify
add: appliesTo
appliesTo: 5cb41ed0-0e4c-11d0-a286-00aa003049e2
changetype: add
displayName: Public Information
rightsGUID: e48d0154-bcf8-11d1-8702-00c04fb96050
hideFromAB: TRUE
dn: CN=RRAS,CN=Services,CN=Configuration,DC=X
changetype: add
objectClass: container
hideFromAb: TRUE
dn: CN=Radius,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAb: TRUE
dn: CN=EAPEntries,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAb: TRUE
dn: CN=IdentityDictionary,CN=RRAS,CN=Services,CN=Configuration,DC=X
changetype: add
objectClass: rRASAdministrationDictionary
hideFromAb: TRUE
msRRASVendorAttributeEntry: 311:0:8:RIP (version 1 or 2)
msRRASVendorAttributeEntry: 311:0:13:OSPF
msRRASVendorAttributeEntry: 311:1:10:IGMP Only
msRRASVendorAttributeEntry: 311::5:1:IPX RIP
msRRASVendorAttributeEntry: 311:5:2:IPX SAP
msRRASVendorAttributeEntry: 311:6:501:IP Forwarding Enabled
msRRASVendorAttributeEntry: 311:6:502:IPX Forwarding Enabled
msRRASVendorAttributeEntry: 311:6:503:AppleTalk Forwarding Enabled
msRRASVendorAttributeEntry: 311:6:601:LAN-to- LAN Router
msRRASVendorAttributeEntry: 311:6:602:Remote Access Server
msRRASVendorAttributeEntry: 311:6:603:Demand Dial Router
msRRASVendorAttributeEntry: 311:6:604:Network Address and Port Translation
msRRASVendorAttributeEntry: 311:6:701:Point-to-Point Tunneling Protocol
msRRASVendorAttributeEntry: 311:6:702:Layer 2 Tunneling Protocol
msRRASVendorAttributeEntry: 311:6:703:Frame Relay
msRRASVendorAttributeEntry: 311:6:704:ATM
msRRASVendorAttributeEntry: 311:6:705:ISDN
msRRASVendorAttributeEntry: 311:6:706:Modem
msRRASVendorAttributeEntry: 311:6:707:SONET
msRRASVendorAttributeEntry: 311:6:708:Switched 56
msRRASVendorAttributeEntry: 311:6:709:IrDA
msRRASVendorAttributeEntry: 311:6:710:X.25
msRRASVendorAttributeEntry: 311:6:711:Generic WAN
msRRASVendorAttributeEntry: 311:6:712:Generic LAN
msRRASVendorAttributeEntry: 311:6:713:Point to point serial connection
msRRASVendorAttributeEntry: 311:6:714:Point to point parallel connection
msRRASVendorAttributeEntry: 311:6:801:NT Domain Authentication
msRRASVendorAttributeEntry: 311:6:802:RADIUS Authentication
msRRASVendorAttributeEntry: 311:6:803:RADIUS Accouting
dn: CN=RadiusProfiles,CN=Radius,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
dn: CN=NetworkPolicy,CN=Radius,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
dn: CN=Dictionary,CN=Radius,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
dn: CN=Vendors,CN=Radius,CN=Services,CN=Configuration,DC=X
changetype: add
hideFromAB: TRUE
dn: CN=MD5 Challenge,CN=EAPEntries,CN=Services,CN=Configuration,DC=X
changetype: add
objectClass: EAP
msRADIUSEapTypeID: 4
msRADIUSEapKeyFlag: TRUE
hideFromAB: TRUE
dn: CN=Transport Layer

Security,CN=EAPEntries,CN=Services,CN=Configuration,DC=X
changetype: add
objectClass: EAP
msRADIUSEapTypeID: 13
msRADIUSEapKeyFlag: TRUE
hideFromAB: TRUE

changetype: modify
delete: lDAPAdminLimits
add: lDAPAdminLimits
changetype: modify
objectVersion: 4
Sch5.ldf
Does not exist
Sch6.ldf
dn: CN=Hide-From-Address-Book,CN=Schema,CN=Configuration,DC=X
newrdn: Show-In-Advanced-View-Only
deleteoldrdn: 1
dn: CN=Show-In-Advanced-View-Only,CN=Schema,CN=Configuration,DC=X
adminDisplayName: Show-In-Advanced-View-Only
adminDescription: Show-In-Advanced-View-Only
ldapDisplayName: showInAdvancedViewOnly
dn: CN=Creation-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: creationTime
dn:
schemaUpdateNow: 1
dn: CN=Create-Time-Stamp,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: createTimeStamp
adminDescription: Create-Time-Stamp
adminDisplayName: Create-Time-Stamp
attributeID: 2.5.18.1
oMSyntax: 24
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: cw35LZ8A0hGqTADAT9fYOg==
dn: CN=msCiscoAV,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCiscoAV
adminDisplayName: msCiscoAV
adminDescription: msCiscoAV
attributeId: 1.2.840.113556.1.4.1230
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eg35LZ8A0hGqTADAT9fYOg==
dn: CN=Parent-GUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: parentGUID
adminDisplayName: Parent-GUID
adminDescription: Parent-GUID
attributeId: 1.2.840.113556.1.4.1224
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: dA35LZ8A0hGqTADAT9fYOg==
dn: CN=msNPAction,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msNPAction
adminDisplayName: msNPAction
adminDescription: msNPAction
attributeId: 1.2.840.113556.1.4.1234
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fg35LZ8A0hGqTADAT9fYOg==
dn: CN=msRASFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRASFilter
adminDisplayName: msRASFilter
adminDescription: msRASFilter
attributeId: 1.2.840.113556.1.4.1229
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eQ35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Ds-Service,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQDsService
adminDisplayName: MSMQ-Ds-Service
adminDescription: MSMQ-Ds-Service
attributeId: 1.2.840.113556.1.4.1238
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gg35LZ8A0hGqTADAT9fYOg==
dn: CN=Netboot-SIF-File,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: netbootSIFFile
adminDisplayName: Netboot-SIF-File
adminDescription: Netboot-SIF-File
attributeId: 1.2.840.113556.1.4.1240
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hA35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Ds-Services,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQDsServices
adminDisplayName: MSMQ-Ds-Services
adminDescription: MSMQ-Ds-Services
attributeId: 1.2.840.113556.1.4.1228
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eA35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Queue-Name-Ext,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQQueueNameExt
adminDisplayName: MSMQ-Queue-Name-Ext
adminDescription: MSMQ-Queue-Name-Ext
attributeId: 1.2.840.113556.1.4.1243
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 92
schemaIdGuid:: hw35LZ8A0hGqTADAT9fYOg==
dn: CN=DN-Reference-Update,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dNReferenceUpdate
adminDisplayName: DN-Reference-Update
adminDescription: DN-Reference-Update
attributeId: 1.2.840.113556.1.4.1242
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: hg35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Prev-Site-Gates,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQPrevSiteGates
adminDisplayName: MSMQ-Prev-Site-Gates
adminDescription: MSMQ-Prev-Site-Gates
attributeId: 1.2.840.113556.1.4.1225
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dQ35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Routing-Service,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQRoutingService
adminDisplayName: MSMQ-Routing-Service
adminDescription: MSMQ-Routing-Service
attributeId: 1.2.840.113556.1.4.1237
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gQ35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Routing-Services,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQRoutingServices
adminDisplayName: MSMQ-Routing-Services
adminDescription: MSMQ-Routing-Services
attributeId: 1.2.840.113556.1.4.1227
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dw35LZ8A0hGqTADAT9fYOg==
dn: CN=msRADIUSReplyMessage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUSReplyMessage
adminDisplayName: msRADIUSReplyMessage
adminDescription: msRADIUSReplyMessage
attributeId: 1.2.840.113556.1.4.1235
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fw35LZ8A0hGqTADAT9fYOg==
dn: CN=Netboot-Mirror-Data-File,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: netbootMirrorDataFile
adminDisplayName: Netboot-Mirror-Data-File
adminDescription: Netboot-Mirror-Data-File
attributeId: 1.2.840.113556.1.4.1241
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hQ35LZ8A0hGqTADAT9fYOg==
dn: CN=msNPOverrideUserDialin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msNPOverrideUserDialin
adminDisplayName: msNPOverrideUserDialin
adminDescription: msNPOverrideUserDialin
attributeId: 1.2.840.113556.1.4.1233
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fQ35LZ8A0hGqTADAT9fYOg==
dn: CN=msNPAuthenticationType2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msNPAuthenticationType2
adminDisplayName: msNPAuthenticationType2
adminDescription: msNPAuthenticationType2
attributeId: 1.2.840.113556.1.4.1236
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gA35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Dependent-Client-Service,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQDependentClientService
adminDisplayName: MSMQ-Dependent-Client-Service
adminDescription: MSMQ-Dependent-Client-Service
attributeId: 1.2.840.113556.1.4.1239
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gw35LZ8A0hGqTADAT9fYOg==
dn: CN=msRADIUSRasServerGroupGUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUSRasServerGroupGUID
adminDisplayName: msRADIUSRasServerGroupGUID
adminDescription: msRADIUSRasServerGroupGUID
attributeId: 1.2.840.113556.1.4.1231
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ew35LZ8A0hGqTADAT9fYOg==
dn: CN=MSMQ-Dependent-Client-Services,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQDependentClientServices
adminDisplayName: MSMQ-Dependent-Client-Services
adminDescription: MSMQ-Dependent-Client-Services
attributeId: 1.2.840.113556.1.4.1226
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dg35LZ8A0hGqTADAT9fYOg==
dn: CN=msRADIUSRasServerSetupFlags,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUSRasServerSetupFlags
adminDisplayName: msRADIUSRasServerSetupFlags
adminDescription: msRADIUSRasServerSetupFlags
attributeId: 1.2.840.113556.1.4.1232
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fA35LZ8A0hGqTADAT9fYOg==
dn: CN=Address-Book-Roots,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: addressBookRoots
adminDisplayName: Address-Book-Roots
adminDescription: Address-Book-Roots
attributeId: 1.2.840.113556.1.4.1244
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SG4L9/QG0hGqUwDAT9fYOg==
dn: CN=Global-Address-List,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: globalAddressList
adminDisplayName: Global-Address-List
adminDescription: Global-Address-List
attributeId: 1.2.840.113556.1.4.1245
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SMdU9/QG0hGqUwDAT9fYOg==
dn: CN=Infrastructure-Update,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: infrastructureUpdate
adminDisplayName: Infrastructure-Update
adminDescription: Infrastructure-Update
governsId: 1.2.840.113556.1.5.175
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: iQ35LZ8A0hGqTADAT9fYOg==
systemOnly: TRUE
defaultObjectCategory: CN=Infrastructure-
Update,CN=Schema,CN=Configuration,DC=X
dn: CN=msRADIUSConfigSettings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUSConfigSettings
adminDisplayName: msRADIUSConfigSettings
adminDescription: msRADIUSConfigSettings
governsId: 1.2.840.113556.1.5.174
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: iA35LZ8A0hGqTADAT9fYOg==
systemOnly: FALSE
defaultObjectCategory:
CN=msRADIUSConfigSettings,CN=Schema,CN=Configuration,DC=X
dn: CN=msExch-Configuration-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msExchConfigurationContainer
adminDisplayName: msExch-Configuration-Container
adminDescription: msExch-Configuration-Container
governsId: 1.2.840.113556.1.5.176
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.23
schemaIdGuid:: WGg90PQG0hGqUwDAT9fYOg==
systemOnly: FALSE
defaultObjectCategory: CN=msExch-Configuration-
replace: rangeLower
rangeLower: 0
replace: attributeSecurityGUID
attributeSecurityGUID:: Qi+6WaJ50BGQIADAT8LTzw==
dn: CN=MSMQ-Site-Gates,CN=Schema,CN=Configuration,DC=X
add: oMObjectClass
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCRCWOWDSDSW;;;DA)
(A;;RPWPCRCCDCLCRCWOWDSDSW;;;SY)(A;;RPLCRC;;;AU)(OA;;CR;edacfd8f-ffb3-11d1-
b41d-00a0c968f939;;AU)S:(AU;SAFA;WDWOSDWPCRCCDCSW;;;WD)
(A;;CC;;;AU)(A;;RPLCLORC;;;WD)S:(AU;SAFA;WDWOSDDTWPCRCCDCSW;;;WD)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)(A;;RPLCLORC;;;WD)S:
(AU;SAFA;WDWOSDDTWPCRCCDCSW;;;WD)
-
defaultSecurityDescriptor: D:(A;;RP;;;WD)(OA;;RPWPCR;1131f6aa-9c07-11d1-
f79f-00c04fc2dcd2;;ED)(OA;;RPWPCR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;ED)
(OA;;RPWPCR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;RPWPCR;1131f6aa-
9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;RPWPCR;1131f6ab-9c07-11d1-f79f-
00c04fc2dcd2;;BA)(OA;;RPWPCR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;BA)
(A;;RPLCRC;;;AU)(A;;RPWPCRLCLOCCRCWDWOSW;;;DA)
(A;CIOI;RPWPCRLCLOCCRCWDWOSDSW;;;BA)(A;;RPWPCRLCLOCCDCRCWDWOSDSW;;;SY)S:
(AU;SAFA;WDWOSDWPCRCCDCSW;;;WD)
defaultSecurityDescriptor: D:(A;;RP;;;WD)(OA;;RPWPCR;1131f6aa-9c07-11d1-
f79f-00c04fc2dcd2;;ED)(OA;;RPWPCR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;ED)
(OA;;RPWPCR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;RPWPCR;1131f6aa-
9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;RPWPCR;1131f6ab-9c07-11d1-f79f-
00c04fc2dcd2;;BA)(OA;;RPWPCR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;BA)
(A;;RPLCRC;;;AU)(A;;RPWPCRLCLOCCDCRCWDWOSW;;;DA)
(A;CIOI;RPWPCRLCLOCCRCWDWOSDSW;;;BA)(A;;RPWPCRLCLOCCDCRCWDWOSDSW;;;SY)S:
(AU;SAFA;WDWOSDWPCRCCDCSW;;;WD)
dn: CN=RID-Set,CN=Schema,CN=configuration,DC=X
systemPossSuperiors: User
dn: CN=NTFRS-Subscriptions,CN=Schema,CN=configuration,DC=X
systemPossSuperiors: User
add: systemAuxiliaryClass
dn: CN=msRADIUSProfile,CN=Schema,CN=Configuration,DC=X
dn: CN=msNetworkPolicy,CN=Schema,CN=Configuration,DC=X
replace: mAPIID
mAPIID: 33036
replace: mAPIID
mAPIID: 14870
replace: mAPIID
mAPIID: 14856
replace: mAPIID
mAPIID: 35950
# Delete Owner's and owner-BL's mapiid before adding the same
# to Managed-By and Managed-Objects.
dn: CN=Owner,CN=Schema,CN=Configuration,DC=X
delete: mAPIID
dn: CN=Owner-BL,CN=Schema,CN=Configuration,DC=X
delete: mAPIID
dn: CN=Managed-By,CN=Schema,CN=Configuration,DC=X
add: mAPIID
mAPIID: 32780
dn: CN=Managed-Objects,CN=Schema,CN=Configuration,DC=X
add: mAPIID
mAPIID: 32804
delete: mAPIID
delete: mAPIID
delete: mAPIID
delete: mAPIID
dn: CN=Presentation-Address,CN=Schema,CN=Configuration,DC=X
delete: mAPIID
dn: CN=Additional-Information,CN=Schema,CN=Configuration,DC=X
delete: mAPIID
dn: CN=Tagged-X509-Cert,CN=Schema,CN=Configuration,DC=X
delete: mAPIID
dn: CN=Show-In-Address-Book,CN=Schema,CN=Configuration,DC=X
dn: CN=Legacy-Exchange-DN,CN=Schema,CN=Configuration,DC=X
attributeSecurityGUID:: +IhwA+EK0hG0IgCgyWj5OQ==
dn: CN=msNPCallingStationId,CN=Schema,CN=Configuration,DC=X
dn: CN=msNPConstraint,CN=Schema,CN=Configuration,DC=X
dn: CN=Obj-Dist-Name,CN=Schema,CN=Configuration,DC=X
attributeSecurityGUID:: VAGN5Pi80RGHAgDAT7lgUA==
dn: CN=Object-Guid,CN=Schema,CN=Configuration,DC=X
dn: CN=System-Flags,CN=Schema,CN=Configuration,DC=X
dn: CN=Allowed-Attributes,CN=Schema,CN=Configuration,DC=X
dn: CN=Allowed-Attributes-Effective,CN=Schema,CN=Configuration,DC=X
dn: CN=Allowed-Child-Classes,CN=Schema,CN=Configuration,DC=X
dn: CN=Allowed-Child-Classes-Effective,CN=Schema,CN=Configuration,DC=X
dn: CN=COM-ClassID,CN=Schema,CN=Configuration,DC=X
delete: rangeLower
delete: rangeUpper
dn:
schemaUpdateNow: 1
# New Extended right add
dn: CN=Apply-Group-Policy,CN=Extended-Rights,CN=Configuration,DC=X
rightsGUID: edacfd8f-ffb3-11d1-b41d-00a0c968f939
displayName: Apply Group Policy
appliesTo: f30e3bc2-9ff0-11d1-b603-0000f80367c1
dn: CN=RAS-Information,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Remote Access Information
rightsGUID: 037088f8-0ae1-11d2-b422-00a0c968f939
# Modify exisiting Extended right
# Modrdns in config container require FLAG_CONFIG_ALLOW_RENAME
# For all such renames, we will set the flag, rename, and then
# delete the flag. Currently, none of the objects modified here
# has the flag set. The flag is 0x40000000, we set the decimal
dn: CN=msmq-Open-Conector,CN=Extended-Rights,CN=Configuration,DC=X
add: systemFlags
dn: CN=msmq-Open-Conector,CN=Extended-Rights,CN=Configuration,DC=X
newrdn: msmq-Open-Connector
deleteoldrdn: 1
dn: CN=msmq-Open-Connector,CN=Extended-Rights,CN=Configuration,DC=X
delete: systemFlags
# Display Specifier Changes
dn: CN=user-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
attributeDisplayNames: userFullName,User Full Name
attributeDisplayNames: displayName,Display Name
dn: CN=user-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
delete: adminContextMenu
adminContextMenu: 2,{8c5b1b50-d46e-11d1-8091-00a024c48131}
adminPropertyPages: 7,{8c5b1b50-d46e-11d1-8091-00a024c48131}
dn: CN=group-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=domainDNS-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=contact-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=localPolicy-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=computer-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=printQueue-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=site-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=server-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=nTDSDSA-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=subnet-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=siteLink-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=siteLinkBridge-
dn: CN=licensingSiteSettings-
dn: CN=nTFRSMember-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=container-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=rpcContainer-
dn: CN=volume-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=sitesContainer-
dn: CN=interSiteTransportContainer-
dn: CN=subnetContainer-
dn: CN=serversContainer-
dn: CN=nTDSService-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=queryPolicy-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=mSMQQueue-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
add: creationWizard
creationWizard: {E62F8206-B71C-11D1-808D-00A024C48131}
dn: CN=mSMQSiteLink-
add: creationWizard
creationWizard: {87b31390-d46d-11d1-8091-00a024c48131}
dn: CN=remoteStorageServicePoint-
replace: classDisplayName
classDisplayName: Remote Storage Service
adminContextMenu: 0,&Manage ...,RsAdmin.msc
adminContextMenu: 0,&Manage...,RsAdmin.msc
dn: CN=foreignSecurityPrincipal-
classDisplayName: Foreign Security Principal
dn: CN=Settings,CN=Radius,CN=Services,CN=Configuration,DC=X
# name change for well-known-security-principals
dn: CN=CreatorOwner,CN=WellKnown Security Principals,CN=Configuration,DC=X
add: systemFlags
dn: CN=CreatorOwner,CN=WellKnown Security Principals,CN=Configuration,DC=X
newrdn: Creator Owner
deleteoldrdn: 1
dn: CN=Creator Owner,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags
dn: CN=CreatorGroup,CN=WellKnown Security Principals,CN=Configuration,DC=X
add: systemFlags
dn: CN=CreatorGroup,CN=WellKnown Security Principals,CN=Configuration,DC=X
newrdn: Creator Group
deleteoldrdn: 1
dn: CN=Creator Group,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags
dn: CN=PrincipalSelf,CN=WellKnown Security Principals,CN=Configuration,DC=X
add: systemFlags
dn: CN=PrincipalSelf,CN=WellKnown Security Principals,CN=Configuration,DC=X
newrdn: Principal Self
deleteoldrdn: 1
dn: CN=Principal Self,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags
dn: CN=AuthenticatedUser,CN=WellKnown Security

Principals,CN=Configuration,DC=X
add: systemFlags
dn: CN=AuthenticatedUser,CN=WellKnown Security

newrdn: Authenticated User
deleteoldrdn: 1
dn: CN=Authenticated User,CN=WellKnown Security

delete: systemFlags
# Update schema version
changetype: modify
objectVersion: 6
Sch7.ldf
newrdn: Proxied-Object-Name-Unused
deleteoldrdn: 1
dn: CN=Proxied-Object-Name-Unused,CN=Schema,CN=Configuration,DC=X
adminDisplayName: Proxied-Object-Name-Unused
adminDescription: Proxied-Object-Name-Unused
ldapDisplayName: proxiedObjectNameUnused
replace: schemaIdGuid
schemaIdGuid:: X55550su0hG6vZjY/cfjDw==
ldapDisplayName: proxiedObjectName
adminDisplayName: Proxied-Object-Name
adminDescription: Proxied-Object-Name
attributeId: 1.2.840.113556.1.4.1249
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: AqSu4VvN0BGv/wAA+ANnwQ==
systemFlags: 2
replace: omObjectClass
omObjectClass:: KoZIhvcUAQEBCw==
dn: CN=Inter-Site-Topology-Renew,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: interSiteTopologyRenew
adminDisplayName: Inter-Site-Topology-Renew
adminDescription: Inter-Site-Topology-Renew
attributeId: 1.2.840.113556.1.4.1247
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: X57Gt8cs0hGFTgCgyYP2CA==
dn: CN=Inter-Site-Topology-Failover,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: interSiteTopologyFailover
adminDisplayName: Inter-Site-Topology-Failover
adminDescription: Inter-Site-Topology-Failover
attributeId: 1.2.840.113556.1.4.1248
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YJ7Gt8cs0hGFTgCgyYP2CA==
dn: CN=Inter-Site-Topology-Generator,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: interSiteTopologyGenerator
adminDisplayName: Inter-Site-Topology-Generator
adminDescription: Inter-Site-Topology-Generator
attributeId: 1.2.840.113556.1.4.1246
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Xp7Gt8cs0hGFTgCgyYP2CA==
dn: CN=Token-Groups,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: tokenGroups
adminDisplayName: Token-Groups
adminDescription: Token-Groups
attributeId: 1.2.840.113556.1.4.1301
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bZ7Gt8cs0hGFTgCgyYP2CA==
attributeSecurityGuid:: ksMPBN8z0hGYsgAA+HpX1A==
dn: CN=Token-Groups-No-GC-Acceptable,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: tokenGroupsNoGCAcceptable
adminDisplayName: Token-Groups-No-GC-Acceptable
adminDescription: Token-Groups-No-GC-Acceptable
attributeId: 1.2.840.113556.1.4.1303
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ksMPBN8z0hGYsgAA+HpX1A==
attributeSecurityGuid:: ksMPBN8z0hGYsgAA+HpX1A==
dn: CN=SD-Rights-Effective,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: sDRightsEffective
adminDisplayName: SD-Rights-Effective
adminDescription: SD-Rights-Effective
attributeId: 1.2.840.113556.1.4.1304
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pq/bw98z0hGYsgAA+HpX1A==
dn: CN=Parent-GUID,CN=Schema,CN=Configuration,DC=X
dn: CN=DN-Reference-Update,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=Sub-Class-Of,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
searchFlags: 8
dn: CN=Instance-Type,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=RDN,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
searchFlags: 9
dn: CN=Repl-Property-Meta-Data,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=User-Account-Control,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
dn: CN=NC-Name,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=USN-Created,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
dn: CN=Governs-ID,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=Attribute-ID,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=Attribute-Syntax,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
searchFlags: 8
dn: CN=USN-Changed,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
searchFlags: 13
dn: CN=Object-Sid,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
dn: CN=SAM-Account-Name,CN=Schema,CN=Configuration,DC=X
searchFlags: 13
dn: CN=OM-Syntax,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
searchFlags: 9
dn: CN=NT-Security-Descriptor,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=System-Flags,CN=Schema,CN=Configuration,DC=X
searchFlags: 8
dn: CN=MSMQ-Owner-ID,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
dn: CN=LDAP-Display-Name,CN=Schema,CN=Configuration,DC=X
searchFlags: 9
dn: CN=DHCP-Class,CN=Schema,CN=Configuration,DC=X
dn: CN=Sam-Server,CN=Schema,CN=Configuration,DC=X
dn: CN=DMD,CN=Schema,CN=Configuration,DC=X
dn: CN=Cross-Ref,CN=Schema,CN=Configuration,DC=X
dn: CN=Configuration,CN=Schema,CN=Configuration,DC=X
dn: CN=Connection-Point,CN=Schema,CN=Configuration,DC=X
dn: CN=Domain-Policy,CN=Schema,CN=Configuration,DC=X
dn: CN=Application-Settings,CN=Schema,CN=Configuration,DC=X
dn: CN=Application-Site-Settings,CN=Schema,CN=Configuration,DC=X
dn: CN=Foreign-Security-Principal,CN=Schema,CN=Configuration,DC=X
dn: CN=Control-Access-Right,CN=Schema,CN=Configuration,DC=X
dn: CN=Assoc-Remote-DXA,CN=Schema,CN=Configuration,DC=X
replace: LinkID
LinkID: 123
dn: CN=NNTP-Newsfeeds,CN=Schema,CN=Configuration,DC=X
replace: LinkID
LinkID: 141
dn: CN=Supporting-Stack-BL,CN=Schema,CN=Configuration,DC=X
replace: LinkID
LinkID: 133
dn:
schemaUpdateNow: 1
# name change for MSMQ objects
dn: CN=msmq-Peak-Dead-Letter,CN=Extended-Rights,CN=Configuration,DC=X
add: systemFlags
dn: CN=msmq-Peak-Dead-Letter,CN=Extended-Rights,CN=Configuration,DC=X
newrdn: msmq-Peek-Dead-Letter
deleteoldrdn: 1
dn: CN=msmq-Peek-Dead-Letter,CN=Extended-Rights,CN=Configuration,DC=X
delete: systemFlags
dn: CN=msmq-Receive-machine-Journal,CN=Extended-Rights,CN=Configuration,DC=X
add: systemFlags
dn: CN=msmq-Receive-machine-Journal,CN=Extended-Rights,CN=Configuration,DC=X
newrdn: msmq-Receive-computer-Journal
deleteoldrdn: 1
dn: CN=msmq-Receive-computer-Journal,CN=Extended-
delete: systemFlags
dn: CN=msmq-Peak-machine-Journal,CN=Extended-Rights,CN=Configuration,DC=X
add: systemFlags
dn: CN=msmq-Peak-machine-Journal,CN=Extended-Rights,CN=Configuration,DC=X
newrdn: msmq-Peek-computer-Journal
deleteoldrdn: 1
dn: CN=msmq-Peek-computer-Journal,CN=Extended-Rights,CN=Configuration,DC=X
delete: systemFlags
dn: CN=msmq-Peak,CN=Extended-Rights,CN=Configuration,DC=X
add: systemFlags
dn: CN=msmq-Peak,CN=Extended-Rights,CN=Configuration,DC=X
newrdn: msmq-Peek
deleteoldrdn: 1
dn: CN=msmq-Peek,CN=Extended-Rights,CN=Configuration,DC=X
delete: systemFlags
displayName: Peek Dead Letter
displayName: Receive Computer Journal
displayName: Peek Computer Journal
displayName: Peek Message
dn: CN=mSMQQueue-display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
classDisplayName: MSMQ Queue
add: treatAsLeaf
treatAsLeaf: TRUE
dn: CN=mSMQConfiguration-
classDisplayName: MSMQ Configuration
dn: CN=mSMQEnterpriseSettings-
classDisplayName: MSMQ Enterprise

-
classDisplayName: MSMQ Site Link
objectVersion: 7
Sch8.ldf
dn: CN=Print-Duplex-Supported,CN=Schema,CN=Configuration,DC=X
newrdn: Print-Duplex-Supported-Unused
deleteoldrdn: 1
dn: CN=Print-Duplex-Supported-Unused,CN=Schema,CN=Configuration,DC=X
adminDisplayName: Print-Duplex-Supported-Unused
adminDescription: Print-Duplex-Supported-Unused
ldapDisplayName: printDuplexSupportedUnused
replace: schemaIdGuid
schemaIdGuid:: AsPDrFY80hGf8LYGeY0bDw==
dn: CN=Assoc-NT-Account-Unused,CN=Schema,CN=Configuration,DC=X
newrdn: DS-Heuristics
deleteoldrdn: 1
dn: CN=DS-Heuristics,CN=Schema,CN=Configuration,DC=X
adminDisplayName: DS-Heuristics
adminDescription: DS-Heuristics
ldapDisplayName: dSHeuristics
delete: mapiID
dn: cn=print-duplex-supported,cn=schema,cn=configuration,DC=X
lDAPDisplayName: printDuplexSupported
adminDescription: Print-Duplex-Supported
adminDisplayName: Print-Duplex-Supported
attributeID: 1.2.840.113556.1.4.1311
oMSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: zBYUKGgZ0BGijwCqADBJ4g==
dn: CN=Move-Tree-State,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: moveTreeState
adminDisplayName: Move-Tree-State
adminDescription: Move-Tree-State
attributeId: 1.2.840.113556.1.4.1305
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yMIqH3E70hGQzADAT9kasQ==
dn: CN=PKI-Key-Usage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIKeyUsage
adminDisplayName: PKI-Key-Usage
adminDescription: PKI-Key-Usage
attributeId: 1.2.840.113556.1.4.1328
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fqiw6Z070hGQzADAT9kasQ==
dn: CN=DNS-Property,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dNSProperty
adminDisplayName: DNS-Property
adminDescription: DNS-Property
attributeId: 1.2.840.113556.1.4.1306
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /hVaZ3A70hGQzADAT9kasQ==
dn: CN=DS-Heuristics,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dSHeuristics
adminDisplayName: DS-Heuristics
adminDescription: DS-Heuristics
attributeId: 1.2.840.113556.1.2.212
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hv/48JER0BGgYACqAGwz7Q==
dn: CN=MSMQ-Interval1,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQInterval1
adminDisplayName: MSMQ-Interval1
adminDescription: MSMQ-Interval1
attributeId: 1.2.840.113556.1.4.1308
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qiWojns70hGQzADAT9kasQ==
dn: CN=MSMQ-Interval2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQInterval2
adminDisplayName: MSMQ-Interval2
adminDescription: MSMQ-Interval2
attributeId: 1.2.840.113556.1.4.1309
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Uo+4mXs70hGQzADAT9kasQ==
dn: CN=ACS-Server-List,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSServerList
adminDisplayName: ACS-Server-List
adminDescription: ACS-Server-List
attributeId: 1.2.840.113556.1.4.1312
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pVm9fJA70hGQzADAT9kasQ==
dn: CN=PKI-Default-CSPs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIDefaultCSPs
adminDisplayName: PKI-Default-CSPs
adminDescription: PKI-Default-CSPs
attributeId: 1.2.840.113556.1.4.1334
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bjP2Hp470hGQzADAT9kasQ==
dn: CN=MSMQ-Site-Gates-Mig,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQSiteGatesMig
adminDisplayName: MSMQ-Site-Gates-Mig
adminDescription: MSMQ-Site-Gates-Mig
attributeId: 1.2.840.113556.1.4.1310
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Ukhw4ns70hGQzADAT9kasQ==
dn: CN=PKI-Overlap-Period,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIOverlapPeriod
adminDisplayName: PKI-Overlap-Period
adminDescription: PKI-Overlap-Period
attributeId: 1.2.840.113556.1.4.1332
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 7KMZEp470hGQzADAT9kasQ==
dn: CN=PKI-Default-Key-Spec,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIDefaultKeySpec
adminDisplayName: PKI-Default-Key-Spec
adminDescription: PKI-Default-Key-Spec
attributeId: 1.2.840.113556.1.4.1327
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bq5sQp070hGQzADAT9kasQ==
dn: CN=ACS-Minimum-Latency,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSMinimumLatency
adminDisplayName: ACS-Minimum-Latency
adminDescription: ACS-Minimum-Latency
attributeId: 1.2.840.113556.1.4.1316
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +/4XlZA70hGQzADAT9kasQ==
dn: CN=ACS-Maximum-SDU-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSMaximumSDUSize
adminDisplayName: ACS-Maximum-SDU-Size
adminDescription: ACS-Maximum-SDU-Size
attributeId: 1.2.840.113556.1.4.1314
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +diih5A70hGQzADAT9kasQ==
dn: CN=Account-Name-History,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: accountNameHistory
adminDisplayName: Account-Name-History
adminDescription: Account-Name-History
attributeId: 1.2.840.113556.1.4.1307
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 7FIZA3I70hGQzADAT9kasQ==
dn: CN=PKI-Max-Issuing-Depth,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIMaxIssuingDepth
adminDisplayName: PKI-Max-Issuing-Depth
adminDescription: PKI-Max-Issuing-Depth
attributeId: 1.2.840.113556.1.4.1329
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +t6/8J070hGQzADAT9kasQ==
dn: CN=PKI-Extended-Key-Usage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIExtendedKeyUsage
adminDisplayName: PKI-Extended-Key-Usage
adminDescription: PKI-Extended-Key-Usage
attributeId: 1.2.840.113556.1.4.1333
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9mqXGJ470hGQzADAT9kasQ==
dn: CN=PKI-Expiration-Period,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIExpirationPeriod
adminDisplayName: PKI-Expiration-Period
adminDescription: PKI-Expiration-Period
attributeId: 1.2.840.113556.1.4.1331
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 0nAVBJ470hGQzADAT9kasQ==
dn: CN=ACS-Minimum-Policed-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSMinimumPolicedSize
adminDisplayName: ACS-Minimum-Policed-Size
adminDescription: ACS-Minimum-Policed-Size
attributeId: 1.2.840.113556.1.4.1315
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lXEOjZA70hGQzADAT9kasQ==
dn: CN=PKI-Critical-Extensions,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKICriticalExtensions
adminDisplayName: PKI-Critical-Extensions
adminDescription: PKI-Critical-Extensions
attributeId: 1.2.840.113556.1.4.1330
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BpFa/J070hGQzADAT9kasQ==
dn: CN=ACS-Non-Reserved-Peak-Rate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSNonReservedPeakRate
adminDisplayName: ACS-Non-Reserved-Peak-Rate
adminDescription: ACS-Non-Reserved-Peak-Rate
attributeId: 1.2.840.113556.1.4.1318
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: P6cxo5A70hGQzADAT9kasQ==
dn: CN=ACS-Non-Reserved-Token-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSNonReservedTokenSize
adminDisplayName: ACS-Non-Reserved-Token-Size
adminDescription: ACS-Non-Reserved-Token-Size
attributeId: 1.2.840.113556.1.4.1319
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ydcWqZA70hGQzADAT9kasQ==
dn: CN=ACS-Minimum-Delay-Variation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSMinimumDelayVariation
adminDisplayName: ACS-Minimum-Delay-Variation
adminDescription: ACS-Minimum-Delay-Variation
attributeId: 1.2.840.113556.1.4.1317
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mzJlnJA70hGQzADAT9kasQ==
dn: CN=ACS-Max-Token-Bucket-Per-Flow,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSMaxTokenBucketPerFlow
adminDisplayName: ACS-Max-Token-Bucket-Per-Flow
adminDescription: ACS-Max-Token-Bucket-Per-Flow
attributeId: 1.2.840.113556.1.4.1313
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3+D2gZA70hGQzADAT9kasQ==
dn: CN=ACS-Non-Reserved-Max-SDU-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSNonReservedMaxSDUSize
adminDisplayName: ACS-Non-Reserved-Max-SDU-Size
adminDescription: ACS-Non-Reserved-Max-SDU-Size
attributeId: 1.2.840.113556.1.4.1320
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 48/CrpA70hGQzADAT9kasQ==
dn: CN=ACS-Non-Reserved-Min-Policed-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: aCSNonReservedMinPolicedSize
adminDisplayName: ACS-Non-Reserved-Min-Policed-Size
adminDescription: ACS-Non-Reserved-Min-Policed-Size
attributeId: 1.2.840.113556.1.4.1321
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FzmHtpA70hGQzADAT9kasQ==
dn: CN=MSMQ-User-
Sid,CN=Schema,CN=Configuration,DC=arobindg15,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mSMQUserSid
adminDisplayName: MSMQ-User-Sid
adminDescription: MSMQ-User-Sid
attributeId: 1.2.840.113556.1.4.1337
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
rangeLower: 0
rangeUpper: 128
schemaIdGuid:: Mq6KxflW0hGQ0ADAT9kasQ==
dn: CN=Repl-Interval,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: replInterval
adminDisplayName: Repl-Interval
adminDescription: Repl-Interval
attributeId: 1.2.840.113556.1.4.1336
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Gp26RfpW0hGQ0ADAT9kasQ==
dn: CN=PKI-Enrollment-Access,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIEnrollmentAccess
adminDisplayName: PKI-Enrollment-Access
adminDescription: PKI-Enrollment-Access
attributeId: 1.2.840.113556.1.4.1335
omSyntax: 66
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: eOJrkvlW0hGQ0ADAT9kasQ==
dn: CN=SPN-Mappings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: sPNMappings
adminDisplayName: SPN-Mappings
adminDescription: SPN-Mappings
attributeId: 1.2.840.113556.1.4.1347
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bOewKkFw0hGZBQAA+HpX1A==
systemFlags: 16
dn: CN=Template-Roots,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: templateRoots
adminDisplayName: Template-Roots
adminDescription: Template-Roots
attributeId: 1.2.840.113556.1.4.1346
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oOmd7UFw0hGZBQAA+HpX1A==
systemFlags: 16
dn: CN=DS-UI-Admin-Maximum,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dSUIAdminMaximum
adminDisplayName: DS-UI-Admin-Maximum
adminDescription: DS-UI-Admin-Maximum
attributeId: 1.2.840.113556.1.4.1344
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 4AqN7pFv0hGZBQAA+HpX1A==
systemFlags: 16
dn: CN=DS-UI-Shell-Maximum,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dSUIShellMaximum
adminDisplayName: DS-UI-Shell-Maximum
adminDescription: DS-UI-Shell-Maximum
attributeId: 1.2.840.113556.1.4.1345
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: anbK/JFv0hGZBQAA+HpX1A==
systemFlags: 16
dn: CN=DS-UI-Admin-Notification,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dSUIAdminNotification
adminDisplayName: DS-UI-Admin-Notification
adminDescription: DS-UI-Admin-Notification
attributeId: 1.2.840.113556.1.4.1343
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lArq9pFv0hGZBQAA+HpX1A==
systemFlags: 16
dn: CN=Localization-Display-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: localizationDisplayId
adminDisplayName: Localization-Display-Id
adminDescription: Localization-Display-Id
attributeId: 1.2.840.113556.1.4.1353
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 0fBGp9B40hGZFgAA+HpX1A==
systemFlags: 16
dn: CN=GPC-User-Extension-Names,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: gPCUserExtensionNames
adminDisplayName: GPC-User-Extension-Names
adminDescription: GPC-User-Extension-Names
attributeId: 1.2.840.113556.1.4.1349
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xl+nQj940hGZFgAA+HpX1A==
systemFlags: 16
dn: CN=GPC-Machine-Extension-Names,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: gPCMachineExtensionNames
adminDisplayName: GPC-Machine-Extension-Names
adminDescription: GPC-Machine-Extension-Names
attributeId: 1.2.840.113556.1.4.1348
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: zI7/Mj940hGZFgAA+HpX1A==
systemFlags: 16
dn: CN=Scope-Flags,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: scopeFlags
adminDisplayName: Scope-Flags
adminDescription: Scope-Flags
attributeId: 1.2.840.113556.1.4.1354
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wqTzFnl+0hGZIQAA+HpX1A==
systemFlags: 16
dn: CN=Query-Filter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: queryFilter
adminDisplayName: Query-Filter
adminDescription: Query-Filter
attributeId: 1.2.840.113556.1.4.1355
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Jgr3y3h+0hGZIQAA+HpX1A==
systemFlags: 16
dn: CN=Valid-Accesses,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: validAccesses
adminDisplayName: Valid-Accesses
adminDescription: Valid-Accesses
attributeId: 1.2.840.113556.1.4.1356
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gKMvTVR/0hGZKgAA+HpX1A==
systemFlags: 16
dn: CN=DS-Core-Propagation-Data,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: dSCorePropagationData
adminDescription: DS-Core-Propagation-Data
adminDisplayName: DS-Core-Propagation-Data
attributeID: 1.2.840.113556.1.4.1357
oMSyntax: 24
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: S6pn0QiL0hGZOQAA+HpX1A==
systemFlags: 17
dn: CN=Schema-Info,CN=schema,CN=configuration,DC=X
lDAPDisplayName: schemaInfo
adminDescription: Schema-Info
adminDisplayName: Schema-Info
attributeID: 1.2.840.113556.1.4.1358
oMSyntax: 4
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: rmT7+bST0hGZRQAA+HpX1A==
systemFlags: 16
dn: CN=DS-UI-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dSUISettings
adminDisplayName: DS-UI-Settings
adminDescription: DS-UI-Settings
governsId: 1.2.840.113556.1.5.183
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: FA+xCZNv0hGZBQAA+HpX1A==
systemOnly: FALSE
defaultObjectCategory: CN=DS-UI-Settings,CN=Schema,CN=Configuration,DC=X
dn: CN=PKI-Enrollment-Service,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKIEnrollmentService
adminDisplayName: PKI-Enrollment-Service
adminDescription: PKI-Enrollment-Service
governsId: 1.2.840.113556.1.5.178
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: kqZK7ro70hGQzADAT9kasQ==
systemOnly: FALSE
defaultObjectCategory: CN=PKI-Enrollment-
Service,CN=Schema,CN=Configuration,DC=X
dn: CN=PKI-Certificate-Template,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: pKICertificateTemplate
adminDisplayName: PKI-Certificate-Template
adminDescription: PKI-Certificate-Template
governsId: 1.2.840.113556.1.5.177
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: opwg5bo70hGQzADAT9kasQ==
systemOnly: FALSE
defaultObjectCategory: CN=PKI-Certificate-
Template,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Migrated-User,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQMigratedUser
adminDisplayName: MSMQ-Migrated-User
adminDescription: MSMQ-Migrated-User
governsId: 1.2.840.113556.1.5.179
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: l2l3UD080hGQzADAT9kasQ==
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Migrated-User,CN=Schema,CN=Configuration,DC=X
dn: CN=NTDS-Service,CN=Schema,CN=Configuration,DC=X
dn: CN=Inter-Site-
Transport,CN=Schema,CN=Configuration,DC=arobindg15,DC=nttest,DC=microsoft,DC
=com
dn: CN=Site-
Link,CN=Schema,CN=Configuration,DC=arobindg15,DC=nttest,DC=microsoft,DC=com
dn: CN=PKI-Certificate-
Template,CN=Schema,CN=Configuration,DC=arobindg15,DC=nttest,DC=microsoft,DC=
com
dn: CN=MSMQ-Migrated-
User,CN=Schema,CN=Configuration,DC=arobindg15,DC=nttest,DC=microsoft,DC=com
dn: CN=E-Mail-Addresses,CN=Schema,CN=Configuration,DC=X
add: mapiID
mapiID: 14846
add: mapiID
mapiID: 32807
delete: mapiID
add: mapiID
mapiID: 32807
dn: CN=Keywords,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
add: isMemberOfPartialAttributeSet
dn: CN=Netboot-Machine-File-Path,CN=Schema,CN=Configuration,DC=X
dn: CN=Netboot-GUID,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Digests-Mig,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Sign-Certificates-Mig,CN=Schema,CN=Configuration,DC=X
dn: CN=Manager,CN=Schema,CN=Configuration,DC=X
dn: CN=Service-Binding-Information,CN=Schema,CN=Configuration,DC=X
dn: CN=Global-Address-List,CN=Schema,CN=Configuration,DC=X
dn: CN=Site-Server,CN=Schema,CN=Configuration,DC=X
dn: CN=Lost-And-Found,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: FALSE
dn: CN=Lost-And-Found,CN=Schema,CN=Configuration,DC=X
dn: CN=Mailbox,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Site-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=Remote-Address,CN=Schema,CN=Configuration,DC=X
dn: CN=Subnet,CN=Schema,CN=Configuration,DC=X
dn: CN=rpc-Group,CN=Schema,CN=Configuration,DC=X
dn: CN=rpc-Profile-Element,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: company
dn: CN=Text-Country,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: co
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)
(A;;RPLCLORC;;;PS)(OA;;RPWPCR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)
(OA;;RPWPCR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWPCR;ab721a56-
1e2f-11d0-9819-00aa0040529b;;PS)(OA;;RPWPCR;77B5B886-944A-11d1-AEBD-
0000F80367C1;;PS)(OA;;RPWPCR;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)
(OA;;RPWPCR;E45795B3-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-
11d2-b422-00a0c968f939;;RS)(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)
(OA;;RP;bc0ac240-79a9-11d0-9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)
(OA;;RP;59ba2f42-79a2-11d0-9020-00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-
AEBD-0000F80367C1;;AU)(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)
(OA;;RP;e48d0154-bcf8-11d1-8702-00c04fb96050;;AU)(OA;;RPWPCR;ab721a53-1e2f-
11d0-9819-00aa0040529b;;WD)(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)
(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)
(A;;RPLCLORC;;;AU)(OA;;RPWPCR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)
(OA;;CCDC;;;PS)(OA;;CCDC;bf967aa8-0de6-11d0-a285-00aa003049e2;;PO)
defaultSecurityDescriptor: D:P(A;;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)
(A;CIOI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)(OA;;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)
dn: CN=X509-Cert,CN=Schema,CN=Configuration,DC=X
dn: CN=Country,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# Config NC changes
classDisplayName: Settings
dn: CN=nTDSDSA-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
classDisplayName: Domain Controller Settings
classDisplayName: Connection
classDisplayName: FRS Settings
classDisplayName: FRS Replica Set

-
classDisplayName: Site Settings
dn: CN=nTFRSMember-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
classDisplayName: FRS Member
classDisplayName: FRS Subscriber
classDisplayName: FRS Subscriptions
dn: CN=nTDSService-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
classDisplayName: MSMQ Routing Link
adminPropertyPages: 7,{8c5b1b50-d46e-11d1-8091-00a024c48131}
attributeDisplayNames: whenCreated,Date Published
dn: CN=MsmqServices,CN=Services,CN=Configuration,DC=X
objectClass: mSMQEnterpriseSettings
mSmQVersion: 200
dn: CN=DS-Install-Replica,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Add/Remove Replica In Domain
rightsGUID: 9923a32a-3607-11d2-b9be-0000f87a36b2
dn: CN=Change-Infrastructure-Master,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: 2df90d89-009f-11d2-aa4c-00c04fd7d83a
displayName: Change Infrastructure Master
rightsGUID: cc17b1fb-33d9-11d2-97d4-00c04fd8d5cd
dn: CN=sitesContainer-
dn: CN=interSiteTransportContainer-
adminPropertyPages: 1,{6DFE6491-AC8D-11D0-B945-00C04FD8D5B0}
dn: CN=subnetContainer-
dn: CN=serversContainer-
dn: CN=nTDSService-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=queryPolicy-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
attributeDisplayNames: countryCode,Country Code
attributeDisplayNames: samAccountName,Downlevel Logon Name
-
-
adminPropertyPages: 3,{77597368-7b15-11d0-a0c2-080036af3f03}
adminPropertyPages: 10,{0F65B1BF-740F-11d1-BBE6-0060081692B3}
add: createWizardExt
createWizardExt: 1,{D6D8C25A-4E83-11d2-8424-00C04FA372D4}
adminPropertyPages: 1,{717EF4FA-AC8D-11D0-B945-00C04FD8D5B0}
adminPropertyPages: 5,{bc019ba0-d46d-11d1-8091-00a024c48131}
attributeDisplayNames: keywords,Keywords
dn: CN=pKICertificateTemplate-
adminPropertyPages: 1,{9bff616c-3e02-11d2-a4ca-00c04fb93209}
adminPropertyPages: 3,{4e40f770-369c-11d0-8922-00a024ab2dbb}
shellPropertyPages: 1,{9bff616c-3e02-11d2-a4ca-00c04fb93209}
contextMenu: 0,{9bff616c-3e02-11d2-a4ca-00c04fb93209}
adminContextMenu: 0,{9bff616c-3e02-11d2-a4ca-00c04fb93209}
classDisplayName: Certificate Template
iconPath: 0,capesnpn.dll,-227
dn: CN=DS-UI-Default-
Settings,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
objectClass: dSUISettings
displayName: Modify Remote Access Information
dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
add: sPNMappings
spnMappings:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog
,eventsystem,policyagent,oakley,dmserver,ldp,ldap,dns,mcsvc,fax,msiserver,ia
s,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstora
ge,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclo
gon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,
www,http,w3svc,iisadmin
dn: CN=mSMQQueue-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
dn: CN=mSMQConfiguration-
dn: CN=mSMQEnterpriseSettings-
dn: CN=mSMQSettings-
dn: CN=Domain-Administer-Server,CN=Extended-Rights,CN=Configuration,DC=X
add: localizationDisplayId
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
dn: CN=Send-To,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Domain-Password,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Domain Password & Lockout Policie
dn: CN=General-Information,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: General Information
add: validAccesses
validAccesses: 48
displayName: Account Restrictions

-
dn: CN=User-Logon,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Logon Information
dn: CN=Membership,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Lockout-Policy,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Lockout Policy
dn: CN=Password-Policy,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Password Policy
dn: CN=Domain-Configuration,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Domain Policy Configuration
dn: CN=Domain-Policy-Ref,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Domain Policy Reference
dn: CN=Privileges,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Privileges
dn: CN=Administrative-Access,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Logon Rights
dn: CN=Local-Policy-Ref,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Local Policy Reference
dn: CN=Audit-Policy,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Audit Policy
dn: CN=Builtin-Local-Groups,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 48
displayName: Administrative Roles

-
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 48
displayName: Phone and Mail Options
add: validAccesses
validAccesses: 48
displayName: Personal Information

-
add: validAccesses
validAccesses: 48
displayName: Web Information
dn: CN=DS-Replication-Get-Changes,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=DS-Replication-Synchronize,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=DS-Replication-Manage-Topology,CN=Extended-
add: validAccesses
validAccesses: 256
dn: CN=Change-Schema-Master,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Change-Rid-Master,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
dn: CN=Do-Garbage-Collection,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Recalculate-Hierarchy,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Allocate-Rids,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Change-PDC,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Add-GUID,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Change-Domain-Master,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 48
displayName: Public Information
dn: CN=msmq-Receive-Dead-Letter,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
dn: CN=msmq-Receive,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
dn: CN=msmq-Send,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=msmq-Receive-journal,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=msmq-Open-Connector,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Apply-Group-Policy,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
add: validAccesses
validAccesses: 256
dn: CN=DS-Install-Replica,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Change-Infrastructure-Master,CN=Extended-Rights,CN=Configuration,DC=X
add: validAccesses
validAccesses: 256
dn: CN=Update-Schema-Cache,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Update Schema Cache
rightsGUID: be2bb760-7f46-11d2-b9ad-00c04f79f805
validAccesses: 256
dn: CN=Recalculate-Security-Inheritance,CN=Extended-
displayName: Recalculate Security Inheritance
rightsGUID: 62dd28a8-7f46-11d2-b9ad-00c04f79f805
validAccesses: 256
dn: CN=DS-Check-Stale-Phantoms,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Check Stale Phantoms

rightsGUID: 69ae6200-7f46-11d2-b9ad-00c04f79f805
validAccesses: 256
dn: CN=Certificate-Enrollment,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: e5209ca2-3bba-11d2-90cc-00c04fd91ab1
displayname: Enroll
rightsGuid: 0e10c968-78fb-11d2-90d4-00c04f79dc55
validAccesses: 256
dn: CN=DEFAULTIPSITELINK,CN=IP,CN=Inter-Site
Transports,CN=Sites,CN=Configuration,DC=X
replace: cost
cost: 100
add: replInterval
replInterval: 180
classDisplayName: Intellimirror Group
classDisplayName: Intellimirror Service
attributeDisplayNames: cn,Common Name
objectVersion: 8
Sch9.ldf
newrdn: ms-Exch-Configuration-Container
deleteoldrdn: 1
dn: CN=ms-Exch-Configuration-Container,CN=Schema,CN=Configuration,DC=X
adminDisplayName: ms-Exch-Configuration-Container
adminDescription: ms-Exch-Configuration-Container
dn: CN=Mime-Types,CN=Schema,CN=Configuration,DC=X
newrdn: Mime-Types-Unused
deleteoldrdn: 1
dn: CN=Mime-Types-Unused,CN=Schema,CN=Configuration,DC=X
adminDisplayName: Mime-Types-Unused
adminDescription: Mime-Types-Unused
ldapDisplayName: mimeTypesUnused
lDAPDisplayName: dSCorePropagationData
adminDescription: DS-Core-Propagation-Data
adminDisplayName: DS-Core-Propagation-Data
attributeID: 1.2.840.113556.1.4.1357
oMSyntax: 24
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: S6pn0QiL0hGZOQAA+HpX1A==
systemFlags: 17
dn: CN=Schema-Info,CN=schema,CN=configuration,DC=X
lDAPDisplayName: schemaInfo
adminDescription: Schema-Info
adminDisplayName: Schema-Info
attributeID: 1.2.840.113556.1.4.1358
oMSyntax: 4
systemOnly: TRUE
searchFlags: 0
schemaIDGUID:: rmT7+bST0hGZRQAA+HpX1A==
systemFlags: 16
dn: CN=Other-Well-Known-Objects,CN=schema,CN=configuration,DC=X
lDAPDisplayName: otherWellKnownObjects
adminDescription: Other-Well-Known-Objects
adminDisplayName: Other-Well-Known-Objects
attributeID: 1.2.840.113556.1.4.1359
oMSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: XU6mHg+s0hGQ3wDAT9kasQ==
systemFlags: 16
dn: CN=MS-DS-Consistency-Child-Count,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: mS-DS-ConsistencyChildCount
adminDescription: MS-DS-Consistency-Child-Count
adminDisplayName: MS-DS-Consistency-Child-Count
attributeID: 1.2.840.113556.1.4.1361
oMSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: wnuLFzq20hGQ4QDAT9kasQ==
systemFlags: 16
dn: CN=MS-DS-Consistency-Guid,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: mS-DS-ConsistencyGuid
adminDescription: MS-DS-Consistency-Guid
adminDisplayName: MS-DS-Consistency-Guid
attributeID: 1.2.840.113556.1.4.1360
oMSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIDGUID:: wj13Izq20hGQ4QDAT9kasQ==
systemFlags: 16
dn: CN=MS-SQL-
SPX,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-SPX
adminDisplayName: MS-SQL-SPX
adminDescription: MS-SQL-SPX
attributeId: 1.2.840.113556.1.4.1376
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BICwhu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Name,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Name
adminDisplayName: MS-SQL-Name
adminDescription: MS-SQL-Name
attributeId: 1.2.840.113556.1.4.1363
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 2N8yNe7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Size,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Size
adminDisplayName: MS-SQL-Size
adminDescription: MS-SQL-Size
attributeId: 1.2.840.113556.1.4.1396
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hIAJ6e7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Type,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Type
adminDisplayName: MS-SQL-Type
adminDescription: MS-SQL-Type
attributeId: 1.2.840.113556.1.4.1391
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qOtIyu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Alias,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Alias
adminDisplayName: MS-SQL-Alias
adminDescription: MS-SQL-Alias
attributeId: 1.2.840.113556.1.4.1395
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: rrrG4O7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Build,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Build
adminDisplayName: MS-SQL-Build
adminDescription: MS-SQL-Build
attributeId: 1.2.840.113556.1.4.1368
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xJQ+YO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
TCPIP,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-TCPIP
adminDisplayName: MS-SQL-TCPIP
adminDescription: MS-SQL-TCPIP
attributeId: 1.2.840.113556.1.4.1377
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pmPCiu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Vines,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Vines
adminDisplayName: MS-SQL-Vines
adminDescription: MS-SQL-Vines
attributeId: 1.2.840.113556.1.4.1379
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lGPFlO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Memory,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Memory
adminDisplayName: MS-SQL-Memory
adminDescription: MS-SQL-Memory
attributeId: 1.2.840.113556.1.4.1367
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: jERdW+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Status,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-Status
adminDisplayName: MS-SQL-Status
adminDescription: MS-SQL-Status
attributeId: 1.2.840.113556.1.4.1380
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cEd9mu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Contact,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=co
m
ldapDisplayName: mS-SQL-Contact
adminDisplayName: MS-SQL-Contact
adminDescription: MS-SQL-Contact
attributeId: 1.2.840.113556.1.4.1365
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2L1sT+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Version,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=co
m
ldapDisplayName: mS-SQL-Version
adminDisplayName: MS-SQL-Version
adminDescription: MS-SQL-Version
attributeId: 1.2.840.113556.1.4.1388
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 0MF8wO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Database,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
ldapDisplayName: mS-SQL-Database
adminDisplayName: MS-SQL-Database
adminDescription: MS-SQL-Database
attributeId: 1.2.840.113556.1.4.1393
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 3Nug1e7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Language,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
ldapDisplayName: mS-SQL-Language
adminDisplayName: MS-SQL-Language
adminDescription: MS-SQL-Language
attributeId: 1.2.840.113556.1.4.1389
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9HJ/xe7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Location,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
ldapDisplayName: mS-SQL-Location
adminDisplayName: MS-SQL-Location
adminDescription: MS-SQL-Location
attributeId: 1.2.840.113556.1.4.1366
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RJYcVu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Keywords,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
ldapDisplayName: mS-SQL-Keywords
adminDisplayName: MS-SQL-Keywords
adminDescription: MS-SQL-Keywords
attributeId: 1.2.840.113556.1.4.1401
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iqnpAe/M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
NamedPipe,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-NamedPipe
adminDisplayName: MS-SQL-NamedPipe
adminDescription: MS-SQL-NamedPipe
attributeId: 1.2.840.113556.1.4.1374
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QMiRe+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
AppleTalk,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-AppleTalk
adminDisplayName: MS-SQL-AppleTalk
adminDescription: MS-SQL-AppleTalk
attributeId: 1.2.840.113556.1.4.1378
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9Inaj+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
GPSHeight,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-GPSHeight
adminDisplayName: MS-SQL-GPSHeight
adminDescription: MS-SQL-GPSHeight
attributeId: 1.2.840.113556.1.4.1387
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Dk/dvO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Clustered,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-Clustered
adminDisplayName: MS-SQL-Clustered
adminDescription: MS-SQL-Clustered
attributeId: 1.2.840.113556.1.4.1373
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kL14d+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
SortOrder,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-SortOrder
adminDisplayName: MS-SQL-SortOrder
adminDescription: MS-SQL-SortOrder
attributeId: 1.2.840.113556.1.4.1371
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wELcbe7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Description,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,D
C=com
ldapDisplayName: mS-SQL-Description
adminDisplayName: MS-SQL-Description
adminDescription: MS-SQL-Description
attributeId: 1.2.840.113556.1.4.1390
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PGCGg+/M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
GPSLatitude,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,D
C=com
ldapDisplayName: mS-SQL-GPSLatitude
adminDisplayName: MS-SQL-GPSLatitude
adminDescription: MS-SQL-GPSLatitude
attributeId: 1.2.840.113556.1.4.1385
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Droisu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
CreationDate,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
ldapDisplayName: mS-SQL-CreationDate
adminDisplayName: MS-SQL-CreationDate
adminDescription: MS-SQL-CreationDate
attributeId: 1.2.840.113556.1.4.1397
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: VEfh7e7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
CharacterSet,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
ldapDisplayName: mS-SQL-CharacterSet
adminDisplayName: MS-SQL-CharacterSet
adminDescription: MS-SQL-CharacterSet
attributeId: 1.2.840.113556.1.4.1370
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pndhae7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
Applications,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
ldapDisplayName: mS-SQL-Applications
adminDisplayName: MS-SQL-Applications
adminDescription: MS-SQL-Applications
attributeId: 1.2.840.113556.1.4.1400
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6qLN++7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
GPSLongitude,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
ldapDisplayName: mS-SQL-GPSLongitude
adminDisplayName: MS-SQL-GPSLongitude
adminDescription: MS-SQL-GPSLongitude
attributeId: 1.2.840.113556.1.4.1386
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: lHxXt+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
ConnectionURL,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft
,DC=com
ldapDisplayName: mS-SQL-ConnectionURL
adminDisplayName: MS-SQL-ConnectionURL
adminDescription: MS-SQL-ConnectionURL
attributeId: 1.2.840.113556.1.4.1383
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2iMtqe7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
MultiProtocol,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft
,DC=com
ldapDisplayName: mS-SQL-MultiProtocol
adminDisplayName: MS-SQL-MultiProtocol
adminDescription: MS-SQL-MultiProtocol
attributeId: 1.2.840.113556.1.4.1375
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OPpXge7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
LastBackupDate,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
ldapDisplayName: mS-SQL-LastBackupDate
adminDisplayName: MS-SQL-LastBackupDate
adminDescription: MS-SQL-LastBackupDate
attributeId: 1.2.840.113556.1.4.1398
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yqu28u7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
ServiceAccount,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
ldapDisplayName: mS-SQL-ServiceAccount
adminDisplayName: MS-SQL-ServiceAccount
adminDescription: MS-SQL-ServiceAccount
attributeId: 1.2.840.113556.1.4.1369
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PjqTZO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
PublicationURL,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
ldapDisplayName: mS-SQL-PublicationURL
adminDisplayName: MS-SQL-PublicationURL
adminDescription: MS-SQL-PublicationURL
attributeId: 1.2.840.113556.1.4.1384
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uBEMru7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
InformationURL,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
ldapDisplayName: mS-SQL-InformationURL
adminDisplayName: MS-SQL-InformationURL
adminDescription: MS-SQL-InformationURL
attributeId: 1.2.840.113556.1.4.1382
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ENUspO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
LastUpdatedDate,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microso
ft,DC=com
ldapDisplayName: mS-SQL-LastUpdatedDate
adminDisplayName: MS-SQL-LastUpdatedDate
adminDescription: MS-SQL-LastUpdatedDate
attributeId: 1.2.840.113556.1.4.1381
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 1EPMn+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
RegisteredOwner,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microso
ft,DC=com
ldapDisplayName: mS-SQL-RegisteredOwner
adminDisplayName: MS-SQL-RegisteredOwner
adminDescription: MS-SQL-RegisteredOwner
attributeId: 1.2.840.113556.1.4.1364
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6kT9SO7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
UnicodeSortOrder,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=micros
oft,DC=com
ldapDisplayName: mS-SQL-UnicodeSortOrder
adminDisplayName: MS-SQL-UnicodeSortOrder
adminDescription: MS-SQL-UnicodeSortOrder
attributeId: 1.2.840.113556.1.4.1372
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ipHccu7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
LastDiagnosticDate,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=micr
osoft,DC=com
ldapDisplayName: mS-SQL-LastDiagnosticDate
adminDisplayName: MS-SQL-LastDiagnosticDate
adminDescription: MS-SQL-LastDiagnosticDate
attributeId: 1.2.840.113556.1.4.1399
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iN3W9u7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
InformationDirectory,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=mi
crosoft,DC=com
ldapDisplayName: mS-SQL-InformationDirectory
adminDisplayName: MS-SQL-InformationDirectory
adminDescription: MS-SQL-InformationDirectory
attributeId: 1.2.840.113556.1.4.1392
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Ltuu0O7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
AllowAnonymousSubscription,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest
,DC=microsoft,DC=com
ldapDisplayName: mS-SQL-AllowAnonymousSubscription
adminDisplayName: MS-SQL-AllowAnonymousSubscription
adminDescription: MS-SQL-AllowAnonymousSubscription
attributeId: 1.2.840.113556.1.4.1394
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Sr532+7M0hGZkwAA+HpX1A==
systemFlags: 16
dn: CN=MS-SQL-
SQLServer,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
ldapDisplayName: mS-SQL-SQLServer
adminDisplayName: MS-SQL-SQLServer
adminDescription: MS-SQL-SQLServer
governsId: 1.2.840.113556.1.5.184
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.126
schemaIdGuid:: eMj2Be/M0hGZkwAA+HpX1A==
systemOnly: FALSE
defaultObjectCategory: CN=MS-SQL-
SQLServer,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=
com
dn: CN=MS-SQL-
OLAPServer,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC
=com
ldapDisplayName: mS-SQL-OLAPServer
adminDisplayName: MS-SQL-OLAPServer
adminDescription: MS-SQL-OLAPServer
governsId: 1.2.840.113556.1.5.185
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.126
schemaIdGuid:: 6hh+DO/M0hGZkwAA+HpX1A==
systemOnly: FALSE
OLAPServer,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC
=com
dn: CN=MS-SQL-
SQLPublication,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
ldapDisplayName: mS-SQL-SQLPublication
adminDisplayName: MS-SQL-SQLPublication
adminDescription: MS-SQL-SQLPublication
governsId: 1.2.840.113556.1.5.187
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: TvbCF+/M0hGZkwAA+HpX1A==
systemOnly: FALSE
SQLPublication,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsof
t,DC=com
dn: CN=MS-SQL-
OLAPDatabase,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
ldapDisplayName: mS-SQL-OLAPDatabase
adminDisplayName: MS-SQL-OLAPDatabase
adminDescription: MS-SQL-OLAPDatabase
governsId: 1.2.840.113556.1.5.189
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: GgOvIO/M0hGZkwAA+HpX1A==
systemOnly: FALSE
OLAPDatabase,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,
DC=com
dn: CN=MS-SQL-
SQLRepository,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft
,DC=com
ldapDisplayName: mS-SQL-SQLRepository
adminDisplayName: MS-SQL-SQLRepository
adminDescription: MS-SQL-SQLRepository
governsId: 1.2.840.113556.1.5.186
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: XDzUEe/M0hGZkwAA+HpX1A==
systemOnly: FALSE
SQLRepository,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft
,DC=com
dn: CN=MS-SQL-
SQLDatabase,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,D
C=com
ldapDisplayName: mS-SQL-SQLDatabase
adminDisplayName: MS-SQL-SQLDatabase
adminDescription: MS-SQL-SQLDatabase
governsId: 1.2.840.113556.1.5.188
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: SmkIHe/M0hGZkwAA+HpX1A==
systemOnly: FALSE
SQLDatabase,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,D
C=com
dn: CN=MS-SQL-
OLAPCube,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
ldapDisplayName: mS-SQL-OLAPCube
adminDisplayName: MS-SQL-OLAPCube
adminDescription: MS-SQL-OLAPCube
governsId: 1.2.840.113556.1.5.190
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: alDwCSjN0hGZkwAA+HpX1A==
systemOnly: FALSE
OLAPCube,CN=Schema,CN=Configuration,DC=arobindg1,DC=nttest,DC=microsoft,DC=c
om
add: mapiID
mapiID: 14846
add: systemFlags
systemFlags: 16
dn: CN=Extension-Name,CN=Schema,CN=Configuration,DC=X
add: systemFlags
systemFlags: 16
add: systemFlags
systemFlags: 16
(A;;RPLCLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)
(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-
9819-00aa0040529b;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)
(OA;;RPWP;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B3-9455-
11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)
(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-
9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-
00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-AEBD-0000F80367C1;;AU)
(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;e48d0154-bcf8-11d1-
8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)
(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-
11d0-a285-00aa003049e2;;CA)
(A;;RPLCLORC;;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)
defaultSecurityDescriptor: D:P(A;;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)
(A;CIOI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)(OA;;CR;edacfd8f-ffb3-11d1-b41d-00a0c968f939;;AU)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)(OA;;CR;ab721a55-1e2f-
11d0-9819-00aa0040529b;;AU)
dn: CN=Servers-Container,CN=Schema,CN=Configuration,DC=X
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;BA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
defaultSecurityDescriptor: D:(A;;RP;;;WD)(OA;;CR;1131f6aa-9c07-11d1-f79f-
00c04fc2dcd2;;ED)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;ED)
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;CR;1131f6aa-9c07-11d1-
f79f-00c04fc2dcd2;;BA)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;BA)
(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;BA)(A;;RPLCLORC;;;AU)
(A;;RPWPCRLCLOCCRCWDWOSW;;;DA)(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;BA)
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)(A;CIOI;RPWPCRLCLOCCRCWDWOSDDTSW;;;EA)S:
(AU;CIOISAFA;WDWOSDDTWPCRCCDCSW;;;WD)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)(A;;RPLCLORC;;;AU)(OA;;CR;ab721a53-1e2f-
11d0-9819-00aa0040529b;;WD)(OA;;CCDC;;;PS)(OA;;CCDC;bf967aa8-0de6-11d0-a285-
00aa003049e2;;PO)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)
(OA;;SW;f3a64788-5306-11d1-a9c5-0000f80367c1;;PS)
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)(OA;;CCDC;bf967a86-0de6-11d0-a285-
00aa003049e2;;AO)(OA;;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;AO)
(OA;;CCDC;bf967a9c-0de6-11d0-a285-00aa003049e2;;AO)(OA;;CCDC;bf967aa8-0de6-
11d0-a285-00aa003049e2;;PO)(A;;RPLCLORC;;;AU)
systemFlags: 18
dn: CN=RDN,CN=Schema,CN=Configuration,DC=X
searchFlags: 13
defaultHidingVale: TRUE
defaultHidingVale: TRUE
dn: CN=GP-Link,CN=Schema,CN=Configuration,DC=X
dn: CN=Sid-History,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
dn: CN=Sid-History,CN=Schema,CN=Configuration,DC=X
attributeSecurityGuid:: Qi+6WaJ50BGQIADAT8LTzw==
dn: CN=MSMQ-Digests,CN=Schema,CN=Configuration,DC=X
dn: CN=Given-Name,CN=Schema,CN=Configuration,DC=X
dn: CN=Show-In-Advanced-View-Only,CN=Schema,CN=Configuration,DC=X
delete: mapiID
# Need to swap the ldapDisplayName of Comment and Additional-Information,
# so first give a temp name so that we won't fail with dup ldapDisplayName
ldapDisplayName: ms-info
ldapDisplayName: info
ldapDisplayName: notes
systemMayContain: gPLink
systemMayContain: gPOptions
systemFlags: 19
systemFlags: 19
dn: CN=Common-Name,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=Country-Name,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=Domain-Component,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=Organization-Name,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=Organizational-Unit-Name,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
systemFlags: 18
systemFlags: 18
dn: CN=Locality-Name,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
systemFlags: 19
dn: CN=Partial-Attribute-Deletion-List,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=Partial-Attribute-Set,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=Sub-Refs,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=USN-Last-Obj-Rem,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
systemFlags: 19
dn: CN=Repl-UpToDate-Vector,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=Reps-From,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=Reps-To,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=USN-Changed,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=USN-Created,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn: CN=When-Changed,CN=Schema,CN=Configuration,DC=X
systemFlags: 19
dn:
schemaUpdateNow: 1
classDisplayName: Intellimirror Group
classDisplayName: Intellimirror Service
attributeDisplayNames: cn,Common Name
attributeDisplayNames: ou,Name
dn: CN=DS-UI-Default-
Settings,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X
add: dSUIAdminNotification
dSUIAdminNotification: 1,{E62F8206-B71C-11D1-808D-00A024C48131}
attributeDisplayNames: notes,Notes
-
-
-

delete: ldapAdminLimits
ldapAdminLimits: AllowDeepNonIndexSearch=False

delete: ldapAdminLimits
ldapAdminLimits: MaxConnections=1000
add: ldapAdminLimits
ldapAdminLimits: MaxConnections=5000
add: systemFlags
newrdn: Self
deleteoldrdn: 1
dn: CN=Self,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags

add: systemFlags

newrdn: Authenticated Users
deleteoldrdn: 1
dn: CN=Authenticated Users,CN=WellKnown Security

delete: systemFlags
dn: CN=Restricted Code,CN=WellKnown Security

add: systemFlags
dn: CN=Restricted Code,CN=WellKnown Security

newrdn: Restricted
deleteoldrdn: 1
dn: CN=Restricted,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags
dn: CN=Local System,CN=WellKnown Security Principals,CN=Configuration,DC=X
add: systemFlags
dn: CN=Local System,CN=WellKnown Security Principals,CN=Configuration,DC=X
newrdn: System
deleteoldrdn: 1
dn: CN=System,CN=WellKnown Security Principals,CN=Configuration,DC=X
delete: systemFlags
objectVersion: 9
Sch10.ldf
Does not exist
Sch11.ldf
dn: CN=MS-DS-Replicates-NC-Reason,CN=schema,CN=configuration,DC=X
adminDescription: MS-DS-Replicates-NC-Reason
adminDisplayName: MS-DS-Replicates-NC-Reason
attributeID: 1.2.840.113556.1.4.1408
oMSyntax: 127
lDAPDisplayName: mS-DS-ReplicatesNCReason
systemOnly: FALSE
schemaIDGUID:: hCuhDrMI0xGRvAAA+HpX1A==
searchFlags: 0
systemFlags: 16
dn: CN=Mastered-By,CN=schema,CN=configuration,DC=X
adminDescription: Mastered-By
adminDisplayName: Mastered-By
attributeID: 1.2.840.113556.1.4.1409
oMSyntax: 127
lDAPDisplayName: masteredBy
systemOnly: TRUE
schemaIDGUID:: 4GSO5MkS0xGRAgDAT9kasQ==
searchFlags: 0
linkID: 77
systemFlags: 17
dn: CN=MS-DS-Machine-Account-Quota,CN=Schema,CN=Configuration,DC=X
adminDescription: MS-DS-Machine-Account-Quota
adminDisplayName: MS-DS-Machine-Account-Quota
attributeID: 1.2.840.113556.1.4.1411
oMSyntax: 2
lDAPDisplayName: mS-DS-MachineAccountQuota
schemaIDGUID:: aPtk0IAU0xGRwQAA+HpX1A==
systemOnly: FALSE
searchFlags: 0
systemFlags: 16
dn: CN=MS-DS-Creator-Sid,CN=Schema,CN=Configuration,DC=arobindg6,DC=X
adminDescription: MS-DS-Creator-SID
adminDisplayName: MS-DS-Creator-SID
attributeID: 1.2.840.113556.1.4.1410
oMSyntax: 4
lDAPDisplayName: mS-DS-CreatorSID
schemaIDGUID:: MgHmxYAU0xGRwQAA+HpX1A==
systemOnly: TRUE
searchFlags: 1
systemFlags: 16
searchFlags: 5
searchFlags: 5
replace: rangeUpper
rangeUpper: 64
replace: rangeUpper
rangeUpper: 64
dn: CN=Poss-Superiors,CN=Schema,CN=Configuration,DC=X
dn: CN=System-Poss-Superiors,CN=Schema,CN=Configuration,DC=X
dn: CN=Range-Upper,CN=Schema,CN=Configuration,DC=X
dn: CN=Range-Lower,CN=Schema,CN=Configuration,DC=X
dn: CN=Ldap-Display-Name,CN=Schema,CN=Configuration,DC=X
dn: CN=User-Cert,CN=Schema,CN=Configuration,DC=X
dn: CN=Proxy-Addresses,CN=Schema,CN=Configuration,DC=X
dn: CN=Member,CN=Schema,CN=Configuration,DC=X
attributeSecurityGUID:: QMIKvKl50BGQIADAT8LUzw==
replace: systemOnly
systemOnly: TRUE
replace: systemOnly
systemOnly: TRUE
replace: systemOnly
systemOnly: TRUE
dn: CN=Is-Privilege-Holder,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
dn: CN=Managed-Objects,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
replace: systemOnly
systemOnly: TRUE
dn: CN=Non-Security-Member-BL,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
dn: CN=Query-Policy-BL,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
dn: CN=Server-Reference-BL,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
dn: CN=Site-Object-BL,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
systemMayContain: uPNSuffixes
(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;SW;f3a64788-5306-
11d1-a9c5-0000f80367c1;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-
0000F80367C1;;PS)(OA;;SW;72e39547-7b18-11d1-adef-00c04fd8d5cd;;PS)
dn: CN=FT-Dfs,CN=Schema,CN=Configuration,DC=X
(A;;RPLCLORC;;;AU)
dn: CN=Manager,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Assistant,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Show-In-Address-Book,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Division,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Account-Expires,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Profile-Path,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Primary-Group-ID,CN=schema,CN=configuration,DC=x
searchFlags: 17
dn: CN=Preferred-OU,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Other-Login-Workstations,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=User-Workstations,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Max-Storage,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Logon-Workstation,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Logon-Hours,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Script-Path,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Locale-Id,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Home-Drive,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Home-Directory,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Country-Code,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Code-Page,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=User-Account-Control,CN=schema,CN=configuration,DC=x
searchFlags: 25
dn: CN=Employee-Type,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Show-In-Advanced-View-Only,CN=schema,CN=configuration,DC=x
searchFlags: 17
dn: CN=Company,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Department,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Text-Country,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Is-Member-Of-DL,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Post-Office-Box,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Postal-Code,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Postal-Address,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Street-Address,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=State-Or-Province-Name,CN=schema,CN=configuration,DC=x
searchFlags: 16
dn: CN=Locality-Name,CN=schema,CN=configuration,DC=x
searchFlags: 17
dn: CN=Country-Name,CN=schema,CN=configuration,DC=x
searchFlags: 16
(A;;RPWPCRLCLOCCRCWDWOSW;;;DA)(A;CI;RPWPCRLCLOCCRCWDWOSDSW;;;BA)
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)S:
(AU;CISAFA;WDWOSDDTWPCRCCDCSW;;;WD)
(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;BA)(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
defaultSecurityDescriptor: D:P(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;DA)
(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;EA)(A;CI;RPWPCCDCLCLOLORCWOWDSDDTSW;;;CO)
(A;CI;RPWPCCDCLCLORCWOWDSDDTSW;;;SY)(A;CI;RPLCLORC;;;AU)(OA;CI;CR;edacfd8f-
ffb3-11d1-b41d-00a0c968f939;;AU)
systemFlags: 18
replace: rangeUpper
rangeUpper: 132096
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=Lockout-Policy,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Password-Policy,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Domain-Configuration,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Domain-Policy-Ref,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Privileges,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Administrative-Access,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Local-Policy-Ref,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Audit-Policy,CN=Extended-Rights,CN=Configuration,DC=X
dn: CN=Builtin-Local-Groups,CN=Extended-Rights,CN=Configuration,DC=X
replace: validAccesses
validAccesses: 48
replace: validAccesses
validAccesses: 48
displayName: Remote Access Information
displayName: Group Membership
displayName: Open Address List
dn: CN=Self-Membership,CN=extended-rights,CN=configuration,DC=X
rightsGuid: bf9679c0-0de6-11d0-a285-00aa003049e2
appliesTo: bf967a9c-0de6-11d0-a285-00aa003049e2
displayName: Add/Remove self as member
validAccesses: 8
dn: CN=Validated-DNS-Host-Name,CN=extended-rights,CN=configuration,DC=X
rightsGuid: 72e39547-7b18-11d1-adef-00c04fd8d5cd
displayName: Validated write to DNS host name
validAccesses: 8
dn: CN=Validated-SPN,CN=extended-rights,CN=configuration,DC=X
rightsGuid: f3a64788-5306-11d1-a9c5-0000f80367c1
displayName: Validated write to service principal name
validAccesses: 8

Number (Others)
attributeDisplayNames: facsimileTelephoneNumber,Fax Number
attributeDisplayNames: otherFacsimileTelephoneNumber,Fax Number (Others)
attributeDisplayNames: otherTelephone,Phone Number (Others)
attributeDisplayNames: mobile,Mobile Number
attributeDisplayNames: otherMobile,Mobile Number (Others)
# The following add is preceded by a delete separately since some DCs may
have it.
# If not, this is just skipped
dn: CN=Contact-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=X

Number (Others)
attributeDisplayNames: facsimileTelephoneNumber,Fax Number
attributeDisplayNames: otherFacsimileTelephoneNumber,Fax Number (Others)
attributeDisplayNames: otherTelephone,Phone Number (Others)
attributeDisplayNames: mobile,Mobile Number
attributeDisplayNames: otherMobile,Mobile Number (Others)
dn: CN=mSMQMigratedUser-
classDisplayName: MSMQ Upgraded User
adminPropertyPages: 1,{fc5bf656-0b7f-11d3-883f-006094eb6406}
adminContextMenu: 1,{fc5bf656-0b7f-11d3-883f-006094eb6406}
objectVersion: 11
Sch12.ldf
dn: CN=DNS-Tombstoned,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: dNSTombstoned
adminDescription: DNS-Tombstoned
adminDisplayName: DNS-Tombstoned
attributeID: 1.2.840.113556.1.4.1414
oMSyntax: 1
searchFlags: 1
systemOnly: FALSE
schemaIDGUID:: ty7r1U6+O0aiFGNKRNc5Lg==
systemFlags: 16
dn: CN=Primary-Group-Token,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: primaryGroupToken
adminDescription: Primary-Group-Token
adminDisplayName: Primary-Group-Token
attributeID: 1.2.840.113556.1.4.1412
oMSyntax: 2
searchFlags: 0
systemOnly: TRUE
schemaIDGUID:: OIftwP1+gUSE2WbS24vjaQ==
systemFlags: 20
dn: CN=ACS-Resource-Limits,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: aCSResourceLimits
adminDescription: ACS-Resource-Limits
adminDisplayName: ACS-Resource-Limits
governsID: 1.2.840.113556.1.5.191
rDNAttID: cn
subClassOf: top
systemMayContain: aCSMaxTokenRatePerFlow
systemMayContain: aCSServiceType
systemMayContain: aCSMaxPeakBandwidthPerFlow
systemMayContain: aCSMaxPeakBandwidth
systemMayContain: aCSAllocableRSVPBandwidth
schemaIDGUID:: BJuJLjQo0xGR1AAA+HpX1A==
systemOnly: FALSE
systemFlags: 16
replace: rangeUpper
rangeUpper: 1024
(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)(OA;;SW;f3a64788-5306-
11d1-a9c5-0000f80367c1;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-
0000F80367C1;;PS)(OA;;SW;72e39547-7b18-11d1-adef-00c04fd8d5cd;;PS)
a9c5-0000f80367c1;;CO)
dn: CN=Sam-Account-Name,CN=Schema,CN=Configuration,DC=X
replace: rangeUpper
rangeUpper: 256
systemMustContain: objectSid
systemMayContain: objectSid
dn: CN=Link-Track-Vol-Entry,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# Config NC changes
add: appliesTo
add: appliesTo
dn: CN=Validated-SPN,CN=extended-rights,CN=configuration,DC=X
delete: appliesTo
adminPropertyPages: 3,{4e40f770-369c-11d0-8922-00a024ab2dbb}
dn: cn=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
replace: spnMappings
sPNMappings:
host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog
,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messeng
er,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman
,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,d
com,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,
w3svc,iisadmin
objectVersion: 12
Sch13.ldf
# Schema NC changes
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;LC;;;RU)(OA;CIIO;RP;037088f8-0ae1-11d2-b422-00a0c968f939;bf967aba-
0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RP;59ba2f42-79a2-11d0-9020-
00c04fc2d3cf;bf967aba-0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RP;bc0ac240-
79a9-11d0-9020-00c04fc2d4cf;bf967aba-0de6-11d0-a285-00aa003049e2;RU)
(OA;CIIO;RP;4c164200-20c0-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-
00aa003049e2;RU)(OA;CIIO;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;bf967aba-
0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RPLCLORC;;bf967a9c-0de6-11d0-a285-
00aa003049e2;RU)(A;;RC;;;RU)(OA;CIIO;RPLCLORC;;bf967aba-0de6-11d0-a285-
00aa003049e2;RU)S:(AU;CISAFA;WDWOSDDTWPCRCCDCSW;;;WD)
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)(A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)
(A;CI;LC;;;RU)(OA;CIIO;RP;037088f8-0ae1-11d2-b422-00a0c968f939;bf967aba-
0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RP;59ba2f42-79a2-11d0-9020-
00c04fc2d3cf;bf967aba-0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RP;bc0ac240-
79a9-11d0-9020-00c04fc2d4cf;bf967aba-0de6-11d0-a285-00aa003049e2;RU)
(OA;CIIO;RP;4c164200-20c0-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-
00aa003049e2;RU)(OA;CIIO;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;bf967aba-
0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;RPLCLORC;;bf967a9c-0de6-11d0-a285-
00aa003049e2;RU)(A;;RC;;;RU)(OA;CIIO;RPLCLORC;;bf967aba-0de6-11d0-a285-
00aa003049e2;RU)S:(AU;CISAFA;WDWOSDDTWPCRCCDCSW;;;WD)
dn: CN=SD-Rights-Effective,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Label-Ex,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQLabelEx
adminDisplayName: MSMQ-Label-Ex
adminDescription: MSMQ-Label-Ex
attributeId: 1.2.840.113556.1.4.1415
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 124
schemaIdGuid:: Ja2ARQfU0kitJEPm5WeT1w==
systemFlags: 16
dn: CN=MSMQ-Site-Name-Ex,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQSiteNameEx
adminDisplayName: MSMQ-Site-Name-Ex
adminDescription: MSMQ-Site-Name-Ex
attributeId: 1.2.840.113556.1.4.1416
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +kQhQn/BSUaU1pcx7SeE7Q==
systemFlags: 16
dn: CN=MSMQ-Computer-Type-Ex,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: mSMQComputerTypeEx
adminDisplayName: MSMQ-Computer-Type-Ex
adminDescription: MSMQ-Computer-Type-Ex
attributeId: 1.2.840.113556.1.4.1417
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6A0SGMT0QUO9lTLrW898gA==
systemFlags: 16
dn: CN=Token-Groups-Global-And-Universal,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: tokenGroupsGlobalAndUniversal
adminDisplayName: Token-Groups-Global-And-Universal
adminDescription: Token-Groups-Global-And-Universal
attributeId: 1.2.840.113556.1.4.1418
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HbGpRq5gWkC36P+KWNRW0g==
# pick up the new attributes so they can be a may-contain below
dn:
schemaUpdateNow: 1
defaultSecurityDescriptor: D:(A;CI;RPWPCRCCDCLCLORCWOWDSDDTSW;;;DA)
defaultSecurityDescriptor: D:(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)
(A;;RPLCLORC;;;AU)
defaultSecurityDescriptor: D:(A;;CC;;;BA)
# Enable iff schema changes are added above.
dn:
schemaUpdateNow: 1
# Config NC changes
adminPropertyPages: 8,{0910dd01-df8c-11d1-ae27-00c04fa35813}
attributeDisplayNames: homeDirectory,Home Directory
attributeDisplayNames: samAccountName,Downlevel Logon Name
attributeDisplayNames: co,Country
attributeDisplayNames: generationQualifier,Generational Suffix
attributeDisplayNames: homeDirectory,Home Folder
attributeDisplayNames: samAccountName,Logon Name (pre-Windows 2000)
attributeDisplayNames: st,State/Province
attributeDisplayNames: streetAddress,Street Address
attributeDisplayNames: title,Job Title
attributeDisplayNames: samAccountName,Group name (pre-Windows 2000)
attributeDisplayNames: c,Country Abbreviation
attributeDisplayNames: co,Country
attributeDisplayNames: displayName,Display Name
attributeDisplayNames: generationQualifier,Generational Suffix
attributeDisplayNames: pager,Pager Number
attributeDisplayNames: st,State/Province
attributeDisplayNames: streetAddress,Street Address
attributeDisplayNames: title,Job Title
attributeDisplayNames: samAccountName,Computer name (pre-Windows 2000)
# Increase object version
objectVersion: 13
Sch14.ldf
# Schema NC changes
systemFlags: 18
dn: CN=Server-Reference-BL,CN=Schema,CN=Configuration,DC=X
dn: CN=SID-History,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: FALSE
replace: systemOnly
systemOnly: TRUE
dn: CN=System-Poss-Superiors,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=MSMQ-User-Sid,CN=Schema,CN=Configuration,DC=X
systemFlags: 18
dn: CN=ms-PKI-RA-Policies,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-RA-Policies
adminDisplayName: ms-PKI-RA-Policies
adminDescription: ms-PKI-RA-Policies
attributeId: 1.2.840.113556.1.4.1438
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Iq5G1VEJR02BfhyflvqtRg==
systemFlags: 16
dn: CN=ms-PKI-RA-Signature,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-RA-Signature
adminDisplayName: ms-PKI-RA-Signature
adminDescription: MS PKI Number Of RA Signature Required In Request
attributeId: 1.2.840.113556.1.4.1429
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: S+AX/n2Tfk+ODpKSyNVoPg==
systemFlags: 16
dn: CN=ms-PKI-Enrollment-Flag,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Enrollment-Flag
adminDisplayName: ms-PKI-Enrollment-Flag
adminDescription: ms-PKI-Enrollment-Flag
attributeId: 1.2.840.113556.1.4.1430
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2Pde0Sby20auebNOVgvRLA==
systemFlags: 16
dn: CN=ms-PKI-Private-Key-Flag,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Private-Key-Flag
adminDisplayName: ms-PKI-Private-Key-Flag
adminDescription: ms-PKI-Private-Key-Flag
attributeId: 1.2.840.113556.1.4.1431
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wkqwujUECUeTByg4DnxwAQ==
systemFlags: 16
dn: CN=ms-PKI-Minimal-Key-Size,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Minimal-Key-Size
adminDisplayName: ms-PKI-Minimal-Key-Size
adminDescription: ms-PKI-Minimal-Key-Size
attributeId: 1.2.840.113556.1.4.1433
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9WNq6X9B00a+Utt3A8UD3w==
systemFlags: 16
dn: CN=ms-PKI-Cert-Template-OID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Cert-Template-OID
adminDisplayName: ms-PKI-Cert-Template-OID
adminDescription: ms-PKI-Cert-Template-OID
attributeId: 1.2.840.113556.1.4.1436
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: asNkMSa6jEaL2sHlzCVnKA==
systemFlags: 16
dn: CN=ms-PKI-Certificate-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Certificate-Policy
adminDisplayName: ms-PKI-Certificate-Policy
adminDescription: ms-PKI-Certificate-Policy
attributeId: 1.2.840.113556.1.4.1439
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RiOUOFvMS0Kn2G/9EgKcXw==
systemFlags: 16
dn: CN=ms-PKI-Supersede-Templates,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Supersede-Templates
adminDisplayName: ms-PKI-Supersede-Templates
adminDescription: ms-PKI-Supersede-Templates
attributeId: 1.2.840.113556.1.4.1437
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fa7onVt6HUK15AYfed/V1w==
systemFlags: 16
dn: CN=ms-PKI-Certificate-Name-Flag,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Certificate-Name-Flag
adminDisplayName: ms-PKI-Certificate-Name-Flag
adminDescription: ms-PKI-Certificate-Name-Flag
attributeId: 1.2.840.113556.1.4.1432
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xN0d6v9gbkGMwBfO5TS85w==
systemFlags: 16
dn: CN=ms-PKI-Template-Schema-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Template-Schema-Version
adminDisplayName: ms-PKI-Template-Schema-Version
adminDescription: ms-PKI-Template-Schema-Version
attributeId: 1.2.840.113556.1.4.1434
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9ekVDB1JlEWRjzKBOgkdqQ==
systemFlags: 16
dn: CN=ms-PKI-Template-Minor-Revision,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Template-Minor-Revision
adminDisplayName: ms-PKI-Template-Minor-Revision
adminDescription: ms-PKI-Template-Minor-Revision
attributeId: 1.2.840.113556.1.4.1435
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bCP1E4QYsUa10EhOOJkNWA==
systemFlags: 16
dn: CN=ms-PKI-Key-Recovery-Agent,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Key-Recovery-Agent
adminDisplayName: ms-PKI-Key-Recovery-Agent
adminDescription: ms-PKI-Key-Recovery-Agent
governsId: 1.2.840.113556.1.5.195
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.9
schemaIdGuid:: OPLMJo6ghkuagqjJrH7lyw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-PKI-Key-Recovery-
Agent,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-ds-Schema-Extensions,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDs-Schema-Extensions
adminDisplayName: ms-ds-Schema-Extensions
adminDescription: ms-ds-Schema-Extensions
attributeId: 1.2.840.113556.1.4.1440
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: vmGaswftq0yaSklj7QFB4Q==
systemFlags: 16
dn: CN=Entry-TTL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: entryTTL
adminDisplayName: Entry-TTL
adminDescription: Entry-TTL
attributeId: 1.3.6.1.4.1.1466.101.119.3
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: zN4T0hrYhEOqwtz8/WMc+A==
systemFlags: 20
dn: CN=ms-DS-Other-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Other-Settings
adminDisplayName: ms-DS-Other-Settings
adminDescription: ms-DS-Other-Settings
attributeId: 1.2.840.113556.1.4.1621
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: TPPSeX2du0KDj4ZrPkQA4g==
systemFlags: 16
dn: CN=ms-DS-Entry-Time-To-Die,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Entry-Time-To-Die
adminDisplayName: ms-DS-Entry-Time-To-Die
adminDescription: ms-DS-Entry-Time-To-Die
attributeId: 1.2.840.113556.1.4.1622
omSyntax: 24
systemOnly: TRUE
searchFlags: 9
schemaIdGuid:: 17rp4d3GAUGoQ3lM7IWwOA==
systemFlags: 16
dn: CN=ms-DS-Site-Affinity,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Site-Affinity
adminDisplayName: ms-DS-Site-Affinity
adminDescription: ms-DS-Site-Affinity
attributeId: 1.2.840.113556.1.4.1443
omSyntax: 4
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: AlZ8wbe88EaWVmNwyohLcg==
systemFlags: 16
dn: CN=ms-DS-Preferred-GC-Site,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Preferred-GC-Site
adminDisplayName: ms-DS-Preferred-GC-Site
adminDescription: ms-DS-Prefered-GC-Site
attributeId: 1.2.840.113556.1.4.1444
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CrUh2bIKzUKH9gnPg6kYVA==
systemFlags: 16
dn: CN=ms-DS-Cached-Membership,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Cached-Membership
adminDisplayName: ms-DS-Cached-Membership
adminDescription: ms-DS-Cached-Membership
attributeId: 1.2.840.113556.1.4.1441
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CLDKadTNyUu6uA/zfv4bIA==
systemFlags: 17
dn: CN=ms-DS-Cached-Membership-Time-Stamp,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Cached-Membership-Time-Stamp
adminDisplayName: ms-DS-Cached-Membership-Time-Stamp
adminDescription: ms-DS-Cached-Membership-Time-Stamp
attributeId: 1.2.840.113556.1.4.1442
omSyntax: 65
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: H79mNe6+y02Kvu+J/P7GwQ==
systemFlags: 17
dn: CN=ms-DS-Auxiliary-Classes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Auxiliary-Classes
adminDisplayName: ms-DS-Auxiliary-Classes
adminDescription: ms-DS-Auxiliary-Classes
attributeId: 1.2.840.113556.1.4.1458
omSyntax: 6
systemOnly: TRUE
searchFlags: 8
schemaIdGuid:: cxCvxFDu4Eu4wImkH+mavg==
systemFlags: 20
dn: CN=Structural-Object-Class,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: structuralObjectClass
adminDisplayName: Structural-Object-Class
adminDescription: The class hierarchy without auxiliary classes
omSyntax: 6
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: n5RgOKj2OEuZUIHstrwpgg==
systemFlags: 20
dn: CN=ms-DS-Replication-Notify-Subsequent-DSA-
Delay,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Replication-Notify-Subsequent-DSA-Delay
adminDisplayName: ms-DS-Replication-Notify-Subsequent-DSA-Delay
adminDescription: This attribute controls the delay between notification of

each subsequent replica partner for an NC.
attributeId: 1.2.840.113556.1.4.1664
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hbM91pLdUkux2A0+zA6Gtg==
systemFlags: 16
dn: CN=ms-WMI-ID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ID
adminDisplayName: ms-WMI-ID
adminDescription: ms-WMI-ID
attributeId: 1.2.840.113556.1.4.1627
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: A6g5k7iU90eRI6hTuf9+RQ==
systemFlags: 16
dn: CN=ms-WMI-Mof,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Mof
adminDisplayName: ms-WMI-Mof
adminDescription: ms-WMI-Mof
attributeId: 1.2.840.113556.1.4.1638
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: n4A2Z2QgPkShRYEmKx8TZg==
systemFlags: 16
dn: CN=ms-WMI-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Name
adminDisplayName: ms-WMI-Name
adminDescription: ms-WMI-Name
attributeId: 1.2.840.113556.1.4.1639
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 5azIxoF+r0KtcndBLFlBxA==
systemFlags: 16
dn: CN=ms-WMI-Query,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Query
adminDisplayName: ms-WMI-Query
adminDescription: ms-WMI-Query
attributeId: 1.2.840.113556.1.4.1642
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Pvn/ZeM1o0WFrodsZxgpfw==
systemFlags: 16
dn: CN=ms-WMI-intMin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntMin
adminDisplayName: ms-WMI-intMin
adminDescription: ms-WMI-intMin
attributeId: 1.2.840.113556.1.4.1630
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uuPCaDeYcEyY4PDDNpXQIw==
systemFlags: 16
dn: CN=ms-WMI-intMax,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntMax
adminDisplayName: ms-WMI-intMax
adminDescription: ms-WMI-intMax
attributeId: 1.2.840.113556.1.4.1629
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LAyS+5TyJkSKwdJLQqorzg==
systemFlags: 16
dn: CN=ms-WMI-Author,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Author
adminDisplayName: ms-WMI-Author
adminDescription: ms-WMI-Author
attributeId: 1.2.840.113556.1.4.1623
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wcBmY3JpZk6zpR1SrQwFRw==
systemFlags: 16
dn: CN=ms-WMI-int8Min,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Int8Min
adminDisplayName: ms-WMI-int8Min
adminDescription: ms-WMI-int8Min
attributeId: 1.2.840.113556.1.4.1634
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 0YkU7cxUZkCzaKANqiZk8Q==
systemFlags: 16
dn: CN=ms-WMI-int8Max,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Int8Max
adminDisplayName: ms-WMI-int8Max
adminDescription: ms-WMI-int8Max
attributeId: 1.2.840.113556.1.4.1633
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: R7XY4z0ARkmjK9x87clrdA==
systemFlags: 16
dn: CN=ms-COM-ObjectId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-ObjectId
adminDisplayName: ms-COM-ObjectId
adminDescription: Object ID that COM+ uses. Default = adminDisplayName
attributeId: 1.2.840.113556.1.4.1428
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: i2cPQ5+I8kGYQyA7WmVXLw==
systemFlags: 16
dn: CN=ms-COM-UserPartitionSetLink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-UserPartitionSetLink
adminDisplayName: ms-COM-UserPartitionSetLink
adminDescription: Link from a User to a PartitionSet. Default =

adminDisplayName
attributeId: 1.2.840.113556.1.4.1426
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: igyUjnfkZ0Owjf8v+ULc1w==
linkID: 1048
systemFlags: 16
dn: CN=ms-COM-UserLink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-UserLink
adminDisplayName: ms-COM-UserLink
adminDescription: Link from a PartitionSet to a User. Default =
adminDisplayName
attributeId: 1.2.840.113556.1.4.1425
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: TTpvniwkN0+waDa1f5/IUg==
linkID: 1049
systemFlags: 17
dn: CN=ms-WMI-ChangeDate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ChangeDate
adminDisplayName: ms-WMI-ChangeDate
adminDescription: ms-WMI-ChangeDate
attributeId: 1.2.840.113556.1.4.1624
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: oPfN+UTsN0mnm82RUis6qA==
systemFlags: 16
dn: CN=ms-WMI-intDefault,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntDefault
adminDisplayName: ms-WMI-intDefault
adminDescription: ms-WMI-intDefault
attributeId: 1.2.840.113556.1.4.1628
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: +AcMG912YECh4XAIRhnckA==
systemFlags: 16
dn: CN=ms-WMI-TargetPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-TargetPath
adminDisplayName: ms-WMI-TargetPath
adminDescription: ms-WMI-TargetPath
attributeId: 1.2.840.113556.1.4.1648
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mqcGUP5rYUWfUhPPTdPlYA==
systemFlags: 16
dn: CN=ms-WMI-TargetType,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-TargetType
adminDisplayName: ms-WMI-TargetType
adminDescription: ms-WMI-TargetType
attributeId: 1.2.840.113556.1.4.1649
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Higqyism90+0GbwSM1Kk6Q==
systemFlags: 16
dn: CN=ms-WMI-int8Default,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Int8Default
adminDisplayName: ms-WMI-int8Default
adminDescription: ms-WMI-int8Default
attributeId: 1.2.840.113556.1.4.1632
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WgjY9FuMhUeVm9xYVWbkRQ==
systemFlags: 16
dn: CN=ms-WMI-TargetClass,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-TargetClass
adminDisplayName: ms-WMI-TargetClass
adminDescription: ms-WMI-TargetClass
attributeId: 1.2.840.113556.1.4.1645
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 1ti2lejJYUaivGpcq8BMYg==
systemFlags: 16
dn: CN=ms-WMI-CreationDate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-CreationDate
adminDisplayName: ms-WMI-CreationDate
adminDescription: ms-WMI-CreationDate
attributeId: 1.2.840.113556.1.4.1626
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: LgqLdFEzP0uxcS8XQU6neQ==
systemFlags: 16
dn: CN=ms-WMI-TargetObject,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-TargetObject
adminDisplayName: ms-WMI-TargetObject
adminDescription: ms-WMI-TargetObject
attributeId: 1.2.840.113556.1.4.1647
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: pWdPxOV9H0qS2WYrVzZLdw==
systemFlags: 16
dn: CN=ms-WMI-PropertyName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-PropertyName
adminDisplayName: ms-WMI-PropertyName
adminDescription: ms-WMI-PropertyName
attributeId: 1.2.840.113556.1.4.1641
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gwiSq/jnck20oMBEmJdQnQ==
systemFlags: 16
dn: CN=ms-COM-PartitionLink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-PartitionLink
adminDisplayName: ms-COM-PartitionLink
adminDescription: Link from a PartitionSet to a Partition. Default =

adminDisplayName
attributeId: 1.2.840.113556.1.4.1423
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: YqyrCT8EAkesK2yhXu5XVA==
linkID: 1040
systemFlags: 16
dn: CN=ms-WMI-QueryLanguage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-QueryLanguage
adminDisplayName: ms-WMI-QueryLanguage
adminDescription: ms-WMI-QueryLanguage
attributeId: 1.2.840.113556.1.4.1643
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mPo8fXvBVEKL103puTKjRQ==
systemFlags: 16
dn: CN=ms-WMI-stringDefault,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-StringDefault
adminDisplayName: ms-WMI-stringDefault
adminDescription: ms-WMI-stringDefault
attributeId: 1.2.840.113556.1.4.1636
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: tkIuFcU3VU+rSBYGOEqa6g==
systemFlags: 16
dn: CN=ms-WMI-intValidValues,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntValidValues
adminDisplayName: ms-WMI-intValidValues
adminDescription: ms-WMI-intValidValues
attributeId: 1.2.840.113556.1.4.1631
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9mX1akmnckuWNDxdR+a04A==
systemFlags: 16
dn: CN=ms-DS-Behavior-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Behavior-Version
adminDisplayName: ms-DS-Behavior-Version
adminDescription: ms-DS-Behavior-Version
attributeId: 1.2.840.113556.1.4.1459
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: V4ca00ckRUWAgTu2EMrL8g==
systemFlags: 16
dn: CN=ms-WMI-int8ValidValues,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Int8ValidValues
adminDisplayName: ms-WMI-int8ValidValues
adminDescription: ms-WMI-int8ValidValues
attributeId: 1.2.840.113556.1.4.1635
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: qRk1EALAG0SYGrCz4BLIAw==
systemFlags: 16
dn: CN=ms-WMI-TargetNameSpace,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-TargetNameSpace
adminDisplayName: ms-WMI-TargetNameSpace
adminDescription: ms-WMI-TargetNameSpace
attributeId: 1.2.840.113556.1.4.1646
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: H7ZKHCA05USEnYtdv2D+tw==
systemFlags: 16
dn: CN=ms-WMI-ClassDefinition,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ClassDefinition
adminDisplayName: ms-WMI-ClassDefinition
adminDescription: ms-WMI-ClassDefinition
attributeId: 1.2.840.113556.1.4.1625
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vA6cK3LCy0WZ0k0OaRYy4A==
systemFlags: 16
dn: CN=ms-WMI-NormalizedClass,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-NormalizedClass
adminDisplayName: ms-WMI-NormalizedClass
adminDescription: ms-WMI-NormalizedClass
attributeId: 1.2.840.113556.1.4.1640
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: j2K66o7r6U+D/Gk75pVVmw==
systemFlags: 16
dn: CN=ms-COM-PartitionSetLink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-PartitionSetLink
adminDisplayName: ms-COM-PartitionSetLink
adminDescription: Link from a Partition to a PartitionSet. Default =

adminDisplayName
attributeId: 1.2.840.113556.1.4.1424
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 3CHxZwJ9fUyC9ZrUyVCsNA==
linkID: 1041
systemFlags: 17
dn: CN=ms-WMI-stringValidValues,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-StringValidValues
adminDisplayName: ms-WMI-stringValidValues
adminDescription: ms-WMI-stringValidValues
attributeId: 1.2.840.113556.1.4.1637
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: MZ1gN7+iWEuPUytk5XoHbQ==
systemFlags: 16
dn: CN=ms-DS-NC-Replica-Locations,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NC-Replica-Locations
adminDisplayName: ms-DS-NC-Replica-Locations
adminDescription: This is a list of servers that are the replica set for the
corresponding Non-Domain Naming Context.
attributeId: 1.2.840.113556.1.4.1661
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FZbelze1vEasDxByDzkJ8w==
linkID: 1044
systemFlags: 16
dn: CN=ms-WMI-SourceOrganization,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-SourceOrganization
adminDisplayName: ms-WMI-SourceOrganization
adminDescription: ms-WMI-SourceOrganization
attributeId: 1.2.840.113556.1.4.1644
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bO33NF1hjUGqAFSafXvgPg==
systemFlags: 16
dn: CN=ms-COM-DefaultPartitionLink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-DefaultPartitionLink
adminDisplayName: ms-COM-DefaultPartitionLink
adminDescription: Link to a the default Partition for the PartitionSet.

Default = adminDisplayName
attributeId: 1.2.840.113556.1.4.1427
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9xCLmRqqZEO4Z3U9GX/mcA==
systemFlags: 16
dn: CN=ms-DS-User-Account-Control-Computed,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-User-Account-Control-Computed
adminDisplayName: ms-DS-User-Account-Control-Computed
adminDescription: ms-DS-User-Account-Control-Computed
attributeId: 1.2.840.113556.1.4.1460
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NrjELD+2QEmNI+p6zwavVg==
systemFlags: 20
dn: CN=ms-DS-Replication-Notify-First-DSA-
Delay,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Replication-Notify-First-DSA-Delay
adminDisplayName: ms-DS-Replication-Notify-First-DSA-Delay
adminDescription: This attribute controls the delay between changes to the

DS, and notification of the first replica partner for an NC.
attributeId: 1.2.840.113556.1.4.1663
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9NSrhYkKSU697G81uyViug==
systemFlags: 16
dn: CN=ms-DS-Approx-Immed-Subordinates,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Approx-Immed-Subordinates
adminDisplayName: ms-DS-Approx-Immed-Subordinates
adminDescription: ms-DS-Approx-Immed-Subordinates
attributeId: 1.2.840.113556.1.4.1669
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: Q9KF4c7220q0lrDABdeCPA==
systemFlags: 20
# Load new attributes into the schema cache for inclusion below
dn:
schemaUpdateNow: 1
dn: CN=ms-PKI-Enterprise-Oid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Enterprise-Oid
adminDisplayName: ms-PKI-Enterprise-Oid
adminDescription: ms-PKI-Enterprise-Oid
governsId: 1.2.840.113556.1.5.196
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: XNjPNxln2EqPnoZ4umJ1Yw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-PKI-Enterprise-
Oid,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-Som,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Som
adminDisplayName: ms-WMI-Som
adminDescription: ms-WMI-Som
governsId: 1.2.840.113556.1.5.213
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: eHCFq0IBBkSUWzTJtrEzcg==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;SY)(A;;RPCCDCLCLODTRC;;;AU)
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-Som,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-PolicyTemplate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-PolicyTemplate
adminDisplayName: ms-WMI-PolicyTemplate
adminDescription: ms-WMI-PolicyTemplate
governsId: 1.2.840.113556.1.5.200
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 8YC84kokWU2sxspcT4Lm4Q==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-
PolicyTemplate,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-WMIGPO,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-WMIGPO
adminDisplayName: ms-WMI-WMIGPO
adminDescription: ms-WMI-WMIGPO
governsId: 1.2.840.113556.1.5.215
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: AABjBSc53k6/J8qR8nXCbw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-WMIGPO,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-COM-Partition,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-Partition
adminDisplayName: ms-COM-Partition
adminDescription: Partition class. Default = adminDisplayName
governsId: 1.2.840.113556.1.5.193
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: dA4ByVhO90mKiV4+I0D8+A==
systemOnly: FALSE
defaultObjectCategory: CN=ms-COM-Partition,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-PolicyType,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-PolicyType
adminDisplayName: ms-WMI-PolicyType
adminDescription: ms-WMI-PolicyType
governsId: 1.2.840.113556.1.5.211
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: EyZbWQlBd06QE6O7TvJ3xw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-PolicyType,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-ShadowObject,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ShadowObject
adminDisplayName: ms-WMI-ShadowObject
adminDescription: ms-WMI-ShadowObject
governsId: 1.2.840.113556.1.5.212
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: 30vk8dONNUKchvkfMfW1aQ==
systemOnly: FALSE
ShadowObject,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-COM-PartitionSet,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msCOM-PartitionSet
adminDisplayName: ms-COM-PartitionSet
adminDescription: PartitionSet class. Default = adminDisplayName
governsId: 1.2.840.113556.1.5.194
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: q2QEJRfEekmXWp4NRZp8oQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-COM-
PartitionSet,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-Rule,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Rule
adminDisplayName: ms-WMI-Rule
adminDescription: ms-WMI-Rule
governsId: 1.2.840.113556.1.5.214
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: g29+PA7dG0igwnTNlu8qZg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-Rule,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Dynamic-Object,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: dynamicObject
adminDisplayName: Dynamic-Object
adminDescription: Dynamic-Object
governsId: 1.3.6.1.4.1.1466.101.119.2
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
systemMayContain: 1.3.6.1.4.1.1466.101.119.3
schemaIdGuid:: SRLVZlUzH0yyToHyUqyiOw==
systemOnly: FALSE
defaultObjectCategory: CN=Dynamic-Object,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# Reload new schema cache to pick up classes used in subclassof
dn:
schemaUpdateNow: 1
dn: CN=ms-WMI-MergeablePolicyTemplate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-MergeablePolicyTemplate
adminDisplayName: ms-WMI-MergeablePolicyTemplate
adminDescription: ms-WMI-MergeablePolicyTemplate
governsId: 1.2.840.113556.1.5.202
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.200
schemaIdGuid:: FCRQB8r9UUiwShNkWxHSJg==
systemOnly: FALSE
MergeablePolicyTemplate,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# Reload new schema cache to pick up classes used in possSuperiors
dn:
schemaUpdateNow: 1
dn: CN=ms-WMI-RangeParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-RangeParam
adminDisplayName: ms-WMI-RangeParam
adminDescription: ms-WMI-RangeParam
governsId: 1.2.840.113556.1.5.203
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: V1r7RRhQD02QVpl8jJEi2Q==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-RangeParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# Reload new schema cache to pick up classes used in possSuperiors
dn:
schemaUpdateNow: 1
dn: CN=ms-WMI-StringSetParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-StringSetParam
adminDisplayName: ms-WMI-StringSetParam
adminDescription: ms-WMI-StringSetParam
governsId: 1.2.840.113556.1.5.210
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: onnFC6cd6ky2mYB/O51jpA==
systemOnly: FALSE
StringSetParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-UnknownRangeParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-UnknownRangeParam
adminDisplayName: ms-WMI-UnknownRangeParam
adminDescription: ms-WMI-UnknownRangeParam
governsId: 1.2.840.113556.1.5.204
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: a8IquNvGmECSxknBijM24Q==
systemOnly: FALSE
UnknownRangeParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-RealRangeParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-RealRangeParam
adminDisplayName: ms-WMI-RealRangeParam
adminDescription: ms-WMI-RealRangeParam
governsId: 1.2.840.113556.1.5.209
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: 4o/+arxwzkyxZqlvc1nFFA==
systemOnly: FALSE
RealRangeParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-SimplePolicyTemplate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-SimplePolicyTemplate
adminDisplayName: ms-WMI-SimplePolicyTemplate
adminDescription: ms-WMI-SimplePolicyTemplate
governsId: 1.2.840.113556.1.5.201
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.200
schemaIdGuid:: tbLIbN8S9kSDB+dPXN7jaQ==
systemOnly: FALSE
SimplePolicyTemplate,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-IntSetParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntSetParam
adminDisplayName: ms-WMI-IntSetParam
adminDescription: ms-WMI-IntSetParam
governsId: 1.2.840.113556.1.5.206
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: mg0vKXbPsEKEH7ZQ8zHfYg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-WMI-IntSetParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-UintSetParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-UintSetParam
adminDisplayName: ms-WMI-UintSetParam
adminDescription: ms-WMI-UintSetParam
governsId: 1.2.840.113556.1.5.208
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: MetLjxlO9UaTLl+gPDObHQ==
systemOnly: FALSE
UintSetParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-IntRangeParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-IntRangeParam
adminDisplayName: ms-WMI-IntRangeParam
adminDescription: ms-WMI-IntRangeParam
governsId: 1.2.840.113556.1.5.205
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: fV3KUItc806531tm1JHlJg==
systemOnly: FALSE
IntRangeParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-WMI-UintRangeParam,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-UintRangeParam
adminDisplayName: ms-WMI-UintRangeParam
adminDescription: ms-WMI-UintRangeParam
governsId: 1.2.840.113556.1.5.207
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.203
schemaIdGuid:: spmn2fPOs0i1rfuF+N0yFA==
systemOnly: FALSE
UintRangeParam,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# Reload new schema cache
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=KRA,CN=Public Key Services,CN=Services,CN=Configuration,DC=X
objectClass: Container
dn: CN=OID,CN=Public Key Services,CN=Services,CN=Configuration,DC=X
objectClass: msPKI-Enterprise-Oid
dn: CN=Generate-RSoP,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: bf967aa5-0de6-11d0-a285-00aa003049e2
displayName: Generate Resultant Set of Policy
rightsGUID: b7b1b3dd-ab09-4242-9e30-9980e5d322f7
validAccesses: 256
dn: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=X
add: msDS-Other-Settings
msDS-Other-Settings: DynamicObjectDefaultTTL=86400
msDS-Other-Settings: DynamicObjectMinTTL=900
objectVersion: 14
Sch15.ldf
# Schema NC changes
dn: CN=ms-WMI-Parm1,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Parm1
adminDisplayName: ms-WMI-Parm1
adminDescription: ms-WMI-Parm1
attributeId: 1.2.840.113556.1.4.1682
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: hRToJ7Cxi0q+3c4ZqDfibg==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1683
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: jlADAEKcdkqo9Di/ZLqw3g==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1684
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: to+VRb1Szkifn8JxLZ8r/A==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1685
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: o9UAOM7xgkulmhUo6nlfWQ==
systemFlags: 16
dn: CN=ms-WMI-Class,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Class
adminDisplayName: ms-WMI-Class
adminDescription: ms-WMI-Class
attributeId: 1.2.840.113556.1.4.1676
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: X5LBkCRKB0uyAr4y6zyLdA==
systemFlags: 16
dn: CN=ms-WMI-Genus,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-Genus
adminDisplayName: ms-WMI-Genus
adminDescription: ms-WMI-Genus
attributeId: 1.2.840.113556.1.4.1677
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: OmfIUFaPFEaTCJ4TQPua8w==
systemFlags: 16
dn: CN=ms-PKI-OID-CPS,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-OID-CPS
adminDisplayName: ms-PKI-OID-CPS
adminDescription: ms-PKI-OID-CPS
attributeId: 1.2.840.113556.1.4.1672
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DpRJX5+nUUq7bz1EalTcaw==
systemFlags: 16
dn: CN=GPC-WQL-Filter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: gPCWQLFilter
adminDisplayName: GPC-WQL-Filter
adminDescription: GPC-WQL-Filter
attributeId: 1.2.840.113556.1.4.1694
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: psfUe90aNkSMBDmZqIAVTA==
systemFlags: 16
dn: CN=Extra-Columns,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: extraColumns
adminDisplayName: Extra-Columns
adminDescription: Extra-Columns
attributeId: 1.2.840.113556.1.4.1687
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RihO0tkdz0uZ16YifMhtpw==
systemFlags: 16
dn: CN=ms-WMI-intFlags1,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-intFlags1
adminDisplayName: ms-WMI-intFlags1
adminDescription: ms-WMI-intFlags1
attributeId: 1.2.840.113556.1.4.1678
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uQbgGEVk40idz7Xs+8Tfjg==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1679
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yUJaB1rFsUWsk+sIazH2EA==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1680
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Nqef8gne5EuyOuc0wSS6zA==
systemFlags: 16
attributeId: 1.2.840.113556.1.4.1681
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rKd0vZPEnEy9+lx7EZymsg==
systemFlags: 16
dn: CN=ms-WMI-ScopeGuid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ScopeGuid
adminDisplayName: ms-WMI-ScopeGuid
adminDescription: ms-WMI-ScopeGuid
attributeId: 1.2.840.113556.1.4.1686
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UY23h19Af0uA7SvSh4b0jQ==
systemFlags: 16
dn: CN=ms-FRS-Hub-Member,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFRS-Hub-Member
adminDisplayName: ms-FRS-Hub-Member
adminDescription: ms-FRS-Hub-Member
attributeId: 1.2.840.113556.1.4.1693
omSyntax: 127
linkID: 1046
searchFlags: 0
schemaIdGuid:: gf9DVrY1qUyVErrwvQoncg==
dn: CN=ms-PKI-OID-Attribute,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-OID-Attribute
adminDisplayName: ms-PKI-OID-Attribute
adminDescription: ms-PKI-OID-Attribute
attributeId: 1.2.840.113556.1.4.1671
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iBKejChQT0+nBHbQJvJG7w==
systemFlags: 16
dn: CN=ms-FRS-Topology-Pref,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFRS-Topology-Pref
adminDisplayName: ms-FRS-Topology-Pref
adminDescription: ms-FRS-Topology-Pref
attributeId: 1.2.840.113556.1.4.1692
omSyntax: 64
searchFlags: 0
schemaIdGuid:: 4CeqklBcLUCewe6Efe+XiA==
dn: CN=ms-PKI-OID-User-Notice,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-OID-User-Notice
adminDisplayName: ms-PKI-OID-User-Notice
adminDescription: ms-PKI-OID-User-Notice
attributeId: 1.2.840.113556.1.4.1673
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: etrEBBThaU6I3uKT8tOzlQ==
systemFlags: 16
dn: CN=ms-PKI-RA-Application-Policies,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-RA-Application-Policies
adminDisplayName: ms-PKI-RA-Application-Policies
adminDescription: ms-PKI-RA-Application-Policies
attributeId: 1.2.840.113556.1.4.1675
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: v/uRPHNHzUyoe4XVPnvPag==
systemFlags: 16
dn: CN=Admin-Multiselect-Property-Pages,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: adminMultiselectPropertyPages
adminDisplayName: Admin-Multiselect-Property-Pages
adminDescription: Admin-Multiselect-Property-Pages
attributeId: 1.2.840.113556.1.4.1690
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: fbb5GMZaO0uX29CkBq+3ug==
systemFlags: 16
dn: CN=ms-DS-Security-Group-Extra-Classes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Security-Group-Extra-Classes
adminDisplayName: ms-DS-Security-Group-Extra-Classes
adminDescription: ms-DS-Security-Group-Extra-Classes
attributeId: 1.2.840.113556.1.4.1688
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6GoUT/6kAUinMfUYSKT05A==
systemFlags: 16
dn: CN=ms-PKI-Certificate-Application-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-Certificate-Application-Policy
adminDisplayName: ms-PKI-Certificate-Application-Policy
adminDescription: ms-PKI-Certificate-Application-Policy
attributeId: 1.2.840.113556.1.4.1674
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SAXZ2zeqAkKZZoxTe6XOMg==
systemFlags: 16
dn: CN=ms-DS-Non-Security-Group-Extra-
Classes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Non-Security-Group-Extra-Classes
adminDisplayName: Non-Security-Group-Extra-Classes
adminDescription: ms-DS-Non-Security-Group-Extra-Classes
attributeId: 1.2.840.113556.1.4.1689
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: /EThLVIfb0i99Bb8wwhOVA==
systemFlags: 16
dn: CN=MSMQ-Recipient-FormatName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msMQ-Recipient-FormatName
adminDisplayName: MSMQ-Recipient-FormatName
adminDescription: MSMQ-Recipient-FormatName
attributeId: 1.2.840.113556.1.4.1695
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 255
schemaIdGuid:: SGf+O0S1WkiwZxsxDEM0vw==
systemFlags: 16
dn: CN=Last-Logon-Timestamp,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: lastLogonTimestamp
adminDisplayName: Last-Logon-Timestamp
adminDescription: Last-Logon-Timestamp
attributeId: 1.2.840.113556.1.4.1696
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: BAriwFoO80+Ugl7+rs1wYA==
attributeSecurityGuid:: ECAgX6V50BGQIADAT8LUzw==
systemFlags: 16
dn: CN=ms-DS-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Settings
adminDisplayName: ms-DS-Settings
adminDescription: ms-DS-Settings
attributeId: 1.2.840.113556.1.4.1697
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 10cbDqNASEuNG0ysDBzfIQ==
systemFlags: 16
dn: CN=ms-TAPI-Unique-Identifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-uid
adminDisplayName: msTAPI-uid
adminDescription: msTAPI-uid
attributeId: 1.2.840.113556.1.4.1698
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 120
schemaIdGuid:: 6uekcLmzQ0aJGObdJHG/1A==
systemFlags: 16
dn: CN=ms-TAPI-Ip-Address,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-IpAddress
adminDisplayName: msTAPI-IpAddress
adminDescription: msTAPI-IpAddress
attributeId: 1.2.840.113556.1.4.1701
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 99fX744XZ0eH+viha4QFRA==
systemFlags: 16
dn: CN=ms-TAPI-Protocol-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-ProtocolId
adminDisplayName: msTAPI-ProtocolId
adminDescription: msTAPI-ProtocolId
attributeId: 1.2.840.113556.1.4.1699
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: z+vBiV96/UGZyskAsyKZqw==
systemFlags: 16
dn: CN=ms-TAPI-Conference-Blob,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-ConferenceBlob
adminDisplayName: msTAPI-ConferenceBlob
adminDescription: msTAPI-ConferenceBlob
attributeId: 1.2.840.113556.1.4.1700
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HmDETAFyQUGryD5SmuiIYw==
systemFlags: 16
dn: CN=Is-Member-Of-DL,CN=Schema,CN=Configuration,DC=X
attributeSecurityGuid:: QMIKvKl50BGQIADAT8LUzw==
searchFlags: 9
dn: CN=ms-DS-Trust-Forest-Trust-Info,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TrustForestTrustInfo
adminDisplayName: ms-DS-Trust-Forest-Trust-Info
adminDescription: ms-DS-Trust-Forest-Trust-Info
attributeId: 1.2.840.113556.1.4.1702
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bobMKdNJaUmULh28CSXRgw==
systemFlags: 16
dn: CN=ms-Exch-Owner-BL,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: ownerBL
adminDescription: ms-Exch-Owner-BL
adminDisplayName: ms-Exch-Owner-BL
attributeID: 1.2.840.113556.1.2.104
oMSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 9HmWv+YN0BGihQCqADBJ4g==
linkID: 45
systemFlags: 17
# Load the schema cache to pick up new attributes
dn:
schemaUpdateNow: 1
dn: CN=ms-WMI-ObjectEncoding,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msWMI-ObjectEncoding
adminDisplayName: ms-WMI-ObjectEncoding
adminDescription: ms-WMI-ObjectEncoding
governsId: 1.2.840.113556.1.5.217
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: yYHdVRLD+UGoTcatvfHo4Q==
systemOnly: FALSE
ObjectEncoding,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Application-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: applicationVersion
adminDisplayName: Application-Version
adminDescription: Stores versioning information for an application and its

schema.
governsId: 1.2.840.113556.1.5.216
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.7000.49
schemaIdGuid:: rJDH3U2vKkSPD6HUyqfdkg==
systemOnly: FALSE
defaultObjectCategory: CN=Application-
Version,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
(A;;RPWPCRLCLOCCDCRCWDWOSW;;;DA)(A;;CC;;;PA)
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
dn: CN=ms-WMI-WMIGPO,CN=Schema,CN=Configuration,DC=X
dn: CN=MSMQ-Group,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msMQ-Group
adminDisplayName: MSMQ-Group
adminDescription: MSMQ-Group
governsId: 1.2.840.113556.1.5.219
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: rHqyRvqq+0+3c+W/Yh7oew==
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Group,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=MSMQ-Custom-Recipient,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msMQ-Custom-Recipient
adminDisplayName: MSMQ-Custom-Recipient
adminDescription: MSMQ-Custom-Recipient
governsId: 1.2.840.113556.1.5.218
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: F2hth8w1bEOs6l73F03Zvg==
systemOnly: FALSE
defaultObjectCategory: CN=MSMQ-Custom-
Recipient,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-App-Configuration,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-App-Configuration
adminDisplayName: ms-DS-App-Configuration
adminDescription: Stores configuration parameters for an application.
governsId: 1.2.840.113556.1.5.220
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.7000.49
schemaIdGuid:: PjzfkFQYVUSl18rUDVZleg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-App-
Configuration,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=Application-Settings,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-TAPI-Rt-Person,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-RtPerson
adminDisplayName: msTAPI-RtPerson
adminDescription: msTAPI-RtPerson
governsId: 1.2.840.113556.1.5.222
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: tRzqUwS3+U2Bj1y07IbKwQ==
defaultSecurityDescriptor: D:(A;;GA;;;WD)
systemOnly: FALSE
defaultObjectCategory: CN=ms-TAPI-Rt-Person,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-TAPI-Rt-Conference,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTAPI-RtConference
adminDisplayName: msTAPI-RtConference
adminDescription: msTAPI-RtConference
governsId: 1.2.840.113556.1.5.221
rdnAttId: 1.2.840.113556.1.4.1698
subClassOf: 2.5.6.0
schemaIdGuid:: NZd7yipLSU6Jw5kCUzTclA==
defaultSecurityDescriptor: D:(A;;GA;;;WD)
systemOnly: FALSE
defaultObjectCategory: CN=ms-TAPI-Rt-
Conference,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
# Reload the schema cache to pick up altered classes and attributes
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=msmq-Send,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
appliesTo: 46b27aac-aafa-4ffb-b773-e5bf621ee87b
dn: CN=Refresh-Group-Cache,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Refresh Group Cache for Logons
rightsGUID: 9432c620-033c-4db7-8b58-14ef6d0bf477
validAccesses: 256
objectVersion: 15
Sch16.ldf
# Schema NC changes
add: rangeLower
rangeLower: 16
add: rangeUpper
rangeUpper: 16
dn: CN=Other-Well-Known-Objects,CN=Schema,CN=Configuration,DC=X
add: rangeLower
rangeLower: 16
add: rangeUpper
rangeUpper: 16
dn: CN=ms-TAPI-Unique-Identifier,CN=Schema,CN=Configuration,DC=X
replace: rangeUpper
rangeUpper: 256
dn: CN=ms-DS-NC-Repl-Cursors,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NCReplCursors
adminDisplayName: ms-DS-NC-Repl-Cursors
adminDescription: ms-DS-NC-Repl-Cursors
attributeId: 1.2.840.113556.1.4.1704
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 5HwWiuj560eNePf+gKuyzA==
systemFlags: 20
dn: CN=ms-DS-Filter-Containers,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-FilterContainers
adminDisplayName: ms-DS-Filter-Containers
adminDescription: ms-DS-Filter-Containers
attributeId: 1.2.840.113556.1.4.1703
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: 39wA+zesOkicEqxTpmAwMw==
systemFlags: 16
dn: CN=ms-DS-Repl-Value-Meta-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ReplValueMetaData
adminDisplayName: ms-DS-Repl-Value-Meta-Data
adminDescription: ms-DS-Repl-Value-Meta-Data
attributeId: 1.2.840.113556.1.4.1708
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RYFcL73hC0GJV4v6gdWs/Q==
systemFlags: 20
dn: CN=ms-DS-Repl-Attribute-Meta-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ReplAttributeMetaData
adminDisplayName: ms-DS-Repl-Attribute-Meta-Data
adminDescription: ms-DS-Repl-Attribute-Meta-Data
attributeId: 1.2.840.113556.1.4.1707
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QjLF105yOUydTC34ydZseg==
systemFlags: 20
dn: CN=ms-DS-NC-Repl-Inbound-Neighbors,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NCReplInboundNeighbors
adminDisplayName: ms-DS-NC-Repl-Inbound-Neighbors
adminDescription: ms-DS-NC-Repl-Inbound-Neighbors
attributeId: 1.2.840.113556.1.4.1705
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Wqjbnp4+G0ObGqW26e2nlg==
systemFlags: 20
dn: CN=ms-DS-NC-Repl-Outbound-Neighbors,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NCReplOutboundNeighbors
adminDisplayName: ms-DS-NC-Repl-Outbound-Neighbors
adminDescription: ms-DS-NC-Repl-Outbound-Neighbors
attributeId: 1.2.840.113556.1.4.1706
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9S5fhcWhxEy6bTJSKEi2Hw==
systemFlags: 20
dn: CN=ms-DS-Has-Instantiated-NCs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-HasInstantiatedNCs
adminDisplayName: ms-DS-Has-Instantiated-NCs
adminDescription: DS replication information detailing the state of the NCs

present on a particular server.
attributeId: 1.2.840.113556.1.4.1709
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
rangeLower: 4
rangeUpper: 4
schemaIdGuid:: vKXpERdFSUCvnFFVT7D8CQ==
linkID: 2002
systemFlags: 16
dn: CN=ms-DS-Allowed-DNS-Suffixes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AllowedDNSSuffixes
adminDisplayName: ms-DS-Allowed-DNS-Suffixes
adminDescription: Allowed suffixes for dNSHostName on computer
attributeId: 1.2.840.113556.1.4.1710
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: G0RphMSaRU6CBb0hnb9nLQ==
systemFlags: 16
dn: CN=Country-Code,CN=Schema,CN=Configuration,DC=X
add: rangeLower
rangeLower: 0
add: rangeUpper
rangeUpper: 65535
dn: CN=ms-DS-SD-Reference-Domain,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SDReferenceDomain
adminDisplayName: ms-DS-SD-Reference-Domain
adminDescription: The domain to be used for default security descriptor

translation for a Non-Domain Naming Context.
attributeId: 1.2.840.113556.1.4.1711
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: FuNRTCj2pUOwa/+2lfy08w==
linkID: 2000
systemFlags: 16
dn:
schemaUpdateNow: 1
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=SAM-Enumerate-Entire-Domain,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: bf967aad-0de6-11d0-a285-00aa003049e2
displayName: Enumerate Entire SAM Domain
rightsGUID: 91d67418-0135-4acc-8d79-c08e857cfbec
validAccesses: 256
dn: CN=Generate-RSoP-Logging,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo: bf967aa5-0de6-11d0-a285-00aa003049e2
displayName: Generate Resultant Set of Policy (Logging)
rightsGUID: b7b1b3de-ab09-4242-9e30-9980e5d322f7
validAccesses: 256
add: systemFlags
newrdn: Generate-RSoP-Planning
deleteoldrdn: 1
dn: CN=Generate-RSoP-Planning,CN=Extended-Rights,CN=Configuration,DC=X
delete: systemFlags
dn: CN=Generate-RSoP-Planning,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Generate Resultant Set of Policy (Planning)
objectVersion: 16
Sch17.ldf
# Schema NC changes
systemFlags: 27
systemFlags: 24
systemFlags: 26
dn: CN=ms-PKI-OID-LocalizedName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-OIDLocalizedName
adminDisplayName: ms-PKI-OID-LocalizedName
adminDescription: ms-PKI-OID-LocalizedName
attributeId: 1.2.840.113556.1.4.1712
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 512
schemaIdGuid:: FqhZfQW7ckqXH1wTMfZ1WQ==
systemFlags: 16
dn: CN=MSMQ-Secured-Source,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: MSMQ-SecuredSource
adminDisplayName: MSMQ-Secured-Source
adminDescription: MSMQ-Secured-Source
attributeId: 1.2.840.113556.1.4.1713
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GyLwiwZ6Y02R8BSZlBgT0w==
systemFlags: 16
dn: CN=MSMQ-Multicast-Address,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: MSMQ-MulticastAddress
adminDisplayName: MSMQ-Multicast-Address
adminDescription: MSMQ-Multicast-Address
attributeId: 1.2.840.113556.1.4.1714
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 9
schemaIdGuid:: EkQvHQ3xN0ObSG5bElzSZQ==
systemFlags: 16
dn: CN=ms-DS-SPN-Suffixes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SPNSuffixes
adminDisplayName: ms-DS-SPN-Suffixes
adminDescription: ms-DS-SPN-Suffixes
attributeId: 1.2.840.113556.1.4.1715
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 255
schemaIdGuid:: 6+GeeI6MTE6M7HmzG3YXtQ==
systemFlags: 16
dn: CN=ms-DS-Has-Instantiated-NCs,CN=Schema,CN=Configuration,DC=X
add: linkID
linkID: 2002
dn: CN=ms-DS-IntId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IntId
adminDisplayName: ms-DS-IntId
adminDescription: ms-DS-IntId
attributeId: 1.2.840.113556.1.4.1716
omSyntax: 2
systemOnly: TRUE
searchFlags: 8
schemaIdGuid:: aglgvEcbMEuId2Ask/VlMg==
systemFlags: 16
dn: CN=Invocation-Id,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
dn:
schemaUpdateNow: 1
dn: CN=ms-PKI-Private-Key-Recovery-Agent,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-PrivateKeyRecoveryAgent
adminDisplayName: ms-PKI-Private-Key-Recovery-Agent
adminDescription: ms-PKI-Private-Key-Recovery-Agent
governsId: 1.2.840.113556.1.5.223
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: MqZiFblEfkqi0+QmyWo6zA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-PKI-Private-Key-Recovery-
Agent,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=MSMQ-Custom-Recipient,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# Config NC changes
objectVersion: 17
Sch18.ldf
dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
changetype: NtdsSchemaAdd
adminDescription: ms-Exch-Assistant-Name
adminDisplayName: ms-Exch-Assistant-Name
attributeID: 1.2.840.113556.1.2.444
lDAPDisplayName: msExchAssistantName
mapiId: 14896
oMSyntax: 64
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: lHPfqOrF0RG7ywCAx2ZwwA==
searchFlags: 0
dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
adminDescription: ms-Exch-LabeledURI
adminDisplayName: ms-Exch-LabeledURI
attributeID: 1.2.840.113556.1.2.593
lDAPDisplayName: msExchLabeledURI
mapiId: 35921
name: ms-Exch-LabeledURI
oMSyntax: 64
rangeLower: 1
rangeUpper: 1024
schemaIdGuid:: IFh3FvNH0RGpwwAA+ANnwQ==
searchFlags: 0
dn:
schemaUpdateNow: 1
# change the LDN of Exchange schema objects
dn: CN=ms-Exch-Assistant-Name,CN=Schema,CN=Configuration,DC=X
replace: lDAPDisplayName
lDAPDisplayName: msExchAssistantName
dn: CN=ms-Exch-LabeledURI,CN=Schema,CN=Configuration,DC=X
replace: lDAPDisplayName
lDAPDisplayName: msExchLabeledURI
-
dn:
schemaUpdateNow: 1
# Schema NC changes
dn: CN=uid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: uid
adminDisplayName: uid
adminDescription: A user ID.
attributeId: 0.9.2342.19200300.100.1.1
omSyntax: 64
systemOnly: FALSE
searchFlags: 8
schemaIdGuid:: oPywC4ken0KQGhQTiU2fWQ==
systemFlags: 0
dn: CN=audio,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: audio
adminDisplayName: audio
adminDescription: The Audio attribute type allows the storing of sounds in

the Directory.
attributeId: 0.9.2342.19200300.100.1.55
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 250000
schemaIdGuid:: JNLh0KDhzkKi2nk7pSRPNQ==
systemFlags: 0
dn: CN=photo,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: photo
adminDisplayName: photo
adminDescription: An object encoded in G3 fax as explained in recommendation

T.4, with an ASN.1 wrapper to make it compatible with an X.400 BodyPart as
defined in X.420.
attributeId: 0.9.2342.19200300.100.1.7
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: aJeXnBq6CEyWMsalwe1kmg==
systemFlags: 0
dn: CN=jpegPhoto,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: jpegPhoto
adminDisplayName: jpegPhoto
adminDescription: Used to store one or more images of a person using the

JPEG File Interchange Format [JFIF].
attributeId: 0.9.2342.19200300.100.1.60
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: cgXIusQJqU+a5nYo162+Dg==
systemFlags: 0
dn: CN=secretary,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: secretary
adminDisplayName: secretary
adminDescription: Specifies the secretary of a person.
attributeId: 0.9.2342.19200300.100.1.21
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mi0HAa2YU0qXROg+KHJ4+w==
systemFlags: 0
dn: CN=userPKCS12,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: userPKCS12
adminDisplayName: userPKCS12
adminDescription: PKCS #12 PFX PDU for exchange of personal identity

information.
attributeId: 2.16.840.1.113730.3.1.216
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: tYqZI/hwB0CkwahKODEfmg==
systemFlags: 0
dn: CN=carLicense,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: carLicense
adminDisplayName: carLicense
adminDescription: Vehicle license or registration plate.
attributeId: 2.16.840.1.113730.3.1.1
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kpwV1H2Vh0qKZ40pNOAWSQ==
systemFlags: 0
dn: CN=labeledURI,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: labeledURI
adminDisplayName: labeledURI
adminDescription: A Uniform Resource Identifier followed by a label. The

label is used to describe the resource to which the URI points, and is
intended as a friendly name fit for human consumption.
attributeId: 1.3.6.1.4.1.250.1.57
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RrtpxYDGvESic+bCJ9cbRQ==
systemFlags: 0
dn: CN=roomNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: roomNumber
adminDisplayName: roomNumber
adminDescription: The room number of an object.
attributeId: 0.9.2342.19200300.100.1.6
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: wvjXgSfjDUqRxrQtQAkRXw==
systemFlags: 0
dn: CN=uniqueMember,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: uniqueMember
adminDisplayName: uniqueMember
adminDescription: The distinguished name for the member of a group. Used by

groupOfUniqueNames.
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JoeIjwr410Sx7sud8hOSyA==
systemFlags: 0
dn: CN=departmentNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: departmentNumber
adminDisplayName: departmentNumber
adminDescription: Identifies a department within an organization.
attributeId: 2.16.840.1.113730.3.1.2
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 7vaevsfLIk+ye5aWfn7lhQ==
systemFlags: 0
dn: CN=unstructuredName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: unstructuredName
adminDisplayName: unstructuredName
adminDescription: The DNS name of the router. For example,

router1.microsoft.com. PKCS #9
attributeId: 1.2.840.113549.1.9.2
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 256
schemaIdGuid:: d/GOnM9ByUWWc3cWwMiQGw==
systemFlags: 0
dn: CN=preferredLanguage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: preferredLanguage
adminDisplayName: preferredLanguage
adminDescription: The preferred written or spoken language for a person.
attributeId: 2.16.840.1.113730.3.1.39
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 0OBrhecY4UaPX37k2QIODQ==
systemFlags: 0
dn: CN=x500uniqueIdentifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: x500uniqueIdentifier
adminDisplayName: x500uniqueIdentifier
adminDescription: Used to distinguish between objects when a distinguished

name has been reused. This is a different attribute type from both the
"uid" and "uniqueIdentifier" types.
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: H6F90D2KtkKwqnbJYr5xmg==
systemFlags: 0
dn: CN=unstructuredAddress,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: unstructuredAddress
adminDisplayName: unstructuredAddress
adminDescription: The IP address of the router. For example, 100.11.22.33.

PKCS #9
attributeId: 1.2.840.113549.1.9.8
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 256
schemaIdGuid:: OQiVUEzMkUSGOvz5QtaEtw==
systemFlags: 0
dn: CN=attributeCertificateAttribute,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: attributeCertificateAttribute
adminDisplayName: attributeCertificateAttribute
adminDescription: A digitally signed or certified identity and set of

attributes. Used to bind authorization information to an identity. X.509
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: u5NG+sJ7uUyBqMmcQ7eQXg==
systemFlags: 0
dn:
schemaUpdateNow: 1
dn: CN=inetOrgPerson,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: inetOrgPerson
adminDisplayName: inetOrgPerson
adminDescription: Represents people who are associated with an organization

in some way.
governsId: 2.16.840.1.113730.3.2.2
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.9
systemMayContain: 2.16.840.1.113730.3.1.216
systemMayContain: 1.3.6.1.4.1.250.1.57
schemaIdGuid:: FMwoSDcUvEWbB61vAV5fKA==
(A;;RPLCLORC;;;PS)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)
(OA;;CR;ab721a54-1e2f-11d0-9819-00aa0040529b;;PS)(OA;;CR;ab721a56-1e2f-11d0-
9819-00aa0040529b;;PS)(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)
(OA;;RPWP;E45795B2-9455-11d1-AEBD-0000F80367C1;;PS)(OA;;RPWP;E45795B3-9455-
11d1-AEBD-0000F80367C1;;PS)(OA;;RP;037088f8-0ae1-11d2-b422-00a0c968f939;;RS)
(OA;;RP;4c164200-20c0-11d0-a768-00aa006e0529;;RS)(OA;;RP;bc0ac240-79a9-11d0-
9020-00c04fc2d4cf;;RS)(A;;RC;;;AU)(OA;;RP;59ba2f42-79a2-11d0-9020-
00c04fc2d3cf;;AU)(OA;;RP;77B5B886-944A-11d1-AEBD-0000F80367C1;;AU)
(OA;;RP;E45795B3-9455-11d1-AEBD-0000F80367C1;;AU)(OA;;RP;e48d0154-bcf8-11d1-
8702-00c04fb96050;;AU)(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;WD)
(OA;;RP;5f202010-79a5-11d0-9020-00c04fc2d4cf;;RS)(OA;;RPWP;bf967a7f-0de6-
11d0-a285-00aa003049e2;;CA)
systemOnly: FALSE
defaultObjectCategory: CN=Person,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=groupOfUniqueNames,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: groupOfUniqueNames
adminDisplayName: groupOfUniqueNames
adminDescription: Defines the entries for a group of unique names.
governsId: 2.5.6.17
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: EakQA6OTIU6no1XYWrLEiw==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)
systemOnly: FALSE
defaultObjectCategory: CN=groupOfUniqueNames,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=Person,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.2.444
mayContain: 1.2.840.113556.1.2.593
mayContain: 1.3.6.1.4.1.250.1.57
mayContain: 0.9.2342.19200300.100.1.21
dn:
schemaUpdateNow: 1
add: mayContain
mayContain: 1.3.6.1.4.1.250.1.57
mayContain: 0.9.2342.19200300.100.1.21
dn:
schemaUpdateNow: 1
# Config NC changes
objectVersion: 18
Sch19.ldf
# attributes
dn: CN=ms-DS-Auxiliary-Classes,CN=Schema,CN=Configuration,DC=X
systemFlags: 20
dn:
schemaUpdateNow: 1
# class changes
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;AO)(A;;RPLCLORC;;;PS)
dn: CN=Force-Logoff,CN=Schema,CN=Configuration,DC=X
attributeSecurityGuid:: 0J8RuPYEYkerekmGx2s/mg==
dn: CN=OEM-Information,CN=Schema,CN=Configuration,DC=X
dn: CN=Server-State,CN=Schema,CN=Configuration,DC=X
dn: CN=UAS-Compat,CN=Schema,CN=Configuration,DC=X
dn: CN=Server-Role,CN=Schema,CN=Configuration,DC=X
dn: CN=Domain-Replica,CN=Schema,CN=Configuration,DC=X
dn: CN=Modified-Count,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=Domain-Other-Parameters,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Other Domain Parameters (for use by SAM)
rightsGUID: b8119fd0-04f6-4762-ab7a-4986c76b3f9a
validAccesses: 48
add: appliesTo
appliesTo: 4828CC14-1437-45bc-9B07-AD6F015E5F28
dn: CN=General-Information,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
dn: CN=User-Logon,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
add: appliesTo
dn: CN=Domain-Password,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
objectVersion: 19
Sch20.ldf
# attributes
dn: CN=ms-DS-DnsRootAlias,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-DnsRootAlias
adminDisplayName: ms-DS-DnsRootAlias
adminDescription: ms-DS-DnsRootAlias
attributeId: 1.2.840.113556.1.4.1719
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: yqxDIa3uKU21kYX6Sc6Rcw==
systemFlags: 16
dn: CN=ms-DS-UpdateScript,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UpdateScript
adminDisplayName: ms-DS-UpdateScript
adminDescription: ms-DS-UpdateScript
attributeId: 1.2.840.113556.1.4.1721
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ObZuFJ+7wU+oJeKeAMd5IA==
systemFlags: 16
dn: CN=ms-DS-ReplicationEpoch,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ReplicationEpoch
adminDisplayName: ms-DS-ReplicationEpoch
adminDescription: ms-DS-ReplicationEpoch
attributeId: 1.2.840.113556.1.4.1720
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: earjCBzrtUWve4+UJGyOQQ==
systemFlags: 17
dn: CN=ms-DS-Additional-Dns-Host-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AdditionalDnsHostName
adminDisplayName: ms-DS-Additional-Dns-Host-Name
adminDescription: ms-DS-Additional-Dns-Host-Name
attributeId: 1.2.840.113556.1.4.1717
omSyntax: 64
systemOnly: TRUE
searchFlags: 0
rangeLower: 0
rangeUpper: 2048
schemaIdGuid:: kTeGgOnbuE6Dfn8KtV2axw==
systemFlags: 16
dn: CN=ms-DS-Additional-Sam-Account-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AdditionalSamAccountName
adminDisplayName: ms-DS-Additional-Sam-Account-Name
adminDescription: ms-DS-Additional-Sam-Account-Name
attributeId: 1.2.840.113556.1.4.1718
omSyntax: 64
systemOnly: TRUE
searchFlags: 13
rangeLower: 0
rangeUpper: 256
schemaIdGuid:: 33FVl9WkmkKfWc3GWB2R5g==
systemFlags: 16
dn: CN=Hide-From-AB,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: hideFromAB
adminDisplayName: Hide-From-AB
adminDescription: Hide-From-AB
attributeId: 1.2.840.113556.1.4.1780
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ULcF7Hep/k6OjbpsGm4zqA==
systemFlags: 0
dn: CN=ms-DS-ExecuteScriptPassword,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ExecuteScriptPassword
adminDisplayName: ms-DS-ExecuteScriptPassword
adminDescription: ms-DS-ExecuteScriptPassword
attributeId: 1.2.840.113556.1.4.1783
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
rangeLower: 0
rangeUpper: 64
schemaIdGuid:: WkoFnYfRwUadhULfxEpW3Q==
systemFlags: 17
ldapDisplayName: preferredLanguage
adminDisplayName: preferredLanguage
dn: CN=Code-Page,CN=Schema,CN=Configuration,DC=X
replace: rangeLower
rangeLower: 0
replace: rangeUpper
rangeUpper: 65535
dn:
schemaUpdateNow: 1
# class changes
dn: CN=ms-TAPI-Rt-Conference,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# change objects in configuration container
objectVersion: 20
Sch21.ldf
# attributes
dn: CN=ms-DS-Logon-Time-Sync-Interval,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LogonTimeSyncInterval
adminDisplayName: ms-DS-Logon-Time-Sync-Interval
adminDescription: ms-DS-Logon-Time-Sync-Interval
attributeId: 1.2.840.113556.1.4.1784
oMSyntax: 2
rangeLower: 0
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: +EB5rTrkQkqDvNaI5Z6mBQ==
systemFlags: 16
dn: CN=ms-DS-Allowed-To-Delegate-To,CN=Schema,CN=Configuration,DC=X
lDAPDisplayName: msDS-AllowedToDelegateTo
adminDisplayName: ms-DS-Allowed-To-Delegate-To
adminDescription: Allowed-To-Delegate-To contains a list of SPNs that are

used for Constrained Delegation
attributeId: 1.2.840.113556.1.4.1787
oMSyntax: 64
searchFlags: 0
systemOnly: FALSE
schemaIdGuid:: 15QNgKG3oUKxTXyuFCPQfw==
systemFlags: 16
dn: CN=ms-IIS-FTP-Root,CN=Schema,CN=Configuration,DC=X
adminDescription: Virtual FTP Root where user home directory resides.
adminDisplayName: ms-IIS-FTP-Root
attributeID: 1.2.840.113556.1.4.1785
instanceType: 4
lDAPDisplayName: msIIS-FTPRoot
oMSyntax: 64
rangeLower: 1
rangeUpper: 256
searchFlags: 0
schemaIdGuid:: pCd4KoMUpUmdhFLjgSFWtA==
systemOnly: FALSE
systemFlags: 16
dn: CN=ms-IIS-FTP-Dir,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaadd
adminDescription: Relative user directory on an FTP Root share.
adminDisplayName: ms-IIS-FTP-Dir
attributeID: 1.2.840.113556.1.4.1786
instanceType: 4
lDAPDisplayName: msIIS-FTPDir
oMSyntax: 64
rangeLower: 1
rangeUpper: 256
searchFlags: 0
schemaIdGuid:: 6ZlcijAi60a46OWdcS657g==
systemOnly: FALSE
systemFlags: 16
dn: CN=dhcp-Servers,CN=Schema,CN=Configuration,DC=X
replace: extendedCharsAllowed
extendedCharsAllowed: TRUE
dn: CN=Extended-Chars-Allowed,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: FALSE
dn:
schemaUpdateNow: 1
# classes
dn:
schemaUpdateNow: 1
objectVersion: 21
Sch22.ldf
# attributes
dn: CN=uid,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=audio,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=photo,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=jpegPhoto,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=userPKCS12,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=carLicense,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=roomNumber,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=uniqueMember,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=departmentNumber,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=unstructuredName,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
systemFlags: 0
dn: CN=x500uniqueIdentifier,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=unstructuredAddress,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
dn: CN=attributeCertificateAttribute,CN=Schema,CN=Configuration,DC=X
systemFlags: 0
attributeSecurityGuid:: R5Xjchh70RGt7wDAT9jVzQ==
dn: CN=ms-DS-Additional-Dns-host-name,CN=Schema,CN=Configuration,DC=X
attributeSecurityGuid:: R5Xjchh70RGt7wDAT9jVzQ==
dn: CN=MS-DS-Per-User-Trust-Quota,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PerUserTrustQuota
adminDisplayName: MS-DS-Per-User-Trust-Quota
adminDescription: Used to enforce a per-user quota for creating Trusted-

Domain objects authorized by the control access right, "Create inbound
Forest trust". This attribute limits the number of Trusted-Domain objects
that can be created by a single non-admin user in the domain.
attributeId: 1.2.840.113556.1.4.1788
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 8K1h0STKk0mjqossmBMC6A==
systemFlags: 16
dn: CN=MS-DS-All-Users-Trust-Quota,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AllUsersTrustQuota
adminDisplayName: MS-DS-All-Users-Trust-Quota
adminDescription: Used to enforce a combined users quota on the total number

of Trusted-Domain objects created by using the control access right, "Create
inbound Forest trust".
attributeId: 1.2.840.113556.1.4.1789
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: XEqq0wNOEEiXqisznnpDSw==
systemFlags: 16
dn: CN=MS-DS-Per-User-Trust-Tombstones-Quota,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PerUserTrustTombstonesQuota
adminDisplayName: MS-DS-Per-User-Trust-Tombstones-Quota
adminDescription: Used to enforce a per-user quota for deleting Trusted-

Domain objects when authorization is based on matching the user's SID to the
value of MS-DS-Creator-SID on the Trusted-Domain object.
attributeId: 1.2.840.113556.1.4.1790
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: xqZwi/lQo0+nHhzgMEBEmw==
systemFlags: 16
dn: CN=ms-DS-Logon-Time-Sync-Interval,CN=Schema,CN=Configuration,DC=X
replace: rangeLower
rangeLower: 0
# Reload the schema cache to pick up attributes
dn:
schemaUpdateNow: 1
# classes
systemFlags: 0
systemFlags: 0
dn: CN=Device,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
displayName: DNS Host Name Attributes
rightsGUID: 72e39547-7b18-11d1-adef-00c04fd8d5cd
validAccesses: 48
dn: CN=Create-Inbound-Forest-Trust,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Create Inbound Forest Trust
rightsGUID: e2a36dc9-ae17-47c3-b58b-be34c55ba633
validAccesses: 256
dn: CN=Configuration,DC=X
delete: wellKnownObjects
wellKnownObjects:
B:32:ab8153b7768811d1aded00c04fd8d5cd:CN=LostAndFound,CN=Configuration,DC=X
dn: CN=Configuration,DC=X
add: wellKnownObjects
wellKnownObjects:
B:32:ab8153b7768811d1aded00c04fd8d5cd:CN=LostAndFoundConfig,CN=Configuration
,DC=X
objectVersion: 22
Sch23.ldf
# attributes
dn: CN=Script-Path,CN=Schema,CN=Configuration,DC=X
dn: CN=User-Workstations,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
# classes
replace:defaultHidingValue
dn:
schemaUpdateNow: 1
dn: CN=DS-Replication-Get-Changes-All,CN=Extended-
displayName: Replicating Directory Changes All
rightsGUID: 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2
validAccesses: 256
objectVersion: 23
Sch24.ldf
# attributes
systemFlags: 0
systemFlags: 0
systemFlags: 0
systemFlags: 0
dn: CN=Lockout-Threshold,CN=Schema,CN=Configuration,DC=X
replace: rangeUpper
rangeUpper: 65535
dn: CN=ms-ds-dnsrootalias,CN=Schema,CN=Configuration,DC=X
replace: rangeUpper
rangeUpper: 255
dn: CN=ms-DS-Az-LDAP-Query,CN=Schema,CN=Configuration,DC=X
attributeID: 1.2.840.113556.1.4.1792
rangeLower: 0
rangeUpper: 4096
adminDisplayName: MS-DS-Az-LDAP-Query
adminDescription: ms-DS-Az-LDAP-Query
oMSyntax: 64
searchFlags: 0
lDAPDisplayName: msDS-AzLDAPQuery
schemaIDGUID:: izZTXpT8yEWdfdrzHucRLQ==
systemOnly: FALSE
systemFlags: 16
dn: CN=ms-DS-Non-Members,CN=Schema,CN=Configuration,DC=X
attributeID: 1.2.840.113556.1.4.1793
linkID: 2014
adminDisplayName: MS-DS-Non-Members
adminDescription: ms-DS-Non-Members
oMSyntax: 127
searchFlags: 0
lDAPDisplayName: msDS-NonMembers
schemaIDGUID:: 3rH8yjzytUat9x5klXvV2w==
systemOnly: FALSE
systemFlags: 16
dn: CN=ms-DS-Non-Members-BL,CN=Schema,CN=Configuration,DC=X
attributeID: 1.2.840.113556.1.4.1794
linkID: 2015
adminDisplayName: MS-DS-Non-Members-BL
adminDescription: ms-DS-Non-Members-BL
oMSyntax: 127
searchFlags: 0
lDAPDisplayName: msDS-NonMembersBL
schemaIDGUID:: /GiMKno6h06HIP53xRy+dA==
systemOnly: TRUE
systemFlags: 16
dn:
schemaUpdateNow: 1
# classes
dn:
schemaUpdateNow: 1
dn: CN=Migrate-SID-History,CN=Extended-Rights,CN=Configuration,DC=X
displayName:Migrate SID History
rightsGUID: BA33815A-4F93-4c76-87F3-57574BFF8109
validAccesses: 256
objectVersion: 24
Sch25.ldf
dn: CN=ms-DS-Az-Class-ID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzClassId
adminDisplayName: MS-DS-Az-Class-ID
adminDescription: A class ID required by the AzRoles UI on the AzApplication

object
attributeId: 1.2.840.113556.1.4.1816
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 40
schemaIdGuid:: d3I6AS1c70mn3rdls2o/bw==
systemFlags: 16
dn: CN=ms-DS-Az-Biz-Rule,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzBizRule
adminDisplayName: MS-DS-Az-Biz-Rule
adminDescription: Text of the script implementing the business rule
attributeId: 1.2.840.113556.1.4.1801
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65536
schemaIdGuid:: qB7UM8nAkkyUlPEEh4QT/Q==
systemFlags: 16
dn: CN=ms-DS-Az-Scope-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzScopeName
adminDisplayName: MS-DS-Az-Scope-Name
adminDescription: A string that uniquely identifies a scope object
attributeId: 1.2.840.113556.1.4.1799
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65536
schemaIdGuid:: BmtaURcmc0GAmdVgXfBDxg==
systemFlags: 16
dn: CN=ms-DS-Az-Operation-ID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzOperationID
adminDisplayName: MS-DS-Az-Operation-ID
adminDescription: Application specific ID that makes the operation unique to

the application
attributeId: 1.2.840.113556.1.4.1800
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: U7XzpXZdvky6P0MSFSyrGA==
systemFlags: 16
dn: CN=ms-DS-Tasks-For-Az-Role,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TasksForAzRole
adminDisplayName: MS-DS-Tasks-For-Az-Role
adminDescription: List of tasks for Az-Role
attributeId: 1.2.840.113556.1.4.1814
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: gpAxNUqMRkaThsKUnUmJTQ==
linkID: 2024
systemFlags: 16
dn: CN=ms-DS-Tasks-For-Az-Task,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TasksForAzTask
adminDisplayName: MS-DS-Tasks-For-Az-Task
adminDescription: List of tasks linked to Az-Task
attributeId: 1.2.840.113556.1.4.1810
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 4o4csc1fp0aV8PODM/CWzw==
linkID: 2020
systemFlags: 16
dn: CN=ms-DS-Az-Domain-Timeout,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzDomainTimeout
adminDisplayName: MS-DS-Az-Domain-Timeout
adminDescription: Time (in ms) after a domain is detected to be un-

reachable, and before the DC is tried again
attributeId: 1.2.840.113556.1.4.1795
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: avVIZHDKLk6wr9IOTOZT0A==
systemFlags: 16
dn: CN=ms-DS-Az-Script-Timeout,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzScriptTimeout
adminDisplayName: MS-DS-Az-Script-Timeout
adminDescription: Maximum time (in ms) to wait for a script to finish

auditing a specific policy
attributeId: 1.2.840.113556.1.4.1797
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: QfvQh4ss9kG5chH9/VDWsA==
systemFlags: 16
dn: CN=ms-DS-Az-Generate-Audits,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzGenerateAudits
adminDisplayName: MS-DS-Az-Generate-Audits
adminDescription: A boolean field indicating if runtime audits need to be

turned on (include audits for access checks, etc.)
attributeId: 1.2.840.113556.1.4.1805
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: sLoK+WwYGES7hYhEfIciKg==
systemFlags: 16
dn: CN=ms-DS-Members-For-Az-Role,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MembersForAzRole
adminDisplayName: MS-DS-Members-For-Az-Role
adminDescription: List of member application groups or users linked to Az-

Role
attributeId: 1.2.840.113556.1.4.1806
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: zeb3y6SFFEOJOYv+gFl4NQ==
linkID: 2016
systemFlags: 16
dn: CN=ms-DS-KeyVersionNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KeyVersionNumber
adminDisplayName: ms-DS-KeyVersionNumber
adminDescription: The Kerberos version number of the current key for this
account. This is a constructed attribute.
attributeId: 1.2.840.113556.1.4.1782
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: wOkjxbUzyEqJI7V7kn9C9g==
systemFlags: 20
dn: CN=ms-DS-Az-Application-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzApplicationData
adminDisplayName: MS-DS-Az-Application-Data
adminDescription: A string that is used by individual applications to store

whatever information they may need to
attributeId: 1.2.840.113556.1.4.1819
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: 6MM/UMYcGkaZo57uBPQCpw==
systemFlags: 16
dn: CN=ms-DS-Az-Application-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzApplicationName
adminDisplayName: MS-DS-Az-Application-Name
adminDescription: A string that uniquely identifies an application object
attributeId: 1.2.840.113556.1.4.1798
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 512
schemaIdGuid:: KAdb2whidkiDt5XT5WlSdQ==
systemFlags: 16
dn: CN=ms-DS-Az-Biz-Rule-Language,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzBizRuleLanguage
adminDisplayName: MS-DS-Az-Biz-Rule-Language
adminDescription: Language that the business rule script is in (Jscript,

VBScript)
attributeId: 1.2.840.113556.1.4.1802
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 64
schemaIdGuid:: VkuZUmwOB06qXO+df1oOJQ==
systemFlags: 16
dn: CN=ms-DS-Operations-For-Az-Role,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OperationsForAzRole
adminDisplayName: MS-DS-Operations-For-Az-Role
adminDescription: List of operations linked to Az-Role
attributeId: 1.2.840.113556.1.4.1812
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: vgH3k0z6tkO8L02+pxj/qw==
linkID: 2022
systemFlags: 16
dn: CN=ms-DS-Operations-For-Az-Task,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OperationsForAzTask
adminDisplayName: MS-DS-Operations-For-Az-Task
adminDescription: List of operations linked to Az-Task
attributeId: 1.2.840.113556.1.4.1808
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NrSsGp0uqUSSmM5N6+tuvw==
linkID: 2018
systemFlags: 16
dn: CN=ms-DS-Az-Application-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzApplicationVersion
adminDisplayName: MS-DS-Az-Application-Version
adminDescription: A version number to indicate that the AzApplication is

updated
attributeId: 1.2.840.113556.1.4.1817
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: IKGEccQ6rkeEj/4KsgeE1A==
systemFlags: 16
dn: CN=ms-DS-Az-Script-Engine-Cache-Max,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzScriptEngineCacheMax
adminDisplayName: MS-DS-Az-Script-Engine-Cache-Max
adminDescription: Maximum number of scripts that are cached by the

application
attributeId: 1.2.840.113556.1.4.1796
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: avYpJpUf80uilo6de54wyA==
systemFlags: 16
dn: CN=ms-DS-Az-Task-Is-Role-Definition,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzTaskIsRoleDefinition
adminDisplayName: MS-DS-Az-Task-Is-Role-Definition
adminDescription: A Boolean field which indicates whether AzTask is a

classic task or a role definition
attributeId: 1.2.840.113556.1.4.1818
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: RIUHe4Js6U+HL/9IrSsuJg==
systemFlags: 16
dn: CN=ms-DS-Az-Last-Imported-Biz-Rule-Path,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzLastImportedBizRulePath
adminDisplayName: MS-DS-Az-Last-Imported-Biz-Rule-Path
adminDescription: Last imported business rule path
attributeId: 1.2.840.113556.1.4.1803
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65536
schemaIdGuid:: XMtaZpK7vE2MWbNjjqsJsw==
systemFlags: 16
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-Tasks-For-Az-Role-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TasksForAzRoleBL
adminDisplayName: MS-DS-Tasks-For-Az-Role-BL
adminDescription: Back-link from Az-Task to Az-Role object(s) linking to it
attributeId: 1.2.840.113556.1.4.1815
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: NtXcoFhR/kKMQMAKetN5WQ==
linkID: 2025
systemFlags: 16
dn: CN=ms-DS-Tasks-For-Az-Task-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TasksForAzTaskBL
adminDisplayName: MS-DS-Tasks-For-Az-Task-BL
adminDescription: Back-link from Az-Task to the Az-Task object(s) linking to

it
attributeId: 1.2.840.113556.1.4.1811
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: Um5E3/q1okykLxP5ilJsjw==
linkID: 2021
systemFlags: 16
dn: CN=ms-DS-Members-For-Az-Role-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MembersForAzRoleBL
adminDisplayName: MS-DS-Members-For-Az-Role-BL
adminDescription: Back-link from member application group or user to Az-Role

object(s) linking to it
attributeId: 1.2.840.113556.1.4.1807
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: IM3s7OCniEaczwLs5eKH9Q==
linkID: 2017
systemFlags: 16
dn: CN=ms-DS-Operations-For-Az-Role-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OperationsForAzRoleBL
adminDisplayName: MS-DS-Operations-For-Az-Role-BL
adminDescription: Back-link from Az-Operation to Az-Role object(s) linking

to it
attributeId: 1.2.840.113556.1.4.1813
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: KGJb+DQ3JUW2tz87siCQLA==
linkID: 2023
systemFlags: 16
dn: CN=ms-DS-Operations-For-Az-Task-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OperationsForAzTaskBL
adminDisplayName: MS-DS-Operations-For-Az-Task-BL
adminDescription: Back-link from Az-Operation to Az-Task object(s) linking

to it
attributeId: 1.2.840.113556.1.4.1809
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: EdI3pjlX0U6JsoiXRUi8WQ==
linkID: 2019
systemFlags: 16
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-Az-Admin-Manager,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzAdminManager
adminDisplayName: MS-DS-Az-Admin-Manager
adminDescription: Root of Authorization Policy store instance
governsId: 1.2.840.113556.1.5.234
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: URDuzyhfrkuoY10MwYqO0Q==
(A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;CO)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-Admin-
Manager,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Az-Application,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzApplication
adminDisplayName: MS-DS-Az-Application
adminDescription: Defines an installed instance of an application bound to a

particular policy store.
governsId: 1.2.840.113556.1.5.235
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: m9743aXLEk6ELijYtm917A==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-
Application,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Az-Scope,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzScope
adminDisplayName: MS-DS-Az-Scope
adminDescription: Describes a set of objects managed by an application
governsId: 1.2.840.113556.1.5.237
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: VODqT1XOu0eGDlsSBjpR3g==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-Scope,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Az-Operation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzOperation
adminDisplayName: MS-DS-Az-Operation
adminDescription: Describes a particular operation supported by an

application
governsId: 1.2.840.113556.1.5.236
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: N74KhpuapE+z0ris5d+exQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-Operation,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Az-Task,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzTask
adminDisplayName: MS-DS-Az-Task
adminDescription: Describes a set of operations
governsId: 1.2.840.113556.1.5.238
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: c6TTHhubikG/oDo3uVpTBg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-Task,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Az-Role,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzRole
adminDisplayName: MS-DS-Az-Role
adminDescription: Defines a set of operations that can be performed by a

particular set of users within a particular scope
governsId: 1.2.840.113556.1.5.239
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: yeoTglWd3ESSXOmlK5J2RA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Az-Role,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
add: mayContain
mayContain: 2.5.4.45
mayContain: 2.16.840.1.113730.3.140
mayContain: 2.16.840.1.113730.3.1.216
mayContain: 0.9.2342.19200300.100.1.1
mayContain: 0.9.2342.19200300.100.1.21
mayContain: 0.9.2342.19200300.100.1.6
mayContain: 2.16.840.1.113730.3.1.39
mayContain: 0.9.2342.19200300.100.1.7
mayContain: 0.9.2342.19200300.100.1.42
mayContain: 0.9.2342.19200300.100.1.41
mayContain: 0.9.2342.19200300.100.1.10
mayContain: 0.9.2342.19200300.100.1.3
mayContain: 1.3.6.1.4.1.250.1.57
mayContain: 0.9.2342.19200300.100.1.60
mayContain: 1.2.840.113556.1.2.617
mayContain: 0.9.2342.19200300.100.1.20
mayContain: 1.2.840.113556.1.2.613
mayContain: 1.2.840.113556.1.2.610
mayContain: 1.2.840.113556.1.2.13
mayContain: 2.16.840.1.113730.3.1.2
mayContain: 2.16.840.1.113730.3.1.1
mayContain: 0.9.2342.19200300.100.1.55
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
possSuperiors: 2.5.6.5
possSuperiors: 1.2.840.113556.1.3.23
add: mayContain
add: mayContain
mayContain: 1.2.840.113556.1.2.617
add: mayContain
mayContain: 2.16.840.1.113730.3.140
mayContain: 2.16.840.1.113730.3.1.216
mayContain: 0.9.2342.19200300.100.1.1
mayContain: 0.9.2342.19200300.100.1.21
mayContain: 0.9.2342.19200300.100.1.6
mayContain: 2.16.840.1.113730.3.1.39
mayContain: 0.9.2342.19200300.100.1.7
mayContain: 1.3.6.1.4.1.250.1.57
mayContain: 0.9.2342.19200300.100.1.60
mayContain: 1.2.840.113556.1.2.617
mayContain: 1.2.840.113556.1.2.613
mayContain: 1.2.840.113556.1.2.610
mayContain: 1.2.840.113556.1.2.13
mayContain: 2.16.840.1.113730.3.1.2
mayContain: 2.16.840.1.113730.3.1.1
mayContain: 0.9.2342.19200300.100.1.55
add: mayContain
add: mustContain
mustContain: 2.5.4.50
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
possSuperiors: 1.2.840.113556.1.3.23
add: mayContain
mayContain: 2.16.840.1.113730.3.140
dn:
schemaUpdateNow: 1
# Config NC changes
dn: CN=Reanimate-Tombstones,CN=Extended-Rights,CN=Configuration,DC=X
displayName:Reanimate Tombstones
rightsGUID: 45EC5156-DB7E-47bb-B53F-DBEB2D03C40F
validAccesses: 256
objectVersion: 25
Sch26.ldf
dn: CN=ms-ieee-80211-ID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msieee80211-ID
adminDisplayName: ms-ieee-80211-ID
adminDescription: an indentifier used for wireless policy object on AD
attributeId: 1.2.840.113556.1.4.1823
omSyntax: 64
searchFlags: 0
schemaIdGuid:: de9zf8kUI0yB3t0HoG+eiw==
systemFlags: 16
dn: CN=ms-ieee-80211-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msieee80211-Data
adminDisplayName: ms-ieee-80211-Data
adminDescription: Stores list of preferred network configurations for Group

Policy for Wireless
attributeId: 1.2.840.113556.1.4.1821
omSyntax: 4
searchFlags: 0
schemaIdGuid:: OAkNDlgmgEWp9noKx7Vmyw==
systemFlags: 16
dn: CN=ms-DS-Has-Domain-NCs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-HasDomainNCs
adminDisplayName: ms-DS-Has-Domain-NCs
adminDescription: DS replication information detailing the domain NCs

present on a particular server.
attributeId: 1.2.840.113556.1.4.1820
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
rangeLower: 4
rangeUpper: 4
schemaIdGuid:: R+MXb0KomES4sxXgB9pP7Q==
linkID: 2026
systemFlags: 16
dn: CN=ms-ieee-80211-Data-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msieee80211-DataType
adminDisplayName: ms-ieee-80211-Data-Type
adminDescription: internally used data type for msieee80211-Data blob
attributeId: 1.2.840.113556.1.4.1822
omSyntax: 2
searchFlags: 0
schemaIdGuid:: gLFYZdo1/k6+7VIfj0jK+w==
systemFlags: 16
dn: CN=ms-DS-Az-Major-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzMajorVersion
adminDisplayName: MS-DS-Az-Major-Version
adminDescription: Major version number for AzRoles
attributeId: 1.2.840.113556.1.4.1824
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
schemaIdGuid:: t625z7fEWUCVaB7Z22tySA==
systemFlags: 16
dn: CN=ms-DS-Az-Minor-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzMinorVersion
adminDisplayName: MS-DS-Az-Minor-Version
adminDescription: Minor version number for AzRoles
attributeId: 1.2.840.113556.1.4.1825
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
schemaIdGuid:: k+2F7gmyiEeBZecC9Rv78w==
systemFlags: 16
dn:
schemaUpdateNow: 1
dn: CN=Locality,CN=Schema,CN=Configuration,DC=X
dn: CN=Organization,CN=Schema,CN=Configuration,DC=X
dn: CN=Organizational-Role,CN=Schema,CN=Configuration,DC=X
dn: CN=Residential-Person,CN=Schema,CN=Configuration,DC=X
dn: CN=Application-Process,CN=Schema,CN=Configuration,DC=X
dn: CN=Application-Entity,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
dn: CN=ms-ieee-80211-Policy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msieee80211-Policy
adminDisplayName: ms-ieee-80211-Policy
adminDescription: class to store Wireless Network Policy Object
governsId: 1.2.840.113556.1.5.240
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: ki2ae+u3gkOXcsPg+bqvlA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-ieee-80211-
systemFlags: 16
dn:
schemaUpdateNow: 1
appliesTo: 4828cc14-1437-45bc-9b07-ad6f015e5f28
displayName: Allowed to Authenticate
rightsGUID: 68B1D179-0D15-4d4f-AB71-46152E79A7BC
validAccesses: 256
objectVersion: 26
Sch27.ldf
dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msExchHouseIdentifier
adminDisplayName: ms-Exch-House-Identifier
adminDescription: ms-Exch-House-Identifier
attributeId: 1.2.840.113556.1.2.596
omSyntax: 64
searchFlags: 0
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: B3TfqOrF0RG7ywCAx2ZwwA==
mapiID: 35924
dn: CN=ms-Exch-House-Identifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msExchHouseIdentifier
dn: CN=host,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: host
adminDisplayName: host
adminDescription: The host attribute type specifies a host computer.
attributeId: 0.9.2342.19200300.100.1.9
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: cd9DYEj6z0arfMvVRkSyLQ==
dn: CN=drink,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: drink
adminDisplayName: drink
adminDescription: The drink (Favourite Drink) attribute type specifies the

favorite drink of an object (or person).
attributeId: 0.9.2342.19200300.100.1.5
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: taUaGi4m9k2vBCz2sNgASA==
dn: CN=userClass,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: userClass
adminDisplayName: userClass
adminDescription: The userClass attribute type specifies a category of

computer user.
attributeId: 0.9.2342.19200300.100.1.8
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: iipzEU3hxUy5L9k/UcbY5A==
dn: CN=ms-DS-Integer,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-Integer
adminDisplayName: ms-DS-Integer
adminDescription: An attribute for storing an integer.
attributeId: 1.2.840.113556.1.4.1835
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6kzGe07AGEOxAj4HKTcaZQ==
dn: CN=buildingName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: buildingName
adminDisplayName: buildingName
adminDescription: The buildingName attribute type specifies the name of the

building where an organization or organizational unit is based.
attributeId: 0.9.2342.19200300.100.1.48
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: S6V/+MWy10+IwNrMsh2TxQ==
dn: CN=ms-DS-Date-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-DateTime
adminDisplayName: ms-DS-Date-Time
adminDescription: An attribute for storing a data and time value.
attributeId: 1.2.840.113556.1.4.1832
omSyntax: 24
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 2MtPI1L7CEmjKP2fbljkAw==
dn: CN=documentTitle,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentTitle
adminDisplayName: documentTitle
adminDescription: The documentTitle attribute type specifies the title of a

document.
attributeId: 0.9.2342.19200300.100.1.12
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: nFom3iz/uUeR3G5v4sQwYg==
dn: CN=ms-DS-Byte-Array,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ByteArray
adminDisplayName: ms-DS-Byte-Array
adminDescription: An attribute for storing binary data.
attributeId: 1.2.840.113556.1.4.1831
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1000000
schemaIdGuid:: LpfY8Fvd5UClHQRMfBfs5w==
dn: CN=associatedName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: associatedName
adminDisplayName: associatedName
adminDescription: The associatedName attribute type specifies an entry in

the organizational DIT associated with a DNS domain.
attributeId: 0.9.2342.19200300.100.1.38
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Rfz796uFpEKkNXgOYveFiw==
dn: CN=documentAuthor,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentAuthor
adminDisplayName: documentAuthor
adminDescription: The documentAuthor attribute type specifies the

distinguished name of the author of a document.
attributeId: 0.9.2342.19200300.100.1.14
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GY6K8V+veESwlm81wn64Pw==
dn: CN=houseIdentifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: houseIdentifier
adminDisplayName: houseIdentifier
adminDescription: The houseIdentifier attribute type specifies a linguistic
construct used to identify a particular building, for example a house number
or house name relative to a street, avenue, town or city, etc.
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 32768
schemaIdGuid:: t5hTpErEtk6C0xPBCUbb/g==
dn: CN=documentVersion,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentVersion
adminDisplayName: documentVersion
adminDescription: The documentVersion attribute type specifies the version
number of a document.
attributeId: 0.9.2342.19200300.100.1.13
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: qaizlBPW7EyarV+8wQRrQw==
dn: CN=ms-DS-External-Key,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ExternalKey
adminDisplayName: ms-DS-External-Key
adminDescription: A string to identifiy an object in an external store such

as a record in a database.
attributeId: 1.2.840.113556.1.4.1833
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 10000
schemaIdGuid:: KNUvuaw41ECBjQQzOAg3wQ==
dn: CN=associatedDomain,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: associatedDomain
adminDisplayName: associatedDomain
adminDescription: The associatedDomain attribute type specifies a DNS domain

which is associated with an object.
attributeId: 0.9.2342.19200300.100.1.37
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 256
schemaIdGuid:: OPwgM3nDF0ylEBvfYTPF2g==
dn: CN=documentLocation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentLocation
adminDisplayName: documentLocation
adminDescription: The documentLocation attribute type specifies the location

of the document original.
attributeId: 0.9.2342.19200300.100.1.15
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: TrFYuW2sxE6Ikr5wtp9ygQ==
dn: CN=uniqueIdentifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: uniqueIdentifier
adminDisplayName: uniqueIdentifier
adminDescription: The uniqueIdentifier attribute type specifies a "unique

identifier" for an object represented in the Directory.
attributeId: 0.9.2342.19200300.100.1.44
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: x4QBusU47UulJnVCFHBYDA==
dn: CN=ms-DS-Has-Master-NCs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-hasMasterNCs
adminDisplayName: ms-DS-Has-Master-NCs
adminDescription: A list of the naming contexts contained by a DC.

Deprecates hasMasterNCs.
attributeId: 1.2.840.113556.1.4.1836
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 4uAtrtdZR02NR+1N/kNXrQ==
linkID: 2036
systemFlags: 16
dn: CN=documentPublisher,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentPublisher
adminDisplayName: documentPublisher
adminDescription: The documentPublisher attribute is the person and/or

organization that published a document.
attributeId: 0.9.2342.19200300.100.1.56
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: 1wkPF2nrikSaMPGv7P0y1w==
dn: CN=ms-DS-External-Store,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ExternalStore
adminDisplayName: ms-DS-External-Store
adminDescription: A string to identifiy the location of an external store

such as a database.
attributeId: 1.2.840.113556.1.4.1834
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 10000
schemaIdGuid:: zXdIYNucx0ewPT2q2wRJEA==
dn: CN=documentIdentifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentIdentifier
adminDisplayName: documentIdentifier
adminDescription: The documentIdentifier attribute type specifies a unique

identifier for a document.
attributeId: 0.9.2342.19200300.100.1.11
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: gs4hC2P/2UaQ+8i58k6XuQ==
dn: CN=ms-DS-Object-Reference,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ObjectReference
adminDisplayName: ms-DS-Object-Reference
adminDescription: A link to the object that uses the data stored in the
object that contains this attribute.
attributeId: 1.2.840.113556.1.4.1840
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 6MKOY+cinECF0hGyG+5y3g==
linkID: 2038
dn: CN=organizationalStatus,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: organizationalStatus
adminDisplayName: organizationalStatus
adminDescription: The organizationalStatus attribute type specifies a

category by which a person is often referred to in an organization.
attributeId: 0.9.2342.19200300.100.1.45
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
rangeUpper: 256
schemaIdGuid:: GWBZKElzL02t/1pimWH5Qg==
dn: CN=ms-DS-Retired-Repl-NC-Signatures,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RetiredReplNCSignatures
adminDisplayName: ms-DS-Retired-Repl-NC-Signatures
adminDescription: Information about naming contexts that are no longer held

on this computer
attributeId: 1.2.840.113556.1.4.1826
omSyntax: 4
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: BlWz1dYZJk2a+xE1esmbXg==
systemFlags: 17
dn: CN=simpleSecurityObject,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: simpleSecurityObject
adminDisplayName: simpleSecurityObject
adminDescription: The simpleSecurityObject object class is used to allow an

entry to have a userPassword attribute when an entry's principal object
classes do not allow userPassword as an attribute type.
governsId: 0.9.2342.19200300.100.4.19
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: C5vmX0bhFU+wq8Hl1IjglA==
systemOnly: FALSE
CN=simpleSecurityObject,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 32768
dn: CN=Certificate-Revocation-List,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
dn: CN=Authority-Revocation-List,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
dn: CN=Crl-Partitioned-Revocation-List,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
dn: CN=Delta-Revocation-List,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
dn: CN=Cross-Certificate-Pair,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 32768
dn: CN=ms-PKI-OID-CPS,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 32768
dn: CN=ms-PKI-OID-User-Notice,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 32768
add: rangeUpper
rangeUpper: 32768
add: rangeUpper
rangeUpper: 1024
dn: CN=ms-DS-Settings,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 1000000
systemFlags: 0
dn: CN=PKT,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
add: rangeUpper
rangeUpper: 64
add: rangeUpper
rangeUpper: 32768
add: rangeUpper
rangeUpper: 1048576
dn: CN=MSMQ-Sign-Certificates-Mig,CN=Schema,CN=Configuration,DC=X
add: rangeUpper
rangeUpper: 1048576
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-Mastered-By,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDs-masteredBy
adminDisplayName: ms-DS-Mastered-By
adminDescription: Back link for msDS-hasMasterNCs.
attributeId: 1.2.840.113556.1.4.1837
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: aUcjYBlIFUahsknS8RmstQ==
linkID: 2037
systemFlags: 17
dn: CN=ms-DS-Object-Reference-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ObjectReferenceBL
adminDisplayName: ms-DS-Object-Reference-BL
adminDescription: Back link for ms-DS-Object-Reference.
attributeId: 1.2.840.113556.1.4.1841
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: FSVwK/fBO0uxSMDkxs7stA==
linkID: 2039
systemFlags: 1
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-App-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AppData
adminDisplayName: ms-DS-App-Data
adminDescription: Stores data that is to be used by an object. For example,

profile information for a user object.
governsId: 1.2.840.113556.1.5.241
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.7000.49
mayContain: 1.2.840.113556.1.4.1840
mayContain: 1.2.840.113556.1.4.1835
mayContain: 1.2.840.113556.1.4.1832
mayContain: 1.2.840.113556.1.4.1831
mayContain: 1.2.840.113556.1.4.653
mayContain: 1.2.840.113556.1.4.48
possSuperiors: 1.2.840.113556.1.3.30
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: YddnnifjVU28lWgvh14vjg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-App-Data,CN=Schema,CN=Configuration,DC=X
dn: CN=rFC822LocalPart,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: rFC822LocalPart
adminDisplayName: rFC822LocalPart
adminDescription: The rFC822LocalPart object class is used to define entries
which represent the local part of mail addresses.
governsId: 0.9.2342.19200300.100.4.14
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.66
mayContain: 2.5.4.9
mayContain: 2.5.4.4
mayContain: 2.5.4.3
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: eDo+ua7LXkige170rlBWhg==
systemOnly: FALSE
defaultObjectCategory: CN=rFC822LocalPart,CN=Schema,CN=Configuration,DC=X
dn: CN=room,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: room
adminDisplayName: room
adminDescription: The room object class is used to define entries

representing rooms.
governsId: 0.9.2342.19200300.100.4.7
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.4.222
mayContain: 0.9.2342.19200300.100.1.6
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: 0uVgeLDIu0y9RdlFW+uSBg==
systemOnly: FALSE
defaultObjectCategory: CN=room,CN=Schema,CN=Configuration,DC=X
dn: CN=documentSeries,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: documentSeries
adminDisplayName: documentSeries
adminDescription: The documentSeries object class is used to define an entry

which represents a series of documents.
governsId: 0.9.2342.19200300.100.4.9
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 2.5.4.7
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: fOArei8wlku8kAeV1miF+A==
systemOnly: FALSE
defaultObjectCategory: CN=documentSeries,CN=Schema,CN=Configuration,DC=X
dn: CN=friendlyCountry,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: friendlyCountry
adminDisplayName: friendlyCountry
adminDescription: The friendlyCountry object class is used to define country
entries in the DIT.
governsId: 0.9.2342.19200300.100.4.18
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.2
mustContain: 1.2.840.113556.1.2.131
schemaIdGuid:: UvGYxGvcSkefUnzbo9fTUQ==
systemOnly: FALSE
defaultObjectCategory: CN=friendlyCountry,CN=Schema,CN=Configuration,DC=X
dn: CN=account,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: account
adminDisplayName: account
adminDescription: The account object class is used to define entries

representing computer accounts.
governsId: 0.9.2342.19200300.100.4.5
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 0.9.2342.19200300.100.1.1
mayContain: 0.9.2342.19200300.100.1.9
mayContain: 2.5.4.7
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: aqQoJq2m4Eq4VCsS2f5vng==
systemOnly: FALSE
defaultObjectCategory: CN=account,CN=Schema,CN=Configuration,DC=X
dn: CN=document,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: document
adminDisplayName: document
adminDescription: The document object class is used to define entries which

represent documents.
governsId: 0.9.2342.19200300.100.4.6
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 0.9.2342.19200300.100.1.11
mayContain: 0.9.2342.19200300.100.1.56
mayContain: 0.9.2342.19200300.100.1.15
mayContain: 0.9.2342.19200300.100.1.14
mayContain: 0.9.2342.19200300.100.1.13
mayContain: 0.9.2342.19200300.100.1.12
mayContain: 2.5.4.7
mayContain: 2.5.4.3
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: bdm6OdbCr0uIq35CB2ABFw==
systemOnly: FALSE
defaultObjectCategory: CN=document,CN=Schema,CN=Configuration,DC=X
dn: CN=domainRelatedObject,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: domainRelatedObject
adminDisplayName: domainRelatedObject
adminDescription: The domainRelatedObject object class is used to define an

entry which represents a series of documents.
governsId: 0.9.2342.19200300.100.4.17
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 0.9.2342.19200300.100.1.37
schemaIdGuid:: PS39i9rvSUWFLPheE3rtxg==
systemOnly: FALSE
CN=domainRelatedObject,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.4.1841
replace:systemOnly
systemOnly: TRUE
replace:systemOnly
systemOnly: TRUE
add: mayContain
mayContain: 1.2.840.113556.1.4.1840
add: mayContain
mayContain: 1.2.840.113556.1.4.653
mayContain: 1.2.840.113556.1.4.48
mayContain: 1.2.840.113556.1.4.329
mayContain: 1.2.840.113556.1.4.328
mayContain: 1.2.840.113556.1.4.141
mayContain: 1.2.840.113556.1.4.255
mayContain: 1.2.840.113556.1.4.848
add: possSuperiors
possSuperiors: 1.2.840.113556.1.3.30
possSuperiors: 1.2.840.113556.1.3.23
add: mayContain
mayContain: 1.2.840.113556.1.4.1840
mayContain: 1.2.840.113556.1.4.1835
mayContain: 1.2.840.113556.1.4.1832
mayContain: 1.2.840.113556.1.4.1831
mayContain: 1.2.840.113556.1.4.653
mayContain: 1.2.840.113556.1.4.48
-
add: possSuperiors
possSuperiors: 1.2.840.113556.1.3.30
possSuperiors: 1.2.840.113556.1.3.23
add: mayContain
mayContain: 1.2.840.113556.1.2.596
add: mayContain
dn:
schemaUpdateNow: 1
dn: CN=DS-Execute-Intentions-Script,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Execute Forest Update Script
rightsGUID: 2f16c4a5-b98e-432c-952a-cb388ba33f2e
validAccesses: 256
objectVersion: 27
Sch28.ldf
dn: CN=DS-Replication-Monitor-Topology,CN=Extended-
displayName: Monitor Active Directory Replication
rightsGUID: f98340fb-7c5b-4cdb-a00b-2ebdfa115a96
validAccesses: 256
dn: CN=Update-Password-Not-Required-Bit,CN=Extended-
displayName: Update Password Not Required Bit
rightsGUID: 280f369c-67c7-438e-ae98-1d46f3c6f541
validAccesses: 256
dn: CN=Unexpire-Password,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Unexpire Password
rightsGUID: ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501
validAccesses: 256
dn: CN=Enable-Per-User-Reversibly-Encrypted-Password,CN=Extended-
displayName: Enable Per User Reversibly Encrypted Password
rightsGUID: 05c74c5e-4deb-43b4-bd9f-86664c2a7fd5
validAccesses: 256
objectVersion: 28
Sch29.ldf
dn: CN=ms-DS-Max-Values,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDs-MaxValues
adminDisplayName: ms-DS-Max-Values
adminDescription: Max values allowed.
attributeId: 1.2.840.113556.1.4.1842
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
schemaIdGuid:: pGnh0enrv0mPy4rvOHRZLQ==
systemFlags: 16
dn: CN=MS-DRM-Identity-Certificate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDRM-IdentityCertificate
adminDisplayName: ms-DRM-Identity-Certificate
adminDescription: The XrML digital rights management certificates for this

user.
attributeId: 1.2.840.113556.1.4.1843
omSyntax: 4
searchFlags: 0
rangeLower: 1
rangeUpper: 10240
schemaIdGuid:: BBJe6DQ0rUGbVuKQEij/8A==
systemFlags: 16
dn:
schemaUpdateNow: 1
dn:
schemaUpdateNow: 1
objectVersion: 29
Sch30.ldf
dn: CN=ms-DS-Quota-Used,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaUsed
adminDisplayName: ms-DS-Quota-Used
adminDescription: The current quota consumed by a security principal in the

directory database.
attributeId: 1.2.840.113556.1.4.1849
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: CEOotV1ht0uwXy8XRqpDnw==
systemFlags: 20
dn: CN=ms-DS-Quota-Amount,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaAmount
adminDisplayName: ms-DS-Quota-Amount
adminDescription: The assigned quota in terms of number of objects owned in

the database.
attributeId: 1.2.840.113556.1.4.1845
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: DaC5+4w6M0Kc+XGJJkkDoQ==
systemFlags: 16
dn: CN=ms-DS-Default-Quota,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-DefaultQuota
adminDisplayName: ms-DS-Default-Quota
adminDescription: The default quota that will apply to a security principal

creating an object in the NC if no quota specification exists that covers
the security principal.
attributeId: 1.2.840.113556.1.4.1846
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JvcYaEtnG0SKOvQFljdM6g==
systemFlags: 16
dn: CN=ms-DS-Quota-Trustee,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaTrustee
adminDisplayName: ms-DS-Quota-Trustee
adminDescription: The SID of the security principal for which quota is being
assigned.
attributeId: 1.2.840.113556.1.4.1844
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 28
schemaIdGuid:: Bok3FqVOvkmo0b/UHf9PZQ==
systemFlags: 16
dn: CN=ms-DS-Top-Quota-Usage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TopQuotaUsage
adminDisplayName: ms-DS-Top-Quota-Usage
adminDescription: The list of top quota users ordered by decreasing quota

usage currently in the directory database.
attributeId: 1.2.840.113556.1.4.1850
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: T858e/Xxtku36yNQSvGedQ==
systemFlags: 20
dn: CN=ms-DS-Quota-Effective,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaEffective
adminDisplayName: ms-DS-Quota-Effective
adminDescription: The effective quota for a security principal computed from

the assigned quotas for a directory partition.
attributeId: 1.2.840.113556.1.4.1848
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UrFVZhwQtEizR+H868YBVw==
systemFlags: 20
dn: CN=MS-DRM-Identity-Certificate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDRM-IdentityCertificate
adminDisplayName: ms-DRM-Identity-Certificate
adminDescription: The XrML digital rights management certificates for this

user.
attributeId: 1.2.840.113556.1.4.1843
omSyntax: 4
searchFlags: 0
rangeLower: 1
rangeUpper: 10240
schemaIdGuid:: BBJe6DQ0rUGbVuKQEij/8A==
systemFlags: 16
dn: CN=ms-DS-Tombstone-Quota-Factor,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-TombstoneQuotaFactor
adminDisplayName: ms-DS-Tombstone-Quota-Factor
adminDescription: The factor by which tombstone object count should be

reduced for the purpose of quota accounting.
attributeId: 1.2.840.113556.1.4.1847
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 100
schemaIdGuid:: 10QXRrbzukWHU/uVUqXfMg==
systemFlags: 16
replace: rangeUpper
rangeUpper: 20480
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-Quota-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaContainer
adminDisplayName: ms-DS-Quota-Container
adminDescription: A special container that holds all quota specifications

for the directory database.
governsId: 1.2.840.113556.1.5.242
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: T/yD2m8H6kq03I9Nq5tZkw==
(A;;RPLCLORC;;;BA)(OA;;CR;4ecc03fe-ffc0-4947-b630-eb672a8a9dbc;;WD)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Quota-
systemFlags: 16
dn: CN=ms-DS-Quota-Control,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-QuotaControl
adminDisplayName: ms-DS-Quota-Control
adminDescription: A class used to represent quota specifications for the

directory database.
governsId: 1.2.840.113556.1.5.243
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: JvyR3gK9UkuuJnlZmelvxw==
(A;;RPLCLORC;;;BA)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Quota-
Control,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn:
schemaUpdateNow: 1
dn: CN=DS-Query-Self-Quota,CN=Extended-Rights,CN=Configuration,DC=X
appliesTo:da83fc4f-076f-4aea-b4dc-8f4dab9b5993
displayName:Query Self Quota
rightsGUID:4ecc03fe-ffc0-4947-b630-eb672a8a9dbc
validAccesses: 256
objectVersion: 30
Sch31.ldf
dn: CN=Gecos,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: gecos
adminDisplayName: gecos
adminDescription: The GECOS field; the common name (RFC 2307)
attributeId: 1.3.6.1.1.1.1.2
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 10240
schemaIdGuid:: Hz/go1UdU0KgrzDCp4Tkbg==
dn: CN=BootFile,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: bootFile
adminDisplayName: bootFile
adminDescription: Boot image name

attributeId: 1.3.6.1.1.1.1.24
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 10240
schemaIdGuid:: Tsvz4yAP60KXA9L/JuUmZw==
dn: CN=MemberUid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: memberUid
adminDisplayName: memberUid
adminDescription: This multivalued attribute holds the login names of the

members of a group.
attributeId: 1.3.6.1.1.1.1.12
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 256000
schemaIdGuid:: NrLaAy5nYU+rZPd9LcL/qw==
dn: CN=GidNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: gidNumber
adminDisplayName: gidNumber
adminDescription: An integer uniquely identifying a group in an

administrative domain (RFC 2307)
attributeId: 1.3.6.1.1.1.1.1
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: DF+5xZ7sxEGEnLRll+1mlg==
dn: CN=ShadowMin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowMin
adminDisplayName: shadowMin
adminDescription: Minimum number of days between shadow changes.
attributeId: 1.3.6.1.1.1.1.6
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: N4drp6HlaEWwV9wS4Evksg==
dn: CN=UidNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: uidNumber
adminDisplayName: uidNumber
adminDescription: An integer uniquely identifying a user in an

administrative domain (RFC 2307)
attributeId: 1.3.6.1.1.1.1.0
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: j8wPhWuc4Ue2cXxlS+TVsw==
dn: CN=ShadowMax,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowMax
adminDisplayName: shadowMax
adminDescription: Maximum number of days password is valid.
attributeId: 1.3.6.1.1.1.1.7
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: UsmF8t1QnkSRYDuIDZmYjQ==
dn: CN=MacAddress,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: macAddress
adminDisplayName: macAddress
adminDescription: MAC address in maximal, colon separated hex notation
attributeId: 1.3.6.1.1.1.1.22
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 128
schemaIdGuid:: 3SKl5nCX4UOJ3h3lBEMo9w==
dn: CN=ShadowFlag,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowFlag
adminDisplayName: shadowFlag
adminDescription: This is a part of the shadow map used to store the flag
value.
attributeId: 1.3.6.1.1.1.1.11
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Dbf+jdvFtkaxXqQ4nmzumw==
dn: CN=NisMapName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisMapName
adminDisplayName: nisMapName
adminDescription: The attribute contains the name of the map to which the
object belongs.
attributeId: 1.3.6.1.1.1.1.26
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: eTydlpoOlU2wrL3ef/jzoQ==
dn: CN=LoginShell,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: loginShell
adminDisplayName: loginShell
adminDescription: The path to the login shell (RFC 2307)
attributeId: 1.3.6.1.1.1.1.4
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: LNFTpTEyXkyK340YlpdyHg==
dn: CN=msSFU-30-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30Name
adminDisplayName: msSFU-30-Name
adminDescription: stores the name of a map
attributeId: 1.2.840.113556.1.6.18.1.309
omSyntax: 22
systemOnly: FALSE
searchFlags: 1
rangeUpper: 1024
schemaIdGuid:: 09HFFsI1YUCocKXO/agE8A==
dn: CN=ms-DFSR-Flags,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Flags
adminDisplayName: ms-DFSR-Flags
adminDescription: DFSR Object Flags
attributeId: 1.2.840.113556.1.6.13.3.16
omSyntax: 2
searchFlags: 0
schemaIdGuid:: lVZR/mE/yEWb+hnBSMV7CQ==
dn: CN=NisMapEntry,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisMapEntry
adminDisplayName: nisMapEntry
adminDescription: This holds one map entry of a non standard map.
attributeId: 1.3.6.1.1.1.1.27
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: biGVSsD8LkC1f1lxYmFIqQ==
dn: CN=OncRpcNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: oncRpcNumber
adminDisplayName: oncRpcNumber
adminDescription: This is a part of the rpc map and stores the RPC number
for UNIX RPCs.
attributeId: 1.3.6.1.1.1.1.18
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 9SVoltkBXEqgEdFa6E76VQ==
dn: CN=IpHostNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipHostNumber
adminDisplayName: ipHostNumber
adminDescription: IP address as a dotted decimal omitting leading zeros
attributeId: 1.3.6.1.1.1.1.19
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 128
schemaIdGuid:: IbeL3tyF3k+2h5ZXaI5mfg==
dn: CN=ShadowExpire,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowExpire
adminDisplayName: shadowExpire
adminDescription: Absolute date to expire account
attributeId: 1.3.6.1.1.1.1.10
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: AJoVdf8f9EyL/07yaVz2Qw==
dn: CN=ms-DFSR-Enabled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Enabled
adminDisplayName: ms-DFSR-Enabled
adminDescription: Specify if the object enabled
attributeId: 1.2.840.113556.1.6.13.3.9
omSyntax: 1
searchFlags: 0
schemaIdGuid:: 52pyA32ORkSKrqkWV8AJkw==
dn: CN=ms-DFSR-DfsPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DfsPath
adminDisplayName: ms-DFSR-DfsPath
adminDescription: Full path of associated DFS link
attributeId: 1.2.840.113556.1.6.13.3.21
omSyntax: 64
searchFlags: 1
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 4gPJLIw5O0Sshv9rAerHug==
dn: CN=BootParameter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: bootParameter
adminDisplayName: bootParameter
adminDescription: rpc.bootparamd parameter
attributeId: 1.3.6.1.1.1.1.23
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 10240
schemaIdGuid:: UAcq13yMbkGHFOZfEekIvg==
dn: CN=msSFU-30-Aliases,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30Aliases
adminDisplayName: msSFU-30-Aliases
adminDescription: part of the NIS mail map
attributeId: 1.2.840.113556.1.6.18.1.323
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 153600
schemaIdGuid:: cfHrIJrGMUyyndy4N9iRLQ==
dn: CN=msSFU-30-Domains,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30Domains
adminDisplayName: msSFU-30-Domains
adminDescription: stores the list of UNIX NIS domains migrated to the same
AD NIS domain
attributeId: 1.2.840.113556.1.6.18.1.340
omSyntax: 22
systemOnly: FALSE
searchFlags: 1
rangeUpper: 256000
schemaIdGuid:: 014JkzBv3Uu3NGXVafX3yQ==
dn: CN=IpServicePort,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipServicePort
adminDisplayName: ipServicePort
adminDescription: This is a part of the services map and contains the port
at which the UNIX service is available.
attributeId: 1.3.6.1.1.1.1.15
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: v64t/2P0WkmEBT5INkHqog==
dn: CN=ms-DFSR-Version,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Version
adminDisplayName: ms-DFSR-Version
adminDescription: DFSR version number
attributeId: 1.2.840.113556.1.6.13.3.1
omSyntax: 64
rangeUpper: 256
searchFlags: 0
schemaIdGuid:: CBSGGsM46km6dYVIGnfGVQ==
dn: CN=ms-DFSR-Options,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Options
adminDisplayName: ms-DFSR-Options
adminDescription: DFSR object options
attributeId: 1.2.840.113556.1.6.13.3.17
omSyntax: 2
searchFlags: 0
schemaIdGuid:: hHDW1iDHfUGGR7aWI3oRTA==
dn: CN=ShadowWarning,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowWarning
adminDisplayName: shadowWarning
adminDescription: Number of days before password expiry to warn user
attributeId: 1.3.6.1.1.1.1.8
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nJzoenYpRkq7ijQPiFYBFw==
dn: CN=ms-DFSR-Schedule,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Schedule
adminDisplayName: ms-DFSR-Schedule
adminDescription: DFSR Replication schedule
attributeId: 1.2.840.113556.1.6.13.3.14
omSyntax: 4
searchFlags: 0
rangeLower: 336
rangeUpper: 336
schemaIdGuid:: X/GZRh+n4kif9ViXwHWSBQ==
dn: CN=ShadowInactive,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowInactive
adminDisplayName: shadowInactive
adminDescription: Number of days before password expiry to warn user
attributeId: 1.3.6.1.1.1.1.9
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Hx2HhhAzEkOO/a9J3PsmcQ==
dn: CN=ms-DFSR-RootPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-RootPath
adminDisplayName: ms-DFSR-RootPath
adminDescription: Full path of the root directory
attributeId: 1.2.840.113556.1.6.13.3.3
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: wejV1x/mT0afzyC74KLsVA==
dn: CN=ms-DFSR-Keywords,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Keywords
adminDisplayName: ms-DFSR-Keywords
adminDescription: User defined keywords
attributeId: 1.2.840.113556.1.6.13.3.15
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: kkaLBCdiZ0ugdMRDcIPhSw==
dn: CN=ms-DFSR-RootFence,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-RootFence
adminDisplayName: ms-DFSR-RootFence
adminDescription: Root directory fence value
attributeId: 1.2.840.113556.1.6.13.3.22
omSyntax: 2
searchFlags: 0
schemaIdGuid:: lI6SUdgsvkq1UuUEEkRDcA==
dn: CN=msSFU-30-Nis-Domain,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NisDomain
adminDisplayName: msSFU-30-Nis-Domain
adminDescription: This attribute is used to store the NIS domain
attributeId: 1.2.840.113556.1.6.18.1.339
omSyntax: 22
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 9
schemaIdGuid:: 47LjnvPH+EWMnxOCvkmE0g==
dn: CN=IpNetmaskNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipNetmaskNumber
adminDisplayName: ipNetmaskNumber
adminDescription: IP netmask as a dotted decimal, omitting leading zeros
attributeId: 1.3.6.1.1.1.1.21
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 128
schemaIdGuid:: zU/2by5GYk+0SppTR2WeuQ==
dn: CN=msSFU-30-Map-Filter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30MapFilter
adminDisplayName: msSFU-30-Map-Filter
adminDescription: stores a string containing map keys, domain name and so

on. The string is used to filter data in a map
attributeId: 1.2.840.113556.1.6.18.1.306
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: AW6xt08CI06tDXHxpAa2hA==
dn: CN=ms-DFSR-Extension,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Extension
adminDisplayName: ms-DFSR-Extension
adminDescription: DFSR Extension attribute
attributeId: 1.2.840.113556.1.6.13.3.2
omSyntax: 4
searchFlags: 0
rangeLower: 0
rangeUpper: 65536
schemaIdGuid:: 7BHweGanGUutz3uB7XgaTQ==
dn: CN=IpNetworkNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipNetworkNumber
adminDisplayName: ipNetworkNumber
adminDescription: IP network as a dotted decimal, omitting leading zeros
attributeId: 1.3.6.1.1.1.1.20
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 128
schemaIdGuid:: 9FQ4TocwpEKoE7sMUolY0w==
dn: CN=msSFU-30-Key-Values,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30KeyValues
adminDisplayName: msSFU-30-Key-Values
adminDescription: This attribute is internal to Server for NIS and is used

as a scratch pad
attributeId: 1.2.840.113556.1.6.18.1.324
omSyntax: 22
rangeUpper: 10240
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: NQKDN+nl8kaSK9jUTwPnrg==
dn: CN=msSFU-30-Yp-Servers,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30YpServers
adminDisplayName: msSFU-30-Yp-Servers
adminDescription: Stores ypserves list, list of "Servers for NIS" in a NIS

domain
attributeId: 1.2.840.113556.1.6.18.1.341
omSyntax: 22
rangeUpper: 20480
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: S5RKCFDh/kuTRUDhrtrrug==
dn: CN=ms-DFSR-RdcEnabled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-RdcEnabled
adminDisplayName: ms-DFSR-RdcEnabled
adminDescription: Enable and disable RDC
attributeId: 1.2.840.113556.1.6.13.3.19
omSyntax: 1
searchFlags: 0
schemaIdGuid:: BU6046f0eECnMPSGcKdD+A==
dn: CN=ShadowLastChange,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowLastChange
adminDisplayName: shadowLastChange
adminDescription: Last change of shadow information.
attributeId: 1.3.6.1.1.1.1.5
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nGjy+OgpQ0iBd+i5jhXurA==
dn: CN=ms-DFSR-FileFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-FileFilter
adminDisplayName: ms-DFSR-FileFilter
adminDescription: Filter string applied to files
attributeId: 1.2.840.113556.1.6.13.3.12
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: rHCC1tylQUimrM1ovjjBgQ==
dn: CN=IpProtocolNumber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipProtocolNumber
adminDisplayName: ipProtocolNumber
adminDescription: This is part of the protocols map and stores the unique
number that identifies the protocol.
attributeId: 1.3.6.1.1.1.1.17
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 68b16y0OFUSWcBCBmTtCEQ==
dn: CN=UnixUserPassword,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: unixUserPassword
adminDisplayName: unixUserPassword
adminDescription: userPassword compatible with Unix system.
attributeId: 1.2.840.113556.1.4.1910
omSyntax: 4
systemOnly: FALSE
searchFlags: 128
rangeLower: 1
rangeUpper: 128
schemaIdGuid:: R7csYejAkk+SIf3V8VtVDQ==
dn: CN=ms-DFSR-StagingPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-StagingPath
adminDisplayName: ms-DFSR-StagingPath
adminDescription: Full path of the staging directory
attributeId: 1.2.840.113556.1.6.13.3.5
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: nqa5hqbwXUCZu3fZd5ksKg==
dn: CN=MemberNisNetgroup,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: memberNisNetgroup
adminDisplayName: memberNisNetgroup
adminDescription: A multivalued attribute that holds the list of netgroups

that are members of this netgroup.
attributeId: 1.3.6.1.1.1.1.13
omSyntax: 22
rangeUpper: 153600
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 3BdqD+VT6EuUQo884vkBKg==
dn: CN=msSFU-30-Order-Number,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30OrderNumber
adminDisplayName: msSFU-30-Order-Number
adminDescription: Every time the data stored in the msSFU-30-Domain-Info

object is changed, the value of this attribute is incremented. Server for
NIS uses this object to check if the map has changed. This number is used to
track data changes between ypxfer calls
attributeId: 1.2.840.113556.1.6.18.1.308
omSyntax: 64
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: BV9iAu7Rn0+zZlUma+y5XA==
dn: CN=IpServiceProtocol,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipServiceProtocol
adminDisplayName: ipServiceProtocol
adminDescription: This is a part of the services map and stores the protocol
number for a UNIX service.
attributeId: 1.3.6.1.1.1.1.16
omSyntax: 22
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: C+yWzdYetEOya/FwtkWIPw==
dn: CN=msSFU-30-Posix-Member,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30PosixMember
adminDisplayName: msSFU-30-Posix-Member
adminDescription: This attribute is used to stores the DN display name of

users??? part of a group
attributeId: 1.2.840.113556.1.6.18.1.346
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Ldh1yEgo7Ey7UDxUhtCdVw==
linkID: 2030
dn: CN=UnixHomeDirectory,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: unixHomeDirectory
adminDisplayName: unixHomeDirectory
adminDescription: The absolute path to the home directory (RFC 2307)
attributeId: 1.3.6.1.1.1.1.3
omSyntax: 22
rangeUpper: 2048
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ErotvA8ATUa/HQgIRl2IQw==
dn: CN=msSFU-30-Crypt-Method,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30CryptMethod
adminDisplayName: msSFU-30-Crypt-Method
adminDescription: used to store the method used for encrypting the UNIX
passwords, either MD5 or crypt.
attributeId: 1.2.840.113556.1.6.18.1.352
omSyntax: 22
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: o9IDRXA9uEGwd9/xI8FYZQ==
dn: CN=NisNetgroupTriple,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisNetgroupTriple
adminDisplayName: nisNetgroupTriple
adminDescription: This attribute represents one entry from a netgroup map.
attributeId: 1.3.6.1.1.1.1.14
omSyntax: 22
rangeUpper: 153600
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dC4DqO8w9U+v/A/CF3g/7A==
dn: CN=ms-DFSR-ConflictPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ConflictPath
adminDisplayName: ms-DFSR-ConflictPath
adminDescription: Full path of the conflict directory
attributeId: 1.2.840.113556.1.6.13.3.7
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: yLzwXPdg/0u9pq6gNE6xUQ==
dn: CN=msSFU-30-Max-Gid-Number,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30MaxGidNumber
adminDisplayName: msSFU-30-Max-Gid-Number
adminDescription: stores the maximum number of groups migrated to a NIS

domain
attributeId: 1.2.840.113556.1.6.18.1.342
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: pmruBDv4mka/WjwA02NGaQ==
dn: CN=msSFU-30-Max-Uid-Number,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30MaxUidNumber
adminDisplayName: msSFU-30-Max-Uid-Number
adminDescription: stores the maximum number of users migrated to a NIS

domain
attributeId: 1.2.840.113556.1.6.18.1.343
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: N4SZ7ETZKEqFACF1iK38dQ==
dn: CN=ms-DFSR-RootSizeInMb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-RootSizeInMb
adminDisplayName: ms-DFSR-RootSizeInMb
adminDescription: Size of the root directory in MB
attributeId: 1.2.840.113556.1.6.13.3.4
omSyntax: 65
searchFlags: 0
rangeLower: 0
rangeUpper: -1
schemaIdGuid:: rGm3kBNEz0OteoZxQudAow==
dn: CN=ms-DFSR-DfsLinkTarget,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DfsLinkTarget
adminDisplayName: ms-DFSR-DfsLinkTarget
adminDescription: Link target used for the subscription
attributeId: 1.2.840.113556.1.6.13.3.24
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: qVu49/k7j0KqtC7ubVbwYw==
dn: CN=msSFU-30-Posix-Member-Of,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30PosixMemberOf
adminDisplayName: msSFU-30-Posix-Member-Of
adminDescription: stores the display names of groups to which this user

belongs to
attributeId: 1.2.840.113556.1.6.18.1.347
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: kmvXe0QyikOtpiT16jQ4Hg==
linkID: 2031
systemFlags: 1
dn: CN=msSFU-30-Key-Attributes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30KeyAttributes
adminDisplayName: msSFU-30-Key-Attributes
adminDescription: stores the names of the attributes which the Server for
NIS will use as keys to search a map
attributeId: 1.2.840.113556.1.6.18.1.301
omSyntax: 64
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mNbsMp7OlEihNHrXawgugw==
dn: CN=msSFU-30-Field-Separator,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30FieldSeparator
adminDisplayName: msSFU-30-Field-Separator
adminDescription: stores Field Separator for each NIS map
attributeId: 1.2.840.113556.1.6.18.1.302
omSyntax: 64
rangeUpper: 50
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: QhrhooHnoUyn+uwwf2K2oQ==
dn: CN=ms-DFSR-ContentSetGuid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ContentSetGuid
adminDisplayName: ms-DFSR-ContentSetGuid
adminDescription: DFSR Content set guid
attributeId: 1.2.840.113556.1.6.13.3.18
omSyntax: 4
searchFlags: 0
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: 4ag1EKhnIUy3uwMc35nXoA==
dn: CN=ms-DFSR-MemberReference,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-MemberReference
adminDisplayName: ms-DFSR-MemberReference
adminDescription: Forward link to DFSR-Member object
attributeId: 1.2.840.113556.1.6.13.3.100
omSyntax: 127
searchFlags: 0
schemaIdGuid:: qjcTJsPxskS76siNSebwxw==
linkID: 2052
dn: CN=msSFU-30-Search-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30SearchContainer
adminDisplayName: msSFU-30-Search-Container
adminDescription: stores the identifier of an object from where each search

will begin
attributeId: 1.2.840.113556.1.6.18.1.300
omSyntax: 64
rangeUpper: 2048
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: or/uJ+v7jk+q1sUCR5lCkQ==
dn: CN=ms-DFSR-StagingSizeInMb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-StagingSizeInMb
adminDisplayName: ms-DFSR-StagingSizeInMb
adminDescription: Size of the staging directory in MB
attributeId: 1.2.840.113556.1.6.13.3.6
omSyntax: 65
searchFlags: 0
rangeLower: 0
rangeUpper: -1
schemaIdGuid:: II8KJfz2WUWuZeSyTGeuvg==
dn: CN=ms-DFSR-DirectoryFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DirectoryFilter
adminDisplayName: ms-DFSR-DirectoryFilter
adminDescription: Filter string applied to directories
attributeId: 1.2.840.113556.1.6.13.3.13
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: d7THky4fQEu3vwB+jQOMzw==
dn: CN=ms-DFSR-ConflictSizeInMb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ConflictSizeInMb
adminDisplayName: ms-DFSR-ConflictSizeInMb
adminDescription: Size of the Conflict directory in MB
attributeId: 1.2.840.113556.1.6.13.3.8
omSyntax: 65
searchFlags: 0
rangeLower: 0
rangeUpper: -1
schemaIdGuid:: yT/Tms+qmUK7PtH8bqiOSQ==
dn: CN=msSFU-30-Is-Valid-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30IsValidContainer
adminDisplayName: msSFU-30-Is-Valid-Container
adminDescription: internal to Server for NIS and stores whether the current
search root is valid
attributeId: 1.2.840.113556.1.6.18.1.350
omSyntax: 2
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 9ULqDY0nV0G0p0m1lmSRWw==
dn: CN=msSFU-30-Search-Attributes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30SearchAttributes
adminDisplayName: msSFU-30-Search-Attributes
adminDescription: stores the names of the attributes Server for NIS needs
while searching a map
attributeId: 1.2.840.113556.1.6.18.1.304
omSyntax: 64
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 8C2a71cuyEiJUAzGdABHMw==
dn: CN=msSFU-30-Master-Server-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30MasterServerName
adminDisplayName: msSFU-30-Master-Server-Name
adminDescription: The value in this container is returned when Server for

NIS processes a yp_master API call
attributeId: 1.2.840.113556.1.6.18.1.307
omSyntax: 64
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: ogjJTBieDkGEWfF8xCICCg==
dn: CN=msSFU-30-Result-Attributes,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30ResultAttributes
adminDisplayName: msSFU-30-Result-Attributes
adminDescription: Server for NIS uses this object as a scratch pad
attributeId: 1.2.840.113556.1.6.18.1.305
omSyntax: 64
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: trBn4UVAM0SsNVP5ctRcug==
dn: CN=ms-DFSR-MemberReferenceBL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-MemberReferenceBL
adminDisplayName: ms-DFSR-MemberReferenceBL
adminDescription: Backlink attribute for ms-DFSR-MemberReference
attributeId: 1.2.840.113556.1.6.13.3.102
omSyntax: 127
searchFlags: 0
schemaIdGuid:: xmLerYAY7UG9PDC30l4U8A==
linkID: 2053
systemFlags: 1
dn: CN=ms-DFSR-ComputerReference,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ComputerReference
adminDisplayName: ms-DFSR-ComputerReference
adminDescription: Forward link to Computer object
attributeId: 1.2.840.113556.1.6.13.3.101
omSyntax: 127
searchFlags: 0
schemaIdGuid:: hVd7bCE9v0GKimJ5QVRNWg==
linkID: 2050
dn: CN=ms-DFSR-RdcMinFileSizeInKb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-RdcMinFileSizeInKb
adminDisplayName: ms-DFSR-RdcMinFileSizeInKb
adminDescription: Minimum file size to apply RDC
attributeId: 1.2.840.113556.1.6.13.3.20
omSyntax: 65
searchFlags: 0
rangeLower: 0
rangeUpper: -1
schemaIdGuid:: MKMC9OWswU2MyXTZAL+K4A==
dn: CN=msSFU-30-NSMAP-Field-Position,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NSMAPFieldPosition
adminDisplayName: msSFU-30-NSMAP-Field-Position
adminDescription: This attribute stores the "field position", to extract the

key from a non-standard map
attributeId: 1.2.840.113556.1.6.18.1.345
omSyntax: 22
rangeUpper: 1024
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Xp1cWJn1B0+c+UNzr0uJ0w==
dn: CN=ms-DFSR-ComputerReferenceBL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ComputerReferenceBL
adminDisplayName: ms-DFSR-ComputerReferenceBL
adminDescription: Backlink attribute for ms-DFSR-ComputerReference
attributeId: 1.2.840.113556.1.6.13.3.103
omSyntax: 127
searchFlags: 0
schemaIdGuid:: 1ya1XhvXrkSMxpVGAFLmrA==
linkID: 2051
systemFlags: 1
dn: CN=msSFU-30-Intra-Field-Separator,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30IntraFieldSeparator
adminDisplayName: msSFU-30-Intra-Field-Separator
adminDescription: This attribute stores intra field separators for each NIS
map
attributeId: 1.2.840.113556.1.6.18.1.303
omSyntax: 64
rangeUpper: 50
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 8K6yleQnuUyICqLZqeojuA==
dn: CN=ms-DFSR-ReplicationGroupGuid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ReplicationGroupGuid
adminDisplayName: ms-DFSR-ReplicationGroupGuid
adminDescription: Replication group guid
attributeId: 1.2.840.113556.1.6.13.3.23
omSyntax: 4
searchFlags: 1
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: loetLRl2+E+Wbgpcxnsofw==
dn: CN=msSFU-30-Netgroup-Host-At-Domain,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NetgroupHostAtDomain
adminDisplayName: msSFU-30-Netgroup-Host-At-Domain
adminDescription: Part of the netgroup map.This attribute represents

computed strings such as host@domain
attributeId: 1.2.840.113556.1.6.18.1.348
omSyntax: 22
rangeUpper: 2048
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: Zb/Sl2YEUkiiWuwg9X7jbA==
dn: CN=msSFU-30-Netgroup-User-At-Domain,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NetgroupUserAtDomain
adminDisplayName: msSFU-30-Netgroup-User-At-Domain
adminDescription: Part of the netgroup map.This attribute represents

computed strings such as user@domain
attributeId: 1.2.840.113556.1.6.18.1.349
omSyntax: 22
rangeUpper: 2048
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 7U7oqTDmZ0u0s8rSqC00Xg==
dn: CN=ms-DFSR-ReplicationGroupType,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ReplicationGroupType
adminDisplayName: ms-DFSR-ReplicationGroupType
adminDescription: Type of Replication Group
attributeId: 1.2.840.113556.1.6.13.3.10
omSyntax: 2
searchFlags: 0
schemaIdGuid:: yA/t7gEQ7UWAzLv3RJMHIA==
dn: CN=ms-DFSR-TombstoneExpiryInMin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-TombstoneExpiryInMin
adminDisplayName: ms-DFSR-TombstoneExpiryInMin
adminDescription: Tombstone record lifetime in minutes
attributeId: 1.2.840.113556.1.6.13.3.11
omSyntax: 2
searchFlags: 0
rangeLower: 0
schemaIdGuid:: TF3jIyTjYUiiL+GZFA2uAA==
dn: CN=ms-DS-Source-Object-DN,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SourceObjectDN
adminDisplayName: ms-DS-Source-Object-DN
adminDescription: The string representation of the DN of the object in

another forest that corresponds to this object.
attributeId: 1.2.840.113556.1.4.1879
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 10240
schemaIdGuid:: r5M+d7TT1Eiz+QZFdgLT0A==
dn:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DFSR-LocalSettings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-LocalSettings
adminDisplayName: ms-DFSR-LocalSettings
adminDescription: DFSR settings applicable to local computer
governsId: 1.2.840.113556.1.6.13.4.1
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.1
possSuperiors: 1.2.840.113556.1.3.30
schemaIdGuid:: kcWF+n8ZfkeDvepaQ98iOQ==
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;DA)(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;CO)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-
LocalSettings,CN=Schema,CN=Configuration,DC=X
dn: CN=NisMap,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisMap
adminDisplayName: nisMap
adminDescription: A generic abstraction of a nis map
governsId: 1.3.6.1.1.1.2.9
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.26
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: bGZydsECM0+ez/ZJwd2bfA==
systemOnly: FALSE
defaultObjectCategory: CN=NisMap,CN=Schema,CN=Configuration,DC=X
dn: CN=IpProtocol,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipProtocol
adminDisplayName: ipProtocol
adminDescription: Abstraction of an IP protocol
governsId: 1.3.6.1.1.1.2.4
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.17
mayContain: 1.2.840.113556.1.6.18.1.323
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.3.6.1.1.1.2.9
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: 0sstnPD7x02s4INW3NDwEw==
systemOnly: FALSE
defaultObjectCategory: CN=IpProtocol,CN=Schema,CN=Configuration,DC=X
dn: CN=PosixGroup,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: posixGroup
adminDisplayName: posixGroup
adminDescription: Abstraction of a group of acconts
governsId: 1.3.6.1.1.1.2.2
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.12
mayContain: 1.3.6.1.1.1.1.1
mayContain: 1.2.840.113556.1.4.1910
mayContain: 2.5.4.3
schemaIdGuid:: uFCTKiwG0E6ZA93hDQbeug==
systemOnly: FALSE
defaultObjectCategory: CN=PosixGroup,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-GlobalSettings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-GlobalSettings
adminDisplayName: ms-DFSR-GlobalSettings
adminDescription: Global settings applicable to all replication group

members
governsId: 1.2.840.113556.1.6.13.4.4
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: rds1e+yzakiq1C/snW6m9g==
systemOnly: FALSE
GlobalSettings,CN=Schema,CN=Configuration,DC=X
dn: CN=IEEE802Device,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ieee802Device
adminDisplayName: ieee802Device
adminDescription: A device with a MAC address
governsId: 1.3.6.1.1.1.2.11
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.22
mayContain: 2.5.4.3
schemaIdGuid:: KeWZpjemfUug+13EZqC4pw==
systemOnly: FALSE
defaultObjectCategory: CN=IEEE802Device,CN=Schema,CN=Configuration,DC=X
dn: CN=msSFU-30-Net-Id,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NetId
adminDisplayName: msSFU-30-Net-Id
adminDescription: stores the netword ID
governsId: 1.2.840.113556.1.6.18.2.212
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
mayContain: 1.2.840.113556.1.6.18.1.324
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: LBlj4gIq30iXkpTyMoeBoA==
systemOnly: FALSE
defaultObjectCategory: CN=msSFU-30-Net-Id,CN=Schema,CN=Configuration,DC=X
dn: CN=NisNetgroup,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisNetgroup
adminDisplayName: nisNetgroup
adminDescription: Abstraction of a netgroup. May refer to other netgroups
governsId: 1.3.6.1.1.1.2.8
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.18.1.349
mayContain: 1.2.840.113556.1.6.18.1.348
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
mayContain: 1.3.6.1.1.1.1.14
mayContain: 1.3.6.1.1.1.1.13
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: hL/vcntuXEqo24p1p8rSVA==
systemOnly: FALSE
defaultObjectCategory: CN=NisNetgroup,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-ReplicationGroup,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ReplicationGroup
adminDisplayName: ms-DFSR-ReplicationGroup
adminDescription: Replication Group container
governsId: 1.2.840.113556.1.6.13.4.5
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.2.840.113556.1.6.13.3.10
mayContain: 1.2.840.113556.1.6.13.3.1
mayContain: 1.2.840.113556.1.6.13.3.14
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.11
possSuperiors: 1.2.840.113556.1.6.13.4.4
schemaIdGuid:: 4C8zHCoMMk+vyiPF5Fqedw==
systemOnly: FALSE
ReplicationGroup,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-Topology,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Topology
adminDisplayName: ms-DFSR-Topology
adminDescription: Container for objects that form the replication topology
governsId: 1.2.840.113556.1.6.13.4.8
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
possSuperiors: 1.2.840.113556.1.6.13.4.5
schemaIdGuid:: qYqCBEJugE65YuL+AHVNFw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-Topology,CN=Schema,CN=Configuration,DC=X
dn: CN=PosixAccount,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: posixAccount
adminDisplayName: posixAccount
adminDescription: Abstraction of an account with posix attributes
governsId: 1.3.6.1.1.1.2.0
rdnAttId: 0.9.2342.19200300.100.1.1
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.2
mayContain: 1.3.6.1.1.1.1.4
mayContain: 1.2.840.113556.1.4.1910
mayContain: 1.2.840.113556.1.4.44
mayContain: 1.3.6.1.1.1.1.3
mayContain: 1.3.6.1.1.1.1.1
mayContain: 1.3.6.1.1.1.1.0
mayContain: 2.5.4.3
mayContain: 0.9.2342.19200300.100.1.1
schemaIdGuid:: QbtErdVniE21dXsgZ0522A==
systemOnly: FALSE
defaultObjectCategory: CN=PosixAccount,CN=Schema,CN=Configuration,DC=X
dn: CN=ShadowAccount,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: shadowAccount
adminDisplayName: shadowAccount
adminDescription: Additional attributes for shadow passwords
governsId: 1.3.6.1.1.1.2.1
rdnAttId: 0.9.2342.19200300.100.1.1
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.11
mayContain: 1.3.6.1.1.1.1.10
mayContain: 1.3.6.1.1.1.1.9
mayContain: 1.3.6.1.1.1.1.8
mayContain: 1.3.6.1.1.1.1.7
mayContain: 1.3.6.1.1.1.1.6
mayContain: 1.3.6.1.1.1.1.5
mayContain: 0.9.2342.19200300.100.1.1
schemaIdGuid:: Z4RtWxgadEGzUJzG57SsjQ==
systemOnly: FALSE
defaultObjectCategory: CN=ShadowAccount,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-Content,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Content
adminDisplayName: ms-DFSR-Content
adminDescription: Container for DFSR-ContentSet objects
governsId: 1.2.840.113556.1.6.13.4.6
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
possSuperiors: 1.2.840.113556.1.6.13.4.5
schemaIdGuid:: NZt1ZKHT5EK18aPeFiEJsw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-Content,CN=Schema,CN=Configuration,DC=X
dn: CN=BootableDevice,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: bootableDevice
adminDisplayName: bootableDevice
adminDescription: A device with boot parameters
governsId: 1.3.6.1.1.1.2.12
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.24
mayContain: 1.3.6.1.1.1.1.23
mayContain: 2.5.4.3
schemaIdGuid:: dyTLS7NLRUWp/Ptm4Ta0NQ==
systemOnly: FALSE
defaultObjectCategory: CN=BootableDevice,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-Print-ConnectionPolicy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPrint-ConnectionPolicy
adminDisplayName: ms-Print-ConnectionPolicy
adminDescription: Pushed Printer Connection Policy1
governsId: 1.2.840.113556.1.6.23.2
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.4.137
mayContain: 1.2.840.113556.1.4.223
mayContain: 1.2.840.113556.1.4.247
mayContain: 1.2.840.113556.1.4.300
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: xzNvodZ/KEiTZENROP2gjQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-Print-
ConnectionPolicy,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-Member,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Member
adminDisplayName: ms-DFSR-Member
adminDescription: Replication group member
governsId: 1.2.840.113556.1.6.13.4.9
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.2.840.113556.1.6.13.3.101
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.15
mayContain: 1.2.840.113556.1.4.515
possSuperiors: 1.2.840.113556.1.6.13.4.8
schemaIdGuid:: l8gpQhHCfEOlrtv3BbaW5Q==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-Member,CN=Schema,CN=Configuration,DC=X
dn: CN=OncRpc,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: oncRpc
adminDisplayName: oncRpc
adminDescription: Abstraction of an Open Network Computing (ONC) [RFC1057]

Remote Procedure Call (RPC) binding
governsId: 1.3.6.1.1.1.2.5
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.18
mayContain: 1.2.840.113556.1.6.18.1.323
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: Xh7dyvz+P0+1qXDplCBDAw==
systemOnly: FALSE
defaultObjectCategory: CN=OncRpc,CN=Schema,CN=Configuration,DC=X
dn: CN=IpHost,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipHost
adminDisplayName: ipHost
adminDescription: Abstraction of a host, an IP device.
governsId: 1.3.6.1.1.1.2.6
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 2.5.4.7
mayContain: 0.9.2342.19200300.100.1.1
mayContain: 1.3.6.1.1.1.1.19
mayContain: 2.5.4.3
mayContain: 0.9.2342.19200300.100.1.10
schemaIdGuid:: RhaRqyeIlU+HgFqPAI62jw==
systemOnly: FALSE
defaultObjectCategory: CN=IpHost,CN=Schema,CN=Configuration,DC=X
dn: CN=msSFU-30-Domain-Info,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30DomainInfo
adminDisplayName: msSFU-30-Domain-Info
adminDescription: Represents an internal data structure used by Server for

NIS.
governsId: 1.2.840.113556.1.6.18.2.215
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.18.1.352
mayContain: 1.2.840.113556.1.6.18.1.343
mayContain: 1.2.840.113556.1.6.18.1.342
mayContain: 1.2.840.113556.1.6.18.1.308
mayContain: 1.2.840.113556.1.6.18.1.307
mayContain: 1.2.840.113556.1.6.18.1.350
mayContain: 1.2.840.113556.1.6.18.1.300
mayContain: 1.2.840.113556.1.6.18.1.341
mayContain: 1.2.840.113556.1.6.18.1.340
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: zn0pNmtlI0SrZdq7J3CBng==
systemOnly: FALSE
defaultObjectCategory: CN=msSFU-30-Domain-
Info,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-Connection,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Connection
adminDisplayName: ms-DFSR-Connection
adminDescription: Directional connection between two members
governsId: 1.2.840.113556.1.6.13.4.10
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.2.840.113556.1.4.40
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.14
mayContain: 1.2.840.113556.1.6.13.3.15
mayContain: 1.2.840.113556.1.6.13.3.20
mayContain: 1.2.840.113556.1.6.13.3.19
mayContain: 1.2.840.113556.1.6.13.3.9
possSuperiors: 1.2.840.113556.1.6.13.4.9
schemaIdGuid:: LpeP5bVk70aNi7vD4Yl+qw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-Connection,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-Subscriber,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Subscriber
adminDisplayName: ms-DFSR-Subscriber
adminDescription: Represents local computer membership of a replication

group
governsId: 1.2.840.113556.1.6.13.4.2
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.2.840.113556.1.6.13.3.23
mustContain: 1.2.840.113556.1.6.13.3.100
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
possSuperiors: 1.2.840.113556.1.6.13.4.1
schemaIdGuid:: 1wUV4cSS50O/XClYMv/Ilg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-Subscriber,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFSR-ContentSet,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ContentSet
adminDisplayName: ms-DFSR-ContentSet
adminDescription: DFSR Content Set
governsId: 1.2.840.113556.1.6.13.4.7
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.13
mayContain: 1.2.840.113556.1.6.13.3.12
mayContain: 1.2.840.113556.1.6.13.3.21
possSuperiors: 1.2.840.113556.1.6.13.4.6
schemaIdGuid:: DfQ3SdymSE2Xygbl+/0/Fg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DFSR-ContentSet,CN=Schema,CN=Configuration,DC=X
dn: CN=msSFU-30-Mail-Aliases,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30MailAliases
adminDisplayName: msSFU-30-Mail-Aliases
adminDescription: represents UNIX mail file data
governsId: 1.2.840.113556.1.6.18.2.211
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.323
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: hQdx1v+Gt0SFtfH4aJUizg==
systemOnly: FALSE
defaultObjectCategory: CN=msSFU-30-Mail-
Aliases,CN=Schema,CN=Configuration,DC=X
dn: CN=msSFU-30-Network-User,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NetworkUser
adminDisplayName: msSFU-30-Network-User
adminDescription: represents network file data
governsId: 1.2.840.113556.1.6.18.2.216
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
mayContain: 1.2.840.113556.1.6.18.1.324
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: ozRT4fALJ0S2chH12ErMkg==
systemOnly: FALSE
defaultObjectCategory: CN=msSFU-30-Network-
User,CN=Schema,CN=Configuration,DC=X
dn: CN=msSFU-30-NIS-Map-Config,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msSFU30NISMapConfig
adminDisplayName: msSFU-30-NIS-Map-Config
adminDescription: represents an internal Data Structure used by Server for

NIS
governsId: 1.2.840.113556.1.6.18.2.217
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mayContain: 1.2.840.113556.1.6.18.1.306
mayContain: 1.2.840.113556.1.6.18.1.305
mayContain: 1.2.840.113556.1.6.18.1.304
mayContain: 1.2.840.113556.1.6.18.1.303
mayContain: 1.2.840.113556.1.6.18.1.345
mayContain: 1.2.840.113556.1.6.18.1.302
mayContain: 1.2.840.113556.1.6.18.1.301
possSuperiors: 1.2.840.113556.1.3.23
schemaIdGuid:: 0DP3+uv4z02NdfF1OvalCw==
systemOnly: FALSE
defaultObjectCategory: CN=msSFU-30-NIS-Map-
dn: CN=ms-DFSR-Subscription,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Subscription
adminDisplayName: ms-DFSR-Subscription
adminDescription: Represents local computer participation of a content set
governsId: 1.2.840.113556.1.6.13.4.3
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.2.840.113556.1.6.13.3.23
mustContain: 1.2.840.113556.1.6.13.3.18
mayContain: 1.2.840.113556.1.6.13.3.2
mayContain: 1.2.840.113556.1.6.13.3.17
mayContain: 1.2.840.113556.1.6.13.3.16
mayContain: 1.2.840.113556.1.6.13.3.24
mayContain: 1.2.840.113556.1.6.13.3.22
mayContain: 1.2.840.113556.1.6.13.3.9
mayContain: 1.2.840.113556.1.6.13.3.8
mayContain: 1.2.840.113556.1.6.13.3.7
mayContain: 1.2.840.113556.1.6.13.3.6
mayContain: 1.2.840.113556.1.6.13.3.5
mayContain: 1.2.840.113556.1.6.13.3.4
mayContain: 1.2.840.113556.1.6.13.3.3
possSuperiors: 1.2.840.113556.1.6.13.4.2
schemaIdGuid:: FCQhZ8x7CUaH4AiNrYq97g==
systemOnly: FALSE
Subscription,CN=Schema,CN=Configuration,DC=X
dn: CN=NisObject,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nisObject
adminDisplayName: nisObject
adminDescription: An entry in a NIS map
governsId: 1.3.6.1.1.1.2.10
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.27
mustContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: k4pPkFRJX0yx4VPAl6MeEw==
systemOnly: FALSE
defaultObjectCategory: CN=NisObject,CN=Schema,CN=Configuration,DC=X
dn: CN=IpService,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipService
adminDisplayName: ipService
adminDescription: Abstraction of an Internet Protocol service.
governsId: 1.3.6.1.1.1.2.3
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.15
mustContain: 1.3.6.1.1.1.1.16
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.323
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: 3/oXJZf6rUid5nmsVyH4ZA==
systemOnly: FALSE
defaultObjectCategory: CN=IpService,CN=Schema,CN=Configuration,DC=X
dn: CN=IpNetwork,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ipNetwork
adminDisplayName: ipNetwork
adminDescription: Abstraction of a network. The distinguished value of the

cn attribute denotes the network's canonical name
governsId: 1.3.6.1.1.1.2.7
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
mustContain: 1.3.6.1.1.1.1.20
mayContain: 1.2.840.113556.1.6.18.1.323
mayContain: 1.3.6.1.1.1.1.26
mayContain: 1.2.840.113556.1.6.18.1.339
mayContain: 1.2.840.113556.1.6.18.1.309
mayContain: 2.5.4.7
mayContain: 0.9.2342.19200300.100.1.1
mayContain: 1.3.6.1.1.1.1.21
mayContain: 0.9.2342.19200300.100.1.10
possSuperiors: 1.2.840.113556.1.3.23
possSuperiors: 1.2.840.113556.1.5.67
schemaIdGuid:: wzZY2T4U+0OZKrBX8eyt+Q==
systemOnly: FALSE
defaultObjectCategory: CN=IpNetwork,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.102
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.103
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.347
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.346
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.339
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.309
add: auxiliaryClass
auxiliaryClass: 1.3.6.1.1.1.2.2
add: mayContain
mayContain: 1.2.840.113556.1.4.1879
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.309
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.339
add: auxiliaryClass
add: auxiliaryClass
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.323
add: mayContain
mayContain: 1.3.6.1.1.1.1.26
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.339
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.309
add: auxiliaryClass
add: auxiliaryClass
add: auxiliaryClass
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.309
add: mayContain
mayContain: 1.3.6.1.1.1.1.26
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.339
add: mayContain
mayContain: 1.2.840.113556.1.6.18.1.323
add: auxiliaryClass
add: mayContain
mayContain: 1.2.840.113556.1.4.1879
dn:
changetype: modify
schemaUpdateNow: 1
objectVersion: 31
Sch32.ldf
dn: CN=ms-DS-KrbTgt-Link,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KrbTgtLink
adminDisplayName: ms-DS-KrbTgt-Link
adminDescription: For a computer, Identifies the user object (krbtgt),

acting as the domain or secondary domain master secret. Depends on which
domain or secondary domain the computer resides in.
attributeId: 1.2.840.113556.1.4.1923
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: yfWPd05vdEuFataDgzE5EA==
linkID: 2100
systemFlags: 16
dn: CN=ms-DS-Revealed-Users,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RevealedUsers
adminDisplayName: ms-DS-Revealed-Users
adminDescription: For a Directory instance (DSA), Identifies the user

objects whose secrets have been disclosed to that instance
attributeId: 1.2.840.113556.1.4.1924
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: IXhcGEk3OkS9aiiImQca2w==
linkID: 2102
systemFlags: 16
dn: CN=ms-DS-Revealed-List,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RevealedList
adminDisplayName: ms-DS-Revealed-List
adminDescription: For a Directory instance (DSA), Identifies the user

objects whose secrets have been disclosed to that instance
attributeId: 1.2.840.113556.1.4.1940
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
omObjectClass:: KoZIhvcUAQEBDA==
schemaIdGuid:: HNHay+x/ezhiGToGJ9mvgQ==
systemFlags: 20
dn: CN=ms-DS-Has-Full-Replica-NCs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-hasFullReplicaNCs
adminDisplayName: ms-DS-Has-Full-Replica-NCs
adminDescription: For a Directory instance (DSA), identifies the partitions

held as full replicas
attributeId: 1.2.840.113556.1.4.1925
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: GC08HdBCaEiZ/g7KHm+p8w==
linkID: 2104
systemFlags: 16
dn: CN=ms-DS-Never-Reveal-Group,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NeverRevealGroup
adminDisplayName: ms-DS-Never-Reveal-Group
adminDescription: For a Directory instance (DSA), identifies the security

group whose users will never have their secrets disclosed to that instance
attributeId: 1.2.840.113556.1.4.1926
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: mVlYFUn9Zk2yXe65arqBdA==
linkID: 2106
systemFlags: 16
dn: CN=ms-DS-Reveal-OnDemand-Group,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RevealOnDemandGroup
adminDisplayName: ms-DS-Reveal-OnDemand-Group
adminDescription: For a Directory instance (DSA), identifies the security

group whose users may have their secrets disclosed to that instance
attributeId: 1.2.840.113556.1.4.1928
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Sp89MNYdOEuPxTOv6MmIrQ==
linkID: 2110
systemFlags: 16
dn: CN=ms-DS-Secondary-KrbTgt-Number,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SecondaryKrbTgtNumber
adminDisplayName: ms-DS-Secondary-KrbTgt-Number
adminDescription: For a user object (krbtgt), acting as a secondary domain

master secret, identifies the protocol identification number associated with
the secondary domain.
attributeId: 1.2.840.113556.1.4.1929
omSyntax: 2
systemOnly: TRUE
searchFlags: 1
rangeLower: 65536
rangeUpper: 65536
schemaIdGuid:: EmYVqpYjfkataijSP9sYZQ==
systemFlags: 16
dn: CN=ms-DS-Revealed-DSAs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RevealedDSAs
adminDisplayName: ms-DS-Revealed-DSAs
adminDescription: Backlink for ms-DS-Revealed-Users; for a user, identifies

which Directory instances (DSA) hold that user's secret
attributeId: 1.2.840.113556.1.4.1930
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: rPL2lG3HXku3H/Myw+k8Ig==
linkID: 2103
systemFlags: 17
dn: CN=ms-DS-KrbTgt-Link-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-KrbTgtLinkBl
adminDisplayName: ms-DS-KrbTgt-Link-BL
adminDescription: Backlink for ms-DS-KrbTgt-Link; for a user object (krbtgt)

acting as a domain or secondary domain master secret, identifies which
computers are in that domain or secondary domain
attributeId: 1.2.840.113556.1.4.1931
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: QYzWXd+/i0ObXTnZYYvyYA==
linkID: 2101
systemFlags: 17
dn: CN=ms-DS-Is-Domain-For,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsDomainFor
adminDisplayName: ms-DS-Is-Domain-For
adminDescription: Backlink for ms-DS-Has-Domain-NCs; for a partition root

object, identifies which Directory instances (DSA) hold that partition as
their primary domain
attributeId: 1.2.840.113556.1.4.1933
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: KloV/+VE4E2DGBOliYjeTw==
linkID: 2027
systemFlags: 17
dn: CN=ms-DS-Is-Full-Replica-For,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsFullReplicaFor
adminDisplayName: ms-DS-Is-Full-Replica-For
adminDescription: Backlink for ms-Ds-Has-Full-Replica-NCs; for a partition

root object, identifies which Directory instances (DSA) hold that partition
as a full replica
attributeId: 1.2.840.113556.1.4.1932
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 4HK8yLSm8EiUpf12qIyZhw==
linkID: 2105
systemFlags: 17
dn: CN=ms-DS-Is-Partial-Replica-For,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsPartialReplicaFor
adminDisplayName: ms-DS-Is-Partial-Replica-For
adminDescription: Backlink for has-Partial-Replica-NCs; for a partition root

object, identifies which Directory instances (DSA) hold that partition as a
partial replica
attributeId: 1.2.840.113556.1.4.1934
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 9k/JN9TGj0my+cb3+GR4CQ==
linkID: 75
systemFlags: 17
dn:
schemaUpdateNow: 1
dn:
schemaUpdateNow: 1
objectVersion: 32
Sch33.ldf
dn: CN=ms-DS-isGC,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-isGC
adminDisplayName: ms-DS-isGC
adminDescription: For a Directory instance (DSA), Identifies the state of

the Global Catalog on the DSA
attributeId: 1.2.840.113556.1.4.1959
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: M8/1HeUPnkmQ4elLQnGKRg==
systemFlags: 20
dn: CN=ms-DS-isRODC,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-isRODC
adminDisplayName: ms-DS-isRODC
adminDescription: For a Directory instance (DSA), Identifies whether the DSA

is a Read-Only DSA
attributeId: 1.2.840.113556.1.4.1960
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: I6roqGc+8Uqdei8aHWM6yQ==
systemFlags: 20
dn: CN=ms-DS-SiteName,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SiteName
adminDisplayName: ms-DS-SiteName
adminDescription: For a Directory instance (DSA), Identifies the site name

that contains the DSA
attributeId: 1.2.840.113556.1.4.1961
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: bfOnmJU1ikSeb2uJZbrtnA==
systemFlags: 20
dn: CN=ms-DS-AuthenticatedAt-DC,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthenticatedAtDC
adminDisplayName: ms-DS-AuthenticatedAt-DC
adminDescription: Forwardlink for ms-DS-AuthenticatedTo-Accountlist; for a

User, identifies which DC a user has authenticated to
attributeId: 1.2.840.113556.1.4.1958
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: nOkePgRmiUSJ2YR5iolRWg==
linkID: 2112
systemFlags: 16
dn: CN=ms-DS-Promotion-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PromotionSettings
adminDisplayName: ms-DS-Promotion-Settings
adminDescription: For a Computer, contains a XML string to be used for

delegated DSA promotion
attributeId: 1.2.840.113556.1.4.1962
omSyntax: 64
systemOnly: TRUE
searchFlags: 0
rangeUpper: 65536
schemaIdGuid:: 4rSByMBDvk65u1JQqptDTA==
systemFlags: 16
dn: CN=ms-DS-Supported-Encryption-Types,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-SupportedEncryptionTypes
adminDisplayName: msDS-SupportedEncryptionTypes
adminDescription: The encryption algorithms supported by user, computer or

trust accounts. The KDC uses this information while generating a service
ticket for this account. Services/Computers may automatically update this
attribute on their respective accounts in Active Directory, and therefore
need write access to this attribute.
attributeId: 1.2.840.113556.1.4.1963
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: Z5gRIAQdt0qTcc/D1d8K/Q==
systemFlags: 16
dn: CN=ms-DS-AuthenticatedTo-Accountlist,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AuthenticatedToAccountlist
adminDisplayName: ms-DS-AuthenticatedTo-Accountlist
adminDescription: Backlink for ms-DS-AuthenticatedAt-DC; for a Computer,

identifies which users have authenticated to this Computer
attributeId: 1.2.840.113556.1.4.1957
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: ccmy6N+mvEeNb2J3DVJ6pQ==
linkID: 2113
systemFlags: 17
dn:
schemaUpdateNow: 1
dn: CN=ms-DS-Never-Reveal-Group,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Reveal-OnDemand-Group,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
objectVersion: 33
Sch34.ldf
dn: CN=ms-DFSR-ReadOnly,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-ReadOnly
adminDisplayName: DFSR-ReadOnly
adminDescription: Specify whether the content is read-only or read-write
attributeId: 1.2.840.113556.1.6.13.3.28
omSyntax: 1
searchFlags: 0
schemaIdGuid:: IYDEWkfk50adI5LAxqkN+w==
dn: CN=ms-DFSR-Priority,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Priority
adminDisplayName: DFSR-Priority
adminDescription: Priority level
attributeId: 1.2.840.113556.1.6.13.3.25
omSyntax: 2
searchFlags: 0
schemaIdGuid:: 1ucg660y3kKxQRatJjGwGw==
dn: CN=ms-DS-Az-Object-Guid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzObjectGuid
adminDisplayName: MS-DS-Az-Object-Guid
adminDescription: The unique and portable identifier of AzMan objects
attributeId: 1.2.840.113556.1.4.1949
omSyntax: 4
systemOnly: TRUE
searchFlags: 1
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: SOWRhDhsZUOnMq8EFWmwLA==
systemFlags: 16
dn: CN=ms-DS-Az-Generic-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-AzGenericData
adminDisplayName: MS-DS-Az-Generic-Data
adminDescription: AzMan specific generic data
attributeId: 1.2.840.113556.1.4.1950
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 65536
schemaIdGuid:: SeP3tVt6fECjNKMcP1OLmA==
systemFlags: 16
dn: CN=ms-DFSR-CachePolicy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-CachePolicy
adminDisplayName: DFSR-CachePolicy
adminDescription: On-demand cache policy options
attributeId: 1.2.840.113556.1.6.13.3.29
omSyntax: 2
searchFlags: 0
schemaIdGuid:: 5wh623b8aUWkX/XstmqItQ==
dn: CN=ms-DFSR-DeletedPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DeletedPath
adminDisplayName: DFSR-DeletedPath
adminDescription: Full path of the Deleted directory
attributeId: 1.2.840.113556.1.6.13.3.26
omSyntax: 64
searchFlags: 0
rangeUpper: 32767
schemaIdGuid:: uPB8gZXbFEm4M1oHnvZXZA==
dn: CN=ms-FVE-RecoveryGuid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFVE-RecoveryGuid
adminDisplayName: FVE-RecoveryGuid
adminDescription: This attribute contains the GUID associated with a Full

Volume Encryption (FVE) recovery password.
attributeId: 1.2.840.113556.1.4.1965
omSyntax: 4
searchFlags: 9
schemaIdGuid:: vAlp93jmoEews/hqAETAbQ==
systemFlags: 16
dn: CN=ms-TPM-OwnerInformation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTPM-OwnerInformation
adminDisplayName: TPM-OwnerInformation
adminDescription: This attribute contains the owner information of a

particular TPM.
attributeId: 1.2.840.113556.1.4.1966
omSyntax: 64
searchFlags: 8
schemaIdGuid:: bRpOqg1VBU6MNUr8uRep/g==
systemFlags: 16
dn: CN=ms-PKI-DPAPIMasterKeys,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKIDPAPIMasterKeys
adminDisplayName: MS-PKI-DPAPIMasterKeys
adminDescription: Storage of encrypted DPAPI Master Keys for user
attributeId: 1.2.840.113556.1.4.1893
omSyntax: 127
systemOnly: FALSE
searchFlags: 128
schemaIdGuid:: IzD5szmSfE+5nGdF2Hrbwg==
attributeSecurityGuid:: 3kfmkW/ZcEuVV9Y/9PPM2A==
linkID: 2046
systemFlags: 16
dn: CN=ms-DS-Phonetic-Last-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PhoneticLastName
adminDisplayName: ms-DS-Phonetic-Last-Name
adminDescription: Contains the phonetic last name of the person.
attributeId: 1.2.840.113556.1.4.1943
omSyntax: 64
systemOnly: FALSE
searchFlags: 5
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: 7OQX8jYIkEuIry9dS72ivA==
mapiID: 35983
systemFlags: 16
dn: CN=ms-PKI-RoamingTimeStamp,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKIRoamingTimeStamp
adminDisplayName: MS-PKI-RoamingTimeStamp
adminDescription: Time stamp for last change to roaming tokens
attributeId: 1.2.840.113556.1.4.1892
omSyntax: 4
systemOnly: FALSE
searchFlags: 128
schemaIdGuid:: rOQXZvGiq0O2DBH70frPBQ==
systemFlags: 16
dn: CN=ms-DFSR-DeletedSizeInMb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DeletedSizeInMb
adminDisplayName: DFSR-DeletedSizeInMb
adminDescription: Size of the Deleted directory in MB
attributeId: 1.2.840.113556.1.6.13.3.27
omSyntax: 65
searchFlags: 0
rangeUpper: -1
schemaIdGuid:: 0ZrtU3WZ9EGD9QwGGhJVOg==
dn: CN=ms-DS-Phonetic-First-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PhoneticFirstName
adminDisplayName: ms-DS-Phonetic-First-Name
adminDescription: Contains the phonetic given name or first name of the

person.
attributeId: 1.2.840.113556.1.4.1942
omSyntax: 64
systemOnly: FALSE
searchFlags: 5
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: TrocSy8wNEGsfPAfbHl4Qw==
mapiID: 35982
systemFlags: 16
dn: CN=ms-FVE-RecoveryPassword,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFVE-RecoveryPassword
adminDisplayName: FVE-RecoveryPassword
adminDescription: This attribute contains the password required to recover a

Full Volume Encryption (FVE) volume.
attributeId: 1.2.840.113556.1.4.1964
omSyntax: 64
searchFlags: 8
schemaIdGuid:: wRoGQ63IzEy3hSv6wg/GCg==
systemFlags: 16
dn: CN=ms-DS-Phonetic-Department,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PhoneticDepartment
adminDisplayName: ms-DS-Phonetic-Department
adminDescription: Contains the phonetic department name where the person

works.
attributeId: 1.2.840.113556.1.4.1944
omSyntax: 64
systemOnly: FALSE
searchFlags: 5
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: rz3VbD4A50mnAm+oluem7w==
mapiID: 35984
systemFlags: 16
dn: CN=ms-PKI-AccountCredentials,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKIAccountCredentials
adminDisplayName: MS-PKI-AccountCredentials
adminDescription: Storage of encrypted user credential token blobs for

roaming
attributeId: 1.2.840.113556.1.4.1894
omSyntax: 127
systemOnly: FALSE
searchFlags: 128
schemaIdGuid:: RKffuNwx8U6sfIS69++dpw==
linkID: 2048
systemFlags: 16
dn: CN=ms-RADIUS-FramedIpv6Route,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-FramedIpv6Route
adminDisplayName: ms-RADIUS-FramedIpv6Route
adminDescription: This Attribute provides routing information to be

configured for the user on the NAS.
attributeId: 1.2.840.113556.1.4.1917
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4096
schemaIdGuid:: BKhaWoMwY0iU5QGKeaIuwA==
dn: CN=ms-DS-Phonetic-Display-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PhoneticDisplayName
adminDisplayName: ms-DS-Phonetic-Display-Name
adminDescription: The phonetic display name of an object. In the absence of

a phonetic display name the existing display name is used.
attributeId: 1.2.840.113556.1.4.1946
omSyntax: 64
systemOnly: FALSE
searchFlags: 5
rangeLower: 0
rangeUpper: 256
schemaIdGuid:: 5JQa4mYt5UyzDQ74endv8A==
mapiID: 35986
systemFlags: 16
dn: CN=ms-DS-Phonetic-Company-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PhoneticCompanyName
adminDisplayName: ms-DS-Phonetic-Company-Name
adminDescription: Contains the phonetic company name where the person works.
attributeId: 1.2.840.113556.1.4.1945
omSyntax: 64
systemOnly: FALSE
searchFlags: 5
rangeLower: 1
rangeUpper: 64
schemaIdGuid:: jSDVW/TlrkalFFQ7ycR2WQ==
mapiID: 35985
systemFlags: 16
dn: CN=ms-net-ieee-8023-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDisplayName: ms-net-ieee-8023-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
comprise a group policy configuration for 802.3 wired networks.
attributeId: 1.2.840.113556.1.4.1955
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1048576
schemaIdGuid:: i5SYg1d0kU29TY1+1mnJ9w==
systemFlags: 16
dn: CN=ms-net-ieee-8023-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GP-PolicyGUID
adminDisplayName: ms-net-ieee-8023-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific

802.3 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1954
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: WrCnlLK4WU+cJTnmm6oWhA==
systemFlags: 16
dn: CN=ms-DFSR-MaxAgeInCacheInMin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-MaxAgeInCacheInMin
adminDisplayName: DFSR-MaxAgeInCacheInMin
adminDescription: Maximum time in minutes to keep files in full form
attributeId: 1.2.840.113556.1.6.13.3.31
omSyntax: 2
searchFlags: 0
schemaIdGuid:: jeSwKk6s/EqD5aNCQNthmA==
dn: CN=ms-net-ieee-80211-GP-PolicyData,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDisplayName: ms-net-ieee-80211-GP-PolicyData
adminDescription: This attribute contains all of the settings and data which
comprise a group policy configuration for 802.11 wireless networks.
attributeId: 1.2.840.113556.1.4.1952
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: pZUUnHZNjkaZHhQzsKZ4VQ==
systemFlags: 16
dn: CN=ms-RADIUS-FramedIpv6Prefix,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-FramedIpv6Prefix
adminDisplayName: ms-RADIUS-FramedIpv6Prefix
adminDescription: This Attribute indicates an IPv6 prefix (and corresponding

route) to be configured for the user.
attributeId: 1.2.840.113556.1.4.1915
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 16
schemaIdGuid:: ENY+9nzWTUmHvs0eJDWaOA==
systemFlags: 16
dn: CN=ms-net-ieee-80211-GP-PolicyGUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDisplayName: ms-net-ieee-80211-GP-PolicyGUID
adminDescription: This attribute contains a GUID which identifies a specific

802.11 group policy object on the domain.
attributeId: 1.2.840.113556.1.4.1951
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeUpper: 64
schemaIdGuid:: YnBpNa8ei0SsHjiOC+T97g==
systemFlags: 16
dn: CN=ms-RADIUS-FramedInterfaceId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-FramedInterfaceId
adminDisplayName: ms-RADIUS-FramedInterfaceId
adminDescription: This Attribute indicates the IPv6 interface identifier to

be configured for the user.
attributeId: 1.2.840.113556.1.4.1913
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 8
schemaIdGuid:: I0ryplzWZU2mTzX7aHPCuQ==
systemFlags: 16
dn: CN=ms-DS-NC-RO-Replica-Locations,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NC-RO-Replica-Locations
adminDisplayName: ms-DS-NC-RO-Replica-Locations
adminDescription: a linked attribute on a cross ref object for a partition.

This attribute lists the DSA instances which should host the partition in a
readonly manner.
attributeId: 1.2.840.113556.1.4.1967
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 35P3PViYF0SnAXNaHs6/dA==
linkID: 2114
systemFlags: 16
dn: CN=ms-DS-NC-RO-Replica-Locations-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NC-RO-Replica-Locations-BL
adminDisplayName: ms-DS-NC-RO-Replica-Locations-BL
adminDescription: backlink attribute for ms-DS-NC-RO-Replica-Locations.
attributeId: 1.2.840.113556.1.4.1968
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: HFFH9SpbzESDWJkqiCWBZA==
linkID: 2115
systemFlags: 17
dn: CN=ms-DFSR-MinDurationCacheInMin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-MinDurationCacheInMin
adminDisplayName: DFSR-MinDurationCacheInMin
adminDescription: Minimum time in minutes before truncating files
attributeId: 1.2.840.113556.1.6.13.3.30
omSyntax: 2
searchFlags: 0
schemaIdGuid:: emBdTEnOSkSYYoKpX10fzA==
dn: CN=ms-net-ieee-8023-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDisplayName: ms-net-ieee-8023-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1956
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1048576
schemaIdGuid:: xyfF0wYm602M/RhCb+7Izg==
systemFlags: 16
dn: CN=ms-RADIUS-SavedFramedIpv6Route,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-SavedFramedIpv6Route
adminDisplayName: ms-RADIUS-SavedFramedIpv6Route
adminDescription: This Attribute provides routing information to be

configured for the user on the NAS.
attributeId: 1.2.840.113556.1.4.1918
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4096
schemaIdGuid:: XLtmlp3fQU20Ny7sfifJsw==
dn: CN=ms-net-ieee-80211-GP-PolicyReserved,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDisplayName: ms-net-ieee-80211-GP-PolicyReserved
adminDescription: Reserved for future use
attributeId: 1.2.840.113556.1.4.1953
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 4194304
schemaIdGuid:: LsZpD44I9U+lOukjzsB8Cg==
systemFlags: 16
dn: CN=ms-RADIUS-SavedFramedIpv6Prefix,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-SavedFramedIpv6Prefix
adminDisplayName: ms-RADIUS-SavedFramedIpv6Prefix
adminDescription: This Attribute indicates an IPv6 prefix (and corresponding

route) to be configured for the user.
attributeId: 1.2.840.113556.1.4.1916
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 16
schemaIdGuid:: YqBlCeGxO0C0jVwOsOlSzA==
systemFlags: 16
dn: CN=ms-RADIUS-SavedFramedInterfaceId,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msRADIUS-SavedFramedInterfaceId
adminDisplayName: ms-RADIUS-SavedFramedInterfaceId
adminDescription: This Attribute indicates the IPv6 interface identifier to

be configured for the user.
attributeId: 1.2.840.113556.1.4.1914
omSyntax: 22
systemOnly: FALSE
searchFlags: 0
rangeUpper: 8
schemaIdGuid:: iXLapKOS5UK2ttrRbSgKyQ==
systemFlags: 16
dn: CN=SAM-Domain-Updates,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: samDomainUpdates
adminDisplayName: SAM-Domain-Updates
adminDescription: Contains a bitmask of performed SAM operations on active

directory
attributeId: 1.2.840.113556.1.4.1969
omSyntax: 4
systemOnly: FALSE
searchFlags: 0
rangeUpper: 1024
schemaIdGuid:: FNHSBJn3m0683JDo9bp+vg==
systemFlags: 16
dn: CN=ms-DFSR-RootSizeInMb,CN=Schema,CN=Configuration,DC=X
delete: rangeUpper
dn:
schemaUpdateNow: 1
dn: CN=ms-net-ieee-8023-GroupPolicy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-8023-GroupPolicy
adminDisplayName: ms-net-ieee-8023-GroupPolicy
adminDescription: This class represents an 802.3 wired network group policy

object. This class contains identifiers and configuration data relevant to
an 802.3 wired network.
governsId: 1.2.840.113556.1.5.252
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: ajqgmRmrRkSTUAy4eO0tmw==
systemOnly: FALSE
defaultObjectCategory: CN=ms-net-ieee-8023-
GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-net-ieee-80211-GroupPolicy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: ms-net-ieee-80211-GroupPolicy
adminDisplayName: ms-net-ieee-80211-GroupPolicy
adminDescription: This class represents an 802.11 wireless network group

policy object. This class contains identifiers and configuration data
relevant to an 802.11 wireless network.
governsId: 1.2.840.113556.1.5.251
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: Yxi4HCK4eUOeol/3vcY4bQ==
systemOnly: FALSE
defaultObjectCategory: CN=ms-net-ieee-80211-
GroupPolicy,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-FVE-RecoveryInformation,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFVE-RecoveryInformation
adminDisplayName: FVE-RecoveryInformation
adminDescription: This class contains a Full Volume Encryption recovery

password with its associated GUID.
governsId: 1.2.840.113556.1.5.253
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: MF1x6lOP0EC9HmEJGG14LA==
systemOnly: FALSE
defaultObjectCategory: CN=ms-FVE-
RecoveryInformation,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=NTDS-DSA-RO,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: nTDSDSARO
adminDisplayName: NTDS-DSA-RO
adminDescription: A subclass of Directory Service Agent which is

distinguished by its reduced privilege level.
governsId: 1.2.840.113556.1.5.254
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.5.7000.47
schemaIdGuid:: wW7RhZEHyEuKs3CYBgL/jA==
systemOnly: FALSE
defaultObjectCategory: CN=NTDS-DSA-RO,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.26
mayContain: 1.2.840.113556.1.6.13.3.27
mayContain: 1.2.840.113556.1.6.13.3.28
mayContain: 1.2.840.113556.1.6.13.3.29
mayContain: 1.2.840.113556.1.6.13.3.30
mayContain: 1.2.840.113556.1.6.13.3.31
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.4
mayContain: 1.2.840.113556.1.6.13.3.6
mayContain: 1.2.840.113556.1.6.13.3.8
mayContain: 1.2.840.113556.1.6.13.3.12
mayContain: 1.2.840.113556.1.6.13.3.13
mayContain: 1.2.840.113556.1.6.13.3.27
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.4
mayContain: 1.2.840.113556.1.6.13.3.6
mayContain: 1.2.840.113556.1.6.13.3.8
mayContain: 1.2.840.113556.1.6.13.3.25
mayContain: 1.2.840.113556.1.6.13.3.27
add: mayContain
mayContain: 1.2.840.113556.1.4.1942
mayContain: 1.2.840.113556.1.4.1943
mayContain: 1.2.840.113556.1.4.1944
mayContain: 1.2.840.113556.1.4.1945
mayContain: 1.2.840.113556.1.4.1946
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.25
add: mayContain
mayContain: 1.2.840.113556.1.4.1946
dn: CN=ms-DS-Az-Application,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DS-Az-Scope,CN=Schema,CN=Configuration,DC=X
dn: CN=Sam-Server,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
dn: cn=Private-Information,CN=Extended-Rights,CN=Configuration,DC=X
cn: Private-Information
displayName: Private Information
rightsGUID: 91e647de-d96f-4b70-9557-d63ff4f3ccd8
validAccesses: 48
objectVersion: 34
Sch35.ldf
dn: CN=ms-DS-Last-Successful-Interactive-Logon-
Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LastSuccessfulInteractiveLogonTime
adminDisplayName: msDS-LastSuccessfulInteractiveLogonTime
adminDescription: The time that the correct password was presented during a
C-A-D logon.
attributeId: 1.2.840.113556.1.4.1970
omSyntax: 65
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 5ikZAV2LWEK2SgCwtJSXRw==
systemFlags: 16
dn: CN=ms-DS-Failed-Interactive-Logon-Count-At-Last-Successful-
Logon,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon
adminDisplayName: ms-DS-Failed-Interactive-Logon-Count-At-Last-Successful-
Logon
adminDescription: The total number of failed interactive logons up until the

last successful C-A-D logon.
attributeId: 1.2.840.113556.1.4.1973
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 5TTSxUpkA0SmZeJuCu9emA==
systemFlags: 16
dn: CN=ms-DS-Failed-Interactive-Logon-Count,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-FailedInteractiveLogonCount
adminDisplayName: msDS-FailedInteractiveLogonCount
adminDescription: The total number of failed interactive logons since this

feature was turned on.
attributeId: 1.2.840.113556.1.4.1972
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: b6g83K1wYEmEJaTWMT2T3Q==
systemFlags: 16
dn: CN=ms-DS-Last-Failed-Interactive-Logon-
Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LastFailedInteractiveLogonTime
adminDisplayName: msDS-LastFailedInteractiveLogonTime
adminDescription: The time that an incorrect password was presented during a

C-A-D logon.
attributeId: 1.2.840.113556.1.4.1971
omSyntax: 65
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: +trnx8MQi0uazVTxEGN0Lg==
systemFlags: 16
dn:
schemaUpdateNow: 1
objectVersion: 35
Sch36.ldf
dn: CN=ms-DS-Revealed-List-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-RevealedListBL
adminDisplayName: ms-DS-Revealed-List-BL
adminDescription: backlink attribute for ms-DS-Revealed-List.
attributeId: 1.2.840.113556.1.4.1975
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: /Ygcqvawn0Kyyp2QImboCA==
systemFlags: 20
dn: CN=From-Server,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
searchFlags: 16
dn: CN=msNPCallingStationID,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=msNPSavedCallingStationID,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
searchFlags: 16
searchFlags: 16
searchFlags: 16
searchFlags: 16
dn: CN=msRASSavedCallbackNumber,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=msRASSavedFramedIPAddress,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=msRASSavedFramedRoute,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-FramedInterfaceId,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-SavedFramedInterfaceId,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-FramedIpv6Prefix,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-SavedFramedIpv6Prefix,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-FramedIpv6Route,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
dn: CN=ms-RADIUS-SavedFramedIpv6Route,CN=Schema,CN=Configuration,DC=X
searchFlags: 16
searchFlags: 136
searchFlags: 137
searchFlags: 136
dn:
schemaUpdateNow: 1
dn: cn=Read-Only-Replication-Secret-Synchronization,CN=Extended-
replace: localizationDisplayId
dn: cn=Read-Only-Replication-Secret-Synchronization,CN=Extended-
displayName: Read Only Replication Secret Synchronization
rightsGUID: 1131f6ae-9c07-11d1-f79f-00c04fc2dcd2
validAccesses: 256
objectVersion: 36
Sch37.ldf
dn: CN=ms-DS-User-Password-Expiry-Time-
Computed,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-UserPasswordExpiryTimeComputed
adminDisplayName: ms-DS-User-Password-Expiry-Time-Computed
adminDescription: Contains the expiry time for the user's current password
attributeId: 1.2.840.113556.1.4.1996
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: EM/VrQl7SUSa5iU0FI+Kcg==
systemFlags: 20
dn: CN=ms-DS-Principal-Name,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PrincipalName
adminDisplayName: ms-DS-Principal-Name
adminDescription: Account name for the security principal (constructed)
attributeId: 1.2.840.113556.1.4.1865
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JZNOVlfQQ8GeO0+eXvRvkw==
systemFlags: 20
dn: CN=ms-DFSR-
OnDemandExclusionDirectoryFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-OnDemandExclusionDirectoryFilter
adminDisplayName: DFSR-OnDemandExclusionDirectoryFilter
adminDescription: Filter string applied to on demand replication directories
attributeId: 1.2.840.113556.1.6.13.3.36
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: /zpSfRKQskmZJfkioAGGVg==
dn: CN=ms-DFSR-
DefaultCompressionExclusionFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DefaultCompressionExclusionFilter
adminDisplayName: DFSR-DefaultCompressionExclusionFilter
adminDescription: Filter string containing extensions of file types not to

be compressed
attributeId: 1.2.840.113556.1.6.13.3.34
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 1RuBh4vNy0WfXZgPOp4Mlw==
dn: CN=ms-TS-Home-Drive,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSHomeDrive
adminDisplayName: ms-TS-Home-Drive
adminDescription: Terminal Services Home Drive specifies a Home drive for

the user. In a network environment, this property is a string containing a
drive specification (a drive letter followed by a colon) to which the UNC
path specified in the TerminalServicesHomeDirectory property is mapped. To
set a home directory in a network environment, you must first set this
property and then set the TerminalServicesHomeDirectory property.
attributeId: 1.2.840.113556.1.4.1978
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 2SQKX/rf2Uysv6BoDANzHg==
systemFlags: 16
dn: CN=MS-TS-Property01,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSProperty01
adminDisplayName: MS-TS-Property01
adminDescription: Placeholder Terminal Server Property 01
attributeId: 1.2.840.113556.1.4.1991
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: d6mu+lWW10mFPfJ7t6rKDw==
systemFlags: 16
dn: CN=MS-TS-Property02,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSProperty02
adminDisplayName: MS-TS-Property02
adminDescription: Placeholder Terminal Server Property 02
attributeId: 1.2.840.113556.1.4.1992
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: rPaGNbdReEmrQvk2RjGY5w==
systemFlags: 16
dn: CN=ms-TS-Allow-Logon,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSAllowLogon
adminDisplayName: ms-TS-Allow-Logon
adminDescription: Terminal Services Allow Logon specifies whether the user

is allowed to log on to the Terminal Server. The value is 1 if logon is
allowed, and 0 if logon is not allowed.
attributeId: 1.2.840.113556.1.4.1979
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ZNQMOlS850CTrqZGpuzEtA==
systemFlags: 16
dn: CN=MS-TS-ExpireDate,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSExpireDate
adminDisplayName: MS-TS-ExpireDate
adminDescription: TS Expiration Date
attributeId: 1.2.840.113556.1.4.1993
omSyntax: 24
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: 9U4AcMMlakSXyJlq6FZndg==
systemFlags: 16
dn: CN=MS-TS-ManagingLS,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSManagingLS
adminDisplayName: MS-TS-ManagingLS
adminDescription: TS Managing License Server
attributeId: 1.2.840.113556.1.4.1995
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: R8W887CFLEOawDBFBr8sgw==
systemFlags: 16
dn: CN=ms-DFSR-Options2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-Options2
adminDisplayName: DFSR-Options2
adminDescription: Object Options2

attributeId: 1.2.840.113556.1.6.13.3.37
omSyntax: 2
searchFlags: 0
schemaIdGuid:: GEPiEaZMSU+a/uXrGvo0cw==
dn: CN=ms-TS-Profile-Path,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSProfilePath
adminDisplayName: ms-TS-Profile-Path
adminDescription: Terminal Services Profile Path specifies a roaming or

mandatory profile path to use when the user logs on to the Terminal Server.
The profile path is in the following network path format:
\\servername\profiles folder name\username
attributeId: 1.2.840.113556.1.4.1976
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 2zBc5mwxYECjoDh7CD8JzQ==
systemFlags: 16
dn: CN=ms-TS-Max-Idle-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSMaxIdleTime
adminDisplayName: ms-TS-Max-Idle-Time
adminDescription: Terminal Services Session Maximum Idle Time is maximum

amount of time, in minutes, that the Terminal Services session can remain
idle. After the specified number of minutes have elapsed, the session can be
disconnected or terminated.
attributeId: 1.2.840.113556.1.4.1983
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: nJ5z/7drDkayIeJQ894PlQ==
systemFlags: 16
dn: CN=ms-TS-Home-Directory,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSHomeDirectory
adminDisplayName: ms-TS-Home-Directory
adminDescription: Terminal Services Home Directory specifies the Home

directory for the user. Each user on a Terminal Server has a unique home
directory. This ensures that application information is stored separately
for each user in a multi-user environment. To set a home directory on the
local computer, specify a local path; for example, C:\Path. To set a home
directory in a network environment, you must first set the
TerminalServicesHomeDrive property, and then set this property to a UNC
path.
attributeId: 1.2.840.113556.1.4.1977
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 8BA1XefEIkG5H6IK3ZDiRg==
systemFlags: 16
dn: CN=ms-TS-Remote-Control,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSRemoteControl
adminDisplayName: ms-TS-Remote-Control
adminDescription: Terminal Services Remote Control specifies the whether to

allow remote observation or remote control of the user's Terminal Services
session. For a description of these values, see the RemoteControl method of
the Win32_TSRemoteControlSetting WMI class. 0 - Disable, 1 -
EnableInputNotify, 2 - EnableInputNoNotify, 3 - EnableNoInputNotify and 4 -
EnableNoInputNoNotify
attributeId: 1.2.840.113556.1.4.1980
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: JnIXFUKGi0aMSAPd/QBJgg==
systemFlags: 16
dn: CN=ms-TS-Work-Directory,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSWorkDirectory
adminDisplayName: ms-TS-Work-Directory
adminDescription: Terminal Services Session Work Directory specifies the

working directory path for the user. To set an initial application to start
when the user logs on to the Terminal Server, you must first set the
TerminalServicesInitialProgram property, and then set this property.
attributeId: 1.2.840.113556.1.4.1989
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: ZvZEpzw9yEyDS51Pb2h7iw==
systemFlags: 16
dn: CN=ms-TS-Initial-Program,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSInitialProgram
adminDisplayName: ms-TS-Initial-Program
adminDescription: Terminal Services Session Initial Program specifies the

Path and file name of the application that the user wants to start
automatically when the user logs on to the Terminal Server. To set an
initial application to start when the user logs on, you must first set this
property and then set the TerminalServicesWorkDirectory property. If you set
only the TerminalServicesInitialProgram property, the application starts in
the user's session in the default user directory.
attributeId: 1.2.840.113556.1.4.1990
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: b6wBkmkd+02ALtlVEBCVmQ==
systemFlags: 16
dn: CN=MS-TS-LicenseVersion,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSLicenseVersion
adminDisplayName: MS-TS-LicenseVersion
adminDescription: TS License Version
attributeId: 1.2.840.113556.1.4.1994
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: iUrpCi838k2uisZKK8RyeA==
systemFlags: 16
dn: CN=ms-TS-Max-Connection-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSMaxConnectionTime
adminDisplayName: ms-TS-Max-Connection-Time
adminDescription: Terminal Services Session maximum Connection Time is

Maximum duration, in minutes, of the Terminal Services session. After the
specified number of minutes have elapsed, the session can be disconnected or
terminated.
attributeId: 1.2.840.113556.1.4.1982
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: 4g6WHWRklU6ngeO1zV+ViA==
systemFlags: 16
dn: CN=ms-TS-Reconnection-Action,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSReconnectionAction
adminDisplayName: ms-TS-Reconnection-Action
adminDescription: Terminal Services Session Reconnection Action specifies

whether to allow reconnection to a disconnected Terminal Services session
from any client computer. The value is 1 if reconnection is allowed from the
original client computer only, and 0 if reconnection from any client
computer is allowed.
attributeId: 1.2.840.113556.1.4.1984
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: ytduNhg+f0yrrjUaAeS09w==
systemFlags: 16
dn: CN=ms-TS-Connect-Client-Drives,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSConnectClientDrives
adminDisplayName: ms-TS-Connect-Client-Drives
adminDescription: Terminal Services Session Connect Client Drives At Logon

specifies whether to reconnect to mapped client drives at logon. The value
is 1 if reconnection is enabled, and 0 if reconnection is disabled.
attributeId: 1.2.840.113556.1.4.1986
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: rypXI90p6kSw+n6EOLmkow==
systemFlags: 16
dn: CN=ms-DFSR-CommonStagingPath,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-CommonStagingPath
adminDisplayName: DFSR-CommonStagingPath
adminDescription: Full path of the common staging directory
attributeId: 1.2.840.113556.1.6.13.3.38
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: Qaxuk1fSuUu9VfMQo88JrQ==
dn: CN=ms-TS-Max-Disconnection-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSMaxDisconnectionTime
adminDisplayName: ms-TS-Max-Disconnection-Time
adminDescription: Terminal Services Session Maximum Disconnection Time is

maximum amount of time, in minutes, that a disconnected Terminal Services
session remains active on the Terminal Server. After the specified number of
minutes have elapsed, the session is terminated.
attributeId: 1.2.840.113556.1.4.1981
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: iXBvMthThEe4FEbYU1EQ0g==
systemFlags: 16
dn: CN=ms-TS-Default-To-Main-Printer,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSDefaultToMainPrinter
adminDisplayName: ms-TS-Default-To-Main-Printer
adminDescription: Terminal Services Default To Main Printer specifies

whether to print automatically to the client's default printer. The value is
1 if printing to the client's default printer is enabled, and 0 if it is
disabled.
attributeId: 1.2.840.113556.1.4.1988
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: veL/wM/Kx02I1WHp6Vdm9g==
systemFlags: 16
dn: CN=ms-TS-Connect-Printer-Drives,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSConnectPrinterDrives
adminDisplayName: ms-TS-Connect-Printer-Drives
adminDescription: Terminal Services Session Connect Printer Drives At Logon

specifies whether to reconnect to mapped client printers at logon. The value
is 1 if reconnection is enabled, and 0 if reconnection is disabled.
attributeId: 1.2.840.113556.1.4.1987
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: N6nmjBuHkkyyhdmdQDZoHA==
systemFlags: 16
dn: CN=ms-TS-Broken-Connection-Action,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSBrokenConnectionAction
adminDisplayName: ms-TS-Broken-Connection-Action
adminDescription: Terminal Services Session Broken Connection Action

specifies the action to take when a Terminal Services session limit is
reached. The value is 1 if the client session should be terminated, and 0 if
the client session should be disconnected.
attributeId: 1.2.840.113556.1.4.1985
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: uhv0HARWPkaU1hoSh7csow==
systemFlags: 16
dn: CN=ms-DFSR-DisablePacketPrivacy,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-DisablePacketPrivacy
adminDisplayName: DFSR-DisablePacketPrivacy
adminDescription: Disable packet privacy on a connection
attributeId: 1.2.840.113556.1.6.13.3.32
omSyntax: 1
searchFlags: 0
schemaIdGuid:: 5e2Eah50/UOd1qoPYVeGIQ==
dn: CN=ms-DFSR-CommonStagingSizeInMb,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-CommonStagingSizeInMb
adminDisplayName: DFSR-CommonStagingSizeInMb
adminDescription: Size of the common staging directory in MB
attributeId: 1.2.840.113556.1.6.13.3.39
omSyntax: 65
searchFlags: 0
rangeLower: 0
rangeUpper: -1
schemaIdGuid:: DrBeE0ZIi0WOoqN1Wa/UBQ==
dn: CN=ms-DFSR-OnDemandExclusionFileFilter,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-OnDemandExclusionFileFilter
adminDisplayName: DFSR-OnDemandExclusionFileFilter
adminDescription: Filter string applied to on demand replication files
attributeId: 1.2.840.113556.1.6.13.3.35
omSyntax: 64
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: 3FmDpoGl5k6QFVOCxg8PtA==
dn: CN=ms-DFSR-
StagingCleanupTriggerInPercent,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDFSR-StagingCleanupTriggerInPercent
adminDisplayName: DFSR-StagingCleanupTriggerInPercent
adminDescription: Staging cleanup trigger in percent of free disk space
attributeId: 1.2.840.113556.1.6.13.3.40
omSyntax: 2
searchFlags: 0
schemaIdGuid:: I5xL1vrhe0azF2lk10TWMw==
searchFlags: 1
attributeSecurityGuid:: YrwFWMm9KESl4oVqD0wYXg==
dn: CN=MS-TS-LicenseVersion,CN=Schema,CN=Configuration,DC=X
dn: CN=MS-TS-ManagingLS,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
dn: CN=ms-DFSR-LocalSettings,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
mayContain: 1.2.840.113556.1.6.13.3.38
mayContain: 1.2.840.113556.1.6.13.3.39
mayContain: 1.2.840.113556.1.6.13.3.40
dn: CN=ms-DFSR-Subscriber,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.35
mayContain: 1.2.840.113556.1.6.13.3.36
mayContain: 1.2.840.113556.1.6.13.3.37
mayContain: 1.2.840.113556.1.6.13.3.40
dn: CN=ms-DFSR-GlobalSettings,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.34
mayContain: 1.2.840.113556.1.6.13.3.35
mayContain: 1.2.840.113556.1.6.13.3.36
mayContain: 1.2.840.113556.1.6.13.3.37
dn: CN=ms-DFSR-Content,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.34
mayContain: 1.2.840.113556.1.6.13.3.35
mayContain: 1.2.840.113556.1.6.13.3.36
mayContain: 1.2.840.113556.1.6.13.3.37
dn: CN=ms-DFSR-Topology,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
dn: CN=ms-DFSR-Member,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.37
add: mayContain
mayContain: 1.2.840.113556.1.6.13.3.32
mayContain: 1.2.840.113556.1.6.13.3.37
dn: CN=ms-DS-AuthenticatedTo-Accountlist,CN=Schema,CN=Configuration,DC=X
add: adminDescription
adminDescription: Backlink for ms-DS-AuthenticatedAt-DC; for a Computer,

identifies which users have authenticated to this Computer
dn:
schemaUpdateNow: 1
displayName: MS-TS-GatewayAccess
rightsGuid: ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501
validAccesses: 48
dn: CN=Terminal-Server-License-Server,CN=Extended-
displayName: Terminal Server License Server
rightsGuid: ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501
appliesTo: 5805bc62-bdc9-4428-a5e2-856a0f4c185e
validAccesses: 48
objectVersion: 37
Sch38.ldf
dn: CN=ms-DS-AuthenticatedAt-DC,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: FALSE
dn:
schemaUpdateNow: 1
objectVersion: 38
Sch39.ldf
dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFVE-KeyPackage
adminDisplayName: FVE-KeyPackage
adminDescription: This attribute contains a volume's BitLocker encryption

key secured by the corresponding recovery password. Full Volume Encryption
(FVE) was the pre-release name for BitLocker Drive Encryption.
attributeId: 1.2.840.113556.1.4.1999
omSyntax: 4
searchFlags: 152
rangeUpper: 102400
schemaIdGuid:: qF7VH6eI3EeBKQ2qlxhqVA==
systemFlags: 16
dn: CN=ms-FVE-VolumeGuid,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msFVE-VolumeGuid
adminDisplayName: FVE-VolumeGuid
adminDescription: This attribute contains the GUID associated with a

BitLocker-supported disk volume. Full Volume Encryption (FVE) was the pre-
release name for BitLocker Drive Encryption.
attributeId: 1.2.840.113556.1.4.1998
omSyntax: 4
searchFlags: 27
rangeUpper: 128
schemaIdGuid:: z6Xlhe7cdUCc/aydtqLyRQ==
systemFlags: 16
dn: CN=ms-DS-HAB-Seniority-Index,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-HABSeniorityIndex
adminDisplayName: ms-DS-HAB-Seniority-Index
adminDescription: Contains the seniority index as applied by the

organization where the person works.
attributeId: 1.2.840.113556.1.4.1997
omSyntax: 2
systemOnly: FALSE
mapiID: 36000
searchFlags: 1
schemaIdGuid:: 8Un03jv9RUCYz9lljaeItQ==
systemFlags: 16
adminDescription: This attribute contains a password that can recover a

BitLocker-encrypted volume. Full Volume Encryption (FVE) was the pre-release
name for BitLocker Drive Encryption.
add: rangeUpper
rangeUpper: 256
searchFlags: 152
adminDescription: This attribute contains the GUID associated with a

BitLocker recovery password. Full Volume Encryption (FVE) was the pre-
release name for BitLocker Drive Encryption.
add: rangeUpper
rangeUpper: 128
searchFlags: 27
add: rangeUpper
rangeUpper: 128
searchFlags: 152
dn:
schemaUpdateNow: 1
adminDescription: This class contains BitLocker recovery information

including GUIDs, recovery passwords, and keys. Full Volume Encryption (FVE)
was the pre-release name for BitLocker Drive Encryption.
dn: CN=msSFU-30-Posix-Member,CN=Schema,CN=Configuration,DC=X
adminDescription: This attribute is used to store the DN display name of

users which are a part of the group
dn: CN=NTDS-DSA-RO,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
add: mayContain
mayContain: 1.2.840.113556.1.4.1997
dn:
schemaUpdateNow: 1
objectVersion: 39
Sch40.ldf
dn: CN=ms-DS-Password-Reversible-Encryption-
Enabled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordReversibleEncryptionEnabled
adminDisplayName: Password Reversible Encryption Status
adminDescription: Password reversible encryption status for user accounts
attributeId: 1.2.840.113556.1.4.2016
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: j93MdWyvh0S7S2nk04qVnA==
systemFlags: 16
dn: CN=ms-DS-NC-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-NcType
adminDisplayName: ms-DS-NC-Type
adminDescription: A bit field that maintains information about aspects of a

NC replica that are relevant to replication.
attributeId: 1.2.840.113556.1.4.2024
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: 16wuWivMz0idmrbxoAJN6Q==
systemFlags: 17
dn: CN=ms-DS-PSO-Applies-To,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PSOAppliesTo
adminDisplayName: Password settings object applies to
adminDescription: Links to objects that this password settings object

applies to
attributeId: 1.2.840.113556.1.4.2020
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SA/IZNLNgUiobU6XtvVh/A==
linkID: 2118
systemFlags: 16
dn: CN=ms-DS-PSO-Applied,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PSOApplied
adminDisplayName: Password settings object applied
adminDescription: Password settings object applied to this object
attributeId: 1.2.840.113556.1.4.2021
omSyntax: 127
systemOnly: TRUE
searchFlags: 16
schemaIdGuid:: MfBsXqi9yEOspI/uQScAWw==
linkID: 2119
systemFlags: 17
dn: CN=ms-DS-Resultant-PSO,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ResultantPSO
adminDisplayName: Resultant password settings object applied
adminDescription: Resultant password settings object applied to this object
attributeId: 1.2.840.113556.1.4.2022
omSyntax: 127
systemOnly: TRUE
searchFlags: 16
schemaIdGuid:: k6B+t9CIgEeamJEfjosdyg==
systemFlags: 20
dn: CN=ms-DS-Lockout-Duration,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LockoutDuration
adminDisplayName: Lockout Duration
adminDescription: Lockout duration for locked out user accounts
attributeId: 1.2.840.113556.1.4.2018
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
rangeUpper: 0
schemaIdGuid:: mogfQi5H5E+OueHQvGBxsg==
systemFlags: 16
dn: CN=ms-DS-Lockout-Threshold,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LockoutThreshold
adminDisplayName: Lockout Threshold
adminDescription: Lockout threshold for lockout of user accounts
attributeId: 1.2.840.113556.1.4.2019
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65535
schemaIdGuid:: XsPIuBlKlUqZ0Gn+REYobw==
systemFlags: 16
dn: CN=ms-DS-Minimum-Password-Age,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MinimumPasswordAge
adminDisplayName: Minimum Password Age
adminDescription: Minimum Password Age for user accounts
attributeId: 1.2.840.113556.1.4.2012
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
rangeUpper: 0
schemaIdGuid:: ePh0KpxN+UmXs2dn0cvZow==
systemFlags: 16
dn: CN=ms-DS-Maximum-Password-Age,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MaximumPasswordAge
adminDisplayName: Maximum Password Age
adminDescription: Maximum Password Age for user accounts
attributeId: 1.2.840.113556.1.4.2011
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
rangeUpper: 0
schemaIdGuid:: 9TfT/ZlJzk+yUo/5ybQ4dQ==
systemFlags: 16
dn: CN=ms-DS-Minimum-Password-Length,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-MinimumPasswordLength
adminDisplayName: Minimum Password Length
adminDescription: Minimum Password Length for user accounts
attributeId: 1.2.840.113556.1.4.2013
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: OTQbsjpMHES7XwjyDpsxXg==
systemFlags: 16
dn: CN=ms-DS-Password-History-Length,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordHistoryLength
adminDisplayName: Password History Length
adminDescription: Password History Length for user accounts
attributeId: 1.2.840.113556.1.4.2014
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 65535
schemaIdGuid:: txvY/ox2L0yWQSJF3jR5TQ==
systemFlags: 16
dn: CN=ms-DS-Lockout-Observation-Window,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LockoutObservationWindow
adminDisplayName: Lockout Observation Window
adminDescription: Observation Window for lockout of user accounts
attributeId: 1.2.840.113556.1.4.2017
omSyntax: 65
systemOnly: FALSE
searchFlags: 0
rangeUpper: 0
schemaIdGuid:: idpbsK92ika4khvlVVjsyA==
systemFlags: 16
dn: CN=ms-DS-Password-Complexity-Enabled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordComplexityEnabled
adminDisplayName: Password Complexity Status
adminDescription: Password complexity status for user accounts
attributeId: 1.2.840.113556.1.4.2015
omSyntax: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: SwVo28PJ8EuxWw+1JVKmEA==
systemFlags: 16
dn: CN=ms-DS-Password-Settings-Precedence,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordSettingsPrecedence
adminDisplayName: Password Settings Precedence
adminDescription: Password Settings Precedence
attributeId: 1.2.840.113556.1.4.2023
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
rangeLower: 1
schemaIdGuid:: rHRjRQofF0aTz7xVp8nTQQ==
systemFlags: 16
dn: CN=MS-TS-ManagingLS2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSManagingLS2
adminDisplayName: MS-TS-ManagingLS2
adminDescription: Issuer name of the second TS per user CAL.
attributeId: 1.2.840.113556.1.4.2002
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: VwefNL1RyE+dZj7O6oolvg==
systemFlags: 16
adminDescription: Issuer name of the third TS per user CAL.
attributeId: 1.2.840.113556.1.4.2005
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: wdzV+jAhh0yhGHUyLNZwUA==
systemFlags: 16
adminDescription: Issuer name of the fourth TS per user CAL.
attributeId: 1.2.840.113556.1.4.2008
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: oLaj9wchQEGzBnXLUhcx5Q==
systemFlags: 16
dn: CN=MS-TS-ExpireDate2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSExpireDate2
adminDisplayName: MS-TS-ExpireDate2
adminDescription: Expiration date of the second TS per user CAL.
attributeId: 1.2.840.113556.1.4.2000
omSyntax: 24
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: cc/fVD+8C0+dWkskdruJJQ==
systemFlags: 16
adminDescription: Expiration date of the third TS per user CAL.
attributeId: 1.2.840.113556.1.4.2003
omSyntax: 24
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: BH+8QXK+MEm9EB80OUEjhw==
systemFlags: 16
adminDescription: Expiration date of the fourth TS per user CAL.
attributeId: 1.2.840.113556.1.4.2006
omSyntax: 24
systemOnly: FALSE
searchFlags: 1
schemaIdGuid:: Q9wRXkogr0+gCGhjYhxvXw==
systemFlags: 16
dn: CN=MS-TSLS-Property01,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSLSProperty01
adminDisplayName: MS-TSLS-Property01
adminDescription: Placeholder Terminal Server License Server Property 01
attributeId: 1.2.840.113556.1.4.2009
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: kDXlhx2XUkqVW0eU0VqErg==
systemFlags: 16
dn: CN=MS-TSLS-Property02,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSLSProperty02
adminDisplayName: MS-TSLS-Property02
adminDescription: Placeholder Terminal Server License Server Property 02
attributeId: 1.2.840.113556.1.4.2010
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 32767
schemaIdGuid:: sHvHR24xL06X8Q1MSPyp3Q==
systemFlags: 16
dn: CN=MS-TS-LicenseVersion2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSLicenseVersion2
adminDisplayName: MS-TS-LicenseVersion2
adminDescription: Version of the second TS per user CAL.
attributeId: 1.2.840.113556.1.4.2001
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: A/ENS5eN2UWtaYXDCAuk5w==
systemFlags: 16
adminDescription: Version of the third TS per user CAL.
attributeId: 1.2.840.113556.1.4.2004
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: gY+6+KtMc0mjyDptpipeMQ==
systemFlags: 16
adminDescription: Version of the fourth TS per user CAL.
attributeId: 1.2.840.113556.1.4.2007
omSyntax: 64
systemOnly: FALSE
searchFlags: 1
rangeLower: 0
rangeUpper: 255
schemaIdGuid:: l13KcAQjCkmKJ1JnjI0glQ==
systemFlags: 16
dn: CN=ms-DS-Is-User-Cachable-At-Rodc,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-IsUserCachableAtRodc
adminDisplayName: ms-DS-Is-User-Cachable-At-Rodc
adminDescription: For a Read-Only Directory instance (DSA), Identifies

whether the specified user's secrets are cachable.
attributeId: 1.2.840.113556.1.4.2025
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: WiQB/h80VkWVH0jAM6iQUA==
systemFlags: 20
replace: rangeUpper
rangeUpper: 128
dn: CN=Last-Logon-Timestamp,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
searchFlags: 664
searchFlags: 664
dn: CN=ms-FVE-KeyPackage,CN=Schema,CN=Configuration,DC=X
searchFlags: 664
replace: mapiId
mapiId: 35998
dn: CN=ms-DS-Source-Object-DN,CN=Schema,CN=Configuration,DC=X
dn: CN=ipServiceProtocol,CN=Schema,CN=Configuration,DC=X
dn:
schemaUpdateNow: 1
dn: CN=ipService,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
dn: CN=ipService,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
dn: CN=ipProtocol,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
dn: CN=ipProtocol,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
dn: CN=ipHost,CN=Schema,CN=Configuration,DC=X
add: mayContain
mayContain: 0.9.2342.19200300.100.1.10
dn: CN=ipNetwork,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
add: possSuperiors
add: mayContain
mayContain: 0.9.2342.19200300.100.1.10
dn: CN=nisNetgroup,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
dn: CN=nisNetGroup,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
dn: CN=nisMap,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
dn: CN=nisObject,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
dn: CN=nisObject,CN=Schema,CN=Configuration,DC=X
add: possSuperiors
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
add: possSuperiors
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
add: possSuperiors
add: possSuperiors
possSuperiors: 1.2.840.113556.1.5.67
add: possSuperiors
dn: CN=ms-DS-Password-Settings-Container,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordSettingsContainer
adminDisplayName: ms-DS-Password-Settings-Container
adminDescription: Container for password settings objects
governsId: 1.2.840.113556.1.5.256
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: arAGW/NMwES9FkO8EKmH2g==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Password-Settings-
systemFlags: 16
dn: CN=ms-DS-Password-Settings,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-PasswordSettings
adminDisplayName: ms-DS-Password-Settings
adminDescription: Password settings object for accounts
governsId: 1.2.840.113556.1.5.255
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: uJ3NO0v4HEWVL2xSuB+exg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Password-
systemFlags: 16
add: mayContain
mayContain: 1.2.840.113556.1.4.1998
mayContain: 1.2.840.113556.1.4.1999
dn:
schemaUpdateNow: 1
dn: CN=Reload-SSL-Certificate,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Reload SSL/TLS Certificate
rightsGuid: 1a60ea8d-58a6-4b20-bcdc-fb71eb8a9ff8
validAccesses: 256
dn: CN=DS-Replication-Get-Changes-In-Filtered-Set,CN=Extended-
displayName: Replicating Directory Changes In Filtered Set
rightsGuid: 89e95b76-444d-4c62-991a-0facbeda640c
validAccesses: 256
replace: rightsGuid
rightsGuid: ffa6f046-ca4b-4feb-b40d-04dfee722543
replace: rightsGuid
rightsGuid: 5805bc62-bdc9-4428-a5e2-856a0f4c185e
delete: appliesTo
objectVersion: 40
Sch41.ldf
dn: CN=ms-DS-PSO-Applied,CN=Schema,CN=Configuration,DC=X
searchFlags: 0
dn: CN=ms-DS-Resultant-PSO,CN=Schema,CN=Configuration,DC=X
searchFlags: 0
dn:
schemaUpdateNow: 1
replace: rightsGuid
rightsGuid: ffa6f046-ca4b-4feb-b40d-04dfee722543
replace: rightsGuid
rightsGuid: 5805bc62-bdc9-4428-a5e2-856a0f4c185e
delete: appliesTo
objectVersion: 41
Sch42.ldf
dn: CN=account-expires,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address-book-roots,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address-entry-display-table,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address-entry-display-table-msdos,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address-syntax,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=address-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=admin-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=admin-display-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=allowed-attributes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=allowed-attributes-effective,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=allowed-child-classes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=allowed-child-classes-effective,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=alt-security-identities,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=anr,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=attribute-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=attribute-security-guid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=attribute-syntax,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=attribute-types,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=auditing-policy,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=authentication-options,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=auxiliary-class,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=bad-password-time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=bad-pwd-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=bridgehead-server-list-bl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=canonical-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=code-page,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=common-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=cost,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=country-code,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=country-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=create-time-stamp,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=creation-time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=current-value,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dbcs-pwd,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=default-hiding-value,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=default-object-category,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=default-security-descriptor,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=description,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=display-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=display-name-printable,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dit-content-rules,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dmd-location,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dn-reference-update,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dns-host-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dns-root,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=domain-component,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=domain-cross-ref,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=domain-replica,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ds-core-propagation-data,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ds-heuristics,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=dsa-signature,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=efspolicy,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=enabled,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=enabled-connection,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=extended-attribute-info,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=extended-chars-allowed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=extended-class-info,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=flat-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=force-logoff,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=from-entry,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=from-server,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=fsmo-role-owner,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=garbage-coll-period,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=given-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=global-address-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=governs-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=group-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=has-master-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=has-partial-replica-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=help-data16,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=help-data32,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=help-file-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=home-directory,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=home-drive,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=initial-auth-incoming,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=initial-auth-outgoing,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=instance-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=inter-site-topology-failover,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=inter-site-topology-generator,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=inter-site-topology-renew,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=invocation-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-critical-system-object,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-defunct,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-deleted,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-member-of-dl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-member-of-partial-attribute-set,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=is-single-valued,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=keywords,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=last-known-parent,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=last-logoff,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=last-logon,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=last-logon-timestamp,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=last-set-time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ldap-admin-limits,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ldap-display-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ldap-ipdeny-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=legacy-exchange-dn,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=link-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=lm-pwd-history,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=local-policy-flags,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=locality-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=lock-out-observation-window,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=lockout-duration,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=lockout-threshold,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=lockout-time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=logo,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=logon-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=logon-hours,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=machine-role,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=managed-by,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=mapi-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=mastered-by,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=max-pwd-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=max-renew-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=max-ticket-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=may-contain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=member,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=min-pwd-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=min-pwd-length,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=min-ticket-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=modified-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=modified-count-at-last-prom,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=modify-time-stamp,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-additional-dns-host-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-additional-sam-account-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-all-users-trust-quota,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-allowed-dns-suffixes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-allowed-to-delegate-to,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-auxiliary-classes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-approx-immed-subordinates,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-authenticatedat-dc,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-authenticatedto-accountlist,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-az-ldap-query,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-behavior-version,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-cached-membership,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-cached-membership-time-stamp,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-creator-sid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-default-quota,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-dnsrootalias,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-entry-time-to-die,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-executescriptpassword,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-has-instantiated-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-has-domain-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-has-master-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-intid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-isgc,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-isrodc,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-keyversionnumber,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-logon-time-sync-interval,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-mastered-by,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-maximum-password-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-minimum-password-age,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-minimum-password-length,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-password-history-length,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-password-complexity-enabled,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-password-reversible-encryption-
enabled,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-lockout-observation-window,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-lockout-duration,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-lockout-threshold,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-pso-applied,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-resultant-pso,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-password-settings-precedence,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-members-for-az-role,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-non-members,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-phonetic-display-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-sitename,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-supported-encryption-types,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-trust-forest-trust-info,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-tombstone-quota-factor,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-top-quota-usage,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-machine-account-quota,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-other-settings,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-principal-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-quota-amount,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-quota-effective,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-quota-trustee,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-quota-used,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-repl-cursors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-repl-inbound-neighbors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-repl-outbound-neighbors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-replica-locations,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-nc-ro-replica-locations,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-per-user-trust-quota,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-per-user-trust-tombstones-quota,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-preferred-gc-site,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-repl-attribute-meta-data,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-repl-value-meta-data,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-replicates-nc-reason,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-replication-notify-first-dsa-
delay,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-replication-notify-subsequent-dsa-
delay,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-replicationepoch,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-retired-repl-nc-signatures,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-sd-reference-domain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-site-affinity,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-spn-suffixes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-port-ssl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-service-account,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-account-disabled,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-dont-expire-password,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-account-auto-locked,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-password-expiry-time-
computed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-account-control-computed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-user-password-expiry-time-
computed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-updatescript,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-krbtgt-link,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-revealed-users,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-has-full-replica-ncs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-never-reveal-group,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-reveal-ondemand-group,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-secondary-krbtgt-number,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-revealed-dsas,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-krbtgt-link-bl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-is-user-cachable-at-rodc,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-revealed-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-revealed-list-bl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-last-successful-interactive-logon-
time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-last-failed-interactive-logon-
time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-failed-interactive-logon-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=ms-ds-failed-interactive-logon-count-at-last-successful-
logon,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=msmq-owner-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=must-contain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=nc-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=netbios-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=next-rid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=nt-mixed-domain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=nt-pwd-history,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=nt-security-descriptor,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=obj-dist-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-category,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-class,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-class-category,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-classes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-guid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-sid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=object-version,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=oem-information,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=om-object-class,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=om-syntax,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=operating-system,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=operating-system-service-pack,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=operating-system-version,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=operator-count,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=options,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=organization-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=organizational-unit-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=other-well-known-objects,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=parent-guid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=partial-attribute-deletion-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=partial-attribute-set,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=pek-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=poss-superiors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=possible-inferiors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=prefix-map,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=primary-group-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=primary-group-token,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=prior-set-time,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=prior-value,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=private-key,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=profile-path,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=proxied-object-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=proxy-addresses,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=proxy-lifetime,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=pwd-history-length,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=pwd-last-set,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=pwd-properties,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=query-policy-object,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=range-lower,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=range-upper,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rdn,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rdn-att-id,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=repl-property-meta-data,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=repl-topology-stay-of-execution,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=repl-uptodate-vector,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=repl-interval,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=reps-from,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=reps-to,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=retired-repl-dsa-signatures,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=token-groups,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=token-groups-global-and-universal,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=token-groups-no-gc-acceptable,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=revision,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-allocation-pool,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-available-pool,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-manager-reference,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-next-rid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-previous-allocation-pool,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-set-references,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rid-used-pool,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=rights-guid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=root-trust,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sam-account-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sam-account-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sam-domain-updates,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=schedule,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=schema-id-guid,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=schema-info,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=script-path,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sd-rights-effective,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=search-flags,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=security-identifier,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=server-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=server-reference,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=server-reference-bl,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=server-state,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=service-principal-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=show-in-address-book,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=show-in-advanced-view-only,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sid-history,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=site-link-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=site-list,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=site-object,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=smtp-mail-address,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=spn-mappings,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=state-or-province-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=street-address,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=structural-object-class,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sub-class-of,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=sub-refs,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=subschemasubentry,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=superior-dns-root,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=supplemental-credentials,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=surname,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-auxiliary-class,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-flags,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-may-contain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-must-contain,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-only,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=system-poss-superiors,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=template-roots,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=tombstone-lifetime,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=transport-address-attribute,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=transport-dll-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=transport-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-attributes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-auth-incoming,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-auth-outgoing,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-direction,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-parent,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-partner,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-posix-offset,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=trust-type,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=uas-compat,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=unicode-pwd,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=upn-suffixes,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-account-control,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-comment,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-parameters,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-password,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-principal-name,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=user-workstations,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=usn-changed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=usn-created,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=usn-dsa-last-obj-removed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=usn-last-obj-rem,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=valid-accesses,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=well-known-objects,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=when-changed,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=when-created,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
dn: cn=schema-flags-ex,CN=Schema,CN=Configuration,DC=X
replace: systemOnly
systemOnly: TRUE
dn: CN=Schema-Flags-Ex,CN=Schema,CN=Configuration,DC=X
add: schemaFlagsEx
schemaFlagsEx: 1
objectVersion: 42
Sch43.ldf
dn: CN=ms-DFS-Schema-Major-Version,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Schema-Major-Version
attributeID: 1.2.840.113556.1.4.2030
rangeLower: 2
rangeUpper: 2
adminDisplayName: ms-DFS-Schema-Major-Version
adminDescription: Major version of schema of DFS metadata.
oMSyntax: 2
searchFlags: 0
lDAPDisplayName: msDFS-SchemaMajorVersion
schemaIDGUID:: VXht7EpwYU+apsSafB1Uxw==
objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DFS-Schema-Minor-Version,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Schema-Minor-Version
attributeID: 1.2.840.113556.1.4.2031
rangeLower: 0
rangeUpper: 0
adminDisplayName: ms-DFS-Schema-Minor-Version
adminDescription: Minor version of schema of DFS metadata.
oMSyntax: 2
searchFlags: 0
lDAPDisplayName: msDFS-SchemaMinorVersion
schemaIDGUID:: Jaf5/vHoq0O9hmoBFc6eOA==
systemFlags: 16
dn: CN=ms-DFS-Generation-GUID-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Generation-GUID-v2
attributeID: 1.2.840.113556.1.4.2032
rangeLower: 16
rangeUpper: 16
adminDisplayName: ms-DFS-Generation-GUID-v2
adminDescription: To be updated each time the entry containing this

attribute is modified.
oMSyntax: 4
searchFlags: 0
lDAPDisplayName: msDFS-GenerationGUIDv2
schemaIDGUID:: 2bO4NY/F1kOTDlBA8vGngQ==
systemFlags: 16
dn: CN=ms-DFS-Namespace-Identity-GUID-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Namespace-Identity-GUID-v2
attributeID: 1.2.840.113556.1.4.2033
rangeLower: 16
rangeUpper: 16
adminDisplayName: ms-DFS-Namespace-Identity-GUID-v2
adminDescription: To be set only when the namespace is created. Stable

across rename/move as long as namespace is not replaced by another namespace
having same name.
oMSyntax: 4
searchFlags: 0
lDAPDisplayName: msDFS-NamespaceIdentityGUIDv2
schemaIDGUID:: zjIEIF/sMUmlJdf0r+NOaA==
systemFlags: 16
dn: CN=ms-DFS-Last-Modified-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Last-Modified-v2
attributeID: 1.2.840.113556.1.4.2034
adminDisplayName: ms-DFS-Last-Modified-v2
adminDescription: To be updated on each write to the entry containing the

attribute.
oMSyntax: 24
searchFlags: 0
lDAPDisplayName: msDFS-LastModifiedv2
schemaIDGUID:: il4JPE4xW0aD9auCd7zymw==
systemFlags: 16
dn: CN=ms-DFS-Ttl-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Ttl-v2
attributeID: 1.2.840.113556.1.4.2035
adminDisplayName: ms-DFS-Ttl-v2
adminDescription: TTL associated with DFS root/link. For use at DFS referral
time.
oMSyntax: 2
searchFlags: 0
lDAPDisplayName: msDFS-Ttlv2
schemaIDGUID:: MU2U6kqGSUOtpQYuLGFPXg==
systemFlags: 16
dn: CN=ms-DFS-Comment-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Comment-v2
attributeID: 1.2.840.113556.1.4.2036
rangeLower: 0
rangeUpper: 32766
adminDisplayName: ms-DFS-Comment-v2
adminDescription: Comment associated with DFS root/link.
oMSyntax: 64
searchFlags: 0
lDAPDisplayName: msDFS-Commentv2
schemaIDGUID:: yc6Gt/1hI0WywVzrOGC7Mg==
systemFlags: 16
dn: CN=ms-DFS-Properties-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Properties-v2
attributeID: 1.2.840.113556.1.4.2037
rangeLower: 0
rangeUpper: 1024
adminDisplayName: ms-DFS-Properties-v2
adminDescription: Properties associated with DFS root/link.
oMSyntax: 64
searchFlags: 0
lDAPDisplayName: msDFS-Propertiesv2
schemaIDGUID:: xVs+DA7r9UCbUzNOlY3/2w==
systemFlags: 16
dn: CN=ms-DFS-Target-List-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Target-List-v2
attributeID: 1.2.840.113556.1.4.2038
rangeLower: 0
rangeUpper: 2097152
adminDisplayName: ms-DFS-Target-List-v2
adminDescription: Targets corresponding to DFS root/link.
oMSyntax: 4
searchFlags: 0
lDAPDisplayName: msDFS-TargetListv2
schemaIDGUID:: xiaxakH6NkuAnnypFhDUjw==
systemFlags: 16
dn: CN=ms-DFS-Link-Path-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Link-Path-v2
attributeID: 1.2.840.113556.1.4.2039
rangeLower: 0
rangeUpper: 32766
adminDisplayName: ms-DFS-Link-Path-v2
adminDescription: DFS link path relative to the DFS root target share (i.e.
without the server/domain and DFS namespace name components). Use forward
slashes (/) instead of backslashes so that LDAP searches can be done without
having to use escapes.
oMSyntax: 64
searchFlags: 0
lDAPDisplayName: msDFS-LinkPathv2
schemaIDGUID:: 9iGwhqsQokCiUh3AzDvmqQ==
systemFlags: 16
dn: CN=ms-DFS-Link-Security-Descriptor-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Link-Security-Descriptor-v2
attributeID: 1.2.840.113556.1.4.2040
adminDisplayName: ms-DFS-Link-Security-Descriptor-v2
adminDescription: Security descriptor of the DFS links's reparse point on

the filesystem.
oMSyntax: 66
searchFlags: 0
lDAPDisplayName: msDFS-LinkSecurityDescriptorv2
schemaIDGUID:: 94fPVyY0QUizIgKztunrqA==
systemFlags: 16
dn: CN=ms-DFS-Link-Identity-GUID-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Link-Identity-GUID-v2
attributeID: 1.2.840.113556.1.4.2041
rangeLower: 16
rangeUpper: 16
adminDisplayName: ms-DFS-Link-Identity-GUID-v2
adminDescription: To be set only when the link is created. Stable across

rename/move as long as link is not replaced by another link having same
name.
oMSyntax: 4
searchFlags: 0
lDAPDisplayName: msDFS-LinkIdentityGUIDv2
schemaIDGUID:: 8yew7SZX7k2NTtvwfhrR8Q==
systemFlags: 16
dn: CN=ms-DFS-Short-Name-Link-Path-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Short-Name-Link-Path-v2
attributeID: 1.2.840.113556.1.4.2042
rangeLower: 0
rangeUpper: 32766
adminDisplayName: ms-DFS-Short-Name-Link-Path-v2
adminDescription: Shortname DFS link path relative to the DFS root target
share (i.e. without the server/domain and DFS namespace name components).
Use forward slashes (/) instead of backslashes so that LDAP searches can be
done without having to use escapes.
oMSyntax: 64
searchFlags: 0
lDAPDisplayName: msDFS-ShortNameLinkPathv2
schemaIDGUID:: 8CZ4LfdM6UKgOREQ4NnKmQ==
systemFlags: 16
DN:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-DFS-Namespace-Anchor,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Namespace-Anchor
subClassOf: top
governsID: 1.2.840.113556.1.5.257
rDNAttID: cn
adminDisplayName: ms-DFS-Namespace-Anchor
adminDescription: DFS namespace anchor
lDAPDisplayName: msDFS-NamespaceAnchor
schemaIDGUID:: haBz2mRuYU2wZAFdBBZHlQ==
systemOnly: FALSE
systemFlags: 16
objectCategory: CN=Class-Schema,CN=Schema,CN=Configuration,DC=X
defaultObjectCategory: CN=ms-DFS-Namespace-
Anchor,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFS-Namespace-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Namespace-v2
subClassOf: top
governsID: 1.2.840.113556.1.5.258
rDNAttID: cn
adminDisplayName: ms-DFS-Namespace-v2
adminDescription: DFS namespace
lDAPDisplayName: msDFS-Namespacev2
schemaIDGUID:: KIbLIcPzv0u/9gYLLY8pmg==
systemOnly: FALSE
systemFlags: 16
defaultObjectCategory: CN=ms-DFS-Namespace-
v2,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFS-Link-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Link-v2
subClassOf: top
governsID: 1.2.840.113556.1.5.259
rDNAttID: cn
adminDisplayName: ms-DFS-Link-v2
adminDescription: DFS Link in DFS namespace
lDAPDisplayName: msDFS-Linkv2
schemaIDGUID:: evtpd1kRlk6czWi8SHBz6w==
systemOnly: FALSE
systemFlags: 16
defaultObjectCategory: CN=ms-DFS-Link-v2,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-DFS-Deleted-Link-v2,CN=Schema,CN=Configuration,DC=X
cn: ms-DFS-Deleted-Link-v2
subClassOf: top
governsID: 1.2.840.113556.1.5.260
rDNAttID: cn
adminDisplayName: ms-DFS-Deleted-Link-v2
adminDescription: Deleted DFS Link in DFS namespace
lDAPDisplayName: msDFS-DeletedLinkv2
schemaIDGUID:: CDQXJcoE6ECGXj+c6b8b0w==
systemOnly: FALSE
systemFlags: 16
defaultObjectCategory: CN=ms-DFS-Deleted-Link-
v2,CN=Schema,CN=Configuration,DC=X
dn: CN=Address-Book-Roots2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: addressBookRoots2
adminDisplayName: Address-Book-Roots2
adminDescription: Used by Exchange. Exchange configures trees of address

book containers to show up in the MAPI address book. This attribute on the
Exchange Config object lists the roots of the address book container trees.
attributeId: 1.2.840.113556.1.4.2046
omSyntax: 127
linkID: 2122
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: dKOMUBGlTk6fT4VvYaa35A==
systemFlags: 16
schemaFlagsEx: 1
dn: CN=Global-Address-List2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: globalAddressList2
adminDisplayName: Global-Address-List2
adminDescription: This attribute is used on a Microsoft Exchange container

to store the distinguished name of a newly created global address list
(GAL). This attribute must have an entry before you can enable Messaging
Application Programming Interface (MAPI) clients to use a GAL.
attributeId: 1.2.840.113556.1.4.2047
omSyntax: 127
linkID: 2124
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: PfaYSBJBfEeIJjygC9gnfQ==
systemFlags: 16
schemaFlagsEx: 1
dn: CN=Template-Roots2,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: templateRoots2
adminDisplayName: Template-Roots2
adminDescription: This attribute is used on the Exchange config container to
indicate where the template containers are stored. This information is used
by the Active Directory MAPI provider.
attributeId: 1.2.840.113556.1.4.2048
omSyntax: 127
linkID: 2126
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: GqnLsYIGYkOmWRU+IB7waQ==
systemFlags: 16
schemaFlagsEx: 1
DN:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-Exch-Configuration-Container,CN=Schema,CN=Configuration,DC=X
objectVersion: 43
Sch44.ldf
dn: CN=TOP,CN=Schema,CN=Configuration,DC=X
replace: showInAdvancedViewOnly
dn: CN=ms-PKI-DPAPIMasterKeys,CN=Schema,CN=Configuration,DC=X
searchFlags: 640
dn: CN=ms-PKI-AccountCredentials,CN=Schema,CN=Configuration,DC=X
searchFlags: 640
dn: CN=ms-PKI-RoamingTimeStamp,CN=Schema,CN=Configuration,DC=X
searchFlags: 640
adminDescription: This attribute is used on a Microsoft Exchange container

to store the distinguished name of a newly created global address list
(GAL). This attribute must have an entry before you can enable Messaging
Application Programming Interface (MAPI) clients to use a GAL.
dn: CN=ms-DS-BridgeHead-Servers-Used,CN=Schema,CN=Configuration,DC=X
adminDescription: List of bridge head servers used by KCC in the previous

run.
adminDisplayName: ms-DS-BridgeHead-Servers-Used
attributeID: 1.2.840.113556.1.4.2049
cn: ms-DS-BridgeHead-Servers-Used
instanceType: 4
lDAPDisplayName: msDS-BridgeHeadServersUsed
linkID: 2160
oMSyntax: 127
schemaFlagsEx: 1
schemaIDGUID:: ZRTtPHF7QSWHgB4epiQ6gg==
searchFlags: 0
systemFlags: 25
DN:
changetype: modify
schemaUpdateNow: 1
objectVersion: 44
Sch45.ldf
DN: CN=ms-DS-USN-Last-Sync-Success,CN=Schema,CN=Configuration,DC=X
adminDisplayName: ms-DS-USN-Last-Sync-Success
adminDescription: The USN at which the last successful replication

synchronization occurred.
attributeID: 1.2.840.113556.1.4.2055
lDAPDisplayName: msDS-USNLastSyncSuccess
oMSyntax: 65
schemaFlagsEx: 1
searchFlags: 0
schemaIDGUID:: trj3MfjJLU+je1ioIwMDMQ==
systemFlags: 25
systemOnly: FALSE
dn: CN=Is-Recycled,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: isRecycled
adminDisplayName: Is-Recycled
adminDescription: Is the object recycled.
attributeId: 1.2.840.113556.1.4.2058
omSyntax: 1
systemOnly: TRUE
schemaFlagsEx: 1
searchFlags: 8
schemaIdGuid:: VpK1j/FVS0Sqy/W0gv40WQ==
systemFlags: 18
dn: CN=ms-DS-Optional-Feature-GUID,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OptionalFeatureGUID
adminDisplayName: ms-DS-Optional-Feature-GUID
adminDescription: GUID of an optional feature.
attributeId: 1.2.840.113556.1.4.2062
omSyntax: 4
schemaFlagsEx: 1
systemOnly: TRUE
searchFlags: 0
rangeLower: 16
rangeUpper: 16
schemaIdGuid:: qL2Im4LdmEmpHV8tK68ZJw==
systemFlags: 16
dn: CN=ms-DS-Enabled-Feature,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-EnabledFeature
adminDisplayName: ms-DS-Enabled-Feature
adminDescription: Enabled optional features.
attributeId: 1.2.840.113556.1.4.2061
omSyntax: 127
schemaFlagsEx: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: r64GV0C5sk+8/FJoaDrZ/g==
linkID: 2168
systemFlags: 16
dn: CN=ms-Imaging-PSP-String,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-PSPString
adminDisplayName: ms-Imaging-PSP-String
adminDescription: Schema Attribute that contains the XML sequence for this
PostScan Process.
attributeId: 1.2.840.113556.1.4.2054
omSyntax: 64
schemaFlagsEx: 1
searchFlags: 0
rangeUpper: 524288
schemaIdGuid:: rmBne+3WpkS2vp3mLAnsZw==
systemFlags: 16
dn: CN=ms-DS-OIDToGroup-Link,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OIDToGroupLink
adminDisplayName: ms-DS-OIDToGroup-Link
adminDescription: For an OID, identifies the group object corresponding to

the issuance policy represented by this OID.
attributeId: 1.2.840.113556.1.4.2051
omSyntax: 127
systemOnly: FALSE
schemaFlagsEx: 1
searchFlags: 0
schemaIdGuid:: fKXJ+UE5jUO+vw7a8qyhhw==
linkID: 2164
systemFlags: 16
dn: CN=ms-DS-OIDToGroup-Link-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OIDToGroupLinkBl
adminDisplayName: ms-DS-OIDToGroup-Link-BL
adminDescription: Backlink for ms-DS-OIDToGroup-Link; identifies the

issuance policy, represented by an OID object, which is mapped to this
group.
attributeId: 1.2.840.113556.1.4.2052
omSyntax: 127
systemOnly: TRUE
schemaFlagsEx: 1
searchFlags: 0
schemaIdGuid:: IA09GkRYmUGtJQ9QOadq2g==
linkID: 2165
systemFlags: 17
dn: CN=ms-Imaging-PSP-Identifier,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-PSPIdentifier
adminDisplayName: ms-Imaging-PSP-Identifier
adminDescription: Schema Attribute that contains the unique identifier for

this PostScan Process.
attributeId: 1.2.840.113556.1.4.2053
omSyntax: 4
searchFlags: 0
schemaIdGuid:: 6TxYUfqUEku5kDBMNbGFlQ==
systemFlags: 16
dn: CN=ms-DS-Host-Service-Account,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-HostServiceAccount
adminDisplayName: ms-DS-Host-Service-Account
adminDescription: Service Accounts configured to run on this computer.
attributeId: 1.2.840.113556.1.4.2056
omSyntax: 127
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: QxBkgKIV4UCSooyoZvcHdg==
linkID: 2166
systemFlags: 16
dn: CN=ms-DS-Host-Service-Account-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-HostServiceAccountBL
adminDisplayName: ms-DS-Host-Service-Account-BL
adminDescription: Service Accounts Back Link for linking machines associated

with the service account.
attributeId: 1.2.840.113556.1.4.2057
omSyntax: 127
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: 6+SrefOI50iJ1vS8fpjDMQ==
linkID: 2167
systemFlags: 17
dn: CN=ms-DS-Required-Domain-Behavior-
ldapDisplayName: msDS-RequiredDomainBehaviorVersion
adminDisplayName: ms-DS-Required-Domain-Behavior-Version
adminDescription: Required domain function level for this feature.
attributeId: 1.2.840.113556.1.4.2066
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: /j3d6g6uwky5uV/ltu0t0g==
systemFlags: 16
dn: CN=ms-DS-Required-Forest-Behavior-
ldapDisplayName: msDS-RequiredForestBehaviorVersion
adminDisplayName: ms-DS-Required-Forest-Behavior-Version
adminDescription: Required forest function level for this feature.
attributeId: 1.2.840.113556.1.4.2079
omSyntax: 2
systemOnly: TRUE
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: 6KLsS1OmskGP7nIVdUdL7A==
systemFlags: 16
dn: CN=ms-PKI-Credential-Roaming-Tokens,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msPKI-CredentialRoamingTokens
adminDisplayName: ms-PKI-Credential-Roaming-Tokens
adminDescription: Storage of encrypted user credential token blobs for

roaming.
attributeId: 1.2.840.113556.1.4.2050
omSyntax: 127
searchFlags: 128
schemaIdGuid:: OFr/txgIsEKBENPRVMl/JA==
linkID: 2162
systemFlags: 16
dn: CN=ms-DS-Local-Effective-Recycle-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LocalEffectiveRecycleTime
adminDisplayName: ms-DS-Local-Effective-Recycle-Time
adminDescription: Recycle time of the object in the local DIT.
attributeId: 1.2.840.113556.1.4.2060
omSyntax: 24
systemOnly: TRUE
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: awHWStKwm0yTtllksXuWjA==
systemFlags: 20
dn: CN=ms-DS-Local-Effective-Deletion-Time,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LocalEffectiveDeletionTime
adminDisplayName: ms-DS-Local-Effective-Deletion-Time
adminDescription: Deletion time of the object in the local DIT.
attributeId: 1.2.840.113556.1.4.2059
omSyntax: 24
systemOnly: TRUE
searchFlags: 0
schemaFlagsEx: 1
schemaIdGuid:: DIDylB9T60qXXUisOf2MpA==
systemFlags: 20
dn: CN=ms-DS-Last-Known-RDN,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-LastKnownRDN
adminDisplayName: ms-DS-Last-Known-RDN
adminDescription: Holds original RDN of a deleted object.
attributeId: 1.2.840.113556.1.4.2067
omSyntax: 64
schemaFlagsEx: 1
systemOnly: TRUE
searchFlags: 0
rangeLower: 1
rangeUpper: 255
schemaIdGuid:: WFixij5obUaHf9ZA4fmmEQ==
systemFlags: 16
dn: CN=ms-DS-Enabled-Feature-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-EnabledFeatureBL
adminDisplayName: ms-DS-Enabled-Feature-BL
adminDescription: Scopes where this optional feature is enabled.
attributeId: 1.2.840.113556.1.4.2069
omSyntax: 127
schemaFlagsEx: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: vAFbzsYXuESdwalmiwCQGw==
linkID: 2169
systemFlags: 17
dn: CN=ms-DS-Deleted-Object-Lifetime,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-DeletedObjectLifetime
adminDisplayName: ms-DS-Deleted-Object-Lifetime
adminDescription: Lifetime of a deleted object.
attributeId: 1.2.840.113556.1.4.2068
omSyntax: 10
schemaFlagsEx: 1
systemOnly: FALSE
searchFlags: 0
schemaIdGuid:: toyzqZoY702KcA/PoVgUjg==
systemFlags: 16
dn: CN=ms-DS-Optional-Feature-Flags,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OptionalFeatureFlags
adminDisplayName: ms-DS-Optional-Feature-Flags
adminDescription: An integer value that contains flags that define behavior

of an optional feature in Active Directory.
attributeId: 1.2.840.113556.1.4.2063
omSyntax: 2
schemaFlagsEx: 1
systemOnly: TRUE
searchFlags: 0
schemaIdGuid:: wWAFirmXEUidt9wGFZiWWw==
systemFlags: 16
dn: CN=ms-PKI-Enrollment-Servers,CN=Schema,CN=Configuration,DC=X
cn: ms-PKI-Enrollment-Servers
attributeID: 1.2.840.113556.1.4.2076
adminDisplayName: ms-PKI-Enrollment-Servers
adminDescription: Priority, authentication type, and URI of each certificate

enrollment web service.
oMSyntax: 64
lDAPDisplayName: msPKI-Enrollment-Servers
name: ms-PKI-Enrollment-Servers
schemaIDGUID:: j9Mr8tChMkiLKAMxQ4iGpg==
instanceType: 4
rangeUpper: 65536
searchFlags: 0
# System-Flags=FLAG_SCHEMA_BASE_OBJECT
systemFlags: 16
systemOnly: FALSE
dn: CN=ms-PKI-Site-Name,CN=Schema,CN=Configuration,DC=X
cn: ms-PKI-Site-Name
attributeID: 1.2.840.113556.1.4.2077
adminDisplayName: ms-PKI-Site-Name
adminDescription: Active Directory site to which the CA machine belongs.
oMSyntax: 64
lDAPDisplayName: msPKI-Site-Name
name: ms-PKI-Site-Name
schemaIDGUID:: H3HYDPwKJkmksQmwjT1DbA==
instanceType: 4
rangeUpper: 1024
searchFlags: 0
systemOnly: FALSE
# System-Flags=FLAG_SCHEMA_BASE_OBJECT
systemFlags: 16
dn: CN=ms-TS-Endpoint-Data,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSEndpointData
adminDisplayName: ms-TS-Endpoint-Data
adminDescription: This attribute represents the VM Name for machine in TSV

deployment.
attributeId: 1.2.840.113556.1.4.2070
schemaIDGUID:: B8ThQERD80CrQzYlo0pjog==
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
systemFlags: 16
dn: CN=ms-TS-Endpoint-Type,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSEndpointType
adminDisplayName: ms-TS-Endpoint-Type
adminDescription: This attribute defines if the machine is a physical

machine or a virtual machine.
attributeId: 1.2.840.113556.1.4.2071
schemaIDGUID:: gN56N9jixUabzW2d7JOzXg==
omSyntax: 2
systemOnly: FALSE
searchFlags: 0
systemFlags: 16
dn: CN=ms-TS-Endpoint-Plugin,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSEndpointPlugin
adminDisplayName: ms-TS-Endpoint-Plugin
adminDescription: This attribute represents the name of the plugin which

handles the orchestration.
attributeId: 1.2.840.113556.1.4.2072
schemaIDGUID:: abUIPB+AWEGxe+Nj1q5pag==
omSyntax: 64
systemOnly: FALSE
searchFlags: 0
rangeLower: 0
rangeUpper: 32767
systemFlags: 16
dn: CN=ms-TS-Primary-Desktop,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSPrimaryDesktop
adminDisplayName: ms-TS-Primary-Desktop
adminDescription: This attribute represents the forward link to user's

primary desktop.
attributeId: 1.2.840.113556.1.4.2073
schemaIDGUID:: lJYlKeQJN0KfcpMG6+Y6sg==
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkID: 2170
systemFlags: 16
dn: CN=ms-TS-Secondary-Desktops,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSSecondaryDesktops
adminDisplayName: ms-TS-Secondary-Desktops
adminDescription: This attribute represents the array of forward links to

user's secondary desktops.
attributeId: 1.2.840.113556.1.4.2075
schemaIDGUID:: mqI69jG74Ui/qwpsWh05wg==
omSyntax: 127
systemOnly: FALSE
searchFlags: 0
linkID: 2172
systemFlags: 16
dn: CN=ms-TS-Primary-Desktop-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSPrimaryDesktopBL
adminDisplayName: ms-TS-Primary-Desktop-BL
adminDescription: This attribute represents the backward link to user.
attributeId: 1.2.840.113556.1.4.2074
schemaIDGUID:: GNyqndFA0U6iv2ub9H09qg==
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
linkID: 2171
systemFlags: 17
dn: CN=ms-TS-Secondary-Desktop-BL,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msTSSecondaryDesktopBL
adminDisplayName: ms-TS-Secondary-Desktop-BL
adminDescription: This attribute represents the backward link to user.
attributeId: 1.2.840.113556.1.4.2078
schemaIDGUID:: rwexNAqgWkWxOd0aGxLYrw==
omSyntax: 127
systemOnly: TRUE
searchFlags: 0
linkID: 2173
systemFlags: 17
DN:
changetype: modify
schemaUpdateNow: 1
dn: CN=ms-Imaging-PSPs,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-PSPs
adminDisplayName: ms-Imaging-PSPs
adminDescription: Container for all Enterprise Scan Post Scan Process
objects.
governsId: 1.2.840.113556.1.5.262
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.23
schemaIdGuid:: wSrtoAyXd0eEjuxjoOxE/A==
systemOnly: FALSE
defaultObjectCategory: CN=ms-Imaging-PSPs,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Optional-Feature,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-OptionalFeature
adminDisplayName: ms-DS-Optional-Feature
adminDescription: Configuration for an optional DS feature.
governsId: 1.2.840.113556.1.5.265
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: QQDwRK81i0ayCmzoc3xYCw==
(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;EA)(A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;CO)
systemOnly: TRUE
defaultObjectCategory: CN=ms-DS-Optional-
Feature,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-Imaging-PostScanProcess,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msImaging-PostScanProcess
adminDisplayName: ms-Imaging-PostScanProcess
adminDescription: Enterprise Scan Post Scan Process object.
governsId: 1.2.840.113556.1.5.263
rdnAttId: 2.5.4.3
subClassOf: 2.5.6.0
schemaIdGuid:: fCV8H6O4JUWC+BHMx77jbg==
systemOnly: FALSE
defaultObjectCategory: CN=ms-Imaging-
PostScanProcess,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=ms-DS-Managed-Service-Account,CN=Schema,CN=Configuration,DC=X
ldapDisplayName: msDS-ManagedServiceAccount
adminDisplayName: ms-DS-Managed-Service-Account
adminDescription: Service account class is used to create accounts that are

used for running Windows services.
governsId: 1.2.840.113556.1.5.264
rdnAttId: 2.5.4.3
subClassOf: 1.2.840.113556.1.3.30
schemaIdGuid:: RGIgzidYhkq6HBwMOGwbZA==
a9c5-0000f80367c1;;CO)(OA;;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;bf967a86-
0de6-11d0-a285-00aa003049e2;CO)(OA;;WP;5f202010-79a5-11d0-9020-
00c04fc2d4cf;bf967a86-0de6-11d0-a285-00aa003049e2;CO)(OA;;WP;bf967950-0de6-
11d0-a285-00aa003049e2;bf967a86-0de6-11d0-a285-00aa003049e2;CO)
(OA;;WP;bf967953-0de6-11d0-a285-00aa003049e2;bf967a86-0de6-11d0-a285-
00aa003049e2;CO)(OA;;SW;f3a64788-5306-11d1-a9c5-0000f80367c1;;PS)
(OA;;RPWP;77B5B886-944A-11d1-AEBD-0000F80367C1;;PS)(OA;;SW;72e39547-7b18-
11d1-adef-00c04fd8d5cd;;PS)(A;;RPLCLORC;;;AU)(OA;;CR;ab721a53-1e2f-11d0-
9819-00aa0040529b;;WD)(OA;;RPWP;bf967a7f-0de6-11d0-a285-00aa003049e2;;CA)
(OA;;RP;46a9b11d-60ae-405a-b7e8-ff8a58d456d2;;S-1-5-32-560)
systemOnly: FALSE
defaultObjectCategory: CN=ms-DS-Managed-Service-
Account,CN=Schema,CN=Configuration,DC=X
systemFlags: 16
dn: CN=domain-DNS,CN=Schema,CN=Configuration,DC=X
dn: CN=ms-PKI-Cert-Template-OID,CN=Schema,CN=Configuration,DC=X
searchFlags: 1
DN:
changetype: modify
schemaUpdateNow: 1
dn: CN=Optional Features,CN=Directory Service,CN=Windows

NT,CN=Services,CN=Configuration,DC=X
systemFlags: -1946157056
dn: CN=Recycle Bin Feature,CN=Optional Features,CN=Directory

msDS-OptionalFeatureGUID:: 2NxtdtCsXkTzuaf5tnRPKg==
systemFlags: -1946157056
add: appliesTo
appliesTo: ce206244-5827-4a86-ba1c-1c0c386c1b64
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
dn: CN=Validated-DNS-Host-Name,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
dn: CN=Validated-SPN,CN=Extended-Rights,CN=Configuration,DC=X
add: appliesTo
add: appliesTo
add: appliesTo
add: appliesTo
dn: CN=Run-Protect-Admin-Groups-Task,CN=Extended-
displayName: Run Protect Admin Groups Task
rightsGuid: 7726b9d5-a4b4-4288-a6b2-dce952e80a7f
validAccesses: 256
dn: CN=Manage-Optional-Features,CN=Extended-Rights,CN=Configuration,DC=X
displayName: Manage Optional Features for Active Directory
rightsGuid: 7c0e2a7c-a419-48e4-a995-10180aad54dd
validAccesses: 256
objectVersion: 45
Sch46.ldf
DN:
changetype: modify
schemaUpdateNow: 1
objectVersion: 46
Sch47.ldf
dn:
changetype: modify
schemaUpdateNow: 1
#increase object version
objectVersion: 47
Étapes suivantes
Opérations de mise à jour de schéma à l’échelle du domaine
Opérations de mise à jour de schéma à l’échelle de la forêt

Mises à jour du contrôleur de domaine
en lecture seule

il n’y a aucune modification apportée à adprep/rodcprep dans Windows Server 2012 R2

ou dans Windows Server 2012.
Mises à jour de schéma à l’échelle du domaine
Vous pouvez passer en revue l’ensemble de modifications suivant pour vous aider à comprendre et à préparer les mises à jour de schéma
effectuées par adprep /domainprep dans Windows Server.
À compter de Windows Server 2012, les commandes Adprep s’exécutent automatiquement en fonction des besoins lors de l’installation
d’AD DS. Elles peuvent également être exécutées séparément avant l’installation d’AD DS. Pour plus d’informations, voir Exécution
d’Adprep.exe.
Pour plus d’informations sur l’interprétation des chaînes d’entrée de contrôle d’accès (ACE), consultez Chaînes ACE. Pour plus
d’informations sur l’interprétation des chaînes d’ID de sécurité (SID), consultez Chaînes SID.
Windows Server (canal semi-annuel) : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2016 (opération 89), l’attribut revision de l’objet
CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 16.
Numéro Description Autorisations

d’opération et
GUID
Opération 89 : Supprimez l’ACE accordant le contrôle total aux administrateurs de Supprimer

{A0C238BA-9E30- clé d’entreprise et ajoutez un ACE accordant aux administrateurs de (A;CI;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;Administrateurs
4EE6-80A6- clé d’entreprise le contrôle total sur uniquement l’attribut de clé d’entreprise)
43F731E9A5CD} msdsKeyCredentialLink.
Ajouter (OA;CI;RPWP;5b47d60f-6090-40b2-9f37-
2a4de88f3063;;Administrateurs de clé d’entreprise)
Windows Server 2016 : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2016 (opérations 82-88), l’attribut revision de l’objet
Numéro Description Attributs Autorisations

d’opération et
GUID
Opération 82 : Créer un conteneur CN=Keys à la racine du - objectClass : conteneur

(A;CI;RPWPCRLCLOCCDCRCWDWOS
{83C53DA7- domaine - description : conteneur par défaut pour les objets (A;CI;RPWPCRLCLOCCDCRCWDWOS
427E-47A4- d’informations d’identification clés
A07A- - ShowInAdvancedViewOnly : TRUE (A;CI;RPWPCRLCLOCCDCRCWDWOS
A324598B88F7} (A;CI;RPWPCRLCLOCCDCRCWDWOS
Opération 83 : Ajoutez le contrôle total autoriser les ACE au N/A (A;CI;RPWPCRLCLOCCDCRCWDWOS

{C81FC9CC- conteneur CN=Keys pour « domain\Key de clés)
0130-4FD1- Admins » et « rootdomain\Enterprise Key (A;CI;RPWPCRLCLOCCDCRCWDWOS

B272- Admins ». de clé d’entreprise)
634D74818133}
Opération 84 : Modifiez l’attribut otherWellKnownObjects - otherWellKnownObjects: N/A

{E5F9E791- pour qu’il pointe vers le conteneur CN=Keys. B:32:683A24E2E8164BD3AF86AC3C2CF3F981:CN=Keys,%ws
D96D-4FC9-
93C9-
D53E1DC439BA}
Opération 85 : Modifiez le contrôleur de domaine pour N/A (OA;CI;RPWP;5b47d60f-6090-40b2-9

{e6d5fd00- autoriser « domain\Key Admins » et 2a4de88f3063;;Administrateurs de cl
385d-4e65- « rootdomain\Enterprise Key Admins » à (OA;CI;RPWP;5b47d60f-6090-40b2-9
b02d- modifier l’attribut msds-KeyCredentialLink. administrateurs de clé d’entreprise d
9da3493ed850} mais dans les domaines non racines
relatif au domaine erroné avec un SI
d’opération et
GUID
Opération 86 : Accorder le CAR DS-Validated-Write- N/A (OA;CIIO;SW;9b026da6-0d3c-465c-8

{3a6b3fbf-3168- Computer au propriétaire du créateur et à 5199d7165cba;bf967a86-0de6-11d0
4312-a10d- lui-même (OA;CIIO;SW;9b026da6-0d3c-465c-8
dd5b3393952d} 5199d7165cba;bf967a86-0de6-11d0
00aa003049e2;CO)
Opération 87 : Supprimez l’ACE qui accorde le contrôle total N/A Supprimer

{7F950403- au groupe Administrateurs de clé (A;CI;RPWPCRLCLOCCDCRCWDWOS
0AB3-47F9- d’entreprise relatif au domaine incorrect, puis de clé d’entreprise)
9730- ajoutez un ACE accordant le contrôle total au

5D7B0269F9BD} groupe Administrateurs de clé d’entreprise. Ajouter
de clé d’entreprise)
Opération 88 : Ajoutez « msDS- N/A N/A

{434bb40d- ExpirePasswordsOnSmartCardOnlyAccounts »
dbc9-4fe7- à l’objet NC de domaine et définissez la
81d4- valeur par défaut sur FALSE
d57229f7b080}
Les groupes Administrateurs de clé d’entreprise et Administrateurs de clés sont créés uniquement après qu’un contrôleur de domaine
Windows Server 2016 a été promu et prend le rôle FSMO de l’émulateur PDC.
Windows Server 2012 R2 : mises à jour à l’échelle du domaine

Bien qu’aucune opération ne soit effectuée par domainprep dans Windows Server 2012 R2, une fois la commande terminée, l’attribut
revision de l’objet CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,DC=ForestRootDomain est défini sur 10.
Windows Server 2012 : mises à jour à l’échelle du domaine

Une fois les opérations effectuées par domainprep dans Windows Server 2012 (opérations 78, 79, 80 et 81), l’attribut revision de l’objet
Numéro d’opération et Description Attributs Autorisations

GUID
Opération 78 : {c3c927a6- Créez un objet CN=TPM Devices dans la partition Classe d’objet : msTPM- N/A
cc1d-47c0-966b- Domain. InformationObjectsContainer
be8f9b63d991}
Opération 79 : {54afcfb9- Création d’une entrée de contrôle d’accès pour le N/A (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-
637a-4251-9f47- service TPM. 4df4fda78a35;bf967a86-0de6-11d0-a285-
4d50e7021211} 00aa003049e2;PS)
Opération 80 : {f4728883- Accordez le droit étendu « Cloner le contrôleur de N/A (OA;;CR;3e0f7e18-2c7a-4c10-ba82-

84dd-483c-9897- domaine » au groupe Contrôleurs de domaine 4d926db99a3e;;domain SID-522)
274f2ebcf11e} clonables
Opération 81 : {ff4f9d27- Accordez ms-DS-Allowed-To-Act-On-Behalf-Of- N/A (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-

7157-4cb0-80a9- Other-Identity à Principal Self sur tous les objets. a0b8-9d18116ddc79;;PS)
5d6f2b14c8ff}
Mises à jour de la forêt
Article • 12/04/2023
S’applique à : Windows Server : (toutes les versions prises en charge)
Vous pouvez passer en revue l’ensemble de modifications suivant pour vous aider à comprendre et à préparer les mises à jour de
schéma effectuées par adprep /forestprep dans Windows Server.
À compter de Windows Server 2012, les commandes Adprep s’exécutent automatiquement en fonction des besoins lors de l’installation
d’AD DS. Elles peuvent également être exécutées séparément avant l’installation d’AD DS. Pour plus d’informations, voir Exécution
d’Adprep.exe.
） Important
Les mises à jour de schéma à l’échelle de la forêt sont effectuées cumulativement par adprep . Par exemple, les opérations 131 à
135 sont effectuées avant les opérations 136 à 142.
Pour plus d’informations sur l’interprétation des chaînes d’entrée de contrôle d’accès (ACE), consultez Chaînes ACE. Pour plus
d’informations sur l’interprétation des chaînes d’ID de sécurité (SID), consultez Chaînes SID.
Windows Server 2016 : mises à jour à l’échelle de la forêt

Une fois les opérations effectuées par le commutateur /forestprep dans Windows Server 2016 (opérations 136-142), l’attribut revision
de l’objet CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain est défini sur 16.
Numéro d’opération et GUID Description Attributs Autorisations
Opération 136 : {328092FB-16E7-4453-9AB8- Octroi de CN=Send-As,CN=Extended-Rights à des comptes gMSA. N/A N/A

7592DB56E9C4}
Opération 137 : {3A1C887F-DF0A-489F-B3F2- Octroi de CN=Receive-As,CN=Extended-Rights à des comptes gMSA. N/A N/A

2D0409095F6E}
Opération 138 : {232E831F-F988-4444-8E3E- Octroi de CN=Personal-Information,CN=Extended-Rights à des N/A N/A

8A352E2FD411} comptes gMSA.
Opération 139 : {DDDDCF0C-BEC9-4A5A-AE86- Octroi de CN=Public-Information,CN=Extended-Rights à des N/A N/A

3CFE6CC6E110} comptes gMSA.
Opération 140 : {A0A45AAC-5550-42DF-BB6A- Octroi de CN=Validated-SPN,CN=Extended-Rights à des comptes N/A N/A

3CC5C46B52F2} gMSA.
Opération 141 : {3E7645F3-3EA5-4567-B35A- Octroi de CN=Allowed-To-Authenticate,CN=Extended-Rights à des N/A N/A

87630449C70C} comptes gMSA.
Opération 142 : {E634067B-E2C4-4D79-B6E8- Octroi de CN=MS-TS-GatewayAccess,CN=Extended-Rights à des N/A N/A

73C619324D5E} comptes gMSA.
Windows Server 2012 R2 : mises à jour à l’échelle de la forêt

Une fois les opérations effectuées par la commande /forestprep dans Windows Server 2012 R2 (opérations 131-135), l’attribut revision
de l’objet CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain est défini sur 15.

d’opération et
GUID
d’opération et
GUID
Opération 131 : Création d’un nouvel objet conteneur de - objectClass: container

(A;;RPLCLORC;;;AU)
{b83818c1-01a6- configuration de stratégie d’authentification - displayName: Authentication (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
4f39-91b7- CN=AuthN Policy Configuration,CN=Services dans Policy Configuration

a3bb581c3ae3} la partition Configuration. - description: Contains
configuration for
authentication policy.
- showInAdvancedViewOnly:
True
Opération 132 : Création d’un nouvel objet de stratégie - objectClass: msDS- (A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;EA)
{bbbb9db0-4009- d’authentification CN=AuthN Policies,CN=AuthN AuthNPolicies

4368-8c40- Policy Configuration,CN=Services dans la - displayName: Authentication (A;;RPLCLORC;;;AU)

6674e980d3c3} partition Configuration. Policies
- description: Contains
authentication policy
objects.
True
Opération 133 : Création d’un nouvel objet de silos de stratégie - objectClass: msDS- (A;;RPWPCRCCDCLCLOLORCWOWDSDDTDTSW;;;EA)
{f754861c-3692- d’authentification CN=AuthN Silos,CN=AuthN Policy AuthNPolicySilos

4a7b-b2c2- Configuration,CN=Services dans la partition - displayName: Authentication (A;;RPLCLORC;;;AU)

d0fa28ed0b0b0b} Configuration. Policy Silos
- description: Contains
authentication policy silo
objects.
True
Opération 134 : Création d’un nouvel objet type de réclamation de - objectClass: msDS- (A;;RPWPCRCCDCLCLORCWOWDSDDTSW;;;EA)
{d32f499f-3026- silos d’authentification ClaimType

4af0-a5bd- CN=ad://ext/AuthenticationSilo,CN=Claim - displayname: (A;;RPLCLORC;;;AU)

13fe5a331bd2} Types,CN=Claims Configuration,CN=Services dans AuthenticationSilo
la partition Configuration. - name:

ad://ext/AuthenticationSilo
- Enabled: True
- msDS-
ClaimIsValueSpaceRestricted:
True
- msDS-ClaimIsSingleValued:
True
- msDS-ClaimSourceType:
Constructed
- msDS-ClaimValueType: 3
- msDS-
ClaimTypeAppliesToClass:
CN=User,CN=Schema,%ws
- msDS-
CN=Computer,CN=Schema,%ws
- msDS-
CN=ms-DS-Managed-Service-
Account,CN=Schema,%ws
- msDS-
CN=ms-DS-Group-Managed-
Service-
Account,CN=Schema,%ws
Opération 135 : Définissez l’attribut msDS- - msDS- N/A

{38618886-98ee- ClaimIsValueSpaceRestricted sur le nouveau type ClaimIsValueSpaceRestricted:
4e42-8cf1- de revendication silo d’authentification sur false False
d9a2cd9edf8b}
Windows Server 2012 : mises à jour à l’échelle de la forêt
Une fois les opérations effectuées par la commande /forestprep dans Windows Server 2012 (opérations 84-130), l’attribut revision de
l’objet CN=ActiveDirectoryUpdate,CN=ForestUpdates,CN=Configuration,DC=ForestRootDomain est défini sur 11.

d’opération et
GUID
Opération 84 : Création d’un nouveau conteneur CN=Claims - objectClass: container (A;;RPLCLORC;;;AU)
{4664e973- Configuration,CN=Services dans la partition (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
cb20-4def- Configuration. (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

b3d5-
559d6fe123e0}
Opération 85 : Création d’un nouvel objet CN=Claim - objectClass: msDS-ClaimTypes

(A;;RPLCLORC;;;AU)
{2972d92d- Types,CN=Claims Configuration,CN=Services - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
a07a-44ac- dans la partition Configuration. (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

9cb0-
bf243356f345}
Opération 86 : Création d’un nouvel objet CN=Resource - objectClass: msDS-ResourceProperties

(A;;RPLCLORC;;;AU)
{09a49cb3- Properties,CN=Claims - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
6c54-4b83- Configuration,CN=Services dans la partition (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

ab20- Configuration.
8370838ba149}
Opération 87 : Création d’un nouveau conteneur CN=Resource - objectClass: container

(A;;RPLCLORC;;;AU)
{77283e65- Property Lists,CN=Claims - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
ce02-4dc3- Configuration,CN=Services dans la partition (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

8c1e- Configuration.
bf99b22527c2}
Opération 88 : Création d’un nouvel objet CN=Sam-Domain N/A Création de l’entrée de contrôle
{0afb7f53- dans la partition Schéma. d’accès (ACE) suivante pour accorder
96bd-404b- la propriété d’écriture automatique du
a659- principal à l’objet :
89e65c269420} (OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-
4df4fda78a35;bf967a86-0de6-11d0-
a285-00aa003049e2;PS)
Opération 89 : Création d’un nouvel objet CN=Domain-DNS N/A Création de l’entrée de contrôle
{c7f717ef-fdbe- dans la partition Schéma. d’accès (ACE) suivante pour accorder
4b4b-8dfc- la propriété d’écriture automatique du
fa8b839fbcfa} principal à l’objet :
(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-
4df4fda78a35;bf967a86-0de6-11d0-
a285-00aa003049e2;PS)
Opération 90 : Rappeler la fonction pour mettre à niveau les N/A N/A

{00232167- spécificateurs d’affichage.
f3a4-43c6-
b503-
9acb7a81b01c}
Opération 91 : Création d’un nouveau conteneur - objectClass: container

(A;;RPLCLORC;;;AU)
{73a9515b- CN=Microsoft SPP,CN=Services dans la - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
511c-44d2- partition Configuration. (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

822b-
444a33d3bd33}
Opération 92 : Création d’un nouveau conteneur d’objets - objectClass: msSPP- (A;;RPLCLORC;;;AU)
{e0c60003- d’activation CN=Activation ActivationObjectsContainer

(A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
2ed7-4fd3- Objects,CN=Microsoft SPP,CN=Services dans la - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

8659- partition Configuration.
7655a7e79397}
Opération 93 : Création d’un nouveau conteneur de stratégies - objectClass: msAuthz-CentralAccessPolicies

(A;;RPLCLORC;;;AU)
{ed0c8cca- d’accès centralisées CN=Central Access - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
80ab-4b6b- Policies,CN=Claims Configuration,CN=Services (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

ac5a- dans la partition Configuration.
59b1d317e11f}
d’opération et
GUID
Opération 94 : Création d’un nouveau conteneur d’entrées de - objectClass: msAuthz-CentralAccessRules

(A;;RPLCLORC;;;AU)
{b6a6c19a- stratégies d’accès centralisées CN=Central - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
afc9-476b- Access Rules,CN=Claims (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

8994- Configuration,CN=Services dans la partition
61f5b14b3f05} Configuration.
Opération 95 : Création d’un nouveau conteneur de service - objectClass: container

(A;;RPLCLORC;;;AU)
{defc28cd- de distribution de clés de groupe CN=Group Key - description: The container contains (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
6cb6-4479- Distribution Service,CN=Services dans la configuration and data for Group Key (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
8bcb- partition Configuration. Distribution Service.
aabfb41e9713} - showInAdvancedViewOnly: True
Opération 96 : Création d’un nouveau conteneur de clés - objectClass: container

(A;;RPLCLORC;;;AU )
{d6bd96d4- racine principales CN=Master Root - description: The container contains master (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
e66b-4a38- Keys,CN=Group Key Distribution root keys for Group Key Distribution Service.
9c6b- Service,CN=Services dans la partition - showInAdvancedViewOnly: True
e976ff58c56d} Configuration.
Opération 97 : Création d’un nouveau conteneur de - objectClass: container

(A;;RPLCLORC;;;AU)
{bb8efc40- configuration de serveur CN=Server - description: The container contains Group Key (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
3090-4fa2- Configuration,CN=Group Key Distribution Distribution Service configurations.

8a3f- Service,CN=Services dans la partition - showInAdvancedViewOnly: True
7cd1d380e695} Configuration.
Opération 98 : Création d’un nouveau conteneur des objets - objectClass: msKds-ProvServerConfiguration

(A;;RPLCLORC;;;AU)
{2d6abe1b- de configuration de serveur vide CN=Group Key - description: The configuration of (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
4326-489e- Distribution Service Server cryptography algorithms used by Group Key (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
920c- Configuration,CN=Server Distribution Service.
76d5337d2dc5} Configuration,CN=Group Key Distribution - msKds-Version: 1
Service,CN=Services dans la partition - showInAdvancedViewOnly: True

Configuration.
Opération 99 : Création d’un nouveau conteneur de - objectClass: msDS- (A;;RPLCLORC;;;AU)
{6b13dfb5- configuration de stratégies de transformation ClaimsTransformationPolicies

(A;;RPWPCRLCLOCCDCRCWDWOSW;;;EA)
cecc-4fb8- des réclamations CN=Claims Transformation - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

b28d- Policies,CN=Claims Configuration,CN=Services
0505cea24175} dans la partition Configuration.
Opération 100 : Création d’un nouveau conteneur de - objectClass: container

(A;;RPLCLORC;;;AU)
{92e73422- configuration de types de valeur CN=Value - showInAdvancedViewOnly: True (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
c68b-46c9- Types,CN=Claims Configuration,CN=Services (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

b0d5- dans la partition Configuration.
b55f9c741410}
Opération 101 : Création d’un nouvel objet de configuration de - objectClass: msDS-ValueType

(D;;SDDT;;;WD)
{c0ad80b4- type de valeur SinglevaluedChoice CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
8e84-4cc4- SinglevaluedChoice,CN=Value Types,CN=Claims a resource property. When assigning value to a (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
9163- Configuration,CN=Services dans la partition resource property of this value type, a user (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
2f84649bcc42} Configuration. can choose only one entry from a list of
suggested values.
- displayname: Single-valued Choice
- msDS-ClaimIsValueSpaceRestricted: True
- msDS-ClaimIsSingleValued: True
- msDS-IsPossibleValuesPresent: True
- showInAdvancedViewOnly: True

(D;;SDDT;;;WD)
{992fe1d0- type de valeur YesNo CN=MS-DS-YesNo,CN=Value - description: The valid values for this type (A;;RPLCLORC;;;AU)
6591-4f24- Types,CN=Claims Configuration,CN=Services are Yes or No.

a163- dans la partition Configuration. - displayname: Yes/No

c820fcb7f308} - msDS-ClaimValueType: 6
- msDS-ClaimIsValueSpaceRestricted: False
- msDS-IsPossibleValuesPresent: False
d’opération et
GUID

(D;;SDDT;;;WD)
{ede85f96- type de valeur Number CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
7061-47bf- Number,CN=Value Types,CN=Claims resource properties that contain a single (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
b11b- Configuration,CN=Services dans la partition number.

0c0d999595b5} Configuration. - displayname: Number
Opération 104 : Création d’un nouvel objet de configuration de - objectClass : msDS-ValueType

(D;;SDDT;;;WD)
{ee0f3271- type de valeur DateTime CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
eb51-414a- DateTime,CN=Value Types,CN=Claims resource properties that are of the date and (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
bdac- Configuration,CN=Services dans la partition time format.

8f9ba6397a39} Configuration. - displayname: Date Time

(D;;SDDT;;;WD)
{587d52e0- type de valeur OrderedList CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
507e-440e- OrderedList,CN=Value Types,CN=Claims resource properties that contain a single (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
9d67- Configuration,CN=Services dans la partition choice entry that can be compared to other (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
e6129f33bb68} Configuration. resource properties of the same type. A user
typically chooses the entry from a list of
ordered suggested values that are provided by
ms-DS-Claim-Possible-Values on the resource
properties.
- displayname: Ordered List

(D;;SDDT;;;WD)
{ce24f0f6- type de valeur Text CN=MS-DS-Text,CN=Value - description: You can use this type to author (A;;RPLCLORC;;;AU)
237e-43d6- Types,CN=Claims Configuration,CN=Services resource properties that contain a single text (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
ac04- dans la partition Configuration. entry.

1e918ab04aac} - displayname: Text

(D;;SDDT;;;WD)
{7f77d431- type de valeur MultivaluedText CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
dd6a-434f- MultivaluedText,CN=Value Types,CN=Claims resource properties that can have multiple text (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
ae4d- Configuration,CN=Services dans la partition entries.

ce82928e498f} Configuration. - displayname: Multi-valued Text - msDS-
ClaimValueType: 3 - msDS-
ClaimIsValueSpaceRestricted: False - msDS-
ClaimIsSingleValued: False - msDS-
IsPossibleValuesPresent: False -
showInAdvancedViewOnly: True
d’opération et
GUID

(D;;SDDT;;;WD)
{ba14e1f6- type de valeur MultivaluedChoice CN=MS-DS- - description: You can use this type to author (A;;RPLCLORC;;;AU)
7cd1-4739- MultivaluedChoice,CN=Value Types,CN=Claims resource properties that can have multiple (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
804f- Configuration,CN=Services dans la partition entries that cannot be compared. A user (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
57d0ea74edf4} Configuration. typically chooses each entry from a list of
suggested values that are provided by ms-DS-
Claim-Possible-Values on the resource
properties.
- displayname: Multi-valued Choice
- msDS-ClaimIsSingleValued: False
Opération 109 : Création d’un nouvel objet de ressource - objectClass: msDS-ResourceProperty

(D;;SDDT;;;WD)
{156ffa2a- Informations personnelles identifiables - description: The Personally Identifiable (A;;RPLCLORC;;;AU)
e07c-46fb- CN=PII_MS,CN=Resource Properties,CN=Claims Information (PII) property specifies whether (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
a5c4- Configuration,CN=Services dans la partition the resource contains PII and if it does, what (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)
fbd84a4e5cce} Configuration. the sensitivity level of that information is.
- displayname: Personally Identifiable

Information
- Enabled: False
- msDS-IsUsedAsResourceSecurityAttribute: True
- msDS-ValueTypeReference: CN=MS-DS-
OrderedList,CN=Value Types,CN=Claims
Configuration,CN=Services,CN=Configuration,CN=\
<forest root domain>
Opération 110 : Création d’un nouvel objet de ressource - objectClass: msDS-ResourceProperty

(D;;SDDT;;;WD)
{7771d7dd- Informations protégées sur la santé - description: The Protected Health Information (A;;RPLCLORC;;;AU)
2231-4470- CN=ProtectedHealthInformation_MS,CN=Resource (PHI) property specifies whether the resource (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
aa74- Properties,CN=Claims contains any data related to an individual's (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

84a6f56fc3b6} Configuration,CN=Services dans la partition medical record or medical payment history.
Configuration. - displayname: Protected Health Information
- Enabled: False
YesNo,CN=Value Types,CN=Claims
Opération 111 : Création d’un nouvel objet de propriété de - objectClass: msDS-ResourceProperty

(D;;SDDT;;;WD)
{49b2ae86- ressource Autorisation requise - description: The Required Clearance property (A;;RPLCLORC;;;AU)
839a-4ea0- CN=RequiredClearance_MS,CN=Resource specifies the level of clearance a user should (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
81fe- Properties,CN=Claims possess before attempting to access the (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

9171c1b98e83} Configuration,CN=Services dans la partition resource.
Configuration. - displayname: Required Clearance
- Enabled: False
d’opération et
GUID

(D;;SDDT;;;WD)
{1b1de989- ressource Confidentialité - description: The Confidentiality property (A;;RPLCLORC;;;AU)
57ec-4e96- CN=Confidentiality_MS,CN=Resource specifies the level of confidentiality of the (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
b933- Properties,CN=Claims resource, and the potential impact of (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

8279a8119da4} Configuration,CN=Services dans la partition inadvertent access or disclosure.
Configuration. - displayname: Confidentiality
- Enabled: False

(D;;SDDT;;;WD)
{281c63f0- ressource Conformité - description: The Compliancy property (A;;RPLCLORC;;;AU)
2c9a-4cce- CN=Compliancy_MS,CN=Resource specifies the compliance frameworks that apply (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
9256- Properties,CN=Claims to the resource.

a238c23c0db9} Configuration,CN=Services dans la partition - displayname: Compliancy
Configuration. - Enabled: False
MultivaluedChoice,CN=Value Types,CN=Claims

(D;;SDDT;;;WD)
{4c47881a- ressource Détectabilité - description: The Discoverability property (A;;RPLCLORC;;;AU)
f15a-4f6c-9f49- CN=Discoverability_MS,CN=Resource specifies whether the resource contains (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
2742f7a11f4b} Properties,CN=Claims potential evidence that might require (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

Configuration,CN=Services dans la partition disclosure to opposing legal counsel during the
Configuration. course of current or future litigation.
- displayname: Discoverability
- Enabled: False
SinglevaluedChoice,CN=Value Types,CN=Claims

(D;;SDDT;;;WD)
{2aea2dc6- ressource Immuable - description: The Immutable property specifies (A;;RPLCLORC;;;AU)
d1d3-4f0c- CN=Immutable_MS,CN=Resource whether a user should be allowed to delete a (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
9994- Properties,CN=Claims resource or change its contents.

66c1da21de0f} Configuration,CN=Services dans la partition - displayname: Immutable

(D;;SDDT;;;WD)
{ae78240c- ressource Propriété intellectuelle - description: The Intellectual Property (IP) (A;;RPLCLORC;;;AU)
43b9-499e- CN=IntellectualProperty_MS,CN=Resource property specifies whether the resource (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
ae65- Properties,CN=Claims contains IP, and if so, what kind.

2b6e0f0e202a} Configuration,CN=Services dans la partition - displayname: Intellectual Property
d’opération et
GUID

(D;;SDDT;;;WD)
{261b5bba- ressource Département - description: The Department property (A;;RPLCLORC;;;AU)
3438-4d5c- CN=Department_MS,CN=Resource specifies the name of the department to which (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
a3e9- Properties,CN=Claims the resource belongs.

7b871e5f57f0} Configuration,CN=Services dans la partition - displayname: Department

(D;;SDDT;;;WD)
{3fb79c05- ressource Impact CN=Impact_MS,CN=Resource - description: The Impact property specifies (A;;RPLCLORC;;;AU)
8ea1-438c- Properties,CN=Claims the degree of organizational impact from (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
8c7a- Configuration,CN=Services dans la partition inappropriate access or loss of the resource.

81f213aa61c2} Configuration. - displayname: Impact
- Enabled: False
<forest root domain
- msDS-ClaimPossibleValues: High - High

business impact (HBI) - 3000, Moderate - Medium
business impact (MBI) - 2000, Low - Low
business impact (LBI) - 1000>

(D;;SDDT;;;WD)
{0b2be39a- ressource Utilisation personnelle - description: The Personal Use property (A;;RPLCLORC;;;AU)
d463-4c23- CN=PersonalUse_MS,CN=Resource specifies whether the file is for personal use (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
8290- Properties,CN=Claims (not business related).

32186759d3b1} Configuration,CN=Services dans la partition - displayname: Personal Use

(D;;SDDT;;;WD)
{f0842b44- ressource Projet CN=Project_MS,CN=Resource - description: The Project property specifies (A;;RPLCLORC;;;AU)
bc03-46a1- Properties,CN=Claims the names of one or more projects that are (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
a860- Configuration,CN=Services dans la partition relevant to the resource.

006e8527fccd} Configuration. - displayname: Project
- Enabled: False

(D;;SDDT;;;WD)
{93efec15- ressource Période de rétention - description: The Retention Period property (A;;RPLCLORC;;;AU)
4dd9-4850- CN=RetentionPeriod_MS,CN=Resource specifies the maximum period for which the file (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
bc86- Properties,CN=Claims should be retained.

a1f2c8e2ebb9} Configuration,CN=Services dans la partition - displayname: Retention Period
d’opération et
GUID

(D;;SDDT;;;WD)
{9e108d96- ressource Date de début - description: The Retention Start Date (A;;RPLCLORC;;;AU)
672f-40f0- CN=RetentionStartDate_MS,CN=Resource property defines the starting date for a (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
b6bd- Properties,CN=Claims Retention Period. The retention period would (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

69ee1f0b7ac4} Configuration,CN=Services dans la partition begin on the Retention Start Date.
Configuration. - displayname: Retention Start Date
- Enabled: False
- msDS-IsUsedAsResourceSecurityAttribute:
False
DateTime,CN=Value Types,CN=Claims

(D;;SDDT;;;WD)
{1e269508- ressource Entreprise - description: The Company property specifies (A;;RPLCLORC;;;AU)
f862-4c4a- CN=Company_MS,CN=Resource which company the resource belongs to.

b01f- Properties,CN=Claims - displayname: Company

420d26c4ff8c} Configuration,CN=Services dans la partition - Enabled: False
Configuration. - msDS-IsUsedAsResourceSecurityAttribute: True

(D;;SDDT;;;WD)
{e1ab17ed- ressource Utilisation du fichier - description: The Folder Usage property (A;;RPLCLORC;;;AU)
5efb-4691- CN=FolderUsage_MS,CN=Resource specifies the purpose of the folder and the (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
ad2d- Properties,CN=Claims kind of files stored in it.

0424592c5755} Configuration,CN=Services dans la partition - displayname: Folder Usage
Remarque : Configuration. - Enabled: False
l’opération 124 - msDS-IsUsedAsResourceSecurityAttribute:
a été False
supprimée. - msDS-AppliestoResourceTypes: MS-DS-Container
Opération 126 : Création d’un nouvel objet de configuration de - objectClass: msDS-ResourcePropertyList

(D;;SDDT;;;WD)
{0e848bd4- Liste des propriétés des ressources globales - description: This is a global out of box (A;;RPLCLORC;;;AU)
7c70-48f2- CN=Global Resource Property List,CN=Resource resource property list that contains all (A;;RPWPCRLCLOCCRCWDWOSW;;;EA)
b8fc- Property Lists,CN=Claims resource properties that can be consumed by (A;;RPWPCRLCLOCCDCRCWDWOSDDTSW;;;SY)

00fbaa82e360} Configuration,CN=Services dans la partition applications.
Configuration. - showInAdvancedViewOnly: True
- msDS-MembersOfResourcePropertyList:
CN=PII_MS,CN=Resource Properties,CN=Claims
CN=ProtectedHealthInformation_MS,CN=Resource
CN=RequiredClearance_MS,CN=Resource
CN=Confidentiality_MS,CN=Resource
CN=Compliancy_MS,CN=Resource
d’opération et
GUID
CN=Discoverability_MS,CN=Resource
CN=Immutable_MS,CN=Resource
CN=IntellectualProperty_MS,CN=Resource
CN=Department_MS,CN=Resource
CN=Impact_MS,CN=Resource Properties,CN=Claims
CN=PersonalUse_MS,CN=Resource
CN=Project_MS,CN=Resource Properties,CN=Claims
CN=RetentionPeriod_MS,CN=Resource
CN=RetentionStartDate_MS,CN=Resource
CN=Company_MS,CN=Resource Properties,CN=Claims
CN=FolderUsage_MS,CN=Resource
Opération 127 : Rappeler la fonction pour mettre à niveau les N/A N/A

{016f23f7- spécificateurs d’affichage.
077d-41fa-
a356-
de7cfdb01797}
d’opération et
GUID
Opération 128 : Chaînes actualisées pour un objet de propriété - description: The Folder Usage property N/A
{49c140db- de ressource Utilisation du fichier specifies the purpose of the folder and the
2de3-44c2- CN=FolderUsage_MS,CN=Resource kind of files stored in it.
a99a- Properties,CN=Claims
bab2e6d2ba81} Configuration,CN=Services dans la partition
Configuration.
Opération 129 : Ajout d’ACE pour accorder la propriété N/A (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-

{e0b11c80- d’écriture automatique du principal et la a0b8-9d18116ddc79;;PS)
62c5-47f7- propriété de lecture sur l’objet CN=Sam-Domain .
ad0d-
3734a71b8312}
Opération 130 : Ajout d’ACE pour accorder la propriété N/A (OA;CIOI;RPWP;3f78c3e5-f79a-46bd-

{2ada1a2d- d’écriture automatique du principal et la a0b8-9d18116ddc79;;PS)
b02f-4731- propriété de lecture sur l’objet CN=Domain-DNS .
b4fe-
59f955e24f71}
Résolution des problèmes de
déploiement de contrôleur de domaine
Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre rapidement les
problèmes de réplication Active Directory courants.
Cet article présente une méthodologie détaillée sur la résolution des problèmes de
configuration et de déploiement des contrôleurs de domaine.
Journaux intégrés pour la résolution des

problèmes
Les journaux intégrés représentent le meilleur moyen de résoudre les problèmes liés à la
promotion et à la rétrogradation des contrôleurs de domaine. Tous ces journaux sont
activés et configurés pour un maximum de commentaires par défaut.
Phase Journal
Phase Journal
Opérations Windows PowerShell - %systemroot%\debug\dcpromoui.log

ADDSDeployment ou du Gestionnaire
- %systemroot%\debug\dcpromoui*.log
de serveur
Installation/Promotion du contrôleur - %systemroot%\debug\dcpromo.log

de domaine - %systemroot%\debug\dcpromo*.log
- Observateur d’événements\Journaux
Windows\Application
- Observateur d’événements\Journaux des applications et

des services\Service d’annuaire

des services\Service de réplication de fichiers

des services\Réplication DFS
Mise à niveau de forêt ou de domaine - %systemroot%\debug\adprep\<dateheure>\adprep.log

- %systemroot%\debug\adprep\<dateheure>\csv.log
- %systemroot%\debug\adprep\<dateheure>\dspecup.log
- %systemroot%\debug\adprep\<dateheure>\ldif.log*
Moteur de déploiement Windows - Observateur d’événements\Journaux des applications et

PowerShell ADDSDeployment du des services\Microsoft\Windows\DirectoryServices-
Gestionnaire de serveur Deployment\Opérationnel
Services de maintenance Windows - %systemroot%\Logs\CBS\*

- %systemroot%\servicing\sessions\sessions.xml
- %systemroot%\winsxs\poqexec.log
- %systemroot%\winsxs\pending.xml

Dcdiag.exe
Repadmin.exe
AutoRuns.exe, Gestionnaire des tâches et MSInfo32.exe
Moniteur réseau 3.4 (ou un outil de capture et d'analyse de réseau tiers)

de configuration des contrôleurs de domaine
1. Est-ce qu'un simple problème de syntaxe est à l'origine de l'erreur ?
a. Avez-vous fait une faute de frappe ou oublié de fournir un argument à Windows

PowerShell ADDSDeployment ? Par exemple, si vous utilisez Windows PowerShell
ADDSDeployment, avez-vous oublié d'ajouter l'argument requis -domainname
avec un nom valide ?
b. Examinez soigneusement la sortie de console Windows PowerShell pour identifier

exactement la raison de l’échec de l’analyse de la ligne de commande fournie.
2. Est-ce que l'erreur est un échec de la configuration requise ?
a. De nombreuses erreurs qui s'affichaient en tant que résultats de promotion

irrécupérables sont maintenant évitées avec l'outil de vérification de la
configuration requise.
b. Lisez soigneusement le texte des erreurs de configuration requise. Ce texte fournit

les indications nécessaires pour résoudre la plupart des problèmes, car il s’agit de
scénarios contrôlés.
3. Est-ce que l'erreur est survenue pendant la promotion et est par conséquent
irrécupérable ?
a. Examinez soigneusement les résultats : de nombreuses erreurs ont des explications

simples, par exemple des mots de passe incorrects, une erreur de résolution de
nom de réseau ou des contrôleurs de domaine hors connexion critiques.
b. Recherchez dans les journaux Dcpromoui.log et dcpromo.log les erreurs affichées

dans la sortie, puis revenez en arrière pour afficher des indications sur la raison de
la défaillance.
i. Effectuez toujours une comparaison avec un exemple de journal opérationnel
ii. Recherchez les erreurs dans les journaux ADPrep uniquement si les résultats
indiquent un problème d'extension de schéma ou de la préparation de la forêt
ou du domaine.
iii. Recherchez les erreurs dans le journal des événements DirectoryServices-

Deployment uniquement si le journal Dcpromoui.log ne fournit pas assez de
détails ou se termine arbitrairement en raison d'une exception non gérée dans
le processus de configuration.
c. Recherchez dans les journaux des événements système, des applications ou des
services d'annuaire d'autres indicateurs d'un problème de configuration. Souvent,
la promotion du contrôleur de domaine est juste un symptôme d’une autre
configuration réseau incorrecte qui peut affecter tous les systèmes distribués.
d. Utilisez dcdiag.exe et repadmin.exe pour valider l'intégrité de la forêt globale et

indiquer des configurations incorrectes minimes qui peuvent empêcher une
promotion du contrôleur de domaine supplémentaire.
e. Utilisez AutoRuns.exe, le Gestionnaire des tâches ou MSinfo32.exe pour rechercher

sur l'ordinateur des logiciels tiers qui peuvent interférer.
i. Supprimez les logiciels tiers (il ne suffit pas de les désactiver, car cela n’empêche
pas le chargement des pilotes).
f. Installez NetMon 3.4 sur l'ordinateur sur lequel la promotion a échoué ainsi que
sur le contrôleur de domaine partenaire de réplication et analysez le processus de
promotion avec des captures réseau recto verso.
i. Effectuez une comparaison avec votre environnement de laboratoire

opérationnel pour comprendre à quoi ressemble une promotion correcte et où
se situe le problème.
ii. À ce stade, les erreurs sont probablement liées aux objets de la forêt, aux
modifications de sécurité autres que par défaut ou au réseau, et ce nouveau
contrôleur de domaine est victime des configurations incorrectes du système
DNS, des pare-feu, des logiciels de protection des intrusions hôtes ou d'autres
facteurs externes.
Résolution des problèmes d’événements et

messages d’erreur
La promotion et la rétrogradation des contrôleurs de domaine retournent toujours un code
à la fin de l’opération et, à la différence de la plupart des programmes, ne retournent pas
zéro en cas de réussite. Pour afficher le code à la fin de la configuration d'un contrôleur de
domaine, vous avez plusieurs possibilités :
1. Quand vous utilisez le Gestionnaire de serveur, examinez les résultats de la promotion

dans les dix secondes qui précèdent le redémarrage automatique.
2. Quand vous utilisez Windows PowerShell ADDSDeployment, examinez les résultats de

la promotion dans les dix secondes qui précèdent le redémarrage automatique. Vous
pouvez également choisir de ne pas redémarrer automatiquement à la fin de
l'opération. Vous devez ajouter le pipeline Format-List pour faciliter la lecture de la
sortie. Exemple :
Install-addsdomaincontroller <options> -norebootoncompletion:$true |

format-list
Les erreurs qui s’affichent pendant la vérification et la validation de la configuration

requise n’étant pas conservées après un redémarrage, elles sont visibles dans tous les
cas. Exemple :
3. Dans tout scénario, examinez dcpromo.log et dcpromoui.log.
７ Notes
Certaines des erreurs répertoriées ci-dessous ne sont plus possibles en raison

des modifications de configuration de contrôleur de domaine et de système
d'exploitation dans les systèmes d'exploitation ultérieurs. Les nouveaux codes
Windows PowerShell ADDSDeployment empêchent également certaines erreurs,
ce qui n'est pas le cas de dcpromo.exe /unattend ; voilà une autre raison
incontestable de transférer l'ensemble de votre automatisation actuelle de
DCPromo qui est déconseillé vers Windows PowerShell ADDSDeployment.
Codes de réussite de promotion et de rétrogradation
Code Explication Notes

d'erreur
1 Sortie, réussite Vous devez quand même redémarrer, cela indique juste
que l'indicateur de redémarrage automatique a été
supprimé
2 Sortie, réussite, redémarrage

nécessaire
3 Sortie, réussite, avec une Généralement affiché quand l'avertissement de

défaillance non critique délégation DNS est retourné. En l'absence de
configuration de la délégation DNS, utilisez :
-creatednsdelegation:$false
4 Sortie, réussite, avec une Généralement affiché quand l'avertissement de

défaillance non critique, délégation DNS est retourné. En l'absence de
redémarrage nécessaire configuration de la délégation DNS, utilisez :
-creatednsdelegation:$false
Codes d’échec de promotion et de rétrogradation

La promotion et la rétrogradation retournent les codes des messages d'échec suivants. Il
est également probable qu'il existe un message d'erreur étendue ; lisez toujours
attentivement l'intégralité du message d'erreur et non uniquement la partie numérique.
Code Explication Solution suggérée

d'erreur
11 La promotion du N'exécutez pas plusieurs instances de promotion du

contrôleur de domaine est contrôleur de domaine en même temps pour le même
déjà en cours d'exécution ordinateur cible
12 L'utilisateur doit être Ouvrez une session en tant que membre du groupe
administrateur Administrateurs intégré et vérifiez que vous procédez à une
élévation avec contrôle de compte d'utilisateur (UAC)
13 L'autorité de certification Vous ne pouvez pas rétrograder ce contrôleur de domaine,

est installée car il s'agit également d'une autorité de certification. Ne
supprimez pas l'autorité de certification avant d'avoir
soigneusement effectué l'inventaire de son utilisation ; si
elle émet des certificats, la suppression du rôle provoque un
arrêt. Il est déconseillé d'exécuter des autorités de
certification sur les contrôleurs de domaine
14 Exécution en mode de Démarrez le serveur en mode normal

démarrage sans échec
d'erreur
15 La modification du rôle est Vous devez redémarrer le serveur (en raison des
en cours ou nécessite un modifications de configuration antérieures) avant la
redémarrage promotion
16 Exécution sur la plateforme Peu de chances que cette erreur s'affiche

incorrecte
17 Aucun lecteur NTFS 5 Cette erreur n'est pas possible dans Windows Server 2012,
n'existe qui nécessite au moins %systemdrive% formaté en NTFS
18 Espace insuffisant dans Libérez de l'espace sur le volume %systemdrive% à l'aide de

windir cleanmgr.exe
19 Changement de nom en Redémarrez le serveur

attente. Un redémarrage
est nécessaire.
20 La syntaxe du nom Renommez l'ordinateur avec un nom valide

d'ordinateur est incorrecte
21 Ce contrôleur de domaine Ajoutez -demoteoperationmasterrole quand vous utilisez -

est propriétaire des rôles forceremoval.
FSMO, est un catalogue
global et/ou est un serveur
DNS.
22 TCP/IP doit être installé ou Vérifiez que TCP/IP est configuré et lié, et qu'il fonctionne
ne fonctionne pas correctement sur l'ordinateur
23 Le client DNS doit être Définissez un serveur DNS principal quand vous ajoutez un
configuré en premier nouveau contrôleur de domaine à un domaine
24 Les informations Vérifiez que vos nom d'utilisateur et mot de passe sont
d'identification fournies ne corrects
sont pas valides ou il
manque des éléments
requis
25 Le contrôleur de domaine Validez les paramètres des clients DNS et les règles de pare-
du domaine spécifié est feu
introuvable
26 Impossible de lire la liste Validez les paramètres des clients DNS, la fonctionnalité
de domaines dans la forêt LDAP et les règles de pare-feu
27 Nom de domaine absent Indiquez un domaine pendant la promotion ou la

rétrogradation
28 Nom de domaine incorrect Choisissez un autre nom de domaine DNS valide pendant la
promotion
d'erreur
29 Le domaine parent n'existe Vérifiez le domaine parent spécifié pendant la création d'un
pas domaine enfant ou d'arborescence
30 Domaine absent de la forêt Vérifiez le domaine parent fourni
31 Le domaine enfant existe Indiquez un autre nom de domaine

déjà
32 Nom de domaine NetBIOS Indiquez un nom de domaine NetBIOS valide

incorrect
33 Le chemin d'accès aux Validez le chemin d'accès au dossier d'installation à partir

fichiers IFM n'est pas valide du support
34 La base de données IFM Utilisez l'installation à partir du support appropriée pour ce

est incorrecte système d'exploitation et ce rôle (même version de système
d'exploitation, même type de contrôleur de domaine :
contrôleur de domaine en lecture seule ou contrôleur de
domaine en lecture-écriture)
35 SYSKEY manquant L'installation à partir du support est chiffrée et vous devez

fournir un SYSKEY valide pour l'utiliser
37 Le chemin d'accès pour la Remplacez le chemin d'accès de la base de données et des

base de données NTDS ou journaux par un volume NTFS fixe, et non un lecteur mappé
ses journaux n'est pas ou un chemin d'accès UNC
valide
38 Le volume n'a pas assez Libérez de l'espace à l'aide de cleanmgr.exe, ajoutez

d'espace pour la base de davantage d'espace disque, effacez manuellement de
données NTDS ou les l'espace en déplaçant ailleurs les données inutiles
journaux
39 Le chemin d'accès à Remplacez le chemin d'accès du dossier SYSVOL par un

SYSVOL est incorrect volume NTFS fixe, et non un lecteur mappé ou un chemin
d'accès UNC
40 Nom de site non valide Indiquez un nom de site existant
41 Mot de passe nécessaire Indiquez un mot de passe pour le compte DSRM ; il ne peut
pour le mode sans échec pas être vide, quel que soit le mode de configuration de la
stratégie de mot de passe
42 Le mot de passe pour le Indiquez un mot de passe pour le compte DSRM qui répond
mode sans échec ne aux règles configurées de la stratégie de mot de passe
répond pas aux critères
(promotion uniquement)
d'erreur
43 Le mot de passe Indiquez un mot de passe pour le compte d'administrateur

d'administrateur ne répond local qui répond aux règles configurées de la stratégie de
pas aux critères mot de passe
(rétrogradation
uniquement)
44 Le nom spécifié pour la Indiquez un nom de domaine DNS racine de forêt valide
forêt n'est pas valide
45 Une forêt avec le nom Indiquez un autre nom de domaine DNS racine de forêt
spécifié existe déjà
46 Le nom spécifié pour Indiquez un nom de domaine DNS d'arborescence valide

l'arborescence n'est pas
valide
47 Une arborescence avec le Indiquez un autre nom de domaine DNS d'arborescence

nom spécifié existe déjà
48 Le nom d'arborescence ne Indiquez un autre nom de domaine DNS d'arborescence

tient pas dans la structure
de la forêt
49 Le domaine spécifié Vérifiez le nom de domaine que vous avez tapé

n'existe pas
50 Pendant la rétrogradation, N'indiquez pas Dernier contrôleur de domaine du domaine

le dernier contrôleur de (-lastdomaincontrollerindomain) si ce n'est pas vrai. Utilisez
domaine a été détecté -ignorelastdcindomainmismatch s’il s’agit réellement du
même si ce n'est pas vrai, dernier contrôleur de domaine et qu’il existe des
ou le dernier contrôleur de métadonnées de contrôleur de domaine fantômes.
domaine a été spécifié,
mais ce n'est pas vrai
51 Des partitions d'application Indiquez Supprimer les partitions d'application (-

existent sur ce contrôleur removeapplicationpartitions)
de domaine
52 Un argument de ligne de Vu uniquement avec dcpromo /unattend, qui est déconseillé.

commande requis est Voir la documentation plus ancienne
manquant (autrement dit,
un fichier de réponses doit
être spécifié sur la ligne de
commande)
d'erreur
53 La Examinez l'erreur étendue et les journaux

promotion/rétrogradation
a échoué, l'ordinateur doit
être redémarré pour
nettoyage

a échoué

a été annulée par
l'utilisateur

a été annulée par
l'utilisateur, l'ordinateur
doit être redémarré pour
nettoyage
58 Un nom de site doit être Vous devez spécifier un site pour un contrôleur de domaine
spécifié pendant la en lecture seule, il n'en détecte pas un automatiquement
promotion du contrôleur comme un contrôleur de domaine en lecture-écriture
de domaine en lecture
seule
59 Pendant la rétrogradation, Indiquez qu'il s'agit du Dernier serveur DNS du domaine

ce contrôleur de domaine ou utilisez -ignorelastdnsserverfordomain
est le dernier serveur DNS
pour l'une de ses zones
60 Un contrôleur de domaine Promouvez au moins un contrôleur de domaine accessible

exécutant Windows en écriture Windows Server 2008 ou version ultérieure
Server 2008 ou version
ultérieure doit être présent
dans le domaine pour
promouvoir le contrôleur
de domaine en lecture
seule
61 Vous ne pouvez pas Impossible d'obtenir cette erreur

installer les services de
avec DNS dans un
domaine existant qui
n'héberge pas déjà un
serveur DNS
d'erreur
62 Le fichier de réponses ne Vu uniquement avec dcpromo /unattend, qui est déconseillé.

possède pas de section Voir la documentation plus ancienne.
[DCInstall]
63 Le niveau fonctionnel de Augmentez le niveau fonctionnel de forêt jusqu'au niveau

forêt est sous Windows natif de Windows Server 2003 au minimum. Windows 2000
Server 2003 et Windows NT 4.0 ne sont plus des systèmes d'exploitation
pris en charge
64 La promotion a échoué, car Installez le rôle AD DS

une détection binaire des
composants a échoué
65 La promotion a échoué, car Installez le rôle AD DS

une installation binaire des
composants a échoué
66 La promotion a échoué, car Examinez l'erreur étendue et les journaux ; le serveur ne

la détection du système parvient pas à retourner la version de son système
d'exploitation a échoué d'exploitation. Il est probable que l'ordinateur devra être
réinstallé, car son intégrité globale est hautement suspecte
68 Le partenaire de réplication Utilisez repadmin.exe ou Windows PowerShell Get-

n'est pas valide ADReplication\* pour valider l’intégrité du contrôleur de
domaine partenaire
69 Le port requis est déjà Utilisez netstat.exe -anob pour localiser les processus qui
utilisé par une autre sont incorrectement affectés à des ports AD DS réservés
application
70 Le contrôleur du domaine Vu uniquement avec dcpromo /unattend, qui est déconseillé.

racine de la forêt doit être Voir la documentation plus ancienne
un catalogue global
71 Le serveur DNS est déjà Ne spécifiez pas d'installer DNS (-installDNS) si le service

installé DNS est déjà installé
72 L'ordinateur exécute les Vous ne pouvez pas promouvoir ce contrôleur de domaine,

services Bureau à distance car il s'agit également d'un serveur des services Bureau à
en mode non- distance configuré pour plus de deux utilisateurs
administrateur administrateurs. Ne supprimez pas les services Bureau à
distance avant d'avoir soigneusement effectué l'inventaire
de leur utilisation ; s'ils sont utilisés par des applications ou
des utilisateurs finaux, la suppression provoque un arrêt
73 Le niveau fonctionnel de Indiquez un niveau fonctionnel de forêt valide

forêt spécifié n'est pas
valide.
d'erreur
74 Le niveau fonctionnel de Indiquez un niveau fonctionnel de domaine valide

domaine spécifié n'est pas
valide.
75 Impossible de déterminer Validez que la stratégie de réplication de mot de passe de

la stratégie de réplication contrôleur de domaine en lecture seule existe et est
de mot de passe par accessible
défaut.
76 Les groupes de sécurité Confirmez que vous avez tapé des comptes d'utilisateur et
répliqués/non répliqués de domaine valides quand vous avez spécifié une stratégie
spécifiés ne sont pas de réplication de mot de passe
valides
77 L'argument spécifié n'est Examinez l'erreur étendue et les journaux

pas valide
78 Échec de l'examen de la Examinez l'erreur étendue et les journaux

forêt Active Directory
79 Le contrôleur de domaine Utilisez Windows Server 2012 pour préparer la forêt ou

en lecture seule ne peut utilisez adprep.exe /rodcprep
pas être promu, car la
commande rodcprep n'a
pas été exécutée
80 La commande Domainprep Utilisez Windows Server 2012 pour préparer le domaine ou

n'a pas été exécutée utilisez adprep.exe /domainprep
81 La commande Forestprep Utilisez Windows Server 2012 pour préparer la forêt ou

n'a pas été exécutée utilisez adprep.exe /forestprep
82 Incompatibilité du schéma Utilisez Windows Server 2012 pour préparer la forêt ou

de la forêt utilisez adprep.exe /forestprep
83 Référence non prise en Peu de chances que cette erreur s'affiche

charge
84 Impossible de détecter un Confirmez que l'attribut de contrôle de compte d'utilisateur

compte de contrôleur de correct est défini pour les contrôleurs de domaine existants.
domaine
85 % Impossible de sélectionner Ce message est retourné si vous indiquez « Utiliser un

un compte de contrôleur compte existant » mais qu'aucun compte n'est trouvé ou
de domaine pour la qu'une erreur survient pendant la recherche de compte.
phase 2 Vérifiez que vous avez fourni le compte intermédiaire de
contrôleur de domaine en lecture seule correct
d'erreur
86 Exécution de la phase 2 de Ce message est retourné si vous promouvez un autre

la promotion nécessaire contrôleur de domaine, mais qu'il existe déjà un compte et
que l'option « Autoriser la réinstallation » n'a pas été
spécifiée
87 Il existe un compte de Renommez l'ordinateur avant la promotion si vous

contrôleur de domaine de n'essayez pas la connexion à un contrôleur de domaine
type incompatible inoccupé. Vous devez vous connecter au compte du
contrôleur de domaine inoccupé en utilisant -
useexistingaccount et l’argument de lecture seule ou
d’accès en écriture, selon le type de compte.
88 L'administrateur de serveur Vous avez spécifié un compte non valide pour la délégation
spécifié n'est pas valide de l'administration du contrôleur de domaine en lecture
seule. Vérifiez que le compte spécifié est un groupe ou un
utilisateur valide
89 Le maître RID du domaine Utilisez netdom.exe query fsmo pour détecter le maître
spécifié est hors RID. Mettez-le en ligne et rendez-le accessible au contrôleur
connexion. de domaine que vous promouvez
90 Le maître d'opérations des Utilisez netdom.exe query fsmo pour détecter le maître
noms de domaine est hors d'opérations des noms de domaine. Mettez-le en ligne et
connexion. rendez-le accessible au contrôleur de domaine que vous
promouvez
91 Impossible de détecter si le Il n'est plus possible d'obtenir cette erreur, car le système
processus est wow64 d'exploitation est 64 bits
92 Le processus Wow64 n'est Il n'est plus possible d'obtenir cette erreur, car le système
pas pris en charge d'exploitation est 64 bits
93 Le service du contrôleur de Démarrez les services de domaine Active Directory

domaine n'est pas exécuté
pour la rétrogradation non
forcée
94 Le mot de passe de Fournissez un mot de passe non vide et vérifiez que la

l'administrateur local ne stratégie de mot de passe local nécessite un mot de passe
répond pas aux conditions
requises : vide ou non
requis
d'erreur
95 Impossible de rétrograder Vous devez d'abord rétrograder tous les contrôleurs de

le dernier contrôleur de domaine en lecture seule avant de pouvoir rétrograder tous
domaine Windows les contrôleurs de domaine accessibles en écriture Windows
Server 2008 ou version Server 2008 ou version ultérieure
ultérieure dans le domaine
où les contrôleurs de
dynamiques existent
96 Impossible de désinstaller Vu uniquement avec dcpromo /unattend, qui est déconseillé.

les fichiers binaires du Voir la documentation plus ancienne
service d'annuaire
97 La version du niveau Indiquez un niveau fonctionnel de domaine enfant

fonctionnel de forêt est supérieur ou égal au niveau fonctionnel de forêt
supérieure à celle du
système d'exploitation du
domaine enfant
98 L'installation/la Vu uniquement avec dcpromo /unattend, qui est déconseillé.

désinstallation binaire des Voir la documentation plus ancienne
composants est en cours.
99 Le niveau fonctionnel de Augmentez le niveau fonctionnel de forêt jusqu'au niveau

forêt est trop faible natif de Windows Server 2003 au minimum. Windows 2000
(l'erreur ne concerne que et Windows NT 4.0 ne sont plus des systèmes d'exploitation
Windows Server 2012) pris en charge
100 Le niveau fonctionnel de Augmentez le niveau fonctionnel de domaine jusqu'au

domaine est trop faible niveau natif de Windows Server 2003 au minimum.
(l'erreur ne concerne que Windows 2000 et Windows NT 4.0 ne sont plus des
Windows Server 2012) systèmes d'exploitation pris en charge
Problèmes connus et scénarios de support

courants
Voici des problèmes fréquemment rencontrés durant le processus de développement
relatif à Windows Server 2012. Il s'agit de problèmes « de conception ». Il existe soit une
solution valide, soit une technique plus appropriée pour les éviter. Un grand nombre de ces
comportements sont identiques dans Windows Server 2008 R2 et les systèmes
d'exploitation plus anciens, mais la réécriture du déploiement des services AD DS génère
un intérêt accru envers ces problèmes.
Problème La rétrogradation d'un contrôleur de domaine laisse DNS s'exécuter sans zones
Problème La rétrogradation d'un contrôleur de domaine laisse DNS s'exécuter sans zones
Symptômes Le serveur répond toujours aux demandes DNS mais n'a aucune information de zone
Résolution Quand vous supprimez le rôle AD DS, supprimez également le rôle Serveur DNS ou
et définissez le service Serveur DNS comme étant désactivé. Gardez à l'esprit que le client
remarques DNS doit pointer vers un autre serveur que lui-même. Si vous utilisez Windows
PowerShell, exécutez la commande suivante après avoir rétrogradé le serveur :
Code - uninstall-windowsfeature dns
ou
Code - set-service dns -starttype disabled
stop-service dns
Problème La promotion d'un ordinateur Windows Server 2012 en un domaine en une partie

existant ne configure pas updatetopleveldomain=1 ni
allowsinglelabeldnsdomain=1
Symptômes L'inscription d'enregistrement dynamique DNS ne se produit pas
Résolution Définissez ces valeurs en utilisant les stratégies de groupes Netlogon et DNS. Microsoft
et a commencé à bloquer la création de domaine en une partie dans Windows
remarques Server 2008 ; vous pouvez utiliser l'outil de migration Active Directory (ADMT) ou l'outil
de changement de nom pour passer à une structure de domaine DNS approuvée.
Problème La rétrogradation du dernier contrôleur de domaine dans un domaine échoue s'il

existe des comptes de contrôleur de domaine en lecture seule inoccupés et
précréés
Symptômes La rétrogradation échoue avec le message suivant :

Dcpromo.General.54
Les services de domaine Active Directory n'ont pas trouvé un autre contrôleur de
domaine Active Directory pour transférer les données restantes dans la partition
d'annuaire CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com.
« Le format du nom de domaine spécifié n'est pas valide. »
Résolution Supprimez tous les comptes de contrôleur de domaine en lecture seule précréés
et restants avant de rétrograder un domaine en utilisant Dsa.msc ou Ntdsutil.exe
remarques metadata cleanup.
Problème La préparation automatisée de la forêt et du domaine n'exécute pas GPPREP
Symptômes La fonctionnalité de planification interdomaine pour la stratégie de groupe, le mode de

planification du jeu de stratégie résultant (RSOP), nécessite les autorisations sur le
système de fichiers et Active Directory mises à jour pour la stratégie de groupe
existante. Sans Gpprep, vous ne pouvez pas utiliser la planification RSOP sur plusieurs
domaines.
Problème La préparation automatisée de la forêt et du domaine n'exécute pas GPPREP
Résolution Exécutez adprep.exe /gpprep manuellement pour tous les domaines qui n'étaient pas
et auparavant préparés pour Windows Server 2003, Windows Server 2008 ni Windows
remarques Server 2008 R2. Les administrateurs ne doivent exécuter GPPrep qu'une seule fois dans
l'historique d'un domaine et non avec chaque mise à niveau. Cette commande n'est
pas exécutée par le processus adprep automatique car, si vous avez déjà défini des
autorisations personnalisées appropriées, l'opération peut provoquer une nouvelle
réplication de tout le contenu du dossier SYSVOL sur tous les contrôleurs de domaine.
Problème L'installation à partir du support ne peut pas effectuer de vérification quand elle
pointe vers un chemin d'accès UNC
Symptômes Erreur retournée :

Code - Impossible de valider le chemin de support. Exception lors de l’appel de
« GetDatabaseInfo » avec « 2 » arguments. Le dossier est incorrect.
Résolution Vous devez stocker des fichiers IFM sur un disque local, et non un chemin d'accès UNC
et distant. Ce blocage intentionnel empêche une promotion partielle du serveur en raison
remarques d'une interruption réseau.
Problème Un avertissement relatif à la délégation DNS s'affiche à deux reprises pendant la

promotion du contrôleur de domaine
Symptômes Avertissement renvoyé deux fois en cas de promotion à l’aide de Windows PowerShell
ADDSDeployment :
Code - « Il est impossible de créer une délégation pour ce serveur DNS, car la zone
parente faisant autorité est introuvable ou elle n’exécute pas le serveur DNS Windows.
Si vous procédez à l’intégration avec une infrastructure DNS existante, vous devez
manuellement créer une délégation avec ce serveur DNS dans la zone parente pour
activer une résolution de noms fiable en dehors du domaine. Sinon, aucune action
n’est requise. »
Résolution à ignorer. Windows PowerShell ADDSDeployment affiche d'abord l'avertissement

et pendant la vérification de la configuration requise, puis une nouvelle fois pendant la
remarques configuration du contrôleur de domaine. Si vous ne voulez pas configurer la délégation
DNS, utilisez l'argument :
Code - -creatednsdelegation:$false
N'ignorez pas les vérifications de la configuration requise afin de supprimer ce

message
Problème La spécification d'informations d'identification UPN ou externes au domaine

pendant la configuration retourne des erreurs trompeuses
Problème La spécification d'informations d'identification UPN ou externes au domaine
pendant la configuration retourne des erreurs trompeuses
Symptômes Le Gestionnaire de serveur retourne une erreur :

Code - Exception lors de l’appel de « DNSOption » avec « 6 » arguments
Windows PowerShell ADDSDeployment retourne une erreur :
Code - Échec de la vérification des autorisations utilisateur. Vous devez fournir le

nom du domaine auquel appartient ce compte d’utilisateur.
Résolution et Vérifiez que vous fournissez des informations d'identification de domaine valides
remarques sous la forme domaine\utilisateur.
Problème La suppression du rôle DirectoryServices-DomainController à l'aide de Dism.exe

aboutit à l'impossibilité de redémarrer le serveur
Symptômes Si vous utilisez Dism.exe pour supprimer le rôle AD DS avant de rétrograder un
contrôleur de domaine de manière appropriée, le serveur ne démarre plus
normalement et affiche l'erreur suivante :
Code - État : 0x000000000
Info : une erreur inattendue s’est produite.
Résolution Démarrez en mode de réparation des services d'annuaire à l'aide de Maj+F8. Rajoutez
et le rôle AD DS, puis rétrogradez de force le contrôleur de domaine. Vous pouvez
remarques également restaurer l'état du système à partir de la sauvegarde. N'utilisez pas Dism.exe
pour la suppression du rôle AD DS ; l'utilitaire ne connaît pas les contrôleurs de
domaine.
Problème L'installation d'une nouvelle forêt échoue quand forestmode a la valeur Win2012
Symptômes La promotion avec Windows PowerShell ADDSDeployment retourne une erreur :

Code - Test.VerifyDcPromoCore.DCPromo.General.74
Échec de la vérification des conditions préalables pour la promotion du contrôleur de

domaine. Le niveau fonctionnel de domaine spécifié n’est pas valide.
Résolution Ne spécifiez pas le mode fonctionnel de forêt Win2012 sans spécifier également le
et mode fonctionnel de domaine Win2012. Voici un exemple qui fonctionnera sans
remarques erreurs :
Code - -forestmode Win2012 -domainmode Win2012]
Problème Le fait de cliquer sur Vérifier dans la zone de sélection Installation à partir du
support semble n'avoir aucun effet
Symptômes Quand vous spécifiez un chemin d'accès à un dossier IFM, le fait de cliquer sur le
bouton Vérifier ne retourne jamais un message ni ne semble avoir un effet.
Problème Le fait de cliquer sur Vérifier dans la zone de sélection Installation à partir du
support semble n'avoir aucun effet
Résolution Le bouton Vérifier retourne uniquement des erreurs en cas de problèmes. Sinon, il
et vous permet de sélectionner le bouton Suivant si vous avez indiqué un chemin d'accès
remarques IFM. Vous devez cliquer sur Vérifier pour continuer si vous avez sélectionné IFM.
Problème La rétrogradation avec le Gestionnaire de serveur ne fournit pas de commentaires

avant la fin de l'opération.
Symptômes Quand vous utilisez le Gestionnaire de serveur pour supprimer le rôle AD DS et
rétrograder un contrôleur de domaine, aucun commentaire n'est donné tant que la
rétrogradation n'est pas terminée ou n'a pas échoué.
Résolution Il s'agit d'une limitation du Gestionnaire de serveur. Pour les commentaires, utilisez
et l'applet de commande Windows PowerShell ADDSDeployment :
remarques Code - Uninstall-AddsDomainController
Problème Le bouton Vérifier de l'option Installation à partir du support ne détecte pas le

support du contrôleur de domaine en lecture seule fourni pour le contrôleur de
domaine en lecture-écriture, ou inversement.
Symptômes Pendant la promotion d'un nouveau contrôleur de domaine à l'aide d'IFM et en

fournissant un support incorrect à IFM (par exemple un support de contrôleur de
domaine en lecture seule pour un contrôleur de domaine en lecture-écriture, ou un
support de contrôleur de domaine en lecture-écriture pour un contrôleur de domaine
en lecture seule), le bouton Vérifier ne retourne pas d'erreur. Plus tard, la promotion
échoue avec l'erreur suivante :
Code - Une erreur s’est produite en cours de tentative de configuration de cet
ordinateur en tant que Contrôleur de domaine.
La promotion IFM (Install-From-Media) d’un contrôleur de domaine en lecture seule ne

peut pas démarrer, car la base de données source spécifiée n’est pas autorisée. Seules
les bases de données d’autres contrôleurs de domaine en lecture seule peuvent être
utilisées pour la promotion IFM d’un contrôleur de domaine en lecture seule.
Résolution Le bouton Vérifier ne valide que l'intégrité globale d'IFM. Ne fournissez pas le type IFM
et incorrect à un serveur. Redémarrez le serveur avant de retenter la promotion avec le
remarques support approprié.
Problème La promotion d'un contrôleur de domaine en lecture seule dans un compte d'ordinateur
précréé échoue
Symptômes Quand vous utilisez Windows PowerShell ADDSDeployment pour promouvoir un nouveau
contrôleur de domaine en lecture seule avec un compte d'ordinateur intermédiaire, vous
recevez l'erreur suivante :
Code - Le jeu de paramètres ne peut pas être résolu à l’aide des paramètres nommés spécifiés.
InvalidArgument: ParameterBindingException
+ FullyQualifiedErrorId :
AmbiguousParameterSet,Microsoft.DirectoryServices.Deployment.PowerShell.Commands.Install
Problème La promotion d'un contrôleur de domaine en lecture seule dans un compte d'ordinateur
précréé échoue
Résolution Ne fournissez pas des paramètres déjà définis sur un compte de contrôleur de domaine en
et lecture seule précréé. Il s’agit notamment des paramètres suivants :
remarques Code - -readonlyreplica
-installdns
-donotconfigureglobalcatalog
-sitename
-installdns
Problème Le fait de sélectionner ou de désélectionner « Redémarrer automatiquement le

serveur de destination, si nécessaire » n'a aucun effet
Symptômes Si vous sélectionnez ou désélectionnez l’option du Gestionnaire de serveur

Redémarrer automatiquement le serveur de destination, si nécessaire quand vous
rétrogradez un contrôleur de domaine via une suppression du rôle, le serveur
redémarre toujours, quel que soit votre choix.
Résolution Ceci est intentionnel. Le processus de rétrogradation redémarre le serveur, quelle que
et soit la valeur de ce paramètre.
remarques
Problème Dcpromo.log affiche « [erreur] la définition de la sécurité sur les fichiers du

serveur a échoué avec la valeur 2 »
Symptômes La rétrogradation d'un contrôleur de domaine s'est déroulée sans problèmes, mais
l'examen du journal dcpromo indique l'erreur suivante :
Code - [erreur] La définition de la sécurité sur les fichiers du serveur a échoué avec la
valeur 2
Résolution et Ignorez cette erreur, elle est prévue et cosmétique.

remarques
Problème La vérification adprep de la configuration requise échoue avec l'erreur

« Impossible d'effectuer un contrôle de conflit de schéma Exchange »
Symptômes Quand vous tentez de promouvoir un contrôleur de domaine Windows Server 2012

dans une forêt Windows Server 2003, Windows Server 2008 ou Windows
Server 2008 R2, la vérification de la configuration requise échoue avec l'erreur :
Code - Échec de la vérification des conditions préalables pour la préparation AD.
Impossible d’effectuer un contrôle de conflit de schéma Exchange pour le domaine
<nom de domaine> (exception : le serveur RPC n’est pas disponible)
Le journal adprep.log affiche l'erreur suivante :
Code - Adprep n’a pas réussi à récupérer les données depuis le serveur <contrôleur de
domaine>
via WMI (Windows Management Instrumentation).

Problème La vérification adprep de la configuration requise échoue avec l'erreur
« Impossible d'effectuer un contrôle de conflit de schéma Exchange »
Résolution Le nouveau contrôleur de domaine ne peut pas accéder à WMI via les protocoles
et DCOM/RPC sur les contrôleurs de domaine existants. Jusqu'à présent, trois causes ont
remarques été identifiées :
- Une règle de pare-feu bloque l’accès aux contrôleurs de domaine existants
- Le compte SERVICE RÉSEAU est absent du privilège « Se connecter en tant que
service » (SeServiceLogonRight) sur les contrôleurs de domaine existants
- NTLM est désactivé sur les contrôleurs de domaine, à l’aide des stratégies de sécurité
décrites dans Présentation des limites de l’authentification NTLM
Problème La création d'une forêt AD DS affiche toujours un avertissement DNS
Symptômes Pendant la création d'une forêt AD DS et de la zone DNS sur le nouveau contrôleur de
domaine pour lui-même, vous recevez toujours le message d'avertissement suivant :
Code - Une erreur a été détectée dans la configuration de DNS.
Aucun serveur DNS utilisé par cet ordinateur n’a répondu dans l’intervalle du délai
d’expiration.
(code d’erreur 0x000005B4 « ERROR_TIMEOUT »)
Résolution à ignorer. Cet avertissement est intentionnel sur le premier contrôleur de domaine
et dans le domaine racine d'une nouvelle forêt, au cas où vous envisageriez de pointer
remarques vers une zone et un serveur DNS existants.
Problème L'argument -whatif Windows PowerShell retourne des informations incorrectes

sur le serveur DNS
Symptômes Si vous utilisez l'argument -whatif pendant la configuration d'un contrôleur de

domaine avec -installdns:$true implicite ou explicite, la sortie produite affiche :
Code - « Serveur DNS : Non »
Résolution à ignorer. DNS est installé et configuré correctement.

et
remarques
Problème Après la promotion, l'ouverture de session échoue avec « Espace insuffisant pour
traiter cette commande »
Symptômes Après avoir promu un contrôleur de domaine, puis fermé la session et retenté de
l'ouvrir de façon interactive, l'erreur suivante s'affiche :
Code - Espace insuffisant pour traiter cette commande
Résolution Le contrôleur de domaine n'a pas été redémarré après la promotion, en raison d'une
et erreur ou car vous avez spécifié l'argument Windows PowerShell ADDSDeployment -
remarques norebootoncompletion. Redémarrez le contrôleur de domaine.
Problème Le bouton Suivant n'est pas disponible dans la page Options du contrôleur de
domaine
Symptômes Même si vous avez défini un mot de passe, le bouton Suivant dans la page Options du
contrôleur de domaine du Gestionnaire de serveur n'est pas disponible. Aucun site
n'est répertorié dans le menu Nom du site.
Résolution Vous disposez de plusieurs sites AD DS et au moins l'un d'entre eux n'a pas de sous-
et réseaux ; ce futur contrôleur de domaine appartient à l'un de ces sous-réseaux. Vous
remarques devez sélectionner manuellement le sous-réseau à partir du menu déroulant Nom du
site. Vous devez également passer en revue tous les sites AD DS à l'aide de
DSSITE.MSC ou utiliser la commande Windows PowerShell suivante pour rechercher
tous les sous-réseaux manquants des sites :
Code - get-adreplicationsite -filter * -property subnets | where-object {!$_.subnets -eq
"*"} | format-table name
Problème La promotion ou la rétrogradation échoue avec le message « Impossible de

démarrer le service »
Symptômes Si vous tentez une promotion, une rétrogradation ou un clonage d'un contrôleur de
domaine, l'erreur suivante s'affiche :
Code - Le service ne peut pas être démarré parce qu’il est désactivé ou qu’aucun
périphérique activé ne lui est associé (0x80070422)
L'erreur peut être interactive, se présenter comme un événement ou être écrite dans
un journal tel que dcpromoui.log ou dcpromo.log
Résolution Le service de serveur de rôles du service d'annuaire (DsRoleSvc) est désactivé. Par
et défaut, ce service est installé pendant l'installation de rôle AD DS et le type de
remarques démarrage Manuel est défini. Ne désactivez pas ce service. Réaffectez-lui la valeur
Manuel et autorisez le démarrage et l'arrêt des opérations de rôles du service
d'annuaire à la demande. Ce comportement est normal.
Problème Le Gestionnaire de serveur vous avertit quand même que vous devez promouvoir
le contrôleur de domaine
Symptômes Si vous promouvez un contrôleur de domaine en utilisant la commande dcpromo.exe

/unattend déconseillée ou mettez à niveau un contrôleur de domaine Windows
Server 2008 R2 existant en place vers Windows Server 2012, le Gestionnaire de serveur
affiche quand même la tâche de configuration de post-déploiement Promouvoir ce
serveur en contrôleur de domaine.
Résolution Cliquez sur le lien de l'avertissement de post-déploiement et le message disparaît

et définitivement. Ce comportement est cosmétique et prévu.
remarques
Problème Le script de déploiement du Gestionnaire de serveur n'a pas l'élément

d'installation du rôle
Problème Le script de déploiement du Gestionnaire de serveur n'a pas l'élément
d'installation du rôle
Symptômes Si vous promouvez un contrôleur de domaine à l'aide du Gestionnaire de serveur et

enregistrez le script de déploiement Windows PowerShell, il n'inclut pas l'applet de
commande d'installation du rôle ni les arguments (install-windowsfeature -name ad-
domain-services -includemanagementtools). Sans le rôle, le contrôleur de domaine ne
peut pas être configuré.
Résolution Ajoutez manuellement cette applet de commande et les arguments à tous les scripts.
et Ce comportement est prévu et normal.
remarques
Problème Le script de déploiement du Gestionnaire de serveur ne s'appelle pas PS1
Symptômes Si vous promouvez un contrôleur de domaine à l'aide du Gestionnaire de serveur et

enregistrez le script de déploiement Windows PowerShell, le fichier reçoit un nom
temporaire aléatoire et n'est pas nommé comme un fichier PS1.
Résolution Renommez manuellement le fichier. Ce comportement est prévu et normal.

et
remarques
Problème Dcpromo /unattend autorise des niveaux fonctionnels non pris en charge
Problème Dcpromo /unattend autorise des niveaux fonctionnels non pris en charge
Symptômes Si vous promouvez un contrôleur de domaine à l'aide de dcpromo /unattend avec

l'exemple de fichier de réponses suivant :
Code -
[DCInstall]
NewDomain=Forest
ReplicaOrNewDomain=Domain
NewDomainDNSName=corp.contoso.com
SafeModeAdminPassword=Safepassword@6
DomainNetbiosName=corp
DNSOnNetwork=Yes
AutoConfigDNS=Yes
RebootOnSuccess=NoAndNoPromptEither
RebootOnCompletion=No
DomainLevel=0
ForestLevel=0
La promotion échoue avec les erreurs suivantes dans dcpromoui.log :
Code - dcpromoui EA4.5B8 0089 13:31:50.783 Enter

CArgumentsSpec::ValidateArgument DomainLevel
dcpromoui EA4.5B8 008A 13:31:50.783 La valeur de DomainLevel est 0
dcpromoui EA4.5B8 008B 13:31:50.783 Le code de sortie est 77
dcpromoui EA4.5B8 008C 13:31:50.783 L’argument spécifié n’est pas valide.
dcpromoui EA4.5B8 008D 13:31:50.783 fermeture du journal
dcpromoui EA4.5B8 0032 13:31:50.830 Le code de sortie est 77
Le niveau 0 représente Windows 2000, qui n'est pas pris en charge dans Windows
Server 2012.
Résolution N'utilisez pas la commande dcpromo /unattend déconseillée et comprenez qu'elle

et vous permet de spécifier des paramètres non valides qui échouent par la suite. Ce
remarques comportement est prévu et normal.
Problème La promotion « se bloque » lors de la création de l’objet Paramètres NTDS et n’est
jamais achevée
Problème La promotion « se bloque » lors de la création de l’objet Paramètres NTDS et n’est
jamais achevée
Symptômes Si vous promouvez un contrôleur de domaine répliqué ou un contrôleur de domaine

en lecture seule, la promotion atteint l’étape « Création de l’objet Paramètres NTDS »
et ne continue ni ne s’achève jamais. Les journaux arrêtent également la mise à jour.
Résolution Il s'agit d'un problème connu qui survient quand les informations d'identification du
et compte d'administrateur local intégré sont fournies avec un mot de passe
remarques correspondant au compte d'administrateur de domaine intégré. Cela entraîne une
défaillance du moteur d'installation principal qui ne génère pas d'erreur, mais attend
en revanche indéfiniment (quasi-boucle). Ce comportement est prévu, même s’il n’est
pas souhaitable.
Pour réparer le serveur :
1. Redémarrez-le.
1. Dans Active Directory, supprimez le compte d’ordinateur membre de ce serveur (il

ne s’agit pas encore d’un compte de contrôleur de domaine).
1. Sur ce serveur, retirez-le de force du domaine.
1. Sur ce serveur, supprimez le rôle AD DS.
1. Redémarrez.
1. Ajoutez de nouveau le rôle AD DS et tentez de nouveau la promotion, en vérifiant

que vous fournissez toujours les informations d’identification au format
domaine\administrateur à la promotion de contrôleur de domaine et non uniquement
le compte d’administrateur local intégré.
Opérations des services AD DS

Cette section fournit des liens vers les fonctions et les fonctions liées à l’administration
quotidienne, aux tâches de gestion et d’automatisation pour Active Directory Domain
Services.
Meilleures pratiques pour la sécurisation d’Active Directory

Active Directory la gestion de la topologie et de la réplication à l’aide de Windows
PowerShell
Gestion de l’émission RID
Mises à jour des composants Active Directory Domain Services
Guide de récupération de forêt Active
Directory
s’applique à : Windows server 2022, Windows server 2019, Windows Server 2016,
Windows Server 2012 et 2012 r2, Windows server 2008 et 2008 r2, Windows server
2003
Ce guide contient les recommandations recommandées pour la récupération d’un

Active Directory® forêt si une défaillance à l’ensemble de la forêt rend tous les
contrôleurs de domaine de la forêt incapables de fonctionner normalement. Les étapes
qu’il contient servent de modèle pour votre plan de récupération de forêt, que vous
pouvez personnaliser pour votre environnement particulier. ces étapes s’appliquent aux
contrôleurs de contrôle qui exécutent les systèmes d’exploitation Microsoft® Windows
Server 2016, 2012 r2, 2012, 2008 r2, 2008 et 2003.
７ Notes
les procédures uniques pour les contrôleurs de domaine qui exécutent Windows
server 2003 sont consolidées dans la récupération de forêt active directory
Windows server 2003.
Étapes décrites dans ce guide

Récupération de la forêt Active Directory : conditions préalables
Récupération de la forêt Active Directory-élaboration d’un plan de récupération de
forêt personnalisé
Récupération de la forêt Active Directory : étapes de récupération
Récupération de la forêt Active Directory-identifier le problème
Récupération de la forêt Active Directory-déterminer comment récupérer
Récupération de la forêt Active Directory-effectuer la récupération initiale
Récupération de la forêt Active Directory : procédures
Récupération de la forêt Active Directory-Forum aux questions
Récupération de la forêt Active Directory-récupération d’un domaine unique au
sein d’une forêt à plusieurs domaines
Récupération de la forêt Active Directory : virtualisation
récupération de forêt AD-récupération de forêt avec les contrôleurs de domaine
Windows Server 2003
Prérequis pour la récupération de la
Windows Server 2012 et 2012 r2, Windows server 2008 et 2008 r2
Le document suivant traite des conditions préalables que vous devez connaître avant de
concevoir un plan de récupération de forêt ou de tenter une récupération.
Hypothèses pour l’utilisation de ce guide

1. Vous avez travaillé avec un Support Microsoft professionnel et :
Déterminez la cause de l’échec à l’ensemble de la forêt. Ce guide ne suggère

pas de cause de défaillance ou recommande des procédures pour empêcher
la défaillance.
Évalué les remèdes possibles.
Conclu, en consultation avec Support Microsoft, le fait de restaurer
l’ensemble de la forêt à son état avant la défaillance est la meilleure façon de
récupérer après l’échec. Dans de nombreux cas, la récupération de la forêt
doit être la dernière option.
2. Vous avez suivi les recommandations de Microsoft en matière de meilleures

pratiques pour l’utilisation de DNS (Domain Name System) intégré à Active
Directory. Plus précisément, il doit y avoir une zone DNS intégrée à la Active
Directory pour chaque domaine Active Directory.
Si ce n’est pas le cas, vous pouvez toujours utiliser les principes de base de ce
guide pour effectuer une récupération de forêt. Toutefois, vous devrez
prendre des mesures spécifiques pour la récupération DNS en fonction de
votre propre environnement. Pour plus d’informations sur l’utilisation de DNS
intégré à Active Directory, consultez création d’une conception
d’infrastructure DNS.
3. Bien que ce guide soit conçu comme un guide générique pour la récupération de
forêt, tous les scénarios possibles ne sont pas couverts. par exemple, à partir de
Windows server 2008, il existe une version server Core, qui est une version
complète de Windows Server, mais sans interface utilisateur graphique complète.
Bien qu’il soit possible de récupérer une forêt composée uniquement de
contrôleurs de service qui exécutent Server Core, ce guide ne contient aucune
instruction détaillée. Toutefois, en fonction des instructions présentées ici, vous
serez en mesure de concevoir vous-même les actions de ligne de commande
requises.
７ Notes
Bien que les objectifs de ce guide concernent la récupération de la forêt et la

maintenance ou la restauration de la fonctionnalité DNS complète, la récupération
peut entraîner une configuration DNS qui est modifiée par rapport à la
configuration avant la défaillance. Une fois la forêt Récupérée, vous pouvez revenir
à la configuration DNS d’origine. Les recommandations de ce guide ne décrivent
pas comment configurer des serveurs DNS pour effectuer la résolution de noms
d’autres parties de l’espace de noms d’entreprise où des zones DNS ne sont pas
stockées dans AD DS.
Concepts relatifs à l’utilisation de ce guide

Avant de commencer la planification de la récupération d’une forêt Active Directory,
vous devez être familiarisé avec les éléments suivants :
Concepts fondamentaux de Active Directory

L’importance des rôles de maître d’opérations (également appelés opérations à
maître unique flottant ou FSMO). Il s'agit des rôles suivants :
Contrôleur de schéma
Maître d’attribution de noms de domaine
Maître RID (relative ID)
Maître d’émulateur de contrôleur de domaine principal (PDC)
Maître d'infrastructure
En outre, vous devez avoir sauvegardé et restauré AD DS et SYSVOL dans un

environnement de laboratoire régulièrement. Pour plus d’informations, consultez
sauvegarde des données d’État du système et exécution d’une restauration ne faisant
pas autorité de Active Directory Domain Services.
Étapes suivantes
Récupération de la forêt Active Directory-élaboration d’un plan de récupération
de forêt personnalisé


Windows Server 2003
Récupération de la forêt Active
Directory : étapes de restauration de la
forêt
Cette section fournit une vue d’ensemble du chemin d’accès recommandé pour la
récupération d’une forêt. Les étapes de récupération de la forêt sont décrites en détail
plus loin.
La liste suivante résume les étapes de récupération à un niveau élevé :
1. Identifier le problème
Collaborez avec le service informatique et Support Microsoft pour déterminer

l’étendue du problème et des causes potentielles, et évaluez les solutions possibles
avec toutes les parties prenantes de l’entreprise. Dans de nombreux cas, la
récupération de forêt totale doit être la dernière option.
2. Décider comment récupérer la forêt
Après avoir déterminé que la récupération de forêt est nécessaire, effectuez les
étapes préliminaires pour la préparer : déterminer la structure actuelle de la forêt,
identifier les fonctions effectuées par chaque contrôleur de domaine, décider du
contrôleur de domaine à restaurer pour chaque domaine et vérifier que tous les
contrôleurs de domaine accessibles en écriture sont mis hors connexion.
3. Effectuer la récupération initiale
En isolation, récupérez un contrôleur de domaine pour chaque domaine, nettoyez-

les, puis reconnectez les domaines. Réinitialiser les comptes privilégiés et résoudre
les problèmes causés par des violations de sécurité dans cette phase.
4. Redéployer les contrôleurs de contrôle restants
Redéployez la forêt pour la ramener à son état avant la défaillance. Cette étape
doit être adaptée à votre conception et à vos exigences spécifiques. Le clonage des
contrôleurs de domaine virtualisés peut vous aider à accélérer ce processus.
5. Nettoyage
Une fois que la fonctionnalité a été restaurée, reconfigurez la résolution de noms

en fonction des besoins et récupérez les applications LOB opérationnelles.
Les étapes de ce guide sont conçues pour réduire la possibilité de réintroduire des
données dangereuses dans la forêt récupérée. Vous devrez peut-être modifier ces
étapes pour prendre en compte les facteurs suivants :
Extensibilité
Facilité de gestion à distance
Vitesse de récupération
Identifier le problème
Lorsque des symptômes d’un échec à l’ensemble de la forêt apparaissent, par exemple
dans les journaux des événements ou d’autres solutions de surveillance, travaillez avec
Support Microsoft pour déterminer la cause de l’échec et évaluez les remèdes possibles.
Exemples de défaillances à l’ensemble de la

forêt
Tous les contrôleurs de contrôleur ont été logiquement endommagés ou
physiquement endommagés à un point que la continuité d’activité est impossible ;
par exemple, toutes les applications métier qui dépendent de AD DS ne sont pas
fonctionnelles.
Un administrateur malveillant a compromis l’environnement Active Directory.
Une personne malveillante intentionnellement, ou un administrateur, exécute

accidentellement un script qui répartit les données endommagées dans la forêt.
Une personne malveillante intentionnellement, ou un administrateur, étend

accidentellement le schéma Active Directory avec des modifications malveillantes
ou conflictuelles.
Une personne malveillante a réussi à installer des logiciels malveillants sur les
contrôleurs de l’utilisateur, et vous avez été invité par Support Microsoft à
récupérer la forêt à partir de la sauvegarde.
） Important
Ce document ne traite pas des recommandations de sécurité relatives à la

récupération d’une forêt piratée ou compromise. En général, il est
recommandé de suivre les techniques d’atténuation Pass-The-hash pour
renforcer l’environnement. Pour plus d’informations, consultez atténuation
des attaques Pass-The-hash (PTH) et autres techniques de vol
d’informations d’identification .
Aucun des contrôleurs de contrôle d’un contrôleur ne peut répliquer avec ses
partenaires de réplication.
Les modifications ne peuvent pas être apportées à AD DS sur un contrôleur de

domaine.
Impossible d’installer de nouveaux contrôleurs de domaine dans un domaine.
Étapes suivantes
Windows Server 2003
Effectuer une récupération initiale
Windows Server 2012 et 2012 R2, Windows Server 2008 et 2008 R2
Cette section comprend les étapes suivantes :
Restaurer le premier contrôleur de domaine accessible en écriture dans chaque

domaine
Reconnectez chaque contrôleur de domaine pouvant être restauré au réseau
Ajouter le catalogue global à un contrôleur de domaine dans le domaine racine de
forêt
Restaurer le premier contrôleur de domaine

accessible en écriture dans chaque domaine
À compter d’un contrôleur de domaine accessible en écriture dans le domaine racine de
forêt, suivez les étapes de cette section pour restaurer le premier contrôleur de
domaine. Le domaine racine de forêt est important, car il stocke les groupes
Administrateurs de schéma et Administrateurs d’entreprise. Il permet également de
maintenir la hiérarchie d’approbation dans la forêt. En outre, le domaine racine de forêt
contient généralement le serveur racine DNS pour l’espace de noms DNS de la forêt. Par
conséquent, la zone DNS intégrée à Active Directory pour ce domaine contient les
enregistrements de ressources CNAME (alias) pour tous les autres contrôleurs de la forêt
(requis pour la réplication) et les enregistrements de ressources DNS du catalogue
global.
Après avoir récupéré le domaine racine de la forêt, répétez les mêmes étapes pour
récupérer les domaines restants dans la forêt. Vous pouvez récupérer plusieurs
domaines simultanément ; Toutefois, récupérez toujours un domaine parent avant de
récupérer un enfant pour empêcher toute rupture dans la hiérarchie d’approbation ou la
résolution de noms DNS.
Pour chaque domaine que vous récupérez, restaurez un seul contrôleur de domaine
accessible en écriture à partir de la sauvegarde. Il s’agit de la partie la plus importante
de la récupération, car le contrôleur de domaine doit avoir une base de données qui n’a
pas été influencée par ce qui a provoqué l’échec de la forêt. Il est important d’avoir une
sauvegarde approuvée qui est soigneusement testée avant d’être introduite dans
l’environnement de production.
Ensuite, effectuez les étapes suivantes. Les procédures d’exécution de certaines étapes
se trouvent dans AD Forest Recovery - Procédures.
1. Si vous envisagez de restaurer un serveur physique, assurez-vous que le câble

réseau du contrôleur de domaine cible n’est pas attaché et qu’il n’est donc pas
connecté au réseau de production. Pour une machine virtuelle, vous pouvez
supprimer la carte réseau ou utiliser une carte réseau attachée à un autre réseau
où vous pouvez tester le processus de récupération tout en étant isolé du réseau
de production.
2. Étant donné qu’il s’agit du premier contrôleur de domaine accessible en écriture

dans le domaine, vous devez effectuer une restauration non authentifiée d’AD DS
et une restauration faisant autorité de SYSVOL. L’opération de restauration doit
être effectuée à l’aide d’une application de sauvegarde et de restauration prenant
en charge Active Directory, telle que la sauvegarde Windows Server (autrement dit,
vous ne devez pas restaurer le contrôleur de domaine à l’aide de méthodes non
prises en charge telles que la restauration d’un instantané de machine virtuelle).
Une restauration faisant autorité de SYSVOL est requise, car la réplication du

dossier répliqué SYSVOL doit être démarrée après avoir récupéré un sinistre.
Tous les contrôleurs de domaine qui sont ajoutés dans le domaine doivent
resynchroniser leur dossier SYSVOL avec une copie du dossier qui a été
sélectionné pour faire autorité avant que le dossier puisse être publié.
Ｕ Attention
Effectuez une opération de restauration faisant autorité (ou primaire) de

SYSVOL uniquement pour le premier contrôleur de domaine à restaurer dans
le domaine racine de forêt. L’exécution incorrecte des opérations de
restauration primaires de SYSVOL sur d’autres contrôleurs de domaine
entraîne des conflits de réplication de données SYSVOL.
Il existe deux options pour effectuer une restauration non authentifiée d’AD
DS et une restauration faisant autorité de SYSVOL :
Effectuez une récupération complète du serveur, puis forcez une
synchronisation faisant autorité de SYSVOL. Pour obtenir des procédures
détaillées, consultez Effectuer une récupération complète du serveur et
effectuer une synchronisation faisant autorité de SYSVOL répliquée par DFSR.
Effectuez une récupération complète du serveur suivie d’une restauration
d’état système. Cette option nécessite que vous créez à l’avance les deux
types de sauvegardes : une sauvegarde complète du serveur et une
sauvegarde d’état système. Pour obtenir des procédures détaillées, consultez
Exécution d’une récupération de serveur complète et exécution d’une
restauration non authentifiée des services de domaine Active Directory.
3. Après avoir restauré et redémarré le contrôleur de domaine accessible en écriture,

vérifiez que l’échec n’a pas affecté les données sur le contrôleur de domaine. Si les
données du contrôleur de domaine sont endommagées, répétez l’étape 2 avec une
autre sauvegarde.
Si le contrôleur de domaine restauré héberge un rôle maître d’opérations,

vous devrez peut-être ajouter l’entrée de Registre suivante pour éviter qu’AD
DS ne soit pas disponible tant qu’elle n’a pas terminé la réplication d’une
partition d’annuaire accessible en écriture :
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
Effectuer des synchronisations initiales
Créez l’entrée avec le type de données REG_DWORD et une valeur de 0. Une

fois la forêt récupérée complètement, vous pouvez réinitialiser la valeur de
cette entrée à 1, ce qui nécessite un contrôleur de domaine qui redémarre et
contient des rôles de maître d’opérations pour avoir une réplication entrante
et sortante réussie avec ses partenaires réplicas connus avant qu’elle ne
s’affiche en tant que contrôleur de domaine et commence à fournir des
services aux clients. Pour plus d’informations sur les exigences de
synchronisation initiales, consultez Fonctionnement de la synchronisation
dans Azure AD Domain Services.
Passez aux étapes suivantes uniquement après la restauration et la

vérification des données et avant de joindre cet ordinateur au réseau de
production.
4. Si vous pensez que l’échec à l’échelle de la forêt était lié à l’intrusion réseau ou à
une attaque malveillante, réinitialisez les mots de passe de compte pour tous les
comptes d’administration, y compris les membres des administrateurs de domaine,
les administrateurs de domaine, les administrateurs de schéma, les opérateurs de
serveur, les groupes Opérateurs de compte, et ainsi de suite. La réinitialisation des
mots de passe de compte d’administration doit être terminée avant que des
contrôleurs de domaine supplémentaires soient installés au cours de la prochaine
phase de récupération de forêt.
5. Sur le premier contrôleur de domaine restauré dans le domaine racine de forêt,
saisissez tous les rôles maîtres d’opérations à l’échelle du domaine et à l’échelle de
la forêt. Les informations d’identification des administrateurs d’entreprise et des
administrateurs de schéma sont nécessaires pour saisir les rôles maîtres des
opérations à l’échelle de la forêt.
Dans chaque domaine enfant, saisissez les rôles maîtres d’opérations à l’échelle du
domaine. Bien que vous conservez les rôles maîtres d’opérations sur le contrôleur
de domaine restauré uniquement temporairement, le fait de saisir ces rôles
garantit que le contrôleur de domaine les héberge à ce stade dans le processus de
récupération de forêt. Dans le cadre de votre processus de post-récupération, vous
pouvez redistribuer les rôles maîtres des opérations selon les besoins. Pour plus
d’informations sur la saisie des rôles maîtres d’opérations, consultez Saisie d’un
rôle maître d’opérations. Pour obtenir des recommandations sur l’emplacement
des rôles principaux d’opérations, consultez Qu’est-ce que Operations Masters ?.
6. Nettoyez les métadonnées de tous les autres contrôleurs d’accès accessibles en

écriture dans le domaine racine de forêt que vous ne restaurez pas à partir de la
sauvegarde (toutes les DCS accessibles en écriture dans le domaine à l’exception
de ce premier contrôleur de domaine). Si vous utilisez la version des utilisateurs et
ordinateurs Active Directory ou des sites et services Active Directory inclus avec
Windows Server 2008 ou version ultérieure ou RSAT pour Windows Vista ou
version ultérieure, le nettoyage des métadonnées est effectué automatiquement
lorsque vous supprimez un objet DC. En outre, l’objet serveur et l’objet ordinateur
pour le contrôleur de domaine supprimé sont également supprimés
automatiquement. Pour plus d’informations, consultez Nettoyage des
métadonnées des contrôleurs de domaine accessibles en écriture supprimées.
Le nettoyage des métadonnées empêche la duplication possible d’objets NTDS-

settings si AD DS est installé sur un contrôleur de domaine dans un autre site.
Potentiellement, cela peut également enregistrer le vérificateur de cohérence des
connaissances (KCC) le processus de création de liens de réplication lorsque les
contrôleurs de domaine eux-mêmes peuvent ne pas être présents. En outre, dans
le cadre du nettoyage des métadonnées, les enregistrements de ressources DNS
du localisateur DC pour tous les autres contrôleurs de domaine seront supprimés
du DNS.
Jusqu’à ce que les métadonnées de tous les autres contrôleurs de domaine du

domaine soient supprimées, ce contrôleur de domaine, s’il s’agissait d’un maître
RID avant la récupération, ne suppose pas le rôle maître RID et ne pourra donc pas
émettre de nouveaux RID. Vous pouvez voir l’ID d’événement 16650 dans le
journal système dans l’Observateur d’événements indiquant cette défaillance, mais
vous devez voir l’ID d’événement 16648 indiquant la réussite un peu de temps
après avoir nettoyé les métadonnées.
7. Si vous disposez de zones DNS stockées dans AD DS, vérifiez que le service serveur
DNS local est installé et exécuté sur le contrôleur de domaine que vous avez
restauré. Si ce contrôleur de domaine n’était pas un serveur DNS avant l’échec de
la forêt, vous devez installer et configurer le serveur DNS.
７ Notes
Si le contrôleur de domaine restauré exécute Windows Server 2008, vous

devez installer le correctif logiciel dans l’article kb 975654 ou connecter le
serveur à un réseau isolé temporairement pour installer le serveur DNS. Le
correctif logiciel n’est requis pour aucune autre version de Windows Server.
Dans le domaine racine de la forêt, configurez le contrôleur de domaine restauré

avec sa propre adresse IP (ou une adresse de bouclage, telle que 127.0.0.1) comme
serveur DNS préféré. Vous pouvez configurer ce paramètre dans les propriétés
TCP/IP de l’adaptateur réseau local (LAN). Il s’agit du premier serveur DNS dans la
forêt. Pour plus d’informations, consultez Configurer TCP/IP pour utiliser DNS.
Dans chaque domaine enfant, configurez le contrôleur de domaine restauré avec

l’adresse IP du premier serveur DNS dans le domaine racine de forêt comme
serveur DNS préféré. Vous pouvez configurer ce paramètre dans les propriétés
TCP/IP de l’adaptateur LAN. Pour plus d’informations, consultez Configurer TCP/IP
pour utiliser DNS.
Dans les zones DNS de _msdcs et de domaine, supprimez les enregistrements NS

des contrôleurs de domaine qui n’existent plus après le nettoyage des
métadonnées. Vérifiez si les enregistrements SRV des pc nettoyés ont été
supprimés. Pour accélérer la suppression des enregistrements SRV DNS, exécutez :
nltest.exe /dsderegdns:server.domain.tld
8. Augmentez la valeur du pool RID disponible de 100 000. Pour plus d’informations,
consultez Augmenter la valeur des pools RID disponibles. Si vous avez des raisons
de croire que l’augmentation du pool RID d’environ 100 000 est insuffisante pour
votre situation particulière, vous devez déterminer l’augmentation la plus faible qui
reste sûre à utiliser. Les RID sont une ressource finie qui ne doit pas être utilisée
inutilement.
Si de nouveaux principaux de sécurité ont été créés dans le domaine après l’heure
de la sauvegarde que vous utilisez pour la restauration, ces principaux de sécurité
peuvent avoir des droits d’accès sur certains objets. Ces principaux de sécurité
n’existent plus après la récupération, car la récupération a rétabli la sauvegarde ;
toutefois, leurs droits d’accès peuvent toujours exister. Si le pool RID disponible
n’est pas déclenché après une restauration, de nouveaux objets utilisateur créés
après la récupération de forêt peuvent obtenir des ID de sécurité identiques (SID)
et peuvent avoir accès à ces objets, ce qui n’a pas été prévu à l’origine.
Pour illustrer, considérez l’exemple du nouvel employé nommé Amy mentionné

dans l’introduction. L’objet utilisateur pour Amy n’existe plus après l’opération de
restauration, car il a été créé après la sauvegarde utilisée pour restaurer le
domaine. Toutefois, les droits d’accès affectés à cet objet utilisateur peuvent
persister après l’opération de restauration. Si le SID de cet objet utilisateur est
réaffecté à un nouvel objet après l’opération de restauration, le nouvel objet
obtient ces droits d’accès.
9. Invalider le pool RID actuel. Le pool RID actuel est invalidé après une restauration
d’état système. Toutefois, si une restauration d’état système n’a pas été effectuée,
le pool RID actuel doit être invalidé pour empêcher le contrôleur de domaine
restauré de réécrire les RID du pool RID qui a été affecté au moment de la création
de la sauvegarde. Pour plus d’informations, consultez Invalidation du pool RID
actuel.
７ Notes
La première fois que vous tentez de créer un objet avec un SID après avoir
invalidé le pool RID, vous recevrez une erreur. La tentative de création d’un
objet déclenche une demande pour un nouveau pool RID. Une nouvelle
tentative de l’opération réussit, car le nouveau pool RID sera alloué.
10. Réinitialisez deux fois le mot de passe du compte d’ordinateur de ce contrôleur de

domaine. Pour plus d’informations, consultez Réinitialiser le mot de passe du
compte d’ordinateur du contrôleur de domaine.
11. Réinitialisez deux fois le mot de passe krbtgt. Pour plus d’informations, consultez
Réinitialiser le mot de passe krbtgt.
Étant donné que l’historique des mots de passe krbtgt est deux mots de passe,
réinitialisez deux fois le mot de passe d’origine (préfailure) de l’historique des mots
de passe.
７ Notes
Si la récupération de forêt répond à une violation de sécurité, vous pouvez

également réinitialiser les mots de passe d’approbation. Pour plus
d’informations, consultez Réinitialiser un mot de passe d’approbation sur un
côté de l’approbation.
12. Si la forêt a plusieurs domaines et que le contrôleur de domaine restauré était un

serveur de catalogue global avant l’échec, désactivez la case à cocher Catalogue
global dans les propriétés paramètres NTDS pour supprimer le catalogue global
du contrôleur de domaine. L’exception à cette règle est le cas courant d’une forêt
avec un seul domaine. Dans ce cas, il n’est pas nécessaire de supprimer le
catalogue global. Pour plus d’informations, consultez Suppression du catalogue
global.
En rétablissant un catalogue global à partir d’une sauvegarde plus récente que

d’autres sauvegardes utilisées pour restaurer des contrôleurs de domaine dans
d’autres domaines, vous pouvez introduire des objets persistants. Considérez
l’exemple suivant. Dans le domaine A, DC1 est restauré à partir d’une sauvegarde
qui a été effectuée au moment T1. Dans le domaine B, DC2 est restauré à partir
d’une sauvegarde de catalogue globale qui a été effectuée au moment T2.
Supposons que T2 soit plus récent que T1 et que certains objets ont été créés
entre T1 et T2. Une fois ces contrôleurs restaurés, DC2, qui est un catalogue global,
contient des données plus récentes pour le réplica partiel du domaine A que le
domaine A se contient lui-même. DC2, dans ce cas, contient des objets persistants,
car ces objets ne sont pas présents sur DC1.
La présence d’objets persistants peut entraîner des problèmes. Par exemple, les
messages électroniques peuvent ne pas être remis à un utilisateur dont l’objet
utilisateur a été déplacé entre les domaines. Une fois que vous avez renvoyé le
serveur de catalogue global ou dc obsolète en ligne, les deux instances de l’objet
utilisateur apparaissent dans le catalogue global. Les deux objets ont la même
adresse e-mail ; par conséquent, les messages électroniques ne peuvent pas être
remis.
Un deuxième problème est qu’un compte d’utilisateur qui n’existe plus peut
toujours apparaître dans la liste d’adresses globale. Un troisième problème est
qu’un groupe universel qui n’existe plus peut toujours apparaître dans le jeton
d’accès d’un utilisateur.
Si vous avez restauré un contrôleur de domaine qui était un catalogue global ( par
inadvertance ou parce que c’était la sauvegarde solitaire que vous avez
approuvée), nous vous recommandons d’empêcher l’occurrence d’objets
persistants en désactivant le catalogue global bientôt après la fin de l’opération de
restauration. La désactivation de l’indicateur de catalogue global entraîne la perte
de tous ses réplicas partiels (partitions) et la relégation vers l’état standard du
13. Configurer le service de temps Windows. Dans le domaine racine de la forêt,

configurez l’émulateur PDC pour synchroniser l’heure à partir d’une source de
temps externe. Pour plus d’informations, consultez Configurer le service de temps
Windows sur l’émulateur PDC dans le domaine racine de forêt.
Reconnectez chaque contrôleur de domaine

pouvant être restauré à un réseau commun
À ce stade, vous devez avoir un contrôleur de domaine restauré (et les étapes de
récupération effectuées) dans le domaine racine de forêt et dans chacun des domaines
restants. Joignez ces DCs à un réseau commun isolé du reste de l’environnement et
effectuez les étapes suivantes pour valider l’intégrité et la réplication des forêts.
７ Notes
Lorsque vous joignez les contrôleurs de domaine physiques à un réseau isolé, vous
devrez peut-être modifier leurs adresses IP. Par conséquent, les adresses IP des
enregistrements DNS sont incorrectes. Étant donné qu’un serveur de catalogue
global n’est pas disponible, les mises à jour dynamiques sécurisées pour DNS
échouent. Les DCS virtuels sont plus avantageux dans ce cas, car ils peuvent être
joints à un nouveau réseau virtuel sans modifier leurs adresses IP. Il s’agit d’une
raison pour laquelle les contrôleurs virtuels sont recommandés en tant que
premiers contrôleurs de domaine à restaurer pendant la récupération de forêt.
Après validation, joignez les contrôleurs de domaine au réseau de production et

effectuez les étapes pour vérifier l’intégrité de la réplication de forêt.
Pour corriger la résolution de noms, créez des enregistrements de délégation DNS

et configurez le transfert DNS et les indicateurs racines selon les besoins. Exécutez
repadmin /replsum pour vérifier la réplication entre les contrôleurs de domaine.
Si les partenaires de réplication directs du contrôleur de domaine restaurés ne sont
pas des partenaires de réplication, la récupération de réplication sera beaucoup
plus rapide en créant des objets de connexion temporaires entre eux.
Pour valider le nettoyage des métadonnées, exécutez Repadmin /viewlist \* pour
obtenir la liste de tous les contrôleurs de domaine dans la forêt. Exécutez Nltest
/DCList:<domain> pour obtenir la liste de tous les contrôleurs de domaine dans le
domaine.
Pour vérifier l’intégrité du contrôleur de domaine et du DNS, exécutez DCDiag /v
pour signaler des erreurs sur tous les contrôleurs de domaine dans la forêt.
Ajouter le catalogue global à un contrôleur de

domaine dans le domaine racine de forêt
Un catalogue global est requis pour ces raisons et d’autres raisons :
Pour activer les journaux pour les utilisateurs.

Pour activer le service d’ouverture de session Net s’exécutant sur les contrôleurs de
domaine enfant de chaque domaine enfant pour inscrire et supprimer des
enregistrements sur le serveur DNS dans le domaine racine.
Bien qu’il soit préférable que le contrôleur de domaine racine de forêt devienne un
catalogue global, il est possible d’choisir l’un des contrôleurs de domaine restaurés pour
devenir un catalogue global.
７ Notes
Un contrôleur de domaine ne sera pas publié en tant que serveur de catalogue

global tant qu’il n’a pas terminé une synchronisation complète de toutes les
partitions d’annuaires dans la forêt. Par conséquent, le contrôleur de domaine doit
être forcé de répliquer avec chacun des contrôleurs de domaine restaurés dans la
forêt.
Surveillez le journal des événements du service d’annuaire dans l’Observateur

d’événements pour l’ID d’événement 1119, ce qui indique que ce contrôleur de
domaine est un serveur de catalogue global ou vérifiez que la clé de Registre
suivante a la valeur 1 :
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete
Pour plus d’informations, consultez Ajout du catalogue global.
À ce stade, vous devez avoir une forêt stable, avec un contrôleur de domaine pour
chaque domaine et un catalogue global dans la forêt. Vous devez effectuer une nouvelle
sauvegarde de chacun des contrôleurs de domaine que vous venez de restaurer. Vous
pouvez maintenant commencer à redéployer d’autres DCS dans la forêt en installant AD
DS.
Étapes suivantes
Récupération de forêt AD - Devis d’un plan de récupération de forêt personnalisé
Récupération de forêt AD - Identifier le problème
Récupération de forêt AD - Déterminer comment récupérer
Récupération de forêt AD - Effectuer une récupération initiale
Récupération de forêt AD - Questions fréquentes
Récupération de forêt AD - Récupération d’un domaine unique dans une forêt
multidomaine
Récupération de forêt AD - Récupération de forêt avec les contrôleurs de domaine
Windows Server 2003
Récupération de la forêt
Active Directory : procédures
Cette section contient des procédures relatives au processus de récupération de forêt.

les procédures s’appliquent à Windows Server 2016, 2012 r2, 2012 et sont également
applicables à Windows Server 2008 r2 et 2008, avec quelques exceptions mineures.
les procédures qui incluent des étapes qui varient pour Windows server 2003 se
trouvent dans la récupération de forêt avec les contrôleurs de domaine Windows Server
2003.
La liste suivante répertorie les procédures utilisées pour la sauvegarde et la restauration

des contrôleurs de domaine et des Active Directory.
Sauvegarde d’un serveur complet

Sauvegarde des données d’État du système
Exécution d’une récupération complète du serveur
Exécution d’une synchronisation faisant autorité d’un SYSVOL répliqué par DFSR
Exécution d’une restauration ne faisant pas autorité de Active Directory Domain
Services
Ces étapes expliquent comment effectuer en même temps une restauration faisant
autorité de SYSVOL.
Configuration du service serveur DNS

Suppression du catalogue global
Augmentation de la valeur des pools RID disponibles
Invalidation du pool RID actuel
Prise d’un rôle de maître d’opérations
Nettoyage après une restauration
Nettoyage des métadonnées des contrôleurs de domaine accessibles en écriture
supprimés
Réinitialisation du mot de passe du compte d’ordinateur du contrôleur de domaine
Réinitialisation du mot de passe krbtgt
Réinitialisation d’un mot de passe d’approbation d’un côté de l’approbation
Ajout du catalogue global
Ressources pour vérifier le bon fonctionnement de la réplication
Étapes suivantes
Windows Server 2003
Récupération de la forêt
Active Directory : FAQ
Forum aux questions

Windows Server 2012 et 2012 R2, Windows Server 2008 et 2008 R2, Windows
Server 2003 Ce document comprend des questions fréquentes (FAQ) sur la
récupération de la forêt :
Que puis-je faire pour accélérer la

récupération ?
Optimiser la vitesse de récupération n’est pas l’objectif principal de ce guide. Toutefois,
vous pouvez réduire le temps de récupération via les opérations suivantes :
Création d’un plan de récupération de forêt détaillé, mise à jour régulière et

pratique dans un environnement de test simulé de taille raisonnable au moins une
fois par an
Utilisation du clonage des contrôleurs de domaine virtualisés
Le clonage de contrôleur de domaine virtualisé accélère le processus pour
obtenir des contrôleurs de domaine supplémentaires en cours d’exécution
après la restauration d’un contrôleur de domaine à partir d’une sauvegarde
dans chaque domaine. Il est possible de cloner les contrôleurs de domaine
virtualisés supplémentaires au lieu de patienter pendant l’opération
potentiellement longue d’installation AD DS et pendant la réplication non
critique après l’installation.
Les forêts comprenant des contrôleurs de domaine virtuels qui sont hébergés
dans un nombre relativement faible de centres de données bien connectés sont
les installations qui tirent potentiellement le mieux parti du clonage pendant la
récupération. Toutefois, tout environnement comprenant plusieurs contrôleurs
de domaine virtualisés pour le même domaine qui sont colocalisés sur le même
hôte hyperviseur devrait tirer parti de cette installation.
Déploiement des contrôleurs de domaine en lecture seule (RODC)
Les contrôleurs de domaine en lecture seule peuvent assurer la continuité de
l’activité pendant le processus de récupération, car aucune déconnexion du
réseau n’est nécessaire comme pour les contrôleurs de domaine accessibles en
écriture. Les contrôleurs de domaine en lecture seule n’effectuent pas de
réplication sortante. Par conséquent, ils ne présentent pas le même risque que
les contrôleurs de domaine accessibles en écriture pour la réplication de
données dommageables dans l’environnement récupéré.
Voici d’autres facteurs qui affectent la durée du processus de récupération de la forêt :
Quand vous restaurez des contrôleurs de domaine à partir des sauvegardes, ces
opérations prennent du temps :
Rechercher le support de sauvegarde physique, comme les bandes.
Réinstallez le système d'exploitation.
Restaurer des données à partir d’un support de sauvegarde.
Vous pouvez réduire le temps nécessaire à la réinstallation du système
d’exploitation et à la restauration des données à partir de la sauvegarde en
effectuant une récupération complète du serveur au lieu d’une restauration
de l’état du système. Étant donné que la récupération complète du serveur
est binaire, elle s’effectue beaucoup plus rapidement que la restauration de
l’état du système.
Toutefois, si le serveur contient des données qui sont exclues des données
d’état du système à restaurer, la récupération complète du serveur peut ne
pas être une alternative viable pour la restauration de l’état du système.
Tenez compte des avantages que représente une récupération complète du
serveur plutôt qu’une restauration de l’état du système de vos serveurs
spécifiques. Préparez-vous en conséquence en effectuant le type de
sauvegarde approprié selon la restauration ultérieure que vous prévoyez.
Quand vous régénérez des contrôleurs de domaine, la réplication des données
pour les promotions basées sur le réseau prend du temps.
Vous pouvez réduire le temps nécessaire à la restauration des contrôleurs de
domaine en procédant comme suit :
Réduisez le temps de récupération du support de sauvegarde grâce aux opérations
suivantes :
Utilisation de l’outil de montage de base de données Active Directory
(Dsamain.exe) afin de déterminer le type de sauvegarde le mieux approprié
pour les opérations de restauration. Pour plus d’informations sur l’utilisation de
l’outil de montage de base de données Active Directory, consultez le Guide pas
à pas de l’outil de montage de base de données Active Directory
(https://go.microsoft.com/fwlink/?LinkId=132577 ).
Étiquetage clair du support de sauvegarde et stockage organisé du support à
un emplacement pratique, mais sécurisé, qui permet une récupération rapide.
Utilisation du Service VSS (Volume Shadow Copy Service) avec un réseau de
zone de stockage (SAN) pour gérer les sauvegardes à partir de différents points
dans le temps. Pour plus d’informations, consultez Récupération rapide de
Windows Server 2003 Active Directory avec le Service VSS (Volume Shadow
Copy Service) et le Service VDS (Virtual Disk Service)
(https://go.microsoft.com/fwlink/?LinkId=70781 ).
Forcez la suppression d’AD DS des contrôleurs de domaine au lieu de réinstaller le
système d’exploitation. Si la cause de la défaillance à l’échelle de la forêt a été
identifiée comme étant purement dans l’étendue d’AD DS, il n’est pas nécessaire
de réinstaller le système d’exploitation sur les contrôleurs de domaine.
Pour plus d’informations sur la suppression forcée d’AD DS dans un contrôleur
de domaine qui exécute Windows Server 2008 ou version ultérieure, consultez
Suppression forcée d’un contrôleur de domaine Windows Server 2008
(https://go.microsoft.com/fwlink/?LinkId=132627 ). Pour plus d’informations
sur la suppression forcée d’AD DS d’un contrôleur de domaine qui exécute
Windows Server 2003, consultez l’article 332199 dans la Base de
connaissances Microsoft (https://go.microsoft.com/fwlink/?LinkId=70780 ).
Utilisez des périphériques sur bande ou des sauvegardes sur disque plus rapides
pour réduire le temps nécessaire aux opérations de restauration.
Vous pouvez également accélérer les installations d’AD DS à l’aide de la fonctionnalité

Installer à partir d’un support (IFM) pour régénérer des contrôleurs de domaine dans
chaque domaine. La fonctionnalité IFM réduit la latence de réplication qui se produit
quand vous régénérez des contrôleurs de domaine dans chaque domaine.
Les entreprises qui ont un contrat de niveau de service (SLA) plus élevé peuvent
envisager de modifier les procédures de récupération de forêt pour accélérer la
récupération.
Le processus de récupération de forêt

peut-il être automatisé ?
En raison de la nature complexe et critique du processus de récupération des forêts, il
n’existe actuellement aucune automatisation de bout en bout. Le processus de
récupération des forêts constitue plus un défi logistique et organisationnel pour la
restauration de la continuité de l’activité qu’un problème technique d’automatisation
des processus. Par conséquent, la personne qui administre l’environnement doit créer
un plan de récupération de forêt spécifique à cet environnement, puis automatiser les
sections qui peuvent être automatisées avec succès.
La plupart des étapes de récupération de forêt s’effectuent à l’aide d’outils en ligne de

commande. La plupart des étapes peuvent donc faire l’objet d’un script. Ntdsutil.exe est
par exemple l’un des outils les plus fréquemment utilisés dans le processus de
récupération de forêt.
Bien que des scripts puissent accélérer la récupération, vous devez les tester
soigneusement avant de les appliquer dans un environnement réel. Vous devez
également les mettre à jour en fonction des modifications de l’environnement Active
Directory, comme l’ajout d’un nouveau domaine ou d’un nouveau contrôleur de
domaine, ou d’une nouvelle version d’Active Directory.
Étapes suivantes
Récupération de forêt AD – Conception d’un plan de récupération de forêt
personnalisé
Récupération de forêt AD – Identification du problème
Récupération de forêt AD – Identification de la procédure de récupération
Récupération de forêt AD – Récupération initiale
Récupération de forêt AD – FAQ
Récupération de forêt AD – Récupération d’un seul domaine dans une forêt
multidomaine
Récupération de forêt AD – récupération de forêt avec des contrôleurs de domaine
Windows Server 2003
Récupération de forêt Active Directory-
récupération d’un domaine unique dans
une forêt à plusieurs domaines
Il peut arriver qu’il soit nécessaire de récupérer un seul domaine au sein d’une forêt
comportant plusieurs domaines, plutôt qu’une récupération complète de la forêt. Cette
rubrique traite des considérations relatives à la récupération d’un domaine unique et
aux stratégies possibles pour la récupération.
Une récupération de domaine unique présente un défi unique pour la reconstruction

des serveurs de catalogue global (GC). Par exemple, si le premier contrôleur de domaine
du domaine est restauré à partir d’une sauvegarde créée une semaine plus tôt, alors
tous les autres catalogues globaux de la forêt auront des données plus récentes pour ce
domaine que le contrôleur de domaine restauré. Pour rétablir la cohérence des données
de GC, il existe deux options :
Déshébergez, puis réhébergez la partition de domaines récupérés à partir de tous

les catalogues globaux de la forêt, à l’exception de ceux du domaine récupéré, en
même temps.
Suivez le processus de récupération de forêt pour récupérer le domaine, puis
supprimez les objets en attente des catalogues globaux dans d’autres domaines.
Les sections suivantes fournissent des considérations générales pour chaque option.
L’ensemble complet des étapes à effectuer pour la récupération varie en fonction des
environnements de Active Directory.
Réhéberger tous les catalogues globaux
２ Avertissement
Le mot de passe du compte d’administrateur de domaine pour tous les domaines

doit être prêt à être utilisé en cas de problème empêchant l’accès à un GC pour
l’ouverture de session.
Pour réhéberger tous les catalogues globaux, vous pouvez utiliser les commandes
repadmin/Unhost et repadmin/Rehost (qui font partie de repadmin/experthelp). Vous
exécutez les commandes repadmin sur chaque GC dans chaque domaine qui n’est pas
récupéré. Elle doit être assurée, car tous les catalogues globaux ne contiennent plus de
copie du domaine récupéré. Pour ce faire, vous devez d’abord déshéberger la partition
de domaine de tous les contrôleurs de domaine de tous les domaines récupérés dans la
forêt. Une fois que tous les catalogues globaux ne contiennent plus la partition, vous
pouvez la réhéberger. Lors du réhébergement, tenez compte de la structure de site et
de réplication de votre forêt, par exemple, finissez le réhébergement d’un contrôleur de
site par site avant de réhéberger les autres contrôleurs de ce site.
Cette option peut être avantageuse pour une petite organisation qui n’a que quelques
contrôleurs de domaine pour chaque domaine. Tous les catalogues globaux peuvent
être reconstruits le vendredi soir et, si nécessaire, terminer la réplication pour toutes les
partitions de domaine en lecture seule avant le lundi matin. Toutefois, si vous devez
récupérer un grand domaine qui couvre les sites dans le monde entier, le
réhébergement de la partition de domaine en lecture seule sur tous les catalogues
globaux pour les autres domaines peut avoir un impact significatif sur les opérations et
éventuellement nécessiter un temps d’attente.
Supprimer les objets en attente

À l’instar du processus de récupération de forêt, vous restaurez un contrôleur de
domaine à partir d’une sauvegarde dans le domaine que vous devez récupérer,
effectuez le nettoyage des métadonnées des contrôleurs de domaine restants, puis
réinstallez AD DS pour créer le domaine. Sur les catalogues globaux de tous les autres
domaines de la forêt, vous supprimez les objets en attente pour la partition en lecture
seule du domaine récupéré.
La source du nettoyage d’objets en attente doit être un contrôleur de domaine dans le

domaine récupéré. Pour être certain que le contrôleur de domaine source n’a pas
d’objets en attente pour les partitions de domaine, vous pouvez supprimer le catalogue
global s’il s’agit d’un catalogue global.
La suppression des objets en attente est avantageuse pour les organisations de plus
grande taille qui ne peuvent pas prendre en risque le temps d’inactivité associé aux
autres options.
Pour plus d’informations, consultez utiliser repadmin pour supprimer des objets en
attente.
Étapes suivantes
Windows Server 2003
Virtualisation de la récupération de la
cette rubrique décrit la fonctionnalité de clonage des contrôleurs de domaine virtualisés

dans Windows Server 2016, 2012 R2 et 2012.
Utilisation du clonage des contrôleurs de

domaine virtualisés pour accélérer la
récupération de la forêt
Le clonage des contrôleurs de domaine virtualisés simplifie et accélère le processus
d’installation de contrôleurs de domaine virtualisés supplémentaires dans un domaine,
en particulier dans des emplacements centralisés, tels que des centres de serveurs où
plusieurs contrôleurs de domaine s’exécutent sur des hyperviseurs. Après la restauration
d’un contrôleur de domaine virtuel dans chaque domaine à partir d’une sauvegarde, les
contrôleurs de domaine supplémentaires dans chaque domaine peuvent être
rapidement mis en ligne à l’aide du processus de clonage de contrôleur de domaine
virtualisé. Vous pouvez préparer le premier contrôleur de domaine virtualisé que vous
récupérez, l’arrêter, puis copier ce disque dur virtuel autant de fois que nécessaire afin
de créer des contrôleurs de domaine virtualisés clonés pour créer le domaine.
La configuration requise pour le clonage de contrôleur de courant virtuel est la

suivante :
L’hyperviseur doit prendre en charge VM-GenerationID. Hyper-V dans Windows

Server 2016, 2012 et Windows 8 est un exemple d’hyperviseur qui prend en charge
VM-GenerationID. Vérifiez auprès de votre fournisseur d’hyperviseurs si VM-
GenerationID est pris en charge.
le contrôleur de domaine virtualisé utilisé comme source pour le clonage doit
exécuter Windows Server 2016 ou 2012 et être membre du groupe contrôleurs de
domaine clonables.
l’émulateur de contrôleur de domaine principal doit exécuter Windows Server 2016
ou 2012. Vous pouvez cloner l’émulateur de contrôleur de domaine principal s’il
est virtualisé.
Pour obtenir des instructions pas à pas sur la façon d’effectuer un clonage de contrôleur
de périphérique virtualisé, consultez Présentation de la virtualisation de Active Directory
Domain Services (AD DS) (niveau 100). Pour plus d’informations sur le fonctionnement
du clonage de contrôleur de domaine virtualisé, consultez informations techniques de
référence sur les contrôleurs de domaine virtualisés (niveau 300).
Étapes suivantes
Windows Server 2003
récupération de la forêt active
directory-récupération du serveur
Windows 2003
s’applique à : Windows server 2022, Windows server 2019, Windows server 2003
cette rubrique comprend des procédures de récupération de forêt pour les contrôleurs
de domaine qui exécutent Windows Server 2003. le processus général de récupération
de forêt n’est pas différent avec les contrôleurs de Windows Server 2003, mais des
procédures spécifiques peuvent différer en raison de différents outils. par exemple,
Ntdsutil.exe peut être utilisé pour sauvegarder et restaurer des contrôleurs de contrôle
qui exécutent des contrôleurs de l’Windows server 2003, tandis que Sauvegarde
Windows Server ou Wbadmin.exe est utilisé pour les contrôleurs de contrôle qui
exécutent Windows Server 2008 ou version ultérieure.

Exécution d’une restauration ne faisant pas autorité
Installer et configurer le service serveur DNS

utilisez la procédure suivante pour sauvegarder les données d’état du système, ainsi que
toutes les autres données que vous avez sélectionnées pour l’opération de sauvegarde
actuelle, d’un contrôleur de réseau qui exécute Windows Server 2003. Windows Server
2003 comprend l’outil Ntbackup, que vous pouvez utiliser pour sauvegarder les données
d’état du système.
L’appartenance au groupe administrateurs ou opérateurs de sauvegarde, ou

équivalent, est la condition minimale requise pour sauvegarder des fichiers et des
dossiers.
si vous sauvegardez les données d’état du système sur une bande et que le programme
de sauvegarde indique qu’aucun média inutilisé n’est disponible, vous devrez peut-être
utiliser des Stockage amovibles. Vous ajoutez ainsi votre bande au pool de supports
libre afin que la sauvegarde puisse l’utiliser.
Vous pouvez uniquement sauvegarder les données d’État du système sur un ordinateur
local. Vous ne pouvez pas le sauvegarder sur un ordinateur distant.
pour sauvegarder les données d’état du système sur un
contrôleur de domaine qui exécute Windows Server 2003
1. Cliquez sur Démarrer, pointez sur tous les programmes, sur accessoires, sur Outils
système, puis cliquez sur sauvegarde.
2. Dans la page Bienvenue , cliquez sur mode avancé.
3. Sous l’onglet sauvegarde , activez la case à cocher de tous les lecteurs, dossiers ou
fichiers que vous souhaitez sauvegarder.
4. Activez la case à cocher État du système .
5. Cliquez sur Démarrer la sauvegarde.
Exécution d’une restauration ne faisant pas

autorité
utilisez la procédure suivante pour effectuer une restauration ne faisant pas autorité
d’un contrôleur de périphérique qui exécute Windows Server 2003. en effectuant une
restauration ne faisant pas autorité sur Active Directory dans Windows Server 2003, vous
effectuez automatiquement une restauration ne faisant pas autorité de SYSVOL. Aucune
étape supplémentaire n’est nécessaire.
７ Notes
si vous réinstallez également le système d’exploitation Windows Server 2003, vous

pouvez ou non joindre l’ordinateur au domaine et vous pouvez attribuer n’importe
quel nom à l’ordinateur lors de l’installation du système d’exploitation. N’installez
pas Active Directory. Après avoir réinstallé le système d’exploitation, passez
directement à l’étape 4.
sur les contrôleurs de domaine Windows Server 2003 où vous avez restauré uniquement
les données d’état du système, vous devez également réinstaller toutes les applications
logicielles qui étaient exécutées sur les contrôleurs de domaine avant la récupération. La
restauration de AD DS sur le premier contrôleur de domaine dans le domaine restaure
également le registre car ils font tous les deux partie des données d’État du système.
Gardez cela à l’esprit si vous aviez des applications qui s’exécutent sur ces contrôleurs
de service et si elles avaient des informations stockées dans le registre.
Pour gagner du temps pour réinstaller le logiciel, déterminez si les applications qui
doivent être installées sur les contrôleurs de l’ordinateur sont compatibles avec le
clonage de contrôleur de contrôleur virtuel. De telles applications peuvent être installées
sur le contrôleur de périphérique source avant le clonage afin de gagner du temps et de
l’effort requis pour les installer sur les contrôleurs de l’ordinateur virtuel clonés.
Pour effectuer une restauration ne faisant pas autorité

1. Après avoir démarré le DC, appuyez sur F8 pour redémarrer l’ordinateur en mode
de restauration des services d’annuaire (DSRM).
2. sélectionnez le Mode de restauration des Services d’annuaire (Windows
contrôleurs de domaine uniquement).
3. Sélectionnez le système d’exploitation que vous souhaitez démarrer en mode de
restauration.
4. Ouvrir une session en tant qu’administrateur (vous ne pouvez utiliser qu’un
compte d’ordinateur local, aucune option d’ouverture de session de domaine n’est
disponible).
5. À l’invite de commandes, tapez ntbackup, puis appuyez sur entrée.
6. Dans la page Bienvenue , cliquez sur mode avancé, puis sélectionnez l’onglet
restaurer et gérer le média . (ne sélectionnez pas Assistant Restauration).
7. Sélectionnez le fichier de sauvegarde approprié à partir duquel effectuer la
restauration et assurez-vous que les cases à cocher disque système et État du
système sont activées.
8. Cliquez sur Démarrer la restauration.
9. Une fois l’opération de restauration terminée, redémarrez l’ordinateur.
utilisez la procédure suivante pour effectuer une restauration faisant autorité (également
appelée principale) de SYSVOL sur un contrôleur de périphérique qui exécute Windows
Server 2003. effectuez cette procédure uniquement sur le premier contrôleur de
domaine Windows Server 2003 qui est restauré dans le domaine.
Pour effectuer une restauration faisant autorité de

SYSVOL
1. Effectuez les étapes 1 à 8 de la procédure précédente.
2. Dans la boîte de dialogue confirmer la restauration , cliquez sur avancé.
3. Pour effectuer une restauration faisant autorité de SYSVOL, activez la case à cocher
lors de la restauration des jeux de données répliqués, marquez les données
restaurées en tant que données principales pour tous les réplicas.
７ Notes
Le marquage des données restaurées comme données primaires dans la
sauvegarde revient à définir l’entrée BurFlags sur D4 sous la sous-clé de
Registre suivante :
GUID de
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parame
ters\Cumulative Replica Sets\
4. Une fois l’opération de restauration terminée, redémarrez l’ordinateur.
Installer et configurer le service serveur DNS

si le contrôleur de domaine que vous avez restauré à partir d’une sauvegarde est en
cours d’exécution Windows serveur 2003, vous pouvez installer le serveur DNS sans
connecter le contrôleur de domaine à un réseau.
Pour installer et configurer le service serveur DNS

1. ouvrez l’assistant composants de Windows. Pour ouvrir l’Assistant :
Cliquez sur Démarrer, sur Panneau de configuration, puis sur

Ajout/Suppression de programmes.
cliquez sur ajouter/supprimer des composants de Windows.
2. Dans composants, activez la case à cocher services de mise en réseau , puis

cliquez sur Détails.
3. Dans subcomponents of Networking Services, activez la case à cocher Domain

Name System (DNS) , cliquez sur OK, puis sur suivant.
4. Si vous y êtes invité, dans copier les fichiers à partir de, tapez le chemin d’accès
complet des fichiers de distribution, puis cliquez sur OK.
Après l’installation, procédez comme suit pour configurer le serveur DNS.
5. Cliquez sur Démarrer, pointez sur tous les programmes, sur Outils
d’administration, puis cliquez sur DNS.
6. Créez des zones DNS pour les mêmes noms de domaine DNS hébergés sur les
serveurs DNS avant le dysfonctionnement critique. Pour plus d’informations,
consultez Ajouter une zone de recherche directe (
https://go.microsoft.com/fwlink/?LinkId=74574 ).
7. Configurez les données DNS telles qu’elles existaient avant le dysfonctionnement
critique. Exemple :
Configurez les zones DNS à stocker dans AD DS. Pour plus d’informations,
consultez modifier le type de zone ( https://go.microsoft.com/fwlink/?
LinkId=74579 ).
Configurez la zone DNS faisant autorité pour les enregistrements de
ressource localisateur de contrôleur de domaine pour autoriser la mise à jour
dynamique sécurisée. Pour plus d’informations, consultez autoriser
uniquement les mises à jour dynamiques sécurisées (
https://go.microsoft.com/fwlink/?LinkId=74580 ).
8. Vérifiez que la zone DNS parent contient les enregistrements de ressource de

délégation (NS) et les enregistrements de ressource d’hôte (A) de la zone enfant
hébergée sur ce serveur DNS. Pour plus d’informations, consultez créer une
délégation de zone ( https://go.microsoft.com/fwlink/?LinkId=74562 ).
9. Après avoir configuré DNS, à l’invite de commandes, tapez la commande suivante,

puis appuyez sur entrée :
net stop netlogon
10. Tapez la commande suivante et appuyez sur ENTRÉE :
net start netlogon
７ Notes
Net Logon enregistre les enregistrements de ressource du localisateur de

contrôleur de domaine dans DNS pour ce contrôleur de domaine. Si vous
installez le service serveur DNS sur un serveur dans le domaine enfant, ce
contrôleur de domaine ne pourra pas inscrire ses enregistrements
immédiatement. Cela est dû au fait qu’il est actuellement isolé dans le cadre
du processus de récupération et que son serveur DNS principal est le serveur
DNS racine de la forêt. Configurez cet ordinateur avec la même adresse IP que
celle qu’il avait avant l’incident pour éviter les échecs de recherche de service
DC.
Étapes suivantes
Windows Server 2003
Meilleures pratiques pour la sécurisation
d'Active Directory

Ce document fournit le point de vue d’un praticien et contient un ensemble de

techniques pratiques pour aider les responsables informatiques à protéger un
environnement de Active Directory d’entreprise. Active Directory joue un rôle essentiel
dans l'infrastructure informatique et garantit l'harmonie et la sécurité des différentes
ressources réseau dans un environnement global interconnecté. Les méthodes
présentées reposent en grande partie sur l’expérience de l’organisation Microsoft
Information Security and Risk Management (ISRM), qui est responsable de la protection
des ressources de Microsoft IT et d’autres divisions de l’entreprise Microsoft, en plus de
conseiller un nombre sélectionné de clients Microsoft Global 500.
Rapport de synthèse
Introduction
Voies de compromis
Comptes attrayants pour le vol d’informations d’identification
Réduction de la surface d’attaque Active Directory
Implémentation de modèles d’administration selon le principe du privilège

minimum
Implémentation des hôtes d’administration sécurisés
Sécurisation des contrôleurs de domaine contre les attaques
Supervision d’Active Directory pour détecter des signes de compromission
Recommandations en matière de stratégie d’audit
Planification de la compromission
Maintenance d’un environnement plus sécurisé
Annexes
Annexe B : Groupes et comptes privilégiés dans Active Directory
Annexe C : Groupes et comptes protégés dans Active Directory
Annexe D : Sécurisation des comptes d’administrateurs intégrés dans Active

Directory
Annexe E : Sécurisation des groupes d’administrateurs de l’entreprise dans Active

Directory
Annexe F : Sécurisation des groupes d’administrateurs de domaine dans Active

Directory
Annexe G : Sécurisation des groupes d’administrateurs dans Active Directory
Annexe H : Sécurisation des groupes et des comptes des administrateurs locaux
Annexe I : Création de comptes de gestion pour les groupes et les comptes

protégés dans Active Directory
Annexe L : événements à analyser
Annexe M : Liens vers des documents et lecture recommandée

Résumé
s’applique à : Windows server 2022, Windows server 2019, Windows Server 2012
） Important
La documentation suivante a été écrite en 2013 et est fournie à des fins

d’historique uniquement. Actuellement, nous examinons cette documentation et
nous sommes susceptibles de changer. Il peut ne pas refléter les meilleures
pratiques actuelles.
Aucune organisation dotée d’une infrastructure informatique n’est protégée contre les
attaques, mais si des stratégies, des processus et des contrôles appropriés sont
implémentés pour protéger des segments clés de l’infrastructure informatique d’une
organisation, il peut être possible d’empêcher un événement de violation de croître vers
un compromis de gros de l’environnement informatique.
Ce résumé est destiné à être utile sous la forme d’un document autonome résumant le
contenu du document, qui contient des recommandations qui aident les organisations à
améliorer la sécurité de leurs installations Active Directory. En implémentant ces
recommandations, les organisations sont en mesure d’identifier et de hiérarchiser les
activités de sécurité, de protéger les segments clés de l’infrastructure informatique de
leur organisation et de créer des contrôles qui réduisent considérablement la probabilité
d’attaques réussies contre les composants critiques de l’environnement informatique.
Bien que ce document présente les attaques les plus courantes contre les Active
Directory et les contre-mesures visant à réduire la surface d’attaque, il contient
également des recommandations pour la récupération en cas de compromission
complète. La seule façon de procéder à la récupération en cas de compromission
complète de Active Directory doit être préparée à la compromission avant qu’elle ne se
produise.
Les principales sections de ce document sont les suivantes :
Voies de compromis
Réduire la Surface d'attaque Active Directory
Surveillance des signes de compromission d'Active Directory

Planification des compromis
Voies de compromis
Cette section fournit des informations sur les vulnérabilités les plus couramment
utilisées par les attaquants pour compromettre les infrastructures des clients. Il contient
des catégories générales de vulnérabilités et la façon dont elles sont utilisées pour
pénétrer initialement les infrastructures des clients, propager la compromission sur des
systèmes supplémentaires et cibler finalement les Active Directory et les contrôleurs de
domaine pour obtenir le contrôle total des forêts des organisations. Il ne fournit pas de
recommandations détaillées sur la résolution de chaque type de vulnérabilité, en
particulier dans les domaines dans lesquels les vulnérabilités ne sont pas utilisées pour
cibler directement Active Directory. Toutefois, pour chaque type de vulnérabilité, nous
avons fourni des liens vers des informations supplémentaires à utiliser pour développer
des contre-mesures et réduire la surface d’attaque de l’organisation.
Les sujets suivants sont inclus :
Cibles de violations initiales : la plupart des violations de la sécurité des

informations commencent avec la compromission de petites parties de
l’infrastructure d’une organisation, souvent un ou deux systèmes à la fois. Ces
événements initiaux, ou points d’entrée dans le réseau, exploitent souvent des
vulnérabilités susceptibles d’avoir été corrigées, mais n’ont pas été résolues. Les
vulnérabilités courantes sont les suivantes :
Lacunes dans les déploiements antivirus et anti-programme malveillant
Mise à jour corrective incomplète
Applications et systèmes d’exploitation obsolètes
Configuration incorrecte
Absence de pratiques de développement d’applications sécurisées
Comptes attrayants pour le vol d’informations d’identification : les attaques par

vol d’informations d’identification sont celles dans lesquelles une personne
malveillante obtient un accès privilégié à un ordinateur sur un réseau, puis utilise
les outils disponibles librement pour extraire les informations d’identification des
sessions d’autres comptes connectés. Les éléments suivants sont inclus dans cette
section :
Activités qui augmentent la probabilité de compromission : étant donné que

la cible des vols d’informations d’identification est généralement des comptes
de domaine hautement privilégiés et des comptes d’adresse IP virtuelle (VIP), il
est important que les administrateurs soient conscients des activités qui
augmentent la probabilité de réussite d’une attaque par vol d’informations
d’identification. Ces activités sont les suivantes :
Connexion à des ordinateurs non sécurisés avec des comptes privilégiés
Navigation sur Internet avec un compte doté de privilèges élevés
Configuration de comptes disposant de privilèges locaux avec les mêmes

informations d’identification sur les systèmes
Suralimentation et abus des groupes de domaines privilégiés
La gestion de la sécurité des contrôleurs de domaine est insuffisante.
Les comptes, les serveurs et les composants d’infrastructure spécifiques à l'

élévation des privilèges et à la propagation sont généralement les cibles
principales des attaques contre les Active Directory. Voici ces comptes :
Comptes avec privilèges permanents
Comptes VIP
Comptes de Active Directory « attachés par des privilèges »
Contrôleurs de domaine
Autres services d’infrastructure qui affectent la gestion de l’identité, de

l’accès et de la configuration, tels que les serveurs d’infrastructure à clé
publique (PKI) et les serveurs de gestion de systèmes

Cette section se concentre sur les contrôles techniques pour réduire la surface d’attaque
d’une installation Active Directory. Les sujets suivants sont inclus dans cette section :
La section comptes et groupes privilégiés dans Active Directory présente les

comptes et les groupes privilégiés les plus élevés dans Active Directory et les
mécanismes par lesquels les comptes privilégiés sont protégés. dans Active
Directory, trois groupes prédéfinis sont les groupes de privilèges les plus élevés
dans l’annuaire (administrateurs Enterprise, admins du domaine et
administrateurs), bien qu’un certain nombre de groupes et de comptes
supplémentaires doivent également être protégés.
La section implémentation de modèles d’administration Least-Privilege se

concentre sur l’identification du risque lié à l’utilisation de comptes à privilèges
élevés pour l’administration quotidienne, en plus de fournir des recommandations
pour réduire ce risque.
Un privilège excessif est introuvable dans les Active Directory dans les environnements
compromis. Lorsqu’une organisation a développé l’habitude d’octroyer plus de
privilèges que nécessaire, elle se trouve généralement dans toute l’infrastructure :
Dans Active Directory
Sur les serveurs membres
Sur les stations de travail
Dans les applications
Dans les référentiels de données
La section implémentation d’ordinateurs hôtes d’administration sécurisée décrit

les ordinateurs hôtes d’administration sécurisés, qui sont des ordinateurs
configurés pour prendre en charge l’administration de Active Directory et de
systèmes connectés. Ces ordinateurs hôtes sont dédiés aux fonctionnalités
administratives et n’exécutent pas de logiciels tels que les applications de
messagerie, les navigateurs Web ou les logiciels de productivité (tels que les
Microsoft Office).
Les éléments suivants sont inclus dans cette section :
Principes de création d’ordinateurs hôtes d’administration sécurisés : les

principes généraux à prendre en compte sont les suivants :
N’administrez jamais un système approuvé à partir d’un hôte moins approuvé.
Ne vous fiez pas à un seul facteur d’authentification lors de l’exécution
d’activités privilégiées.
N’oubliez pas la sécurité physique lors de la conception et de l’implémentation
d’ordinateurs hôtes d’administration sécurisés.
Sécurisation des contrôleurs de domaine contre les attaques : si un utilisateur

malveillant obtient un accès privilégié à un contrôleur de domaine, il peut modifier,
corrompre et détruire la base de données Active Directory et, par extension, tous
les systèmes et comptes gérés par Active Directory.
Les sujets suivants sont inclus dans cette section :
Sécurité physique pour les contrôleurs de domaine : contient des

recommandations pour assurer la sécurité physique des contrôleurs de domaine
dans les centres de donnes, les filiales et les emplacements distants.
Systèmes d’exploitation de contrôleur de domaine : contient des
recommandations pour la sécurisation des systèmes d’exploitation de contrôleur
de domaine.
Configuration sécurisée des contrôleurs de domaine : les outils et paramètres de

configuration natifs et disponibles librement peuvent être utilisés pour créer des
lignes de base de configuration de sécurité pour les contrôleurs de domaine qui
peuvent être appliqués par la suite par des objets stratégie de groupe (GPO).
Surveillance des signes de compromission

d'Active Directory
cette section fournit des informations sur les catégories d’audit héritées et les sous-
catégories de stratégie d’audit (qui ont été introduites dans Windows Vista et Windows
Server 2008), ainsi que sur la stratégie d’audit avancée (qui a été introduite dans
Windows Server 2008 R2). Vous trouverez également des informations sur les
événements et les objets à surveiller qui peuvent indiquer des tentatives de
compromission de l’environnement et des références supplémentaires qui peuvent être
utilisées pour construire une stratégie d’audit complète pour Active Directory.
Windows stratégie d’Audit -les journaux des événements de sécurité Windows ont
des catégories et des sous-catégories qui déterminent quels événements de
sécurité sont suivis et enregistrés.
Recommandations de stratégie d’audit : cette section décrit les paramètres de

stratégie d’audit Windows par défaut, les paramètres de stratégie d’audit
recommandés par Microsoft et des recommandations plus agressives pour les
organisations à utiliser pour auditer des serveurs et des stations de travail critiques.

Cette section contient des recommandations qui aident les organisations à se préparer à
un compromis avant qu’elle ne se produise, à implémenter des contrôles capables de
détecter un événement compromis avant qu’une violation complète ne se produise, et à
fournir des instructions de réponse et de récupération pour les cas où une
compromission complète de l’annuaire est effectuée par des attaquants. Les sujets
suivants sont inclus dans cette section :
Repenser l’approche : contient des principes et des recommandations pour créer
des environnements sécurisés dans lesquels une organisation peut placer les
ressources les plus critiques. Ces instructions sont les suivantes :
Identification des principes pour isoler et sécuriser les ressources critiques
Définition d’un plan de migration limité et basé sur les risques
Tirer parti des migrations « migratoires » lorsque cela est nécessaire
Implémentation de la « destruction créative »
Isolation des systèmes et applications héritées
Simplification de la sécurité pour les utilisateurs finaux
Maintenance d’un environnement plus sécurisé : contient des recommandations

de haut niveau destinées à être utilisées en tant que recommandations pour le
développement d’une sécurité efficace, mais d’une gestion du cycle de vie efficace.
Création de Business-Centric pratiques de sécurité pour les Active Directory -

pour gérer efficacement le cycle de vie des utilisateurs, des données, des
applications et des systèmes gérés par Active Directory, suivez ces principes.
Affecter une propriété de l’entreprise à Active Directory données -affecter

la propriété des composants d’infrastructure à celle-ci ; pour les données
ajoutées à Active Directory Domain Services (AD DS) pour la prise en charge
de l’activité, par exemple, de nouveaux employés, de nouvelles applications
et de nouveaux référentiels d’informations, une unité commerciale ou un
utilisateur désigné doit être associé aux données.
Implémenter la gestion du cycle de vie de Business-Driven -la gestion du

cycle de vie doit être implémentée pour les données de Active Directory.
Classifier tous les Active Directory les propriétaires d’entreprise doivent

fournir une classification des données dans Active Directory. Dans le modèle
de classification des données, la classification des données de Active
Directory suivantes doit être incluse :
Systèmes : classification des populations de serveurs, de leur système

d’exploitation, de leur rôle, des applications qui s’y exécutent et des
propriétaires de l’informatique et des professionnels de l’enregistrement.
Applications : classifier les applications par fonctionnalité, base
d’utilisateurs et leur système d’exploitation.
Utilisateurs : les comptes des installations Active Directory les plus

susceptibles d’être ciblés par les attaquants doivent être marqués et
surveillés.
Résumé des meilleures pratiques pour la

sécurisation des Active Directory Domain
Services
Le tableau suivant fournit un résumé des recommandations fournies dans ce document
pour sécuriser une installation AD DS. Certaines meilleures pratiques sont de nature
stratégique et nécessitent des projets de planification et d’implémentation complets.
d’autres sont tactiques et se concentrent sur des composants spécifiques de Active
Directory et de l’infrastructure associée.
Les pratiques sont répertoriées dans l’ordre de priorité approximatif, autrement dit, les
nombres inférieurs indiquent une priorité plus élevée. Le cas échéant, les meilleures
pratiques sont identifiées comme préventives ou détectives par nature. Toutes ces
recommandations doivent être rigoureusement testées et modifiées en fonction des
besoins et des exigences de votre organisation.
Bonne pratique Tactique Préventive

ou ou
stratégique détective
Application de correctifs. Tactique Préventive
Corriger les systèmes d’exploitation. Tactique Préventive
Déployez et mettez rapidement à jour les logiciels antivirus et anti- Tactique Les deux
programme malveillant sur tous les systèmes et surveillez les
tentatives de suppression ou de désactivation.
surveiller les objets de Active Directory sensibles pour les tentatives Tactique Détectrice
de modification et Windows pour les événements qui peuvent
indiquer une tentative de compromission.
Protéger et surveiller les comptes pour les utilisateurs qui ont accès à Tactique Les deux
des données sensibles
Empêchez l’utilisation de comptes puissants sur des systèmes non Tactique Préventive
autorisés.
Bonne pratique Tactique Préventive
ou ou
stratégique détective
Éliminez l’appartenance permanente aux groupes à privilèges élevés. Tactique Préventive
Implémentez des contrôles pour accorder une appartenance Tactique Préventive

temporaire à des groupes privilégiés si nécessaire.
Implémentez des hôtes d’administration sécurisés. Tactique Préventive
Utilisez l’application allowslists sur les contrôleurs de domaine, les Tactique Préventive
hôtes administratifs et les autres systèmes sensibles.
Identifiez les ressources critiques et hiérarchisez leur sécurité et leur Tactique Les deux
surveillance.
Implémentez des contrôles d’accès en fonction du rôle et des Strategic Préventive

privilèges minimaux pour l’administration de l’annuaire, son
infrastructure de prise en charge et les systèmes joints à un domaine.
Isolez les systèmes et les applications héritées. Tactique Préventive
Désaffecter des systèmes et des applications héritées. Strategic Préventive
Implémentez des programmes de cycle de vie de développement Strategic Préventive

sécurisés pour les applications personnalisées.
Implémentez la gestion de la configuration, examinez la conformité Strategic Préventive

régulièrement et évaluez les paramètres avec chaque nouvelle version
matérielle ou logicielle.
Migrez les ressources critiques vers les forêts de grande valeur avec Strategic Les deux
des exigences strictes en matière de sécurité et de surveillance.
Simplifiez la sécurité pour les utilisateurs finaux. Strategic Préventive
Utilisez des pare-feu basés sur l’hôte pour contrôler et sécuriser les Tactique Préventive
communications.
Appareils à correctifs. Tactique Préventive
Implémentez une gestion du cycle de vie centrée sur l’entreprise pour Strategic N/A
les ressources informatiques.
Créer ou mettre à jour des plans de récupération d’incident. Strategic N/A

Introduction

Les attaques contre les infrastructures informatiques, qu’elles soient simples ou

complexes, ont existé tant que les ordinateurs disposent de. Toutefois, au cours de la
dernière décennie, un nombre croissant d’organisations de toutes tailles situées dans
toutes les régions du monde ont été attaquées et compromises avec des méthodes qui
ont considérablement changé le paysage des menaces. La guerre de l’information et le
cybercrime ont augmenté à des taux record. « Hacktivism », dans laquelle les attaques
sont motivées par des positions opinions activistes, a été allégué comme motivation
pour un certain nombre de violations destinées à exposer les informations
confidentielles des organisations, à créer des refus de service ou même à détruire
l’infrastructure. Les attaques contre les institutions publiques et privées avec l’objectif de
dévoiler la propriété intellectuelle (IP) de l’organisation sont omniprésentes.
Aucune organisation dotée d’une infrastructure informatique n’est à l’abri des attaques,
mais si des stratégies, des processus et des contrôles appropriés sont implémentés pour
protéger les segments clés de l’infrastructure informatique d’une organisation, la
remontée des attaques de pénétration pour une compromission complète peut être
empêchable. Étant donné que le nombre et la mise à l’échelle des attaques provenant
de l’extérieur d’une organisation ont mis en place une menace Insider dans les années
récentes, ce document présente souvent des attaquants externes, et non une mauvaise
utilisation de l’environnement par des utilisateurs autorisés. Néanmoins, les principes et
recommandations fournis dans ce document visent à vous aider à sécuriser votre
environnement contre les attaquants externes et mal intentionnés ou malveillants.
Les informations et les recommandations fournies dans ce document sont tirées d’un
certain nombre de sources et dérivées de pratiques conçues pour protéger les
installations Active Directory contre les compromissions. Bien qu’il ne soit pas possible
d’empêcher les attaques, il est possible de réduire la surface d’attaque Active Directory
et d’implémenter des contrôles qui rendent la compromission de l’annuaire bien plus
difficile pour les attaquants. Ce document présente les types de vulnérabilités les plus
courants que nous avons observés dans les environnements compromis et les
recommandations les plus courantes que nous avons apportées aux clients pour
améliorer la sécurité de leurs installations Active Directory.
Conventions d’affectation des noms de
comptes et de groupes
Le tableau suivant fournit un guide pour les conventions d’affectation de noms utilisées
dans ce document pour les groupes et les comptes référencés dans tout le document.
L’emplacement de chaque compte/groupe, son nom et la manière dont ces
comptes/groupes sont référencés dans ce document sont inclus dans la table.
Emplacement du compte/groupe Nom du Comment il est

compte/groupe référencé dans
ce document
Active Directory-chaque domaine Administrateur Compte

Administrateur
intégré
Active Directory-chaque domaine Administrateurs Groupe

Administrateurs
intégré (BA)
Active Directory-chaque domaine Admins du Groupe Admins

domaine du domaine
(DA)
Domaine racine de la forêt Active Directory Administrateurs groupe

de l’entreprise administrateurs
de Enterprise
(EA)
base de données du gestionnaire de comptes de sécurité Administrateur Compte

(SAM) de l’ordinateur Local sur les ordinateurs exécutant d’administrateur
Windows serveur et les stations de travail qui ne sont pas local
des contrôleurs de domaine
base de données du gestionnaire de comptes de sécurité Administrateurs Groupe

(SAM) de l’ordinateur Local sur les ordinateurs exécutant Administrateurs
Windows serveur et les stations de travail qui ne sont pas local
des contrôleurs de domaine
À propos de ce document
L’organisation Microsoft Information Security and Risk Management (ISRM), qui fait
partie de Microsoft Information Technology (MSIT), travaille avec les entités internes, les
clients externes et les pairs de l’industrie pour rassembler, diffuser et définir des
stratégies, des pratiques et des contrôles. Ces informations peuvent être utilisées par
Microsoft et nos clients pour accroître la sécurité et réduire la surface d’attaque de leurs
infrastructures informatiques. Les recommandations fournies dans ce document sont
basées sur un certain nombre de sources d’informations et de pratiques utilisées dans
MSIT et ISRM. Les sections suivantes présentent des informations supplémentaires sur
les origines de ce document.
Microsoft IT et ISRM
Un certain nombre de pratiques et de contrôles ont été développés dans MSIT et ISRM
pour sécuriser les forêts et les domaines Microsoft AD DS. Lorsque ces contrôles sont
largement applicables, ils ont été intégrés dans ce document. SAFE-T (accélérateurs de
solution pour les technologies émergentes) est une équipe de ISRM dont la Charte est
d’identifier des technologies émergentes et de définir des exigences et des contrôles de
sécurité pour accélérer leur adoption.
Évaluations de la sécurité Active Directory

Au sein de Microsoft ISRM, l’équipe d’évaluation, de Conseil et d’ingénierie travaille avec
les entités Microsoft internes et les clients externes pour évaluer la sécurité des
applications et de l’infrastructure et fournir des conseils tactiques et stratégiques pour
augmenter la position de sécurité de l’organisation. Une offre de service ACE est
l’évaluation de la sécurité Active Directory (ADSA), qui est une évaluation holistique de
l’environnement AD DS d’une organisation qui évalue les personnes, les processus et la
technologie et qui produit des recommandations spécifiques au client. Les clients
possèdent des recommandations basées sur les caractéristiques, les pratiques et
l’appétit des risques propres à l’organisation. Les ADSAs ont été effectuées pour les
installations Active Directory chez Microsoft, en plus de celles de nos clients. Au fil du
temps, un certain nombre de recommandations ont été détectées pour les clients de
tailles et d’industries variables.
Organisation et origine du contenu

La majeure partie du contenu de ce document est dérivée de la ADSA et d’autres
évaluations d’équipe ACE effectuées pour les clients compromis et les clients qui n’ont
pas subi de compromission importante. Bien que les données client individuelles n’aient
pas été utilisées pour créer ce document, nous avons collecté les vulnérabilités les plus
couramment exploitées que nous avons identifiées dans nos évaluations et les
recommandations que nous avons apportées aux clients pour améliorer la sécurité de
leurs installations AD DS. Toutes les vulnérabilités ne sont pas applicables à l’ensemble
des environnements et il n’est pas possible d’implémenter tous les recommandations
dans chaque organisation.
Ce document est organisé comme suit :
Résumé
Le résumé, qui peut être lu en tant que document autonome ou en combinaison avec le
document complet, fournit une synthèse générale de ce document. Les vecteurs
d’attaque les plus courants que nous avons observés pour compromettre les
environnements clients, les recommandations de synthèse pour la sécurisation des
installations de Active Directory et les objectifs de base pour les clients qui envisagent
de déployer de nouvelles forêts AD DSes maintenant ou ultérieurement sont inclus dans
le résumé exécutif.
Introduction
Il s’agit de la section que vous lisez maintenant.
Voies de compromis
Cette section fournit des informations sur les vulnérabilités les plus couramment
utilisées par les attaquants pour compromettre les infrastructures des clients. Cette
section commence par des catégories générales de vulnérabilités et la façon dont elles
sont exploitées pour pénétrer initialement les infrastructures des clients, propager la
compromission sur des systèmes supplémentaires et cibler finalement les AD DS et les
contrôleurs de domaine pour obtenir le contrôle total des forêts des organisations.
Cette section ne fournit pas de recommandations détaillées sur la résolution de chaque

type de vulnérabilité, en particulier dans les domaines dans lesquels les vulnérabilités ne
sont pas utilisées pour cibler directement Active Directory. Toutefois, pour chaque type
de vulnérabilité, nous avons fourni des liens vers des informations supplémentaires que
vous pouvez utiliser pour développer des contre-mesures et réduire la surface d’attaque
de votre organisation.

Cette section commence par fournir des informations générales sur les comptes et les
groupes privilégiés dans Active Directory pour fournir les informations qui permettent
de clarifier les raisons des recommandations suivantes pour la sécurisation et la gestion
des groupes et des comptes privilégiés. nous présenterons ensuite les approches pour
réduire le besoin d’utiliser des comptes à privilèges élevés pour l’administration
quotidienne, ce qui ne nécessite pas le niveau de privilège accordé aux groupes tels que
les groupes administrateurs de Enterprise (EA), admins du domaine (DA) et
administrateurs intégrés (BA) dans Active Directory. Ensuite, nous fournissons des
conseils pour sécuriser les groupes et les comptes privilégiés, et pour implémenter des
systèmes et des pratiques d’administration sécurisés.
Bien que cette section fournit des informations détaillées sur ces paramètres de
configuration, nous avons également inclus des annexes pour chaque recommandation
fournissant des instructions de configuration pas à pas qui peuvent être utilisées « en
l’or » ou qui peuvent être modifiées en fonction des besoins de l’organisation. Cette
section se termine en fournissant des informations pour déployer et gérer en toute
sécurité les contrôleurs de domaine, qui doivent figurer parmi les systèmes les plus
sécurisés dans l’infrastructure.
Surveillance des signes de compromission d'Active

Directory
que vous ayez implémenté des informations de sécurité robustes (SIEM) dans votre
environnement ou que vous utilisiez d’autres mécanismes pour surveiller la sécurité de
l’infrastructure, cette section fournit des informations qui peuvent être utilisées pour
identifier les événements sur les systèmes Windows qui peuvent indiquer qu’une
organisation est attaquée. nous abordons les stratégies d’audit traditionnelles et
avancées, notamment la configuration efficace des sous-catégories d’audit dans les
systèmes d’exploitation Windows 7 et Windows Vista. Cette section comprend des listes
exhaustives d’objets et de systèmes à auditer, et une annexe associée répertorie les
événements pour lesquels vous devez surveiller si l’objectif est de détecter les tentatives
de compromission.

Cette section commence par « pas à pas principal » du détail technique pour se
concentrer sur les principes et les processus qui peuvent être implémentés pour
identifier les utilisateurs, les applications et les systèmes les plus importants non
seulement pour l’infrastructure informatique, mais aussi pour l’entreprise. Après avoir
identifié ce qui est le plus important pour la stabilité et les opérations de votre
organisation, vous pouvez vous concentrer sur la protection et la sécurisation de ces
ressources, qu’il s’agisse de propriété intellectuelle, de personnes ou de systèmes. Dans
certains cas, la séparation et la sécurisation des ressources peuvent être effectuées dans
votre environnement de AD DS existant. dans d’autres cas, vous devez envisager
d’implémenter de petites « cellules » distinctes qui vous permettent d’établir une limite
sécurisée autour des ressources critiques et de surveiller ces ressources de manière plus
stricte que les composants moins critiques. Un concept appelé « destruction créative »,
qui est un mécanisme permettant d’éliminer les applications et les systèmes hérités en
créant de nouvelles solutions, est abordé, et la section se termine par des
recommandations qui peuvent aider à maintenir un environnement plus sécurisé en
combinant les informations commerciales et informatiques pour créer une image
détaillée de ce qu’est un état opérationnel normal. En sachant ce qui est normal pour
une organisation, les anomalies pouvant indiquer des attaques et des compromis
peuvent être identifiées plus facilement.
résumé des meilleures pratiques Recommandations

Cette section fournit un tableau qui résume les recommandations présentées dans ce
document et les classe par priorité relative, en plus de fournir des liens vers les
emplacements où se trouvent d’autres informations sur chaque recommandation dans
le document et ses annexes.
Annexes
Les annexes sont incluses dans ce document pour compléter les informations contenues
dans le corps du document. La liste des annexes et une brève description de chacune
d’elles sont incluses dans le tableau suivant.
Annexe Description
Annexe B : Groupes et Fournit des informations générales qui vous aident à identifier les
comptes privilégiés dans utilisateurs et les groupes que vous devez vous concentrer sur la
Active Directory sécurisation, car ils peuvent être exploités par des personnes
malveillantes pour compromettre et même détruire votre installation
Active Directory.
Annexe C : Groupes et Contient des informations sur les groupes protégés dans Active
comptes protégés dans Directory. Il contient également des informations pour une
Active Directory personnalisation limitée (suppression) des groupes considérés comme
des groupes protégés et sont affectés par AdminSDHolder et SDProp.
Annexe D : Sécurisation Contient des indications pour aider à sécuriser le compte

des comptes administrateur dans chaque domaine de la forêt.
d’administrateurs
intégrés dans Active
Directory
Annexe Description
Annexe E : Sécurisation contient des instructions pour aider à sécuriser le groupe

des groupes administrateurs Enterprise dans la forêt.
d’administrateurs de
l’entreprise dans Active
Directory
Annexe F : Sécurisation Contient des indications pour aider à sécuriser le groupe

des groupes administrateurs du domaine dans chaque domaine de la forêt.
domaine dans Active
Directory
Annexe G : Sécurisation Contient des indications pour aider à sécuriser le groupe

des groupes Administrateurs intégré dans chaque domaine de la forêt.
d’administrateurs dans
Active Directory
Annexe H : Sécurisation Contient des instructions pour sécuriser les comptes d’administrateur
des groupes et des local et les groupes d’administrateurs sur les serveurs et stations de
comptes des travail joints à un domaine.
administrateurs locaux
Annexe I : Création de Fournit des informations pour créer des comptes disposant de
comptes de gestion pour privilèges limités et pouvant être contrôlés de façon stricte, mais qui
les groupes et les peuvent être utilisés pour remplir des groupes privilégiés dans Active
comptes protégés dans Directory lorsque l’élévation temporaire est nécessaire.
Active Directory
Annexe L : événements à Répertorie les événements que vous devez surveiller dans votre
analyser environnement.
Annexe M : Liens vers Contient une liste de lectures recommandées. Contient également
des documents et lecture une liste de liens vers des documents externes et leurs URL afin que
recommandée les lecteurs des copies papier de ce document puissent accéder à ces
informations.
Voies de compromis

Loi numéro sept : Le réseau le plus sécurisé est un réseau bien administré. - 10 lois
immuables de l’administration de la sécurité
Dans les organisations qui ont subi des événements de compromission catastrophiques,
les évaluations révèlent généralement que les organisations ont une visibilité limitée sur
l’état réel de leurs infrastructures informatiques, ce qui peut différer considérablement
de leurs états « tels que documentés ». Ces écarts introduisent des vulnérabilités qui
exposent l’environnement à des compromissions, souvent avec peu de risque de
découverte tant que la compromission n’a pas progressé jusqu’à ce que les attaquants
« possèdent » de fait l’environnement.
Des évaluations détaillées de la configuration AD DS de ces organisations,

infrastructures à clé publique (PK), serveurs, stations de travail, applications, listes de
contrôle d’accès (ACL) et autres technologies révèlent des configurations incorrectes et
des vulnérabilités qui, si elles avaient été corrigées, auraient pu empêcher la
compromission initiale.
L’analyse de la documentation, des processus et des procédures informatiques identifie

les vulnérabilités introduites par les lacunes dans les pratiques administratives qui ont
été exploitées par les attaquants pour obtenir des privilèges qui ont été utilisés pour
compromettre entièrement la forêt Active Directory. Une forêt entièrement compromise
est une forêt dans laquelle les attaquants compromettent non seulement des systèmes
individuels, des applications ou des comptes d’utilisateur, mais escaladent aussi leur
accès pour obtenir un niveau de privilège dans lequel ils peuvent modifier ou détruire
tous les aspects de la forêt. Lorsqu’une installation Active Directory a été compromise à
ce niveau, les attaquants peuvent apporter des modifications qui leur permettent de
maintenir une présence dans l’environnement, ou pire, de détruire l’annuaire et les
systèmes et les comptes qu’il gère.
Bien qu’un certain nombre de vulnérabilités couramment exploitées dans les

descriptions qui suivent ne soient pas des attaques contre Active Directory, elles
permettent aux attaquants d’établir une position dans un environnement et de l’utiliser
pour exécuter des attaques d’escalade des privilèges (également appelées attaques
d’élévation de privilèges) et d’éventuellement cibler et compromettre AD DS.
Cette section de ce document se concentre sur la description des mécanismes que les
attaquants utilisent généralement pour accéder à l’infrastructure et éventuellement
lancer des attaques par élévation de privilèges. Consultez également les sections
suivantes :
Réduction de la surface d’attaque Active Directory Recommandations détaillées

pour la configuration sécurisée d’Active Directory.
Surveillance d’Active Directory à la recherche de signes de compromission

Recommandations pour aider à détecter les compromissions
Planification des compromis Approches de haut niveau pour vous aider à vous
préparer aux attaques contre l’infrastructure du point de vue informatique et
métier
７ Notes
Bien que ce document se concentre sur les systèmes Active Directory et Windows
qui font partie d’un domaine AD DS, les attaquants se concentrent rarement
uniquement sur Active Directory et Windows. Dans les environnements avec un
mélange de systèmes d’exploitation, de répertoires, d’applications et de référentiels
de données, il est courant de constater que les systèmes non Windows sont
également compromis. Cela est particulièrement vrai si les systèmes fournissent un
« pont » entre les environnements Windows et non Windows, comme les serveurs
de fichiers accessibles par les clients Windows et UNIX ou Linux, les annuaires qui
fournissent des services d’authentification à plusieurs systèmes d’exploitation ou les
méta-annuaires qui synchronisent les données entre des annuaires disparates.
AD DS est ciblé en raison des fonctionnalités centralisées de gestion de l’accès et

de la configuration qu’il fournit non seulement aux systèmes Windows, mais à
d’autres clients. Tout autre annuaire ou application qui fournit des services
d’authentification et de gestion de la configuration peut être et sera ciblé par des
attaquants déterminés. Bien que ce document soit axé sur les protections qui
peuvent réduire la probabilité d’une compromission des installations Active
Directory, chaque organisation qui inclut des ordinateurs, des annuaires, des
applications ou des référentiels de données non Windows doit également se
préparer aux attaques contre ces systèmes.
Cibles de violation initiales

Personne ne crée intentionnellement une infrastructure informatique qui expose
l’organisation à des compromis. Lorsqu’une forêt Active Directory est construite pour la
première fois, elle est généralement intacte et à jour. À mesure que les années passent
et que de nouveaux systèmes d’exploitation et applications sont acquis, ces derniers
sont ajoutés à la forêt. À mesure que les avantages de gestion qu’Active Directory offre
deviennent reconnus, de plus en plus de contenu est ajouté à l’annuaire, de plus en plus
de personnes intègrent leurs ordinateurs ou applications à AD DS, et les domaines sont
mis à niveau pour prendre en charge les nouvelles fonctionnalités offertes par les
versions les plus récentes du système d’exploitation Windows. Cependant, ce qui se
produit également au fil du temps, c’est que même quand une nouvelle infrastructure
est ajoutée, d’autres parties de l’infrastructure peuvent ne pas être gérées comme elles
l’étaient initialement, les systèmes et les applications fonctionnent correctement et ne
reçoivent donc pas d’attention, et les organisations commencent à oublier qu’elles n’ont
pas éliminé leur infrastructure héritée. D’après ce que nous voyons dans l’évaluation des
infrastructures compromises, plus l’environnement est ancien, grand et complexe, plus il
est probable qu’il existe de nombreuses instances de vulnérabilités couramment
exploitées.
Quelle que soit la motivation de l’attaquant, la plupart des violations de la sécurité des
informations commencent par la compromission d’un ou de deux systèmes à la fois. Ces
événements initiaux, ou points d’entrée dans le réseau, tirent souvent parti de
vulnérabilités qui auraient pu être corrigées, mais qui ne l’étaient pas. Le rapport
Enquêtes sur les violations de données (DBIR) de 2012 , qui est une étude annuelle
produite par l’équipe Verizon RISK en coopération avec un certain nombre d’agences de
sécurité nationales et d’autres entreprises, indique que 96 pour cent des attaques
n’étaient « pas très difficiles » et que « 97 pour cent des violations ont été évitées par
des contrôles simples ou intermédiaires ». Ces résultats peuvent être une conséquence
directe des vulnérabilités couramment exploitées qui suivent.
Lacunes dans les déploiements des programmes antivirus

et anti-programme malveillant
Loi numéro huit : un scanneur de logiciels malveillants obsolète n’est que légèrement
meilleur qu’aucun scanneur du tout. - Dix lois immuables de la sécurité (version 2.0)
L’analyse des déploiements de programmes antivirus et anti-programme malveillant des

organisations révèle souvent un environnement dans lequel la plupart des stations de
travail sont configurées avec des logiciels antivirus et anti-programme malveillant
activés et à jour. Les exceptions sont généralement les stations de travail qui se
connectent rarement à l’environnement d’entreprise et les appareils des employés pour
lesquels les logiciels antivirus et anti-programme malveillant peuvent être difficiles à
déployer, configurer et mettre à jour.
Toutefois, les populations de serveurs ont tendance à être moins systématiquement

protégées dans de nombreux environnements compromis. Comme indiqué dans les
Enquêtes sur les violations de données de 2012 , 94 pour cent de toutes les
compromissions de données ont impliqué des serveurs, ce qui représente une
augmentation de 18 pour cent par rapport à l’année précédente, et 69 pour cent des
attaques ont incorporé des programmes malveillants. Dans les populations de serveurs,
il n’est pas rare de constater que les installations antivirus et anti-programme
malveillant sont configurées de manière incohérente, obsolètes, mal configurées, voire
désactivées. Dans certains cas, les programmes antivirus et anti-programme malveillant
sont désactivés par le personnel administratif, mais dans d’autres cas, les attaquants
désactivent les logiciels après avoir compromis un serveur via d’autres vulnérabilités.
Lorsque les programmes antivirus et anti-programme malveillant sont désactivés, les
attaquants placent ensuite des programmes malveillants sur le serveur et se concentrent
sur la propagation de la compromission dans l’ensemble de la population du serveur.
Il est important non seulement de s’assurer que vos systèmes sont protégés par une
protection complète et actuelle contre les programmes malveillants, mais également de
surveiller les systèmes qui désactivent ou suppriment les logiciels antivirus et anti-
programme malveillant, et de redémarrer automatiquement la protection lorsqu’elle est
désactivée manuellement. Bien qu’aucun programme antivirus ou anti-programme
malveillant ne puisse garantir la prévention et la détection de toutes les infections, une
implémentation antivirus et anti-programme malveillant correctement configurée et
déployée peut réduire le risque d’infection.
Mise à jour corrective incomplète

Loi numéro 3 : si vous ne suivez pas les correctifs de sécurité, votre réseau ne sera vous
appartiendra pas pendant longtemps. - 10 lois immuables de l’administration de la
sécurité
Microsoft publie des bulletins de sécurité le deuxième mardi de chaque mois, même si,
dans de rares occasions, les mises à jour de sécurité sont publiées entre les mises à jour
de sécurité mensuelles (également appelées mises à jour « hors bande ») lorsque la
vulnérabilité est présente un risque urgent pour les systèmes clients. Qu’une petite
entreprise configure ses ordinateurs Windows pour qu’ils utilisent Windows Update
pour gérer la mise à jour corrective du système et des applications ou qu’une grande
organisation utilise des logiciels de gestion comme Microsoft Endpoint Configuration
Manager pour déployer des correctifs conformément à des plans hiérarchiques détaillés,
de nombreux clients appliquent les correctifs en temps relativement opportun pour
leurs infrastructures Windows.
Toutefois, peu d’infrastructures incluent uniquement des ordinateurs Windows et des

applications Microsoft, et dans les environnements compromis, il est courant de
constater que la stratégie de gestion des correctifs de l’organisation contient des
lacunes. Les systèmes Windows dans ces environnements sont mis à jour de manière
incohérente. Les systèmes d’exploitation non Windows sont mis à jour de manière
sporadique, voire jamais. Les applications commerciales prêtes à l’emploi (COTS)
contiennent des vulnérabilités pour lesquelles des correctifs existent, sans avoir été
appliqués. Les appareils réseau sont souvent configurés avec des informations
d’identification par défaut, sans aucune mise à jour de microprogramme des années
après leur installation. Les applications et systèmes d’exploitation qui ne sont plus pris
en charge par leurs fournisseurs sont souvent maintenus en cours d’exécution, bien
qu’ils ne puissent plus être corrigés contre les vulnérabilités. Chacun de ces systèmes
non mis à jour représente un autre point d’entrée potentiel pour les attaquants.
La consumérisation de l’informatique a introduit des défis supplémentaires dans le fait

que les appareils appartenant aux employés sont utilisés pour accéder aux données
appartenant à l’entreprise, et que l’organisation peut avoir peu ou pas de contrôle sur
les mises à jour correctives et la configuration des appareils personnels des employés.
Le matériel de classe entreprise est généralement fourni avec des options de
configuration et des fonctionnalités de gestion prêtes pour l’entreprise, au prix de moins
de choix en matière de personnalisation individuelle et de sélection d’appareils. Le
matériel axé sur les employés offre un large éventail de fabricants, de fournisseurs, de
fonctionnalités de sécurité matérielle, de fonctionnalités de sécurité logicielle, de
fonctionnalités de gestion et d’options de configuration, et de nombreuses
fonctionnalités d’entreprise peuvent être absentes.
Logiciel de gestion des vulnérabilités et des correctifs
Si un système de gestion des correctifs efficace est en place pour les systèmes Windows
et les applications Microsoft, une partie de la surface d’attaque créée par les
vulnérabilités non corrigées a été traitée. Toutefois, à moins que les systèmes non
Windows, les applications non Microsoft, l’infrastructure réseau et les appareils des
employés soient également tenus à jour sur les correctifs, l’infrastructure reste
vulnérable. Dans certains cas, le fournisseur d’une application peut offrir des
fonctionnalités de mise à jour automatique ; dans d’autres, il peut être nécessaire de
concevoir une approche pour récupérer et appliquer régulièrement les correctifs.
Applications et systèmes d’exploitation obsolètes

« Vous ne pouvez pas vous attendre à ce qu’un système d’exploitation vieux de six ans
vous protège contre une attaque datant seulement de six mois. » - Un professionnel de la
sécurité de l’information avec 10 ans d’expérience dans la sécurisation des installations
d’entreprise
Bien que « soyez à jour, restez à jour » peut ressembler à une expression marketing, les
systèmes d’exploitation et les applications obsolètes créent des risques dans les
infrastructures informatiques de nombreuses organisations. Un système d’exploitation
publié en 2003 peut toujours être pris en charge par le fournisseur et fourni avec des
mises à jour pour résoudre les vulnérabilités, mais ce système d’exploitation peut ne pas
contenir les fonctionnalités de sécurité ajoutées dans les versions plus récentes du
système d’exploitation. Les systèmes obsolètes peuvent même nécessiter un
affaiblissement de certaines configurations de sécurité AD DS pour prendre en charge
les moindres fonctionnalités de ces ordinateurs.
Les applications qui ont été écrites pour utiliser des protocoles d’authentification hérités
par des fournisseurs qui ne prennent plus en charge l’application ne peuvent
généralement pas être réorganisées pour prendre en charge des mécanismes
d’authentification plus forts. Toutefois, le domaine Active Directory d’une organisation
peut toujours être configuré pour stocker des hachages LAN Manager ou des mots de
passe chiffrés réversibles pour prendre en charge ces applications. Les applications
écrites avant l’introduction des systèmes d’exploitation plus récents peuvent ne pas
fonctionner correctement ou du tout sur les systèmes d’exploitation actuels, ce qui
oblige les organisations à maintenir des systèmes de plus en plus anciens, et dans
certains cas, du matériel et des logiciels complètement non pris en charge.
Même dans les cas où les organisations ont mis à jour leurs contrôleurs de domaine
pour Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008, il est
courant de trouver des parties significatives de la population de serveurs membres qui
exécutent Windows Server 2003, Windows 2000 Server ou Windows NT Server 4.0 (qui
sont entièrement non pris en charge). Plus une organisation maintient des systèmes
vieillissants, plus la disparité entre les ensembles de fonctionnalités augmente et plus il
est probable que les systèmes de production ne soient pas pris en charge. En outre, plus
longtemps une forêt Active Directory est maintenue, plus nous constatons que les
systèmes et applications hérités sont oubliés dans les plans de mise à niveau. Cela peut
signifier qu’un seul ordinateur exécutant une seule application peut introduire des
vulnérabilités à l’échelle du domaine ou de la forêt, car Active Directory est configuré
pour prendre en charge ses protocoles et ses mécanismes d’authentification hérités.
Pour éliminer les systèmes et applications hérités, vous devez d’abord vous concentrer
sur leur identification et leur catalogage, puis sur la mise à niveau ou le remplacement
de l’application ou de l’hôte. Bien qu’il puisse être difficile de trouver des solutions de
remplacement pour les applications hautement spécialisées pour lesquelles il n’existe ni
prise en charge ni chemin de mise à niveau, vous pouvez tirer parti d’un concept appelé
« destruction créative » pour remplacer l’application héritée par une nouvelle
application qui fournit les fonctionnalités nécessaires. La Planification des compromis est
décrite plus en détail dans « Planification des compris » plus loin dans ce document.
Configuration incorrecte
Loi numéro quatre : Il n’est pas très utile d’installer des correctifs de sécurité sur un
ordinateur qui n’a jamais été sécurisé en premier lieu. - 10 lois immuables de
l’administration de la sécurité
Même dans les environnements où les systèmes sont généralement tenus à jour et
corrigés, nous identifions généralement des lacunes ou configurations incorrectes dans
le système d’exploitation, les applications s’exécutant sur des ordinateurs et Active
Directory. Certaines configurations incorrectes exposent uniquement l’ordinateur local à
la compromission, mais une fois qu’un ordinateur est « possédé », les attaquants se
concentrent généralement sur la propagation de la compromission vers d’autres
systèmes et au final Active Directory. Voici quelques-uns des domaines courants dans
lesquels nous identifions les configurations qui introduisent des risques.
Les comptes Active Directory les plus couramment ciblés par les attaquants sont ceux
qui sont membres des groupes les plus privilégiés, comme les membres des groupes
Administrateurs de domaine (DA), Administrateurs d’entreprise (EA) ou Administrateurs
intégrés (BA) dans Active Directory. L’appartenance de ces groupes doit être réduite au
plus petit nombre de comptes possible afin que la surface d’attaque de ces groupes soit
limitée. Il est même possible d’éliminer l’appartenance « permanente » à ces groupes
privilégiés ; autrement dit, vous pouvez implémenter des paramètres qui vous
permettent de remplir temporairement ces groupes uniquement lorsque leurs privilèges
à l’échelle du domaine et de la forêt sont nécessaires. Lorsque des comptes hautement
privilégiés sont utilisés, ils doivent être utilisés uniquement sur des systèmes sécurisés
désignés, comme des contrôleurs de domaine ou des hôtes administratifs sécurisés. Des
informations détaillées pour faciliter l’implémentation de toutes ces configurations sont
fournies dans Réduction de la surface d’attaque Active Directory.
Lorsque nous évaluons l’appartenance des groupes privilégiés les plus élevés dans
Active Directory, nous trouvons généralement une appartenance excessive dans les trois
groupes les plus privilégiés. Dans certains cas, les organisations ont des dizaines, voire
des centaines de comptes dans des groupes DA. Dans d’autres cas, les organisations
placent des comptes directement dans des groupes Administrateurs intégrés, pensant
que le groupe est « moins privilégié » que le groupe DA. Ce n’est pas le cas. Nous
trouvons souvent une poignée de membres permanents du groupe EA dans le domaine
racine de la forêt, bien que les privilèges EA soient rarement requis, et seulement
temporairement. Il est également courant de trouver le compte d’administration
quotidien d’un utilisateur informatique dans les trois groupes, même s’il s’agit d’une
configuration redondante dans les faits. Comme décrit dans Réduction de la surface
d’attaque Active Directory, qu’un compte soit membre permanent de l’un de ces
groupes ou de leur ensemble, le compte peut être utilisé pour compromettre, voire
détruire l’environnement AD DS et les systèmes et comptes gérés par celui-ci. Des
recommandations pour la configuration sécurisée et l’utilisation de comptes privilégiés
dans Active Directory sont fournies dans Réduction de la surface d’attaque Active
Directory.
À propos des contrôleurs de domaine

Lorsque nous évaluons les contrôleurs de domaine, nous constatons souvent qu’ils sont
configurés et gérés différemment des serveurs membres. Les contrôleurs de domaine
exécutent parfois les mêmes applications et utilitaires installés sur les serveurs membres,
non pas parce qu’ils sont nécessaires sur les contrôleurs de domaine, mais parce que les
applications font partie d’une build standard. Ces applications peuvent fournir des
fonctionnalités minimales sur les contrôleurs de domaine, mais ajouter
considérablement à leur surface d’attaque en exigeant un paramètre de configuration
qui ouvre des ports, crée des comptes de service à privilèges élevés ou accorde l’accès
au système aux utilisateurs qui ne doivent pas se connecter à un contrôleur de domaine
à d’autres fins que l’authentification et l’application de la stratégie de groupe. Dans
certaines violations, les attaquants utilisent des outils qui étaient déjà installés sur les
contrôleurs de domaine, non seulement pour accéder aux contrôleurs de domaine, mais
aussi pour modifier ou endommager la base de données AD DS.
Lorsque nous extrayons les paramètres de configuration d’Internet Explorer sur les
contrôleurs de domaine, nous constatons que les utilisateurs se sont connectés avec des
comptes disposant de niveaux de privilèges élevés dans Active Directory et ont utilisé
les comptes pour accéder à Internet et à l’intranet à partir des contrôleurs de domaine.
Dans certains cas, les comptes configurent les paramètres Internet Explorer sur les
contrôleurs de domaine pour autoriser le téléchargement de contenu Internet, et des
utilitaires gratuits sont téléchargés à partir de sites Internet et installés sur les
contrôleurs de domaine. La configuration de la sécurité renforcée d’Internet Explorer est
activée par défaut pour les utilisateurs et les administrateurs, mais nous constatons
souvent qu’elle est désactivée pour les administrateurs. Lorsqu’un compte à privilèges
élevés accède à Internet et télécharge du contenu sur n’importe quel ordinateur, cet
ordinateur est exposé à un risque grave. Lorsque l’ordinateur est un contrôleur de
domaine, toute l’installation AD DS est mise en danger.
Protection des contrôleurs de domaine
Les contrôleurs de domaine doivent être traités comme des composants d’infrastructure
critiques, sécurisés plus rigoureusement et configurés de manière plus rigide que les
serveurs de fichiers, d’impression et d’applications. Les contrôleurs de domaine ne
doivent pas exécuter de logiciel qui n’est pas nécessaire au fonctionnement du
contrôleur de domaine ou qui ne protège pas le contrôleur de domaine contre les
attaques. Les contrôleurs de domaine ne doivent pas être autorisés à accéder à Internet,
et les paramètres de sécurité doivent être configurés et appliqués par objet de stratégie
de groupe (GPO). Des recommandations détaillées pour l’installation, la configuration et
la gestion sécurisées des contrôleurs de domaine sont fournies dans Sécurisation des
contrôleurs de domaine contre les attaques.
Dans le système d’exploitation
Loi numéro deux : Si une personne malveillante peut modifier le système d’exploitation sur
votre ordinateur, ce n’est plus votre ordinateur. - Dix lois immuables de la sécurité
(version 2.0)
Bien que certaines organisations créent des configurations de base pour des serveurs de
types différents et autorisent une personnalisation limitée du système d’exploitation
après son installation, l’analyse des environnements compromis révèle souvent un grand
nombre de serveurs déployés de manière ad hoc et configurés manuellement et
indépendamment. Les configurations entre deux serveurs exécutant la même fonction
peuvent être complètement différentes, aucun des serveurs n’étant configuré de
manière sécurisée. À l’inverse, les bases de référence de configuration de serveur
peuvent être appliquées de manière cohérente, mais également mal configurées de
manière cohérente ; autrement dit, les serveurs sont configurés de manière à créer la
même vulnérabilité sur tous les serveurs d’un type donné. Une mauvaise configuration
inclut des pratiques comme la désactivation de fonctionnalités de sécurité, l’octroi de
droits et d’autorisations excessifs aux comptes (en particulier les comptes de service),
l’utilisation d’informations d’identification locales identiques sur les systèmes et
l’autorisation de l’installation d’applications et d’utilitaires non autorisés qui créent leurs
propres vulnérabilités.
Désactivation des fonctionnalités de sécurité

Les organisations désactivent parfois le Pare-feu Windows avec la sécurité avancée
(WFAS) par conviction que WFAS est difficile à configurer ou nécessite une configuration
intensive. Toutefois, à compter de Windows Server 2008, lorsqu’un rôle ou une
fonctionnalité est installé sur un serveur, il est configuré par défaut avec les privilèges
minimum requis pour le rôle ou la fonctionnalité, et le Pare-feu Windows est
automatiquement configuré pour prendre en charge le rôle ou la fonctionnalité. En
désactivant WFAS (et en n’utilisant pas un autre pare-feu basé sur l’hôte à sa place), les
organisations augmentent la surface d’attaque de l’ensemble de l’environnement
Windows. Les pare-feu de périmètre offrent une certaine protection contre les attaques
qui ciblent directement un environnement à partir d’Internet, mais n’offrent aucune
protection contre les attaques qui exploitent d’autres vecteurs d’attaque, comme les
attaques par téléchargement drive-by ou les attaques provenant d’autres systèmes
compromis sur l’intranet.
Les paramètres de contrôle de compte d’utilisateur (UAC) sont parfois désactivés sur les
serveurs, car le personnel administratif trouve les invites intrusives. Bien que l’Article du
support Microsoft 2526083 décrit les scénarios dans lesquels le contrôle d’utilisateur
peut être désactivé sur Windows Server, à moins que vous n’exécutiez une installation
minimale (où le contrôle d’utilisateur est désactivé par conception), vous ne devez pas
désactiver le contrôle d’utilisateur sur les serveurs sans attention ni recherche.
Dans d’autres cas, les paramètres de serveur sont configurés pour des valeurs moins
sécurisées, car les organisations appliquent des paramètres de configuration de serveur
obsolètes aux nouveaux systèmes d’exploitation, comme l’application de bases de
référence Windows Server 2003 aux ordinateurs exécutant Windows Server 2012,
Windows Server 2008 R2 ou Windows Server 2008, sans modifier les bases de référence
pour refléter les modifications apportées au système d’exploitation. Au lieu de
transporter d’anciennes bases de référence de serveur vers de nouveaux systèmes
d’exploitation, lors du déploiement d’un nouveau système d’exploitation, passez en
revue les modifications de sécurité et les paramètres de configuration pour vous assurer
que les paramètres implémentés sont applicables et appropriés pour le nouveau
système d’exploitation.
Octroi de privilèges excessifs
Dans presque tous les environnements que nous avons évalués, des privilèges excessifs
sont accordés aux comptes locaux et basés sur un domaine sur les systèmes Windows.
Les utilisateurs disposent de droits d’administrateur local sur leurs stations de travail, les
serveurs membres exécutent des services configurés avec des droits au-delà de ce dont
ils ont besoin pour fonctionner, et les groupes Administrateurs locaux dans l’ensemble
de la population de serveurs contiennent des dizaines, voire des centaines de comptes
locaux et de domaine. La compromission d’un seul compte privilégié sur un ordinateur
permet aux attaquants de compromettre les comptes de chaque utilisateur et service
qui se connecte à l’ordinateur, et de collecter et d’exploiter les informations
d’identification pour propager la compromission à d’autres systèmes.
Si les attaques d’usurpation d’identité, ou pass-the-hash (PTH) et d’autres attaques de

vol d’informations d’identification soient aujourd’hui omniprésentes, c’est parce qu’il
existe des outils disponibles gratuitement qui facilitent l’extraction des informations
d’identification d’autres comptes privilégiés lorsqu’un attaquant a obtenu un accès
administrateur ou système à un ordinateur. Même sans outils permettant de collecter
des informations d’identification à partir de sessions ouvertes, un attaquant disposant
d’un accès privilégié à un ordinateur peut tout aussi facilement installer des
enregistreurs de frappes qui capturent les séquences de touches, des captures d’écran
et le contenu du Presse-papiers. Un attaquant disposant d’un accès privilégié à un
ordinateur peut désactiver les logiciels anti-programme malveillant, installer des
rootkits, modifier des fichiers protégés ou installer des programmes malveillants sur
l’ordinateur pour automatiser les attaques ou transformer un serveur en hôte de
téléchargement drive-by .
Les tactiques utilisées pour étendre une violation au-delà d’un seul ordinateur varient,
mais la clé pour propager la compromission est l’acquisition d’un accès hautement
privilégié à d’autres systèmes. En réduisant le nombre de comptes disposant d’un accès
privilégié à n’importe quel système, vous réduisez la surface d’attaque non seulement
de cet ordinateur, mais aussi la probabilité qu’un attaquant récolte des informations
d’identification précieuses à partir de l’ordinateur.
Normalisation des informations d’identification de

l’administrateur local
Les spécialistes de la sécurité ont longtemps débattu de l’intérêt de renommer les

comptes d’administrateur local sur les ordinateurs Windows. L’important avec les
comptes d’administrateur locaux est de savoir s’ils sont configurés avec le même nom
d’utilisateur et le même mot de passe sur plusieurs ordinateurs.
Si le compte Administrateur local est nommé avec la même valeur entre les serveurs et
que le mot de passe attribué au compte est également configuré sur la même valeur, les
attaquants peuvent extraire les informations d’identification du compte sur n’importe
quel ordinateur sur lequel un accès administrateur ou système a été obtenu. L’attaquant
n’a pas à compromettre initialement le compte Administrateur ; il lui suffit de
compromettre le compte d’un utilisateur membre du groupe Administrateurs local ou
d’un compte de service configuré pour s’exécuter en tant que LocalSystem ou avec des
privilèges d’administrateur. L’attaquant peut ensuite extraire les informations
d’identification du compte Administrateur et relire ces informations d’identification dans
les connexions réseau sur d’autres ordinateurs du réseau.
Tant qu’un autre ordinateur dispose d’un compte local avec le même nom d’utilisateur
et le même mot de passe (ou hachage de mot de passe) que les informations
d’identification présentées du compte, la tentative d’ouverture de session réussit et
l’attaquant obtient un accès privilégié à l’ordinateur ciblé. Dans les versions actuelles de
Windows, le compte Administrateur intégré est désactivé par défaut, mais dans les
systèmes d’exploitation hérités, le compte est activé par défaut.
７ Notes
Certaines organisations configurent intentionnellement les comptes

d’administrateur locaux pour qu’ils soient activés, en estimant que cela offre une
« sécurité » au cas où tous les autres comptes privilégiés seraient verrouillés hors
d’un système. Toutefois, même si le compte Administrateur local est désactivé et
qu’aucun autre compte n’est disponible pour activer le compte ou se connecter au
système avec des privilèges d’administrateur, le système peut être démarré en
mode sans échec et le compte Administrateur local intégré peut être réactivé,
comme décrit dans l’article du support Microsoft 814777 . En outre, si le système
applique toujours correctement les objets de stratégie de groupe, un objet de
stratégie de groupe peut être modifié pour réactiver (temporairement) le compte
Administrateur, ou des groupes restreints peuvent être configurés pour ajouter un
compte basé sur un domaine au groupe Administrateurs local. Des réparations
peuvent être effectuées et le compte Administrateur peut à nouveau être désactivé.
Pour empêcher efficacement une compromission latérale qui utilise des
informations d’identification de compte Administrateur local intégrées, des noms
d’utilisateur et des mots de passe uniques doivent être configurés pour les comptes
d’administrateur locaux. Pour déployer des mots de passe uniques pour les
comptes d’administrateur locaux via un objet de stratégie de groupe, consultez
Solution pour la gestion du mot de passe du compte Administrateur intégré via
un objet de stratégie de groupe sur technet.
Autorisation de l’installation d’applications non autorisées
Loi numéro un : Si un méchant peut vous persuader d’exécuter son programme sur votre
ordinateur, ce n’est plus seulement votre ordinateur. - Dix lois immuables de la sécurité
(version 2.0)
Si une organisation déploie des paramètres de base cohérents sur ses serveurs,
l’installation d’applications qui ne font pas partie du rôle défini d’un serveur ne doit pas
être autorisée. En autorisant l’installation de logiciels qui ne font pas partie des
fonctionnalités désignées d’un serveur, les serveurs sont exposés à une installation
accidentelle ou malveillante de logiciels augmentant la surface d’attaque du serveur,
introduisant des vulnérabilités d’application ou provoquant une instabilité du système.
Applications
Comme décrit précédemment, des applications sont souvent installées et configurées

pour utiliser des comptes pour lesquels l’application a reçu plus de privilèges que ce
dont elle a réellement besoin. Dans certains cas, la documentation de l’application
spécifie que les comptes de service doivent être membres du groupe Administrateurs
local d’un serveur ou être configurés pour s’exécuter dans le contexte de LocalSystem.
Cela n’est souvent pas dû au fait que l’application exige ces droits, mais parce que la
détermination des droits et autorisations dont les comptes de service d’une application
ont besoin nécessite un investissement en temps et en efforts supplémentaires. Si une
application ne s’installe pas avec les privilèges minimaux requis pour que l’application et
ses fonctionnalités configurées fonctionnent, le système est exposé à des attaques qui
tirent parti des privilèges d’application sans aucune attaque contre le système
d’exploitation lui-même.
Absence de pratiques de développement d’applications

sécurisées
Une infrastructure existe pour prendre en charge les charges de travail métier. Lorsque
ces charges de travail sont implémentées dans des applications personnalisées, il est
essentiel de s’assurer que les applications sont développées à l’aide des meilleures
pratiques de sécurité. L’analyse de la cause racine des incidents à l’échelle de l’entreprise
révèle souvent qu’une compromission initiale est causée par des applications
personnalisées, en particulier celles qui sont accessibles sur Internet. La plupart de ces
compromissions s’effectuent via la compromission par des attaques connues comme
l’injection SQL (SQLi) et les attaques par script inter-site (XSS).
L’injection de code SQL est une vulnérabilité d’application qui permet à une entrée
définie par l’utilisateur de modifier une instruction SQL passée à la base de données
pour exécution. Cette entrée peut être fournie via un champ dans l’application, un
paramètre (comme la chaîne de requête ou un cookie) ou d’autres méthodes. Le résultat
de cette injection est que l’instruction SQL fournie à la base de données est
fondamentalement différente de celle prévue par le développeur. Prenons, par exemple,
une requête courante utilisée dans l’évaluation d’une combinaison nom
d’utilisateur/mot de passe :
SELECT userID FROM users WHERE username = 'sUserName' AND password = 'sPassword'
Lorsque ce message est reçu par le serveur de base de données, il indique au serveur
d’examiner la table des utilisateurs et de retourner tout enregistrement userID où le
nom d’utilisateur et le mot de passe correspondent à ceux fournis par l’utilisateur
(probablement par le biais d’un formulaire de connexion quelconque). Naturellement,
l’intention du développeur dans ce cas est de retourner un enregistrement valide
uniquement si un nom d’utilisateur et un mot de passe corrects peuvent être fournis par
l’utilisateur. Si l’une ou l’autre valeur est incorrecte, le serveur de base de données ne
peut pas trouver d’enregistrement correspondant, et retourne un résultat vide.
Le problème se produit lorsqu’un attaquant fait quelque chose d’inattendu, comme

fournir son propre code SQL à la place de données valides. Étant donné que SQL est
interprété à la volée par le serveur de base de données, le code injecté serait traité
comme si le développeur l’avait placé lui-même. Par exemple, si l’attaquant a entré
administrator pour l’ID utilisateur et xyz OR 1=1 comme mot de passe, l’instruction
résultante traitée par la base de données serait :
SELECT userID FROM users WHERE username = 'administrator' AND password = 'xyz' OR
1=1
Lorsque cette requête est traitée par le serveur de base de données, toutes les lignes de
la table sont retournées dans la requête, car 1=1 prend toujours la valeur True. Il n’est
donc pas important que le nom d’utilisateur et le mot de passe corrects soient connus
ou fournis. Le résultat net dans la plupart des cas est que l’utilisateur est connecté en
tant que premier utilisateur dans la base de données d’utilisateurs ; dans la plupart des
cas, il s’agit de l’utilisateur administratif.
En plus de la simple connexion, des instructions SQL incorrectes comme celles-ci

peuvent être utilisées pour ajouter, supprimer ou modifier des données, ou même
supprimer des tables entières d’une base de données. Dans les cas les plus extrêmes où
l’injection SQL est associée à des privilèges excessifs, des commandes du système
d’exploitation peuvent être exécutées pour permettre la création de nouveaux
utilisateurs, télécharger des outils d’attaque ou effectuer toute autre action du choix des
attaquants.
Avec le scripting inter-site, la vulnérabilité est introduite dans la sortie de l’application.

Une attaque commence par un attaquant fournissant des données incorrectes à
l’application, mais dans ce cas, les données incorrectes sont sous la forme d’un code de
script (comme JavaScript) qui sera exécuté par le navigateur de la victime. L’exploitation
d’une vulnérabilité XSS peut permettre à un attaquant d’exécuter n’importe quelle
fonction de l’application cible dans le contexte de l’utilisateur qui a lancé le navigateur.
Les attaques XSS sont généralement lancées par un e-mail d’hameçonnage qui
encourage l’utilisateur à cliquer sur un lien qui se connecte à l’application et exécute le
code d’attaque.
XSS est souvent exploité dans les scénarios de banque en ligne et d’e-commerce où un
attaquant peut effectuer des achats ou transférer de l’argent dans le contexte de
l’utilisateur exploité. Dans le cas d’une attaque ciblée sur une application de gestion des
identités web personnalisée, cela peut permettre à un attaquant de créer ses propres
identités, de modifier les autorisations et les droits et de conduire à une compromission
systémique.
Bien qu’une description complète des scripts intersites et de l’injection SQL ne soit pas
comprise dans ce document, Open Web Application Security Project (OWASP) publie
une liste des 10 principales vulnérabilités avec une discussion approfondie sur les
vulnérabilités et les contre-mesures.
Indépendamment de l’investissement dans la sécurité de l’infrastructure, si des

applications mal conçues et écrites sont déployées au sein de cette infrastructure,
l’environnement est rendu vulnérable aux attaques. Même les infrastructures bien
sécurisées ne peuvent souvent pas fournir de contre-mesures efficaces à ces attaques
d’applications. Pour aggraver le problème, les applications mal conçues peuvent
nécessiter l’octroi d’autorisations excessives aux comptes de service pour fonctionner.
Microsoft Security Development Lifecycle (SDL) est un ensemble de contrôles de

processus structurels qui permettent d’améliorer la sécurité en commençant tôt dans la
collecte des exigences et en s’étendant tout au long du cycle de vie de l’application
jusqu’à ce qu’elle soit mise hors service. Cette intégration de contrôles de sécurité
efficaces n’est pas seulement critique du point de vue de la sécurité, elle est essentielle
pour garantir que la sécurité des applications est rentable et planifiée. L’évaluation d’une
application pour les problèmes de sécurité lorsqu’elle est effectivement terminée
nécessite que les organisations prennent des décisions concernant la sécurité de
l’application uniquement avant ou même après le déploiement de l’application. Une
organisation peut choisir de résoudre les défauts de l’application avant de déployer
l’application en production, ce qui entraîne des coûts et des retards, ou l’application
peut être déployée en production avec des failles de sécurité connues, ce qui expose
l’organisation à des compromissions.
Certaines organisations placent le coût total de la résolution d’un problème de sécurité

dans le code de production à plus de 10 000 $ par problème, et les applications
développées sans SDL efficace peuvent atteindre en moyenne plus de dix problèmes de
gravité élevée toutes les 100 000 lignes de code. Dans les applications volumineuses, les
coûts augmentent rapidement. En revanche, de nombreuses entreprises définissent un
point de référence de moins d’un problème pour 100 000 lignes de code à l’étape finale
de révision du code du SDL et visent à éviter les problèmes dans les applications à haut
risque en production.
L’implémentation du SDL améliore la sécurité en incluant les exigences de sécurité dès

le début de la collecte et de la conception des exigences d’une application, ce qui
permet de modéliser les menaces pour les applications à haut risque, nécessite une
formation et une surveillance efficaces des développeurs, et nécessite des normes et des
pratiques de code claires et cohérentes. L’effet net d’un SDL est une amélioration
significative de la sécurité des applications tout en réduisant les coûts de
développement, de déploiement, de maintenance et de mise hors service d’une
application. Bien qu’une discussion détaillée de la conception et de l’implémentation de
SDL dépasse le cadre de ce document, reportez-vous au Cycle de vie de développement
de la sécurité Microsoft pour obtenir des conseils et des informations détaillées.
Comptes attrayants pour le vol
d'informations d'identification

Les attaques par vol d’informations d’identification sont celles dans lesquelles un
attaquant obtient initialement un privilège le plus élevé (racine, administrateur ou
SYSTÈME, selon le système d’exploitation en cours d’utilisation) l’accès à un ordinateur
sur un réseau, puis utilise des outils librement disponibles pour extraire les informations
d’identification des sessions d’autres comptes connectés. Selon la configuration du
système, ces informations d’identification peuvent être extraites sous la forme de
hachages, de tickets ou même de mots de passe en clair. Si l’un des informations
d’identification collectées concerne les comptes locaux susceptibles d’exister sur
d’autres ordinateurs sur le réseau (par exemple, les comptes d’administrateur dans
Windows ou les comptes racines dans OSX, UNIX ou Linux), l’attaquant présente les
informations d’identification à d’autres ordinateurs sur le réseau pour propager la
compromission aux ordinateurs supplémentaires et essayer d’obtenir les informations
d’identification de deux types de comptes spécifiques :
1. Comptes de domaine privilégiés avec des privilèges étendus et profonds (c’est-à-

dire des comptes disposant de privilèges au niveau de l’administrateur sur de
nombreux ordinateurs et dans Active Directory). Ces comptes ne sont peut-être
membres d’aucun des groupes de privilèges les plus élevés dans Active Directory,
mais ils ont peut-être reçu un privilège au niveau administrateur sur de nombreux
serveurs et stations de travail dans le domaine ou la forêt, ce qui les rend
efficacement aussi puissants que les membres de groupes privilégiés dans Active
Directory. Dans la plupart des cas, les comptes qui ont reçu des niveaux élevés de
privilèges dans les grandes étendues de l’infrastructure Windows sont des comptes
de service. Les comptes de service doivent donc toujours être évalués pour une
étendue et une profondeur de privilège.
2. Comptes de domaine « Personne très importante » (VIP). Dans le contexte de ce

document, un compte VIP est n’importe quel compte qui a accès aux informations
souhaitées par un attaquant (propriété intellectuelle et autres informations
sensibles), ou tout compte qui peut être utilisé pour accorder à l’attaquant l’accès à
ces informations. Voici quelques exemples de comptes d’utilisateurs :
a. Cadres dont les comptes ont accès aux informations d’entreprise sensibles
b. Comptes du personnel du support technique qui sont responsables de la
maintenance des ordinateurs et des applications utilisés par les cadres
c. Comptes du personnel juridique qui ont accès aux documents de soumission et

de contrat d’une organisation, que les documents soient destinés à leur propre
organisation ou à leurs organisations clientes
d. Planificateurs de produits qui ont accès aux plans et spécifications des produits
dans le pipeline de développement d’une entreprise, quels que soient les types
de produits que l’entreprise fait
e. Chercheurs dont les comptes sont utilisés pour accéder aux données d’étude,
aux formulations de produits ou à toute autre recherche qui intéresse un
attaquant
Étant donné que les comptes hautement privilégiés dans Active Directory peuvent être
utilisés pour propager la compromission et manipuler des comptes d’adresses IP
virtuelles ou les données auxquelles ils peuvent accéder, les comptes les plus utiles pour
les attaques de vol d’informations d’identification sont des comptes membres des
administrateurs d’entreprise, des administrateurs de domaine et des groupes
administrateurs dans Active Directory.
Étant donné que les contrôleurs de domaine sont les référentiels de la base de données
AD DS et des contrôleurs de domaine ont un accès total à toutes les données dans
Active Directory, les contrôleurs de domaine sont également ciblés pour la
compromission, que ce soit en parallèle avec les attaques de vol d’informations
d’identification, ou après qu’un ou plusieurs comptes Active Directory hautement
privilégiés aient été compromis. Bien que de nombreuses publications (et de nombreux
attaquants) se concentrent sur les appartenances aux groupes Administrateurs de
domaine lors de la description du hachage pass-the-hash et d’autres attaques
d’informations d’identification (comme décrit dans La réduction de l’Aire d’attaque
Active Directory), un compte membre de tous les groupes répertoriés ici peut être utilisé
pour compromettre toute l’installation AD DS.
７ Notes
Pour obtenir des informations complètes sur les attaques de hachage de passe et
d’autres attaques de vol d’informations d’identification, consultez le livre blanc
d’atténuation des attaques de hachage (PTH) et d’autres livres blancs techniques
de vol d’informations d’identification répertoriés dans l’annexe M : Liens de
document et lecture recommandée. Pour plus d’informations sur les attaques par
des adversaires déterminés, parfois appelés « menaces persistantes avancées »
(APT), consultez Les adversaires déterminés et les attaques ciblées .
Activités qui augmentent la probabilité de

compromission
Étant donné que la cible du vol d’informations d’identification est généralement des
comptes de domaine hautement privilégiés et des comptes d’adresses IP virtuelles, il est
important que les administrateurs soient conscients des activités qui augmentent la
probabilité de réussite d’une attaque par vol d’informations d’identification. Bien que les
attaquants ciblent également des comptes d’adresses IP virtuelles, si les adresses IP
virtuelles ne reçoivent pas de niveaux élevés de privilèges sur les systèmes ou dans le
domaine, le vol de leurs informations d’identification nécessite d’autres types
d’attaques, tels que l’ingénierie sociale de l’adresse IP virtuelle pour fournir des
informations secrètes. Ou l’attaquant doit d’abord obtenir un accès privilégié à un
système sur lequel les informations d’identification IP virtuelles sont mises en cache. En
raison de cela, les activités qui augmentent la probabilité de vol d’informations
d’identification décrites ici sont principalement axées sur la prévention de l’acquisition
d’informations d’identification administratives hautement privilégiées. Ces activités sont
des mécanismes courants par lesquels les attaquants sont en mesure de compromettre
les systèmes pour obtenir des informations d’identification privilégiées.
Connexion à des ordinateurs non sécurisés avec des

comptes privilégiés
La vulnérabilité principale qui permet aux attaques par vol d’informations
d’identification de réussir est l’acte de journalisation sur les ordinateurs qui ne sont pas
sécurisés avec des comptes qui sont largement et profondément privilégiés dans
l’environnement. Ces journaux peuvent être le résultat de différentes mauvaises
configurations décrites ici.
Ne pas conserver d’informations d’identification administratives

distinctes
Bien que cela soit relativement rare, dans l’évaluation de diverses installations AD DS,
nous avons constaté que les employés informatiques utilisaient un seul compte pour
tout leur travail. Le compte est membre d’au moins un des groupes les plus privilégiés
dans Active Directory et est le même compte que celui que les employés utilisent pour
se connecter à leurs stations de travail le matin, vérifier leur courrier, parcourir les sites
Internet et télécharger du contenu sur leurs ordinateurs. Lorsque les utilisateurs
s’exécutent avec des comptes disposant de droits et d’autorisations d’administrateur
local, ils exposent l’ordinateur local à une compromission complète. Lorsque ces
comptes sont également membres des groupes les plus privilégiés dans Active
Directory, ils exposent toute la forêt à compromission, ce qui permet à un attaquant
d’obtenir un contrôle total de l’environnement Active Directory et Windows.
De même, dans certains environnements, nous avons constaté que les mêmes noms
d’utilisateur et mots de passe sont utilisés pour les comptes racines sur les ordinateurs
non Windows que ceux utilisés dans l’environnement Windows, ce qui permet aux
attaquants d’étendre la compromission des systèmes UNIX ou Linux aux systèmes
Windows et vice versa.
Connexions aux stations de travail compromises ou aux serveurs

membres avec des comptes privilégiés
Lorsqu’un compte de domaine hautement privilégié est utilisé pour se connecter de
manière interactive à une station de travail ou à un serveur membre compromis, cet
ordinateur compromis peut collecter des informations d’identification à partir de
n’importe quel compte qui se connecte au système.
Stations de travail administratives non sécurisées

Dans de nombreuses organisations, le personnel informatique utilise plusieurs comptes.
Un compte est utilisé pour se connecter à la station de travail de l’employé et, étant
donné qu’il s’agit du personnel informatique, il dispose souvent de droits
d’administrateur local sur ses stations de travail. Dans certains cas, l’UAC est activé afin
que l’utilisateur reçoit au moins un jeton d’accès fractionné au niveau de l’ouverture de
session et doit élever lorsque des privilèges sont requis. Lorsque ces utilisateurs
effectuent des activités de maintenance, ils utilisent généralement des outils de gestion
installés localement et fournissent les informations d’identification de leurs comptes
privilégiés de domaine, en sélectionnant l’option Exécuter en tant qu’administrateur ou
en fournissant les informations d’identification lorsque vous y êtes invité. Bien que cette
configuration semble appropriée, elle expose l’environnement à compromettre car :
Le compte d’utilisateur « normal » utilisé par l’employé pour se connecter à sa

station de travail dispose de droits d’administrateur local, l’ordinateur est
vulnérable aux attaques de téléchargement par lecteur dans lesquelles l’utilisateur
est convaincu d’installer des programmes malveillants.
Le programme malveillant est installé dans le contexte d’un compte
d’administration, l’ordinateur peut désormais être utilisé pour capturer les
séquences de touches, le contenu du Presse-papiers, les captures d’écran et les
informations d’identification résidente en mémoire, qui peuvent entraîner
l’exposition des informations d’identification d’un compte de domaine puissant.
Les problèmes de ce scénario sont deux fois plus importants. Tout d’abord, bien que les
comptes distincts soient utilisés pour l’administration locale et de domaine, l’ordinateur
n’est pas sécurisé et ne protège pas les comptes contre le vol. Deuxièmement, le
compte d’utilisateur régulier et le compte d’administration ont reçu des droits et des
autorisations excessifs.
Navigation sur Internet avec un compte hautement

privilégié
Les utilisateurs qui se connectent à des ordinateurs avec des comptes membres du
groupe Administrateurs locaux sur l’ordinateur, ou des membres de groupes privilégiés
dans Active Directory, et qui parcourent ensuite Internet (ou un intranet compromis)
exposent l’ordinateur local et l’annuaire à compromettre.
L’accès à un site web malveillant avec un navigateur s’exécutant avec des privilèges
d’administration peut permettre à un attaquant de déposer du code malveillant sur
l’ordinateur local dans le contexte de l’utilisateur privilégié. Si l’utilisateur dispose de
droits d’administrateur local sur l’ordinateur, les attaquants peuvent tromper l’utilisateur
en téléchargeant du code malveillant ou en ouvrant des pièces jointes par e-mail qui
tirent parti des vulnérabilités de l’application et tirent parti des privilèges de l’utilisateur
pour extraire les informations d’identification mises en cache localement pour tous les
utilisateurs actifs sur l’ordinateur. Si l’utilisateur dispose de droits d’administration dans
l’annuaire en appartenant aux administrateurs d’entreprise, aux administrateurs de
domaine ou aux groupes Administrateurs dans Active Directory, l’attaquant peut extraire
les informations d’identification du domaine et les utiliser pour compromettre
l’ensemble du domaine ou de la forêt AD DS, sans avoir à compromettre tout autre
ordinateur de la forêt.
Configuration de comptes privilégiés locaux avec les

mêmes informations d’identification entre les systèmes
La configuration du même nom de compte d’administrateur local et du mot de passe
sur de nombreux ordinateurs ou tous les ordinateurs permet aux informations
d’identification volés à partir de la base de données SAM sur un ordinateur de
compromettre tous les autres ordinateurs qui utilisent les mêmes informations
d’identification. Au minimum, vous devez utiliser différents mots de passe pour les
comptes d’administrateur local sur chaque système joint à un domaine. Les comptes
d’administrateur local peuvent également être nommés de manière unique, mais
l’utilisation de mots de passe différents pour les comptes locaux privilégiés de chaque
système suffit pour s’assurer que les informations d’identification ne peuvent pas être
utilisées sur d’autres systèmes.
Surpopulation et surutilisation des groupes de domaines

privilégiés
L’octroi d’une appartenance aux groupes EA, DA ou BA dans un domaine crée une cible
pour les attaquants. Plus le nombre de membres de ces groupes est élevé, plus il est
probable qu’un utilisateur privilégié puisse utiliser par inadvertance les informations
d’identification et les exposer à des attaques de vol d’informations d’identification.
Chaque station de travail ou serveur auquel un utilisateur de domaine privilégié se
connecte présente un mécanisme possible par lequel les informations d’identification de
l’utilisateur privilégié peuvent être collectées et utilisées pour compromettre le domaine
et la forêt AD DS.
Contrôleurs de domaine mal sécurisés

Les contrôleurs de domaine hébergent un réplica de la base de données AD DS d’un
domaine. Dans le cas de contrôleurs de domaine en lecture seule, le réplica local de la
base de données contient les informations d’identification d’un sous-ensemble des
comptes du répertoire, dont aucun n’est privilégié par défaut. Sur les contrôleurs de
domaine en lecture-écriture, chaque contrôleur de domaine gère un réplica complet de
la base de données AD DS, y compris les informations d’identification non seulement
pour les utilisateurs privilégiés tels que les administrateurs de domaine, mais les
comptes privilégiés tels que les comptes de contrôleur de domaine ou le compte Krbtgt
du domaine, qui est le compte associé au service KDC sur les contrôleurs de domaine. Si
des applications supplémentaires qui ne sont pas nécessaires pour la fonctionnalité de
contrôleur de domaine sont installées sur des contrôleurs de domaine, ou si les
contrôleurs de domaine ne sont pas strictement corrigés et sécurisés, les attaquants
peuvent les compromettre via des vulnérabilités non corrigées, ou ils peuvent tirer parti
d’autres vecteurs d’attaque pour installer des logiciels malveillants directement sur eux.
Élévation de privilèges et propagation

Quelles que soient les méthodes d’attaque utilisées, Active Directory est toujours ciblé
lorsqu’un environnement Windows est attaqué, car il contrôle finalement l’accès à ce
que les attaquants souhaitent. Cela ne signifie pas que l’ensemble du répertoire est
ciblé. Les comptes, serveurs et composants d’infrastructure spécifiques sont
généralement les principales cibles des attaques contre Active Directory. Ces comptes
sont décrits comme suit.
Comptes privilégiés permanents

Comme l’introduction d’Active Directory, il a été possible d’utiliser des comptes
hautement privilégiés pour créer la forêt Active Directory, puis de déléguer des droits et
des autorisations nécessaires pour effectuer l’administration quotidienne à des comptes
moins privilégiés. L’appartenance aux administrateurs d’entreprise, aux administrateurs
de domaine ou aux groupes Administrateurs dans Active Directory est requise
uniquement temporairement et rarement dans un environnement qui implémente des
approches de privilège minimum pour l’administration quotidienne.
Les comptes privilégiés permanents sont des comptes qui ont été placés dans des
groupes privilégiés et qui y sont laissés de jour en jour. Si votre organisation place cinq
comptes dans le groupe Administrateurs de domaine pour un domaine, ces cinq
comptes peuvent être ciblés 24 heures par jour, sept jours par semaine. Toutefois, la
nécessité réelle d’utiliser des comptes avec des privilèges d’administrateur de domaine
n’est généralement que pour une configuration spécifique à l’échelle du domaine, et
pour des périodes courtes.
Comptes VIP
Une cible souvent ignorée dans les violations d’Active Directory est les comptes des «
personnes très importantes » (ou des adresses IP virtuelles) dans une organisation. Les
comptes privilégiés sont ciblés, car ces comptes peuvent accorder l’accès aux
attaquants, ce qui leur permet de compromettre ou même de détruire des systèmes
ciblés, comme décrit plus haut dans cette section.
Comptes Active Directory « privilégiés »

Les comptes Active Directory « privilégiés » sont des comptes de domaine qui n’ont pas
été créés membres de tous les groupes qui ont les niveaux de privilège les plus élevés
dans Active Directory, mais qui ont plutôt reçu des niveaux élevés de privilège sur de
nombreux serveurs et stations de travail dans l’environnement. Ces comptes sont
généralement des comptes basés sur un domaine configurés pour exécuter des services
sur des systèmes joints à un domaine, généralement pour les applications s’exécutant
sur de grandes sections de l’infrastructure. Bien que ces comptes n’aient pas de
privilèges dans Active Directory, s’ils bénéficient d’un privilège élevé sur un grand
nombre de systèmes, ils peuvent être utilisés pour compromettre ou même détruire de
grands segments de l’infrastructure, en obtenant le même effet que la compromission
d’un compte Active Directory privilégié.
Réduire la Surface d'attaque Active
Directory

Cette section se concentre sur les contrôles techniques à implémenter pour réduire la
surface d’attaque de l’installation d’Active Directory. La section contient les informations
suivantes :
L’implémentation de Least-Privilege modèles d’administration se concentre sur

l’identification du risque que présente l’utilisation de comptes à privilèges élevés
pour l’administration quotidienne, en plus de fournir des recommandations pour la
mise en œuvre afin de réduire le risque que présentent les comptes privilégiés.
L’implémentation d’hôtes d’administration sécurisés décrit les principes de

déploiement de systèmes d’administration dédiés et sécurisés, en plus de certains
exemples d’approches pour un déploiement d’hôte d’administration sécurisé.
La sécurisation des contrôleurs de domaine contre les attaques traite des

stratégies et des paramètres qui, bien que similaires aux recommandations pour
l’implémentation d’hôtes administratifs sécurisés, contiennent des
recommandations spécifiques au contrôleur de domaine pour garantir que les
contrôleurs de domaine et les systèmes utilisés pour les gérer sont bien sécurisés.
Groupes et comptes privilégiés dans Active

Directory
Cette section fournit des informations générales sur les comptes et groupes privilégiés
dans Active Directory destinées à expliquer les points communs et les différences entre
les comptes privilégiés et les groupes dans Active Directory. En comprenant ces
distinctions, que vous implémentiez les recommandations de l’implémentation de Least-
Privilege modèles d’administration détaillées ou que vous choisissiez de les
personnaliser pour votre organisation, vous disposez des outils dont vous avez besoin
pour sécuriser chaque groupe et compte de manière appropriée.
Comptes et groupes privilégiés intégrés

Active Directory facilite la délégation de l’administration et prend en charge le principe
du moindre privilège dans l’attribution de droits et d’autorisations. Les utilisateurs «
réguliers » qui ont des comptes dans un domaine sont, par défaut, en mesure de lire
une grande partie de ce qui est stocké dans le répertoire, mais ne peuvent modifier
qu’un ensemble très limité de données dans l’annuaire. Les utilisateurs qui ont besoin
de privilèges supplémentaires peuvent être membres de différents groupes « privilégiés
» intégrés dans l’annuaire afin qu’ils puissent effectuer des tâches spécifiques liées à
leurs rôles, mais ne peuvent pas effectuer de tâches qui ne sont pas pertinentes pour
leurs tâches. Les organisations peuvent également créer des groupes adaptés à des
responsabilités de travail spécifiques et qui disposent de droits et d’autorisations
granulaires qui permettent au personnel informatique d’effectuer des fonctions
administratives quotidiennes sans accorder des droits et des autorisations qui dépassent
ce qui est requis pour ces fonctions.
Dans Active Directory, trois groupes intégrés sont les groupes de privilèges les plus
élevés dans l’annuaire : administrateurs d’entreprise, administrateurs de domaine et
administrateurs. La configuration et les fonctionnalités par défaut de chacun de ces
groupes sont décrites dans les sections suivantes :
Groupes de privilèges les plus élevés dans Active Directory
Administrateurs de l’entreprise
Les administrateurs d’entreprise (EA) sont un groupe qui existe uniquement dans le
domaine racine de forêt, et par défaut, il est membre du groupe Administrateurs dans
tous les domaines de la forêt. Le compte Administrateur intégré dans le domaine racine
de forêt est le seul membre par défaut du groupe EA. Les autorités de certification
reçoivent des droits et des autorisations qui leur permettent d’implémenter des
modifications à l’échelle de la forêt (autrement dit, des modifications qui affectent tous
les domaines de la forêt), telles que l’ajout ou la suppression de domaines,
l’établissement d’approbations de forêt ou l’élévation de niveaux fonctionnels de forêt.
Dans un modèle de délégation correctement conçu et implémenté, l’appartenance EA
est requise uniquement lors de la construction initiale de la forêt ou lors de certaines
modifications à l’échelle de la forêt, telles que l’établissement d’une approbation de
forêt sortante. La plupart des droits et autorisations accordés au groupe EA peuvent être
délégués à des utilisateurs et groupes à moindre privilège.
Admins du domaine
Chaque domaine d’une forêt possède son propre groupe d’administrateurs de domaine
(DA), qui est membre du groupe Administrateurs de ce domaine et membre du groupe
Administrateurs local sur chaque ordinateur joint au domaine. Le seul membre par
défaut du groupe DA pour un domaine est le compte Administrateur intégré pour ce
domaine. Les autorités de domaine sont « toutes puissantes » au sein de leurs
domaines, tandis que les autorités de certification disposent d’un privilège à l’échelle de
la forêt. Dans un modèle de délégation correctement conçu et implémenté,
l’appartenance aux administrateurs de domaine doit être requise uniquement dans les
scénarios de « secours » (par exemple, les situations dans lesquelles un compte
disposant de niveaux élevés de privilèges sur chaque ordinateur du domaine est
nécessaire). Bien que les mécanismes de délégation Active Directory natifs autorisent la
délégation dans la mesure où il est possible d’utiliser des comptes DA uniquement dans
les scénarios d’urgence, la construction d’un modèle de délégation efficace peut
prendre du temps et de nombreuses organisations tirent parti des outils tiers pour
accélérer le processus.
Administrateurs
Le troisième groupe est le groupe d’administrateurs locaux de domaine intégré (BA)

dans lequel les autorités de domaine et les autorités de certification sont imbriquées. Ce
groupe dispose de nombreuses autorisations et droits directs dans l’annuaire et sur les
contrôleurs de domaine. Toutefois, le groupe Administrateurs d’un domaine n’a pas de
privilèges sur les serveurs membres ou sur les stations de travail. Il s’agit de
l’appartenance au groupe Administrateurs local des ordinateurs auquel le privilège local
est accordé.
７ Notes
Bien qu’il s’agit des configurations par défaut de ces groupes privilégiés, un
membre de l’un des trois groupes peut manipuler le répertoire pour obtenir
l’appartenance à l’un des autres groupes. Dans certains cas, il est trivial d’obtenir
l’appartenance aux autres groupes, tandis que dans d’autres, il est plus difficile,
mais du point de vue du privilège potentiel, les trois groupes doivent être
considérés comme équivalents efficacement.
Administrateurs du schéma
Un quatrième groupe privilégié, administrateur de schéma (SA), existe uniquement dans

le domaine racine de forêt et n’a que le compte Administrateur intégré de ce domaine
en tant que membre par défaut, similaire au groupe Administrateurs d’entreprise. Le
groupe Administrateurs de schéma est destiné à être rempli uniquement
temporairement et occasionnellement (lorsque la modification du schéma AD DS est
requise).
Bien que le groupe SA soit le seul groupe qui peut modifier le schéma Active Directory
(autrement dit, les structures de données sous-jacentes du répertoire telles que les
objets et les attributs), l’étendue des droits et des autorisations du groupe SA est plus
limitée que les groupes décrits précédemment. Il est également courant de constater
que les organisations ont développé des pratiques appropriées pour la gestion de
l’appartenance au groupe SA, car l’appartenance au groupe est généralement rarement
nécessaire, et seulement pour de courtes périodes de temps. Cela est techniquement
vrai des groupes EA, DA et BA dans Active Directory, mais il est beaucoup moins courant
de constater que les organisations ont implémenté des pratiques similaires pour ces
groupes comme pour le groupe SA.
Groupes et comptes protégés dans Active Directory

Dans Active Directory, un ensemble par défaut de comptes et de groupes privilégiés
appelés comptes et groupes « protégés » sont sécurisés différemment des autres objets
de l’annuaire. Tout compte qui a une appartenance directe ou transitive à un groupe
protégé (que l’appartenance soit dérivée de groupes de sécurité ou de distribution)
hérite de cette sécurité restreinte.
Par exemple, si un utilisateur est membre d’un groupe de distribution qui est, à son tour,
membre d’un groupe protégé dans Active Directory, cet objet utilisateur est marqué
comme un compte protégé. Lorsqu’un compte est marqué comme un compte protégé,
la valeur de l’attribut adminCount sur l’objet est définie sur 1.
７ Notes
Bien que l’appartenance transitive dans un groupe protégé inclut la distribution

imbriquée et les groupes de sécurité imbriqués, les comptes membres de groupes
de distribution imbriqués ne recevront pas le SID du groupe protégé dans leurs
jetons d’accès. Toutefois, les groupes de distribution peuvent être convertis en
groupes de sécurité dans Active Directory, ce qui explique pourquoi les groupes de
distribution sont inclus dans l’énumération des membres de groupe protégé. Si un
groupe de distribution imbriqué protégé n’a jamais été converti en groupe de
sécurité, les comptes membres de l’ancien groupe de distribution recevront par la
suite le SID du groupe protégé parent dans leurs jetons d’accès à l’ouverture de
session suivante.
Le tableau suivant répertorie les comptes et groupes protégés par défaut dans Active
Directory par version du système d’exploitation et niveau Service Pack.
Comptes et groupes protégés par défaut dans Active Directory par le système
d’exploitation et la version de Service Pack (SP)
Windows 2000 Windows 2000 SP4 - Windows Server Windows Server 2008 -
<SP4 Windows Server 2003 2003 SP1+ Windows Server 2012
Administrateurs Opérateurs de compte Opérateurs de Opérateurs de compte

compte
Administrateur Administrateur Administrateur
Administrateurs Administrateurs Administrateurs
Admins du Opérateurs de Opérateurs de Opérateurs de sauvegarde

domaine sauvegarde sauvegarde
Éditeurs de certificats
Admins du domaine Admins du Admins du domaine

domaine
Administrateurs Contrôleurs de domaine Contrôleurs de Contrôleurs de domaine

de l’entreprise domaine
Administrateurs de Administrateurs Administrateurs de

l’entreprise de l’entreprise l’entreprise
Krbtgt Krbtgt Krbtgt
Opérateurs d'impression Opérateurs Opérateurs d'impression

d'impression
Contrôleurs de domaine en
lecture seule
Duplicateur Duplicateur Duplicateur
Administrateurs Administrateurs du Administrateurs du schéma

du schéma schéma
AdminSDHolder et SDProp
Dans le conteneur système de chaque domaine Active Directory, un objet appelé

AdminSDHolder est créé automatiquement. L’objectif de l’objet AdminSDHolder est de
s’assurer que les autorisations sur les comptes et groupes protégés sont appliquées de
manière cohérente, quel que soit l’emplacement des groupes et comptes protégés dans
le domaine.
Toutes les 60 minutes (par défaut), un processus appelé Propagation du descripteur de

sécurité (SDProp) s’exécute sur le contrôleur de domaine qui contient le rôle émulateur
PDC du domaine. SDProp compare les autorisations sur l’objet AdminSDHolder du
domaine avec les autorisations sur les comptes et groupes protégés du domaine. Si les
autorisations sur l’un des comptes et groupes protégés ne correspondent pas aux
autorisations sur l’objet AdminSDHolder, les autorisations sur les comptes et groupes
protégés sont réinitialisées pour correspondre à celles de l’objet AdminSDHolder du
domaine.
L’héritage des autorisations est désactivé sur les groupes et comptes protégés, ce qui
signifie que même si les comptes ou groupes sont déplacés vers différents
emplacements du répertoire, ils n’héritent pas des autorisations de leurs nouveaux
objets parents. L’héritage est également désactivé sur l’objet AdminSDHolder afin que
les autorisations apportées aux objets parents ne modifient pas les autorisations
d’AdminSDHolder.
７ Notes
Lorsqu’un compte est supprimé d’un groupe protégé, il n’est plus considéré
comme un compte protégé, mais son attribut adminCount reste défini sur 1 s’il
n’est pas modifié manuellement. Le résultat de cette configuration est que les listes
de contrôle d’accès de l’objet ne sont plus mises à jour par SDProp, mais que
l’objet n’hérite toujours pas des autorisations de son objet parent. Par conséquent,
l’objet peut résider dans une unité d’organisation (UNITÉ d’organisation) à laquelle
les autorisations ont été déléguées, mais l’objet précédemment protégé n’hérite
pas de ces autorisations déléguées. Un script permettant de localiser et de
réinitialiser des objets précédemment protégés dans le domaine se trouve dans
l’article du support Microsoft 817433 .
Propriété AdminSDHolder
La plupart des objets dans Active Directory appartiennent au groupe BA du domaine.

Toutefois, l’objet AdminSDHolder est, par défaut, détenu par le groupe DA du domaine.
(Il s’agit d’une circonstance dans laquelle les autorités de certification ne dérivent pas
leurs droits et autorisations via l’appartenance au groupe Administrateurs pour le
domaine.)
Dans les versions de Windows antérieures à Windows Server 2008, les propriétaires d’un
objet peuvent modifier les autorisations de l’objet, y compris les autorisations qu’ils
n’ont pas initialement. Par conséquent, les autorisations par défaut sur l’objet
AdminSDHolder d’un domaine empêchent les utilisateurs membres de groupes BA ou
EA de modifier les autorisations pour l’objet AdminSDHolder d’un domaine. Toutefois,
les membres du groupe Administrateurs pour le domaine peuvent prendre possession
de l’objet et se accorder des autorisations supplémentaires, ce qui signifie que cette
protection est rudimentaire et protège uniquement l’objet contre la modification
accidentelle par les utilisateurs qui ne sont pas membres du groupe DA dans le
domaine. En outre, les groupes BA et EA (le cas échéant) ont l’autorisation de modifier
les attributs de l’objet AdminSDHolder dans le domaine local (domaine racine pour EA).
７ Notes
Un attribut sur l’objet AdminSDHolder, dSHeuristics, permet une personnalisation

limitée (suppression) de groupes considérés comme des groupes protégés et
affectés par AdminSDHolder et SDProp. Cette personnalisation doit être
soigneusement considérée si elle est implémentée, bien qu’il existe des
circonstances valides dans lesquelles la modification des dSHeuristics sur
AdminSDHolder est utile. Pour plus d’informations sur la modification de l’attribut
dSHeuristics sur un objet AdminSDHolder, consultez les articles de support
Microsoft 817433 et dans l’annexe C : Comptes et groupes protégés dans Active
Directory.
Bien que les groupes les plus privilégiés dans Active Directory soient décrits ici, il existe
un certain nombre d’autres groupes qui ont reçu des niveaux élevés de privilège. Pour
plus d’informations sur tous les groupes par défaut et intégrés dans Active Directory et
les droits utilisateur attribués à chacun d’eux, consultez l’annexe B : Comptes privilégiés
et groupes dans Active Directory.
Implémentation de modèles
d’administration selon le principe des
privilèges minimum

Le passage suivant est extrait du Guide de planification de la sécurité des comptes

d’administrateur, publié pour la première fois le 1er avril 1999 :
« La plupart des cours de formation et de la documentation liés à la sécurité traitent

de l’implémentation d’un principe des privilèges minimum, mais les organisations le
suivent rarement. Le principe est simple, et l’impact de son application correcte
accroît considérablement la sécurité et réduit les risques. Le principe stipule que
tous les utilisateurs doivent se connecter avec un compte d’utilisateur disposant des
autorisations minimales absolues nécessaires pour terminer la tâche en cours et rien
de plus. Cela offre une protection contre les codes malveillants, entre autres
attaques. Ce principe s’applique aux ordinateurs et aux utilisateurs de ces
ordinateurs.
L’une des raisons pour lesquelles ce principe fonctionne si bien, c’est
qu’il vous oblige à faire des recherches internes. Par exemple, vous devez
déterminer les privilèges d’accès dont un ordinateur ou un utilisateur a vraiment
besoin, puis les implémenter. Pour de nombreuses organisations, cette tâche peut
d’abord sembler nécessiter une grande quantité de travail ; toutefois, il s’agit d’une
étape essentielle pour sécuriser correctement votre environnement réseau.
Vous
devez accorder à tous les utilisateurs administrateurs du domaine leurs privilèges de
domaine selon le concept des privilèges minimum. Par exemple, si un administrateur
se connecte avec un compte privilégié et exécute par inadvertance un programme
viral, le virus dispose d’un accès administratif à l’ordinateur local et à l’ensemble du
domaine. Si l’administrateur s’était connecté avec un compte non privilégié (non
administratif), les dommages du virus s’étendraient uniquement l’ordinateur local,
car il s’exécuterait en tant qu’utilisateur d’ordinateur local.
Dans un autre exemple,
les comptes auxquels vous accordez des droits d’administrateur au niveau du
domaine ne doivent pas avoir de droits élevés dans une autre forêt, même s’il existe
une relation d’approbation entre les forêts. Cette tactique permet d’éviter des
dommages généralisés si un attaquant parvient à compromettre une forêt gérée.
Les organisations doivent régulièrement auditer leur réseau pour se protéger contre
l’escalade non autorisée des privilèges. »
Le passage suivant est extrait du Kit de ressources de sécurité Microsoft Windows ,
publié pour la première fois en 2005 :
« Pensez toujours à la sécurité en termes d’octroi des privilèges minimum requis

pour effectuer la tâche. Si une application qui a trop de privilèges est compromise,
l’attaquant peut être en mesure d’étendre l’attaque au-delà de ce qu’elle aurait fait
si l’application avait été soumise au principe des privilèges minimum. Par exemple,
pensez aux conséquences si un administrateur réseau ouvre involontairement une
pièce jointe à un e-mail qui lance un virus. Si l’administrateur est connecté à l’aide
du compte d’Administrateur du domaine, le virus disposera de privilèges
d’administrateur sur tous les ordinateurs du domaine et, par conséquent, d’un accès
sans restriction à presque toutes les données du réseau. Si l’administrateur est
connecté à l’aide d’un compte Administrateur local, le virus disposera de privilèges
d’administrateur sur l’ordinateur local et pourra ainsi accéder à toutes les données
de l’ordinateur et installer des logiciels malveillants tels qu’un logiciel de keylogging
sur l’ordinateur. Si l’administrateur est connecté à l’aide d’un compte d’utilisateur
normal, le virus n’aura accès qu’aux données de l’administrateur et ne pourra pas
installer de logiciels malveillants. Si vous respectez le principe des privilèges
minimum nécessaires pour lire les e-mails, dans cet exemple, l’étendue potentielle
de la compromission est considérablement réduite. »
Le problème des privilèges

Les principes décrits dans les extraits précédents n’ont pas changé, mais dans
l’évaluation des installations d’Active Directory, nous trouvons invariablement un
nombre excessif de comptes qui ont reçu des droits et des autorisations bien au-delà de
ceux requis pour effectuer le travail quotidien. La taille de l’environnement affecte le
nombre brut de comptes trop privilégiés, mais pas la proportion. Des annuaires de taille
moyenne peuvent avoir des dizaines de comptes dans les groupes les plus privilégiés,
tandis que de grandes installations peuvent en avoir des centaines, voire des milliers. À
quelques exceptions près, indépendamment de la sophistication des compétences et de
l’arsenal d’un attaquant, les attaquants suivent généralement le chemin de la moindre
résistance. Ils n’augmentent la complexité de leurs outils et de leur approche que si et
quand des mécanismes plus simples échouent ou sont contrecarrés par les défenseurs.
Malheureusement, dans de nombreux environnements le chemin de la moindre

résistance est bien souvent la surutilisation de comptes disposant de privilèges étendus
et profonds. Les privilèges étendus sont des droits et des autorisations qui permettent à
un compte d’effectuer des activités spécifiques dans une grande partie de
l’environnement. Par exemple, le personnel du support technique peut se voir accorder
des autorisations qui lui permettent de réinitialiser les mots de passe de nombreux
comptes d’utilisateur.
Les privilèges profonds sont des privilèges puissants qui sont appliqués à un segment
restreint de la population, comme le fait de donner à un ingénieur des droits
d’Administrateur sur un serveur afin qu’il puisse effectuer des réparations. Ni les
privilèges étendus ni les privilèges profonds ne sont nécessairement dangereux, mais
lorsque de nombreux comptes dans le domaine bénéficient de privilèges étendus et
profonds de façon permanente, si un seul des comptes est compromis, il peut
rapidement être utilisé pour reconfigurer l’environnement conformément aux besoins
de l’attaquant ou même pour détruire de grands segments de l’infrastructure.
Les attaques Pass-the-hash, qui sont un type de vol d’informations d’identification, sont
omniprésentes car les outils permettant de les exécuter sont disponibles gratuitement et
faciles à utiliser, et car de nombreux environnements sont vulnérables aux attaques.
Toutefois, les attaques Pass-the-hash ne sont pas le véritable problème. Le nœud du
problème est double :
1. Il est généralement facile pour un attaquant d’obtenir des privilèges profonds sur
un seul ordinateur, puis de propager largement ce privilège à d’autres ordinateurs
2. Il existe généralement trop de comptes permanents disposant de niveaux de
privilèges élevés dans le paysage informatique
Même si les attaques Pass-the-hash sont éliminées, les attaquants utiliseront

simplement des tactiques différentes, et non une stratégie différente. Plutôt que de
créer des programmes malveillants qui contiennent des outils de vol d’informations
d’identification, ils peuvent créer des programmes malveillants qui journalisent les
frappes, ou tirer parti d’un certain nombre d’autres approches pour capturer des
informations d’identification qui sont puissantes dans l’environnement. Quelle que soit
la tactique, les cibles restent les mêmes : les comptes avec des privilèges étendus et
profonds.
L’octroi de privilèges excessifs ne se trouve pas uniquement dans Active Directory dans
les environnements compromis. Lorsqu’une organisation a développé l’habitude
d’accorder plus de privilèges que nécessaire, cet octroi est présent généralement dans
l’ensemble de l’infrastructure, comme discuté dans les sections suivantes.

Dans Active Directory, il est courant de constater que les groupes Administrateurs de
l’entreprise, Administrateurs du domaine et Administrateurs intégrés contiennent un
nombre excessif de comptes. Le plus souvent, le groupe Administrateurs de l’entreprise
d’une organisation contient le moins de membres, les groupes Administrateurs du
domaine contiennent généralement un multiple du nombre d’utilisateurs dans le groupe
Administrateurs de l’entreprise, et les groupes Administrateurs contiennent
généralement plus de membres que les populations des autres groupes combinés. Cela
est souvent dû à la croyance que les administrateurs sont en quelque sorte « moins
privilégiés » que les administrateurs du domaine ou les administrateurs de l’entreprise.
Même si les droits et autorisations accordés à chacun de ces groupes diffèrent, ils
doivent être considérés comme des groupes tout aussi puissants car un membre de l’un
peut se faire membre des deux autres.
Sur les serveurs membres

Lorsque nous récupérons l’appartenance aux groupes Administrateurs locaux sur des
serveurs membres dans de nombreux environnements, nous observons une
appartenance allant d’une poignée de comptes locaux et de domaine à des dizaines de
groupes imbriqués qui, une fois développés, révèlent des centaines, voire des milliers de
comptes disposant d’un privilège d’administrateur local sur les serveurs. Dans de
nombreux cas, les groupes de domaines avec des appartenances importantes sont
imbriqués dans les groupes Administrateurs locaux des serveurs membres, sans tenir
compte du fait que tout utilisateur qui peut modifier les appartenances de ces groupes
dans le domaine peut obtenir le contrôle administratif de tous les systèmes sur lesquels
le groupe a été imbriqué dans un groupe Administrateurs local.
Sur les stations de travail

Bien que les stations de travail comptent généralement beaucoup moins de membres
dans leurs groupes Administrateurs locaux que les serveurs membres, dans de
nombreux environnements, les utilisateurs se voient accorder l’appartenance au groupe
Administrateurs local sur leurs ordinateurs personnels. Dans ce cas, même si UAC est
activé, ces utilisateurs présentent un risque élevé pour l’intégrité de leurs stations de
travail.
） Important
Vous devez examiner attentivement si les utilisateurs ont besoin de droits

d’administration sur leurs stations de travail et, si c’est le cas, une meilleure
approche peut consister à créer un compte local distinct sur l’ordinateur qui est
membre du groupe Administrateurs. Lorsque les utilisateurs ont besoin d’une
élévation, ils peuvent présenter les informations d’identification de ce compte local
pour l’élévation, mais comme le compte est local, il ne peut pas être utilisé pour
compromettre d’autres ordinateurs ou accéder aux ressources de domaine. Comme
pour tous les comptes locaux, toutefois, les informations d’identification du compte
privilégié local doivent être uniques ; si vous créez un compte local avec les mêmes
informations d’identification sur plusieurs stations de travail, vous exposez les
ordinateurs à des attaques Pass-the-hash.
Dans les applications

Dans les attaques dans lesquelles la cible est la propriété intellectuelle d’une
organisation, les comptes qui ont obtenu de puissants privilèges au sein des
applications peuvent être ciblés pour permettre l’exfiltration des données. Même si les
comptes qui ont accès à des données sensibles ne bénéficient d’aucun privilège élevé
dans le domaine ou le système d’exploitation, les comptes qui peuvent manipuler la
configuration d’une application ou l’accès aux informations fournies par l’application
présentent un risque.
Dans les référentiels de données

Comme c’est le cas avec d’autres cibles, les attaquants qui cherchent à accéder à la
propriété intellectuelle sous forme de documents et d’autres fichiers peuvent cibler les
comptes qui contrôlent l’accès aux magasins de fichiers, les comptes qui ont un accès
direct aux fichiers, ou même les groupes ou les rôles qui ont accès aux fichiers. Par
exemple, si un serveur de fichiers est utilisé pour stocker des documents de contrat et
que l’accès est accordé aux documents par l’utilisation d’un groupe Active Directory, un
attaquant qui peut modifier l’appartenance au groupe peut ajouter des comptes
compromis au groupe et accéder aux documents de contrat. Dans les cas où l’accès aux
documents est fourni par des applications telles que SharePoint, les attaquants peuvent
cibler les applications comme décrit précédemment.
Réduction des privilèges

Plus un environnement est grand et complexe, plus il est difficile à gérer et à sécuriser.
Dans les petites organisations, la révision et la réduction des privilèges peuvent être une
proposition relativement simple, mais chaque serveur, station de travail, compte
d’utilisateur et application supplémentaires utilisés dans une organisation ajoute un
autre objet qui doit être sécurisé. Étant donné qu’il peut être difficile, voire impossible,
de sécuriser correctement tous les aspects de l’infrastructure informatique d’une
organisation, vous devez d’abord vous concentrer sur les comptes dont le privilège crée
le plus de risques, qui sont généralement les comptes et groupes privilégiés intégrés
dans Active Directory, et les comptes locaux privilégiés sur les stations de travail et les
serveurs membres.
Sécurisation des comptes d’administrateur local sur les

stations de travail et les serveurs membres
Bien que ce document soit axé sur la sécurisation d’Active Directory, comme nous
l’avons vu plus haut, la plupart des attaques contre l’annuaire commencent par des
attaques contre des hôtes individuels. Il est impossible de fournir des instructions
complètes pour la sécurisation des groupes locaux sur les systèmes membres, mais vous
pouvez suivre les recommandations suivantes pour vous aider à sécuriser les comptes
Administrateur locaux sur les stations de travail et les serveurs membres.
Sécurisation des comptes Administrateur locaux

Sur toutes les versions de Windows actuellement prises en charge, le compte
Administrateur local est désactivé par défaut, ce qui le rend inutilisable pour les attaques
Pass-the-hash et autres vols d’informations d’identification. Toutefois, dans les domaines
contenant des systèmes d’exploitation hérités ou dans lesquels des comptes
Administrateur locaux ont été activés, ces comptes peuvent être utilisés comme décrit
précédemment pour propager la compromission parmi les serveurs membres et les
stations de travail. Pour cette raison, les contrôles suivants sont recommandés pour tous
les comptes Administrateur locaux sur les systèmes joints à un domaine.
Des instructions détaillées pour l’implémentation de ces contrôles sont fournies à

l’Annexe H : Sécurisation des groupes et des comptes des administrateurs locaux.
Toutefois, avant d’implémenter ces paramètres, vérifiez que les comptes Administrateur
locaux ne sont pas actuellement utilisés dans l’environnement pour exécuter des
services sur des ordinateurs ou effectuer d’autres activités pour lesquelles ces comptes
ne doivent pas être utilisés. Testez soigneusement ces paramètres avant de les
implémenter dans un environnement de production.
Contrôles pour les comptes Administrateur locaux

Les comptes Administrateur intégrés ne doivent jamais être utilisés comme comptes de
service sur les serveurs membres, ni pour se connecter aux ordinateurs locaux (sauf en
mode sans échec, qui est autorisé même si le compte est désactivé). L’objectif de
l’implémentation des paramètres décrits ici est d’empêcher que le compte
Administrateur local de chaque ordinateur soit utilisable, sauf si les contrôles de
protection sont d’abord inversés. En implémentant ces contrôles et en supervisant les
modifications apportées aux comptes Administrateur, vous pouvez réduire
considérablement la probabilité de réussite d’une attaque ciblant les comptes
Administrateur locaux.
Configuration d’objets de stratégie de groupe pour restreindre les

comptes d’administrateur sur les systèmes joints à un domaine
Dans un ou plusieurs objets de stratégie de groupe que vous créez et liez à des unités
d’organisation de station de travail et de serveur membre dans chaque domaine,
ajoutez le compte Administrateur aux droits utilisateur suivants dans Configuration
ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies
locales\Attributions des droits utilisateur :
Refuser l'accès à cet ordinateur à partir du réseau

Interdire l’ouverture de session en tant que tâche
Interdire l’ouverture de session en tant que service
Interdire l’ouverture de session par les services Bureau à distance
Lorsque vous ajoutez des comptes Administrateur à ces droits utilisateur, spécifiez si
vous ajoutez le compte Administrateur local ou le compte Administrateur du domaine
en étiquetant le compte. Par exemple, pour ajouter le compte Administrateur du
domaine NWTRADERS à ces refus de droits, vous devez taper le compte
NWTRADERS\Administrateur ou accéder au compte Administrateur pour le domaine
NWTRADERS. Pour vous assurer de restreindre le compte Administrateur local, tapez
Administrateur dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de
stratégie de groupe.
７ Notes
Même si les comptes Administrateur locaux sont renommés, les stratégies

s’appliqueront toujours.
Ces paramètres garantissent que le compte Administrateur d’un ordinateur ne peut pas
être utilisé pour se connecter aux autres ordinateurs, même s’il est activé par
inadvertance ou par malveillance. Les connexions locales utilisant le compte
Administrateur local ne peuvent pas être complètement désactivées, et vous ne devez
pas tenter de le faire, car le compte Administrateur local d’un ordinateur est conçu pour
être utilisé dans des scénarios de reprise d’activité.
Si un serveur ou une station de travail membre devient dissocié du domaine sans aucun
autre compte local disposant de privilèges d’administrateur, l’ordinateur peut être
démarré en mode sans échec, le compte Administrateur peut être activé, et le compte
peut ensuite être utilisé pour effectuer des réparations sur l’ordinateur. Une fois les
réparations terminées, le compte Administrateur doit à nouveau être désactivé.
Sécurisation des comptes et groupes privilégiés locaux

dans Active Directory
Loi numéro six : La sécurité d’un ordinateur est proportionnelle à la confiance que l’on peut
accorder à son administrateur. - Dix lois immuables de la sécurité (version 2.0)
Les informations fournies ici sont destinées à fournir des instructions générales pour
sécuriser les comptes et groupes intégrés disposant des privilèges les plus élevés dans
Active Directory. Des instructions détaillées sont également fournies à l’Annexe D :
Sécurisation des comptes Administrateur intégrés dans Active Directory, l’Annexe E :
Sécurisation des groupes Administrateurs de l’entreprise dans Active Directory, l’Annexe
F : Sécurisation des groupes Administrateurs du domaine dans Active Directory et
l’Annexe G : Sécurisation des groupes Administrateurs dans Active Directory.
Avant d’implémenter l’un de ces paramètres, vous devez également tester

soigneusement tous les paramètres afin de déterminer s’ils sont appropriés pour votre
environnement. Toutes les organisations ne pourront pas implémenter ces paramètres.
Sécurisation des comptes Administrateur intégrés dans Active

Directory
Dans chaque domaine d’Active Directory, un compte Administrateur est créé dans le
cadre de la création du domaine. Ce compte est par défaut membre des groupes
Administrateurs et Administrateurs du domaine dans le domaine, et si le domaine est le
domaine racine de la forêt, le compte est également membre du groupe
Administrateurs de l’entreprise. L’utilisation du compte Administrateur local d’un
domaine doit être réservée uniquement aux activités de build initiales et,
éventuellement, aux scénarios de reprise d’activité. Pour vous assurer qu’un compte
Administrateur intégré peut être utilisé pour effectuer des réparations dans le cas où
aucun autre compte ne peut être utilisé, vous ne devez modifier l’appartenance par
défaut du compte Administrateur dans aucun domaine de la forêt. Au lieu de cela, vous
devez suivre les instructions pour sécuriser le compte Administrateur dans chaque
domaine de la forêt. Des instructions détaillées pour l’implémentation de ces contrôles
sont fournies à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans
Active Directory.
Contrôles pour les comptes Administrateur intégrés
L’objectif de l’implémentation des paramètres décrits ici est d’empêcher l’utilisation du
compte Administrateur de chaque domaine (et non d’un groupe), sauf si un certain
nombre de contrôles sont inversés. En implémentant ces contrôles et en supervisant les
modifications apportées aux comptes Administrateur, vous pouvez réduire
considérablement la probabilité de réussite d’une attaque en tirant parti du compte
Administrateur d’un domaine. Pour le compte Administrateur dans chaque domaine de
votre forêt, vous devez configurer les paramètres suivants.
Activer l’indicateur « Le compte est sensible et ne peut pas être

délégué » sur le compte
Par défaut, tous les comptes dans Active Directory peuvent être délégués. La délégation
permet à un ordinateur ou à un service de présenter les informations d’identification
d’un compte qui s’est authentifié auprès de l’ordinateur ou du service à d’autres
ordinateurs afin d’obtenir des services pour le compte. Lorsque vous activez l’attribut Le
compte est sensible et ne peut pas être délégué sur un compte basé sur un domaine,
les informations d’identification du compte ne peuvent pas être présentées à d’autres
ordinateurs ou services sur le réseau, ce qui limite les attaques qui tirent parti de la
délégation pour utiliser les informations d’identification du compte sur d’autres
systèmes.
Activer l’indicateur « Une carte à puce est nécessaire pour ouvrir

une session interactive » sur le compte
Lorsque vous activez l’attribut Une carte à puce est nécessaire pour ouvrir une session
interactive sur un compte, Windows réinitialise le mot de passe du compte à une valeur
aléatoire de 120 caractères. En définissant cet indicateur sur les comptes Administrateur
intégrés, vous garantissez que le mot de passe du compte est non seulement long et
complexe, mais qu’il n’est connu d’aucun utilisateur. Il n’est pas techniquement
nécessaire de créer des cartes à puce pour les comptes avant d’activer cet attribut, mais
dans la mesure du possible des cartes à puce doivent être créées pour chaque compte
Administrateur avant de configurer les restrictions de compte, et les cartes à puce
doivent être stockées dans des emplacements sécurisés.
Bien que la définition de l’indicateur Une carte à puce est nécessaire pour ouvrir une
session interactive réinitialise le mot de passe du compte, cela n’empêche pas un
utilisateur autorisé à réinitialiser le mot de passe du compte de définir une valeur
connue et d’utiliser le nom du compte et le nouveau mot de passe pour accéder aux
ressources sur le réseau. Pour cette raison, vous devez implémenter les contrôles
supplémentaires suivants sur le compte.

comptes d’administrateur du domaine sur les systèmes joints à un
domaine
Bien que la désactivation du compte Administrateur dans un domaine rende le compte

effectivement inutilisable, vous devez implémenter des restrictions supplémentaires sur
le compte au cas où il serait activé par inadvertance ou par malveillance. Bien que ces
contrôles puissent finalement être inversés par le compte Administrateur, l’objectif est
de créer des contrôles qui ralentissent la progression d’un attaquant et limitent les
dommages que le compte peut infliger.
Dans un ou plusieurs objets de stratégie de groupe que vous créez et liez à des unités
d’organisation de station de travail et de serveur membre dans chaque domaine,
ajoutez le compte Administrateur de chaque domaine aux droits utilisateur suivants
dans Computer Configuration\Policies\Windows Settings\Security Settings\Local
Policies\User Rights Assignments :

７ Notes
Lorsque vous ajoutez des comptes Administrateur locaux à ce paramètre, vous

devez spécifier si vous configurez des comptes Administrateur locaux ou des
comptes Administrateur du domaine. Par exemple, pour ajouter le compte
Administrateur local du domaine NWTRADERS à ces refus de droits, vous devez
taper le compte NWTRADERS\Administrateur, ou accéder au compte
Administrateur local pour le domaine NWTRADERS. Si vous tapez Administrateur
dans ces paramètres de droits utilisateur dans l’Éditeur d’objets de stratégie de
groupe, vous limitez le compte Administrateur local sur chaque ordinateur auquel
l’objet de stratégie de groupe est appliqué.
Nous vous recommandons de restreindre les comptes Administrateur locaux sur les
serveurs membres et les stations de travail de la même manière que les comptes
Administrateur basés sur le domaine. Par conséquent, vous devez généralement
ajouter le compte Administrateur pour chaque domaine de la forêt et le compte
Administrateur pour les ordinateurs locaux à ces paramètres de droits utilisateur.
Configuration d’objets de stratégie de groupe de façon à
restreindre les comptes Administrateur sur les contrôleurs de
domaine
Dans chaque domaine de la forêt, la stratégie Contrôleurs de domaine par défaut ou

une stratégie liée à l’unité d’organisation des contrôleurs de domaine doit être modifiée
de façon à ajouter le compte Administrateur de chaque domaine aux droits utilisateur
suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres
de sécurité\Stratégies locales\Attributions de droits utilisateur :

７ Notes
Ces paramètres garantissent que le compte Administrateur local ne peut pas être
utilisé pour se connecter à un contrôleur de domaine, bien que le compte, s’il est
activé, puisse se connecter localement aux contrôleurs de domaine. Étant donné
que ce compte ne doit être activé et utilisé que dans les scénarios de reprise
d’activité, il est prévu que l’accès physique à au moins un contrôleur de domaine
sera disponible, ou que d’autres comptes disposant d’autorisations d’accès aux
contrôleurs de domaine à distance puissent être utilisés.
Configurer l’audit des comptes Administrateur intégrés
Une fois que vous avez sécurisé et désactivé le compte Administrateur de chaque
domaine, vous devez configurer l’audit afin de superviser les modifications apportées au
compte. Si le compte est activé, que son mot de passe est réinitialisé ou que d’autres
modifications sont apportées au compte, des alertes doivent être envoyées aux
utilisateurs ou aux équipes responsables de l’administration d’AD DS, en plus des
équipes de réponse aux incidents de votre organisation.
Sécurisation des groupes Administrateurs,

Administrateurs du domaine et Administrateurs de
l’entreprise
Sécurisation des groupes Administrateurs de l’entreprise
Le groupe Administrateurs de l’entreprise, qui est hébergé dans le domaine racine de
forêt, ne doit contenir aucun utilisateur au jour le jour, à l’exception possible du compte
Administrateur local du domaine, à condition qu’il soit sécurisé comme décrit plus haut
et à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active
Directory.
Lorsque l’accès Administrateurs de l’entreprise est requis, les utilisateurs dont les
comptes nécessitent des droits et autorisations Administrateurs de l’entreprise doivent
être temporairement placés dans le groupe Administrateurs de l’entreprise. Bien que les
utilisateurs utilisent les comptes hautement privilégiés, leurs activités doivent être
auditées et de préférence effectuées avec un utilisateur effectuant les modifications et
un autre utilisateur observant les modifications afin de réduire la probabilité d’une
mauvaise utilisation ou d’une mauvaise configuration par inadvertance. Une fois les
activités terminées, les comptes doivent être supprimés du groupe Administrateurs de
l’entreprise. Pour ce faire, vous pouvez utiliser des procédures manuelles et des
processus documentés, des logiciels tiers de gestion des identités/accès privilégiés
(PIM/PAM) ou une combinaison des deux. Des instructions relatives à la création de
comptes qui peuvent être utilisés pour contrôler l’appartenance à des groupes
privilégiés dans Active Directory sont fournies dans Comptes attrayants pour le vol
d’informations d’identification, et des instructions détaillées sont fournies à l’Annexe I :
Création de comptes de gestion pour les comptes protégés et les groupes dans Active
Directory.
Les Administrateurs de l’entreprise sont, par défaut, membres du groupe

Administrateurs intégré dans chaque domaine de la forêt. La suppression du groupe
Administrateurs de l’entreprise des groupes Administrateurs de chaque domaine est une
modification inappropriée, car dans le cas d’un scénario de reprise d’activité de forêt,
des droits Administrateurs de l’entreprise seront probablement requis. Si le groupe
Administrateurs de l’entreprise a été supprimé des groupes Administrateurs d’une forêt,
il doit être ajouté au groupe Administrateurs dans chaque domaine, et les contrôles
supplémentaires suivants doivent être implémentés :
Comme décrit plus haut, le groupe Administrateurs de l’entreprise ne doit contenir

aucun utilisateur au jour le jour, à l’exception possible du compte Administrateur
du domaine racine de forêt, qui doit être sécurisé comme décrit à l’Annexe D :
Sécurisation des comptes Administrateur intégrés dans Active Directory.
Dans les objets de stratégie de groupe liés à des unités d’organisation contenant
des stations de travail et des serveurs membres dans chaque domaine, le groupe
Administrateurs de l’entreprise doit être ajouté aux droits utilisateur suivants :
Interdire l’ouverture d’une session locale
Cela empêchera les membres du groupe Administrateurs de l’entreprise de se connecter

aux stations de travail et serveurs membres. Si des serveurs de saut sont utilisés pour
administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent
dans une unité d’organisation à laquelle les objets de stratégie de groupe restrictifs ne
sont pas liés.
L’audit doit être configuré de façon à envoyer des alertes si des modifications sont
apportées aux propriétés ou à l’appartenance au groupe Administrateurs de
l’entreprise. Ces alertes doivent être envoyées, au minimum, aux utilisateurs ou aux
équipes responsables de l’administration d’Active Directory et de réponse aux
incidents. Vous devez également définir des processus et des procédures pour
remplir temporairement le groupe Administrateurs de l’entreprise, y compris des
procédures de notification lorsque un remplissage légitime du groupe est effectué.
Sécurisation des groupes Administrateurs du domaine

Comme c’est le cas avec le groupe Administrateurs de l’entreprise, l’appartenance aux
groupes Administrateurs du domaine ne doit être requise que dans les scénarios de
génération ou de reprise d’activité. Il ne doit y avoir aucun compte d’utilisateur au jour
le jour dans le groupe Administrateurs du domaine, à l’exception du compte
Administrateur local pour le domaine, s’il a été sécurisé comme décrit à l’Annexe D :
Sécurisation des comptes Administrateur intégrés dans Active Directory.
Lorsque l’accès Administrateurs du domaine est requis, les comptes nécessitant ce

niveau d’accès doivent être placés temporairement dans le groupe Administrateurs du
domaine pour le domaine en question. Bien que les utilisateurs utilisent les comptes
hautement privilégiés, les activités doivent être auditées et de préférence effectuées
avec un utilisateur effectuant les modifications et un autre utilisateur observant les
modifications afin de réduire la probabilité d’une mauvaise utilisation ou d’une
mauvaise configuration par inadvertance. Une fois les activités terminées, les comptes
doivent être supprimés du groupe Administrateurs du domaine. Pour ce faire, vous
pouvez utiliser des procédures manuelles et des processus documentés, des logiciels
tiers de gestion des identités/accès privilégiés (PIM/PAM) ou une combinaison des deux.
Des instructions relatives à la création de comptes qui peuvent être utilisés pour
contrôler l’appartenance à des groupes privilégiés dans Active Directory sont fournies à
l’Annexe I : Création de comptes de gestion pour les comptes protégés et les groupes
dans Active Directory.
Les Administrateurs du domaine sont, par défaut, membres des groupes
Administrateurs locaux sur tous les serveurs membres et stations de travail de leurs
domaines respectifs. Cette imbrication par défaut ne doit pas être modifiée, car elle
affecte les options de prise en charge et de reprise d’activité. Si des groupes
Administrateurs du domaine ont été supprimés des groupes Administrateurs locaux sur
les serveurs membres, ils doivent être ajoutés au groupe Administrateurs sur chaque
station de travail et serveur membre dans le domaine par le biais des paramètres de
groupe restreints dans les objets de stratégie de groupe liés. Les contrôles généraux
suivants, qui sont décrits en détail à l’Annexe F : Sécurisation des groupes
d’administrateurs de domaine dans Active Directory, doivent également être
implémentés.
Pour le groupe Administrateurs du domaine dans chaque domaine de la forêt :
1. Supprimez tous les membres du groupe Administrateurs du domaine, à l’exception

possible du compte Administrateur intégré pour le domaine, à condition qu’il ait
été sécurisé comme décrit à l’Annexe D : Sécurisation des comptes Administrateur
intégrés dans Active Directory.
2. Dans les objets de stratégie de groupe liés à des unités d’organisation contenant
des stations de travail et des serveurs membres dans chaque domaine, le groupe
Administrateurs du domaine doit être ajouté aux droits utilisateur suivants :

Cela empêchera les membres du groupe Administrateurs du domaine de se

connecter aux stations de travail et serveurs membres. Si des serveurs de saut sont
utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez
qu’ils se trouvent dans une unité d’organisation à laquelle les objets de stratégie
de groupe restrictifs ne sont pas liés.
3. L’audit doit être configuré de façon à envoyer des alertes si des modifications sont
apportées aux propriétés ou à l’appartenance au groupe Administrateurs du
domaine. Ces alertes doivent être envoyées, au minimum, aux utilisateurs ou aux
équipes responsables de l’administration d’AD DS et de réponse aux incidents.
Vous devez également définir des processus et des procédures pour remplir
temporairement le groupe Administrateurs du domaine, y compris des procédures
de notification lorsque un remplissage légitime du groupe est effectué.
Sécurisation des groupes d’administrateurs dans Active Directory
Comme c’est le cas pour les groupes Administrateurs de l’entreprise et Administrateurs
du domaine, l’appartenance au groupe Administrateurs (Administrateurs intégrés) ne
doit être requise que dans les scénarios de génération ou de reprise d’activité. Il ne doit
y avoir aucun compte d’utilisateur au jour le jour dans le groupe Administrateurs, à
l’exception du compte Administrateur local pour le domaine, s’il a été sécurisé comme
décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés dans Active
Directory.
Lorsque l’accès Administrateurs est requis, les comptes nécessitant ce niveau d’accès
doivent être placés temporairement dans le groupe Administrateurs pour le domaine en
question. Bien que les utilisateurs utilisent les comptes hautement privilégiés, les
activités doivent être auditées et, de préférence, effectuées avec un utilisateur effectuant
les modifications et un autre utilisateur observant les modifications afin de réduire la
probabilité d’une mauvaise utilisation ou d’une mauvaise configuration par
inadvertance. Une fois les activités terminées, les comptes doivent être immédiatement
supprimés du groupe Administrateurs. Pour ce faire, vous pouvez utiliser des procédures
manuelles et des processus documentés, des logiciels tiers de gestion des
identités/accès privilégiés (PIM/PAM) ou une combinaison des deux.
Les administrateurs sont, par défaut, les propriétaires de la plupart des objets AD DS
dans leurs domaines respectifs. L’appartenance à ce groupe peut être requise dans les
scénarios de génération et de reprise d’activité dans lesquels la propriété ou la capacité
à prendre possession des objets est requise. En outre, les Administrateurs du domaine et
les Administrateurs de l’entreprise héritent d’un certain nombre de leurs droits et
autorisations en vertu de leur appartenance par défaut au groupe Administrateurs.
L’imbrication de groupes par défaut pour les groupes privilégiés dans Active Directory
ne doit pas être modifiée, et le groupe Administrateurs de chaque domaine doit être
sécurisé comme décrit à l’Annexe G : Sécurisation des groupes d’administrateurs dans
Active Directory et dans les instructions générales ci-dessous.
1. Supprimez tous les membres du groupe Administrateurs, à l’exception possible du

compte Administrateur local pour le domaine, à condition qu’il ait été sécurisé
comme décrit à l’Annexe D : Sécurisation des comptes Administrateur intégrés
dans Active Directory.
2. Les membres du groupe Administrateurs du domaine ne doivent jamais avoir

besoin de se connecter aux stations de travail ou aux serveurs membres. Dans un
ou plusieurs objets de stratégie de groupe liés à des unités d’organisation de
stations de travail et de serveurs membres dans chaque domaine, le groupe
Administrateurs doit être ajouté aux droits utilisateur suivants :
Cela empêchera les membres du groupe Administrateurs d’être utilisés pour
se connecter à des stations de travail ou des serveurs membres (sauf si
plusieurs contrôles sont d’abord enfreints), où leurs informations
d’identification pourraient être mises en cache et ainsi compromises. Un
compte privilégié ne doit jamais être utilisé pour se connecter à un système
moins privilégié, et l’application de ces contrôles offre une protection contre
un certain nombre d’attaques.
3. Au niveau de l’unité d’organisation des contrôleurs de domaine dans chaque

domaine de la forêt, le groupe Administrateurs doit se voir accorder les droits
utilisateur suivants (s’il n’en dispose pas déjà), qui permettront aux membres du
groupe Administrateurs d’effectuer les fonctions nécessaires pour un scénario de
reprise d’activité à l’échelle de la forêt :
Accéder à cet ordinateur à partir du réseau

Permettre l’ouverture d’une session locale
Autoriser l’ouverture de session par les services Bureau à distance
4. L’audit doit être configuré de façon à envoyer des alertes si des modifications sont
apportées aux propriétés ou à l’appartenance au groupe Administrateurs. Ces
alertes doivent être envoyées, au minimum, aux membres de l’équipe responsable
de l’administration d’AD DS. Les alertes doivent également être envoyées aux
membres de l’équipe de sécurité, et des procédures doivent être définies pour
modifier l’appartenance au groupe Administrateurs. Plus précisément, ces
processus doivent inclure une procédure par laquelle l’équipe de sécurité est
avertie lorsque le groupe Administrateurs va être modifié, afin que lorsque des
alertes sont envoyées elles soient attendues et qu’aucune alarme ne soit
déclenchée. En outre, des processus doivent être implémentés afin d’informer
l’équipe de sécurité lorsque l’utilisation du groupe Administrateurs est terminée et
que les comptes utilisés ont été supprimés du groupe.
７ Notes
Lorsque vous implémentez des restrictions sur le groupe Administrateurs dans des
objets de stratégie de groupe, Windows applique les paramètres aux membres du
groupe Administrateurs local d’un ordinateur en plus du groupe Administrateurs
du domaine. Par conséquent, vous devez faire preuve de prudence lorsque vous
implémentez des restrictions sur le groupe Administrateurs. Bien qu’il soit
recommandé d’interdire les ouvertures de session réseau, par fichier de commande
et par service pour les membres du groupe Administrateurs partout où cette
implémentation est possible, ne limitez pas les ouvertures de session locales ou les
ouvertures de session par le biais des services Bureau à distance. Le blocage de ces
types d’ouverture de session peut bloquer l’administration légitime d’un ordinateur
par les membres du groupe Administrateurs local. La capture d’écran suivante
montre les paramètres de configuration qui bloquent l’utilisation incorrecte des
comptes d’administrateurs locaux et de domaine intégrés, en plus de l’utilisation
incorrecte des groupes d’administrateurs locaux ou de domaine intégrés. Notez
que le droit d’utilisation Interdire l’ouverture de session par les services Bureau à
distance n’inclut pas le groupe Administrateurs, car le fait de l’inclure dans ce
paramètre bloquerait également ces ouvertures de session pour les comptes
membres du groupe Administrateurs de l’ordinateur local. Si des services sur les
ordinateurs sont configurés pour s’exécuter dans le contexte de l’un des groupes
privilégiés décrits dans cette section, l’implémentation de ces paramètres peut
entraîner l’échec des services et des applications. Par conséquent, comme pour
toutes les recommandations de cette section, vous devez tester minutieusement les
paramètres afin de vérifier leur applicabilité dans votre environnement.
Contrôle d’accès en fonction du rôle (RBAC) pour Active

Directory
En règle générale, les contrôles d’accès en fonction du rôle (RBAC) sont un mécanisme
permettant de regrouper les utilisateurs et de fournir l’accès aux ressources en fonction
de règles métier. Dans le cas d’Active Directory, l’implémentation de RBAC pour AD DS
est le processus qui consiste à créer des rôles auxquels des droits et des autorisations
sont délégués pour permettre aux membres du rôle d’effectuer des tâches
administratives quotidiennes sans leur accorder des privilèges excessifs. RBAC pour
Active Directory peut être conçu et implémenté via des interfaces et des outils natifs, en
tirant parti de logiciels que vous possédez peut-être déjà, en achetant des produits tiers
ou toute combinaison de ces approches. Cette section ne fournit pas d’instructions pas
à pas pour implémenter RBAC pour Active Directory, mais décrit plutôt les facteurs à
prendre en compte lors du choix d’une approche d’implémentation de RBAC dans vos
installations AD DS.
Approches natives de RBAC pour Active Directory
Dans l’implémentation RBAC la plus simple, vous pouvez implémenter des rôles en tant
que groupes AD DS, et déléguer des droits et des autorisations aux groupes qui leur
permettent d’effectuer une administration quotidienne dans l’étendue désignée du rôle.
Dans certains cas, les groupes de sécurité existants dans Active Directory peuvent être
utilisés pour accorder des droits et des autorisations appropriés à une fonction de tâche.
Par exemple, si des employés spécifiques de votre organisation informatique sont
responsables de la gestion et de la maintenance des zones et enregistrements DNS,
pour déléguer ces responsabilités il pourrait suffire de créer un compte pour chaque
administrateur DNS et de l’ajouter au groupe Administrateurs DNS dans Active
Directory. Le groupe Administrateurs DNS, contrairement aux groupes plus hautement
privilégiés, dispose de peu de droits puissants dans Active Directory, bien que les
membres de ce groupe aient reçu des autorisations déléguées qui leur permettent
d’administrer le système DNS et qu’ils soient toujours sujets à des compromissions et à
des abus pouvant entraîner une élévation de privilèges.
Dans d’autres cas, vous devrez peut-être créer des groupes de sécurité et déléguer des
droits et des autorisations aux objets Active Directory, aux objets de système de fichiers
et aux objets du Registre pour permettre aux membres des groupes d’effectuer des
tâches d’administration désignées. Par exemple, si les opérateurs de votre support
technique sont chargés de réinitialiser les mots de passe oubliés, d’aider les utilisateurs
ayant des problèmes de connectivité et de résoudre les problèmes liés aux paramètres
d’application, vous devrez peut-être combiner des paramètres de délégation sur des
objets utilisateur dans Active Directory avec des privilèges qui permettent aux
utilisateurs du support technique de se connecter à distance aux ordinateurs des
utilisateurs pour afficher ou modifier les paramètres de configuration des utilisateurs.
Pour chaque rôle que vous définissez, vous devez identifier :
1. Quelles tâches les membres du rôle effectuent au jour le jour, et quelles tâches
sont moins fréquemment exécutées.
2. Sur quels systèmes et dans quelles applications les membres d’un rôle doivent se
voir accorder des droits et des autorisations.
3. Quels utilisateurs doivent être membres d’un rôle.
4. Comment la gestion des appartenances aux rôles sera effectuée.
Dans de nombreux environnements, la création manuelle de contrôles d’accès en

fonction du rôle pour l’administration d’un environnement Active Directory peut être
difficile à implémenter et à tenir à jour. Si vous avez clairement défini des rôles et des
responsabilités pour l’administration de votre infrastructure informatique, vous pouvez
utiliser des outils supplémentaires pour vous aider à créer un déploiement RBAC natif
gérable. Par exemple, si vous utilisez Forefront Identity Manager (FIM) dans votre
environnement, vous pouvez automatiser la création et la population de rôles
d’administration, ce qui peut faciliter l’administration continue. Si vous utilisez Microsoft
Endpoint Configuration Manager et System Center Operations Manager (SCOM), vous
pouvez utiliser des rôles propres à l’application pour déléguer des fonctions de gestion
et de monitoring, et également appliquer une configuration et un audit cohérents parmi
les systèmes du domaine. Si vous avez implémenté une infrastructure à clé publique
(PKI), vous pouvez émettre et exiger des cartes à puce pour le personnel informatique
responsable de l’administration de l’environnement. Avec FIM Credential Management
(FIM CM), vous pouvez même combiner la gestion des rôles et des informations
d’identification pour votre personnel administratif.
Dans d’autres cas, il peut être préférable pour une organisation de déployer un logiciel
RBAC tiers qui fournit des fonctionnalités « prêtes à l’emploi ». Des solutions de type
« produit du commerce » pour RBAC pour les systèmes d’exploitation et annuaires
Active Directory, Windows et non-Windows sont proposées par un certain nombre de
fournisseurs. Lorsque vous choisissez entre des solutions natives et des produits tiers,
vous devez tenir compte des facteurs suivants :
1. Budget : en investissant dans le développement de RBAC avec des logiciels et des

outils que vous possédez peut-être déjà, vous pouvez réduire les coûts logiciels
associés au déploiement d’une solution. Toutefois, à moins d’avoir du personnel
expérimenté dans la création et le déploiement de solutions RBAC natives, vous
devrez peut-être faire appel à des ressources de conseil pour développer votre
solution. Vous devez évaluer soigneusement les coûts prévus pour une solution
développée sur mesure, par rapport aux coûts de déploiement d’une solution
« prête à l’emploi », en particulier si votre budget est limité.
2. Composition de l’environnement informatique : si votre environnement est
principalement composé de systèmes Windows, ou si vous utilisez déjà Active
Directory pour la gestion de comptes et de systèmes non-Windows, des solutions
natives personnalisées peuvent fournir la solution optimale pour vos besoins. Si
votre infrastructure contient de nombreux systèmes qui n’exécutent pas Windows
et qui ne sont pas gérés par Active Directory, vous devrez peut-être envisager des
options de gestion des systèmes non-Windows séparément de l’environnement
Active Directory.
3. Modèle de privilège dans la solution : si un produit s’appuie sur le placement de
ses comptes de service dans des groupes hautement privilégiés dans Active
Directory et n’offre pas d’options qui ne nécessitent pas l’octroi de privilèges
excessifs au logiciel RBAC, vous n’avez pas vraiment réduit votre surface d’attaque
Active Directory ; vous avez seulement modifié la composition des groupes les plus
privilégiés dans l’annuaire. À moins qu’un fournisseur d’application puisse fournir
des contrôles pour les comptes de service qui réduisent la probabilité que les
comptes soient compromis et utilisés de manière malveillante, vous devrez peut-
être envisager d’autres options.
Privileged Identity Management

Privileged Identity Management (PIM), parfois appelé Privileged Account Management
(PAM) ou Privileged Credential Management (PCM) est la conception, la construction et
l’implémentation d’approches de gestion des comptes privilégiés dans votre
infrastructure. En règle générale, PIM fournit des mécanismes par lesquels les comptes
bénéficient de droits et d’autorisations temporaires nécessaires pour effectuer des
fonctions de correction de build ou d’arrêt, plutôt que de laisser des privilèges attachés
de façon permanente aux comptes. Si la fonctionnalité PIM est créée manuellement ou
implémentée via le déploiement de logiciels tiers, une ou plusieurs des fonctionnalités
suivantes peuvent être disponibles :
« Coffres » d’informations d’identification, où les mots de passe des comptes

privilégiés sont « extraits » et où un mot de passe initial est affecté, puis
« archivés » une fois les activités terminées, après quoi les mots de passe sont à
nouveau réinitialisés sur les comptes.
Restrictions limitées dans le temps sur l’utilisation d’informations d’identification
privilégiées
Informations d’identification à usage unique
Octroi de privilèges généré par workflow avec monitoring et création de rapports
sur les activités effectuées et suppression automatique des privilèges lorsque les
activités sont terminées ou que le temps alloué a expiré
Remplacement des informations d’identification codées en dur, telles que les noms
d’utilisateur et les mots de passe dans les scripts, par des interfaces de
programmation d’application (API) qui permettent de récupérer les informations
d’identification à partir de coffres en fonction des besoins
Gestion automatique des informations d’identification de compte de service
Création de comptes non privilégiés pour gérer des

comptes privilégiés
L’un des défis de la gestion des comptes privilégiés est le fait que, par défaut, les
comptes qui peuvent gérer des comptes et des groupes privilégiés et protégés sont des
comptes privilégiés et protégés. Si vous implémentez des solutions RBAC et PIM
appropriées pour votre installation d’Active Directory, les solutions peuvent inclure des
approches qui vous permettent de « dérenseigner » l’appartenance des groupes les plus
privilégiés dans l’annuaire, et de renseigner les groupes uniquement temporairement et
si nécessaire.
Toutefois, si vous implémentez RBAC et PIM nativement, vous devez envisager de créer
des comptes qui n’ont aucun privilège et avec la seule fonction de renseigner et
dérenseigner les groupes privilégiés dans Active Directory en cas de besoin. Annexe I :
Création de comptes de gestion pour les comptes protégés et les groupes dans Active
Directory fournit des instructions pas à pas que vous pouvez utiliser pour créer des
comptes à cet effet.
Implémentation de contrôles d’authentification robustes

Loi numéro six : Il existe vraiment quelqu’un qui essaie de deviner vos mots de passe. -
10 lois immuables de l’administration de la sécurité
Les attaques Pass-the-hash et autres attaques de vol d’informations d’identification ne

sont pas propres aux systèmes d’exploitation Windows, et elles ne sont pas nouvelles. La
première attaque Pass-the-hash a été créée en 1997. Historiquement, cependant, ces
attaques nécessitaient des outils personnalisés, elles ne réussissaient pas à chaque fois,
et elles exigeaient des attaquants un niveau de compétence relativement élevé.
L’introduction d’outils accessibles gratuitement et faciles à utiliser qui extraient de
manière native des informations d’identification a entraîné une augmentation
exponentielle du nombre et du taux de succès des attaques d’usurpation d’informations
d’identification ces dernières années. Toutefois, les attaques de vol d’informations
d’identification ne sont en aucun cas les seuls mécanismes par lesquels les informations
d’identification sont ciblées et compromises.
Bien que vous deviez implémenter des contrôles pour vous protéger contre les attaques
de vol d’informations d’identification, vous devez également identifier les comptes de
votre environnement qui sont les plus susceptibles d’être ciblés par des attaquants, et
implémenter des contrôles d’authentification robustes pour ces comptes. Si vos
comptes les plus privilégiés utilisent l’authentification à facteur unique, comme les noms
d’utilisateur et les mots de passe (tous deux sont « quelque chose que vous
connaissez », ce qui est un facteur d’authentification), ces comptes sont faiblement
protégés. Tout ce dont un attaquant a besoin est la connaissance du nom d’utilisateur et
la connaissance du mot de passe associé au compte, et les attaques Pass-the-hash sont
possibles si l’attaquant peut s’authentifier en tant qu’utilisateur sur un système qui
accepte des informations d’identification à facteur unique.
Bien que l’implémentation de l’authentification multifacteur ne vous protège pas contre
les attaques Pass-the-hash, son implémentation en combinaison avec des systèmes
protégés peut vous en protéger. Des informations supplémentaires sur l’implémentation
de systèmes protégés sont fournies dans Implémentation d’hôtes d’administration
sécurisés, et des options d’authentification sont présentées dans les sections suivantes.
Contrôles d’authentification généraux

Si vous n’avez pas encore implémenté l’authentification multifacteur, comme des cartes
à puce, envisagez de le faire. Les cartes à puce implémentent une protection matérielle
des clés privées dans une paire de clés publique-privée. Cela empêche tout accès à la clé
privée d’un utilisateur, ou son utilisation, sans présentation à la carte à puce d’un code
confidentiel, d’un secret ou d’un identificateur biométrique correct. Même si le code
confidentiel ou secret d’un utilisateur est intercepté par un enregistreur de frappe sur un
ordinateur compromis, pour qu’un attaquant puisse réutiliser ce code, la carte doit
également être physiquement présente.
Dans les cas où les mots de passe longs et complexes se sont avérés difficiles à
implémenter en raison de la résistance des utilisateurs, les cartes à puce fournissent un
mécanisme permettant à ceux-ci d’implémenter des codes confidentiels ou secrets
relativement simples, sans que les informations d’identification soient exposées à des
attaques par force brute ou basées sur des tables arc-en-ciel. Les codes confidentiels de
carte à puce ne sont pas stockés dans Active Directory ou dans des bases de données
SAM locales, même si des hachages d’informations d’identification peuvent encore être
stockés dans une mémoire protégée pas LSAPS sur des ordinateurs sur lesquels des
cartes à puce ont été utilisées à des fins d’authentification.
Contrôles supplémentaires pour les comptes VIP

Un autre avantage de l’implémentation de cartes à puce ou d’autres mécanismes
d’authentification basés sur des certificats est la possibilité de tirer parti de l’Assurance
de mécanisme d’authentification (AMA) pour protéger les données sensibles accessibles
aux utilisateurs VIP. AMA est disponible dans les domaines dans lesquels le niveau
fonctionnel est défini sur Windows Server 2012 ou Windows Server 2008 R2. Lorsqu’elle
est activée, AMA ajoute une appartenance au groupe global désignée par
l’administrateur au jeton Kerberos d’un utilisateur quand les informations
d’identification de l’utilisateur sont authentifiées lors de l’ouverture de session à l’aide
d’une méthode d’ouverture de session basée sur un certificat.
Cela permet aux administrateurs de ressources de contrôler l’accès aux ressources, telles
que les fichiers, les dossiers et les imprimantes, selon que l’utilisateur se connecte à
l’aide d’une méthode d’ouverture de session basée sur un certificat ou non, en plus du
type de certificat utilisé. Par exemple, lorsqu’un utilisateur se connecte à l’aide d’une
carte à puce, l’accès de l’utilisateur aux ressources sur le réseau peut être spécifié
comme différent de ce qu’est l’accès lorsque l’utilisateur n’utilise pas de carte à puce
(autrement dit, lorsqu’il se connecte en entrant un nom d’utilisateur et un mot de passe).
Pour plus d’informations sur AMA, consultez Authentication Mechanism Assurance for
AD DS in Windows Server 2008 R2 Step-by-Step Guide.
Configuration de l’authentification de compte privilégié
Dans Active Directory pour tous les comptes d’administration, activez l’attribut
Ouverture de session interactive : carte à puce nécessaire et auditez (au minimum) les
modifications apportées à tous les attributs de l’onglet Compte du compte (par exemple
cn, name, sAMAccountName, userPrincipalName et userAccountControl).
Bien que la définition de Ouverture de session interactive : carte à puce nécessaire sur
les comptes réinitialise le mot de passe du compte à une valeur aléatoire de 120
caractères et nécessite des cartes à puce pour les ouvertures de session interactives,
l’attribut peut toujours être remplacé par les utilisateurs disposant d’autorisations qui
leur permettent de modifier les mots de passe sur les comptes, et les comptes peuvent
ensuite être utilisés pour établir des ouvertures de session non interactives avec
uniquement le nom d’utilisateur et le mot de passe.
Dans d’autres cas, en fonction de la configuration des comptes dans Active Directory et
des paramètres de certificat dans Active Directory Certificate Services (AD CS) ou une
infrastructure PKI tierce, les attributs de nom d’utilisateur principal (UPN) pour les
comptes administratifs ou VIP peuvent être ciblés pour un type d’attaque spécifique,
comme décrit ici.
Détournement d’UPN pour l’usurpation de certificat
Bien qu’une discussion approfondie sur les attaques contre les infrastructures PKI ne
rentre pas dans le cadre de ce document, les attaques contre les infrastructures PKI
publiques et privées ont augmenté de façon exponentielle depuis 2008. Les violations
des infrastructures PKI publiques ont été largement médiatisées, mais les attaques
contre l’infrastructure PKI interne d’une organisation sont peut-être encore plus
prolifiques. L’une de ces attaques tire parti d’Active Directory et des certificats pour
permettre à un attaquant d’usurper les informations d’identification d’autres comptes
d’une manière qui peut être difficile à détecter.
Lorsqu’un certificat est présenté pour l’authentification auprès d’un système joint à un
domaine, le contenu de l’attribut Subject ou Subject Alternative Name (SAN) dans le
certificat est utilisé pour mapper le certificat à un objet utilisateur dans Active Directory.
En fonction du type de certificat et de la façon dont il est construit, l’attribut Subject
d’un certificat contient généralement le nom commun (CN) d’un utilisateur, comme
illustré dans la capture d’écran suivante.
Par défaut, Active Directory construit le nom commun d’un utilisateur en concaténant le
prénom du compte + « » + nom de famille. Toutefois, les composants CN des objets
utilisateur dans Active Directory ne sont pas obligatoires et leur caractère unique n’est
pas garanti, et le déplacement d’un compte d’utilisateur vers un autre emplacement
dans l’annuaire modifie le nom unique du compte, qui est le chemin complet de l’objet
dans l’annuaire, comme illustré dans le volet inférieur de la capture d’écran précédente.
Étant donné que le caractère unique ou statique des noms d’objet de certificat n’est pas
garanti, le contenu de l’autre nom de l’objet (SAN) est souvent utilisé pour localiser
l’objet utilisateur dans Active Directory. L’attribut SAN pour les certificats émis aux
utilisateurs par les autorités de certification d’entreprise (autorités de certification
intégrées à Active Directory) contient généralement l’UPN ou l’adresse e-mail de
l’utilisateur. Le caractère unique des UPN étant garanti dans une forêt AD DS, la
localisation d’un objet utilisateur par UPN est généralement effectuée dans le cadre de
l’authentification, avec ou sans certificats impliqués dans le processus d’authentification.
L’utilisation des UPN dans les attributs SAN dans les certificats d’authentification peut
être exploitée par les attaquants pour obtenir des certificats frauduleux. Si un attaquant
a compromis un compte qui a la capacité à lire et à écrire des UPN sur des objets
utilisateur, l’attaque est implémentée comme suit :
La valeur de l’attribut UPN sur un objet utilisateur (tel qu’un utilisateur VIP) est
temporairement modifiée. L’attribut de nom de compte SAM et le CN peuvent
également être modifiés à ce moment-là, bien que cela ne soit généralement pas
nécessaire pour les raisons décrites précédemment.
Lorsque l’attribut UPN sur le compte cible a été modifié, l’attribut UPN d’un compte
d’utilisateur fraîchement créé ou d’un compte d’utilisateur obsolète activé est remplacé
par la valeur qui était attribuée à l’origine au compte cible. Les comptes d’utilisateur
obsolètes activés sont des comptes qui ne se sont pas connectés depuis très longtemps,
mais qui n’ont pas été désactivés. Ils sont ciblés par des attaquants qui ont l’intention de
« se cacher au vu de tous » pour les raisons suivantes :
1. Étant donné que le compte est activé mais qu’il n’a pas été utilisé récemment, il est
peu probable que son utilisation déclenche des alertes comme lors de l’activation
d’un compte d’utilisateur désactivé.
2. L’utilisation d’un compte existant ne nécessite pas la création d’un nouveau
compte d’utilisateur, susceptible d’être remarquée par le personnel administratif.
3. Les comptes d’utilisateur obsolètes qui sont encore activés sont généralement
membres de différents groupes de sécurité et disposent d’un accès aux ressources
sur le réseau, ce qui simplifie l’accès et permet à l’attaquant de mieux « se fondre
dans la masse » au milieu d’une population d’utilisateurs existante.
Le compte d’utilisateur sur lequel l’UPN cible a maintenant été configuré est utilisé pour
demander un ou plusieurs certificats aux services de certificats Active Directory.
Lorsque des certificats ont été obtenus pour le compte de l’attaquant, les UPN sur le
« nouveau » compte et le compte cible sont rétablis à leurs valeurs d’origine.
L’attaquant dispose désormais d’un ou plusieurs certificats qui peuvent être présentés
pour l’authentification auprès de ressources et d’applications comme si l’utilisateur était
l’utilisateur VIP dont le compte a été temporairement modifié. Bien qu’une description
complète de toutes les façons dont les certificats et l’infrastructure PKI peuvent être
ciblés par des attaquants n’entre pas dans le cadre de ce document, ce mécanisme
d’attaque est décrit afin d’illustrer pourquoi vous devez superviser les modifications
apportées aux comptes privilégiés et VIP dans AD DS, en particulier celles apportées à
l’un des attributs de l’onglet Compte du compte (par exemple cn, name,
sAMAccountName, userPrincipalName et userAccountControl). En plus de superviser les
comptes, vous devez faire en sorte qu’un ensemble d’utilisateurs administratifs le plus
petit possible puisse les modifier. De même, les comptes des utilisateurs administratifs
doivent être protégés et supervisés afin de détecter toute modification non autorisée.
Implémentation d’hôtes
d’administration sécurisés

Les hôtes d’administration sécurisés sont des stations de travail ou des serveurs qui ont
été configurés spécifiquement pour créer des plateformes sécurisées à partir desquelles
les comptes privilégiés peuvent effectuer des tâches d’administration dans Active
Directory ou sur les contrôleurs de domaine, les systèmes joints à un domaine et les
applications s’exécutant sur des systèmes joints à un domaine. Dans ce cas, « comptes
privilégiés » fait référence non seulement aux comptes membres des groupes les plus
privilégiés dans Active Directory, mais aussi à tous les comptes qui ont reçu des droits et
des autorisations qui permettent d’effectuer des tâches d’administration.
Ces comptes peuvent être des comptes de support technique qui ont la possibilité de
réinitialiser les mots de passe pour la plupart des utilisateurs d’un domaine, les comptes
utilisés pour administrer les enregistrements et les zones DNS ou les comptes utilisés
pour la gestion de la configuration. Les hôtes d’administration sécurisés sont dédiés aux
fonctionnalités administratives et n’exécutent pas de logiciels tels que des applications
de messagerie, des navigateurs Web ou des logiciels de productivité tels que des
Microsoft Office.
Bien que les comptes et les groupes « les plus privilégiés » doivent en conséquence être
la protection la plus rigoureuse, cela ne supprime pas le besoin de protéger les comptes
et les groupes auxquels des privilèges supérieurs à ceux des comptes d’utilisateur
standard ont été accordés.
Un hôte d’administration sécurisé peut être une station de travail dédiée qui est utilisée
uniquement pour les tâches d’administration, un serveur membre qui exécute le rôle de
serveur de passerelle Bureau à distance et auquel les utilisateurs se connectent pour
effectuer l’administration des ordinateurs hôtes de destination, ou un serveur qui
exécute le rôle Hyper-V et fournit une machine virtuelle unique pour chaque utilisateur
informatique à utiliser pour leurs tâches administratives. Dans de nombreux
environnements, les combinaisons des trois approches peuvent être implémentées.
L’implémentation d’ordinateurs hôtes d’administration sécurisés requiert une

planification et une configuration cohérente avec la taille de votre organisation, les
pratiques administratives, l’appétit des risques et le budget. Les considérations et les
options d’implémentation d’ordinateurs d’administration sécurisés sont fournies ici pour
vous permettre de développer une stratégie administrative adaptée à votre
organisation.
Principes de création d’ordinateurs hôtes

d’administration sécurisés
Pour sécuriser efficacement les systèmes contre les attaques, vous devez garder
quelques principes généraux à l’esprit :
1. Vous ne devez jamais administrer un système approuvé (c’est-à-dire, un serveur

sécurisé comme un contrôleur de domaine) à partir d’un ordinateur hôte doté d’un
niveau de confiance moindre (autrement dit, une station de travail qui n’est pas
sécurisée au même niveau que les systèmes qu’il gère).
2. Vous ne devez pas compter sur un seul facteur d’authentification lors de

l’exécution d’activités privilégiées ; autrement dit, les combinaisons nom
d’utilisateur/mot de passe ne doivent pas être considérées comme des
authentifications acceptables, car seul un facteur unique (un élément que vous
connaissez) est représenté. Vous devez tenir compte de l’emplacement où les
informations d’identification sont générées et mises en cache ou stockées dans les
scénarios d’administration.
3. Bien que la plupart des attaques dans le paysage des menaces actuelles tirent parti
des logiciels malveillants et des attaques malveillantes, n’oubliez pas la sécurité
physique lors de la conception et de l’implémentation d’ordinateurs hôtes
d’administration sécurisés.
Configuration de compte
Même si votre organisation n’utilise pas de cartes à puce pour l’instant, vous devez
envisager de les implémenter pour les comptes privilégiés et les hôtes d’administration
sécurisés. Les hôtes d’administration doivent être configurés pour exiger l’ouverture de
session par carte à puce pour tous les comptes en modifiant le paramètre suivant dans
un objet de stratégie de groupe lié aux unités d’organisation contenant des hôtes
d’administration :
ordinateur \ stratégies Windows Paramètres \local-Options\Interactive logon :

nécessite une carte à puce
Ce paramètre nécessite que toutes les ouvertures de session interactives utilisent une
carte à puce, quelle que soit la configuration d’un compte individuel dans Active
Directory.
Vous devez également configurer des hôtes d’administration sécurisés pour autoriser
uniquement les ouvertures de session par les comptes autorisés, qui peuvent être
configurés dans :
ordinateur \ stratégies Windows Paramètres \local-Paramètres \local

locales\attribution des droits
Cela octroie des droits d’ouverture de session interactifs (et, le cas échéant, Services
Bureau à distance) uniquement aux utilisateurs autorisés de l’hôte d’administration
sécurisé.
Sécurité physique
Pour que les hôtes d’administration soient considérés comme dignes de confiance, ils
doivent être configurés et protégés au même niveau que les systèmes qu’ils gèrent. La
plupart des recommandations fournies dans sécurisation des contrôleurs de domaine
contre les attaques sont également applicables aux ordinateurs hôtes utilisés pour
administrer les contrôleurs de domaine et la base de données AD DS. L’une des
difficultés liées à l’implémentation de systèmes d’administration sécurisés dans la
plupart des environnements est que la sécurité physique peut être plus difficile à
implémenter, car ces ordinateurs se trouvent souvent dans des domaines qui ne sont
pas aussi sécurisés que des serveurs hébergés dans des centres de informations, tels
que les bureaux des utilisateurs administratifs.
La sécurité physique comprend le contrôle de l’accès physique aux hôtes

d’administration. Dans une petite organisation, cela peut signifier que vous conservez
une station de travail d’administration dédiée qui reste verrouillée dans un bureau ou un
tiroir de bureau lorsqu’elle n’est pas utilisée. Cela peut également signifier que lorsque
vous devez effectuer l’administration de Active Directory ou de vos contrôleurs de
domaine, vous vous connectez directement au contrôleur de domaine.
Dans les organisations de taille moyenne, vous pouvez envisager d’implémenter des
« serveurs de saut » d’administration sécurisée qui se trouvent dans un emplacement
sécurisé au sein d’un bureau et qui sont utilisés lorsque la gestion de Active Directory ou
de contrôleurs de domaine est requise. Vous pouvez également implémenter des postes
de travail d’administration qui sont verrouillés dans des emplacements sécurisés quand
ils ne sont pas utilisés, avec ou sans serveur de saut.
Dans les grandes organisations, vous pouvez déployer des serveurs de basculement
hébergés dans un centre de donnes qui fournissent un accès strictement contrôlé aux
Active Directory ; contrôleurs de domaine ; et les serveurs de fichiers, d’impression ou
d’applications. L’implémentation d’une architecture de serveur de sauts est plus
susceptible d’inclure une combinaison de stations de travail et de serveurs sécurisés
dans des environnements de grande taille.
Quelle que soit la taille de votre organisation et la conception de vos hôtes

d’administration, vous devez sécuriser les ordinateurs physiques contre tout accès ou
vol non autorisé, et utiliser Chiffrement de lecteur BitLocker pour chiffrer et protéger les
lecteurs sur les hôtes d’administration. En implémentant BitLocker sur les hôtes
d’administration, même si un ordinateur hôte est volé ou que ses disques sont
supprimés, vous pouvez vous assurer que les données sur le lecteur ne sont pas
accessibles aux utilisateurs non autorisés.
Versions et configuration du système d’exploitation

Tous les ordinateurs hôtes d’administration, qu’il s’agisse de serveurs ou de stations de
travail, doivent exécuter le système d’exploitation le plus récent utilisé dans votre
organisation pour les raisons décrites précédemment dans ce document. En exécutant
les systèmes d’exploitation actuels, votre personnel administratif tire parti de nouvelles
fonctionnalités de sécurité, d’une prise en charge complète des fournisseurs et de
fonctionnalités supplémentaires introduites dans le système d’exploitation. En outre,
lorsque vous évaluez un nouveau système d’exploitation, en le déployant d’abord sur les
hôtes d’administration, vous devez vous familiariser avec les nouvelles fonctionnalités,
les paramètres et les mécanismes de gestion qu’il offre, qui peut ensuite être exploité
pour planifier un déploiement plus étendu du système d’exploitation. Ensuite, les
utilisateurs les plus sophistiqués de votre organisation seront également les utilisateurs
qui sont familiarisés avec le nouveau système d’exploitation et le mieux adapté pour le
prendre en charge.
Assistant Configuration de la sécurité de Microsoft

Si vous implémentez des serveurs de saut dans le cadre de votre stratégie d’hôte
administratif, vous devez utiliser l’Assistant Configuration de la sécurité intégrée pour
configurer les paramètres du service, du Registre, de l’audit et du pare-feu afin de
réduire la surface d’attaque du serveur. Lorsque les paramètres de configuration de
l’Assistant Configuration de la sécurité ont été collectés et configurés, les paramètres
peuvent être convertis en un objet de stratégie de groupe qui est utilisé pour appliquer
une configuration de ligne de base cohérente sur tous les serveurs de basculement.
Vous pouvez modifier davantage l’objet de stratégie de groupe pour implémenter des
paramètres de sécurité spécifiques aux serveurs de saut, et vous pouvez combiner tous
les paramètres avec des paramètres de ligne de base supplémentaires extraits de
Microsoft Security Compliance Manager.
Microsoft Security Compliance Manager

Microsoft Security Compliance Manager est un outil disponible gratuitement qui intègre
les configurations de sécurité recommandées par Microsoft, en fonction de la version du
système d’exploitation et de la configuration du rôle, et qui les collecte dans un outil
unique et une interface utilisateur qui peut être utilisée pour créer et configurer des
paramètres de sécurité de base pour les contrôleurs de domaine. Les modèles Microsoft
Security Compliance Manager peuvent être combinés avec les paramètres de l’Assistant
Configuration de la sécurité pour produire des lignes de base de configuration
complètes pour les serveurs de saut qui sont déployés et appliqués par les objets de
stratégie de groupe déployés dans les unités d’organisation dans lesquelles les serveurs
de sauts se trouvent dans Active Directory.
７ Notes
À la rédaction de cet article, Microsoft Security Compliance Manager n’inclut pas de

paramètres spécifiques aux serveurs de sauts ou à d’autres hôtes d’administration
sécurisés, mais Security Compliance Manager (SCM) peut toujours être utilisé pour
créer des lignes de base initiales pour vos hôtes d’administration. Toutefois, pour
sécuriser correctement les ordinateurs hôtes, vous devez appliquer des paramètres
de sécurité supplémentaires adaptés aux stations de travail et serveurs hautement
sécurisés.
AppLocker
Les ordinateurs hôtes d’administration et les machines virtuelles doivent être configurés
avec des scripts, des outils et des applications par le biais d’AppLocker ou d’un logiciel
de restriction d’application tiers. Les applications ou utilitaires d’administration qui
n’adhèrent pas aux paramètres de sécurité doivent être mis à niveau ou remplacés par
des outils qui adhèrent à des pratiques de développement et d’administration
sécurisées. Lorsque des outils nouveaux ou supplémentaires sont nécessaires sur un
hôte d’administration, les applications et les utilitaires doivent être testés
minutieusement et, si les outils sont adaptés au déploiement sur les hôtes
d’administration, ils peuvent être ajoutés aux systèmes.
Restrictions RDP
Bien que la configuration spécifique varie en fonction de l’architecture de vos systèmes
d’administration, vous devez inclure des restrictions sur les comptes et les ordinateurs
qui peuvent être utilisés pour établir des connexions protocole RDP (Remote Desktop
Protocol) (RDP) aux systèmes gérés, tels que l’utilisation de serveurs de sauts de
passerelle Bureau à distance (passerelle Bureau à distance) pour contrôler l’accès aux
contrôleurs de domaine et autres systèmes gérés à partir des utilisateurs et
Vous devez autoriser les ouvertures de session interactives par les utilisateurs autorisés
et supprimer ou même bloquer d’autres types d’ouverture de session qui ne sont pas
nécessaires pour l’accès au serveur.
Gestion des correctifs et des configurations

les organisations plus petites peuvent s’appuyer sur des offres telles que Windows
Update ou Windows Server Update Services (WSUS) pour gérer le déploiement des
mises à jour sur les systèmes de Windows, tandis que les grandes entreprises peuvent
implémenter des logiciels de gestion des configurations et des correctifs d’entreprise
tels que Microsoft Endpoint Configuration Manager. Quels que soient les mécanismes
que vous utilisez pour déployer des mises à jour sur votre serveur général et votre
alimentation de station de travail, vous devez envisager des déploiements distincts pour
les systèmes hautement sécurisés, tels que les contrôleurs de domaine, les autorités de
certification et les hôtes d’administration. En séparant ces systèmes de l’infrastructure de
gestion générale, si votre logiciel de gestion ou vos comptes de service sont compromis,
la compromission ne peut pas être facilement étendue aux systèmes les plus sécurisés
de votre infrastructure.
Même si vous ne devez pas implémenter les processus de mise à jour manuelle pour les
systèmes sécurisés, vous devez configurer une infrastructure distincte pour la mise à
jour des systèmes sécurisés. Même dans les grandes organisations, cette infrastructure
peut généralement être implémentée via des serveurs WSUS dédiés et des objets de
stratégie de groupe pour les systèmes sécurisés.
Blocage de l’accès à Internet

Les hôtes d’administration ne doivent pas être autorisés à accéder à Internet, et ils ne
doivent pas être en mesure de parcourir l’intranet d’une organisation. Les navigateurs
Web et les applications similaires ne doivent pas être autorisés sur les hôtes
d’administration. Vous pouvez bloquer l’accès à Internet pour les ordinateurs hôtes
sécurisés à l’aide d’une combinaison de paramètres de pare-feu de périmètre, de
configuration WFAS et de configuration de proxy « trou noir » sur les hôtes sécurisés.
Vous pouvez également utiliser des allowslist d’application pour empêcher l’utilisation
des navigateurs Web sur les hôtes d’administration.
Virtualisation
Si possible, envisagez d’implémenter des ordinateurs virtuels en tant qu’ordinateurs
hôtes d’administration. À l’aide de la virtualisation, vous pouvez créer des systèmes
d’administration par utilisateur qui sont stockés et gérés de manière centralisée, et qui
peuvent être facilement arrêtés lorsqu’ils ne sont pas utilisés, garantissant ainsi que les
informations d’identification ne restent pas actives sur les systèmes d’administration.
Vous pouvez également exiger que les hôtes d’administration virtuelle soient réinitialisés
à un instantané initial après chaque utilisation, garantissant ainsi que les machines
virtuelles restent initiales. Vous trouverez plus d’informations sur les options de
virtualisation des ordinateurs hôtes d’administration dans la section suivante.
Exemples d’approches de l’implémentation

d’ordinateurs hôtes d’administration sécurisés
Quelle que soit la façon dont vous concevez et déployez votre infrastructure d’hôte
d’administration, vous devez garder à l’esprit les instructions fournies dans « principes
de création d’ordinateurs hôtes d’administration sécurisés » plus haut dans cette
rubrique. Chacune des approches décrites ici fournit des informations générales sur la
façon dont vous pouvez séparer les systèmes « d’administration » et de « productivité »
utilisés par votre service informatique. Les systèmes de productivité sont des ordinateurs
que les administrateurs informatiques utilisent pour vérifier l’adresse de messagerie,
naviguer sur Internet et utiliser un logiciel de productivité général, tel que Microsoft
Office. Les systèmes d’administration sont des ordinateurs qui sont renforcés et dédiés
pour l’administration quotidienne d’un environnement informatique.
La façon la plus simple d’implémenter des hôtes d’administration sécurisés consiste à

fournir à votre service informatique des stations de travail sécurisées à partir desquelles
ils peuvent effectuer des tâches d’administration. Dans une implémentation de station
de travail uniquement, chaque station de travail d’administration est utilisée pour lancer
des outils de gestion et des connexions RDP pour gérer des serveurs et d’autres
infrastructures. Les implémentations de station de travail uniquement peuvent être
efficaces dans les organisations de petite taille, bien que les infrastructures plus grandes
et plus complexes puissent bénéficier d’une conception distribuée pour les hôtes
administratifs dans lesquels des stations de travail et des serveurs d’administration
dédiés sont utilisés, comme décrit dans « implémentation de stations de travail
d’administration sécurisées et de serveurs de saut » plus loin dans cette rubrique.
Implémentation de stations de travail physiques

distinctes
L’une des méthodes permettant d’implémenter des hôtes d’administration consiste à
émettre chaque utilisateur informatique de deux stations de travail. Une station de
travail est utilisée avec un compte d’utilisateur « normal » pour effectuer des activités
telles que la vérification de l’e-mail et l’utilisation d’applications de productivité, tandis
que la deuxième station de travail est dédiée exclusivement aux fonctions
d’administration.
Pour la station de travail de productivité, le personnel informatique peut recevoir des

comptes d’utilisateur standard plutôt que d’utiliser des comptes privilégiés pour se
connecter à des ordinateurs non sécurisés. La station de travail d’administration doit
être configurée avec une configuration rigoureusement contrôlée et le personnel
informatique doit utiliser un autre compte pour se connecter à la station de travail
d’administration.
Si vous avez implémenté des cartes à puce, les stations de travail d’administration
doivent être configurées pour exiger des ouvertures de session par carte à puce, et le
personnel informatique doit disposer de comptes distincts pour l’utilisation
administrative, également configurés pour exiger des cartes à puce pour une ouverture
de session interactive. L’hôte d’administration doit être renforcé comme décrit
précédemment, et seuls les utilisateurs désignés doivent être autorisés à se connecter
localement à la station de travail d’administration.
Avantages
En implémentant des systèmes physiques distincts, vous pouvez vous assurer que
chaque ordinateur est correctement configuré pour son rôle et qu’il ne peut pas exposer
par inadvertance les systèmes d’administration à des risques.
Inconvénients
L’implémentation d’ordinateurs physiques distincts augmente les coûts matériels.
La connexion à un ordinateur physique à l’aide des informations d’identification

utilisées pour administrer des systèmes distants met en cache les informations
d’identification en mémoire.
Si les stations de travail d’administration ne sont pas stockées de manière
sécurisée, elles peuvent être vulnérables à une compromission via des mécanismes
tels que des enregistreurs de clés matérielles physiques ou d’autres attaques
physiques.
Implémentation d’une station de travail physique

sécurisée avec une station de travail de productivité
virtualisée
Dans cette approche, les utilisateurs disposent d’une station de travail d’administration
sécurisée à partir de laquelle ils peuvent exécuter des fonctions d’administration
quotidiennes, à l’aide de Outils d’administration de serveur distant (RSAT) ou de
connexions RDP aux serveurs au sein de leur domaine d’application. Quand les
utilisateurs doivent effectuer des tâches de productivité, ils peuvent se connecter via
RDP à une station de travail de productivité distante s’exécutant en tant que machine
virtuelle. Des informations d’identification distinctes doivent être utilisées pour chaque
station de travail, et les contrôles tels que les cartes à puce doivent être implémentés.
Avantages
Les stations de travail d’administration et les stations de travail de productivité
sont séparées.
Le personnel informatique qui utilise des postes de travail sécurisés pour se

connecter aux stations de travail de productivité peut utiliser des informations
d’identification et des cartes à puce distinctes, et les informations d’identification
privilégiées ne sont pas déposées sur l’ordinateur moins sécurisé.
Inconvénients
L’implémentation de la solution nécessite un travail de conception et
d’implémentation et des options de virtualisation robustes.
Si les stations de travail physiques ne sont pas stockées en toute sécurité, elles
peuvent être vulnérables aux attaques physiques qui compromettent le matériel ou
le système d’exploitation et les rendent vulnérables à l’interception des
communications.
Implémentation d’une station de travail sécurisée unique

avec des connexions pour séparer les machines virtuelles
« de productivité » et « d’administration »
Dans cette approche, vous pouvez émettre aux utilisateurs informatiques une seule
station de travail physique verrouillée comme décrit précédemment, et sur laquelle les
utilisateurs n’ont pas d’accès privilégié. Vous pouvez fournir des connexions Services
Bureau à distance aux machines virtuelles hébergées sur des serveurs dédiés, ce qui
permet au personnel informatique de disposer d’une machine virtuelle qui exécute la
messagerie électronique et d’autres applications de productivité, et d’une deuxième
machine virtuelle configurée comme hôte d’administration dédié de l’utilisateur.
Vous devez exiger une carte à puce ou une autre ouverture de session multifacteur pour
les machines virtuelles, à l’aide de comptes distincts autres que le compte utilisé pour se
connecter à l’ordinateur physique. Une fois qu’un utilisateur informatique se connecte à
un ordinateur physique, il peut utiliser sa carte à puce de productivité pour se connecter
à son ordinateur de productivité distant et un compte distinct et une carte à puce pour
se connecter à son ordinateur d’administration à distance.
Avantages
Les utilisateurs peuvent utiliser une seule station de travail physique.
En exigeant des comptes distincts pour les hôtes virtuels et en utilisant des
connexions Services Bureau à distance aux machines virtuelles, les informations
d’identification des utilisateurs ne sont pas mises en cache dans la mémoire de
l’ordinateur local.
L’hôte physique peut être sécurisé au même niveau que les hôtes d’administration,
ce qui réduit le risque de compromission de l’ordinateur local.
Dans les cas où la machine virtuelle de productivité de l’utilisateur informatique ou

sa machine virtuelle d’administration peut avoir été compromise, l’ordinateur
virtuel peut être facilement réinitialisé à un état « correct connu ».
Si l’ordinateur physique est compromis, aucune information d’identification

privilégiée n’est mise en cache en mémoire, et l’utilisation de cartes à puce peut
empêcher la compromission des informations d’identification par des enregistreurs
de frappe.
Inconvénients
L’implémentation de la solution nécessite un travail de conception et

d’implémentation et des options de virtualisation robustes.
Si les stations de travail physiques ne sont pas stockées en toute sécurité, elles
peuvent être vulnérables aux attaques physiques qui compromettent le matériel ou
le système d’exploitation et les rendent vulnérables à l’interception des
communications.
Implémentation de stations de travail d’administration

sécurisées et de serveurs de basculement
En guise d’alternative à la sécurisation des stations de travail d’administration, ou en
combinaison avec elles, vous pouvez implémenter des serveurs de saut sécurisés, et les
utilisateurs administratifs peuvent se connecter aux serveurs de sauts à l’aide du
protocole RDP et des cartes à puce pour effectuer des tâches d’administration.
Les serveurs de saut doivent être configurés pour exécuter le rôle de passerelle Bureau à
distance pour vous permettre d’implémenter des restrictions sur les connexions au
serveur de renvoi et aux serveurs de destination qui seront gérés à partir de ce dernier.
Si possible, vous devez également installer le rôle Hyper-V et créer des bureaux virtuels
personnels ou d’autres machines virtuelles par utilisateur pour que les utilisateurs
administratifs puissent les utiliser pour leurs tâches sur les serveurs de basculement.
En donnant aux utilisateurs administratifs des machines virtuelles par utilisateur sur le
serveur de renvoi, vous fournissez une sécurité physique pour les stations de travail
d’administration, et les utilisateurs administratifs peuvent réinitialiser ou arrêter leurs
ordinateurs virtuels lorsqu’ils ne sont pas utilisés. Si vous préférez ne pas installer le rôle
Hyper-V et le rôle de passerelle Bureau à distance sur le même hôte d’administration,
vous pouvez les installer sur des ordinateurs distincts.
Dans la mesure du possible, vous devez utiliser les outils d’administration à distance
pour gérer les serveurs. La fonctionnalité Outils d’administration de serveur distant
(RSAT) doit être installée sur les machines virtuelles des utilisateurs (ou sur le serveur de
renvoi si vous n’implémentez pas de machines virtuelles par utilisateur pour
l’administration) et que le personnel administratif doit se connecter via RDP à ses
machines virtuelles pour effectuer des tâches d’administration.
Dans les cas où un utilisateur administratif doit se connecter via RDP à un serveur de
destination pour le gérer directement, la passerelle des services Bureau à distance doit
être configurée pour autoriser la connexion à être établie uniquement si l’utilisateur et
l’ordinateur appropriés sont utilisés pour établir la connexion au serveur de destination.
L’exécution d’outils RSAT (ou des outils similaires) doit être interdite sur les systèmes qui
ne sont pas des systèmes de gestion désignés, tels que des stations de travail à usage
général et des serveurs membres qui ne sont pas des serveurs de saut.
Avantages
La création de serveurs de basculement vous permet de mapper des serveurs
spécifiques à des « zones » (ensembles de systèmes présentant des exigences de
configuration, de connexion et de sécurité similaires) sur votre réseau et d’exiger
que l’administration de chaque zone soit effectuée par le personnel administratif
qui se connecte à partir d’ordinateurs hôtes d’administration sécurisés à un serveur
« zone » désigné.
En mappant les serveurs de saut à des zones, vous pouvez implémenter des
contrôles granulaires pour les propriétés de connexion et les exigences de
configuration, et vous pouvez facilement identifier les tentatives de connexion à
partir de systèmes non autorisés.
En implémentant des machines virtuelles par administrateur sur des serveurs de

basculement, vous appliquez l’arrêt et la réinitialisation des ordinateurs virtuels à
un état propre connu lorsque les tâches d’administration sont terminées. En
appliquant l’arrêt (ou le redémarrage) des machines virtuelles lorsque les tâches
d’administration sont terminées, les ordinateurs virtuels ne peuvent pas être ciblés
par les attaquants et les attaques par vol d’informations d’identification ne sont
pas réalisables, car les informations d’identification mises en cache de la mémoire
ne sont pas conservées après un redémarrage.
Inconvénients
Des serveurs dédiés sont requis pour les serveurs de sauts, qu’ils soient physiques
ou virtuels.
L’implémentation de serveurs de sauts désignés et de stations de travail

d’administration nécessite une planification et une configuration soignées qui
mappent à toutes les zones de sécurité configurées dans l’environnement.
Sécurisation des contrôleurs de
domaine contre les attaques
Article • 10/04/2023
S'applique à : Windows Server 2019, Windows Server 2016, Windows Server 2012
R2, Windows Server 2012
Loi numéro 3 : Si une personne mal intentionnée dispose d’un accès physique illimité à
votre ordinateur, ce n’est plus votre ordinateur. - Dix lois immuables de la sécurité
(version 2.0).
Les contrôleurs de domaine fournissent le stockage physique pour la base de données

Active Directory Domain Services (AD DS), en plus de fournir les services et les données
qui permettent aux entreprises de gérer efficacement leurs serveurs, stations de travail,
utilisateurs et applications. Si un utilisateur malveillant obtient un accès privilégié à un
contrôleur de domaine, il peut modifier, endommager ou détruire la base de données
AD DS et, par extension, tous les systèmes et comptes gérés par Active Directory.
Comme les contrôleurs de domaine peuvent lire et écrire dans n’importe quel élément
de la base de données AD DS, la compromission d’un contrôleur de domaine signifie
que votre forêt Active Directory ne peut plus être considérée comme digne de
confiance, sauf si vous pouvez la récupérer à l’aide d’une sauvegarde correcte connue et
corriger les failles ayant permis la compromission.
En fonction de la préparation, des outils et des compétences de l’attaquant, des

dommages irréparables peuvent survenir en quelques minutes voire quelques heures, et
non en jours ou en semaines. L'important n'est pas de savoir pendant combien de
temps un attaquant dispose d'un accès privilégié à Active Directory, mais de savoir dans
quelle mesure l'attaquant a préparé le moment où il obtiendra un accès privilégié. La
compromission d'un contrôleur de domaine peut constituer le chemin le plus direct vers
la destruction des serveurs membres, des stations de travail et d'Active Directory. En
raison de cette menace, les contrôleurs de domaine doivent être sécurisés séparément
et de manière plus stricte que l'infrastructure générale.
Sécurité physique des contrôleurs de domaine

Cette section fournit des informations sur la sécurisation physique des contrôleurs de
domaine. Les contrôleurs de domaine peuvent être des machines physiques ou
virtuelles, dans des centres de données, des succursales ou des sites distants.
Contrôleurs de domaine du centre de données
Contrôleurs de domaine physiques

Dans les centres de données, les contrôleurs de domaine physiques doivent être
installés dans des racks ou cages sécurisés dédiés distincts de la population de serveur
générale. Si possible, les contrôleurs de domaine doivent être configurés avec des puces
de module de plateforme sécurisée (TPM) et tous les volumes des serveurs de
contrôleur de domaine doivent être protégés via le chiffrement de lecteur BitLocker.
BitLocker ajoute une petite surcharge de performances d’un chiffre en pourcentage,
mais protège l’annuaire contre la compromission même si les disques sont supprimés
du serveur. BitLocker peut également aider à protéger les systèmes contre les attaques
de type rootkits, car la modification des fichiers de démarrage entraîne le démarrage du
serveur en mode de récupération pour pouvoir charger les fichiers binaires d’origine. Si
un contrôleur de domaine est configuré pour utiliser un RAID logiciel, une interface SCSI
en série, un stockage SAN/NAS ou des volumes dynamiques, BitLocker ne peut pas être
implémenté. Par conséquent, vous devez utiliser autant que possible un stockage
attaché localement (avec ou sans RAID matériel) dans les contrôleurs de domaine.
Contrôleurs de domaine virtuels

Si vous implémentez des contrôleurs de domaine virtuels, vous devez vous assurer que
les contrôleurs de domaine s’exécutent également sur des hôtes physiques distincts
d’autres machines virtuelles dans l’environnement. Même si vous utilisez une plate-
forme de virtualisation tierce, vous pouvez déployer des contrôleurs de domaine virtuels
sur Hyper-V dans Windows Server, qui offre une surface d'attaque minimale et peut être
géré avec les contrôleurs de domaine qu'il héberge plutôt que d'être géré avec le reste
des hôtes de virtualisation. Si vous implémentez System Center Virtual Machine
Manager (SCVMM) pour la gestion de votre infrastructure de virtualisation, vous pouvez
déléguer l'administration des hôtes physiques sur lesquels résident les machines
virtuelles des contrôleurs de domaine et les contrôleurs de domaine eux-mêmes aux
administrateurs autorisés. Vous devriez également envisager de séparer le stockage des
contrôleurs de domaine virtuels pour empêcher les administrateurs du stockage
d'accéder aux fichiers des machines virtuelles.
７ Notes
Si vous comptez co-localiser des contrôleurs de domaine virtualisés avec d'autres

machines virtuelles moins sensibles sur les mêmes serveurs physiques de
virtualisation (hôtes), vous pouvez implémenter une solution qui implante une
séparation des tâches basée sur les rôles, par exemple des machines virtuelles
dotées d’une protection maximale dans Hyper-V. Cette technologie offre une
protection complète contre les administrateurs malveillants ou désorganisés (y
compris les administrateurs de virtualisation, de réseau, de stockage et de
sauvegarde). Elle s'appuie sur une racine de confiance physique avec une
attestation à distance et un approvisionnement sécurisé des machines virtuelles, et
assure un niveau de sécurité équivalent à celui d'un serveur physique dédié.
Succursales
Contrôleurs de domaine physiques dans les succursales

Dans les sites où résident plusieurs serveurs mais qui ne sont pas physiquement
sécurisés au même degré que les serveurs du centre de données, les contrôleurs de
domaine physique doivent être configurés avec des puces TPM et le chiffrement de
lecteur BitLocker pour tous les volumes de serveur. Si un contrôleur de domaine ne peut
pas être stocké dans une pièce verrouillée dans les succursales, vous devez déployer des
contrôleurs de domaine en lecture seule (RODC) dans ces sites.
Contrôleurs de domaine virtuels dans les succursales
Dans la mesure du possible, vous devez exécuter les contrôleurs de domaine virtuels
dans les succursales sur des hôtes physiques distincts des autres machines virtuelles du
site. Dans les succursales où les contrôleurs de domaine virtuels ne peuvent pas
fonctionner sur des hôtes physiques distincts du reste des serveurs virtuels, vous devez
implémenter des puces TPM et le chiffrement de lecteur BitLocker sur les hôtes sur
lesquels les contrôleurs de domaine virtuels fonctionnent au minimum, et sur tous les
hôtes si possible. En fonction de la taille de la succursale et de la sécurité des hôtes
physiques, vous devez déployer des RODC dans les succursales.
Sites distants avec espace et sécurité limités

Si votre infrastructure inclut des sites où seul un serveur physique unique peut être
installé, un serveur capable d'exécuter des charges de travail de virtualisation doit être
installé, et un chiffrement de lecteur BitLocker doit être configuré pour protéger tous les
volumes du serveur. Une machine virtuelle sur le serveur doit fonctionner comme un
RODC, les autres serveurs fonctionnant comme des machines virtuelles distinctes sur
l'hôte. Des informations sur la planification du déploiement des contrôleurs de domaine
sont fournies dans le Guide de planification et de déploiement des contrôleurs de
domaine en lecture seule. Pour plus d’informations sur le déploiement et la sécurisation
des contrôleurs de domaine virtualisés, consultez Exécution de contrôleurs de domaine
dans Hyper-V. Pour des conseils plus détaillés sur le renforcement de la sécurité Hyper-
V, la délégation de la gestion des machines virtuelles et la protection des machines
virtuelles, consultez le guide de sécurité Hyper-V Solution Accelerator sur le site Web de
Microsoft.
Systèmes d'exploitation de contrôleur de

domaine
Vous devez exécuter tous les contrôleurs de domaine sur la version la plus récente de
Windows Server prise en charge par votre organisation. Les organisations doivent
donner la priorité à la mise hors service des systèmes d'exploitation hérités dans les
contrôleurs de domaine. En maintenant les contrôleurs de domaine à jour et en
éliminant les contrôleurs de domaine hérités, vous pouvez profiter des nouvelles
fonctionnalités et de la sécurité. Cette fonctionnalité peut ne pas être disponible dans
les domaines ou les forêts avec des contrôleurs de domaine exécutant un système
d'exploitation hérité.
７ Notes
Comme pour toute configuration sensible à la sécurité et à usage unique, nous

vous recommandons de déployer le système d'exploitation dans l'option
d'installation Server Core. Elle offre de multiples avantages, tels que la réduction de
la surface d'attaque, l'amélioration des performances et la diminution de la
probabilité d'une erreur humaine. Il est recommandé que toutes les opérations et la
gestion soient effectuées à distance, à partir de points de terminaison dédiés et
hautement sécurisés tels que des stations de travail à accès privilégié (PAW) ou
des hôtes administratifs sécurisés.
Configuration sécurisée des contrôleurs de

domaine
Des outils peuvent être utilisés afin de créer une base de configuration de sécurité
initiale pour les contrôleurs de domaine, qui peut ensuite être appliquée par les GPO.
Ces outils sont décrits dans la section Administrer les paramètres de stratégie de
sécurité de la documentation sur les systèmes d’exploitation Microsoft.
Restrictions RDP
Les objets de stratégie de groupe liés à toutes les unités d’organisation des contrôleurs
de domaine dans une forêt doivent être configurés pour autoriser les connexions RDP
uniquement à partir d’utilisateurs et de systèmes autorisés, par exemple des serveurs de
rebond. Un contrôle peut être obtenu avec une combinaison de paramètres de droits
d’utilisateur et de configuration WFAS implémentée avec des GPO pour que la stratégie
soit appliquée de manière cohérente. Si la stratégie est contournée, l’actualisation
suivante de la stratégie de groupe rétablit le système avec la configuration appropriée.
Gestion des correctifs et de la configuration pour les

Même si ça semble contre-intuitif, vous devez appliquer les mises à jour corrective des
contrôleurs de domaine et des autres composants d’infrastructure critiques séparément
de votre infrastructure générale Windows. Si vous utilisez un logiciel de gestion de
configuration d’entreprise pour tous les ordinateurs de l’infrastructure, une
compromission du logiciel de gestion des systèmes risque de compromettre ou détruire
tous les composants d’infrastructure gérés par ce logiciel. En séparant la gestion des
patchs et des systèmes des contrôleurs de domaine de celle de la population générale,
vous réduisez la quantité de logiciels installés sur les contrôleurs de domaine et
contrôlez étroitement leur gestion.
Blocage de l’accès à Internet pour les contrôleurs de

domaine
L'un des contrôles effectués dans le cadre d'une évaluation de la sécurité d'Active
Directory porte sur l'utilisation et la configuration d'Internet Explorer sur les contrôleurs
de domaine. Aucun navigateur web ne doit être utilisé sur les contrôleurs de domaine.
Une analyse de milliers de contrôleurs de domaine a révélé de nombreux cas où des
utilisateurs privilégiés ont utilisé Internet Explorer pour naviguer sur l'intranet de
l'organisation ou sur Internet.
Comme décrit précédemment dans la section « Mauvaise configuration » du chapitre

Voies de compromis, la navigation sur Internet ou sur un intranet infecté à partir de l’un
des ordinateurs les plus puissants d’une infrastructure Windows à l’aide d’un compte
hautement privilégié présente un risque très élevé pour la sécurité d’une organisation.
Que ce soit par téléchargement sur un disque ou par téléchargement « d’utilitaires »
infectés par des programmes malveillants, les attaquants peuvent avoir accès à tout ce
dont ils ont besoin pour compromettre ou détruire complètement l'environnement
Active Directory.
Bien que Windows Server et les versions actuelles d'Internet Explorer offrent de
nombreuses protections contre les téléchargements malveillants, dans la plupart des cas
où des contrôleurs de domaine et des comptes privilégiés ont été utilisés pour naviguer
sur Internet, les contrôleurs de domaine fonctionnaient sous Windows Server 2003, ou
les protections offertes par les systèmes d'exploitation et les navigateurs plus récents
avaient été intentionnellement désactivées.
Le lancement de navigateurs Web sur des contrôleurs de domaine doit être limité par
des stratégies et des contrôles techniques. En outre, l'accès général à Internet depuis et
vers les contrôleurs de domaine doit également être strictement contrôlé.
Microsoft encourage toutes les organisations à adopter une approche de la gestion des
identités et des accès basée sur le cloud et à migrer d'Active Directory vers Azure Active
Directory (Azure AD). Azure AD est une solution complète de gestion des identités et
des accès dans le cloud, qui permet de gérer les annuaires, d'autoriser l'accès aux
applications locales et dans le cloud, et de protéger les identités contre les menaces de
sécurité. Azure AD offre également un ensemble robuste et granulaire de contrôles de
sécurité pour aider à protéger les identités, notamment l'authentification multifacteur,
les stratégies d'accès conditionnel, la protection des identités, la gouvernance des
identités et la gestion des identités privilégiées.
La plupart des entreprises fonctionneront dans un modèle d'identité hybride pendant

leur transition vers le cloud, où certains éléments de l’infrastructure Active Directory
locale seront synchronisés à l'aide d'Azure AD Connect. Bien que ce modèle hybride
existe dans n'importe quelle organisation, Microsoft recommande de protéger ces
identités locales à l'aide de Microsoft Defender pour le cloud. La configuration du
capteur Defender pour Identity sur les contrôleurs de domaine et les serveurs AD FS
permet une connexion unidirectionnelle hautement sécurisée au service dans le cloud
par le biais d'un proxy et sur des points de terminaison spécifiques. Une explication
complète sur la façon de configurer cette connexion proxy est disponible dans la
documentation technique de Defender pour Identity. Cette configuration étroitement
contrôlée permet d'atténuer le risque lié à la connexion de ces serveurs au service dans
le cloud, et les organisations bénéficient de l'augmentation des capacités de protection
offertes par Defender pour Identity. Microsoft recommande de protéger ces serveurs
par un système de détection des points de terminaison alimenté par le cloud, comme
Microsoft Defender pour Serveurs.
Pour les organisations qui ont des exigences réglementaires ou d'autres stratégies pour
maintenir une implémentation d'Active Directory uniquement locale, Microsoft
recommande de restreindre complètement l'accès à Internet depuis et vers les
Restrictions de pare-feu de périmètre

Les pare-feu de périmètre doivent être configurés pour bloquer les connexions
sortantes des contrôleurs de domaine vers Internet. Bien que les contrôleurs de
domaine ont parfois besoin de communiquer au-delà des limites du site, les pare-feu de
périmètre peuvent être configurés pour permettre la communication intersite en suivant
les directives fournies dans la section Comment configurer un pare-feu pour les
domaines et les approbations Active Directory .
Empêcher la navigation Web à partir de contrôleurs de

domaine
Vous pouvez utiliser une combinaison de configuration d'AppLocker, de configuration
de proxy « trou noir » et de configuration WFAS pour empêcher les contrôleurs de
domaine d'accéder à Internet et pour empêcher l'utilisation de navigateurs Web sur les
Surveillance des signes de
compromission d'Active Directory
Article • 14/04/2023

Loi numéro 5 : La vigilance éternelle est le prix de la sécurité. - 10 lois immuables de

l’administration de la sécurité
Un système de surveillance des journaux des événements solide est un élément

essentiel de toute conception Active Directory sécurisée. De nombreuses
compromissions de sécurité de l’ordinateur peuvent être découvertes au début de
l’événement si les cibles ont adopté une surveillance et une alerte appropriées du
journal des événements. Des rapports indépendants appuient depuis longtemps cette
conclusion. Par exemple, le Rapport sur les violations de données Verizon 2009
indique :
« L’inefficacité apparente de la surveillance des événements et de l’analyse des journaux

continue d’être une énigme. La possibilité de détection est là ; les enquêteurs ont noté
que 66 pour cent des victimes disposaient de suffisamment de preuves dans leurs
journaux d’activité pour découvrir la violation s’ils avaient été plus diligents dans
l’analyse de ces ressources.
Ce manque de surveillance des journaux d’événements actifs reste une faiblesse

constante dans les plans de défense de sécurité de nombreuses entreprises. Le Rapport
Verizon Data Breach de 2012 a révélé que même si 85 pour cent des violations ont
pris plusieurs semaines pour être remarquées, 84 pour cent des victimes avaient des
preuves de la violation dans leurs journaux d’événements.
Stratégie d’audit système

Vous trouverez ci-dessous des liens vers le blog du support d’entreprise officiel
Microsoft. Le contenu de ces blogs fournit des conseils et des recommandations sur
l’audit pour vous aider à améliorer la sécurité de votre infrastructure Active Directory et
constituent une ressource précieuse lors de la conception d’une stratégie d’audit.
Global Object Access Auditing is Magic : décrit un mécanisme de contrôle appelé

Configuration de stratégie d’audit avancée qui a été ajouté à Windows 7 et
Windows Server 2008 R2 qui vous permet de définir les types de données que
vous souhaitez auditer facilement sans avoir à jongler entre les scripts et
auditpol.exe.
Présentation des modifications d’audit dans Windows 2008 : présente les
modifications d’audit apportées dans Windows Server 2008.
Astuces d’audit intéressantes dans Vista et 2008 : explique les fonctionnalités
d’audit intéressantes de Windows Vista et Windows Server 2008 qui peuvent être
utilisées pour résoudre les problèmes ou voir ce qui se passe dans votre
environnement.
Guichet unique pour l’audit dans Windows Server 2008 et Windows Vista : contient
une compilation des fonctionnalités d’audit et des informations contenues dans
Windows Server 2008 et Windows Vista.
Les liens suivants fournissent des informations sur les améliorations apportées à l’audit
Windows dans Windows 8 et Windows Server 2012, ainsi que des informations sur
l’audit AD DS dans Windows Server 2008.
Nouveautés de l’audit de sécurité : fournit une vue d’ensemble des nouvelles

fonctionnalités d’audit de sécurité dans Windows 8 et Windows Server 2012.
Guide pas à pas de l’audit AD DS : décrit la nouvelle fonctionnalité d’audit des
services de domaine Active Directory (AD DS) dans Windows Server 2008. Fournit
également des procédures pour implémenter cette nouvelle fonctionnalité.
Catégories d’audit Windows

Avant Windows Vista et Windows Server 2008, Windows ne disposait que de neuf
catégories de stratégie d’audit du journal des événements :
Événements d’ouverture de session de compte

Gestion de compte
Accès au service d’annuaire
Événements de connexion
Accès aux objets
Modification de stratégie
Utilisation des privilèges
Suivi des processus
Événements système
Ces neuf catégories d’audit traditionnelles comprennent une stratégie d’audit. Chaque
catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et l’Échec.
Leurs descriptions sont incluses dans la section suivante.
Descriptions des catégories de stratégie d’audit
Les catégories de stratégie d’audit activent les types de messages de journal des
événements suivants.
Auditer les événements d’ouverture de session de compte
Auditer les événements d'ouverture de session de compte signale chaque instance d’un
principal de sécurité (par exemple, un compte d’utilisateur, d’ordinateur ou de service)
qui se connecte ou se déconnecte d’un ordinateur sur lequel un autre ordinateur est
utilisé pour valider le compte. Les événements d’ouverture de session de compte sont
générés lorsqu’un compte principal de sécurité de domaine est authentifié sur un
contrôleur de domaine. L’authentification d’un utilisateur local sur un ordinateur local
génère un événement d’ouverture de session enregistré dans le journal de sécurité local.
Aucun événement de déconnexion de compte n’est journalisé.
Cette catégorie génère beaucoup de « bruit », car Windows a constamment des

comptes connectés aux ordinateurs locaux et distants pendant le cours normal de
l’activité. Malgré cet inconvénient, chaque plan de sécurité doit inclure la réussite et
l’échec de cette catégorie d’audit.
Auditer la gestion des comptes
Ce paramètre d’audit détermine s’il faut suivre la gestion des utilisateurs et des groupes.
Par exemple, les utilisateurs et les groupes doivent être suivis lorsqu'un compte
d'utilisateur ou d'ordinateur, un groupe de sécurité ou un groupe de distribution est
créé, modifié ou supprimé. Les utilisateurs et les groupes doivent également être suivis
lorsqu'un compte d'utilisateur ou d'ordinateur est renommé, désactivé ou activé, et
lorsqu'un mot de passe d'utilisateur ou d'ordinateur est modifié. Un événement peut
être généré pour les utilisateurs ou les groupes qui sont ajoutés ou supprimés d’autres
groupes.
Auditer l’accès au service d’annuaire
Ce paramètre de stratégie détermine s’il faut auditer l’accès du principal de sécurité à un

objet Active Directory qui a sa propre liste de contrôle d’accès système (SACL) spécifiée.
En général, cette catégorie ne doit être activée que sur les contrôleurs de domaine. Ce
paramètre génère beaucoup de « bruit ».
Auditer les événements d’ouverture de session

Les événements d’ouverture de session sont générés lorsqu’un principal de sécurité
local est authentifié sur un ordinateur local. Les événements d’ouverture de session
enregistrent les ouvertures de session de domaine qui se produisent sur l’ordinateur
local. Les événements de déconnexion de compte ne sont pas générés. Lorsqu’ils sont
activés, les événements d’ouverture de session génèrent beaucoup de « bruit », mais
néanmoins cette stratégie doit être activée par défaut dans n’importe quel plan d’audit
de sécurité.
Auditer l’accès aux objets
L’accès à l’objet peut générer des événements lorsque des objets définis par la suite
avec l’audit activé sont accessibles (par exemple, Ouvert, Lu, Renommé, Supprimé ou
Fermé). Une fois la catégorie d’audit principale activée, l’administrateur doit définir
individuellement les objets pour lesquels l’audit sera activé. De nombreux objets
système Windows sont fournis avec l’audit activé. Par conséquent, l’activation de cette
catégorie commence généralement à générer des événements avant que
l’administrateur n’en ait défini.
Cette catégorie est très « bruyante » et génère cinq à dix événements pour chaque
accès à un objet. Il peut être difficile pour les administrateurs qui découvrent l’audit
d’objets d’obtenir des informations utiles. Ne l’activez que si nécessaire.
Modification de la stratégie d’audit
Ce paramètre de stratégie détermine s’il faut auditer chaque incidence d’une

modification des stratégies d’attribution des droits utilisateur, des stratégies de pare-feu
Windows, des stratégies d’approbation ou de la stratégie d’audit. Cette catégorie doit
être activée sur tous les ordinateurs. Elle génère très peu de « bruit ».
Auditer l’utilisation des privilèges
Il existe des dizaines de droits et d’autorisations d’utilisateur dans Windows (par

exemple, Ouverture de session en tant que traitement par lots et Agir en tant que partie
du système d’exploitation). Ce paramètre de stratégie détermine s’il faut auditer chaque
instance d’un principal de sécurité en exerçant un droit ou un privilège d’utilisateur.
L’activation de cette catégorie génère beaucoup de « bruit », mais elle peut être utile
pour suivre les comptes principaux de sécurité utilisant des privilèges élevés.
Auditer le suivi des processus

Ce paramètre de stratégie détermine s’il faut auditer les informations détaillées de suivi
des processus pour des événements comme l’activation de programmes, la sortie de
processus, la gestion de la duplication et l’accès indirect aux objets. Il est utile pour
suivre les utilisateurs malveillants et les programmes qu’ils utilisent.
L’activation du suivi des processus d’audit génère un grand nombre d’événements, de

sorte qu’elle est généralement définie sur Aucun audit. Toutefois, ce paramètre peut
fournir un grand avantage lors d’une réponse à un incident à partir du journal détaillé
des processus démarrés et de leur heure de lancement. Pour les contrôleurs de domaine
et autres serveurs d’infrastructure à rôle unique, cette catégorie peut être activée en
toute sécurité tout le temps. Les serveurs à rôle unique ne génèrent pas beaucoup de
trafic de suivi des processus pendant le cours normal de leurs tâches. Par conséquent, ils
peuvent être activés pour capturer des événements non autorisés s’ils se produisent.
Auditer les événements système
Les événements système sont presque une catégorie générique fourre-tout, qui
enregistre divers événements qui ont un impact sur l’ordinateur, sa sécurité système ou
le journal de sécurité. Cela comprend des événements pour les arrêts et redémarrages
d’ordinateurs, les pannes d’alimentation, les changements d’heure du système, les
initialisations de package d’authentification, les effacements des journaux d’audit, les
problèmes d’emprunt d’identité et une foule d’autres événements généraux. En général,
l’activation de cette catégorie d’audit génère beaucoup de « bruit », mais elle génère
suffisamment d’événements très utiles pour qu’il soit difficile de recommander de ne
pas l’activer.
Stratégies d’audit avancées

À partir de Windows Vista et Windows Server 2008, Microsoft a amélioré la façon dont
sont effectuées les sélections de catégories du journal des événements en créant des
sous-catégories sous chaque catégorie d’audit principale. Les sous-catégories
permettent à l’audit d’être beaucoup plus granulaire qu’il pourrait l’être en utilisant les
catégories principales. En utilisant des sous-catégories, vous pouvez activer uniquement
des parties d’une catégorie principale particulière et ignorer la génération d’événements
qui ne sont pas utiles. Chaque sous-catégorie d’audit peut être activée pour la réussite,
l’échec, ou la réussite et l’échec.
Pour répertorier toutes les sous-catégories d’audit disponibles, consultez le conteneur

Stratégie d’audit avancée dans un objet de stratégie de groupe, ou tapez la commande
suivante sur n’importe quel ordinateur exécutant Windows Server 2012, Windows
Server 2008 R2 ou Windows Server 2008, Windows 8, Windows 7 ou Windows Vista :
auditpol /list /subcategory:*
Pour obtenir la liste des sous-catégories d’audit actuellement configurées sur un

ordinateur exécutant Windows Server 2012, Windows Server 2008 R2 ou Windows 2008,
tapez la commande qui suit :
auditpol /get /category:*
La capture d’écran suivante montre un exemple avec auditpol.exe répertoriant la

stratégie d’audit actuelle.
７ Notes
La stratégie de groupe ne signale pas toujours avec précision l’état de toutes les
stratégies d’audit activées, contrairement à auditpol.exe. Pour plus d’informations,
consultez Obtention d’une stratégie d’audit efficace dans Windows 7 et 2008 R2.
Chaque catégorie principale a plusieurs sous-catégories. Vous trouverez ci-dessous une

liste de catégories, leurs sous-catégories et une description de leurs fonctions.
Audit des descriptions des sous-catégories

Les sous-catégories de stratégie d’audit activent les types de messages de journal des
événements suivants :
Connexion de compte
Validation des informations d'identification
Cette sous-catégorie rapporte les résultats des tests de validation sur les informations
de connexion soumises pour une demande de connexion d’un compte d'utilisateur. Ces
évènements se produisent sur un ordinateur faisant autorité pour les informations de
connexion. Pour les comptes de domaine, le contrôleur de domaine fait autorité ; pour
les comptes locaux, l’ordinateur local fait autorité.
Dans les environnements de domaine, la plupart des événements d’ouverture de session

sont consignés dans le journal de sécurité des contrôleurs de domaine faisant autorité
pour les comptes de domaine. Cependant, ces événements peuvent se produire sur
plusieurs ordinateurs de l’entreprise lorsque des comptes locaux sont utilisés.
Opérations de ticket de service Kerberos
Cette sous-catégorie signale les événements générés par les processus de demande de
ticket Kerberos sur le contrôleur de domaine faisant autorité pour le compte de
domaine.
Service d’authentification Kerberos
Cette sous-catégorie signale les événements générés par le service d’authentification

Kerberos. Ces évènements se produisent sur un ordinateur faisant autorité pour les
informations de connexion.
Autres événements d’ouverture de session
Cette sous-catégorie signale les événements qui se produisent en réponse aux

informations d’identification envoyées pour une demande d’ouverture de session de
compte d’utilisateur qui ne sont pas liées à la validation des informations d’identification
ou aux tickets Kerberos. Ces évènements se produisent sur un ordinateur faisant autorité
pour les informations de connexion. Pour les comptes de domaine, le contrôleur de
domaine fait autorité, alors que pour les comptes locaux, l’ordinateur local fait autorité.
Dans les environnements de domaine, la plupart des événements d’ouverture de session

sont consignés dans le journal de sécurité des contrôleurs de domaine faisant autorité
pour les comptes de domaine. Cependant, ces événements peuvent se produire sur
plusieurs ordinateurs de l’entreprise lorsque des comptes locaux sont utilisés. Les
exemples peuvent inclure les éléments suivants :
Déconnexions de session des services Bureau à distance
Nouvelles sessions des services Bureau à distance
Verrouillage et déverrouillage d’une station de travail
Appel d’un économiseur d’écran
Ignorer un économiseur d’écran
Détection d’une attaque par relecture Kerberos, dans laquelle une demande
Kerberos a été reçue deux fois avec des informations identiques
Accès à un réseau sans fil accordé à un compte d’utilisateur ou d’ordinateur
Accès à un réseau filaire 802.1x accordé à un compte d’utilisateur ou d’ordinateur
Gestion de compte
Gestion des comptes d’utilisateur
Cette sous-catégorie signale chaque événement de gestion des comptes d’utilisateur,

par exemple :
Compte d’utilisateur créé, modifié ou supprimé

Compte d’utilisateur renommé, désactivé ou activé
Mot de passe défini ou modifié
Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer

le suivi des événements pour détecter les comptes d’utilisateur malveillants, accidentels
et autorisés.
Gestion des comptes d’ordinateur
Cette sous-catégorie rapporte chaque événement de la gestion des comptes

informatiques, comme lorsqu’un compte informatique est créé, modifié, supprimé,
renommé, désactivé ou activé.
Gestion des groupes de sécurité
Cette sous-catégorie signale chaque événement de la gestion des groupes de sécurité,

par exemple lorsqu’un groupe de sécurité est créé, modifié ou supprimé ou lorsqu’un
membre est ajouté ou supprimé dans un groupe de sécurité. Si vous activez ce
paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des
événements pour détecter les comptes de groupe de sécurité malveillants, accidentels
et autorisés.
Gestion des groupes de distribution

Cette sous-catégorie signale chaque événement de la gestion des groupes de
distribution, par exemple lorsqu’un groupe de distribution est créé, modifié ou supprimé
ou lorsqu’un membre est ajouté ou retiré d’un groupe de distribution. Si vous activez ce
paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des
événements pour détecter les comptes de groupe malveillants, accidentels et autorisés.
Gestion des groupes d’applications
Cette sous-catégorie signale chaque événement de la gestion des groupes

d’applications sur un ordinateur, par exemple lorsqu’un groupe d’applications est créé,
modifié ou supprimé ou lorsqu’un membre est ajouté ou retiré d’un groupe
d’applications. Si vous activez ce paramètre de stratégie d’audit, les administrateurs
peuvent effectuer le suivi des événements pour détecter les comptes de groupe
d’applications malveillants, accidentels et autorisés.
Autres événements de gestion des comptes
Cette sous-catégorie signale d’autres événements de gestion des comptes.
Suivi détaillé des processus
La surveillance détaillée du suivi des processus inclut à la fois la création et l’arrêt des
processus.
Création de processus
Cette sous-catégorie signale la création d’un processus et le nom du programme ou de

l’utilisateur qui l’a créé.
Arrêt de processus
Cette sous-catégorie signale quand un processus s’arrête.
Activité DPAPI
Cette sous-catégorie signale le chiffrement ou le déchiffrement des appels dans

l’interface de programmation d’application de protection des données (DPAPI). DPAPI
est utilisé pour protéger les informations secrètes, comme le mot de passe stocké et les
informations de clé.
Événements RPC
Cette sous-catégorie signale les événements de connexion d’appel de procédure

distante (RPC).
Cette sous-catégorie signale lorsqu’un objet AD DS est accessible. Seuls les objets avec
des listes SACL configurées entraînent la génération d’événements d’audit, et
uniquement lorsqu’ils sont accessibles de manière à correspondre aux entrées SACL. Ces
événements sont similaires aux événements d’accès au service d’annuaire dans les
versions précédentes de Windows Server. Cette sous-catégorie s’applique uniquement
aux contrôleurs de domaine.
Modifications du service d’annuaire
Cette sous-catégorie signale les modifications apportées aux objets dans AD DS. Les
types de modifications signalés sont des opérations de création, de modification, de
déplacement et d’annulation de suppression effectuées sur un objet. L’audit des
modifications du service d’annuaire indique, le cas échéant, les anciennes et nouvelles
valeurs des propriétés modifiées des objets qui ont été modifiés. Seuls les objets avec
SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont
accessibles d’une manière qui correspond à leurs entrées SACL. Certains objets et
propriétés ne provoquent pas la génération d’événements d’audit en raison des
paramètres de la classe d’objet dans le schéma. Cette sous-catégorie s’applique
uniquement aux contrôleurs de domaine.
Réplication du service d’annuaire
Cette sous-catégorie signale quand la réplication entre deux contrôleurs de domaine

commence et se termine.
Réplication du service d’annuaire détaillé
Cette sous-catégorie fournit des informations détaillées sur les informations répliquées
entre les contrôleurs de domaine. Ces événements peuvent être très volumineux.
Ouverture/fermeture de session
Connexion
Cette sous-catégorie rapporte lorsqu’un utilisateur a tenté de se connecter au système.

Ces événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session
interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel
l’utilisateur est connecté. Si une session réseau se produit pour accéder à un partage,
ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous
configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer
l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise.
Serveur de stratégie réseau
Cette sous-catégorie signale les événements générés par les demandes d’accès
utilisateur RADIUS (IAS) et NAP (Network Access Protection). Ces demandes peuvent
être Accorder, Refuser, Ignorer, Mettre en quarantaine, Verrouiller et Déverrouiller.
L’audit de ce paramètre entraîne un volume moyen ou élevé d’enregistrements sur les
serveurs NPS et IAS.
Mode principal IPsec
Cette sous-catégorie signale les résultats du protocole IKE (Internet Key Exchange) et du
protocole Internet authentifié (AuthIP) pendant les négociations du mode principal.
Mode étendu IPsec
Cette sous-catégorie signale les résultats d’AuthIP pendant les négociations en mode
étendu.
Autres événements d’ouverture/fermeture de session
Cette sous-catégorie signale d’autres événements liés à l’ouverture/fermeture de

session, tels que la déconnexion et la reconnexion des Services Bureau à distance,
l’utilisation de la fonction RunAs pour exécuter des processus sous un compte différent
et le verrouillage et le déverrouillage d’une station de travail.
Fermer la session
Cette sous-catégorie rapporte lorsqu’un utilisateur se déconnecte du système. Ces

événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session
interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel
l’utilisateur est connecté. Si une session réseau se produit pour accéder à un partage,
ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous
configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer
l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise.
Verrouillage de compte
Cette sous-catégorie signale quand un compte d’utilisateur est verrouillé suite à un trop
grand nombre de tentatives de connexion ayant échoué.
Mode rapide IPsec
Cette sous-catégorie signale les résultats du protocole IKE et d’AuthIP pendant les
négociations en mode rapide.
Ouverture de session spéciale
Cette sous-catégorie signale qu’une ouverture de session spéciale est utilisée. Une
ouverture de session spéciale est une ouverture de session dotée de privilèges
équivalents à un administrateur et pouvant être utilisée pour élever un processus à un
niveau supérieur.
Auditer les modifications de stratégie
Cette sous-catégorie signale les modifications apportées à la stratégie d’audit, y compris

les modifications SACL.
Modification de la stratégie d’authentification
Cette sous-catégorie signale les modifications apportées à la stratégie

d’authentification.
Modification de la stratégie d’autorisation
Cette sous-catégorie signale les modifications apportées à la stratégie d’autorisation, y

compris les modifications des autorisations (DACL).
Modification de la stratégie de niveau règle MPSSVC

Cette sous-catégorie signale les modifications apportées aux règles de stratégie utilisées
par le service de protection Microsoft (MPSSVC.exe). Ce service est utilisé par le Pare-feu
Windows.
Modification de la stratégie de plateforme de filtrage
Cette sous-catégorie signale l’ajout et la suppression d’objets de WFP, y compris les

filtres de démarrage. Ces événements peuvent être très volumineux.
Autres événements de modification de stratégie
Cette sous-catégorie signale d’autres types de modifications de stratégie de sécurité,

comme la configuration du module de plateforme sécurisée (TPM) ou de fournisseurs
de chiffrement.

L’utilisation des privilèges couvre les privilèges sensibles et non sensibles.
Utilisation de privilèges sensibles
Cette sous-catégorie signale qu’un compte d’utilisateur ou un service utilise un privilège

sensible. Un privilège sensible comprend les droits d’utilisateur suivants :
Agir en tant que partie du système d'exploitation

Sauvegarder des fichiers et des répertoires
Créer un objet de jeton, des programmes de débogage
Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la
délégation
Générer des audits de sécurité, emprunter l’identité d’un client après
l’authentification
Charger et décharger les pilotes de périphériques
Gérer le journal d'audit et de sécurité
Modifier les valeurs de l’environnement du microprogramme
Remplacer un jeton au niveau du processus, restaurer des fichiers et des
répertoires
Prendre la propriété de fichiers ou d’objets.
L’audit de cette sous-catégorie crée un volume élevé d’événements.
Utilisation de privilèges non sensibles

Cette sous-catégorie signale qu’un compte d’utilisateur ou un service utilise un privilège
non sensible. Un privilège sensible comprend les droits d’utilisateur suivants :
Accéder au gestionnaire d’informations d’identification en tant qu’appelant

approuvé
Ajouter des stations de travail au domaine
Ajuster les quotas de mémoire pour un processus
Contourner la vérification de parcours
Modifier l’heure système
Créer un fichier d’échange
Créer des objets globaux
Créer des objets partagés permanents
Créer des liens symboliques
Refuser l’accès à cet ordinateur à partir du réseau
Forcer l’arrêt à partir d’un système distant
Augmenter une plage de travail de processus
Augmenter la priorité de planification
Verrouillage des pages en mémoire
Ouvrir une session en tant que tâche
Ouvrir une session en tant que service
Modifier un nom d’objet
Effectuer les tâches de maintenance de volume
Processus unique du profil
Performance système du profil
Retirer l’ordinateur de la station d’accueil
Arrêter le système
Synchroniser les données du service de répertoire.
L’audit de cette sous-catégorie crée un volume très élevé d’événements.
Autres événements d’utilisation de privilèges
Ce paramètre de stratégie de sécurité n’est actuellement pas utilisé.

Accès aux objets
La catégorie Accès à l’objet inclut les sous-catégories Système de fichiers et Registre.
Système de fichiers
Cette sous-catégorie indique quand des objets de système de fichiers sont consultés.
Seuls les objets de système de fichiers avec SACL provoquent la génération
d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui
correspond à leurs entrées SACL. En soi, ce paramètre de stratégie n’entraîne pas l’audit
d’événements. Il détermine s’il faut auditer l’événement d’un utilisateur qui accède à un
objet de système de fichiers qui a une liste de contrôle d’accès système (SACL) spécifiée,
ce qui permet de fait à l’audit d’avoir lieu.
Si le paramètre d’accès à l’objet d’audit est configuré sur Réussite, une entrée d’audit
est générée chaque fois qu’un utilisateur accède avec succès à un objet avec une liste
SACL spécifiée. Si ce paramètre de stratégie est configuré sur Échec, une entrée d’audit
est générée chaque fois qu’un utilisateur échoue dans une tentative d’accès à un objet
avec une liste SACL spécifiée.
Registre
Cette sous-catégorie indique quand les objets du Registre sont consultés. Seuls les
objets du Registre avec SACL provoquent la génération d’événements d’audit et
uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leurs entrées
SACL. En soi, ce paramètre de stratégie n’entraîne pas l’audit d’événements.
Objet de noyau
Cette sous-catégorie signale quand des objets de noyau comme des processus et des
mutex sont accessibles. Seuls les objets du noyau avec SACL provoquent la génération
d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui
correspond à leurs entrées SACL. En règle générale, les objets du noyau sont donnés
uniquement si les options d’audit AuditBaseObjects ou AuditBaseDirectories sont
activées.
SAM
Cette sous-catégorie signale quand des objets de base de données avec authentification
SAM (Security Accounts Manager) locaux sont accessibles.
Services de certification
Cette sous-catégorie signale quand des opérations des services de certification sont
effectuées.
Application générée
Cette sous-catégorie signale les cas où des applications tentent de générer des
événements d’audit à l’aide des interfaces de programmation d’applications d’audit
(API) Windows.
Manipulation de handle
Cette sous-catégorie signale lorsqu’un handle d’un objet est ouvert ou fermé. Seuls les
objets avec SACL provoquent la génération de ces événements, et uniquement si
l’opération de handle tentée correspond aux entrées SACL. Les événements
Manipulation de handle sont générés uniquement pour les types d’objets pour lesquels
la sous-catégorie d’accès à l’objet correspondante est activée (par exemple, système de
fichiers ou registre).
Partage de fichiers
Cette sous-catégorie signale l’accès à un partage de fichiers. En soi, ce paramètre de

stratégie n’entraîne pas l’audit d’événements. Il détermine s’il faut auditer l’événement
d’un utilisateur qui accède à un objet de partage de fichiers qui a une liste de contrôle
d’accès système (SACL) spécifiée, ce qui permet de fait à l’audit d’avoir lieu.
Rejet de paquet par la plateforme de filtrage
Cette sous-catégorie signale quand des paquets sont supprimés par la plateforme de
filtrage Windows (PAM). Ces événements peuvent être très volumineux.
Connexion de la plateforme de filtrage
Cette sous-catégorie signale quand des connexions sont autorisées ou bloquées par le
PAM. Ces événements peuvent être nombreux.
Autres événements d’accès à l’objet
Cette sous-catégorie signale d’autres événements liés à l’accès aux objets tels que les
travaux de planificateur de tâches et les objets COM+.
Système
Modification de l’état de la sécurité
Cette sous-catégorie signale les modifications de l’état de sécurité du système, par

exemple lorsque le sous-système de sécurité démarre et s’arrête.
Extension du système de sécurité
Cette sous-catégorie signale le chargement du code d’extension, par exemple les

packages d’authentification, par le sous-système de sécurité.
Intégrité du système
Cette sous-catégorie signale des violations de l’intégrité du sous-système de sécurité.
Pilote IPSec
Cette sous-catégorie signale les activités du pilote IPsec (sécurité du protocole Internet).
Autres événements système
Cette sous-catégorie signale d’autres événements système.
Pour plus d’informations sur les descriptions des sous-catégories, consultez l’outil
Microsoft Security Compliance Manager.
Chaque organisation doit passer en revue les catégories et sous-catégories couvertes

précédentes et activer celles qui correspondent le mieux à son environnement. Les
modifications apportées à la stratégie d’audit doivent toujours être testées avant le
déploiement dans un environnement de production.
Configuration de la stratégie d’audit Windows

La stratégie d’audit Windows peut être définie à l’aide de stratégies de groupe, avec
auditpol.exe, des API ou des modifications du Registre. Les méthodes recommandées
pour configurer la stratégie d’audit pour la plupart des entreprises sont d’utiliser une
stratégie de groupe ou auditpol.exe. La définition de la stratégie d’audit d’un système
nécessite des autorisations de compte au niveau de l’administrateur ou les autorisations
déléguées appropriées.
７ Notes
Le privilège Gérer le journal d’audit et de sécurité doit être accordé aux principaux
de sécurité (les administrateurs l’ont par défaut) pour permettre la modification des
options d’audit d’accès aux objets de ressources individuelles, comme les fichiers,
les objets Active Directory et les clés de Registre.
Définition d’une stratégie d’audit Windows à l’aide d’une

Pour définir une stratégie d’audit à l’aide de stratégies de groupe, configurez les
catégories d’audit appropriées situées sous Computer Configuration\Windows
Settings\Security Settings\Local Policies\Audit Policy (voir la capture d’écran suivante
pour obtenir un exemple de l’éditeur de stratégie de groupe local (gpedit.msc)). Chaque
catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et l’Échec.
Une stratégie d’audit avancée peut être définie à l’aide d’Active Directory ou de
stratégies de groupe locales. Pour définir la stratégie d’audit avancée, configurez les
sous-catégories appropriées situées sous Computer Configuration\Windows
Settings\Security Settings\Advanced Audit Policy (voir la capture d’écran suivante pour
obtenir un exemple de l’éditeur de stratégie de groupe local (gpedit.msc)). Chaque
sous-catégorie d’audit peut être activée pour la Réussite, l’Échec, ou la Réussite et
l’Échec.
Définition d’une stratégie d’audit Windows à l’aide
d’Auditpol.exe
Auditpol.exe (pour définir la stratégie d’audit Windows) a été introduit dans Windows
Server 2008 et Windows Vista. Au départ, seul auditpol.exe pouvait être utilisé pour
définir la stratégie d’audit avancée, mais une stratégie de groupe peut être utilisée dans
Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008, Windows 8 et
Windows 7.
Auditpol.exe est un utilitaire de ligne de commande. La syntaxe est la suivante :
auditpol /set /<Category|Subcategory>:<audit category> /<success|failure:>
/<enable|disable>
Exemples de syntaxe pour Auditpol.exe :
auditpol /set /subcategory:"user account management" /success:enable

/failure:enable
auditpol /set /subcategory:"logon" /success:enable /failure:enable
auditpol /set /subcategory:"IPSEC Main Mode" /failure:enable
７ Notes
Auditpol.exe définit la stratégie d’audit avancée localement. Si la stratégie locale est
en conflit avec Active Directory ou la stratégie de groupe locale, les paramètres de
stratégie de groupe l’emportent généralement sur les paramètres d’auditpol.exe.
Lorsqu’il existe des conflits de stratégie de groupe ou de stratégie locale, une seule
stratégie prévaut (c’est-à-dire que l’une remplace l’autre). Les stratégies d’audit ne
fusionnent pas.
Scripts Auditpol
Microsoft fournit un exemple de script pour les administrateurs qui souhaitent définir
une stratégie d’audit avancée à l’aide d’un script au lieu de taper manuellement dans
chaque commande auditpol.exe.
Remarque La stratégie de groupe ne signale pas toujours avec précision l’état de toutes
les stratégies d’audit activées, contrairement à auditpol.exe. Pour plus d’informations,
consultez Obtention d’une stratégie d’audit efficace dans Windows 7 et
Windows 2008 R2.
Autres commandes Auditpol
Auditpol.exe peut être utilisé pour enregistrer et restaurer une stratégie d’audit locale,
ainsi que pour afficher d’autres commandes liées à l’audit. Voici les autres commandes
auditpol.
auditpol /clear - Utilisé pour effacer et réinitialiser les stratégies d’audit locales
auditpol /backup /file:<filename> - Utilisé pour sauvegarder une stratégie d’audit
locale actuelle dans un fichier binaire
auditpol /restore /file:<filename> - Utilisé pour importer un fichier de stratégie
d’audit précédemment enregistré dans une stratégie d’audit locale
auditpol /<get/set> /option:<CrashOnAuditFail> /<enable/disable> - Si ce paramètre
de stratégie d’audit est activé, le système s’arrête immédiatement (avec le message

STOP : C0000244 {Audit Failed}) si un audit de sécurité ne peut pas être journalisé pour
une raison quelconque. En règle générale, un événement ne peut pas être journalisé
lorsque le journal d’audit de sécurité est plein et que la méthode de rétention spécifiée
pour le journal de sécurité est Ne pas remplacer les événements ou Remplacer les
événements par jours. En règle générale cette politique n’est activée que pour les
environnements qui ont besoin d’une assurance plus élevée que le journal de sécurité
consigne bien les événements. Si cette option est activée, les administrateurs doivent
surveiller étroitement la taille des journaux de sécurité et faire pivoter les journaux en
fonction des besoins. Vous pouvez également définir cela avec une stratégie de groupe
en modifiant l’option de sécurité Audit : arrêter immédiatement le système s’il n’est
pas possible de se connecter aux audits de sécurité (par défaut==désactivé).
auditpol /<get/set> /option:<AuditBaseObjects> /<enable/disable> - Ce paramètre de
stratégie d’audit détermine s’il faut auditer l’accès aux objets système globaux. Si cette
stratégie est activée, les objets système, comme les mutex, les événements, les
sémaphores et les appareils DOS, sont créés avec une liste de contrôle d’accès système
(SACL) par défaut. La plupart des administrateurs considèrent que l’audit des objets
système globaux est trop « bruyant », et ne l’activent qu’en cas de suspicion de piratage
malveillant. Seuls les objets nommés reçoivent une liste SACL. Si la stratégie d’audit de
l’accès à l’objet d’audit (ou la sous-catégorie d’audit de l’objet noyau) est également
activée, l’accès à ces objets système est audité. Lors de la configuration de ce paramètre
de sécurité, les modifications ne prennent pas effet tant que vous n’avez pas redémarré
Windows. Cette stratégie peut également être définie avec une stratégie de groupe en
modifiant l’option de sécurité Auditer l’accès des objets système globaux (par
défaut=désactivé).
auditpol /<get/set> /option:<AuditBaseDirectories> /<enable/disable> - Ce
paramètre de stratégie d’audit spécifie que les objets de noyau nommés (comme les
mutex et les sémaphores) doivent recevoir des SACL lors de leur création.
AuditBaseDirectories affecte les objets conteneur tandis que AuditBaseObjects affecte
les objets qui ne peuvent pas contenir d’autres objets.
auditpol /<get/set> /option:<FullPrivilegeAuditing> /<enable/disable> - Ce
paramètre de stratégie d'audit spécifie si le client génère un événement lorsqu'un ou

plusieurs des privilèges suivants sont attribués à un jeton de sécurité utilisateur :
AssignPrimaryTokenPrivilege
AuditPrivilege
BackupPrivilege
CreateTokenPrivilege
DebugPrivilege
EnableDelegationPrivilege
ImpersonatePrivilege
LoadDriverPrivilege
RestorePrivilege
SecurityPrivilege
SystemEnvironmentPrivilege
TakeOwnershipPrivilege
TcbPrivilege.
Si cette option n’est pas activée (par défaut=désactivé), les privilèges BackupPrivilege et
RestorePrivilege ne sont pas enregistrés. L’activation de cette option peut rendre le
journal de sécurité extrêmement bruyant (parfois des centaines d’événements par
seconde) pendant une opération de sauvegarde. Cette stratégie peut également être
définie avec une stratégie de groupe en modifiant l’option de sécurité Audit : auditer
l’utilisation des privilèges de sauvegarde et de restauration.
７ Notes
Certaines informations fournies ici proviennent du Type d’option d’audit Microsoft

et de l’outil Microsoft SCM.
Application de l’audit traditionnel ou de l’audit

avancé
Dans Windows Server 2012, Windows Server 2008 R2, Windows Server 2008,
Windows 8, Windows 7 et Windows Vista, les administrateurs peuvent choisir d’activer
les neuf catégories traditionnelles ou d’utiliser les sous-catégories. Il s’agit d’un choix
binaire qui doit être fait dans chaque système Windows. Les catégories principales ou
les sous-catégories peuvent être activées, mais pas les deux.
Pour empêcher la stratégie de catégorie traditionnelle héritée de remplacer les sous-

catégories de stratégie d’audit, vous devez activer le paramètre de stratégie Forcer les
paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version
ultérieure) à remplacer le paramètre de stratégie de catégorie de stratégie d’audit
situé sous Computer Configuration\Windows Settings\Security Settings\Local
Policies\Security Options.
Nous vous recommandons d’activer et de configurer les sous-catégories plutôt que les
neuf catégories principales. Cela nécessite qu’un paramètre de stratégie de groupe soit
activé (pour permettre aux sous-catégories de remplacer les catégories d’audit) ainsi
que de configurer différentes sous-catégories qui prennent en charge les stratégies
d’audit.
Les sous-catégories d’audit peuvent être configurées à l’aide de plusieurs méthodes,

notamment une stratégie de groupe et le programme de ligne de commande
auditpol.exe.
Étapes suivantes
Audit et conformité dans Windows Server 2008
Comment utiliser une stratégie de groupe pour configurer des paramètres d’audit
de sécurité détaillés pour les ordinateurs Windows Vista et Windows Server 2008
dans un domaine Windows Server 2008, Windows Server 2003 ou Windows 2000
Guide pas à pas de la stratégie d’audit de sécurité avancée

Recommandations de stratégie d'audit
Windows Server 2012 R2, Windows Server 2012, Windows 10, Windows 8.1,
Windows 7
Cette section traite des Windows paramètres de stratégie d’audit par défaut, des
paramètres de stratégie d’audit recommandés de référence et des recommandations
plus agressives de Microsoft pour les produits de station de travail et de serveur.
Les recommandations de la base de référence SCM présentées ici, ainsi que les
paramètres que nous recommandons pour aider à détecter la compromission, sont
destinées uniquement à être un guide de base de départ pour les administrateurs.
Chaque organisation doit prendre ses propres décisions en ce qui concerne les menaces
auxquelles elles sont confrontées, leurs tolérances de risque acceptables et les
catégories de stratégies d’audit ou sous-catégories qu’elles doivent activer. Pour plus
d’informations sur les menaces, reportez-vous au Guide des menaces et des contre-
mesures. Les administrateurs sans stratégie d’audit réfléchie en place sont encouragés à
commencer par les paramètres recommandés ici, puis à modifier et tester avant
d’implémenter dans leur environnement de production.
Les recommandations concernent les ordinateurs de classe entreprise, que Microsoft

définit comme des ordinateurs qui ont des exigences de sécurité moyennes et
nécessitent un niveau élevé de fonctionnalités opérationnelles. Les entités nécessitant
des exigences de sécurité plus élevées doivent prendre en compte des stratégies d’audit
plus agressives.
７ Notes
Microsoft Windows les recommandations par défaut et de référence ont été prises
à partir de l’outil Microsoft Security Compliance Manager.
Les paramètres de stratégie d’audit de base suivants sont recommandés pour les
ordinateurs de sécurité normaux qui ne sont pas connus pour être sous attaque active
et réussie par des adversaires déterminés ou des programmes malveillants.
Stratégies d’audit recommandées par le

système d’exploitation
Cette section contient des tableaux qui répertorient les recommandations relatives aux
paramètres d’audit qui s’appliquent aux systèmes d’exploitation suivants :
Windows Server 2016
Windows Server 2012
Windows Server 2008
Windows 10
Windows 8.1
Windows 7
Ces tableaux contiennent le paramètre Windows par défaut, les recommandations de

base et les recommandations plus fortes pour ces systèmes d’exploitation.
Légende des tables de stratégie d’audit
Notation Recommandation
YES Activer dans les scénarios généraux
Non Ne pas activer dans les scénarios généraux
IF Activer si nécessaire pour un scénario spécifique, ou si un rôle ou une fonctionnalité

pour lequel l’audit est souhaité est installé sur l’ordinateur
DC Activer sur les contrôleurs de domaine
[Vide] Aucune recommandation
Windows 10, Windows 8 et Windows 7 Paramètres Recommandations
Stratégie d’audit
Catégorie de stratégie d’audit valeur par Recommandation Recommandation

ou sous-catégorie défaut Windows de référence plus forte
Success \ | Success \ | Success \ |
Failure Failure Failure
Connexion de compte
Auditer la validation des No \ | No Yes \ | No Yes \ | Yes

informations d’identification
Auditer le service Yes \ | Yes

d’authentification Kerberos
Auditer les opérations de ticket Yes \ | Yes

de service Kerberos
Auditer d’autres événements Yes \ | Yes

d’ouverture de session

Gestion de compte
Auditer la gestion des groupes

d’applications
Auditer la gestion des comptes Yes \| No Yes \| Yes

d’ordinateur

de distribution
Auditer d’autres événements de Yes \| No Yes \| Yes

gestion des comptes
Auditer la gestion des groupes Yes \| No Yes \| Yes

de sécurité
Auditer la gestion des comptes Yes \| No Yes \| No Yes \| Yes

d’utilisateurs

Suivi détaillé
Auditer l’activité DPAPI Yes \| Yes
Auditer la création du processus Yes \| No Yes \| Yes
Auditer la fin du processus
Auditer les événements RPC

Accès DS
Auditer la réplication du service

d’annuaire détaillé
Auditer l’accès au service

d’annuaire
Auditer les modifications du

service d’annuaire

d’annuaire
Catégorie de stratégie d’audit ou valeur par Recommandation Recommandation

sous-catégorie défaut de référence plus forte
Windows Success \ | Success \ |
Success \ | Failure Failure
Failure
Ouverture de session et
déconnexion
Auditer le verrouillage du compte Yes \| No Yes \| No
Auditer les revendications

utilisateur/de périphérique
Auditer le mode étendu IPsec
Auditer le mode principal IPsec IF \| IF
Auditer le mode rapide IPsec
Auditer la fermeture de session Yes \| No Yes \| No Yes \| No
Auditer l’ouverture de session 1 Yes \| Yes Yes \| Yes Yes \| Yes
Auditer le serveur NPS (Network Yes \| Yes

Policy Server)
Auditer d’autres événements

d’ouverture/fermeture de session
Auditer l’ouverture de session Yes \| No Yes \| No Yes \| Yes

spéciale
Accès aux objets
Auditer l’application générée
Auditer les services de

certification
Auditer le partage de fichiers

détaillé
Auditer le système de fichiers
Auditer la connexion de la
plateforme de filtrage
Auditer le rejet de paquet par la

Auditer la manipulation de
handle
Auditer l’objet de noyau

d’accès à l’objet
Auditer le Registre
Auditer le stockage amovible
Auditer SAM
Auditer la stratégie d’accès

centralisée intermédiaire

Failure
Failure
Auditer la modification de la Yes \| No Yes \| Yes Yes \| Yes

stratégie d’audit
Auditer la modification de la Yes \| No Yes \| No Yes \| Yes

stratégie d’authentification
Auditer la modification de la
stratégie d’autorisation
stratégie de plateforme de filtrage
Auditer la modification de la Yes

stratégie de niveau règle MPSSVC
Auditer d’autres événements de

modification de stratégie

Auditer l’utilisation de privilèges

non sensibles

d’utilisation de privilèges

sensibles

Système
Auditer le pilote IPSEC Yes \| Yes Yes \| Yes

Auditer d’autres événements Yes \| Yes

système
Auditer la modification de l’état Yes \| No Yes \| Yes Yes \| Yes

de la sécurité
Auditer l’extension du système Yes \| Yes Yes \| Yes

de sécurité
Auditer l’intégrité du système Yes \| Yes Yes \| Yes Yes \| Yes

Audit global de l’accès aux

objets
Auditer le pilote IPSEC

système
Auditer la modification de l’état

de la sécurité
Auditer l’extension du système

de sécurité
Auditer l’intégrité du système
1 À compter de Windows 10 version 1809, l’ouverture de session d’audit est activée par
défaut pour la réussite et l’échec. Dans les versions précédentes de Windows, seule la
réussite est activée par défaut.
Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows
Server 2008 R2 et Windows Server 2008 Audit Paramètres Recommandations

Connexion de compte
Auditer la validation des No \| No Yes \| Yes Yes \| Yes

informations d’identification
Auditer le service Yes \| Yes

d’authentification Kerberos
Auditer les opérations de ticket Yes \| Yes

de service Kerberos

d’ouverture de session

Gestion de compte

d’applications
Auditer la gestion des comptes Yes \| DC Yes \| Yes

d’ordinateur

de distribution
Auditer d’autres événements de Yes \| Yes Yes \| Yes

gestion des comptes
Auditer la gestion des groupes Yes \| Yes Yes \| Yes

de sécurité
Auditer la gestion des comptes Yes \| No Yes \| Yes Yes \| Yes

d’utilisateurs

Suivi détaillé
Auditer l’activité DPAPI Yes \| Yes
Auditer la création du processus Yes \| No Yes \| Yes
Auditer la fin du processus
Auditer les événements RPC

Accès DS

d’annuaire détaillé
Auditer l’accès au service DC \| DC DC \| DC

d’annuaire
Auditer les modifications du DC \| DC DC \| DC

service d’annuaire

d’annuaire

Failure
Ouverture de session et
déconnexion
Auditer le verrouillage du compte Yes \| No Yes \| No
Auditer les revendications

utilisateur/de périphérique
Auditer le mode étendu IPsec
Auditer le mode principal IPsec IF \| IF

Failure
Auditer le mode rapide IPsec
Auditer la fermeture de session Yes \| No Yes \| No Yes \| No
Auditer l’ouverture de session Yes \| Yes Yes \| Yes Yes \| Yes
Auditer le serveur NPS (Network Yes \| Yes

Policy Server)

d’ouverture/fermeture de session
Auditer l’ouverture de session Yes \| No Yes \| No Yes \| Yes

spéciale

Accès aux objets
Auditer l’application générée
Auditer les services de

certification

détaillé
Auditer le système de fichiers
Auditer la connexion de la
Auditer le rejet de paquet par la

Auditer la manipulation de
handle
Auditer l’objet de noyau


d’accès à l’objet
Auditer le Registre
Auditer le stockage amovible
Auditer SAM
Auditer la stratégie d’accès

centralisée intermédiaire

Failure
Auditer la modification de la Yes \| No Yes \| Yes Yes \| Yes

stratégie d’audit
Auditer la modification de la Yes \| No Yes \| No Yes \| Yes

stratégie d’authentification
stratégie d’autorisation
stratégie de plateforme de filtrage
Auditer la modification de la Yes

stratégie de niveau règle MPSSVC
Auditer d’autres événements de

modification de stratégie



non sensibles

d’utilisation de privilèges

sensibles

Système
Auditer le pilote IPSEC Yes \| Yes Yes \| Yes

système
Auditer la modification de l’état Yes \| No Yes \| Yes Yes \| Yes

de la sécurité
Auditer l’extension du système Yes \| Yes Yes \| Yes

de sécurité
Auditer l’intégrité du système Yes \| Yes Yes \| Yes Yes \| Yes

Audit global de l’accès aux

objets
Auditer le pilote IPSEC

système
Auditer la modification de l’état

de la sécurité
Auditer l’extension du système

de sécurité
Auditer l’intégrité du système
Définir la stratégie d’audit sur les stations de

travail et les serveurs
Tous les plans de gestion des journaux d’événements doivent surveiller les stations de
travail et les serveurs. Une erreur courante consiste à surveiller uniquement les serveurs
ou les contrôleurs de domaine. Étant donné que le piratage malveillant se produit
souvent sur les stations de travail, ne pas surveiller les stations de travail ignore la
meilleure et la plus ancienne source d’informations.
Les administrateurs doivent examiner et tester de manière réfléchie toute stratégie

d’audit avant l’implémentation dans leur environnement de production.
événements à analyser
Un ID d’événement parfait pour générer une alerte de sécurité doit contenir les attributs
suivants :
Probabilité élevée que l’occurrence indique une activité non autorisée
Nombre faible de faux positifs
L’occurrence doit entraîner une réponse d’investigation/d’investigation
Deux types d’événements doivent être surveillés et alertés :
1. Ces événements dans lesquels même une seule occurrence indique une activité
non autorisée
2. Une accumulation d’événements différents de la référence acceptée et attendue
Voici un exemple du premier événement :
Si les administrateurs de domaine ne peuvent pas se connecter à des ordinateurs qui ne

sont pas des contrôleurs de domaine, une seule occurrence d’un membre da qui se
connecte à une station de travail de l’utilisateur final doit générer une alerte et être
examinée. Ce type d’alerte est facile à générer à l’aide de l’événement Audit Special
Logon 4964 (les groupes spéciaux ont été affectés à une nouvelle ouverture de session).
Voici d’autres exemples d’alertes à instance unique :
Si le serveur A ne doit jamais se connecter au serveur B, alertez quand ils se

connectent les uns aux autres.
Alerte si un compte d’utilisateur final normal est ajouté de manière inattendue à un

groupe de sécurité sensible.
Si les employés de l’emplacement d’usine A ne travaillent jamais la nuit, alertez

lorsqu’un utilisateur se connecte à minuit.
Alerte si un service non autorisé est installé sur un contrôleur de domaine.
Examinez si un utilisateur final normal tente de se connecter directement à un SQL

Server pour lequel il n’a aucune raison claire de le faire.
Si vous n’avez pas de membres dans votre groupe DA et que quelqu’un s’y ajoute,
vérifiez-le immédiatement.
Voici un exemple de deuxième événement :
Un nombre aberrant de journaux d’activité ayant échoué peut indiquer une attaque de
estimation de mot de passe. Pour qu’une entreprise fournisse une alerte pour un
nombre inhabituellement élevé de journaux d’activité ayant échoué, elle doit d’abord
comprendre les niveaux normaux des journaux d’activité ayant échoué dans leur
environnement avant un événement de sécurité malveillant.
Pour obtenir la liste complète des événements que vous devez inclure lorsque vous
surveillez les signes de compromission, consultez l’annexe L : Événements à surveiller.
Objets et attributs Active Directory à surveiller

Voici les comptes, les groupes et les attributs que vous devez surveiller pour vous aider
à détecter les tentatives de compromission de votre installation services de domaine
Active Directory.
Systèmes de désactivation ou de suppression des logiciels antivirus et anti-

programme malveillant (redémarrage automatique de la protection lorsqu’il est
désactivé manuellement)
Comptes d’administrateur pour les modifications non autorisées

Activités effectuées à l’aide de comptes privilégiés (supprimez automatiquement le
compte lorsque des activités suspectes sont terminées ou que le temps imparti a
expiré)
Comptes privilégiés et VIP dans AD DS. Surveillez les modifications, en particulier

les modifications apportées aux attributs sous l’onglet Compte (par exemple, cn,
name, sAMAccountName, userPrincipalName ou userAccountControl). En plus de
surveiller les comptes, limitez les utilisateurs administratifs qui peuvent modifier les
comptes à un ensemble d’utilisateurs administratifs aussi petit que possible.
Reportez-vous à l’annexe L : Événements à surveiller pour obtenir la liste des

événements recommandés à surveiller, leurs évaluations de criticité et un résumé des
messages d’événement.
Regrouper les serveurs par la classification de leurs charges de travail, ce qui vous
permet d’identifier rapidement les serveurs qui doivent être les plus étroitement
surveillés et les plus strictement configurés
Modifications apportées aux propriétés et à l’appartenance des groupes AD DS

suivants : Enterprise Admins (EA), Domain Admins (DA), Administrators (BA) et
Schema Admins (SA)
Comptes privilégiés désactivés (tels que les comptes d’administrateur intégrés

dans Active Directory et sur les systèmes membres) pour activer les comptes
Comptes de gestion pour journaliser toutes les écritures dans le compte
Assistant Configuration de sécurité intégrée pour configurer les paramètres de

service, de registre, d’audit et de pare-feu pour réduire la surface d’attaque du
serveur. Utilisez cet Assistant si vous implémentez des serveurs de rebond dans le
cadre de votre stratégie d’hôte d’administration.
Informations supplémentaires pour la

surveillance des services de domaine Active
Directory
Passez en revue les liens suivants pour plus d’informations sur la surveillance d’AD DS :
L’audit d’accès aux objets global est Magic : fournit des informations sur la
configuration et l’utilisation de la stratégie d’audit avancée qui a été ajoutée à
Windows 7 et Windows Server 2008 R2.
Présentation des modifications d’audit dans Windows 2008 : présente les
modifications d’audit apportées dans Windows 2008.
Astuces d’audit intéressantes dans Vista et 2008 - Explique les nouvelles

fonctionnalités intéressantes de l’audit dans Windows Vista et Windows Server
2008 qui peuvent être utilisées pour résoudre des problèmes ou voir ce qui se
passe dans votre environnement.
Magasin unique pour l’audit dans Windows Server 2008 et Windows Vista :
contient une compilation des fonctionnalités d’audit et des informations contenues
dans Windows Server 2008 et Windows Vista.
Guide pas à pas de l’audit AD DS : décrit la nouvelle fonctionnalité d’audit services

de domaine Active Directory (AD DS) dans Windows Server 2008. Il fournit
également des procédures pour implémenter cette nouvelle fonctionnalité.
Liste générale des critiques relatives aux

recommandations d’ID d’événement de
sécurité
Toutes les recommandations d’ID d’événement sont accompagnées d’une évaluation de
la criticité comme suit :
Haute: Les ID d’événement avec une évaluation critique élevée doivent toujours et
immédiatement être alertés et examinés.
Moyen: Un ID d’événement avec une évaluation critique moyenne peut indiquer une
activité malveillante, mais il doit être accompagné d’une autre anomalie (par exemple,
un nombre inhabituel se produisant dans une période particulière, des occurrences
inattendues ou des occurrences sur un ordinateur qui ne seraient normalement pas
censés journaliser l’événement). Un événement de criticité moyenne peut également
être collecté en tant que métrique et comparé au fil du temps.
Faible: Et l’ID d’événement avec un événement de faible criticité ne doit pas attirer
l’attention ou provoquer des alertes, sauf si elles sont corrélées avec des événements de
criticité moyenne ou élevée.
Ces recommandations sont destinées à fournir un guide de base pour l’administrateur.

Toutes les recommandations doivent être examinées minutieusement avant
l’implémentation dans un environnement de production.
Reportez-vous à l’annexe L : Événements à surveiller pour obtenir la liste des
événements recommandés à surveiller, leurs évaluations de criticité et un résumé des
messages d’événement.

Loi Numéro Un: Personne ne croit que quelque chose de mauvais peut arriver à eux,
jusqu’à ce qu’il le fasse. - 10 Lois immuables de l’administration de la sécurité
Les plans de récupération d’urgence de nombreuses organisations se concentrent sur la

récupération à partir de sinistres régionaux ou de défaillances qui entraînent la perte de
services informatiques. Toutefois, lorsque vous travaillez avec des clients compromis,
nous constatons souvent que la récupération d’une compromission intentionnelle est
absente de leurs plans de récupération d’urgence. Cela est particulièrement vrai lorsque
la compromission entraîne le vol de propriété intellectuelle ou de destruction
intentionnelle qui tire parti des limites logiques (telles que la destruction de tous les
domaines Active Directory ou de tous les serveurs) plutôt que des limites physiques
(telles que la destruction d’un centre de données). Bien qu’une organisation ait peut-
être des plans de réponse aux incidents qui définissent les activités initiales à
entreprendre lorsqu’une compromission est découverte, ces plans omettent souvent les
étapes de récupération à partir d’une compromission qui affecte l’ensemble de
l’infrastructure informatique.
Étant donné qu’Active Directory fournit des fonctionnalités de gestion des identités et
des accès enrichies pour les utilisateurs, les serveurs, les stations de travail et les
applications, il est toujours ciblé par les attaquants. Si un attaquant bénéficie d’un accès
hautement privilégié à un domaine ou à un contrôleur de domaine Active Directory, cet
accès peut être exploité pour accéder, contrôler ou même détruire toute la forêt Active
Directory.
Ce document a abordé certaines des attaques les plus courantes contre Windows et
Active Directory et des contre-mesures que vous pouvez implémenter pour réduire
votre surface d’attaque, mais la seule façon sûre de récupérer en cas de compromission
complète d’Active Directory est d’être préparée pour la compromission avant qu’elle ne
se produise. Cette section se concentre moins sur les détails de l’implémentation
technique que les sections précédentes de ce document, et plus encore sur les
recommandations générales que vous pouvez utiliser pour créer une approche
holistique et complète pour sécuriser et gérer les ressources métier et informatiques
critiques de votre organisation.
Que votre infrastructure n’ait jamais été attaquée, a résisté aux violations tentées ou a
succombé aux attaques et a été entièrement compromise, vous devez planifier la réalité
inévitable que vous serez attaqué à nouveau et à nouveau. Il n’est pas possible
d’empêcher les attaques, mais il peut en effet être possible d’empêcher des violations
importantes ou de compromettre en gros. Chaque organisation doit évaluer étroitement
ses programmes de gestion des risques existants et apporter des ajustements
nécessaires pour réduire son niveau global de vulnérabilité en effectuant des
investissements équilibrés dans la prévention, la détection, l’isolement et la
récupération.
Pour créer des défenses efficaces tout en fournissant des services aux utilisateurs et aux
entreprises qui dépendent de votre infrastructure et de vos applications, vous devrez
peut-être envisager de nouvelles façons d’empêcher, de détecter et de contenir des
compromissions dans votre environnement, puis de récupérer de la compromission. Les
approches et recommandations de ce document peuvent ne pas vous aider à réparer
une installation d’Active Directory compromise, mais peuvent vous aider à sécuriser
votre prochaine installation.
Les recommandations relatives à la récupération d’une forêt Active Directory sont

présentées dans La récupération de forêt AD - Étapes de restauration de la forêt. Vous
serez peut-être en mesure d’empêcher votre nouvel environnement d’être
complètement compromis, mais même si vous ne le pouvez pas, vous aurez des outils
pour récupérer et reprendre le contrôle de votre environnement.
Repenser l’approche
Loi numéro huit : La difficulté de défendre un réseau est directement proportionnelle à sa
complexité. - 10 Lois immuables de l’administration de la sécurité
Il est généralement bien accepté que si un attaquant a obtenu le système,

l’administrateur, la racine ou l’accès équivalent à un ordinateur, quel que soit le système
d’exploitation, cet ordinateur ne peut plus être considéré comme digne de confiance,
quel que soit le nombre d’efforts déployés pour « nettoyer » le système. Active Directory
n’est pas différent. Si un attaquant a obtenu un accès privilégié à un contrôleur de
domaine ou à un compte hautement privilégié dans Active Directory, sauf si vous avez
un enregistrement de chaque modification effectuée par l’attaquant ou une sauvegarde
correcte connue, vous ne pouvez jamais restaurer le répertoire dans un état entièrement
fiable.
Lorsqu’un serveur membre ou une station de travail est compromis et modifié par un
attaquant, l’ordinateur n’est plus fiable, mais les serveurs et stations de travail non
compromis voisins peuvent toujours être approuvés. La compromission d’un ordinateur
n’implique pas que tous les ordinateurs soient compromis.
Toutefois, dans un domaine Active Directory, tous les contrôleurs de domaine hébergent
des réplicas de la même base de données AD DS. Si un seul contrôleur de domaine est
compromis et qu’un attaquant modifie la base de données AD DS, ces modifications
sont répliquées sur tous les autres contrôleurs de domaine du domaine, et en fonction
de la partition dans laquelle les modifications sont apportées, la forêt. Même si vous
réinstallez chaque contrôleur de domaine dans la forêt, vous réinstallez simplement les
hôtes sur lesquels réside la base de données AD DS. Les modifications malveillantes
apportées à Active Directory seront répliquées vers des contrôleurs de domaine installés
à nouveau aussi facilement qu’ils seront répliqués sur des contrôleurs de domaine qui
ont été exécutés depuis des années.
Dans l’évaluation des environnements compromis, nous constatons généralement que

ce qui était considéré comme le premier « événement » de violation a été réellement
déclenché après des semaines, des mois ou même des années après que les attaquants
avaient initialement compromis l’environnement. Les attaquants ont généralement
obtenu les informations d’identification pour les comptes hautement privilégiés
longtemps avant qu’une violation ne soit détectée, et ils ont utilisé ces comptes pour
compromettre l’annuaire, les contrôleurs de domaine, les serveurs membres, les stations
de travail et même les systèmes non-Windows connectés.
Ces résultats sont cohérents avec plusieurs résultats dans le rapport d’enquête sur les
violations de données de Verizon de 2012, qui indique que :
98 % des violations de données proviennent d’agents externes
85 % des violations de données ont pris des semaines ou plus pour découvrir
92 % des incidents ont été découverts par un tiers et
97 % des violations ont été évitées bien que des contrôles simples ou
intermédiaires.
Une compromission au degré décrit précédemment est effectivement irréparable, et les

conseils standard pour « aplatir et reconstruire » chaque système compromis n’est tout
simplement pas réalisable ou même possible si Active Directory a été compromis ou
détruit. Même la restauration à un état correct connu n’élimine pas les défauts qui ont
permis à l’environnement d’être compromis en premier lieu.
Bien que vous deviez défendre chaque facette de votre infrastructure, un attaquant n’a
besoin que de trouver suffisamment de failles dans vos défenses pour atteindre leur
objectif souhaité. Si votre environnement est relativement simple et vierge, et
historiquement bien géré, l’implémentation des recommandations fournies
précédemment dans ce document peut être une proposition simple.
Toutefois, nous avons constaté que l’environnement plus ancien, plus grand et plus
complexe, plus il est probable que les recommandations de ce document soient
irrécibles ou même impossibles à implémenter. Il est beaucoup plus difficile de sécuriser
une infrastructure après le fait qu’il est de démarrer frais et de construire un
environnement résistant aux attaques et aux compromissions. Mais comme indiqué
précédemment, il ne s’agit pas d’une petite entreprise de reconstruction d’une forêt
Active Directory entière. Pour ces raisons, nous vous recommandons d’adopter une
approche plus ciblée et ciblée pour sécuriser vos forêts Active Directory.
Plutôt que de se concentrer sur et d’essayer de corriger toutes les choses qui sont «
rompues », considérez une approche dans laquelle vous hiérarchiser en fonction de ce
qui est le plus important pour votre entreprise et dans votre infrastructure. Au lieu
d’essayer de corriger un environnement rempli de systèmes et d’applications obsolètes,
mal configurés, envisagez de créer un nouvel environnement petit et sécurisé dans
lequel vous pouvez transférer en toute sécurité les utilisateurs, les systèmes et les
informations les plus critiques pour votre entreprise.
Dans cette section, nous décrivons une approche par laquelle vous pouvez créer une
forêt AD DS vierge qui sert de « bateau de vie » ou de « cellule sécurisée » pour votre
infrastructure métier principale. Une forêt vierge est simplement une forêt Active
Directory nouvellement installée qui est généralement limitée dans la taille et l’étendue,
et qui est générée à l’aide de systèmes d’exploitation actuels, d’applications et avec les
principes décrits dans La réduction de la surface d’attaque Active Directory.
En implémentant les paramètres de configuration recommandés dans une forêt

nouvellement créée, vous pouvez créer une installation AD DS créée à partir de la base
avec des paramètres et des pratiques sécurisés, et vous pouvez réduire les défis qui
accompagnent la prise en charge des systèmes et applications hérités. Bien que des
instructions détaillées pour la conception et l’implémentation d’une installation AD DS
vierge ne soient pas dans le cadre de ce document, vous devez suivre certains principes
généraux et instructions pour créer une « cellule sécurisée » dans laquelle vous pouvez
héberger vos ressources les plus critiques. Ces instructions sont les suivantes :
1. Identifiez les principes de ségrégation et de sécurisation des ressources critiques.
2. Définissez un plan de migration limité basé sur les risques.
3. Tirez parti des migrations « nonmigratoires » si nécessaire.
4. Implémentez la « destruction créative ».

5. Isoler les systèmes et applications hérités.
6. Simplifiez la sécurité pour les utilisateurs finaux.
Identification des principes de ségrégation et de

sécurisation des ressources critiques
Les caractéristiques de l’environnement vierge que vous créez pour héberger des
ressources critiques peuvent varier considérablement. Par exemple, vous pouvez choisir
de créer une forêt vierge dans laquelle vous migrez uniquement les utilisateurs VIP et
les données sensibles auxquelles seuls ces utilisateurs peuvent accéder. Vous pouvez
créer une forêt vierge dans laquelle vous migrez non seulement des utilisateurs VIP,
mais que vous implémentez en tant que forêt administrative, en implémentant les
principes décrits dans Réduire la surface d’attaque Active Directory pour créer des
comptes d’administration et des hôtes sécurisés qui peuvent être utilisés pour gérer vos
forêts héritées à partir de la forêt vierge. Vous pouvez implémenter une forêt « conçue à
usage unique » qui héberge des comptes d’adresses IP virtuelles, des comptes
privilégiés et des systèmes nécessitant une sécurité supplémentaire, comme les serveurs
exécutant les services de certificats Active Directory (AD CS) dans le seul but de les
ségréguer à partir de forêts moins sécurisées. Enfin, vous pouvez implémenter une forêt
vierge qui devient l’emplacement de facto de tous les nouveaux utilisateurs, systèmes,
applications et données, ce qui vous permet de désactiver éventuellement votre forêt
héritée via attrition.
Que votre forêt vierge contienne une poignée d’utilisateurs et de systèmes ou qu’elle
constitue la base d’une migration plus agressive, vous devez suivre ces principes dans
votre planification :
1. Supposons que vos forêts héritées ont été compromises.
2. Ne configurez pas un environnement vierge pour approuver une forêt héritée, bien
que vous puissiez configurer un environnement hérité pour approuver une forêt
vierge.
3. Ne migrez pas les comptes d’utilisateur ou les groupes d’une forêt héritée vers un
environnement vierge s’il est possible que les appartenances aux groupes,
l’historique SID ou d’autres attributs des comptes aient été modifiés de manière
malveillante. Au lieu de cela, utilisez des approches « nonmigratoires » pour
remplir une forêt vierge. (Les approches nonmigratoires sont décrites plus loin
dans cette section.)
4. Ne migrez pas les ordinateurs des forêts héritées vers des forêts vierges.
Implémentez des serveurs fraîchement installés dans la forêt vierge, installez des
applications sur les serveurs récemment installés et migrez les données
d’application vers les systèmes nouvellement installés. Pour les serveurs de fichiers,
copiez des données vers des serveurs fraîchement installés, définissez des listes de
contrôle d’accès à l’aide d’utilisateurs et de groupes dans la nouvelle forêt, puis
créez des serveurs d’impression de la même manière.
5. N’autorisez pas l’installation de systèmes d’exploitation ou d’applications hérités

dans la forêt vierge. Si une application ne peut pas être mise à jour et installée à
nouveau, laissez-la dans la forêt héritée et envisagez la destruction créative pour
remplacer les fonctionnalités de l’application.
Définition d’un plan de migration limité Risk-Based

La création d’un plan de migration limité basé sur les risques signifie simplement que
lorsque vous décidez quels utilisateurs, applications et données migrer dans votre forêt
vierge, vous devez identifier les cibles de migration en fonction du degré de risque
auquel votre organisation est exposée si l’un des utilisateurs ou systèmes est
compromis. Les utilisateurs VIP dont les comptes sont les plus susceptibles d’être ciblés
par des attaquants doivent être hébergés dans la forêt vierge. Les applications qui
fournissent des fonctions métier vitales doivent être installées sur des serveurs
fraîchement construits dans la forêt vierge, et les données hautement sensibles doivent
être déplacées vers des serveurs sécurisés dans la forêt vierge.
Si vous n’avez pas encore une image claire des utilisateurs, systèmes, applications et
données les plus critiques pour l’entreprise dans votre environnement Active Directory,
travaillez avec les unités commerciales pour les identifier. Toute application requise pour
que l’entreprise fonctionne doit être identifiée, comme si tous les serveurs sur lesquels
les applications critiques s’exécutent ou les données critiques sont stockées. En
identifiant les utilisateurs et les ressources nécessaires à votre organisation pour
continuer à fonctionner, vous créez une collection naturellement hiérarchisée de
ressources sur lesquelles concentrer vos efforts.
Tirer parti des migrations « nonmigratoires »

Que vous sachiez que votre environnement a été compromis, pensez qu’il a été
compromis ou préférez simplement ne pas migrer les données et les objets hérités
d’une installation Active Directory héritée vers un nouveau, envisagez des approches de
migration qui ne sont pas techniquement des objets « migrer ».
Comptes d'utilisateurs
Dans une migration Active Directory traditionnelle d’une forêt à l’autre, l’attribut
SIDHistory (historique SID) sur les objets utilisateur est utilisé pour stocker le SID des
utilisateurs et les SID des groupes dont les utilisateurs étaient membres dans la forêt
héritée. Si les comptes d’utilisateurs sont migrés vers une nouvelle forêt et qu’ils
accèdent aux ressources de la forêt héritée, les SID de l’historique des SID sont utilisés
pour créer un jeton d’accès qui permet aux utilisateurs d’accéder aux ressources
auxquelles ils avaient accès avant la migration des comptes.
Toutefois, la gestion de l’historique des SID a été problématique dans certains

environnements, car le remplissage des jetons d’accès des utilisateurs avec les SID
actuels et historiques peut entraîner un ballonnement des jetons. Le ballonnement des
jetons est un problème dans lequel le nombre de SID qui doivent être stockés dans le
jeton d’accès d’un utilisateur utilise ou dépasse la quantité d’espace disponible dans le
jeton.
Bien que les tailles de jeton puissent être augmentées dans une mesure limitée, la
solution ultime pour les jetons est de réduire le nombre de SID associés aux comptes
d’utilisateur, qu’il s’agisse de rationaliser les appartenances aux groupes, d’éliminer
l’historique des SID ou d’une combinaison des deux. Pour plus d’informations sur le
ballonnement des jetons, consultez MaxTokenSize et Kerberos Token Bloat.
Au lieu de migrer des utilisateurs à partir d’un environnement hérité (en particulier celui
dans lequel les appartenances aux groupes et les historiques DE SID peuvent être
compromis) à l’aide de l’historique SID, envisagez d’exploiter les applications
métadirectory pour « migrer » les utilisateurs, sans porter d’historiques DE SID dans la
nouvelle forêt. Lorsque des comptes d’utilisateur sont créés dans la nouvelle forêt, vous
pouvez utiliser une application metadirectory pour mapper les comptes à leurs comptes
correspondants dans la forêt héritée.
Pour fournir aux nouveaux comptes d’utilisateur l’accès aux ressources de la forêt
héritée, vous pouvez utiliser l’outil metadirectory pour identifier les groupes de
ressources dans lesquels les comptes hérités des utilisateurs ont reçu l’accès, puis
ajouter les nouveaux comptes des utilisateurs à ces groupes. Selon votre stratégie de
groupe dans la forêt héritée, vous devrez peut-être créer des groupes locaux de
domaine pour l’accès aux ressources ou convertir des groupes existants en groupes
locaux de domaine pour permettre l’ajout des nouveaux comptes aux groupes de
ressources. En vous concentrant d’abord sur les applications et données les plus
critiques et sur leur migration vers le nouvel environnement (avec ou sans historique
SID), vous pouvez limiter la quantité d’efforts dépensés dans l’environnement hérité.
Serveurs et stations de travail
Dans une migration traditionnelle d’une forêt Active Directory vers une autre, la
migration d’ordinateurs est souvent relativement simple par rapport à la migration
d’utilisateurs, de groupes et d’applications. Selon le rôle d’ordinateur, la migration vers
une nouvelle forêt peut être aussi simple que disjoint un ancien domaine et la jointure
d’un nouveau domaine. Toutefois, la migration des comptes d’ordinateur intacts dans
une forêt vierge défait l’objectif de la création d’un environnement nouveau. Au lieu de
migrer des comptes d’ordinateur (potentiellement compromis, mal configurés ou
obsolètes) vers une nouvelle forêt, vous devez installer des serveurs et des stations de
travail dans le nouvel environnement. Vous pouvez migrer des données de systèmes de
la forêt héritée vers des systèmes de la forêt vierge, mais pas les systèmes qui hébergent
les données.
Applications
Les applications peuvent présenter le défi le plus important dans toute migration d’une
forêt à l’autre, mais dans le cas d’une migration « nonmigratoire », l’un des principes les
plus fondamentaux que vous devez appliquer est que les applications dans la forêt
vierge doivent être actuelles, prises en charge et installées récemment. Les données
peuvent être migrées à partir d’instances d’application dans l’ancienne forêt, si possible.
Dans les situations où une application ne peut pas être « recréée » dans la forêt vierge,
vous devez envisager des approches telles que la destruction créative ou l’isolation des
applications héritées, comme décrit dans la section suivante.
Implémentation de la destruction créative

La destruction créative est un terme économique qui décrit le développement
économique créé par la destruction d’un ordre antérieur. Au cours des dernières années,
le terme a été appliqué à la technologie de l’information. Il fait généralement référence
aux mécanismes par lesquels l’ancienne infrastructure est éliminée, pas en la mettant à
niveau, mais en la remplaçant par quelque chose de tout à fait nouveau. Le Symposium
2011 De Gartner ITXPO pour les RESPONSABLES informatiques et les cadres
supérieurs informatiques ont présenté la destruction créative comme l’un de ses
principaux thèmes de réduction des coûts et d’augmentation de l’efficacité. Les
améliorations de la sécurité sont possibles comme une croissance naturelle du
processus.
Par exemple, une organisation peut être composée de plusieurs unités commerciales qui
utilisent une autre application qui effectue des fonctionnalités similaires, avec différents
degrés de modernité et de prise en charge des fournisseurs. Historiquement, le service
informatique peut être responsable de la maintenance distincte de l’application de
chaque unité commerciale, et les efforts de consolidation consisteraient à tenter de
déterminer l’application qui offrait les meilleures fonctionnalités, puis de migrer les
données vers cette application à partir des autres.
En destruction créative, au lieu de conserver des applications obsolètes ou redondantes,

vous implémentez de nouvelles applications pour remplacer l’ancienne, migrer les
données vers les nouvelles applications et désactiver les anciennes applications et les
systèmes sur lesquels elles s’exécutent. Dans certains cas, vous pouvez implémenter la
destruction créative d’applications héritées en déployant une nouvelle application dans
votre propre infrastructure, mais dans la mesure du possible, vous devez envisager de
porter l’application vers une solution cloud à la place.
En déployant des applications cloud pour remplacer les applications internes héritées,
vous réduisez non seulement les efforts et les coûts de maintenance, mais vous réduisez
la surface d’attaque de votre organisation en éliminant les systèmes et applications
hérités qui présentent des vulnérabilités pour que les attaquants tirent parti. Cette
approche offre un moyen plus rapide pour une organisation d’obtenir les fonctionnalités
souhaitées tout en éliminant simultanément les cibles héritées de l’infrastructure. Bien
que le principe de destruction créative ne s’applique pas à toutes les ressources
informatiques, il offre une option souvent viable pour éliminer les systèmes et
applications hérités tout en déployant simultanément des applications robustes,
sécurisées et basées sur le cloud.
Isolation des systèmes et applications hérités

Une croissance naturelle de la migration de vos utilisateurs et systèmes critiques pour
l’entreprise vers un environnement vierge et sécurisé est que votre forêt héritée
contiendra des informations et des systèmes moins précieux. Bien que les systèmes et
applications hérités qui restent dans l’environnement moins sécurisé puissent présenter
un risque élevé de compromission, ils représentent également une gravité réduite de
compromission. En rehomisant et en modernisant vos ressources métier critiques, vous
pouvez vous concentrer sur le déploiement d’une gestion et d’une surveillance efficaces,
tout en n’étant pas obligé de prendre en charge les paramètres et protocoles hérités.
Lorsque vous avez rehometé vos données critiques dans une forêt vierge, vous pouvez
évaluer les options permettant d’isoler davantage les systèmes et applications hérités
dans votre forêt AD DS « principale ». Bien que vous implémentiez une destruction
créative pour remplacer une application et les serveurs sur lesquels elle s’exécute, dans
d’autres cas, vous pouvez envisager une isolation supplémentaire des systèmes et
applications les moins sécurisés. Par exemple, une application utilisée par un certain
nombre d’utilisateurs, mais qui nécessite des informations d’identification héritées telles
que les hachages de gestionnaire de réseau local peut être migrée vers un petit
domaine que vous créez pour prendre en charge les systèmes pour lesquels vous n’avez
aucune option de remplacement.
En supprimant ces systèmes des domaines où ils ont forcé l’implémentation des
paramètres hérités, vous pouvez par la suite augmenter la sécurité des domaines en les
configurant pour prendre en charge uniquement les systèmes d’exploitation et les
applications actuels. Bien qu’il soit préférable de désactiver les systèmes et applications
hérités dans la mesure du possible. Si la désaffectation n’est tout simplement pas
possible pour un petit segment de votre population héritée, la ségrégation dans un
domaine (ou une forêt) distinct vous permet d’effectuer des améliorations
incrémentielles dans le reste de l’installation héritée.
Simplification de la sécurité pour les utilisateurs finaux

Dans la plupart des organisations, les utilisateurs qui ont accès aux informations les plus
sensibles en raison de la nature de leurs rôles dans l’organisation ont souvent le moins
de temps à consacrer à l’apprentissage de restrictions d’accès et de contrôles
complexes. Bien que vous ayez un programme complet d’éducation sur la sécurité pour
tous les utilisateurs de votre organisation, vous devez également vous concentrer sur la
sécurité aussi simple que possible en implémentant des contrôles transparents et
simplifiés auxquels les utilisateurs adhèrent.
Par exemple, vous pouvez définir une stratégie dans laquelle des cadres et d’autres
adresses IP virtuelles sont nécessaires pour utiliser des stations de travail sécurisées pour
accéder aux données et systèmes sensibles, ce qui leur permet d’utiliser leurs autres
appareils pour accéder à des données moins sensibles. Il s’agit d’un principe simple
pour que les utilisateurs se rappellent, mais vous pouvez implémenter un certain
nombre de contrôles principaux pour vous aider à appliquer l’approche.
Vous pouvez utiliser l’assurance du mécanisme d’authentification pour permettre aux

utilisateurs d’accéder aux données sensibles uniquement s’ils se sont connectés à leurs
systèmes sécurisés à l’aide de leurs cartes à puce et peuvent utiliser des restrictions de
droits d’utilisateur et IPsec pour contrôler les systèmes à partir desquels ils peuvent se
connecter à des référentiels de données sensibles. Vous pouvez implémenter le contrôle
d’accès dynamique pour restreindre l’accès aux données en fonction des
caractéristiques d’une tentative d’accès, en traduisant des règles d’entreprise en
contrôles techniques.
Du point de vue de l’utilisateur, l’accès aux données sensibles à partir d’un système
sécurisé « fonctionne simplement » et la tentative de le faire à partir d’un système non
sécurisé « ne fonctionne pas ». Toutefois, du point de vue de la supervision et de la
gestion de votre environnement, vous contribuez à créer des modèles identifiables dans
la façon dont les utilisateurs accèdent aux données et systèmes sensibles, ce qui facilite
la détection des tentatives d’accès anormales.
Dans les environnements dans lesquels la résistance des utilisateurs à des mots de passe
longs et complexes a entraîné des stratégies de mot de passe insuffisantes, en
particulier pour les utilisateurs d’adresses IP virtuelles, envisagez d’autres approches de
l’authentification, que ce soit via des cartes à puce (qui se présentent dans un certain
nombre de facteurs de forme et avec des fonctionnalités supplémentaires pour
renforcer l’authentification), des contrôles biométriques tels que des lecteurs de
balayage tactiles, ou même des données d’authentification sécurisées par des jetons
TPM (Trusted Platform Module) sur les ordinateurs des utilisateurs. Bien que
l’authentification multifacteur n’empêche pas les attaques par vol d’informations
d’identification si un ordinateur est déjà compromis, en donnant à vos utilisateurs des
contrôles d’authentification faciles à utiliser, vous pouvez affecter des mots de passe
plus robustes aux comptes des utilisateurs pour lesquels les contrôles traditionnels de
nom d’utilisateur et de mot de passe ne sont pas complexes.
Maintenance d’un environnement plus
sécurisé

Numéro de loi dix : la technologie n’est pas une panacée. - -
Lorsque vous avez créé un environnement gérable et sécurisé pour vos ressources
d’entreprise critiques, vous devez vous concentrer sur la maintenance sécurisée. Bien
que vous ayez reçu des contrôles techniques spécifiques pour renforcer la sécurité de
vos installations AD DS, la technologie seule ne protège pas un environnement dans
lequel elle ne travaille pas en partenariat avec l’entreprise pour maintenir une
infrastructure sécurisée et utilisable. Les recommandations de haut niveau de cette
section sont destinées à être utilisées en tant que directives que vous pouvez utiliser
pour développer une sécurité efficace, mais une gestion du cycle de vie efficace.
Dans certains cas, votre organisation informatique peut déjà avoir une relation de travail
étroite avec les divisions, ce qui facilite l’implémentation de ces recommandations. Dans
les organisations où les services informatiques et les divisions ne sont pas étroitement
liés, vous devrez peut-être tout d’abord obtenir le soutien de la direction pour faire face
à une relation plus étroite entre les services informatiques et les unités commerciales. Le
Résumé est destiné à être utile en tant que document autonome pour la révision de la
direction et peut être diffusé auprès des décideurs de votre organisation.
Création de Business-Centric pratiques de

sécurité pour Active Directory
Dans le passé, les technologies de l’information dans de nombreuses organisations ont
été consultées comme une structure de support et un centre de coûts. Les services
informatiques ont souvent été principalement séparés des utilisateurs professionnels et
des interactions limitées à un modèle de requête-réponse dans lequel l’entreprise a
demandé des ressources et a répondu.
À mesure que la technologie a évolué et s’est répandue, la vision de « un ordinateur sur
chaque poste de travail » s’est effectivement dépassée dans la plupart du monde, et a
même été Eclipse par le large éventail de technologies facilement accessibles
disponibles aujourd’hui. La technologie de l’information n’est plus une fonction de
support, il s’agit d’une fonction métier de base. Si votre organisation ne peut pas
continuer à fonctionner si tous les services informatiques ne sont pas disponibles,
l’activité de votre organisation est, au moins en partie, une technologie de l’information.
Pour créer des plans de récupération de compromission efficaces, les services

informatiques doivent travailler en étroite collaboration avec les entités commerciales
de votre organisation pour identifier non seulement les composants les plus critiques du
paysage informatique, mais aussi les fonctions critiques requises par l’entreprise. En
identifiant ce qui est important pour votre organisation dans son ensemble, vous
pouvez vous concentrer sur la sécurisation des composants qui ont le plus de valeur. Il
ne s’agit pas d’une recommandation visant à Shirk la sécurité des systèmes et des
données à faible valeur. Au lieu de cela, comme vous définissez des niveaux de service
pour le temps d’activité du système, vous devez envisager de définir des niveaux de
contrôle de sécurité et de surveillance basés sur la gravité des ressources.
Lorsque vous avez investi dans la création d’un environnement actuel, sécurisé et
gérable, vous pouvez passer à la gestion efficace et vous assurer que vous disposez de
processus de gestion du cycle de vie effectifs qui ne sont pas déterminés uniquement
par le service informatique, mais par l’entreprise. Pour ce faire, vous devez non
seulement être partenaire de l’entreprise, mais pour investir dans la « propriété » des
données et systèmes dans Active Directory.
Lorsque les données et les systèmes sont introduits dans des Active Directory sans
propriétaires désignés, propriétaires de l’entreprise et propriétaires de l’informatique, il
n’existe pas de chaîne de responsabilité claire pour l’approvisionnement, la gestion, la
surveillance, la mise à jour et la désaffectation finale du système. Cela a pour résultat
des infrastructures dans lesquelles les systèmes exposent l’organisation à des risques,
mais qui ne peuvent pas être retirés, car la propriété n’est pas claire. Pour gérer
efficacement le cycle de vie des utilisateurs, des données, des applications et des
systèmes gérés par votre installation Active Directory, vous devez suivre les principes
décrits dans cette section.
Affecter un propriétaire de l’entreprise à Active Directory

données
Les données de Active Directory doivent avoir un propriétaire d’entreprise identifié,
c’est-à-dire un service ou un utilisateur spécifié qui est le point de contact pour prendre
des décisions sur le cycle de vie de la ressource. Dans certains cas, le propriétaire de
l’entreprise d’un composant de Active Directory est un service informatique ou un
utilisateur. Les composants d’infrastructure tels que les contrôleurs de domaine, les
serveurs DHCP et DNS, et Active Directory seront probablement « détenues » par le
service informatique. Pour les données ajoutées à AD DS pour prendre en charge
l’activité (par exemple, les nouveaux employés, les nouvelles applications et les
nouveaux référentiels d’informations), une unité commerciale ou un utilisateur désigné
doit être associé aux données.
Si vous utilisez Active Directory pour enregistrer la propriété des données dans
l’annuaire ou si vous implémentez une base de données distincte pour le suivi des
ressources informatiques, aucun compte d’utilisateur ne doit être créé, aucun serveur ou
station de travail ne doit être installé et aucune application ne doit être déployée sans
propriétaire d’enregistrement désigné. Tenter d’établir la propriété des systèmes après
leur déploiement en production peut s’avérer difficile, voire impossible dans certains
cas. Par conséquent, la propriété doit être établie au moment où les données sont
introduites dans Active Directory.
Implémenter la gestion du cycle de vie Business-Driven

La gestion du cycle de vie doit être implémentée pour toutes les données dans Active
Directory. Par exemple, lorsqu’une nouvelle application est introduite dans un domaine
Active Directory, le propriétaire de l’application doit, à intervalles réguliers, être supposé
attester de l’utilisation continue de l’application. Lorsqu’une nouvelle version d’une
application est publiée, le propriétaire de l’application doit être informé et déterminer si
la nouvelle version doit être implémentée et à quel moment.
Si un propriétaire de l’entreprise décide de ne pas approuver le déploiement d’une

nouvelle version d’une application, il doit également être informé de la date à laquelle la
version actuelle n’est plus prise en charge et doit être chargée de déterminer si
l’application est retirée ou remplacée. La conservation des applications héritées en cours
d’exécution et non prises en charge ne doit pas être une option.
Lorsque des comptes d’utilisateurs sont créés dans Active Directory, leurs responsables
d’enregistrement doivent être avertis lors de la création d’objets et requis pour attester
de la validité du compte à intervalles réguliers. En implémentant un cycle de vie piloté
par l’entreprise et en attestant régulièrement la validité des données, les personnes qui
sont les mieux équipées pour identifier les anomalies dans les données sont les
personnes qui révisent les données.
Par exemple, les attaquants peuvent créer des comptes d’utilisateur qui semblent être
des comptes valides, en suivant les conventions de nommage et le placement des objets
de votre organisation. Pour détecter ces créations de comptes, vous pouvez
implémenter une tâche quotidienne qui retourne tous les objets utilisateur sans un
propriétaire professionnel désigné afin que vous puissiez examiner les comptes. Si des
attaquants créent des comptes et attribuent un dirigeant d’entreprise, en implémentant
une tâche qui signale la création d’un nouvel objet au propriétaire de l’entreprise
désigné, le propriétaire de l’entreprise peut rapidement déterminer si le compte est
légitime.
Vous devez implémenter des approches similaires pour les groupes de sécurité et de
distribution. Bien que certains groupes puissent être des groupes fonctionnels créés par
celui-ci, en créant chaque groupe avec un propriétaire désigné, vous pouvez récupérer
tous les groupes détenus par un utilisateur désigné et demander à l’utilisateur d’attester
de la validité de ses appartenances. Comme pour l’approche prise en compte de la
création d’un compte d’utilisateur, vous pouvez déclencher des modifications de groupe
de rapport au propriétaire de l’entreprise désigné. Plus il y a de routine pour qu’un
dirigeant d’entreprise atteste de la validité ou de l’invalidité des données dans Active
Directory, plus vous devez identifier les anomalies qui peuvent indiquer des échecs de
processus ou une compromission réelle.
Classer tous les Active Directory données

En plus d’enregistrer un propriétaire pour toutes les Active Directory données au
moment de leur ajout à l’annuaire, vous devez également demander aux propriétaires
d’entreprise de fournir la classification des données. Par exemple, si une application
stocke des données critiques, le propriétaire de l’entreprise doit étiqueter l’application
en tant que tel, conformément à l’infrastructure de classification de votre organisation.
Certaines organisations implémentent des stratégies de classification des données qui

étiquettent les données en fonction des dommages liés à l’exposition des données en
cas de vol ou d’exposition. D’autres organisations implémentent la classification des
données qui étiquette les données en termes de criticité, d’accès et de rétention. Quel
que soit le modèle de classification des données utilisé dans votre organisation, vous
devez vous assurer que vous êtes en mesure d’appliquer la classification à Active
Directory données, et non seulement aux données « fichier ». Si le compte d’un
utilisateur est un compte VIP, il doit être identifié dans votre base de données de
classification des ressources (que vous implémentiez par le biais de l’utilisation
d’attributs sur les objets dans AD DS, ou si vous déployez des bases de données de
classification des actifs distincts).
Au sein de votre modèle de classification des données, vous devez inclure la

classification des données AD DS telles que les suivantes.
Systèmes
Vous devez non seulement classer les données, mais également leurs populations de
serveurs. Pour chaque serveur, vous devez connaître le système d’exploitation installé,
les rôles généraux fournis par le serveur, les applications en cours d’exécution sur le
serveur, le propriétaire de l’enregistrement et le propriétaire de l’enregistrement, le cas
échéant. Pour toutes les données ou applications qui s’exécutent sur le serveur, vous
devez disposer d’une classification, et le serveur doit être sécurisé en fonction des
besoins des charges de travail qu’il prend en charge et des classifications appliquées au
système et aux données. Vous pouvez également regrouper les serveurs en fonction de
la classification de leurs charges de travail, ce qui vous permet d’identifier rapidement
les serveurs qui doivent être les plus étroitement surveillés et les plus rigoureusement
configurés.
Applications
Vous devez classer les applications par fonctionnalité (ce qu’elles font), la base de
l’utilisateur (qui utilise les applications) et le système d’exploitation sur lequel elles
s’exécutent. Vous devez conserver les enregistrements qui contiennent des informations
de version, l’état des correctifs et toute autre information pertinente. Vous devez
également classer les applications en fonction des types de données qu’elles gèrent,
comme décrit précédemment.
Utilisateurs
Que vous appeliez des utilisateurs « VIP », des comptes critiques ou que vous utilisiez
une étiquette différente, les comptes de vos installations Active Directory les plus
susceptibles d’être ciblés par les attaquants doivent être marqués et surveillés. Dans la
plupart des organisations, il n’est tout simplement pas possible de surveiller toutes les
activités de tous les utilisateurs. Toutefois, si vous êtes en mesure d’identifier les
comptes critiques dans votre installation Active Directory, vous pouvez surveiller les
modifications apportées aux comptes, comme décrit précédemment dans ce document.
Vous pouvez également commencer à créer une base de données de « comportements

attendus » pour ces comptes lorsque vous auditez les comptes. Par exemple, si vous
constatez qu’un exécutif donné utilise sa station de travail sécurisée pour accéder aux
données critiques de son bureau et à partir de son bureau, mais rarement à partir
d’autres emplacements, si vous voyez des tentatives d’accès aux données à l’aide de son
compte à partir d’un ordinateur non autorisé ou d’un emplacement situé à mi-chemin
de la planète où vous savez que vous pouvez identifier et examiner plus rapidement ce
comportement anormal.
En intégrant les informations professionnelles à votre infrastructure, vous pouvez utiliser
ces informations pour vous aider à identifier les faux positifs. Par exemple, si la direction
est enregistrée dans un calendrier accessible au personnel informatique responsable de
la surveillance de l’environnement, vous pouvez mettre en corrélation les tentatives de
connexion avec les emplacements connus des dirigeants.
Supposons que la direction A se trouve normalement à Chicago et utilise une station de

travail sécurisée pour accéder aux données critiques de l’entreprise à partir de son
bureau, et qu’un événement est déclenché par une tentative d’accès aux données à
partir d’une station de travail non sécurisée située à Atlanta. Si vous êtes en mesure de
vérifier que le cadre est actuellement à Atlanta, vous pouvez résoudre l’événement en
contactant le cadre ou l’Assistant du dirigeant pour déterminer si l’échec de l’accès a été
le résultat de l’oubli de la direction de l’utilisation de la station de travail sécurisée pour
accéder aux données. En créant un programme qui utilise les approches décrites dans la
section planification de la compromission, vous pouvez commencer à créer une base de
données de comportements attendus pour les comptes les plus « importants » dans
votre installation Active Directory, qui peuvent potentiellement vous aider à détecter et
à répondre plus rapidement aux attaques.
Annexes

Les annexes sont incluses dans ce document pour compléter les informations contenues
dans le corps du document. La liste des annexes et une brève description de chacune
d’entre elles figurent dans le tableau suivant.
Annexe Description
Annexe B : Groupes et Fournit des informations générales qui vous aident à identifier les
comptes privilégiés dans utilisateurs et les groupes que vous devez vous concentrer sur la
Active Directory sécurisation, car ils peuvent être exploités par des personnes
malveillantes pour compromettre et même détruire votre installation
Active Directory.
Annexe C : Groupes et Contient des informations sur les groupes protégés dans Active
comptes protégés dans Directory. Il contient également des informations pour une
Active Directory personnalisation limitée (suppression) des groupes considérés comme
des groupes protégés et sont affectés par AdminSDHolder et SDProp.
Annexe D : Sécurisation Contient des indications pour aider à sécuriser le compte

des comptes administrateur dans chaque domaine de la forêt.
d’administrateurs
intégrés dans Active
Directory
Annexe E : Sécurisation contient des instructions pour aider à sécuriser le groupe

des groupes administrateurs Enterprise dans la forêt.
l’entreprise dans Active
Directory
Annexe F : Sécurisation Contient des indications pour aider à sécuriser le groupe

des groupes administrateurs du domaine dans chaque domaine de la forêt.
domaine dans Active
Directory
Annexe G : Sécurisation Contient des indications pour aider à sécuriser le groupe

des groupes Administrateurs intégré dans chaque domaine de la forêt.
d’administrateurs dans
Active Directory
Annexe Description
Annexe H : Sécurisation Contient des instructions pour sécuriser les comptes d’administrateur
des groupes et des local et les groupes d’administrateurs sur les serveurs et stations de
comptes des travail joints à un domaine.
administrateurs locaux
Annexe I : Création de Fournit des informations pour créer des comptes disposant de
comptes de gestion pour privilèges limités et pouvant être contrôlés de façon stricte, mais qui
les groupes et les peuvent être utilisés pour remplir des groupes privilégiés dans Active
comptes protégés dans Directory lorsque l’élévation temporaire est nécessaire.
Active Directory
Annexe L : événements à Répertorie les événements que vous devez surveiller dans votre
analyser environnement.
Annexe M : Liens vers Contient une liste de lectures recommandées. Contient également
des documents et lecture une liste de liens vers des documents externes et leurs URL afin que
recommandée les lecteurs des copies papier de ce document puissent accéder à ces
informations.
Annexe B : Comptes privilégiés et
groupes dans Active Directory

Annexe B : Comptes privilégiés et groupes dans

Active Directory
Les comptes et groupes « privilégiés » dans Active Directory sont ceux auxquels de
puissants droits, privilèges et autorisations sont accordés pour leur permettre
d’effectuer presque toutes les actions dans Active Directory et sur des systèmes joints à
un domaine. Cette annexe commence par aborder les droits, privilèges et autorisations.
Suivent les informations sur les comptes et groupes aux « privilèges les plus élevés »
dans Active Directory, c’est-à-dire les comptes et groupes les plus puissants.
Des informations sont également fournies sur les comptes et groupes intégrés et par
défaut dans Active Directory, en plus de leurs droits. Bien que des recommandations de
configuration spécifiques pour sécuriser les comptes et les groupes aux privilèges les
plus élevés soient fournies sous forme d’annexes distinctes, cette annexe fournit des
informations générales qui vous aident à identifier les utilisateurs et les groupes sur
lesquels vous devez concentrer la sécurisation. Ceci doit être fait, car ils peuvent être
exploités par des attaquants pour compromettre et même détruire votre installation
Active Directory.
Droits, privilèges et autorisations dans Active Directory

Les différences entre les droits, les autorisations et les privilèges peuvent être
déroutantes et contradictoires, même dans la documentation de Microsoft. Cette
section décrit certaines des caractéristiques de chacun d’eux, tels qu’ils sont utilisés dans
ce document. Ces descriptions ne doivent pas être considérées comme faisant autorité
pour d’autres documents Microsoft, car ces termes peuvent être utilisés différemment.
Droits et privilèges
Les droits et privilèges sont en fait les mêmes fonctionnalités à l’échelle du système que
celles accordées aux principaux de sécurité tels que les utilisateurs, les services, les
ordinateurs ou les groupes. Dans les interfaces généralement utilisées par les
professionnels de l’informatique, ces derniers sont généralement appelés « droits » ou «
droits d’utilisation », et ils sont souvent attribués par Objets de stratégie de groupe. La
capture d’écran suivante montre certains des droits d’utilisation les plus courants qui
peuvent être attribués aux principaux de sécurité (elle représente le GPO des
Contrôleurs de domaine par défaut dans un domaine Windows Server 2012). Certains de
ces droits s’appliquent à Active Directory, tels que le droit d'utilisation Autoriser
l’ordinateur et les comptes d’utilisateur à être approuvés pour la délégation, tandis
que d’autres droits s’appliquent au système d’exploitation Windows, tels que Modifier
l’heure système.
Dans les interfaces telles que l’éditeur d’objets de stratégie de groupe, toutes ces
fonctionnalités attribuables sont généralement appelées droits d’utilisation. Toutefois,
en réalité certains droits d'utilisation sont appelés par programmation en tant que
droits, tandis que d’autres sont appelés par programmation en tant que privilèges. Le
Tableau B-1 : Droits et privilèges d’utilisation fournit certains des droits d'utilisation
attribuables les plus courants et leurs constantes programmatiques. Bien que la
stratégie de groupe et d’autres interfaces fassent référence à tous ces droits d’utilisation,
certains sont identifiés par programmation en tant que droits, tandis que d’autres sont
définis en tant que privilèges.
Pour plus d’informations sur chacun des droits d’utilisation répertoriés dans le tableau
suivant, utilisez les liens du tableau ou consultez le Guide des menaces et contre-
mesures : Droits d’utilisation dans le guide Atténuation des menaces et des
vulnérabilités pour Windows Server 2008 R2 sur le site Microsoft TechNet. Pour plus
d’informations sur Windows Server 2008, consultez Droits d’utilisation dans la
documentation Atténuation des menaces et des vulnérabilités sur le site Microsoft
TechNet. Au moment de la rédaction de ce document, la documentation
correspondante pour Windows Server 2012 n’est pas encore publiée.
７ Notes
Dans le cadre de ce document, les termes « droits » et « droits d’utilisation » sont

utilisés pour identifier les droits et les privilèges, sauf indication contraire.
Tableau B-1 : Droits et privilèges d’utilisation
Droit d'utilisation dans la stratégie de groupe Nom de la constante
Accéder au gestionnaire d’informations d’identification en SeTrustedCredManAccessPrivilege

tant qu’appelant approuvé
Accéder à cet ordinateur à partir du réseau SeNetworkLogonRight
Agir en tant que partie du système d'exploitation SeTcbPrivilege
Ajouter des stations de travail au domaine SeMachineAccountPrivilege
Ajuster les quotas de mémoire pour un processus SeIncreaseQuotaPrivilege
Permettre l’ouverture d’une session locale SeInteractiveLogonRight
Permettre l'ouverture de session par les services Terminal SeRemoteInteractiveLogonRight

Server
Sauvegarder des fichiers et des répertoires SeBackupPrivilege
Contourner la vérification de parcours SeChangeNotifyPrivilege
Modifier l’heure système SeSystemtimePrivilege
Changer le fuseau horaire SeTimeZonePrivilege
Créer un fichier d’échange SeCreatePagefilePrivilege
Créer un objet-jeton SeCreateTokenPrivilege
Créer des objets globaux SeCreateGlobalPrivilege
Créer des objets partagés permanents SeCreatePermanentPrivilege
Créer des liens symboliques SeCreateSymbolicLinkPrivilege
Déboguer les programmes SeDebugPrivilege
Interdire l’accès à cet ordinateur à partir du réseau SeDenyNetworkLogonRight
Interdire l’ouverture de session en tant que tâche SeDenyBatchLogonRight
Interdire l’ouverture de session en tant que service SeDenyServiceLogonRight

Droit d'utilisation dans la stratégie de groupe Nom de la constante
Interdire l’ouverture d’une session locale SeDenyInteractiveLogonRight
Interdire l'ouverture de session par les services Terminal SeDenyRemoteInteractiveLogonRight

Server
Permettre à l’ordinateur et aux comptes d’utilisateurs SeEnableDelegationPrivilege

d’être approuvés pour la délégation
Forcer l’arrêt à partir d’un système distant SeRemoteShutdownPrivilege
Générer des audits de sécurité SeAuditPrivilege
Emprunter l'identité d'un client après authentification SeImpersonatePrivilege
Augmenter une plage de travail de processus SeIncreaseWorkingSetPrivilege
Augmenter la priorité de planification SeIncreaseBasePriorityPrivilege
Charger et décharger les pilotes de périphériques SeLoadDriverPrivilege
Verrouillage des pages en mémoire SeLockMemoryPrivilege
Ouvrir une session en tant que tâche SeBatchLogonRight
Ouvrir une session en tant que service SeServiceLogonRight
Gérer le journal d'audit et de sécurité SeSecurityPrivilege
Modifier un nom d’objet SeRelabelPrivilege
Modifier les valeurs de l’environnement du SeSystemEnvironmentPrivilege

microprogramme
Effectuer les tâches de maintenance de volume SeManageVolumePrivilege
Processus unique du profil SeProfileSingleProcessPrivilege
Performance système du profil SeSystemProfilePrivilege
Retirer l’ordinateur de la station d’accueil SeUndockPrivilege
Remplacer un jeton de niveau processus SeAssignPrimaryTokenPrivilege
Restaurer des fichiers et des répertoires SeRestorePrivilege
Arrêter le système SeShutdownPrivilege
Synchroniser les données du service d’annuaire SeSyncAgentPrivilege
Prendre possession de fichiers ou d’autres objets SeTakeOwnershipPrivilege

Autorisations
Les autorisations sont des contrôles d’accès appliqués aux objets sécurisables tels que le
système de fichiers, le registre, le service et les objets Active Directory. Chaque objet
sécurisable a une liste de contrôle d’accès (ACL) associée, qui contient des entrées de
contrôle d’accès (ACE) qui accordent ou refusent aux principaux de sécurité (utilisateurs,
services, ordinateurs ou groupes) la possibilité d’effectuer diverses opérations sur l’objet.
Par exemple, les ACL pour de nombreux objets dans Active Directory contiennent des
ACL qui permettent aux utilisateurs authentifiés de lire des informations générales sur
les objets, mais ne leur accordent pas la possibilité de lire des informations sensibles ou
de modifier les objets.
À l’exception du compte invité intégré de chaque domaine,
chaque principal de sécurité, qui se connecte et est authentifié par un contrôleur de
domaine dans une forêt Active Directory ou une forêt approuvée, a l’identificateur de
sécurité des utilisateurs authentifiés (SID) ajouté à son jeton d’accès par défaut. Par
conséquent, si un compte d’utilisateur, de service ou d’ordinateur tente de lire des
propriétés générales sur des objets utilisateurs dans un domaine, l’opération de lecture
réussit.
Si un principal de sécurité tente d’accéder à un objet pour lequel aucun ACE n’est défini
et qui contient un SID présent dans le jeton d’accès du principal, le principal ne peut pas
accéder à l’objet. En outre, si un ACE dans l’ACL d’un objet contient une entrée de refus
pour un SID qui correspond au jeton d’accès de l’utilisateur, l’ACE « deny » remplace
généralement un ACE « allow » en conflit. Pour plus d’informations sur le contrôle
d’accès dans Windows, consultez Access Control sur le site web MSDN.
Dans ce document, les autorisations font référence aux fonctionnalités accordées ou

refusées aux principaux de sécurité sur des objets sécurisables. Chaque fois qu’il existe
un conflit entre un droit d’utilisateur et une autorisation, le droit d’utilisateur est
généralement prioritaire. Par exemple, si un objet dans Active Directory a été configuré
avec une liste de contrôle d’accès qui refuse aux administrateurs tout accès en lecture et
en écriture à un objet, un utilisateur membre du groupe Administrateurs du domaine
n’est pas en mesure d’afficher beaucoup d’informations sur l’objet. Toutefois, étant
donné que le groupe Administrateurs dispose du droit d’utilisateur « Se définir comme
propriétaire des fichiers ou d’autres objets », l’utilisateur peut simplement prendre
possession de l’objet en question, puis réécrire l’ACL de l’objet pour accorder aux
administrateurs le contrôle total de l’objet.
C’est pour cette raison que ce document vous encourage à éviter d’utiliser des comptes
et des groupes puissants pour l’administration quotidienne, plutôt que d’essayer de
restreindre les fonctionnalités des comptes et des groupes. Il n’est pas possible
d’empêcher efficacement un utilisateur déterminé qui a accès à des informations
d’identification puissantes d’utiliser ces informations d’identification pour accéder à une
ressource sécurisable.
Comptes et groupes privilégiés intégrés

Active Directory est destiné à faciliter la délégation de l’administration et le principe des
privilèges minimum dans l’attribution de droits et d’autorisations. Les utilisateurs «
courants » qui ont des comptes dans un domaine Active Directory sont, par défaut, en
mesure de lire une grande partie de ce qui est stocké dans le répertoire, mais ne
peuvent modifier qu’un ensemble très limité de données dans le répertoire. Les
utilisateurs qui ont besoin de privilèges supplémentaires peuvent se voir accorder
l’appartenance à différents groupes privilégiés intégrés au répertoire, afin de pouvoir
effectuer des tâches spécifiques liées à leurs rôles, mais ils ne peuvent pas effectuer des
tâches qui ne sont pas pertinentes à leurs fonctions.
Dans Active Directory, il y a trois groupes intégrés qui composent les groupes aux
privilèges les plus élevés dans le répertoire : le groupe Administrateurs d’entreprise (EA),
le groupe Administrateurs de domaine (DA) et le groupe Administrateurs intégrés (BA).
Un quatrième groupe, le groupe Administrateurs de schémas (SA), a des privilèges qui,

en cas d’abus, peuvent endommager ou détruire une forêt Active Directory entière, mais
ce groupe est plus limité dans ses fonctionnalités que les groupes EA, DA et BA.
En plus de ces quatre groupes, il existe un certain nombre de comptes et groupes

intégrés et par défaut supplémentaires dans Active Directory, chacun disposant de
droits et d’autorisations qui permettent d’effectuer des tâches d’administration
spécifiques. Bien que cette annexe n’explore pas en profondeur chaque groupe intégré
ou par défaut dans Active Directory, elle fournit un tableau des groupes et comptes que
vous êtes le plus susceptible de voir dans vos installations.
Par exemple, si vous installez Microsoft Exchange Server dans une forêt Active Directory,
des comptes et des groupes supplémentaires peuvent être créés dans les conteneurs
Intégrés et Utilisateurs de vos domaines. Cette annexe décrit uniquement les groupes et
les comptes créés dans les conteneurs Intégrés et Utilisateurs dans Active Directory, en
fonction des fonctionnalités et des rôles natifs. Les comptes et les groupes créés par
l’installation de logiciels d’entreprise ne sont pas inclus.
Le groupe Administrateurs d’entreprise (EA) se trouve dans le domaine racine de la forêt

et, par défaut, c’est un membre du groupe Administrateurs intégré dans chaque
domaine de la forêt. Le compte Administrateur intégré dans le domaine racine de la
forêt est le seul membre par défaut du groupe EA. Les EA reçoivent des droits et des
autorisations qui leur permettent d’affecter les modifications à l’échelle de la forêt. Il
s’agit de modifications qui affectent tous les domaines de la forêt, telles que l’ajout ou la
suppression de domaines, l’établissement d’approbations de forêt ou l’élévation des
niveaux fonctionnels de la forêt. Dans un modèle de délégation correctement conçu et
implémenté, l’appartenance à l’EA n’est requise que lors de la construction initiale de la
forêt ou lors de certaines modifications à l’échelle de la forêt, telles que l’établissement
d’une approbation de forêt sortante.
Le groupe EA se trouve par défaut dans le conteneur Utilisateurs du domaine racine de

la forêt, et il s’agit d’un groupe de sécurité universel, sauf si le domaine racine de la forêt
s’exécute en mode mixte Windows 2000 Server, auquel cas le groupe est un groupe de
sécurité global. Bien que certains droits soient accordés directement au groupe EA, la
plupart des droits de ce groupe sont en fait hérités par le groupe EA, car il est membre
du groupe Administrateurs dans chaque domaine de la forêt. Les administrateurs
d’entreprise n’ont aucun droit par défaut sur les stations de travail ou les serveurs
membres.
Administrateurs du domaine
Chaque domaine d’une forêt a son propre groupe Administrateurs de domaine (DA), qui
est membre du groupe Administrateurs intégré (BA) de ce domaine en plus d’un
membre du groupe Administrateurs local sur chaque ordinateur joint au domaine. Le
seul membre par défaut du groupe DA pour un domaine est le compte Administrateur
intégré pour ce domaine.
Les DA sont toutes puissantes au sein de leurs domaines, tandis que les BA ont des
privilèges à l’échelle de la forêt. Dans un modèle de délégation correctement conçu et
implémenté, l’appartenance à la DA ne doit être requise que dans les scénarios de «
verre de secours », qui sont des situations dans lesquelles un compte disposant de
niveaux de privilèges élevés sur chaque ordinateur du domaine est nécessaire, ou
lorsque certaines modifications à l’échelle du domaine doivent être apportées. Bien que
les mécanismes de délégation Active Directory natifs autorisent la délégation dans la
mesure où il est possible d’utiliser des comptes DA uniquement dans les scénarios
d’urgence, la construction d’un modèle de délégation efficace peut prendre du temps et
de nombreuses organisations utilisent des applications tierces, afin d’accélérer le
processus.
Le groupe DA est un groupe de sécurité global situé dans le conteneur Utilisateurs pour
le domaine. Il existe un groupe DA pour chaque domaine dans la forêt, et le seul
membre par défaut d’un groupe DA est le compte Administrateur intégré du domaine.
Étant donné que le groupe DA d’un domaine est imbriqué dans le groupe BA du
domaine et dans chaque groupe Administrateurs locaux du système joint à un domaine,
les administrateurs de domaine ont non seulement des autorisations qui sont
spécifiquement accordées aux administrateurs de domaine, mais ils héritent également
de tous les droits et autorisations accordés au groupe Administrateurs du domaine et au
groupe Administrateurs locaux sur tous les systèmes joints au domaine.
Administrateurs
Le groupe Administrateurs intégré (BA) est un groupe local de domaine dans le
conteneur intégré d’un domaine, dans lequel les DA et les EA sont imbriquées, et c’est
ce groupe qui reçoit de nombreux droits et autorisations directs dans le répertoire et sur
les contrôleurs de domaine. Toutefois, le groupe Administrateurs d’un domaine ne
dispose pas de privilèges sur les serveurs membres ou sur les stations de travail.
L’appartenance au groupe Administrateurs local des ordinateurs joints à un domaine est
l’endroit où le privilège local est accordé ; et parmi les groupes décrits, seuls les DA sont
membres de tous les groupes Administrateurs locaux de tous les ordinateurs joints à un
domaine par défaut.
Le groupe Administrateurs est un groupe local de domaine dans le conteneur intégré du

domaine. Par défaut, le groupe BA de chaque domaine contient le compte
Administrateur intégré du domaine local, le groupe DA du domaine local et le groupe
EA du domaine racine de forêt. De nombreux droits d’utilisateur dans Active Directory et
sur les contrôleurs de domaine sont accordés spécifiquement au groupe
Administrateurs, et non aux EA ou aux DA. Le groupe BA d’un domaine dispose
d’autorisations de contrôle total sur la plupart des objets de répertoire et peut prendre
possession des objets de répertoire. Bien que certaines autorisations spécifiques aux
objets soient accordées aux groupes EA et DA dans la forêt et les domaines, la majeure
partie de la puissance des groupes est en fait « héritée » de leur appartenance aux
groupes BA.
７ Notes
Bien qu’il s’agisse des configurations par défaut de ces groupes privilégiés, un
membre de l’un des trois groupes peut manipuler le répertoire pour devenir
membre de l’un des autres groupes. Dans certains cas, c’est une opération triviale,
tandis que dans d’autres cas c’est plus difficile, mais du point de vue des privilèges
potentiels, les trois groupes devraient être considérés comme effectivement
équivalents.
Le groupe Administrateurs de schéma (SA) est un groupe universel dans le domaine
racine de la forêt et il n’a que le compte Administrateur intégré de ce domaine comme
membre par défaut, comme le groupe EA. Bien que l’appartenance au groupe SA puisse
permettre à un attaquant de compromettre le schéma Active Directory, qui est
l’infrastructure de l’ensemble de la forêt Active Directory, les SA disposent de peu de
droits et d’autorisations par défaut au-delà du schéma.
Vous devez gérer et surveiller l’appartenance au groupe SA avec attention, mais à

certains égards, ce groupe est « moins privilégié » que les trois groupes les plus
privilégiés décrits précédemment, car l’étendue de ses privilèges est très limitée ;
autrement dit, les SA n’ont aucun droit d’administration autre que le schéma.
Groupes intégrés et par défaut supplémentaires dans Active

Directory
Pour faciliter la délégation de l’administration dans le répertoire, Active Directory est

fourni avec différents groupes intégrés et par défaut auxquels des droits et autorisations
spécifiques ont été accordés. Ces groupes sont décrits brièvement dans le tableau
suivant.
Le tableau suivant répertorie les groupes intégrés et par défaut dans Active Directory.
Les deux ensembles de groupes existent par défaut ; toutefois, les groupes intégrés se
trouvent (par défaut) dans le conteneur intégré dans Active Directory, tandis que les
groupes par défaut se trouvent (par défaut) dans le conteneur Utilisateurs dans Active
Directory. Les groupes dans le conteneur intégré sont tous des groupes locaux de
domaine, tandis que les groupes dans le conteneur Utilisateurs sont un mélange de
groupes locaux, globaux et universels de domaine, en plus de trois comptes
d’utilisateurs individuels (Administrateur, Invité et Krbtgt).
Outre les groupes aux privilèges les plus élevés décrits plus haut dans cette annexe,
certains comptes et groupes intégrés et par défaut bénéficient de privilèges élevés. Ils
doivent également être protégés et utilisés uniquement sur des hôtes d’administration
sécurisés. Ces groupes et comptes se trouvent dans les lignes ombrées du tableau B-1 :
Groupes et comptes intégrés et par défaut dans Active Directory. Étant donné que
certains de ces groupes et comptes bénéficient de droits et d’autorisations qui peuvent
être utilisés à mauvais escient pour compromettre Active Directory ou des contrôleurs
de domaine, ils bénéficient de protections supplémentaires, comme décrit dans l’Annexe
C : Comptes et groupes protégés dans Active Directory.
Tableau B-1 : Comptes et groupes intégrés et par défaut dans

Active Directory
Compte ou groupe Conteneur, Description et droits droit d'utilisation par défaut
étendue de
groupe et
type par
défaut
Opérateurs d’assistance Conteneur Les membres de ce groupe peuvent interroger à

de contrôle d’accès intégré distance les attributs d’autorisation et les
(Active Directory dans Groupe de autorisations des ressources sur cet ordinateur.
Windows Server 2012) sécurité Droits d’utilisation directs : Aucun
local de
domaine Droits d’utilisation hérités :
Opérateurs de compte Conteneur Les membres peuvent administrer des comptes

intégré d’utilisateur et de groupe de domaine.
Groupe de Droits d’utilisation directs : Aucun
sécurité
local de Droits d’utilisation hérités :
domaine
Compte d’administrateur Conteneur Compte intégré pour l’administration du domaine.

d’utilisateurs Droits d’utilisation directs : Aucun
Pas un
groupe Droits d’utilisation hérités :
Autoriser l’ouverture de session par les services

Bureau à distance

étendue de
groupe et
type par
défaut
Changer le fuseau horaire
Déboguer les programmes
Permettre à l’ordinateur et aux comptes d’utilisateurs

Emprunter l'identité d'un client après authentification
Modifier les valeurs de l’environnement du

microprogramme
Restaurer des fichiers et des répertoires
Prendre possession de fichiers ou d’autres objets
Groupe d’administrateurs Conteneur Les administrateurs ont un accès total et illimité au

intégré domaine.
Droits d’utilisation directs :
étendue de
groupe et
type par
défaut
Groupe de Accéder à cet ordinateur à partir du réseau

sécurité
local de Ajuster les quotas de mémoire pour un processus
domaine

Bureau à distance


microprogramme

étendue de
groupe et
type par
défaut
Droits d’utilisation hérités :
Groupe de réplication Conteneur Les membres de ce groupe peuvent faire répliquer

dont le mot de passe d’utilisateurs leurs mots de passe sur tous les contrôleurs de
RODC est autorisé Groupe de domaine en lecture seule dans le domaine.
sécurité Droits d’utilisation directs : Aucun
local de

étendue de
groupe et
type par
défaut
Opérateurs de Conteneur Les opérateurs de sauvegarde peuvent substituer des

sauvegarde intégré restrictions de sécurité dans le but unique de
Groupe de sauvegarder ou restaurer des fichiers.
sécurité Droits d’utilisation directs :
local de
domaine Permettre l’ouverture d’une session locale
Éditeurs de certificats Conteneur Les membres de ce groupe sont autorisés à publier

d’utilisateurs des certificats dans le répertoire.
sécurité
domaine

étendue de
groupe et
type par
défaut
Accès DCOM au service Conteneur Si les services de certificats sont installés sur un
de certificats intégré contrôleur de domaine (non recommandé), ce groupe
Groupe de accorde l’accès d’inscription DCOM aux utilisateurs
sécurité du domaine et aux ordinateurs de domaine.
local de Droits d’utilisation directs : Aucun
domaine
Contrôleurs de domaine Conteneur Les membres de ce groupe qui sont des contrôleurs
clonables (AD DS dans d’utilisateurs de domaine peuvent être clonés.
Windows Server 2012AD Groupe de Droits d’utilisation directs : Aucun
DS) sécurité
global Droits d’utilisation hérités :
Opérateurs de Conteneur Les membres sont autorisés à réaliser des opérations

chiffrement intégré de chiffrement.
sécurité
domaine

étendue de
groupe et
type par
défaut
Utilisateurs de débogueur Il ne s’agit ni La présence d’un groupe Utilisateurs de débogueur

d’un groupe indique que les outils de débogage ont été installés
par défaut ni sur le système à un moment donné, que ce soit via
d’un groupe Visual Studio, SQL, Office ou d’autres applications qui
intégré, nécessitent et prennent en charge un environnement
mais s’il est de débogage. Ce groupe autorise l’accès au
présent débogage à distance aux ordinateurs. Lorsque ce
dans AD DS, groupe existe au niveau du domaine, il indique qu’un
il peut être débogueur ou une application qui contient un
examiné débogueur a été installé sur un contrôleur de
plus en domaine.
détail.
Groupe de réplication Conteneur Les membres de ce groupe ne peuvent pas faire

dont le mot de passe d’utilisateurs répliquer leurs mots de passe sur n’importe quels
RODC est refusé Groupe de contrôleurs de domaine en lecture seule dans le
sécurité domaine.
domaine
Administrateurs DHCP Conteneur Les membres de ce groupe disposent d'un accès

d’utilisateurs autorisant l'administration du service Serveur DHCP.
sécurité
domaine

étendue de
groupe et
type par
défaut
Utilisateurs DHCP Conteneur Les membres de ce groupe disposent d'un accès en

d’utilisateurs lecture seule au service Serveur DHCP.
sécurité
domaine
Utilisateurs du modèle Conteneur Les membres de ce groupe sont autorisés à lancer,

COM distribué intégré activer et utiliser des objets COM distribués sur cet
Groupe de ordinateur.
local de
DnsAdmins Conteneur Les membres de ce groupe disposent d'un accès

d’utilisateurs autorisant l'administration du service Serveur DNS.
sécurité
domaine

étendue de
groupe et
type par
défaut
DnsUpdateProxy Conteneur Les membres de ce groupe sont des clients DNS qui
d’utilisateurs sont autorisés à effectuer des mises à jour
Groupe de dynamiques pour le compte de clients qui ne peuvent
sécurité pas eux-mêmes effectuer des mises à jour
global dynamiques. Les membres de ce groupe sont
généralement des serveurs DHCP.
Droits d’utilisation directs : Aucun
Administrateurs du Conteneur Administrateurs désignés du domaine ; Les

domaine d’utilisateurs Administrateurs de domaine sont membres du
Groupe de groupe Administrateurs locaux de chaque ordinateur
sécurité joint à un domaine et reçoivent les droits et
global autorisations accordés au groupe Administrateurs
locaux, en plus du groupe Administrateurs du
domaine.

Bureau à distance

étendue de
groupe et
type par
défaut


microprogramme

étendue de
groupe et
type par
défaut
Ordinateurs du domaine Conteneur Toutes les stations de travail et tous les serveurs qui
d’utilisateurs sont joints au domaine sont membres par défaut de
Groupe de ce groupe.
sécurité Droits d’utilisation directs par défaut : Aucun
global
Contrôleurs de domaine Conteneur Tous les contrôleurs dans le domaine. Remarque : les
d’utilisateurs contrôleurs de domaine ne sont pas membres du
Groupe de groupe Ordinateurs de domaine.
global
Invités du domaine Conteneur Tous les invités dans le domaine

Groupe de
sécurité Droits d’utilisation hérités :
global

étendue de
groupe et
type par
défaut
Utilisateurs du domaine Conteneur Tous les utilisateurs dans le domaine

Groupe de
sécurité Droits d’utilisation hérités :
global
Administrateurs de Conteneur Les administrateurs d’entreprise disposent

l'entreprise (existe d’utilisateurs d’autorisations pour modifier les paramètres de
uniquement dans le Groupe de configuration à l’échelle de la forêt ; les
domaine racine de forêt) sécurité administrateurs d’entreprise sont membres du
universel groupe Administrateurs de chaque domaine et
reçoivent les droits et autorisations accordés à ce
groupe.

Bureau à distance

étendue de
groupe et
type par
défaut


microprogramme

étendue de
groupe et
type par
défaut
Contrôleurs de domaine Conteneur Ce groupe contient les comptes de tous les

d’entreprise en lecture d’utilisateurs contrôleurs de domaine en lecture seule dans la forêt.
seule Groupe de Droits d’utilisation directs : Aucun
sécurité
universel Droits d’utilisation hérités :
Lecteurs des journaux Conteneur Les membres de ce groupe peuvent lire les journaux
d’événements intégré des événements des contrôleurs de domaine.
sécurité
domaine
Propriétaires créateurs de Conteneur Les membres de ce groupe peuvent créer et modifier

la stratégie de groupe d’utilisateurs les objets de stratégie de groupe dans le domaine.
sécurité

étendue de
groupe et
type par
défaut
Invité Conteneur Il s’agit du seul compte d’un domaine AD DS auquel

d’utilisateurs le SID Utilisateurs authentifiés n’est pas ajouté à son
Pas un jeton d’accès. Par conséquent, les ressources
groupe configurées pour accorder l’accès au groupe
Utilisateurs authentifiés ne seront pas accessibles à ce
compte. Ce comportement n’est pas vrai pour les
membres des groupes Invités et Invités de domaine,
mais les membres de ces groupes ont le SID
Utilisateurs authentifiés ajouté à leurs jetons d’accès.
Invités Conteneur Les invités ont le même accès que les membres du
intégré groupe Utilisateurs par défaut, à l’exception du
Groupe de compte Invité, qui est encore plus restreint comme
sécurité décrit précédemment.
domaine

étendue de
groupe et
type par
défaut
Administrateurs Hyper-V Conteneur Les membres de ce groupe disposent d’un accès

(Windows Server 2012) intégré complet et illimité à toutes les fonctionnalités
Groupe de d’Hyper-V.
local de
IIS_IUSRS Conteneur Groupe intégré utilisé par Internet Information

intégré Services.
sécurité
domaine
Générateurs Conteneur Les membres de ce groupe peuvent créer des

d'approbations de forêt intégré approbations à sens unique entrantes vers cette forêt.
entrante (existe Groupe de (La création d’approbations de forêt sortantes est
uniquement dans le sécurité réservée aux administrateurs d’entreprise.)
domaine racine de forêt) local de Droits d’utilisation directs : Aucun
domaine

étendue de
groupe et
type par
défaut
Krbtgt Conteneur Le compte Krbtgt est le compte de service du Centre

d’utilisateurs de distribution de clés Kerberos dans le domaine. Ce
Pas un compte a accès aux informations d’identification de
groupe tous les comptes stockés dans Active Directory. Ce
compte est désactivé par défaut et ne doit jamais être
activé
Droit d'utilisation : N/A
Opérateurs de Conteneur Les membres de ce groupe bénéficient de privilèges

configuration réseau intégré qui leur permettent de gérer la configuration des
Groupe de fonctionnalités réseau.
local de
Utilisateurs du journal des Conteneur Les membres de ce groupe peuvent planifier la

performances intégré journalisation des compteurs de performances,
Groupe de activer les fournisseurs de traces et collecter des
sécurité traces d’événements localement et via un accès à
local de distance à l’ordinateur.
domaine Droits d’utilisation directs :

étendue de
groupe et
type par
défaut
Utilisateurs de l’Analyseur Conteneur Les membres de ce groupe peuvent accéder aux

de performances intégré données du compteur de performances localement et
Groupe de à distance.
local de
Accès compatible pré- Conteneur Ce groupe existe à des fins de compatibilité

Windows 2000 intégré descendante avec les systèmes d’exploitation
Groupe de antérieurs à Windows 2000 Server, et il permet aux
sécurité membres de lire les informations sur l’utilisateur et le
local de groupe dans le domaine.
domaine Droits d’utilisation directs :

étendue de
groupe et
type par
défaut
Opérateurs d'impression Conteneur Les membres de ce groupe peuvent administrer des

intégré imprimantes de domaine.
Groupe de Droits d’utilisation directs :
sécurité
local de Permettre l’ouverture d’une session locale
domaine
Serveurs RAS et IAS Conteneur Les serveurs de ce groupe peuvent lire les propriétés
d’utilisateurs d’accès à distance sur les comptes d’utilisateur dans
Groupe de le domaine.
local de

étendue de
groupe et
type par
défaut
Serveurs de points de Conteneur Les serveurs de ce groupe exécutent des machines

terminaison RDS intégré virtuelles et hébergent des sessions où les utilisateurs,
(Windows Server 2012) Groupe de les programmes RemoteApp et les bureaux virtuels
sécurité personnels s’exécutent. Ce groupe doit être rempli
local de sur des serveurs Broker pour les connexions Bureau à
domaine distance. Les serveurs hôtes de session Bureau à
distance et les serveurs hôtes de virtualisation des
services Bureau à distance utilisés dans le
déploiement doivent être dans ce groupe.
Serveurs d’administration Conteneur Les serveurs de ce groupe peuvent effectuer des

RDS (Windows Server intégré actions administratives de routine sur les serveurs
2012) Groupe de exécutant Services Bureau à distance. Ce groupe doit
sécurité être rempli sur tous les serveurs d’un déploiement
local de Services Bureau à distance. Les serveurs qui exécutent
domaine RDS Central Management doivent être inclus dans ce
groupe.

étendue de
groupe et
type par
défaut
Serveurs d’accès à Conteneur Les serveurs de ce groupe permettent aux utilisateurs

distance RDS (Windows intégré des programmes RemoteApp et aux bureaux virtuels
Server 2012) Groupe de personnels d’accéder à ces ressources. Dans les
sécurité déploiements avec accès via Internet, ces serveurs
local de sont généralement déployés dans un réseau de
domaine périmètre. Ce groupe doit être rempli sur des
serveurs Broker pour les connexions Bureau à
distance. Les serveurs Passerelle des services Bureaux
à distance et les serveurs Accès Bureau à distance par
le Web utilisés dans le déploiement doivent être dans
ce groupe.
Contrôleurs de domaine Conteneur Ce groupe contient tous les contrôleurs de domaine

en lecture seule d’utilisateurs en lecture seule dans le domaine.
sécurité

étendue de
groupe et
type par
défaut
Utilisateurs du Bureau à Conteneur Les membres de ce groupe ont le droit de se

distance intégré connecter à distance à l’aide de RDP.
sécurité
domaine
Utilisateurs de gestion à Conteneur Les membres de ce groupe peuvent accéder aux

distance (Windows Server intégré ressources WMI via des protocoles de gestion (tels
2012) Groupe de que WS-Management par le biais du service Windows
sécurité Remote Management). Cela s’applique uniquement
local de aux espaces de noms WMI qui accordent l’accès à
domaine l’utilisateur.
Duplicateur Conteneur Prend en charge la réplication de fichiers hérités dans

intégré un domaine.
sécurité
domaine

étendue de
groupe et
type par
défaut
Administrateurs de Conteneur Les administrateurs de schéma sont les seuls

schéma (existe d’utilisateurs utilisateurs qui peuvent apporter des modifications
uniquement dans le Groupe de au schéma Active Directory, et uniquement si le
domaine racine de forêt) sécurité schéma est activé en écriture.
universel Droits d’utilisation directs : Aucun
Opérateurs de serveur Conteneur Les membres de ce groupe peuvent administrer des

intégré serveurs de domaine.
Groupe de Droits d’utilisation directs :
sécurité
local de Permettre l’ouverture d’une session locale
domaine

étendue de
groupe et
type par
défaut
Serveurs de licences des Conteneur Les membres de ce groupe peuvent mettre à jour des
services Terminal Server intégré comptes d’utilisateur dans Active Directory avec des
Groupe de informations sur l’émission de licences, à des fins de
sécurité suivi et de création de rapports sur l’utilisation de la
local de licence d’accès client par utilisateur TS
domaine Droits d’utilisation directs par défaut : Aucun
Utilisateurs Conteneur Les utilisateurs disposent d’autorisations qui leur

intégré permettent de lire de nombreux objets et attributs
Groupe de dans Active Directory, même s’ils ne peuvent pas les
sécurité modifier le plus souvent. Les utilisateurs ne peuvent
local de pas apporter des modifications accidentelles ou
domaine intentionnelles à l’échelle du système et peuvent
exécuter la plupart des applications.
Droits d’utilisation directs :

étendue de
groupe et
type par
défaut
Groupe d’accès Windows Conteneur Les membres de ce groupe ont accès à l’attribut
Authorization intégré tokenGroupsGlobalAndUniversal sur les objets
Groupe de Utilisateur.
local de
WinRMRemoteWMIUsers_ Conteneur Les membres de ce groupe peuvent accéder aux

(Windows Server 2012) d’utilisateurs ressources WMI via des protocoles de gestion (tels
Groupe de que WS-Management par le biais du service Windows
sécurité Remote Management). Cela s’applique uniquement
local de aux espaces de noms WMI qui accordent l’accès à
domaine l’utilisateur.

Annexe C : Comptes protégés et
groupes dans Active Directory

Annexe C : Comptes protégés et groupes dans

Active Directory
Dans Active Directory, un ensemble par défaut de comptes et de groupes hautement
privilégiés est considéré comme des comptes et des groupes protégés. Avec la plupart
des objets dans Active Directory, les administrateurs délégués (utilisateurs qui ont été
délégués pour gérer des objets Active Directory) peuvent modifier les autorisations sur
les objets, notamment modifier les autorisations pour se permettre de modifier les
appartenances des groupes, par exemple.
Toutefois, avec les comptes et groupes protégés, les autorisations des objets sont
définies et appliquées via un processus automatique qui garantit que les autorisations
sur les objets restent cohérentes même si les objets sont déplacés dans le répertoire.
Même si quelqu’un modifie manuellement les autorisations d’un objet protégé, ce
processus garantit que les autorisations sont retournées rapidement à leurs valeurs par
défaut.
Groupes protégés
Le tableau suivant contient les groupes protégés dans Active Directory répertoriés par le
système d’exploitation du contrôleur de domaine.
Comptes et groupes protégés dans Active Directory par système

d’exploitation
Windows Server Windows Server Windows Server 2012,

Windows Server 2016
2003 RTM 2003 SP1+ Windows Server 2008
R2,
Windows Server 2008
Opérateurs de Opérateurs de Opérateurs de compte Opérateurs de compte

compte compte
Windows Server Windows Server Windows Server 2012,
Windows Server 2016
2003 RTM 2003 SP1+ Windows Server 2008
R2,
Windows Server 2008
Administrateur Administrateur Administrateur Administrateur
Administrateurs Administrateurs Administrateurs Administrateurs
Opérateurs de Opérateurs de Opérateurs de Opérateurs de

sauvegarde sauvegarde sauvegarde sauvegarde
Éditeurs de
certificats
Admins du Admins du Admins du domaine Administrateurs du

domaine domaine domaine
Contrôleurs de Contrôleurs de Contrôleurs de domaine Contrôleurs de domaine

domaine domaine
Administrateurs de Administrateurs de Administrateurs de Administrateurs de

l’entreprise l’entreprise l’entreprise l’entreprise
Krbtgt Krbtgt Krbtgt Krbtgt
Opérateurs Opérateurs Opérateurs d'impression Opérateurs d'impression

d'impression d'impression
Contrôleurs de domaine Contrôleurs de domaine

en lecture seule en lecture seule
Duplicateur Duplicateur Duplicateur Duplicateur
Administrateurs du Administrateurs du Administrateurs du Administrateurs du

schéma schéma schéma schéma
Opérateurs de Opérateurs de Opérateurs de serveur Opérateurs de serveur

serveur serveur
AdminSDHolder
L’objectif de l’objet AdminSDHolder est de fournir des autorisations de « modèle » pour

les comptes et groupes protégés dans le domaine. AdminSDHolder est
automatiquement créé en tant qu’objet dans le conteneur système de chaque domaine
Active Directory. Son chemin est :
CN=AdminSDHolder,CN=System,DC=domain_component,DC>=
<<domain_component>?.
Contrairement à la plupart des objets du domaine Active Directory, qui appartiennent au
groupe Administrateurs, AdminSDHolder appartient au groupe Administrateurs. Par
défaut, les EAs peuvent apporter des modifications à l’objet AdminSDHolder de
n’importe quel domaine, car les administrateurs de domaine et les groupes
administrateurs du domaine peuvent être modifiés. En outre, bien que le propriétaire
par défaut d’AdminSDHolder soit le groupe Administrateurs de domaine du domaine,
les membres des administrateurs ou administrateurs d’entreprise peuvent prendre
possession de l’objet.
SDProp
SDProp est un processus qui s’exécute toutes les 60 minutes (par défaut) sur le
contrôleur de domaine qui contient l’émulateur PDC du domaine (PDCE). SDProp
compare les autorisations sur l’objet AdminSDHolder du domaine avec les autorisations
sur les comptes et groupes protégés du domaine. Si les autorisations sur l’un des
comptes et groupes protégés ne correspondent pas aux autorisations sur l’objet
AdminSDHolder, les autorisations sur les comptes et groupes protégés sont réinitialisées
pour correspondre à celles de l’objet AdminSDHolder du domaine.
En outre, l’héritage des autorisations est désactivé sur les groupes et comptes protégés,
ce qui signifie que même si les comptes et les groupes sont déplacés vers différents
emplacements du répertoire, ils n’héritent pas des autorisations de leurs nouveaux
objets parents. L’héritage est désactivé sur l’objet AdminSDHolder afin que les
modifications d’autorisation apportées aux objets parents ne modifient pas les
autorisations d’AdminSDHolder.
Modification de l’intervalle SDProp
Normalement, vous n’avez pas besoin de modifier l’intervalle à lequel SDProp s’exécute,
à l’exception des fins de test. Si vous devez modifier l’intervalle SDProp, sur le PDCE du
domaine, utilisez regedit pour ajouter ou modifier la valeur DWORD
AdminSDProtectFrequency dans
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
La plage de valeurs est en secondes comprise entre 60 et 7200 (une minute à deux
heures). Pour inverser les modifications, supprimez la clé AdminSDProtectFrequency, ce
qui entraîne la restauration de SDProp à l’intervalle de 60 minutes. Vous ne devez
généralement pas réduire cet intervalle dans les domaines de production, car il peut
augmenter la surcharge de traitement LSASS sur le contrôleur de domaine. L’impact de
cette augmentation dépend du nombre d’objets protégés dans le domaine.
Exécution manuelle de SDProp
Une meilleure approche pour tester les modifications AdminSDHolder consiste à

exécuter SDProp manuellement, ce qui entraîne l’exécution immédiate de la tâche, mais
n’affecte pas l’exécution planifiée. L’exécution manuelle de SDProp est effectuée
légèrement différemment sur les contrôleurs de domaine exécutant Windows Server
2008 et antérieur à celui des contrôleurs de domaine exécutant Windows Server 2012
ou Windows Server 2008 R2.
Les procédures d’exécution de SDProp manuellement sur les systèmes d’exploitation

plus anciens sont fournies dans l’article du support Microsoft 251343, et les instructions
pas à pas pour les systèmes d’exploitation plus anciens et plus récents sont les
suivantes. Dans les deux cas, vous devez vous connecter à l’objet rootDSE dans Active
Directory et effectuer une opération de modification avec un DN null pour l’objet
rootDSE, en spécifiant le nom de l’opération en tant qu’attribut à modifier. Pour plus
d’informations sur les opérations modifiables sur l’objet rootDSE, consultez rootDSE
Modify Operations sur le site web MSDN.
Exécution manuelle de SDProp dans Windows Server 2008 ou version

antérieure
Vous pouvez forcer SDProp à s’exécuter à l’aide de Ldp.exe ou en exécutant un script de

modification LDAP. Pour exécuter SDProp à l’aide de Ldp.exe, procédez comme suit
après avoir apporté des modifications à l’objet AdminSDHolder dans un domaine :
1. Lancez Ldp.exe.
2. Cliquez sur Connexion dans la boîte de dialogue Ldp, puis cliquez sur Se
connecter.
3. Dans la boîte de dialogue Se connecter , tapez le nom du contrôleur de domaine
pour le domaine qui contient le rôle DDC Emulator (PDCE), puis cliquez sur OK.
4. Vérifiez que vous êtes connecté correctement, comme indiqué par Dn : (RootDSE)
dans la capture d’écran suivante, cliquez sur Connexion , puis cliquez sur Lier.
5. Dans la boîte de dialogue Lier , tapez les informations d’identification d’un compte
d’utilisateur autorisé à modifier l’objet rootDSE. (Si vous êtes connecté en tant
qu’utilisateur, vous pouvez sélectionner Bind comme utilisateur actuellement
connecté.) Cliquez sur OK.
6. Une fois l’opération de liaison terminée, cliquez sur Parcourir, puis sur Modifier.
7. Dans la boîte de dialogue Modifier , laissez le champ DN vide. Dans le champ
Modifier l’attribut d’entrée , tapez FixUpInheritance et, dans le champ Valeurs ,
tapez Oui. Cliquez sur Entrée pour remplir la liste des entrées , comme illustré
dans la capture d’écran suivante.
8. Dans la boîte de dialogue Modifier renseignée, cliquez sur Exécuter et vérifiez que
les modifications que vous avez apportées à l’objet AdminSDHolder apparaissent
sur cet objet.
７ Notes
Pour plus d’informations sur la modification de AdminSDHolder afin d’autoriser les

comptes non privilégiés désignés à modifier l’appartenance aux groupes protégés,
voir l’Annexe I : Création de comptes de gestion pour les comptes protégés et les
groupes dans Active Directory.
Si vous préférez exécuter manuellement SDProp via LDIFDE ou un script, vous pouvez
créer une entrée de modification comme indiqué ici :
Exécution manuelle de SDProp dans Windows Server 2012 ou Windows

Server 2008 R2
Vous pouvez également forcer l’exécution de SDProp à l’aide de Ldp.exe ou en

exécutant un script de modification LDAP. Pour exécuter SDProp à l’aide de Ldp.exe,
effectuez les étapes suivantes après avoir apporté des modifications à l’objet
AdminSDHolder dans un domaine :
1. Lancez Ldp.exe.
2. Dans la boîte de dialogue Ldp , cliquez sur Connexion, puis sur Se connecter.
3. Dans la boîte de dialogue Se connecter , tapez le nom du contrôleur de domaine

pour le domaine qui contient le rôle DDC Emulator (PDCE), puis cliquez sur OK.
4. Vérifiez que vous êtes connecté correctement, comme indiqué par Dn : (RootDSE)
dans la capture d’écran suivante, cliquez sur Connexion , puis cliquez sur Lier.
5. Dans la boîte de dialogue Lier , tapez les informations d’identification d’un compte
d’utilisateur autorisé à modifier l’objet rootDSE. (Si vous êtes connecté en tant
qu’utilisateur, vous pouvez sélectionner Bind comme utilisateur actuellement
connecté.) Cliquez sur OK.
6. Une fois l’opération de liaison terminée, cliquez sur Parcourir, puis sur Modifier.
7. Dans la boîte de dialogue Modifier , laissez le champ DN vide. Dans le champ
Modifier l’attribut d’entrée , tapez RunProtectAdminGroupsTask et, dans le
champ Valeurs , tapez 1. Cliquez sur Entrée pour remplir la liste d’entrées comme
indiqué ici.
8. Dans la boîte de dialogue Modifier renseignée, cliquez sur Exécuter et vérifiez que
les modifications que vous avez apportées à l’objet AdminSDHolder apparaissent
sur cet objet.
Si vous préférez exécuter manuellement SDProp via LDIFDE ou un script, vous pouvez
créer une entrée de modification comme indiqué ici :
Annexe D : Sécurisation des comptes
d’administrateur intégrés dans Active
Directory

Annexe D : Sécurisation des comptes

d’administrateur intégrés dans Active Directory
Dans chaque domaine d’Active Directory, un compte Administrateur est créé dans le
cadre de la création du domaine. Par défaut, ce compte est membre des groupes
Administrateurs de domaine et Administrateurs dans le domaine, et si le domaine est le
domaine racine de la forêt, le compte est également membre du groupe
Administrateurs d’entreprise.
L’utilisation du compte Administrateur d’un domaine doit être réservée uniquement aux
activités de build initiales et éventuellement aux scénarios de récupération d’urgence.
Pour vous assurer qu’un compte Administrateur peut être utilisé pour effectuer des
réparations dans le cas où aucun autre compte ne peut être utilisé, vous ne devez pas
modifier l’appartenance par défaut du compte Administrateur dans un domaine de la
forêt. À la place, vous devez sécuriser le compte Administrateur dans chaque domaine
de la forêt, comme décrit dans la section suivante et dans les instructions pas à pas qui
suivent.
７ Notes
Auparavant, ce guide recommandait de désactiver le compte. Cela a été supprimé,

car le livre blanc sur la récupération de forêt utilise le compte d’administrateur par
défaut. En effet, il s’agit du seul compte qui autorise l’ouverture de session sans
serveur de catalogue global.
Contrôles pour les comptes d’administrateurs intégrés

Pour le compte Administrateur intégré dans chaque domaine de votre forêt, vous devez
configurer les paramètres suivants :
Activez l’indicateur Le compte est sensible et ne peut pas être délégué sur le
compte.
Activez l’indicateur Une carte à puce est nécessaire pour ouvrir une session
interactive sur le compte.
Configurez des objets de stratégie de groupe pour restreindre l’utilisation du

compte Administrateur sur les systèmes joints à un domaine :
Dans un ou plusieurs objets de stratégie de groupe que vous créez et liez à des
unités d’organisation de station de travail et de serveur membre dans chaque
domaine, ajoutez le compte Administrateur de chaque domaine aux droits
utilisateur suivants dans Computer Configuration\Policies\Windows
Settings\Security Settings\Local Policies\User Rights Assignments :
７ Notes
Lorsque vous ajoutez des comptes à ce paramètre, vous devez spécifier si vous
configurez des comptes Administrateurs locaux ou des comptes Administrateurs de
domaine. Par exemple, pour ajouter le compte Administrateur du domaine
NWTRADERS à ces droits de refus, vous devez taper le compte sous la forme
NWTRADERS\Administrator ou accéder au compte Administrateur pour le domaine
NWTRADERS. Si vous tapez « Administrateur » dans ces paramètres de droits
utilisateur dans l’Éditeur d’objet de stratégie de groupe, vous limitez le compte
Administrateur local sur chaque ordinateur auquel l’objet de stratégie de groupe
est appliqué.
Nous vous recommandons de restreindre les comptes Administrateur locaux sur les
serveurs membres et les stations de travail de la même manière que les comptes
Administrateur basés sur un domaine. Par conséquent, vous devez généralement
ajouter le compte Administrateur pour chaque domaine de la forêt et le compte
Administrateur pour les ordinateurs locaux à ces paramètres des droits utilisateur.
La capture d’écran suivante montre un exemple de configuration de ces droits
utilisateur pour empêcher les comptes Administrateurs locaux et le compte
Administrateur d’un domaine d’effectuer des connexions qui ne devraient pas être
nécessaires pour ces comptes.
Configurer des objets de stratégie de groupe pour restreindre les comptes
Administrateur sur les contrôleurs de domaine
Dans chaque domaine de la forêt, l’objet de stratégie de groupe Contrôleurs de
domaine par défaut ou une stratégie liée à l’unité d’organisation des
contrôleurs de domaine doit être modifié(e) pour ajouter le compte
Administrateur de chaque domaine aux droits utilisateur suivants dans
Computer Configuration\Policies\Windows Settings\Security Settings\Local
Policies\User Rights Assignments :
７ Notes
Ces paramètres garantissent que le compte Administrateur intégré du domaine ne

peut pas être utilisé pour se connecter à un contrôleur de domaine, bien que le
compte puisse se connecter localement aux contrôleurs de domaine. Étant donné
que ce compte ne doit être utilisé que dans les scénarios de récupération
d’urgence, il est prévu que l’accès physique à au moins un contrôleur de domaine
sera disponible, ou que d’autres comptes disposant d’autorisations d’accès aux
contrôleurs de domaine à distance peuvent être utilisés.
Configurer l’audit des comptes d’administrateur
Lorsque vous avez sécurisé le compte Administrateur de chaque domaine, vous

devez configurer l’audit pour superviser l’utilisation du compte ou les
modifications apportées au compte. Si le compte fait l’objet d’une connexion, que
son mot de passe est réinitialisé ou que d’autres modifications y sont apportées,
des alertes doivent être envoyées aux utilisateurs ou aux équipes responsables de
l’administration d’Active Directory, en plus des équipes de réponse aux incidents
de votre organisation.
Instructions détaillées pour sécuriser les comptes Administrateurs

intégrés dans Active Directory
1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et
ordinateurs Active Directory.
2. Afin d’éviter les attaques qui tirent parti de la délégation pour utiliser les
informations d’identification du compte sur d’autres systèmes, procédez comme
suit :
a. Cliquez avec le bouton droit sur le compte Administrateur, puis cliquez sur
Propriétés.
b. Cliquez sur l’onglet Compte.
c. Sous Options du compte, sélectionnez l’indicateur Le compte est sensible et ne

peut pas être délégué, comme indiqué dans la capture d’écran suivante, puis
cliquez sur OK.
3. Pour activer l’indicateur Une carte à puce est nécessaire pour ouvrir une session
interactive sur le compte, procédez comme suit :
a. Cliquez avec le bouton droit sur le compte Administrateur, puis sélectionnez
Propriétés.
b. Cliquez sur l’onglet Compte.
c. Sous Options du compte, sélectionnez l’indicateur Une carte à puce est

nécessaire pour ouvrir une session interactive, comme indiqué dans la capture
d’écran suivante, puis cliquez sur OK.

comptes d’administrateur au niveau du domaine
２ Avertissement
Cet objet de stratégie de groupe ne doit jamais être lié au niveau du domaine, car il
peut rendre le compte Administrateur intégré inutilisable, même dans les scénarios
de récupération d’urgence.
1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de
groupe.
2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>,

puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et
<Domaine> est le nom du domaine dans lequel vous souhaitez créer la stratégie
de groupe).
3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de

stratégie de groupe, puis cliquez sur Nouveau.
4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez <Nom de

l’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom de l’objet de
stratégie de groupe> est le nom de cet objet de stratégie de groupe) comme
indiqué dans la capture d’écran suivante.
5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de
stratégie de groupe>, puis cliquez sur Modifier.
6. Accédez à Computer Configuration\Policies\Windows Settings\Security

Settings\Local Policies et cliquez sur Attribution des droits utilisateur.
7. Configurez les droits utilisateur pour empêcher le compte Administrateur
d’accéder aux serveurs membres et aux stations de travail sur le réseau en
procédant comme suit :
a. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau, puis

sélectionnez Définir ces paramètres de stratégie.
b. Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
c. Tapez Administrateur, cliquez sur Vérifier les noms, puis sur OK. Vérifiez que le
compte s’affiche au format <DomainName>\Username, comme indiqué dans la
capture d’écran suivante.
d. Cliquez sur OK, puis de nouveau sur OK.
8. Configurez les droits utilisateur pour empêcher le compte Administrateur de se

connecter en tant que tâche de traitement par lots en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session en tant que tâche de

traitement par lots, puis sélectionnez Définir ces paramètres de stratégie.

9. Configurez les droits utilisateur pour empêcher le compte Administrateur de se
connecter en tant que service en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session en tant que service, puis

10. Configurez les droits utilisateur pour empêcher le compte Administrateur

d’accéder aux serveurs membres et aux stations de travail via Services Bureau à
distance en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session via Services Bureau à

distance et sélectionnez Définir ces paramètres de stratégie.
11. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis
sur Quitter.
12. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux
unités d’organisation des stations de travail et serveurs membres en effectuant les
étapes suivantes :
a. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et

<Domaine> est le nom du domaine dans lequel vous souhaitez définir la
stratégie de groupe).
b. Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de
stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de
groupe existant.
c. Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis cliquez sur
OK.
d. Créez des liens vers toutes les autres unités d’organisation qui contiennent des
stations de travail.
e. Créez des liens vers toutes les autres unités d’organisation qui contiennent des
serveurs membres.
） Important
Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous spécifiez si

vous configurez un compte Administrateur local ou un compte Administrateur de
domaine selon la façon dont vous étiquetez les comptes. Par exemple, pour ajouter
le compte Administrateur du domaine TAILSPINTOYS à ces droits de refus, vous
accédez au compte Administrateur pour le domaine TAILSPINTOYS, qui apparaît
sous la forme TAILSPINTOYS\Administrateur. Si vous tapez « Administrateur » dans
ces paramètres de droits utilisateur dans l’Éditeur d’objet de stratégie de groupe,
vous limitez le compte Administrateur local sur chaque ordinateur auquel l’objet de
stratégie de groupe est appliqué, comme décrit précédemment.
Étapes de vérification
Les étapes de vérification décrites ici sont spécifiques à Windows 8 et à

Vérifier que l’option de compte « Une carte à puce est nécessaire
pour ouvrir une session interactive »
1. À partir d’un serveur membre ou d’une station de travail affecté(e) par les
modifications de l’objet de stratégie de groupe, essayez de vous connecter de
manière interactive au domaine à l’aide du compte Administrateur intégré du
domaine. Après la tentative d’ouverture de session, une boîte de dialogue similaire
à celle-ci doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Refuser

l’accès à cet ordinateur à partir du réseau »
À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les
modifications de l’objet de stratégie de groupe (par exemple, un serveur de saut),
essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est
affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les
paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à
l’aide de la commande NET USE en procédant comme suit :
1. Connectez-vous au domaine à l’aide du compte Administrateur intégré du

domaine.
2. Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit
de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit
sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur
pour ouvrir une invite de commandes avec élévation de privilèges.
4. Lorsque vous êtes invité à approuver l’élévation, cliquez sur Oui.

5. Dans la fenêtre Invite de commandes, tapez net use \\<Nom du serveur>\c$, où
<Nom du serveur> est le nom du serveur membre ou de la station de travail
auquel/à laquelle vous tentez d’accéder via le réseau.
6. La capture d’écran suivante montre le message d’erreur qui doit apparaître.
Vérifier les paramètres d’objet de stratégie de groupe « Refuser

l’ouverture de session en tant que tâche de traitement par lots »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications
d’objet de stratégie de groupe, connectez-vous localement.
Créer un fichier batch
2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.
3. Dans Bloc-notes, tapez dir c:.
4. Cliquez sur Fichier, puis sur Enregistrer sous.
5. Dans le champ Nom de fichier, tapez <Filename>.bat (où <Filename> est le nom
du nouveau fichier batch).
Planifier une tâche
2. Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur

Planificateur de tâches.
７ Notes
Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez

planifier des tâches, puis cliquez sur Planifier des tâches.
3. Dans Planificateur de tâches, cliquez sur Action, puis sur Créer une tâche.
4. Dans la boîte de dialogue Créer une tâche, tapez <Nom de la tâche> (où <Nom
de la tâche> est le nom de la nouvelle tâche).
5. Cliquez sur l’onglet Actions, puis sur Nouveau.
6. Sous Action :, sélectionnez Démarrer un programme.
7. Sous Programme/script :, cliquez sur Parcourir, recherchez et sélectionnez le

fichier batch créé dans la section « Créer un fichier batch », puis cliquez sur Ouvrir.
8. Cliquez sur OK.
9. Cliquez sur l’onglet General (Général).
10. Sous les options de Sécurité, cliquez sur Modifier l’utilisateur ou le groupe.
11. Tapez le nom du compte Administrateur au niveau du domaine, cliquez sur Vérifier
les noms, puis sur OK.
12. Sélectionnez Exécuter même si l’utilisateur n’est pas connecté, puis Ne pas
stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur
local.
13. Cliquez sur OK.
14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations
d’identification du compte d’utilisateur pour exécuter la tâche.
15. Après avoir entré les informations d’identification, cliquez sur OK.
16. Une boîte de dialogue similaire à ce qui suit doit s’afficher.

l’ouverture de session en tant que service »
modifications d’objet de stratégie de groupe, connectez-vous localement.
3. Dans la zone Rechercher, tapez services, puis cliquez sur Services.
4. Recherchez et double-cliquez sur Spouleur d’impression.
5. Cliquez sur l'onglet Se connecter.
6. Sous Se connecter en tant que :, sélectionnez Ce compte.
7. Cliquez sur Parcourir, tapez le nom du compte Administrateur au niveau du

domaine, cliquez sur Vérifier les noms, et cliquez sur OK.
8. Sous Mot de passe : et Confirmer le mot de passe :, tapez le mot de passe du

compte Administrateur, puis cliquez sur OK.
9. Cliquez à nouveau sur OK à trois reprises.
10. Cliquez avec le bouton droit sur le service Spouleur d’impression, puis
sélectionnez Redémarrer.
11. Lorsque le service est redémarré, une boîte de dialogue similaire à celle-ci doit
s’afficher.
Rétablir les modifications apportées au service de spouleur
d’impression
6. Sous Se connecter en tant que :, sélectionnez le compte Système local, puis

cliquez sur OK.

l’ouverture de session via Services Bureau à distance »
2. Dans la zone Rechercher, tapez connexion Bureau à distance, puis cliquez sur
Connexion Bureau à distance.
3. Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez

vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper
l’adresse IP au lieu du nom de l’ordinateur.)
4. Lorsque vous y êtes invité, fournissez les informations d’identification pour le

compte Administrateur au niveau du domaine.
5. Une boîte de dialogue similaire à ce qui suit doit s’afficher.

Annexe E : Sécurisation des groupes
d’administrateurs de l’entreprise dans
Active Directory

Annexe E : Sécurisation des groupes

d’administrateurs de l’entreprise dans Active
Directory
Le groupe Enterprise Admins (EA), qui est hébergé dans le domaine racine de forêt, ne
doit contenir aucun utilisateur sur une base quotidienne, à l’exception possible du
compte Administrateur du domaine racine, à condition qu’il soit sécurisé comme décrit
dans l’Annexe D : Sécurisation des comptes d’administrateur Built-In dans Active
Directory.
Enterprise Administrateurs sont, par défaut, membres du groupe Administrateurs dans

chaque domaine de la forêt. Vous ne devez pas supprimer le groupe EA des groupes
Administrateurs dans chaque domaine, car en cas de scénario de récupération
d’urgence de forêt, les droits EA seront probablement requis. Le groupe
d’administrateurs Enterprise de la forêt doit être sécurisé comme indiqué dans les
instructions pas à pas qui suivent.
Pour le groupe administrateurs Enterprise dans la forêt :
1. Dans les objets de groupe liés aux unités d’organisation contenant des serveurs
membres et des stations de travail dans chaque domaine, le groupe
administrateurs Enterprise doit être ajouté aux droits d’utilisateur suivants dans
Configuration ordinateur\Policies\Windows Paramètres\Sécurité
Paramètres\Stratégies locales\Affectations de droits d’utilisateur :

2. Configurez l’audit pour envoyer des alertes si des modifications sont apportées aux
propriétés ou à l’appartenance au groupe administrateurs Enterprise.
Instructions pas à pas pour supprimer tous les membres

du groupe d’administrateurs Enterprise
2. Si vous ne gérez pas le domaine racine de la forêt, dans l’arborescence de la

console, cliquez avec le bouton droit sur <Domaine>, puis cliquez sur Modifier le
domaine (où <le> domaine est le nom du domaine que vous gérez actuellement).
3. Dans la boîte de dialogue Modifier le domaine , cliquez sur Parcourir, sélectionnez

le domaine racine de la forêt, puis cliquez sur OK.
4. Pour supprimer tous les membres du groupe EA :

a. Double-cliquez sur le groupe administrateurs Enterprise, puis sur l’onglet
Membres.
b. Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur
OK.
5. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe EA aient été
supprimés.
Instructions pas à pas pour sécuriser les administrateurs

de Enterprise dans Active Directory
1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Stratégie de groupe
Gestion.
2. Dans l’arborescence de la console, développez <Forest>\Domains\<Domain>, puis

stratégie de groupe Objects (où <La> forêt est le nom de la forêt et <du
domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie
de groupe).
７ Notes
Dans une forêt qui contient plusieurs domaines, un objet de stratégie de

groupe similaire doit être créé dans chaque domaine qui nécessite que le
groupe d’administrateurs Enterprise soit sécurisé.
3. Dans l’arborescence de la console, cliquez avec le bouton droit sur stratégie de
groupe Objets, puis cliquez sur Nouveau.
4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe , tapez <le nom>
de l’objet de stratégie de groupe, puis cliquez sur OK (où <le nom de l’objet de
stratégie> de groupe est le nom de cet objet de stratégie de groupe).
5. Dans le volet d’informations, cliquez avec le bouton droit sur <Nom> de l’objet de
stratégie de groupe, puis cliquez sur Modifier.
6. Accédez à Configuration de l’ordinateur\Policies\Windows Paramètres\Sécurité

Paramètres\Stratégies locales, puis cliquez sur Affectation des droits utilisateur.
7. Configurez les droits utilisateur pour empêcher les membres du groupe
administrateurs Enterprise d’accéder aux serveurs membres et aux stations de
travail sur le réseau en procédant comme suit :
a. Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau , puis

b. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.
c. Tapez Enterprise Administrateurs, cliquez sur Vérifier les noms, puis cliquez sur
OK.
d. Cliquez à nouveau sur OK, puis sur OK .
8. Configurez les droits de l’utilisateur pour empêcher les membres du groupe

administrateurs Enterprise de se connecter en tant que travail par lot en procédant
comme suit :

traitement par lot , puis sélectionnez Définir ces paramètres de stratégie.
b. Cliquez sur Ajouter un utilisateur ou un groupe , puis cliquez sur Parcourir.
７ Notes
Dans une forêt qui contient plusieurs domaines, cliquez sur Emplacements
et sélectionnez le domaine racine de la forêt.
OK.
9. Configurez les droits d’utilisateur pour empêcher les membres du groupe EA de se

a. Double-cliquez sur Refuser le journal en tant que service , puis sélectionnez

Définir ces paramètres de stratégie.
b. Cliquez sur Ajouter un utilisateur ou un groupe , puis sur Parcourir.
７ Notes
OK.
administrateurs Enterprise de se connecter localement aux serveurs membres et
aux stations de travail en procédant comme suit :
a. Double-cliquez sur Refuser le journal localement , puis sélectionnez Définir ces

paramètres de stratégie.
７ Notes
OK.
administrateurs Enterprise d’accéder aux serveurs membres et aux stations de
travail via les services Bureau à distance en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session via les services Bureau à

distance , puis sélectionnez Définir ces paramètres de stratégie.
７ Notes
OK.
12. Pour quitter stratégie de groupe Éditeur de gestion, cliquez sur Fichier, puis sur
Quitter.
13. Dans stratégie de groupe Gestion, reliez l’objet de stratégie de groupe au serveur
membre et aux unités d’organisation de station de travail en procédant comme
suit :
a. Accédez à la <forêt>\Domaines\<Domaine> (où <la> forêt est le nom de la

forêt et <> du domaine est le nom du domaine dans lequel vous souhaitez
définir la stratégie de groupe).

stratégie de groupe sera appliqué et cliquez sur Lier un objet de stratégie de
groupe existant.
c. Sélectionnez l’objet de stratégie de groupe que vous venez de créer et cliquez

sur OK.
e. Créez des liens vers tous les autres unités d’organisation qui contiennent des
serveurs membres.
f. Dans une forêt qui contient plusieurs domaines, un objet de stratégie de

groupe similaire doit être créé dans chaque domaine qui nécessite que le
groupe d’administrateurs Enterprise soit sécurisé.
） Important
Si les serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et
Active Directory, assurez-vous que les serveurs de saut se trouvent dans une unité
d’organisation à laquelle ces objets de stratégie de groupe ne sont pas liés.
Vérifiez « Refuser l’accès à cet ordinateur à partir du réseau »

Paramètres
À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté par les
modifications de l’objet de stratégie de groupe (par exemple, un « serveur de saut »),
tentez d’accéder à un serveur membre ou à une station de travail sur le réseau affecté
par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de
stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET
USE en effectuant les étapes suivantes :
1. Connectez-vous localement à l’aide d’un compte membre du groupe EA.
de l’écran. Lorsque la barre Charmes s’affiche, cliquez sur Rechercher.
3. Dans la zone de recherche , tapez l’invite de commandes, cliquez avec le bouton
droit sur Invite de commandes, puis cliquez sur Exécuter en tant
qu’administrateur pour ouvrir une invite de commandes avec élévation de
privilèges.
5. Dans la fenêtre Invite de commandes , tapez net utiliser \\<Server Name>\c$, où

<le> nom du serveur est le nom du serveur membre ou de la station de travail que
vous tentez d’accéder sur le réseau.
Vérifiez « Refuser l’ouverture de session en tant que tâche de

traitement par lot » Paramètres
À partir de n’importe quel serveur membre ou station de travail affecté par les
modifications de l’objet de stratégie de groupe, connectez-vous localement.
Créer un fichier Batch
2. Dans la zone De recherche, tapez le bloc-notes, puis cliquez sur Bloc-notes.

4. Cliquez sur Fichier, puis cliquez sur Enregistrer sous.
5. Dans la zone Nom de fichier , tapez <Nom> de fichier.bat(où <Nom de fichier>

est le nom du nouveau fichier de lot).
2. Dans la zone De recherche , tapez le planificateur de tâches, puis cliquez sur

７ Notes
Sur les ordinateurs exécutant Windows 8, dans la zone de recherche, tapez

des tâches de planification, puis cliquez sur Planifier les tâches.
3. Cliquez sur Action, puis cliquez sur Créer une tâche.
4. Dans la boîte de dialogue Créer une tâche, tapez <le nom> de la tâche (où <> le
nom de la tâche est le nom de la nouvelle tâche).
5. Cliquez sur l’onglet Actions , puis sur Nouveau.
6. Dans le champ Action , sélectionnez Démarrer un programme.
7. Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier

batch créé dans la section Créer un fichier batch , puis cliquez sur Ouvrir.
8. Cliquez sur OK.
10. Dans le champ Options de sécurité , cliquez sur Modifier l’utilisateur ou le

groupe.
11. Tapez le nom d’un compte membre du groupe EAs, cliquez sur Vérifier les noms,
12. Sélectionnez Exécuter si l’utilisateur est connecté ou non et sélectionnez Ne pas

stocker le mot de passe. La tâche n’a accès qu’aux ressources de l’ordinateur local.
13. Cliquez sur OK.
14. Une boîte de dialogue doit apparaître, demandant les informations d’identification
du compte d’utilisateur pour exécuter la tâche.
16. Une boîte de dialogue similaire à ce qui suit doit apparaître.
Vérifiez « Refuser la connexion en tant que service » Paramètres

1. À partir de n’importe quel serveur membre ou station de travail affecté par les
3. Dans la zone De recherche , tapez des services, puis cliquez sur Services.
4. Recherchez et double-cliquez sur Imprimer le spooler.
6. Sous Se connecter comme, sélectionnez Ce compte.
7. Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe EAs, cliquez
sur Vérifier les noms, puis cliquez sur OK.
8. Sous Mot de passe : et Confirmer le mot de passe, tapez le mot de passe du

compte sélectionné, puis cliquez sur OK.
9. Cliquez sur OK trois fois plus.
10. Cliquez avec le bouton droit sur le service Imprimer le spouleur , puis sélectionnez
Redémarrer.
apparaître.
Rétablir les modifications apportées au service Spooler
d’imprimante
3. Dans la zone De recherche , tapez des services, puis cliquez sur Services.
4. Recherchez et double-cliquez sur Imprimer le spooler.
6. Sous Se connecter en tant que, sélectionnez le compte système local , puis cliquez
sur OK.
Vérifiez « Refuser l’ouverture de session localement » Paramètres

de stratégie de groupe
1. À partir d’un serveur membre ou d’une station de travail affecté par les
modifications de l’objet de stratégie de groupe, essayez de vous connecter
localement à l’aide d’un compte membre du groupe EA. Une boîte de dialogue
similaire à ce qui suit doit apparaître.
Vérifiez « Refuser l’ouverture de session via les services Bureau à
distance » Paramètres
2. Dans la zone De recherche , tapez la connexion bureau à distance, puis cliquez

sur Connexion Bureau à distance.

vous connecter, puis cliquez sur Connecter. (Vous pouvez également taper
4. Lorsque vous y êtes invité, fournissez des informations d’identification pour un

compte membre du groupe EA.

Annexe F : Sécurisation des groupes
d’administrateurs de domaine dans
Active Directory

Annexe F : Sécurisation des groupes

d’administrateurs de domaine dans Active
Directory
Comme c’est le cas avec le groupe Enterprise Admins (EA), l’appartenance au groupe
Administrateurs de domaine (DA) doit être requise uniquement dans les scénarios de
génération ou de récupération d’urgence. Il ne doit y avoir aucun compte d’utilisateur
quotidien dans le groupe DA, à l’exception du compte d’administrateur intégré pour le
domaine, s’il a été sécurisé comme décrit dans l’annexe D : Sécurisation des comptes
d’administrateur Built-In dans Active Directory.
Les administrateurs de domaine sont, par défaut, membres des groupes Administrateurs
locaux sur tous les serveurs membres et stations de travail dans leurs domaines
respectifs. Cet imbrication par défaut ne doit pas être modifié à des fins de prise en
charge et de récupération d’urgence. Si les administrateurs de domaine ont été
supprimés des groupes Administrateurs locaux sur les serveurs membres, le groupe doit
être ajouté au groupe Administrateurs sur chaque serveur membre et station de travail
du domaine. Le groupe Administrateurs de domaine de chaque domaine doit être
sécurisé, comme décrit dans les instructions pas à pas qui suivent.
Pour le groupe Administrateurs de domaine dans chaque domaine de la forêt :
1. Supprimez tous les membres du groupe, à l’exception du compte Administrateur

intégré pour le domaine, à condition qu’il ait été sécurisé comme décrit dans
l’annexe D : Sécurisation des comptes d’administrateur Built-In dans Active
Directory.
2. Dans les objets de stratégie de groupe liés aux unités d’organisation contenant des
serveurs membres et des stations de travail dans chaque domaine, le groupe DA
doit être ajouté aux droits d’utilisateur suivants dans Configuration
ordinateur\Stratégies\Windows Paramètres\Sécurité Paramètres\Stratégies
locales\Affectations des droits utilisateur :
Refuser l’ouverture de session via les droits utilisateur des services Bureau à
distance
3. L’audit doit être configuré pour envoyer des alertes si des modifications sont
apportées aux propriétés ou à l’appartenance au groupe Administrateurs de
domaine.
Instructions pas à pas pour supprimer tous les membres du groupe

d’administrateurs de domaine
2. Pour supprimer tous les membres du groupe DA, procédez comme suit :
a. Double-cliquez sur le groupe Administrateurs de domaine , puis cliquez sur

l’onglet Membres .
OK.
3. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe DA aient été
supprimés.
Instructions pas à pas pour sécuriser les administrateurs de

domaine dans Active Directory
Gestion.

stratégie de groupe Objects (où <Forest> est le nom de la forêt et <domaine> est
le nom du domaine dans lequel vous souhaitez définir le stratégie de groupe).

4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez <le nom>
de l’objet de stratégie de groupe, puis cliquez sur OK (où <> le nom de l’objet de
stratégie de groupe est le nom de cet objet de stratégie de groupe).
6. Accédez à Configuration ordinateur\Stratégies\Windows Paramètres\Sécurité

Paramètres\Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

Administrateurs de domaine d’accéder aux serveurs et stations de travail membres
sur le réseau en procédant comme suit :

c. Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
d. Cliquez à nouveau sur OK, puis à nouveau .
8. Configurez les droits utilisateur pour empêcher les membres du groupe DA de se

connecter en tant que tâche de traitement par lots en procédant comme suit :

traitement par lots , puis sélectionnez Définir ces paramètres de stratégie.

9. Configurez les droits utilisateur pour empêcher les membres du groupe DA de se

a. Double-cliquez sur Refuser l’ouverture de session en tant que service , puis

Administrateurs de domaine de se connecter localement aux serveurs et stations
de travail membres en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session localement , puis

Administrateurs de domaine d’accéder aux serveurs membres et aux stations de
travail via les services Bureau à distance en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session via les services Bureau à

distance , puis sélectionnez Définir ces paramètres de stratégie.

Quitter.
13. Dans stratégie de groupe Management, liez l’objet de stratégie de groupe au

serveur membre et aux unités d’organisation de station de travail en procédant
comme suit :
a. Accédez à Forest<>\Domains\<Domain> (où <Forest> est le nom de la forêt et

<Domain> est le nom du domaine dans lequel vous souhaitez définir le

groupe existant.
c. Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis

cliquez sur OK.
serveurs membres.
） Important
Si les serveurs de rebond sont utilisés pour administrer les contrôleurs de

domaine et Active Directory, assurez-vous que les serveurs de rebond se
trouvent dans une unité d’organisation à laquelle ces objets de stratégie de
groupe ne sont pas liés.

Paramètres
À partir de n’importe quel serveur membre ou station de travail qui n’est pas affecté par
les modifications de l’objet de stratégie de groupe (par exemple, un « serveur de rebond
»), tentez d’accéder à un serveur membre ou à une station de travail sur le réseau
affecté par les modifications de l’objet de stratégie de groupe. Pour vérifier les
l’aide de la commande NET USE .
1. Connectez-vous localement à l’aide d’un compte membre du groupe

Administrateurs de domaine.
de l’écran. Lorsque la barre d’icônes s’affiche, cliquez sur Rechercher.

privilèges.

5. Dans la fenêtre d’invite de commandes, tapez net use \\<Server Name>\c$, où
<> Le nom du serveur est le nom du serveur membre ou de la station de travail
auquel vous tentez d’accéder sur le réseau.
Vérifiez que l’objet de stratégie de groupe « Refuser l’ouverture

de session en tant que tâche de traitement par lots » Paramètres
2. Dans la zone de recherche, tapez le Bloc-notes, puis cliquez sur Bloc-notes.
5. Dans le champ Nom de fichier , tapez <Filename>.bat (où <Filename> est le nom
du nouveau fichier batch).
2. Dans la zone de recherche , tapez le planificateur de tâches, puis cliquez sur

７ Notes

3. Dans la barre de menus du Planificateur de tâches, cliquez sur Action, puis sur
Créer une tâche.
4. Dans la boîte de dialogue Créer une tâche, tapez <Le nom> de la tâche (où <> le
7. Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier

de commandes créé dans la section Créer un fichier batch , puis cliquez sur Ouvrir.
8. Cliquez sur OK.
10. Sous Options de sécurité , cliquez sur Modifier l’utilisateur ou le groupe.
11. Tapez le nom d’un compte membre du groupe Administrateurs de domaine,

cliquez sur Vérifier les noms, puis cliquez sur OK.
12. Sélectionnez Exécuter si l’utilisateur est connecté ou non , puis sélectionnez Ne

pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de
13. Cliquez sur OK.
14. Une boîte de dialogue doit s’afficher, demandant des informations d’identification
de compte d’utilisateur pour exécuter la tâche.

Vérifiez l’objet de stratégie de groupe « Refuser l’ouverture de
session en tant que service » Paramètres
3. Dans la zone de recherche , tapez des services, puis cliquez sur Services.
4. Recherchez et double-cliquez sur Imprimer le spouleur.
6. Sous Se connecter en tant que, sélectionnez l’option Ce compte .
7. Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe

Administrateurs de domaine, cliquez sur Vérifier les noms, puis cliquez sur OK.
8. Sous Mot de passe et Confirmer le mot de passe, tapez le mot de passe du

compte sélectionné, puis cliquez sur OK.
9. Cliquez sur OK trois fois de plus.
10. Cliquez avec le bouton droit sur Imprimer le spouleur , puis cliquez sur
Redémarrer.
11. Lorsque le service est redémarré, une boîte de dialogue similaire à ce qui suit doit
apparaître.
Rétablir les modifications apportées au service spouleur

d’imprimante
6. Sous Se connecter en tant que, sélectionnez le compte système local , puis cliquez
sur OK.

de session localement » Paramètres
modifications de l’objet de stratégie de groupe, essayez de vous connecter
localement à l’aide d’un compte membre du groupe Administrateurs de domaine.
Une boîte de dialogue similaire à ce qui suit doit apparaître.

de session via les services Bureau à distance » Paramètres
2. Dans la zone de recherche , tapez connexion Bureau à distance, puis cliquez sur

vous connecter, puis cliquez sur Connecter. (Vous pouvez également taper
4. Lorsque vous y êtes invité, fournissez des informations d’identification pour un

compte membre du groupe Administrateurs de domaine.

Annexe G : Sécurisation des groupes
d’administrateurs dans Active Directory

Annexe G : Sécurisation des groupes

d’administrateurs dans Active Directory
Comme c’est le cas avec les groupes d’administrateurs de Enterprise (EA) et
d’administrateurs de domaine (DA), l’appartenance au groupe Administrateurs intégrés
(BA) doit être requise uniquement dans les scénarios de génération ou de récupération
d’urgence. Il ne doit y avoir aucun compte d’utilisateur quotidien dans le groupe
Administrateurs, à l’exception du compte Administrateur intégré pour le domaine, s’il a
été sécurisé comme décrit dans l’Annexe D : Sécurisation des comptes d’administrateur
Built-In dans Active Directory.
Les administrateurs sont, par défaut, les propriétaires de la plupart des objets AD DS
dans leurs domaines respectifs. L’appartenance à ce groupe peut être nécessaire dans
les scénarios de génération ou de récupération d’urgence dans lesquels la propriété ou
la possibilité de prendre possession d’objets est requise. En outre, les autorités de
certification et les autorités de certification héritent d’un certain nombre de leurs droits
et autorisations en vertu de leur appartenance par défaut au groupe Administrateurs.
L’imbrication de groupes par défaut pour les groupes privilégiés dans Active Directory
ne doit pas être modifiée, et le groupe Administrateurs de chaque domaine doit être
sécurisé comme décrit dans les instructions pas à pas qui suivent.
Pour le groupe Administrateurs dans chaque domaine de la forêt :
1. Supprimez tous les membres du groupe Administrateurs, à l’exception du compte

Administrateur intégré pour le domaine, à condition qu’il ait été sécurisé comme
décrit dans l’annexe D : Sécurisation des comptes d’administrateur Built-In dans
Active Directory.
2. Dans les objets de stratégie de groupe liés aux unités d’organisation contenant des
serveurs membres et des stations de travail dans chaque domaine, le groupe BA
doit être ajouté aux droits d’utilisateur suivants dans Configuration
ordinateur\Stratégies\Windows Paramètres\Sécurité Paramètres\Stratégies
locales\ Attribution des droits d’utilisateur :
3. Dans l’unité d’organisation des contrôleurs de domaine de chaque domaine de la

forêt, le groupe Administrateurs doit disposer des droits d’utilisateur suivants :
4. L’audit doit être configuré pour envoyer des alertes si des modifications sont
apportées aux propriétés ou à l’appartenance au groupe Administrateurs.
Instructions pas à pas pour supprimer tous les membres du groupe

Administrateurs
2. Pour supprimer tous les membres du groupe Administrateurs, procédez comme

suit :
a. Double-cliquez sur le groupe Administrateurs , puis sur l’onglet Membres .

OK.
3. Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs

aient été supprimés.
Instructions pas à pas pour sécuriser les groupes d’administrateurs

Gestion.


de l’objet de stratégie de groupe, puis cliquez sur OK(où le nom de l’objet de

Administrateurs d’accéder aux serveurs membres et aux stations de travail sur le
réseau en procédant comme suit :

c. Tapez Administrateurs, cliquez sur Vérifier les noms, puis sur OK.

Administrateurs de se connecter en tant que tâche de traitement par lots en

traitement par lots , puis sélectionnez Définir ces paramètres de stratégie.

Administrateurs de se connecter en tant que service en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session en tant que service , puis


Quitter.
11. Dans stratégie de groupe Management, liez l’objet de stratégie de groupe au

serveur membre et aux unités d’organisation de station de travail en procédant
comme suit :
a. Accédez à Forest<>>\Domains\<Domain> (où <Forest> est le nom de la forêt

et <Domain> est le nom du domaine dans lequel vous souhaitez définir le

groupe existant.

cliquez sur OK.
serveurs membres.
） Important
Si les serveurs de rebond sont utilisés pour administrer les contrôleurs de

domaine et Active Directory, assurez-vous que les serveurs de rebond se
trouvent dans une unité d’organisation à laquelle ces objets de stratégie de
groupe ne sont pas liés.
７ Notes
Lorsque vous implémentez des restrictions sur le groupe Administrateurs

dans les objets de stratégie de groupe, Windows applique les paramètres
aux membres du groupe Administrateurs local d’un ordinateur en plus du
groupe Administrateurs du domaine. Par conséquent, vous devez être
prudent lors de l’implémentation de restrictions dans le groupe
Administrateurs. Bien que l’interdiction des connexions de réseau, de
traitement par lots et de service pour les membres du groupe
Administrateurs soit conseillée partout où il est possible d’implémenter, ne
limitez pas les ouvertures de session locales ou les ouvertures de session
via les services Bureau à distance. Le blocage de ces types d’ouverture de
session peut bloquer l’administration légitime d’un ordinateur par les
membres du groupe Administrateurs local.
La capture d’écran suivante montre les paramètres de configuration qui

bloquent l’utilisation abusive des comptes administrateurs locaux et de
domaine intégrés, en plus de l’utilisation abusive des groupes
administrateurs locaux ou de domaine intégrés. Notez que le droit
d’utilisateur Refuser l’ouverture de session via les services Bureau à
distance n’inclut pas le groupe Administrateurs, car son inclusion dans ce
paramètre bloque également ces ouvertures de session pour les comptes
membres du groupe Administrateurs de l’ordinateur local. Si les services
sur les ordinateurs sont configurés pour s’exécuter dans le contexte de l’un
des groupes privilégiés décrits dans cette section, l’implémentation de ces
paramètres peut entraîner l’échec des services et des applications. Par
conséquent, comme pour toutes les recommandations de cette section,
vous devez tester minutieusement les paramètres d’applicabilité dans votre
environnement.
Instructions pas à pas pour accorder des droits d’utilisateur au
groupe Administrateurs
Gestion.


de l’objet de stratégie de groupe, puis cliquez sur OK (où <> le nom de l’objet de

7. Configurez les droits utilisateur pour autoriser les membres du groupe

Administrateurs à accéder aux contrôleurs de domaine sur le réseau en procédant
comme suit :
a. Double-cliquez sur Accéder à cet ordinateur à partir du réseau , puis

c. Cliquez sur Ajouter un utilisateur ou un groupe , puis sur Parcourir.

Administrateurs à se connecter localement en procédant comme suit :
a. Double-cliquez sur Autoriser l’ouverture de session localement , puis

Administrateurs à se connecter via les services Bureau à distance en procédant
comme suit :
a. Double-cliquez sur Autoriser la connexion via les services Bureau à distance ,

puis sélectionnez Définir ces paramètres de stratégie.
Quitter.
11. Dans stratégie de groupe Management, liez l’objet de stratégie de groupe à

l’unité d’organisation des contrôleurs de domaine en procédant comme suit :
a. Accédez à Forest<>\Domains\<Domain> (où <Forest> est le nom de la forêt et

<Domain> est le nom du domaine dans lequel vous souhaitez définir le
b. Cliquez avec le bouton droit sur l’unité d’organisation des contrôleurs de

domaine, puis cliquez sur Lier un objet de stratégie de groupe existant.
cliquez sur OK.

Paramètres
À partir de n’importe quel serveur membre ou station de travail qui n’est pas affecté par
les modifications de l’objet de stratégie de groupe (par exemple, un « serveur de rebond
»), tentez d’accéder à un serveur membre ou à une station de travail sur le réseau
affecté par les modifications de l’objet de stratégie de groupe. Pour vérifier les
l’aide de la commande NET USE .
1. Connectez-vous localement à l’aide d’un compte membre du groupe

Administrateurs.

privilèges.

5. Dans la fenêtre d’invite de commandes, tapez net use \\<Server Name>\c$, où
<> Le nom du serveur est le nom du serveur membre ou de la station de travail
auquel vous tentez d’accéder sur le réseau.

de session en tant que tâche de traitement par lots » Paramètres
2. Dans la zone de recherche, tapez le Bloc-notes, puis cliquez sur Bloc-notes.
5. Dans le champ Nom de fichier , tapez <Filename>.bat (où <Filename> est le nom
du nouveau fichier de lot).
2. Dans la zone de recherche , tapez le planificateur de tâches, puis cliquez sur

７ Notes

3. Cliquez sur Action, puis sur Créer une tâche.
4. Dans la boîte de dialogue Créer une tâche, tapez <Le nom> de la tâche (où <> le
7. Dans le champ Programme/script , cliquez sur Parcourir, recherchez et

sélectionnez le fichier de commandes créé dans la section Créer un fichier batch ,
puis cliquez sur Ouvrir.
8. Cliquez sur OK.
10. Dans le champ Options de sécurité , cliquez sur Modifier l’utilisateur ou le

groupe.
11. Tapez le nom d’un compte membre du groupe Administrateurs, cliquez sur Vérifier
les noms, puis sur OK.
12. Sélectionnez Exécuter si l’utilisateur est connecté ou non et ne pas stocker le mot
de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.
13. Cliquez sur OK.
14. Une boîte de dialogue doit s’afficher, demandant des informations d’identification
de compte d’utilisateur pour exécuter la tâche.
15. Après avoir entré le mot de passe, cliquez sur OK.

Vérifiez l’objet de stratégie de groupe « Refuser l’ouverture de

session en tant que service » Paramètres
6. Dans le champ Ouvrir une session en tant que champ, sélectionnez Ce compte.
7. Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe

Administrateurs, cliquez sur Vérifier les noms, puis cliquez sur OK.
8. Dans les champs Mot de passe et Confirmer le mot de passe , tapez le mot de
passe du compte sélectionné, puis cliquez sur OK.
9. Cliquez sur OK trois fois de plus.
10. Cliquez avec le bouton droit sur Imprimer le spouleur , puis cliquez sur
Redémarrer.
11. Lorsque le service est redémarré, une boîte de dialogue similaire à ce qui suit doit
apparaître.
Rétablir les modifications apportées au service spouleur
d’imprimante
6. Dans le champ Ouvrir une session en tant que champ, cliquez sur Compte
système local , puis sur OK.
Annexe H : Sécurisation des groupes et
des comptes des administrateurs locaux

Annexe H : Sécurisation des groupes et des

comptes des administrateurs locaux
Sur toutes les versions de Windows actuellement prises en charge, le compte
Administrateur local est désactivé par défaut, ce qui le rend inutilisable pour les attaques
Pass-the-hash et autres vols d’informations d’identification. Toutefois, dans les
environnements qui contiennent des systèmes d’exploitation hérités ou dans lesquels
des comptes d’administrateur locaux ont été activés, ces comptes peuvent être utilisés
comme décrit précédemment pour propager la compromission entre les serveurs
membres et les stations de travail. Chaque compte d’administrateur local et chaque
groupe doit être sécurisé comme décrit dans les instructions pas à pas qui suivent.
Pour plus d’informations sur les considérations relatives à la sécurisation des groupes
d’administrateur intégrés (BA), consultez Implémentation de modèles d’administration
Least-Privilege.
Contrôles pour les comptes Administrateur locaux

Pour le compte d’administrateur local dans chaque domaine de votre forêt, vous devez
configurer les paramètres suivants :
Configurer des objets de stratégie de groupe pour restreindre l’utilisation du

compte d’administrateur du domaine sur les systèmes joints à un domaine
Dans un ou plusieurs objets de stratégie de groupe que vous créez et liez à des
unités d’organisation de station de travail et de serveur membre dans chaque
domaine, ajoutez le compte Administrateur aux droits utilisateur suivants dans
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de
sécurité\Stratégies locales\Attributions des droits utilisateur :

Instructions pas à pas pour sécuriser les groupes d’administrateurs

locaux
Configuration des objets de stratégie de groupe pour restreindre le

compte administrateur sur les systèmes Domain-Joined
1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de
groupe.
2. Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>,

puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et
<Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie
de groupe).
3. Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de

stratégie de groupe, puis cliquez sur Nouveau.
4. Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez <Nom> de

l’objet de stratégie de groupe, puis cliquez sur OK (où <Nom> de l’objet de
groupe est le nom de cet objet de stratégie de groupe).
5. Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de
stratégie de groupe>, puis cliquez sur Modifier.
6. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres

de sécurité\Stratégies locales, puis cliquez sur Attribution des droits d’utilisation.
7. Configurez les droits de l’utilisateur pour empêcher le compte administrateur local

d’accéder aux serveurs et stations de travail des membres sur le réseau en
a. Double-cliquez sur Interdire l’accès à cet ordinateur à partir du réseau, puis

b. Cliquez sur Ajouter un utilisateur ou un groupe, tapez le nom d’utilisateur du

compte administrateur local, puis cliquez sur OK. Ce nom d’utilisateur est
Administrateur, la valeur par défaut lorsque Windows est installé.
c. Cliquez sur OK.
） Important
Lorsque vous ajoutez le compte Administrateur à ces paramètres, vous

spécifiez si vous configurez un compte Administrateur local ou un compte
Administrateur de domaine selon la façon dont vous étiquetez les comptes.
Par exemple, pour ajouter le compte Administrateur du domaine
TAILSPINTOYS à ces droits de refus, vous accédez au compte
Administrateur pour le domaine TAILSPINTOYS, qui apparaît sous la forme
TAILSPINTOYS\Administrateur. Si vous tapez Administrateur dans ces
paramètres de droits utilisateur dans l’éditeur d’objets stratégie de groupe,
vous allez restreindre le compte administrateur local sur chaque ordinateur
auquel l’objet de stratégie de groupe est appliqué, comme décrit
précédemment.

de se connecter en tant que travail par lots en procédant comme suit :
a. Double-cliquez sur Interdire l’ouverture de session en tant que tâche, puis


c. Cliquez sur OK.
） Important

spécifiez si vous configurez le compte Administrateur local ou le compte
Administrateur de domaine en étiquetant les comptes. Par exemple, pour
ajouter le compte Administrateur du domaine TAILSPINTOYS à ces droits
de refus, vous accédez au compte Administrateur pour le domaine
TAILSPINTOYS, qui apparaît sous la forme TAILSPINTOYS\Administrateur. Si
vous tapez Administrateur dans ces paramètres de droits utilisateur dans
l’éditeur d’objets stratégie de groupe, vous allez restreindre le compte
administrateur local sur chaque ordinateur auquel l’objet de stratégie de
groupe est appliqué, comme décrit précédemment.

de se connecter en tant que service en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session en tant que service, puis

c. Cliquez sur OK.
） Important

d’accéder aux serveurs membres et aux stations de travail via les services Bureau à
distance en procédant comme suit :
a. Double-cliquez sur Refuser l’ouverture de session via Services Bureau à

distance et sélectionnez Définir ces paramètres de stratégie.

c. Cliquez sur OK.
） Important
11. Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis
sur Quitter.
12. Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux
unités d’organisation des stations de travail et serveurs membres en effectuant les
étapes suivantes :
a. Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et

<Domaine> est le nom du domaine dans lequel vous souhaitez définir la

groupe existant.
c. Sélectionnez l’objet de stratégie de groupe que vous avez créé, puis cliquez sur
OK.
serveurs membres.

l’accès à cet ordinateur à partir du réseau »
À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les
modifications de l’objet de stratégie de groupe (par exemple, un serveur de saut),
essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est
affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les
l’aide de la commande NET USE.
1. Connectez-vous localement à n’importe quel serveur membre ou station de travail

qui n’est pas affecté par les modifications apportées à l’objet de stratégie de
groupe.
3. Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit
sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur
pour ouvrir une invite de commandes avec élévation de privilèges.
5. Dans la fenêtre Invite de commandes , tapez net use \\<Server Name>\c$ /user:
<Server Name>\Administrator , où <Nom> du serveur est le nom du serveur
membre ou de la station de travail auquel vous tentez d’accéder via le réseau.

７ Notes
Les informations d’identification d’administrateur locales doivent provenir du

même système que celui auquel vous tentez d’accéder via le réseau.
Vérifier les paramètres de l’objet de stratégie de groupe

« Interdire l’ouverture de session en tant que tâche »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications
d’objet de stratégie de groupe, connectez-vous localement.
2. Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.
5. Dans la zone Nom de fichier , tapez <Filename>.bat (où <Filename> est le nom du
nouveau fichier batch).
2. Dans la zone De recherche , tapez planificateur de tâches, puis cliquez sur
７ Notes
Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez

planifier des tâches, puis cliquez sur Planifier des tâches.
3. Cliquez sur Action, puis sur Créer une tâche.
4. Dans la boîte de dialogue Créer une tâche, tapez <nom_tâche> (où <nom_tâche>
est le nom de la nouvelle tâche).
5. Cliquez sur l’onglet Actions, puis sur Nouveau.
6. Dans le champ Action , cliquez sur Démarrer un programme.
7. Dans le champ Programme/script, cliquez sur Parcourir, recherchez et

sélectionnez le fichier de commandes créé dans la section Créer un fichier de
commandes, puis cliquez sur Ouvrir.
8. Cliquez sur OK.
10. Dans le champ Options de sécurité, cliquez sur Utilisateur ou groupe.
11. Tapez le nom du compte d’administrateur local du système, cliquez sur Vérifier les
noms, puis cliquez sur OK.
12. Sélectionnez Exécuter même si l’utilisateur n’est pas connecté et Ne pas

mémoriser le mot de passe. La tâche n’aura accès qu’aux ressources de
13. Cliquez sur OK.
14. Une boîte de dialogue doit s’afficher, invitant à fournir les informations
d’identification du compte d’utilisateur pour exécuter la tâche.
16. Une boîte de dialogue similaire à celle qui suit doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire
l’ouverture de session en tant que service »
6. Dans le champ Ouvrir une session en tant que , cliquez sur Ce compte.
7. Cliquez sur Parcourir, tapez le compte administrateur local du système, cliquez sur
Vérifier les noms, puis cliquez sur OK.
8. Dans les champs Mot de passe et Confirmer le mot de passe, tapez le mot de
passe du compte sélectionné, puis cliquez sur OK.
9. Cliquez à nouveau sur OK à trois reprises.
10. Cliquez avec le bouton droit sur Spouleur d’impression et cliquez sur Redémarrer.
s’afficher.
Annuler les modifications apportées au service Spouleur d’impression
6. Dans le champ Ouvrir une session en tant que : , sélectionnez Compte système
local, puis cliquez sur OK.

l’ouverture de session via Services Bureau à distance »
2. Dans la zone Rechercher, tapez connexion Bureau à distance, puis cliquez sur

vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper
4. Lorsque vous y êtes invité, fournissez les informations d’identification pour le

compte administrateur local du système.
5. Une boîte de dialogue similaire à celle qui suit doit s’afficher.

Annexe I : Création de comptes de
gestion pour les comptes protégés et
les groupes dans Active Directory

L’un des défis de l’implémentation d’un modèle Active Directory qui ne repose pas sur
l’appartenance permanente aux groupes hautement privilégiés est qu’il doit y avoir un
mécanisme pour remplir ces groupes lorsque l’appartenance temporaire aux groupes
est requise. Certaines solutions de gestion des identités privilégiées nécessitent que les
comptes de service du logiciel reçoivent une appartenance permanente à des groupes
tels que DA ou Administrateurs dans chaque domaine de la forêt. Toutefois, il n’est pas
techniquement nécessaire pour Privileged Identity Management solutions PIM pour
exécuter leurs services dans de tels contextes privilégiés.
Cette annexe fournit des informations que vous pouvez utiliser pour les solutions PIM
implémentées en mode natif ou tierce pour créer des comptes disposant de privilèges
limités et peuvent être strictement contrôlés, mais peuvent être utilisés pour remplir des
groupes privilégiés dans Active Directory lorsque l’élévation temporaire est requise. Si
vous implémentez PIM en tant que solution native, ces comptes peuvent être utilisés par
le personnel administratif pour effectuer la population de groupe temporaire, et si vous
implémentez PIM via un logiciel tiers, vous pouvez peut-être adapter ces comptes en
tant que comptes de service.
７ Notes
Les procédures décrites dans cette annexe fournissent une approche de la gestion
des groupes hautement privilégiés dans Active Directory. Vous pouvez adapter ces
procédures en fonction de vos besoins, ajouter des restrictions supplémentaires ou
omettre certaines des restrictions décrites ici.
Création de comptes de gestion pour les

groupes et les comptes protégés dans Active
Directory
La création de comptes qui peuvent être utilisés pour gérer l’appartenance à des
groupes privilégiés sans que les comptes de gestion soient autorisés à accorder des
droits excessifs et des autorisations se compose de quatre activités générales décrites
dans les instructions pas à pas qui suivent :
1. Tout d’abord, vous devez créer un groupe qui gérera les comptes, car ces comptes
doivent être gérés par un ensemble limité d’utilisateurs approuvés. Si vous ne
disposez pas déjà d’une structure d’unité d’organisation qui prend en charge les
comptes privilégiés et protégés et les systèmes provenant de la population
générale du domaine, vous devez en créer un. Bien que des instructions
spécifiques ne soient pas fournies dans cette annexe, les captures d’écran
montrent un exemple de telle hiérarchie d’unité d’organisation.
2. Créez les comptes de gestion. Ces comptes doivent être créés en tant que comptes
d’utilisateur « réguliers » et n’ont pas de droits d’utilisateur au-delà de ceux qui
sont déjà accordés aux utilisateurs par défaut.
3. Implémentez des restrictions sur les comptes de gestion qui les rendent utilisables
uniquement à des fins spécialisées pour lesquelles elles ont été créées, en plus de
contrôler qui peut activer et utiliser les comptes (le groupe que vous avez créé à la
première étape).
4. Configurez les autorisations sur l’objet AdminSDHolder dans chaque domaine pour
permettre aux comptes de gestion de modifier l’appartenance des groupes
privilégiés dans le domaine.
Vous devez tester soigneusement toutes ces procédures et les modifier si nécessaire
pour votre environnement avant de les implémenter dans un environnement de
production. Vous devez également vérifier que tous les paramètres fonctionnent comme
prévu (certaines procédures de test sont fournies dans cette annexe) et vous devez
tester un scénario de récupération d’urgence dans lequel les comptes de gestion ne
sont pas disponibles pour remplir des groupes protégés à des fins de récupération. Pour
plus d’informations sur la sauvegarde et la restauration d’Active Directory, consultez le
guide pas à pas de sauvegarde et de récupération AD DS.
７ Notes
En implémentant les étapes décrites dans cette annexe, vous allez créer des
comptes capables de gérer l’appartenance à tous les groupes protégés de chaque
domaine, et non seulement les groupes Active Directory les plus privilégiés tels que
les EAs, les autorités de certification et les autorités de certification. Pour plus
d’informations sur les groupes protégés dans Active Directory, consultez l’annexe C
: Comptes et groupes protégés dans Active Directory.
Instructions pas à pas pour créer des comptes de gestion

pour les groupes protégés
Création d’un groupe pour activer et désactiver des comptes de

gestion
Les comptes de gestion doivent avoir leurs mots de passe réinitialisés à chaque
utilisation et doivent être désactivés lorsque les activités nécessitant qu’elles soient
terminées. Bien que vous envisagez également d’implémenter des exigences de
connexion à carte à puce pour ces comptes, il s’agit d’une configuration facultative et
ces instructions supposent que les comptes de gestion seront configurés avec un nom
d’utilisateur et un mot de passe complexe comme contrôles minimum. Dans cette étape,
vous allez créer un groupe disposant d’autorisations pour réinitialiser le mot de passe
sur les comptes de gestion et activer et désactiver les comptes.
Pour créer un groupe pour activer et désactiver des comptes de gestion, procédez
comme suit :
1. Dans la structure de l’unité d’organisation où vous trouverez les comptes de

gestion, cliquez avec le bouton droit sur l’unité d’organisation où vous souhaitez
créer le groupe, cliquez sur Nouveau et cliquez sur Groupe.
2. Dans la boîte de dialogue Nouvel objet - Groupe , entrez un nom pour le groupe.
Si vous envisagez d’utiliser ce groupe pour « activer » tous les comptes de gestion
dans votre forêt, faites-le un groupe de sécurité universel. Si vous avez une forêt à
domaine unique ou si vous envisagez de créer un groupe dans chaque domaine,
vous pouvez créer un groupe de sécurité global. Cliquez sur OK pour créer le
groupe.
3. Cliquez avec le bouton droit sur le groupe que vous venez de créer, cliquez sur
Propriétés, puis cliquez sur l’onglet Objet . Dans la boîte de dialogue Propriété
d’objet du groupe, sélectionnez Protéger l’objet contre la suppression
accidentelle, ce qui empêchera non seulement les utilisateurs autorisés à
supprimer le groupe, mais aussi de le déplacer vers une autre unité d’organisation,
sauf si l’attribut est d’abord désélectionné.
７ Notes
Si vous avez déjà configuré des autorisations sur les unités d’organisation
parentes du groupe pour restreindre l’administration à un ensemble limité
d’utilisateurs, vous n’avez peut-être pas besoin d’effectuer les étapes
suivantes. Ils sont fournis ici afin que même si vous n’avez pas encore
implémenté de contrôle administratif limité sur la structure d’unité
d’organisation dans laquelle vous avez créé ce groupe, vous pouvez sécuriser
le groupe contre la modification par des utilisateurs non autorisés.
4. Cliquez sur l’onglet Membres , puis ajoutez les comptes pour les membres de
votre équipe qui seront chargés d’activer les comptes de gestion ou de remplir des
groupes protégés si nécessaire.
5. Si ce n’est pas déjà fait, dans la console Utilisateurs et ordinateurs Active

Directory, cliquez sur Afficher et sélectionner Fonctionnalités avancées. Cliquez
avec le bouton droit sur le groupe que vous venez de créer, cliquez sur Propriétés,
puis cliquez sur l’onglet Sécurité . Sous l’onglet Sécurité , cliquez sur Avancé.
6. Dans la boîte de dialogue Paramètres de sécurité avancée pour [Groupe], cliquez

sur Désactiver l’héritage. Lorsque vous y êtes invité, cliquez sur Convertir les
autorisations héritées en autorisations explicites sur cet objet, puis cliquez sur OK
pour revenir à la boîte de dialogue Sécurité du groupe.
7. Sous l’onglet Sécurité , supprimez les groupes qui ne doivent pas être autorisés à
accéder à ce groupe. Par exemple, si vous ne souhaitez pas que les utilisateurs
authentifiés puissent lire le nom du groupe et les propriétés générales, vous
pouvez supprimer cet ACE. Vous pouvez également supprimer des ACL, telles que
celles des opérateurs de compte et l’accès compatible avec le serveur pré-
Windows 2000. Toutefois, vous devez laisser un ensemble minimal d’autorisations
d’objet en place. Laissez les ACL suivantes intactes :
SELF
SYSTEM
Admins du domaine
Administrateurs
Windows groupe d’accès d’autorisation (le cas échéant)
CONTRÔLEURS DE DOMAINE D’ENTREPRISE
Bien qu’il semble contre-intuitif d’autoriser les groupes privilégiés les plus élevés
dans Active Directory à gérer ce groupe, votre objectif dans l’implémentation de
ces paramètres n’est pas d’empêcher les membres de ces groupes d’apporter des
modifications autorisées. Au lieu de cela, l’objectif est de s’assurer que lorsque
vous avez l’occasion d’exiger des niveaux de privilèges très élevés, les
modifications autorisées réussissent. C’est pour cette raison que la modification de
l’imbrication, des droits et des autorisations de groupe privilégié par défaut est
déconseillée tout au long de ce document. En laissant les structures par défaut
intactes et vider l’appartenance des groupes de privilèges les plus élevés dans
l’annuaire, vous pouvez créer un environnement plus sécurisé qui fonctionne
toujours comme prévu.
７ Notes
Si vous n’avez pas déjà configuré de stratégies d’audit pour les objets de la
structure d’unité d’organisation où vous avez créé ce groupe, vous devez
configurer l’audit pour enregistrer les modifications de ce groupe.
8. Vous avez terminé la configuration du groupe qui sera utilisé pour « extraire » les
comptes de gestion quand ils sont nécessaires et « archiver » les comptes lorsque
leurs activités ont été terminées.
Création des comptes de gestion

Vous devez créer au moins un compte qui sera utilisé pour gérer l’appartenance aux
groupes privilégiés dans votre installation Active Directory, et de préférence un
deuxième compte à servir de sauvegarde. Que vous choisissiez de créer les comptes de
gestion dans un domaine unique dans la forêt et de leur accorder des fonctionnalités de
gestion pour tous les groupes protégés de domaines, ou si vous choisissez
d’implémenter des comptes de gestion dans chaque domaine de la forêt, les procédures
sont effectivement identiques.
７ Notes
Les étapes de ce document supposent que vous n’avez pas encore implémenté de
contrôles d’accès en fonction du rôle et de gestion des identités privilégiées pour
Active Directory. Par conséquent, certaines procédures doivent être effectuées par
un utilisateur dont le compte est membre du groupe Administrateurs de domaine
pour le domaine en question.
Lorsque vous utilisez un compte avec des privilèges DA, vous pouvez vous
connecter à un contrôleur de domaine pour effectuer les activités de configuration.
Les étapes qui ne nécessitent pas de privilèges DA peuvent être effectuées par des
comptes moins privilégiés connectés aux stations de travail administratives. Les
captures d’écran qui affichent les boîtes de dialogue délimitées dans la couleur
bleue plus claire représentent les activités qui peuvent être effectuées sur un
contrôleur de domaine. Les captures d’écran qui affichent les boîtes de dialogue
dans la couleur bleu foncé représentent des activités qui peuvent être effectuées
sur des stations de travail administratives avec des comptes disposant de privilèges
limités.
Pour créer les comptes de gestion, procédez comme suit :
1. Connectez-vous à un contrôleur de domaine avec un compte membre du groupe

DA du domaine.
2. Lancez Utilisateurs et ordinateurs Active Directory et accédez à l’unité

d’organisation où vous allez créer le compte de gestion.
3. Cliquez avec le bouton droit sur l’unité d’organisation, puis cliquez sur Nouveau,
puis cliquez sur Utilisateur.
4. Dans la boîte de dialogue Nouvel objet - Utilisateur , entrez vos informations de

nommage souhaitées pour le compte, puis cliquez sur Suivant.
5. Fournissez un mot de passe initial pour le compte d’utilisateur, désactivez

l’utilisateur doit modifier le mot de passe à l’ouverture de session suivante,
sélectionnez Utilisateur ne peut pas modifier le mot de passe et le compte est
désactivé, puis cliquez sur Suivant.
6. Vérifiez que les détails du compte sont corrects et cliquez sur Terminer.
7. Cliquez avec le bouton droit sur l’objet utilisateur que vous venez de créer et
8. Cliquez sur l’onglet Compte.
9. Dans le champ Options du compte, sélectionnez le compte est sensible et ne peut

pas être délégué , sélectionnez le compte qui prend en charge le chiffrement
Kerberos AES 128 bits et/ou le compte ce compte prend en charge l’indicateur de
chiffrement Kerberos AES 256 , puis cliquez sur OK.
７ Notes
Étant donné que ce compte, comme d’autres comptes, aura une fonction
limitée, mais puissante, le compte ne doit être utilisé que sur des hôtes
d’administration sécurisés. Pour tous les hôtes d’administration sécurisés de
votre environnement, vous devez envisager d’implémenter le stratégie de
groupe définissant la sécurité réseau : configurer les types de chiffrement
autorisés pour Kerberos afin d’autoriser uniquement les types de chiffrement
les plus sécurisés que vous pouvez implémenter pour les hôtes sécurisés.
Bien que l’implémentation de types de chiffrement plus sécurisés pour les

hôtes n’atténue pas les attaques de vol d’informations d’identification,
l’utilisation et la configuration appropriées des hôtes sécurisés le fait. La
définition de types de chiffrement plus forts pour les hôtes utilisés
uniquement par des comptes privilégiés réduit simplement la surface
d’attaque globale des ordinateurs.
Pour plus d’informations sur la configuration des types de chiffrement sur les
systèmes et les comptes, consultez Windows Configurations pour le type de
chiffrement pris en charge Kerberos.
Ces paramètres sont pris en charge uniquement sur les ordinateurs exécutant
Windows Server 2012, Windows Server 2008 R2, Windows 8 ou Windows 7.
10. Sous l’onglet Objet , sélectionnez Protéger l’objet contre la suppression

accidentelle. Cela empêchera non seulement la suppression de l’objet (même par
les utilisateurs autorisés), mais empêchera son déplacement vers une autre unité
d’organisation dans votre hiérarchie AD DS, sauf si la case à cocher est d’abord
désactivée par un utilisateur avec autorisation de modifier l’attribut.
11. Cliquez sur l’onglet Contrôle à distance .

12. Désactivez l’indicateur Activer le contrôle à distance . Il ne doit jamais être
nécessaire pour que le personnel du support technique se connecte aux sessions
de ce compte pour implémenter des correctifs.
７ Notes
Chaque objet dans Active Directory doit avoir un propriétaire informatique

désigné et un propriétaire d’entreprise désigné, comme décrit dans Planning
for Compromise. Si vous effectuez le suivi de la propriété des objets AD DS
dans Active Directory (par opposition à une base de données externe), vous
devez entrer les informations de propriété appropriées dans les propriétés de
cet objet.
Dans ce cas, le propriétaire de l’entreprise est probablement une division

informatique, et il n’est pas interdit aux propriétaires d’entreprise d’être
également propriétaires informatiques. Le point d’établissement de la
propriété des objets est de vous permettre d’identifier les contacts lorsque
des modifications doivent être apportées aux objets, peut-être des années à
partir de leur création initiale.
13. Cliquez sur l’onglet Organisation .
14. Entrez les informations requises dans vos normes d’objet AD DS.
15. Cliquez sur l’onglet Rendez-vous .
16. Dans le champ Autorisation d’accès réseau , sélectionnez Refuser l’accès. Ce

compte ne doit jamais avoir besoin de se connecter via une connexion à distance.
７ Notes
Il est peu probable que ce compte soit utilisé pour se connecter à des
contrôleurs de domaine en lecture seule (RODC) dans votre environnement.
Toutefois, si les circonstances nécessitent que le compte se connecte à un
contrôleur de domaine en lecture seule, vous devez ajouter ce compte au
groupe de réplication de mot de passe RODC refusé afin que son mot de
passe ne soit pas mis en cache sur le contrôleur de domaine en lecture seule.
Bien que le mot de passe du compte soit réinitialisé après chaque utilisation
et que le compte soit désactivé, l’implémentation de ce paramètre n’a pas
d’effet deleterieux sur le compte et peut aider dans les situations où un
administrateur oublie de réinitialiser le mot de passe du compte et de le
désactiver.
17. Cliquez sur l’onglet Membre de.
18. Cliquez sur Add.
19. Tapez le groupe de réplication de mot de passe RODC refusé dans la boîte de
dialogue Sélectionner les utilisateurs, contacts, ordinateurs, puis cliquez sur
Vérifier les noms. Lorsque le nom du groupe est souligné dans le sélecteur
d’objets, cliquez sur OK et vérifiez que le compte est maintenant membre des deux
groupes affichés dans la capture d’écran suivante. N’ajoutez pas le compte à des
groupes protégés.
20. Cliquez sur OK.
21. Cliquez sur l’onglet Sécurité , puis sur Avancé.
22. Dans la boîte de dialogue Advanced Security Paramètres, cliquez sur Désactiver
l’héritage et copiez les autorisations héritées en tant qu’autorisations explicites,
puis cliquez sur Ajouter.
23. Dans la boîte de dialogue Entrée d’autorisation pour [Compte], cliquez sur
Sélectionner un principal et ajoutez le groupe que vous avez créé dans la
procédure précédente. Faites défiler jusqu’au bas de la boîte de dialogue, puis
cliquez sur Effacer tout pour supprimer toutes les autorisations par défaut.
24. Faites défiler jusqu’en haut de la boîte de dialogue Entrée d’autorisation . Vérifiez
que la liste déroulante Type est définie sur Autoriser et, dans la liste déroulante
S’applique à la liste déroulante, sélectionnez cet objet uniquement.
25. Dans le champ Autorisations , sélectionnez Lire toutes les propriétés,

Autorisations de lecture et Réinitialiser le mot de passe.
26. Dans le champ Propriétés , sélectionnez Read userAccountControl et Write
userAccountControl.
27. Cliquez à nouveau sur OK dans la boîte de dialogue Advanced Security

Paramètres.
７ Notes
L’attribut userAccountControl contrôle plusieurs options de configuration de

compte. Vous ne pouvez pas accorder l’autorisation de modifier uniquement
certaines des options de configuration lorsque vous accordez l’autorisation
d’écriture à l’attribut.
28. Dans le champ Groupe ou nom d’utilisateur de l’onglet Sécurité , supprimez tous
les groupes qui ne doivent pas être autorisés à accéder au compte ou à le gérer.
Ne supprimez aucun groupe qui a été configuré avec des ACL Refuser, tels que le
groupe Tout le monde et le compte auto-calculé (que ACE a été défini lorsque
l’utilisateur ne peut pas modifier l’indicateur de mot de passe a été activé lors de
la création du compte. Ne supprimez pas non plus le groupe que vous venez
d’ajouter, le compte SYSTEM ou les groupes tels que EA, DA, BA ou le groupe
d’accès d’autorisation Windows.
29. Cliquez sur Avancé et vérifiez que la boîte de dialogue Advanced Security
Paramètres ressemble à la capture d’écran suivante.
30. Cliquez sur OK, puis à nouveau pour fermer la boîte de dialogue de propriété du
compte.
31. La configuration du premier compte de gestion est maintenant terminée. Vous

allez tester le compte dans une procédure ultérieure.
Création de comptes de gestion supplémentaires

Vous pouvez créer des comptes de gestion supplémentaires en répétant les étapes
précédentes, en copiant le compte que vous venez de créer ou en créant un script pour
créer des comptes avec vos paramètres de configuration souhaités. Notez toutefois que
si vous copiez le compte que vous venez de créer, la plupart des paramètres et listes de
contrôle d’accès personnalisés ne seront pas copiés dans le nouveau compte et vous
devrez répéter la plupart des étapes de configuration.
Vous pouvez à la place créer un groupe auquel vous délèguez des droits pour remplir et
non remplir des groupes protégés, mais vous devez sécuriser le groupe et les comptes
que vous placez dans celui-ci. Étant donné qu’il doit y avoir très peu de comptes dans
votre annuaire qui ont la possibilité de gérer l’appartenance aux groupes protégés, la
création de comptes individuels peut être l’approche la plus simple.
Quelle que soit la façon dont vous choisissez de créer un groupe dans lequel vous
placez les comptes de gestion, vous devez vous assurer que chaque compte est sécurisé
comme décrit précédemment. Vous devez également envisager d’implémenter des
restrictions d’objet de stratégie de groupe similaires à celles décrites dans l’annexe D :
Sécurisation des comptes d’administrateur Built-In dans Active Directory.
Audit des comptes de gestion
Vous devez configurer l’audit sur le compte pour journaliser, au minimum, toutes les
écritures dans le compte. Cela vous permettra non seulement d’identifier l’activation
réussie du compte et la réinitialisation de son mot de passe pendant les utilisations
autorisées, mais également d’identifier les tentatives par des utilisateurs non autorisés
pour manipuler le compte. Les écritures ayant échoué sur le compte doivent être
capturées dans votre système SIEM (Security Information and Event Monitoring) (le cas
échéant) et doivent déclencher des alertes qui fournissent une notification au personnel
responsable de l’examen des compromis potentiels.
Les solutions SIEM prennent des informations sur les événements provenant de sources
de sécurité impliquées (par exemple, les journaux d’événements, les données
d’application, les flux réseau, les produits anti-programme malveillant et les sources de
détection des intrusions), rassemblent les données et tentent de créer des vues
intelligentes et des actions proactives. Il existe de nombreuses solutions SIEM
commerciales et de nombreuses entreprises créent des implémentations privées. Un
SIEM bien conçu et correctement implémenté peut améliorer considérablement les
fonctionnalités de surveillance de la sécurité et de réponse aux incidents. Toutefois, les
fonctionnalités et la précision varient énormément entre les solutions. Les SIEM
dépassent le cadre de ce document, mais les recommandations d’événements
spécifiques contenues doivent être prises en compte par n’importe quel implémenteur
SIEM.
Pour plus d’informations sur les paramètres de configuration d’audit recommandés pour
les contrôleurs de domaine, consultez Surveillance d’Active Directory pour les signes de
compromission. Les paramètres de configuration spécifiques au contrôleur de domaine
sont fournis dans Surveillance d’Active Directory pour les signes de compromission.
Activation des comptes de gestion pour modifier l’appartenance

aux groupes protégés
Dans cette procédure, vous allez configurer des autorisations sur l’objet AdminSDHolder
du domaine pour permettre aux comptes de gestion nouvellement créés de modifier
l’appartenance des groupes protégés dans le domaine. Cette procédure ne peut pas
être effectuée via une interface utilisateur graphique (GUI).
Comme indiqué dans l’annexe C : Comptes et groupes protégés dans Active Directory, la
liste de contrôle d’accès sur l’objet AdminSDHolder d’un domaine est effectivement «
copiée » dans des objets protégés lorsque la tâche SDProp s’exécute. Les groupes et
comptes protégés n’héritent pas de leurs autorisations de l’objet AdminSDHolder ; leurs
autorisations sont explicitement définies pour qu’elles correspondent à celles de l’objet
AdminSDHolder. Par conséquent, lorsque vous modifiez des autorisations sur l’objet
AdminSDHolder, vous devez les modifier pour les attributs appropriés au type de l’objet
protégé que vous ciblez.
Dans ce cas, vous accordez aux comptes de gestion nouvellement créés pour leur
permettre de lire et d’écrire l’attribut membres sur les objets de groupe. Toutefois,
l’objet AdminSDHolder n’est pas un objet de groupe et les attributs de groupe ne sont
pas exposés dans l’éditeur de liste de contrôle d’accès graphique. C’est pour cette raison
que vous allez implémenter les modifications d’autorisations via l’utilitaire de ligne de
commande Dsacls. Pour accorder les autorisations des comptes de gestion (désactivés)
pour modifier l’appartenance aux groupes protégés, procédez comme suit :
1. Connectez-vous à un contrôleur de domaine, de préférence le contrôleur de

domaine qui contient le rôle PDC Emulator (PDCE), avec les informations
d’identification d’un compte d’utilisateur qui a été créé membre du groupe DA
dans le domaine.
2. Ouvrez une invite de commandes avec élévation de privilèges en cliquant avec le
bouton droit sur Invite de commandes , puis cliquez sur Exécuter en tant
qu’administrateur.
７ Notes
Pour plus d’informations sur l’élévation et le contrôle de compte d’utilisateur

(UAC) dans Windows, consultez Processus et interactions UAC sur le site web
TechNet.
4. À l’invite de commandes, tapez (en remplaçant les informations spécifiques à votre

domaine) Dsacls [nom unique de l’objet AdminSDHolder dans votre domaine] /G
[compte de gestion UPN]:RPWP;membre.
La commande précédente (qui n’est pas sensible à la casse) fonctionne comme suit
:
Jeux Dsacls ou affichage d’ACL sur des objets d’annuaire
CN=AdminSDHolder,CN=System,DC=TailSpinToys,DC=msft identifie l’objet à

modifier
/G indique qu’un ACE d’octroi est en cours de configuration

PIM001@tailspintoys.msft est le nom d’utilisateur principal (UPN) du principal
de sécurité auquel les acEs seront accordées
RPWP accorde des autorisations de propriété de lecture et d’écriture de

propriété
Le membre est le nom de la propriété (attribut) sur laquelle les autorisations

seront définies
Pour plus d’informations sur l’utilisation de Dsacls, tapez Dsacls sans aucun
paramètre à l’invite de commandes.
Si vous avez créé plusieurs comptes de gestion pour le domaine, vous devez
exécuter la commande Dsacls pour chaque compte. Une fois que vous avez
terminé la configuration de la liste de contrôle d’accès sur l’objet AdminSDHolder,
vous devez forcer l’exécution de SDProp ou attendre la fin de son exécution
planifiée. Pour plus d’informations sur l’exécution de SDProp, consultez « Exécution
manuelle de SDProp » dans l’annexe C : Comptes et groupes protégés dans Active
Directory.
Une fois SDProp exécuté, vous pouvez vérifier que les modifications que vous avez
apportées à l’objet AdminSDHolder ont été appliquées aux groupes protégés dans
le domaine. Vous ne pouvez pas le vérifier en affichant la liste de contrôle d’accès
sur l’objet AdminSDHolder pour les raisons décrites précédemment, mais vous
pouvez vérifier que les autorisations ont été appliquées en affichant les listes de
contrôle d’accès sur les groupes protégés.
5. Dans Utilisateurs et ordinateurs Active Directory, vérifiez que vous avez activé les
fonctionnalités avancées. Pour ce faire, cliquez sur Affichage, recherchez le
groupe Administrateurs de domaine , cliquez avec le bouton droit sur le groupe,
puis cliquez sur Propriétés.
6. Cliquez sur l’onglet Sécurité, puis sur Avancé pour ouvrir la boîte de dialogue
Advanced Security Paramètres for Domain Admins.
7. Sélectionnez Autoriser ace pour le compte de gestion , puis cliquez sur Modifier.
Vérifiez que le compte a été accordé uniquement aux membres en lecture et aux
autorisations Écrire des membres sur le groupe DA, puis cliquez sur OK.
8. Cliquez sur OK dans la boîte de dialogue Advanced Security Paramètres, puis

cliquez à nouveau sur OK pour fermer la boîte de dialogue de propriété du groupe
DA.
9. Vous pouvez répéter les étapes précédentes pour d’autres groupes protégés dans
le domaine ; les autorisations doivent être identiques pour tous les groupes
protégés. Vous avez maintenant terminé la création et la configuration des
comptes de gestion pour les groupes protégés dans ce domaine.
７ Notes
Tout compte autorisé à écrire l’appartenance à un groupe dans Active

Directory peut également s’ajouter au groupe. Ce comportement est par
conception et ne peut pas être désactivé. Pour cette raison, vous devez
toujours conserver les comptes de gestion désactivés lorsqu’ils ne sont pas
utilisés et surveiller étroitement les comptes lorsqu’ils sont désactivés et
quand ils sont utilisés.
Vérification des Paramètres de configuration de groupe et de

compte
Maintenant que vous avez créé et configuré des comptes de gestion qui peuvent
modifier l’appartenance aux groupes protégés dans le domaine (qui inclut les groupes
EA, DA et BA les plus privilégiés), vous devez vérifier que les comptes et leur groupe
d’administration ont été créés correctement. La vérification se compose de ces tâches
générales :
1. Testez le groupe qui peut activer et désactiver les comptes de gestion pour vérifier
que les membres du groupe peuvent activer et désactiver les comptes et
réinitialiser leurs mots de passe, mais ne peuvent pas effectuer d’autres activités
administratives sur les comptes de gestion.
2. Testez les comptes de gestion pour vérifier qu’ils peuvent ajouter et supprimer des
membres à des groupes protégés dans le domaine, mais ne peuvent pas modifier
d’autres propriétés de comptes et de groupes protégés.
Tester le groupe qui active et désactive les comptes de gestion
1. Pour tester l’activation d’un compte de gestion et la réinitialisation de son mot de

passe, connectez-vous à une station de travail administrative sécurisée avec un
compte membre du groupe que vous avez créé à l’annexe I : Création de comptes
de gestion pour les comptes et groupes protégés dans Active Directory.
2. Ouvrez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit

sur le compte de gestion, puis cliquez sur Activer le compte.
3. Une boîte de dialogue doit s’afficher, confirmant que le compte a été activé.
4. Ensuite, réinitialisez le mot de passe sur le compte de gestion. Pour ce faire, cliquez
à nouveau avec le bouton droit sur le compte, puis cliquez sur Réinitialiser le mot
de passe.
5. Tapez un nouveau mot de passe pour le compte dans les champs Nouveau mot de
passe et confirmez le mot de passe , puis cliquez sur OK.
6. Une boîte de dialogue doit s’afficher, confirmant que le mot de passe du compte a
été réinitialisé.
7. Essayez maintenant de modifier des propriétés supplémentaires du compte de

gestion. Cliquez avec le bouton droit sur le compte, puis cliquez sur Propriétés,
puis sur l’onglet Contrôle à distance .
8. Sélectionnez Activer le contrôle à distance , puis cliquez sur Appliquer.
L’opération doit échouer et un message d’erreur Accès refusé doit s’afficher.
9. Cliquez sur l’onglet Compte pour le compte et essayez de modifier le nom du

compte, les heures d’ouverture de session ou les stations de travail d’ouverture de
session. Toutes doivent échouer et les options de compte qui ne sont pas
contrôlées par l’attribut userAccountControl doivent être grisées et indisponibles
pour modification.
10. Essayez d’ajouter le groupe d’administration à un groupe protégé tel que le
groupe DA. Lorsque vous cliquez sur OK, un message doit s’afficher, vous
informant que vous n’avez pas les autorisations nécessaires pour modifier le
groupe.
11. Effectuez des tests supplémentaires si nécessaire pour vérifier que vous ne pouvez
rien configurer sur le compte de gestion, à l’exception des paramètres
userAccountControl et des réinitialisations de mot de passe.
７ Notes
L’attribut userAccountControl contrôle plusieurs options de configuration de

compte. Vous ne pouvez pas accorder l’autorisation de modifier uniquement
certaines des options de configuration lorsque vous accordez l’autorisation
d’écriture à l’attribut.
Tester les comptes de gestion
Maintenant que vous avez activé un ou plusieurs comptes qui peuvent modifier
l’appartenance aux groupes protégés, vous pouvez tester les comptes pour vous assurer
qu’ils peuvent modifier l’appartenance aux groupes protégés, mais ne peuvent pas
effectuer d’autres modifications sur les comptes et groupes protégés.
1. Connectez-vous à un hôte d’administration sécurisé en tant que premier compte

de gestion.
2. Lancez Utilisateurs et ordinateurs Active Directory et recherchez le groupe
Administrateurs de domaine.
3. Cliquez avec le bouton droit sur le groupe Administrateurs de domaine , puis

4. Dans les propriétés des administrateurs de domaine, cliquez sur l’onglet

Membres , puis sur Ajouter. Entrez le nom d’un compte qui recevra des privilèges
d’administrateur de domaine temporaires, puis cliquez sur Vérifier les noms.
Lorsque le nom du compte est souligné, cliquez sur OK pour revenir à l’onglet
Membres .
5. Sous l’onglet Membres de la boîte de dialogue Propriétés des administrateurs de
domaine , cliquez sur Appliquer. Après avoir cliqué sur Appliquer, le compte doit
rester membre du groupe DA et vous ne devez recevoir aucun message d’erreur.
6. Cliquez sur l’onglet Géré par dans la boîte de dialogue Propriétés des
administrateurs de domaine et vérifiez que vous ne pouvez pas entrer de texte
dans tous les champs et que tous les boutons sont grisés.
7. Cliquez sur l’onglet Général dans la boîte de dialogue Propriétés des

administrateurs de domaine et vérifiez que vous ne pouvez pas modifier les
informations relatives à cet onglet.
8. Répétez ces étapes pour des groupes protégés supplémentaires si nécessaire. Une
fois que vous avez terminé, connectez-vous à un hôte d’administration sécurisé
avec un compte membre du groupe que vous avez créé pour activer et désactiver
les comptes de gestion. Ensuite, réinitialisez le mot de passe sur le compte de
gestion que vous venez de tester et de désactiver le compte. Vous avez terminé la
configuration des comptes de gestion et du groupe qui sera responsable de
l’activation et de la désactivation des comptes.
Annexe L : Événements à surveiller
Le tableau suivant répertorie les événements que vous devez surveiller dans votre
environnement, conformément aux recommandations fournies dans Surveillance des
signes de compromission d’Active Directory. Dans le tableau suivant, la colonne « ID
d’événement Windows actuel » répertorie l’ID d’événement tel qu’il est implémenté
dans les versions de Windows et de Windows Server qui se trouvent actuellement dans
le support standard.
La colonne « ID d’événement Windows hérité » répertorie l’ID d’événement

correspondant dans les versions héritées de Windows, telles que les ordinateurs clients
exécutant Windows XP ou une version antérieure et les serveurs exécutant Windows
Server 2003 ou une version antérieure. La colonne « Importance potentielle » indique si
l’événement a une importance faible, moyenne ou élevée dans la détection des attaques
et la colonne « Résumé de l’événement » fournit une brève description de l’événement.
Une importance potentielle élevée signifie qu’une occurrence de l’événement doit être
examinée. Une importance potentielle moyenne ou faible signifie que ces événements
doivent seulement être analysés s’ils se produisent de manière inattendue un nombre
de fois qui dépasse considérablement le nombre de référence attendu dans un laps de
temps mesuré. Toutes les organisations doivent tester ces recommandations dans leurs
environnements avant de créer des alertes qui requièrent obligatoirement une
investigation. Chaque environnement est différent. Certains événements classés avec
une importance potentielle élevée peuvent se produire en raison d’autres événements
inoffensifs.
ID ID Importance Résumé de l’événement

d’événement d’événement potentielle
Windows Windows
actuel hérité
4618 N/A Élevé Un modèle d’événement de sécurité supervisé s’est

produit.
4649 N/A Élevé Détection d’une attaque par relecture. Il peut s’agir
d’un faux positif inoffensif en raison d’une
mauvaise configuration.
4719 612 Élevé La stratégie d’audit du système a été modifiée.

Windows Windows
actuel hérité
4765 N/A Élevé L’historique SID a été ajouté à un compte.
4766 N/A Élevé Échec d’une tentative d’ajout de l’historique SID à

un compte.
4794 N/A Élevé Une tentative de définition du mode de

restauration des services d’annuaire a été
effectuée.
4897 801 Élevé Séparation de rôle activée :
4964 N/A Élevé Des groupes spéciaux ont été attribués à une
nouvelle session.
5124 N/A Élevé Un paramètre de sécurité a été mis à jour sur le

service de répondeur OCSP
N/A 550 Moyen à Attaques par déni de service (DoS) possible

élevé
1102 517 Moyen à Le journal d’audit a été effacé

élevé
4621 N/A Moyenne L’administrateur a récupéré le système à partir de

CrashOnAuditFail. Les utilisateurs qui ne sont pas
administrateurs sont désormais autorisés à se
connecter. Certaines activités pouvant être auditées
n’ont peut-être pas été enregistrées.
4675 N/A Moyenne Les SID ont été filtrés.
4692 N/A Moyenne Une tentative de sauvegarde de la clé principale de

protection des données a été effectuée.
4693 N/A Moyenne Une tentative de récupération de la clé principale

de protection des données a été effectuée.
4706 610 Moyenne Une nouvelle approbation a été créée sur un

domaine.
4713 617 Moyenne La stratégie Kerberos a été modifiée.
4714 618 Moyenne La stratégie de récupération de données chiffrée a

été modifiée.
4715 N/A Moyenne La stratégie d'audit (SACL) sur un objet a été

modifiée.
Windows Windows
actuel hérité
4716 620 Moyenne Les informations de domaine approuvé ont été

modifiées.
4724 628 Moyenne Une tentative de réinitialisation du mot de passe

d’un compte a été effectuée.
4727 631 Moyenne Un groupe global sécurisé a été créé.
4735 639 Moyenne Un groupe local sécurisé a été modifié.
4737 641 Moyenne Un groupe global sécurisé a été modifié.
4739 643 Moyenne La stratégie de domaine a été modifiée.
4754 658 Moyenne Un groupe universel sécurisé a été créé.
4755 659 Moyenne Un groupe universel sécurisé a été modifié.
4764 667 Moyenne Un groupe non sécurisé a été supprimé
4764 668 Moyenne Le type d’un groupe a été modifié.
4780 684 Moyenne La liste de contrôle d’accès a été définie sur les
comptes qui sont membres de groupes
Administrateurs.
4816 N/A Moyenne RPC a détecté une violation d’intégrité lors du

déchiffrement d’un message entrant.
4865 N/A Moyenne Une entrée d’informations de forêt approuvée a

été ajoutée.

été supprimée.

été modifiée.
4868 772 Moyenne Le gestionnaire de certificats a refusé une requête

de certificat en cours.
4870 774 Moyenne Les services de certificats ont révoqué un certificat.
4882 786 Moyenne Les autorisations de sécurité des services de

certificats ont changé.
4885 789 Moyenne Le filtre d’audit des services de certificats a changé.

Windows Windows
actuel hérité
4890 794 Moyenne Les paramètres du gestionnaire de certificats des

services de certificats ont changé.
4892 796 Moyenne La propriété des services de certificats a changé.
4896 800 Moyenne Une ou plusieurs rangées ont été supprimées de la

base de données de certificats.
4906 N/A Moyenne La valeur de CrashOnAuditFail a été modifiée.
4907 N/A Moyenne Les paramètres d’audit sur l’objet ont été modifiés.
4908 N/A Moyenne La table de connexion des groupes spéciaux a été

modifiée.
4912 807 Moyenne La stratégie d’audit par utilisateur a été modifiée.
4960 N/A Moyenne IPsec a annulé un paquet entrant ayant échoué une
vérification d’intégrité. Si ce problème persiste, il
peut indiquer un problème réseau ou que les
paquets sont modifiés en transit vers cet
ordinateur. Vérifiez que les paquets envoyés à
partir de l’ordinateur distant sont identiques à ceux
reçus par cet ordinateur. Cette erreur peut
également indiquer des problèmes
d’interopérabilité avec d’autres implémentations
IPsec.
vérification de relecture. Si ce problème persiste, il
peut indiquer une attaque de relecture contre cet
ordinateur.
vérification de relecture. Le paquet entrant avait un
nombre de séquences trop faible pour s’assurer
qu’il n’était pas une relecture.
4963 N/A Moyenne IPsec a annulé un paquet de texte clair entrant qui
aurait dû être sécurisé. Cela est généralement dû
au changement de stratégie IPsec de l’ordinateur
distant sans informer cet ordinateur. Cela peut
également être une tentative d’attaque
d’usurpation.
Windows Windows
actuel hérité
4965 N/A Moyenne IPsec a reçu un paquet d’un ordinateur distant avec
un index de paramètre de sécurité (SPI) incorrect.
Cela est généralement dû à un mauvais
fonctionnement du matériel qui endommage les
paquets. Si ces erreurs persistent, vérifiez que les
paquets envoyés à partir de l’ordinateur distant
sont identiques à ceux reçus par cet ordinateur.
Cette erreur peut également indiquer des
problèmes d’interopérabilité avec d’autres
implémentations IPsec. Dans ce cas, si la
connectivité n’est pas empêchée, ces événements
peuvent être ignorés.
4976 N/A Moyenne Pendant la négociation en mode principal, IPsec a

reçu un paquet de négociation non valide. Si ce
problème persiste, cela peut indiquer un problème
de réseau ou une tentative de modification ou de
relecture de cette négociation.
4977 N/A Moyenne Pendant la négociation en mode rapide, IPsec a

4978 N/A Moyenne Pendant la négociation en mode étendu, IPsec a

4983 N/A Moyenne Échec d'une négociation en mode étendu IPsec.

L'association de sécurité en mode principal
correspondante a été supprimée.
4984 N/A Moyenne Échec d'une négociation en mode étendu IPsec.

L'association de sécurité en mode principal
correspondante a été supprimée.
5027 N/A Moyenne Le service Pare-feu Windows n’a pas réussi à

récupérer la stratégie de sécurité du stockage local.
Il va continuer à appliquer la stratégie active.
Windows Windows
actuel hérité
5028 N/A Moyenne Le service Pare-feu Windows n’a pas réussi à

analyser la nouvelle stratégie de sécurité. Il va
continuer à appliquer la stratégie active.
5029 N/A Moyenne Le service Pare-feu Windows n’a pas pu initialiser le

lecteur. Il va continuer à appliquer la stratégie
active.
5030 N/A Moyenne Le démarrage du service Pare-feu Windows a

échoué.
5035 N/A Moyenne Le démarrage du pilote du Pare-feu Windows a

échoué.
5037 N/A Moyenne Le pilote du Pare-feu Windows a détecté une

erreur d’exécution critique. Arrêt en cours.
5038 N/A Moyenne L’intégrité du code a déterminé que le hachage

d’image d’un fichier n’est pas valide. Le fichier peut
être endommagé en raison d’une modification non
autorisée, ou le hachage non valide peut indiquer
une erreur de périphérique de disque potentielle.
5120 N/A Moyenne Service de répondeur OCSP démarré
5121 N/A Moyenne Service de répondeur OCSP arrêté
5122 N/A Moyenne Une entrée de configuration a été modifiée dans le

5123 N/A Moyenne Une entrée de configuration a été modifiée dans le

5376 N/A Moyenne Les informations d’identification du gestionnaire

d’informations d’identification ont été
sauvegardées.
5377 N/A Moyenne Les informations d’identification du gestionnaire

d’informations d’identification ont été restaurées à
partir d’une sauvegarde.
5453 N/A Moyenne Une négociation IPsec avec un ordinateur distant a

échoué, car le service des modules de génération
de clés IKE et AuthIP (IKEEXT) n’est pas démarré.
Windows Windows
actuel hérité
5480 N/A Moyenne IPsec Services n’a pas pu obtenir la liste complète
des interfaces réseau sur l’ordinateur. Cela pose un
risque de sécurité potentiel, car certaines des
interfaces réseau peuvent ne pas obtenir la
protection fournie par les filtres IPsec appliqués.
Utilisez le composant logiciel enfichable Moniteur
de sécurité IP pour diagnostiquer le problème.
5483 N/A Moyenne IPsec Services n’a pas pu initialiser le serveur RPC.
IPsec Services n’a pas pu être démarré.
5484 N/A Moyenne IPsec Services a rencontré une défaillance critique

et a été arrêté. L’arrêt d’IPsec Services peut mettre
l’ordinateur à un risque plus élevé d’attaque réseau
ou exposer l’ordinateur à des risques de sécurité
potentiels.
5485 N/A Moyenne IPsec Services n’a pas pu traiter certains filtres IPsec
sur un événement plug-and-play pour les
interfaces réseau. Cela pose un risque de sécurité
potentiel, car certaines des interfaces réseau
peuvent ne pas obtenir la protection fournie par les
filtres IPsec appliqués. Utilisez le composant
logiciel enfichable Moniteur de sécurité IP pour
diagnostiquer le problème.
5827 N/A Moyenne Le service Netlogon a refusé une connexion du

canal sécurisé Netlogon vulnérable à partir d’un
compte d’ordinateur.
5828 N/A Moyenne Le service Netlogon a refusé une connexion du

canal sécurisé Netlogon vulnérable à partir d’un
compte d’approbation.
6145 N/A Moyenne Une ou plusieurs erreurs se sont produites lors du

traitement de la stratégie de sécurité dans les
objets de stratégie de groupe.
6273 N/A Moyenne Le serveur de stratégie réseau a refusé l’accès à un

utilisateur.
6274 N/A Moyenne Le serveur NPS (Network Policy Server) a ignoré la

requête d’un utilisateur.
6275 N/A Moyenne Le serveur NPS (Network Policy Server) a ignoré la

requête de gestion des comptes d’un utilisateur.
Windows Windows
actuel hérité
6276 N/A Moyenne Le serveur NPS (Network Policy Server) a mis en

quarantaine un utilisateur.
6277 N/A Moyenne Le serveur NPS (Network Policy Server) a accordé

l’accès à un utilisateur, mais l’a mis en probation,
car l’hôte ne répondait pas à la stratégie de
contrôle d’intégrité définie.
6278 N/A Moyenne Le serveur NPS (Network Policy Server) a accordé

un accès complet à un utilisateur, car l’hôte
répondait à la stratégie de contrôle d'intégrité
définie.
6279 N/A Moyenne Le serveur NPS (Network Policy Server) a verrouillé

le compte d’utilisateur en raison d’échecs répétés
de tentatives d’authentification.
6280 N/A Moyenne Le serveur NPS (Network Policy Server) a

déverrouillé le compte d’utilisateur.
- 640 Moyenne La base de données de compte générale a été

modifiée
- 619 Moyenne La stratégie de qualité de service (QoS) a été

modifiée
24586 N/A Moyenne Une erreur s’est produite lors de la conversion du

volume
24592 N/A Moyenne Échec d’une tentative de redémarrage automatique

de la conversion du volume %2.
24593 N/A Moyenne Écriture de métadonnées : volume %2 renvoyant

des erreurs lors de la tentative de modification des
métadonnées. Si les échecs se poursuivent,
déchiffrez le volume
24594 N/A Moyenne Reconstruction des métadonnées : une tentative

d’écriture d’une copie des métadonnées sur le
volume %2 a échoué et peut apparaître comme
une altération du disque. Si les échecs se
poursuivent, déchiffrez le volume.
4608 512 Faible Démarrage de Windows.
4609 513 Faible Arrêt de Windows.

Windows Windows
actuel hérité
4610 514 Faible Un package d’authentification a été chargé par

l’autorité de sécurité locale.
4611 515 Faible Un processus d’ouverture de session approuvé a

été inscrit auprès de l’autorité de sécurité locale.
4612 516 Faible Les ressources internes allouées à la file d’attente

des messages d’audit sont épuisées. Certains audits
ont été perdus.
4614 518 Faible Un package de notification a été chargé par le

gestionnaire de compte de sécurité.
4615 519 Faible Utilisation non valide du port LPC.
4616 520 Faible L’heure système a été modifiée.
4622 N/A Faible Un package de sécurité a été chargé par l’autorité

de sécurité locale.
4624 528,540 Faible L’ouverture de session d’un compte s’est

correctement déroulée.
4625 529-537,539 Faible Échec de connexion d’un compte.
4634 538 Faible Fermeture de session d’un compte.
4646 N/A Faible Le mode de prévention IKE DoS a démarré.
4647 551 Faible Déconnexion initiée par l’utilisateur.
4648 552 Faible Une connexion a été tentée à l’aide d’informations

d’identification explicites.
4650 N/A Faible Une association de sécurité en mode principal

IPsec a été établie. Le mode étendu n’a pas été
activé. L’authentification par certificat n’a pas été
utilisée.

IPsec a été établie. Le mode étendu n’a pas été
activé. Un certificat a été utilisé pour
4652 N/A Faible Échec d'une négociation en mode principal IPsec.
4653 N/A Faible Échec d'une négociation en mode principal IPsec.

Windows Windows
actuel hérité
4654 N/A Faible Échec d'une négociation en mode rapide IPsec.

IPsec s’est terminée.
4656 560 Faible Un descripteur d’objet a été demandé.
4657 567 Faible Une valeur de registre a été modifiée.
4658 562 Faible Un descripteur d’objet a été fermé.
4659 N/A Faible Un descripteur d’objet a été demandé avec

l’intention de supprimer.
4660 564 Faible Un objet a été supprimé.
4661 565 Faible Un descripteur d’objet a été demandé.
4662 566 Faible Une opération a été effectuée sur un objet.
4663 567 Faible Une tentative d’accès à un objet a été effectuée.
4664 N/A Faible Une tentative de création d’une liaison fixe a été
effectuée.
4665 N/A Faible Une tentative de création d’un contexte client

d’application a été effectuée.
4666 N/A Faible Une application a tenté une opération :
4667 N/A Faible Un contexte client d’application a été supprimé.
4668 N/A Faible Une application a été initialisée.
4670 N/A Faible Les autorisations sur un objet ont été modifiées.
4671 N/A Faible Une application a tenté d’accéder à un ordinal

bloqué via le service TBS.
4672 576 Faible Privilèges spéciaux assignés à la nouvelle session.
4673 577 Faible Un service privilégié a été appelé.
4674 578 Faible Une opération a été tentée sur un objet privilégié.
4688 592 Faible Un processus a été créé.
4689 593 Faible Un processus s'est arrêté.

Windows Windows
actuel hérité
4690 594 Faible Un descripteur d’objet a fait l’objet d’une tentative

de duplication.
4691 595 Faible L’accès indirect à un objet a été demandé.
4694 N/A Faible Une tentative de protection des données

protégées pouvant être auditées a été effectuée.
4695 N/A Faible Une tentative de déprotection des données

protégées pouvant être auditées a été effectuée.
4696 600 Faible Un jeton principal a été assigné au processus.
4697 601 Faible Tentative d’installation d’un service
4698 602 Faible Une tâche planifiée a été créée.
4699 602 Faible Une tâche planifiée a été supprimée.
4700 602 Faible Une tâche planifiée a été activée.
4701 602 Faible Une tâche planifiée a été désactivée.
4702 602 Faible Une tâche planifiée a été mise à jour.
4704 608 Faible Un droit d’utilisateur a été attribué.
4705 609 Faible Un droit d’utilisateur a été supprimé.
4707 611 Faible Une approbation sur un domaine a été supprimée.
4709 N/A Faible Les services IPsec ont été démarrés.
4710 N/A Faible Les services IPsec ont été désactivés.

Windows Windows
actuel hérité
4711 N/A Faible Peut contenir l’un des éléments suivants : Le

moteur PAStore a appliqué une copie mise en
cache localement de la stratégie IPsec de stockage
Active Directory sur l’ordinateur. Le moteur PAStore
a appliqué la stratégie IPsec de stockage Active
Directory sur l’ordinateur. Le moteur PAStore a
appliqué la stratégie IPsec de stockage de registre
local sur l’ordinateur. Le moteur PAStore n’a pas pu
appliquer une copie mise en cache localement de
la stratégie IPsec de stockage Active Directory sur
l’ordinateur. Le moteur PAStore n’a pas pu
appliquer la stratégie IPsec de stockage Active
Directory sur l’ordinateur. Le moteur PAStore n’a
pas pu appliquer la stratégie IPsec de stockage de
registre local sur l’ordinateur. Le moteur PAStore
n’a pas pu appliquer certaines règles de la stratégie
IPsec active sur l’ordinateur. Le moteur PAStore n’a
pas pu charger la stratégie IPsec de stockage de
registre sur l’ordinateur. Le moteur PAStore a
chargé la stratégie IPsec de stockage de registre
sur l’ordinateur. Le moteur PAStore n’a pas pu
charger la stratégie IPsec de stockage local sur
l’ordinateur. Le moteur PAStore a chargé la
stratégie IPsec de stockage local sur l’ordinateur. Le
moteur PAStore a interrogé les modifications
apportées à la stratégie IPsec active et n’a détecté
aucune modification.
4712 N/A Faible Les services IPsec ont rencontré un échec

potentiellement grave.
4717 621 Faible L’accès à la sécurité du système a été accordé à un

compte.
4718 622 Faible L’accès à la sécurité système a été supprimé d’un

compte.
4720 624 Faible Un compte d'utilisateur a été créé.
4722 626 Faible Un compte d’utilisateur a été activé.
4723 627 Faible Une tentative de modification du mot de passe

d’un compte a été effectuée.
4725 629 Faible Un compte utilisateur a été désactivé.

Windows Windows
actuel hérité
4726 630 Faible Un compte utilisateur a été supprimé.
4728 632 Faible Un membre a été ajouté à un groupe global

sécurisé.
4729 633 Faible Un membre a été supprimé d’un groupe global

sécurisé.
4730 634 Faible Un groupe global sécurisé a été supprimé.
4731 635 Faible Un groupe local sécurisé a été créé.
4732 636 Faible Un membre a été ajouté à un groupe local sécurisé.
4733 637 Faible Un membre a été supprimé d’un groupe local

sécurisé.
4734 638 Faible Un groupe local sécurisé a été supprimé.
4738 642 Faible Un compte d'utilisateur a été modifié.
4740 644 Faible Un compte d’utilisateur a été verrouillé.
4743 647 Faible Un compte d'utilisateur a été supprimé.
4744 648 Faible Un groupe local non sécurisé a été créé.
4745 649 Faible Un groupe local non sécurisé a été modifié.
4746 650 Faible Un membre a été ajouté à un groupe local non

sécurisé.
4747 651 Faible Un membre a été supprimé d’un groupe local non
sécurisé.
4748 652 Faible Un groupe local non sécurisé a été supprimé.
4749 653 Faible Un groupe global non sécurisé a été créé.
4750 654 Faible Un groupe global non sécurisé a été modifié.
4751 655 Faible Un membre a été ajouté à un groupe global non

sécurisé.
Windows Windows
actuel hérité
4752 656 Faible Un membre a été supprimé d’un groupe global

non sécurisé.
4753 657 Faible Un groupe global non sécurisé a été supprimé.
4756 660 Faible Un membre a été ajouté à un groupe universel

sécurisé.
4757 661 Faible Un membre a été supprimé d’un groupe universel

sécurisé.
4758 662 Faible Un groupe universel sécurisé a été supprimé.
4759 663 Faible Un groupe universel non sécurisé a été créé.
4760 664 Faible Un groupe universel non sécurisé a été modifié.
4761 665 Faible Un membre a été ajouté à un groupe universel non

sécurisé.
4762 666 Faible Un membre a été supprimé d’un groupe universel

non sécurisé.
4767 671 Faible Un compte d'utilisateur a été déverrouillé.
4768 672,676 Faible Un ticket d’authentification Kerberos (TGT) a été

demandé.
4769 673 Faible Un ticket de service Kerberos a été demandé.
4770 674 Faible Un ticket de service Kerberos a été renouvelé.
4771 675 Faible Échec de la pré-authentification Kerberos.
4772 672 Faible Échec d’une demande de ticket d’authentification

Kerberos.
4774 678 Faible Un compte a été mappé pour l’ouverture de

session.
4775 679 Faible Impossible de mapper un compte pour l’ouverture

de session.
4776 680,681 Faible Le contrôleur de domaine a tenté de valider les

informations d’identification d’un compte.
Windows Windows
actuel hérité
4777 N/A Faible Le contrôleur de domaine n’a pas pu valider les

informations d’identification d’un compte.
4778 682 Faible Une session a été reconnectée à une station

Windows.
4779 683 Faible Une session a été déconnectée d’une station

Windows.
4781 685 Faible Le nom d’un compte a été modifié :
4782 N/A Faible Un accès au hachage du mot de passe d’un

compte a eu lieu.
4783 667 Faible Un groupe d’applications de base a été créé.
4784 N/A Faible Un groupe d’applications de base a été modifié.
4785 689 Faible Un membre a été ajouté à un groupe

d’applications de base.
4786 690 Faible Un membre a été supprimé d’un groupe

4787 691 Faible Un non membre a été ajouté à un groupe

4788 692 Faible Un non membre a été supprimé d’un groupe

4789 693 Faible Un groupe d’applications de base a été supprimé.
4790 694 Faible Un groupe de requêtes LDAP a été créé.
4793 N/A Faible L’API de vérification de la stratégie de mot de

passe a été appelée.
4 800 N/A Faible La station de travail a été déverrouillée.
4801 N/A Faible La station de travail a été déverrouillée.
4802 N/A Faible L’économiseur d’écran a été appelé.
4803 N/A Faible L’économiseur d’écran a été masqué.
4864 N/A Faible Une collision d’espace de noms a été détectée.

Windows Windows
actuel hérité
4869 773 Faible Les services de certificats ont reçu une requête de
certificat soumise à nouveau.
4871 775 Faible Les services de certificats ont reçu une requête
pour publier la liste de révocation des certificats
(CRL).
4872 776 Faible Les services de certificats ont publié la liste de

révocation des certificats (CRL).
4873 777 Faible Une extension de requête de certificats a changé.
4874 778 Faible Un ou plusieurs attributs de requête de certificats

ont changé.
4875 779 Faible Les services de certificats ont reçu une requête
d’arrêt.
4876 780 Faible La sauvegarde des services de certificats a démarré.
4877 781 Faible La sauvegarde des services de certificats est

terminée.
4878 782 Faible La restauration des services de certificats a

démarré.
4879 783 Faible La restauration des services de certificats est

terminée.
4880 784 Faible Les services de certificats ont démarré.
4881 785 Faible Les services de certificats se sont arrêtés.
4883 787 Faible Les services de certificats ont récupéré une clé
archivée.
4884 788 Faible Les services de certificats ont importé un certificat

dans sa base de données.
4886 790 Faible Les services de certificats ont reçu une requête de
certificat.
4887 791 Faible Les services de certificats ont approuvé une

requête de certificat et émis un certificat.
4888 792 Faible Les services de certificats ont refusé une requête de
certificat.
Windows Windows
actuel hérité
4889 793 Faible Les services de certificats ont défini le statut d’une
requête de certificat comme étant en attente.
4891 795 Faible Une entrée de configuration a changé dans les

services de certificats.
4893 797 Faible Les services de certificats ont archivé une clé.
4894 798 Faible Les services de certificats ont importé et archivé

une clé.
4895 799 Faible Les services de certificats ont publié un certificat

d’autorité de certification dans Active Directory
Domain Services.
4898 802 Faible Les services de certificats ont chargé une modèle.
4902 N/A Faible La table de stratégie d’audit par utilisateur a été

créée.
4904 N/A Faible Tentative d’inscription d’une source d’événement

de sécurité.
4905 N/A Faible Tentative de désinscription d’une source

d’événement de sécurité.
4909 N/A Faible Les paramètres de stratégie locale pour le service

TBS ont été modifiés.
4910 N/A Faible Les paramètres de stratégie de groupe pour le

service TBS ont été modifiés.
4928 N/A Faible Un contexte de nommage source de réplica

Active Directory a été établi.

Active Directory a été supprimé.

Active Directory a été modifié.
4931 N/A Faible Un contexte de nommage de destination de réplica

Active Directory a été modifié.
4932 N/A Faible La synchronisation d’un réplica d’un contexte de

nommage Active Directory a commencé.
Windows Windows
actuel hérité
4933 N/A Faible La synchronisation d’un réplica d’un contexte de

nommage Active Directory s’est terminée.
4934 N/A Faible Les attributs d’un objet Active Directory ont été
répliqués.
4935 N/A Faible L’échec de la réplication commence.
4936 N/A Faible L’échec de la réplication termine.
4937 N/A Faible Un objet en attente a été supprimé d’un réplica.
4944 N/A Faible La stratégie suivante était active lorsque le Pare-feu

Windows a démarré.
4945 N/A Faible Une règle a été listée au démarrage du pare-feu

Windows.
4946 N/A Faible Une modification a été apportée à la liste des

exceptions du pare-feu Windows. Une règle a été
ajoutée.

modifiée.

supprimée.
4949 N/A Faible Les paramètres du pare-feu Windows ont été

rétablis aux valeurs par défaut.
4950 N/A Faible Un paramètre de pare-feu Windows a changé.
4951 N/A Faible Une règle a été ignorée, car son numéro de version
principale n’a pas été reconnu par le pare-feu
Windows.
4952 N/A Faible Des parties d’une règle ont été ignorées, car son
numéro de version mineure n’a pas été reconnu
par le Pare-feu Windows. Les autres parties de la
règle seront appliquées.
4953 N/A Faible Une règle a été ignorée par le pare-feu Windows,
car elle n’a pas pu analyser la règle.
Windows Windows
actuel hérité
4954 N/A Faible Les paramètres de stratégie de groupe du Pare-feu

Windows ont été modifiés. Les nouveaux
paramètres ont été appliqués.
4956 N/A Faible Le pare-feu Windows a modifié le profil actif.
4957 N/A Faible Le Pare-feu Windows n’a pas appliqué la règle

suivante :
4958 N/A Faible Le Pare-feu Windows n’a pas appliqué la règle

suivante car celle-ci se rapporte à des éléments qui
ne sont pas configurés sur l’ordinateur :
4979 N/A Faible Des associations de sécurité en mode principal et

en mode étendu IPsec ont été établies.



4985 N/A Faible L’état d’une transaction a changé.
5024 N/A Faible Le démarrage du service Pare-feu Windows s’est

correctement déroulé.
5025 N/A Faible Le service Pare-feu Windows a été arrêté.
5031 N/A Faible Le service Pare-feu Windows a empêché une

application d’accepter des connexions entrantes
sur le réseau.
5032 N/A Faible Le Pare-feu Windows n’a pas pu signaler à

l’utilisateur qu’il a empêché une application
d’accepter les connexions entrantes sur le réseau.
5033 N/A Faible Le pilote du Pare-feu Windows est correctement

démarré.
5034 N/A Faible Le pilote du Pare-feu Windows a été arrêté.
5039 N/A Faible Une clé de registre a été virtualisée.

Windows Windows
actuel hérité
5040 N/A Faible Une modification a été apportée aux paramètres

IPsec. Un jeu d’authentification a été ajouté.

IPsec. Un jeu d’authentification a été modifié.

IPsec. Un jeu d’authentification a été supprimé.

IPsec. Une règle de sécurité de connexion a été
ajoutée.

modifiée.

supprimée.

IPsec. Un jeu de chiffrements a été ajouté.

IPsec. Un jeu de chiffrement a été modifié.

IPsec. Un jeu de chiffrement a été supprimé.
5050 N/A Faible Tentative de désactivation par programmation du

Pare-feu Windows à l’aide d’un appel à
InetFwProfile.FirewallEnabled(False)
5051 N/A Faible Un fichier a été virtualisé.
5056 N/A Faible Un auto-test de chiffrement a été effectué.
5057 N/A Faible Une opération de primitive de chiffrement a

échoué.
5058 N/A Faible Opération de fichier de clé.
5059 N/A Faible Opération de migration de clé.
5060 N/A Faible Échec de l’opération de vérification.

Windows Windows
actuel hérité
5061 N/A Faible Opération de chiffrement.
5062 N/A Faible Un auto-test de chiffrement en mode noyau a été

effectué.
5063 N/A Faible Une opération de fournisseur de chiffrement a été

tentée.
5064 N/A Faible Une opération de contexte de chiffrement a été

tentée.
5065 N/A Faible Une modification de contexte de chiffrement a été

tentée.
5066 N/A Faible Une opération de fonction de chiffrement a été

tentée.
5067 N/A Faible Une modification d’opération de fonction de

chiffrement a été tentée.
5068 N/A Faible Une opération de fournisseur de fonction de

5069 N/A Faible Une opération de propriété de fonction de

5070 N/A Faible Une modification de propriété de fonction de

5125 N/A Faible Une requête a été envoyée au service de

répondeur OCSP
5126 N/A Faible Le certificat de signature a été automatiquement

mis à jour par le service de répondeur OCSP
5127 N/A Faible Le fournisseur de révocation OCSP a correctement

mis à jour les informations de révocation
5136 566 Faible Un objet du service d’annuaire a été déplacé.
5137 566 Faible Un objet du service d’annuaire a été créé.
5138 N/A Faible La suppression d’un objet du service d’annuaire a

été annulée.
5139 N/A Faible Un objet du service d’annuaire a été déplacé.

Windows Windows
actuel hérité
5140 N/A Faible Un objet du partage réseau a fait l’objet d’un accès.
5141 N/A Faible Un objet du service d’annuaire a été supprimé.
5152 N/A Faible La plateforme de filtrage Windows a bloqué un

paquet.
5153 N/A Faible Un filtre plus restrictif de la plateforme de filtrage

Windows a bloqué un paquet.
5154 N/A Faible La plateforme de filtrage Windows a permis à une

application ou à un service d’être à l’écoute de
connexions entrantes sur un port.
5155 N/A Faible La plateforme de filtrage Windows a empêché une

application ou un service d’être à l’écoute de
connexions entrantes sur un port.
5156 N/A Faible La plateforme de filtrage Windows a autorisé une

connexion.
5157 N/A Faible La plateforme de filtrage Windows a bloqué une

connexion.
5158 N/A Faible La plateforme de filtrage Windows a autorisé une

liaison à un port local.
5159 N/A Faible La plateforme de filtrage Windows a bloqué une

liaison à un port local.
5378 N/A Faible La délégation des informations d’identification

demandée n’a pas été autorisée par la stratégie.
5440 N/A Faible La légende suivante était présente lors du

démarrage du moteur de filtrage de base de la
plateforme de filtrage Windows.
5441 N/A Faible Le filtre suivant était présent lors du démarrage du

moteur de filtrage de base de la plateforme de
filtrage Windows.
5442 N/A Faible Le fournisseur suivant était présent lors du

Windows Windows
actuel hérité
5443 N/A Faible Le contexte de fournisseur suivant était présent lors

du démarrage du moteur de filtrage de base de la
5444 N/A Faible La sous-couche suivante était présente lors du

5446 N/A Faible Une légende de la plateforme de filtrage Windows

a été modifiée.
5447 N/A Faible Un filtre de la plateforme de filtrage Windows a été

modifié.
5448 N/A Faible Un fournisseur de la plateforme de filtrage

Windows a été modifié.
5449 N/A Faible Un contexte de fournisseur de la plateforme de

filtrage Windows a été modifié.
5450 N/A Faible Une sous-couche de la plateforme de filtrage

Windows a été modifiée.
5451 N/A Faible Une association de sécurité en mode rapide IPsec a

été établie.
5452 N/A Faible Une association de sécurité en mode rapide IPsec

s’est terminée.
5456 N/A Faible Le moteur PAStore a appliqué la stratégie IPsec de

stockage Active Directory sur l’ordinateur.
5457 N/A Faible Le moteur PAStore n’a pas pu appliquer la stratégie

IPsec de stockage Active Directory sur l’ordinateur.
5458 N/A Faible Le moteur PAStore a appliqué une copie mise en

cache localement de la stratégie IPsec de stockage
Active Directory sur l’ordinateur.
5459 N/A Faible Le moteur PAStore n’a pas pu appliquer une copie
mise en cache localement de la stratégie IPsec de
stockage Active Directory sur l’ordinateur.
5460 N/A Faible Le moteur PAStore a appliqué la stratégie IPsec de

stockage de registre local sur l’ordinateur.
Windows Windows
actuel hérité
5461 N/A Faible Le moteur PAStore n’a pas pu appliquer la stratégie

IPsec de stockage de registre local sur l’ordinateur.
5462 N/A Faible Le moteur PAStore n’a pas pu appliquer certaines

règles de la stratégie IPsec active sur l’ordinateur.
Utilisez le composant logiciel enfichable Moniteur
de sécurité IP pour diagnostiquer le problème.
5463 N/A Faible Le moteur PAStore a interrogé les modifications

apportées à la stratégie IPsec active et n’a détecté
aucune modification.

apportées à la stratégie IPsec active, a détecté des
modifications et les a appliquées aux services IPsec.
5465 N/A Faible Le moteur PAStore a reçu un contrôle pour le

rechargement forcé de la stratégie IPsec et a traité
le contrôle avec succès.

apportées à la stratégie IPsec Active Directory , a
déterminé qu’Active Directory n’est pas accessible
et utilisera la copie mise en cache de la stratégie
IPsec Active Directory à la place. Les modifications
apportées à la stratégie IPsec Active Directory
depuis la dernière interrogation n’ont pas pu être
appliquées.

déterminé qu’Active Directory était accessible et
n’a trouvé aucune modification apportée à la
stratégie. La copie mise en cache de la stratégie
IPsec Active Directory n’est plus utilisée.

déterminé qu’Active Directory était accessible, a
trouvé des modifications apportées à la stratégie et
a appliqué ces modifications. La copie mise en
cache de la stratégie IPsec Active Directory n’est
plus utilisée.
Windows Windows
actuel hérité
5471 N/A Faible Le moteur PAStore a chargé la stratégie IPsec de

stockage local sur l’ordinateur.
5472 N/A Faible Le moteur PAStore n’a pas pu charger la stratégie

IPsec de stockage local sur l’ordinateur.
5473 N/A Faible Le moteur PAStore a chargé la stratégie IPsec de

stockage de registre sur l’ordinateur.
5474 N/A Faible Le moteur PAStore n’a pas pu charger la stratégie

IPsec de stockage de registre sur l’ordinateur.
5477 N/A Faible Le moteur PAStore n’a pas pu ajouter de filtre en

mode rapide.
5479 N/A Faible IPsec Services a été arrêté avec succès. L’arrêt
d’IPsec Services peut mettre l’ordinateur à un
risque plus élevé d’attaque réseau ou exposer
l’ordinateur à des risques de sécurité potentiels.
5632 N/A Faible Une requête a été effectuée pour s’authentifier

auprès d’un réseau sans fil.
5633 N/A Faible Une requête a été effectuée pour s’authentifier

auprès d’un réseau filaire.
5712 N/A Faible Une tentative d’appel de procédure distante (RPC)

a été effectuée.
5888 N/A Faible Un objet dans le catalogue COM+ a été modifié.
5889 N/A Faible Un objet a été supprimé du catalogue COM+.
5890 N/A Faible Un objet a été ajouté au catalogue COM+.
6008 N/A Faible L’arrêt du système précédent était inattendu
6144 N/A Faible La stratégie de sécurité des objets de stratégie de

groupe a été correctement appliquée.
6272 N/A Faible Le serveur NPS (Network Policy Server) a accordé

l’accès à un utilisateur.
N/A 561 Faible Un descripteur d’objet a été demandé.
N/A 563 Faible Objet ouvert pour suppression

Windows Windows
actuel hérité
N/A 625 Faible Type de compte d’utilisateur modifié
N/A 613 Faible Agent de stratégie IPsec démarré
N/A 614 Faible Agent de stratégie IPsec désactivé
N/A 615 Faible Agent de stratégie IPSec
N/A 616 Faible L’agent de stratégie IPsec a rencontré un échec

grave potentiel
24577 N/A Faible Chiffrement du volume démarré
24578 N/A Faible Chiffrement du volume arrêté
24579 N/A Faible Chiffrement du volume terminé
24580 N/A Faible Déchiffrement du volume démarré
24581 N/A Faible Déchiffrement du volume arrêté
24582 N/A Faible Déchiffrement du volume terminé
24583 N/A Faible Thread de travail de conversion pour le volume

démarré
24584 N/A Faible Thread de travail de conversion pour le volume

temporairement arrêté
24588 N/A Faible L’opération de conversion sur le volume %2 a

rencontré une erreur de secteur incorrect. Validez
les données sur ce volume
24595 N/A Faible Le volume %2 contient des clusters incorrects. Ces

clusters seront ignorés pendant la conversion.
24621 N/A Faible Vérification de l’état initial : transaction de

conversion de volume propagée sur %2.
5049 N/A Faible Une association de sécurité IPsec a été supprimée.
5478 N/A Faible IPsec Services a démarré avec succès.
７ Notes
Reportez-vous à Événements d’audit de sécurité Windows pour obtenir la liste
des nombreux ID d’événements de sécurité et leur signification.
Exécutez wevtutil gp Microsoft-Windows-Security-Auditing /ge /gm:true pour

obtenir une liste très détaillée de l’ensemble des ID d’événement de sécurité
Pour plus d’informations sur les ID d’événement de sécurité Windows et leurs

significations, consultez l’article Support Microsoft Paramètres de stratégie d’audit de
sécurité de base. Vous pouvez également télécharger les événements d’audit de sécurité
Windows , qui fournissent des informations détaillées sur les événements pour les
systèmes d’exploitation référencés sous le format de feuille de calcul.
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Liens de document
Le tableau suivant contient une liste de liens vers des documents externes et leurs URL afin que les lecteurs de copies en dur de ce
document puissent accéder à ces informations. Les liens sont répertoriés dans l’ordre dans lequel ils apparaissent dans le document.
Liens URLs
10 Lois immuables de https://technet.microsoft.com/library/cc722488.aspx

l’administration de la
sécurité
Microsoft Security https://technet.microsoft.com/library/cc677002.aspx

Compliance Manager
Gartner Symposium http://www.gartner.com/technology/symposium/orlando/

ITXPO
Rapport d’enquête sur http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

les violations de
données (DBIR) 2012
Dix lois immuables de https://technet.microsoft.com/security/hh278941.aspx

sécurité (version 2.0)
Utilisation de l’analyse https://technet.microsoft.com/library/bb418939.aspx

heuristique
Téléchargement par /windows/win32/secgloss/security-glossaire

lecteur
Article du support https://support.microsoft.com/kb/2526083

Microsoft 2526083
Article de support https://support.microsoft.com/kb/814777

Microsoft 814777
Ouvrir le projet OWASP https://www.owasp.org/index.php/Main_Page

(Web Application
Security Project)
Microsoft Security /windows/security/threat-protection/msft-security-dev-lifecycle

Development Lifecycle
Atténuation des https://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating Attaques Pass-the-Hash (PtH) et

attaques Pass-the-Hash Techniques_English.pdf
(PtH) et d’autres
techniques de vol
d’informations
d’identification
Adversaires déterminés https://www.microsoft.com/download/details.aspx?id=34793

et attaques ciblées
Solution pour la gestion https://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789

du mot de passe du
compte Administrateur
intégré via l’objet de
Article du support https://support.microsoft.com/?id=817433

Microsoft 817433
Article du support /microsoft-365/admin/get-help-support

Microsoft 973840
Liens URLs
Le compte https://technet.microsoft.com/library/cc753450.aspx
d’administrateur est
désactivé par défaut
Guide de planification https://technet.microsoft.com/library/cc162797.aspx

de la sécurité des
comptes
d’administrateur
Kit de ressources de https://www.microsoft.com/learning/en/us/book.aspx?ID=6815&locale=en-us

sécurité Microsoft
Windows
Guide pas à pas : https://technet.microsoft.com/library/dd378897(WS.10).aspx

garantie d’un
mécanisme
d’authentification pour
les services de domaine
Active Directory dans
Windows Server Update https://technet.microsoft.com/windowsserver/bb332157

Services
Bureaux virtuels https://technet.microsoft.com/library/dd759174.aspx

personnels
Guide de planification et https://technet.microsoft.com/library/cc771744(WS.10).aspx

de déploiement du
contrôleur de domaine
en lecture seule
Exécution de contrôleurs https://technet.microsoft.com/library/dd363553(v=ws.10).aspx

de domaine dans Hyper-
V
Guide de sécurité https://www.microsoft.com/download/details.aspx?id=16650

Hyper-V
Demander à l’équipe des https://blogs.technet.com/b/askds/archive/2011/09/12/managing-rid-pool-depletion.aspx

services d’annuaire
Guide pratique pour https://support.microsoft.com/kb/179442

configurer un pare-feu
pour des domaines et
des approbations
Rapport de violation des http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf

données Verizon 2009
Rapport sur les http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

violations de données
Verizon 2012
Présentation des https://blogs.technet.com/b/askds/archive/2007/10/19/introducing-auditing-changes-in-windows-2008.aspx

modifications d’audit
dans Windows 2008
Astuces d’audit cool https://blogs.technet.com/b/askds/archive/2007/11/16/cool-auditing-tricks-in-vista-and-2008.aspx

dans Vista et 2008
L’audit d’accès aux https://blogs.technet.com/b/askds/archive/2011/03/10/global-object-access-auditing-is-magic.aspx

objets global est Magic
Magasin unique pour https://blogs.technet.com/b/askds/archive/2008/03/27/one-stop-shop-for-auditing-in-windows-server-2008-and-windows-vista.aspx

l’audit dans Windows
Server 2008 et Windows
Vista
Guide pas à pas de https://technet.microsoft.com/library/a9c25483-89e2-4202-881c-ea8e02b4b2a5.aspx

l’audit AD DS
Liens URLs
Obtention de la http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
stratégie d’audit efficace
dans Windows 7 et 2008
R2
Exemple de script http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Type d’option Audit http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf
Audit et conformité dans https://technet.microsoft.com/magazine/2008.03.auditing.aspx

Windows Server 2008
Comment utiliser la /troubleshoot/windows-server/group-policy/configure-group-policies-set-security

pour configurer des
paramètres d’audit de
sécurité détaillés pour
les ordinateurs Windows
Vista et Windows Server
2008 dans un domaine
Windows Server 2008,
dans un domaine
Windows Server 2003 ou
dans un domaine
Windows 2000 Server
Guide pas à pas de la https://technet.microsoft.com/library/dd408940(WS.10).aspx

stratégie d’audit de
sécurité avancée
Guide sur les menaces et https://technet.microsoft.com/library/hh125921(v=ws.10).aspx

contre-mesures
MaxTokenSize et https://blogs.technet.com/b/shanecothran/archive/2010/07/16/maxtokensize-and-kerberos-token-bloat.aspx
Kerberos Token Bloat
Assurance du https://technet.microsoft.com/library/dd391847(v=WS.10).aspx
mécanisme
d’authentification
Microsoft Data https://technet.microsoft.com/library/hh204743.aspx

Classification Toolkit
Contrôle d'accès https://blogs.technet.com/b/windowsserver/archive/2012/05/22/introduction-to-windows-server-2012-dynamic-access-control.aspx

dynamique
Absolute Software https://www.absolute.com/company/press-releases/2009/computrace-by-absolute-software-now-supported-in-firmware-of-getac-comput
Gestion absolue https://www.absolute.com/resources/solution-sheets/itam/
Gestion absolue de la https://www.absolute.com/company/press-releases/2012/absolute-manage-the-first-mdm-solution-with-integrated-secure-document-dist

gestion des appareils campaignid=983063266&adgroupid=136612784634&feeditemid=&loc_physical_ms=9003653&matchtype=&network=g&device=c&gclid
mobiles QxzCEYK-OV4yQhIOyQp-n51UZZjS87_vrK5qPcE xoCDL8QAvD_BwE&creative=583299092096&keyword=&adposition=&utm_term=&gclid
QxzCEYK-OV4yQhIOyQp-n51UZZjS87_vrK5qPcE-xoCDL8QAvD_BwE
SolarWinds http://www.solarwinds.com/eminentware-products.aspx
Pack d’extension WSUS http://solarwinds-marketing.s3.amazonaws.com/solarwinds/Datasheets/EminentWare-WSUS-Extension-Pack-005-Datasheet2.pdf

d’EminentWare
Pack d’extension http://solarwinds-marketing.s3.amazonaws.com/solarwinds/Datasheets/EminentWare-Extension-Pack-for-CM-Datasheet-006-Revised.pdf

EminentWare
Configuration
Manager
Logiciel GFI http://www.gfi.com/?adv=952&loc=58&gclid=CLq9y5603rMCFal7QgodMFkAyA
GFI LanGuard http://www.gfi.com/network-security-vulnerability-scanner/?adv=952&loc=60&gclid=CP2t-7i03rMCFQuCQgodNkAA7g
Secunia http://secunia.com/
Secunia Corporate http://secunia.com/products/corporate/csi/

Software Inspector
(CSI)
Liens URLs
Gestionnaire http://secunia.com/vulnerability_intelligence/
d’intelligence des
vulnérabilités
eEye Digital Security http://www.wideeyesecurity.com/?gclid=CK6b0sm13rMCFad_QgodhScAiw
Gestion de la rétine http://www.wideeyesecurity.com/products.asp

CS
Tout le monde http://www.lumension.com/?rpLeadSourceId=5009&gclid=CKuai_e13rMCFal7QgodMFkAyA
Gestion des http://www.lumension.com/Solutions/Vulnerability-Management.aspx

vulnérabilités de
Guide des menaces et https://technet.microsoft.com/library/hh125917(v=ws.10).aspx

des contre-mesures :
Droits de l’utilisateur
Réduction des menaces https://technet.microsoft.com/library/cc755181(v=ws.10).aspx

et vulnérabilités
Droits de l’utilisateur https://technet.microsoft.com/library/dd349804(v=WS.10).aspx
Accéder au gestionnaire https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_2

d’informations
d’identification en tant
qu’appelant approuvé
Accéder à cet ordinateur https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_1

à partir du réseau
Agir en tant que partie https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_3

du système
d'exploitation
Ajouter des stations de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_4

travail au domaine
Ajuster les quotas de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_5

mémoire pour un
processus
Autoriser l’ouverture de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_6

session localement
Autoriser l’ouverture de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_7

session via les services
Terminal
Sauvegarder des fichiers https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_8

et des répertoires
Contourner la https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_9
vérification de parcours
Modifier l’heure système https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_10
Changer le fuseau https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_11

horaire
Créer un fichier https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_12

d’échange
Créer un objet-jeton https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_13
Créer des objets globaux https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_14
Créer des objets https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_15

partagés permanents
Créer des liens https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_16

symboliques
Déboguer les https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_17

programmes
Liens URLs
Refuser l'accès à cet https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_18

ordinateur à partir du
réseau
Refuser l’ouverture de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_18a

session en tant que
travail par lot
Interdire l’ouverture de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_19

session en tant que
service
Interdire l’ouverture https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_20

d’une session locale
Refuser l’ouverture de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_21

session via les services
terminal
Permettre à l’ordinateur https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_22

et aux comptes
d’utilisateurs d’être
approuvés pour la
délégation
Forcer l’arrêt à partir https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_23

d’un système distant
Générer des audits de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_24

sécurité
Emprunter l'identité d'un https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_25

client après
authentification
Augmenter une plage de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_26

travail de processus
Augmenter la priorité de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_27

planification
Charger et décharger les https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_28

pilotes de périphériques
Verrouiller les pages en https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_29

mémoire
Se connecter en tant https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_30

que travail par lot
Ouvrir une session en https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_31

tant que service
Gérer le journal d'audit https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_32

et de sécurité
Modifier un nom d’objet https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_33
Modifier les valeurs de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_34

l’environnement du
microprogramme
Effectuer les tâches de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_35

maintenance de volume
Processus unique du https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_36

profil
Performance système du https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_37

profil
Retirer l’ordinateur de la https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_38

station d’accueil
Remplacer un jeton de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_39

niveau processus
Liens URLs
Restaurer des fichiers et https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_40

des répertoires
Arrêter le système https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_41
Synchroniser les https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_42

données du service
d’annuaire
Prendre possession de https://technet.microsoft.com/library/db585464-a2be-41b1-b781-e9845182f4b6(v=ws.10)#BKMK_43

fichiers ou d’autres
objets
Contrôle d’accès https://msdn.microsoft.com/library/aa374860(v=VS.85).aspx
Support Microsoft /microsoft-365/admin/get-help-support
rootDSE Modify https://msdn.microsoft.com/library/cc223297.aspx

Operations
Guide pas à pas de la https://technet.microsoft.com/library/cc771290(v=ws.10).aspx

sauvegarde et de la
récupération AD DS
Configurations Windows /archive/blogs/openspecification/windows-configurations-for-kerberos-supported-encryption-type

pour le type de
chiffrement pris en
charge par Kerberos
Processus et https://technet.microsoft.com/library/dd835561(v=WS.10).aspx#1
interactions UAC
EmpowerID http://www.empowerid.com/products/authorizationservices
Contrôle d’accès en http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=%2Fcom.ibm.aix.security%2Fdoc%2Fsecurity%2Fdomain_rbac.htm

fonction du rôle
(RBAC)
Modèle RBAC http://docs.oracle.com/cd/E19082-01/819-3321/6n5i4b7ap/index.html
Contrôle d’accès centré http://www.centrify.com/solutions/it-security-access-control.asp

sur Active Directory
Cyber-Ark’s Privileged http://www.cyber-ark.com/digital-vault-products/pim-suite/index.asp

Identity Management
(PIM) Suite
Quête One https://www.quest.com/products/gpoadmin/
Gestionnaire de mots de http://www.liebsoft.com/Random_Password_Manager/

passe aléatoires
d’entreprise (ERPM)
Gestionnaire https://www.netiq.com/products/privileged-user-manager/
d’utilisateurs privilégiés
NetIQ
CA IdentityMinder https://www.scmagazine.com/feature/sc-awards-2007-time-to-be-counted
Description des /windows/win32/wmisdk/event-security-constants

événements de sécurité
dans Windows Vista et
dans Windows Server
2008
Description des /windows/win32/win7appqual/security

événements de sécurité
dans Windows 7 et dans
Événements d’audit de https://www.microsoft.com/download/details.aspx?id=21561

sécurité pour Windows
7
Liens URLs
Détails de l’événement https://www.microsoft.com/download/details.aspx?id=35753

de sécurité Windows
Server 2008 R2 et
Windows 8 et Windows
Server 2012
Rapport sur les http://www.gtsecuritysummit.com/report.html

cybermenaces
émergentes de Georgia
Tech pour 2013
Rapport sur l’intelligence /azure/defender-for-cloud/threat-intelligence-reports

de sécurité Microsoft
Stratégies d’atténuation http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

des 35 premières
stratégies d’atténuation
du gouvernement
australien
Avantages de la sécurité /azure/defender-for-cloud/enhanced-security-features-overview

cloud computing
Application du principe /windows-server/identity/ad-ds/plan/security-best-practices/implementing-least-privilege-administrative-models

du privilège minimum
aux comptes
d’utilisateur sur
Windows
Guide de planification /sharepoint/security-for-sharepoint-server/plan-for-administrative-and-service-accounts

de la sécurité des
comptes
d’administrateur
Guide de bonne /previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn487446(v=ws.11)

pratique pour la
sécurisation des
installations Active
Directory pour Windows
Server 2003
Meilleures pratiques /azure/active-directory/external-identités/b2b-fundamentals

pour déléguer
l’administration Active
Directory pour Windows
Server 2003
Politique de support https://support.microsoft.com/common/international.aspx?RDPATH=%2flifecycle%2fdefault.aspx

Microsoft
Spécification technique https://msdn.microsoft.com/library/cc223122(v=prot.20).aspx

Active Directory
Message d’erreur https://support.microsoft.com/kb/932455

lorsque les utilisateurs
non administrateurs qui
ont été délégués tentent
de joindre des
ordinateurs à un
Windows Server 2003 ou
Windows Server 2008 : «
L’accès est refusé »
Guide pas à pas : https://technet.microsoft.com/library/dd378897(WS.10).aspx

garantie d’un
mécanisme
d’authentification pour
les services de domaine
Active Directory dans
Validation KDC stricte https://www.microsoft.com/download/details.aspx?id=6382

Lecture recommandée
Le tableau suivant contient une liste de lectures recommandées qui vous aideront à améliorer la sécurité de vos systèmes Active Directory.
Lecture recommandée
Rapport sur les cybermenaces émergentes en Géorgie pour 2014
Rapport sur l’intelligence de sécurité Microsoft
Atténuation des attaques pass-the-hash (PTH) et autres techniques de vol d’informations d’identification
Stratégies d’atténuation des 35 premières stratégies d’atténuation du gouvernement australien
Rapport d’enquête sur les violations de données 2012 - (Verizon, US Secret Service)
Rapport sur les enquêtes sur les violations de données en 2009
Avantages de la sécurité cloud computing
Application du principe du privilège minimum aux comptes d’utilisateur sur Windows
Guide de planification de la sécurité des comptes d’administrateur
Guide de bonne pratique pour la sécurisation des installations Active Directory pour Windows Server 2003
Meilleures pratiques pour déléguer l’administration Active Directory pour Windows Server 2003
Politique de support Microsoft
Spécification technique Active Directory - informations dSHeuristics
Message d’erreur lorsque les utilisateurs non administrateurs qui ont été délégués tentent de joindre des ordinateurs à un contrôleur de domaine Windows
Server 2003 ou Windows Server 2008 : « L’accès est refusé »
Guide de bonne pratique pour la sécurisation des Installations.docActive Directory
Guide de sécurité Hyper-V
Assurance du mécanisme d’authentification pour AD DS dans Windows Server 2008 R2 Guide pas à pas.
Validation KDC stricte
Informations de copyright
Les informations contenues dans le présent document reflètent l'opinion de Microsoft Corporation sur les sujets abordés à la date de
publication. Microsoft se doit de s'adapter aux conditions fluctuantes du marché, et cette opinion ne peut être considérée comme un
engagement de sa part. Microsoft ne peut garantir la véracité de toute information présentée après la date de publication.
Ce livre blanc est fourni à titre d'information uniquement. Microsoft ne garantit aucune garantie, explicite ou implicite, dans ce document.
L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicable dans son pays. Sans limitation des droits issus des
droits d’auteur, aucune partie de ce manuel ne peut être reproduite, stockée ou incluse dans un système de récupération de données ou
transmise, à quelque fin ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement ou autre) sans
l’autorisation expresse et écrite de Microsoft Corporation.
Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets en cours, de marques, de droits d'auteur
ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse contraire d'un contrat de licence écrit de
Microsoft, la fourniture de ce document n'a pas pour effet de vous concéder une licence sur ces brevets, marques, droits d'auteur ou autres
droits de propriété intellectuelle.
Microsoft, Active Directory, BitLocker, Hyper-V, Internet Explorer, Windows Vista, Windows et Windows Server sont des marques déposées
ou des marques de Microsoft Corporation aux États-Unis et/ou dans d’autres pays. Toutes les autres marques sont la propriété de leurs
propriétaires respectifs.
Les noms de sociétés, d'organisations, de produits, de domaines, d'adresses de messagerie, de logos, de personnes, de lieux et
d'événements mentionnés dans les exemples sont fictifs. Toute ressemblance avec des sociétés, organisations, produits, noms de domaine,
adresses de messagerie, logos, personnes, lieux ou événements réels est purement fortuite et involontaire.
2013 Microsoft Corporation. Tous droits réservés.

Gestion de la topologie et de la
réplication Active Directory avec
Windows PowerShell

Windows PowerShell pour Active Directory inclut désormais la prise en charge de la

gestion de la topologie et de la réplication. Les rubriques suivantes fournissent une
introduction et des informations supplémentaires :
Gestion de la topologie et de la réplication Active Directory avec Windows

PowerShell (niveau 100)
Gestion avancée de la topologie et de la réplication Active Directory avec Windows

PowerShell (Niveau 200)
Gestion de la topologie et de la
Windows PowerShell (niveau 100)

Windows PowerShell pour Active Directory offre la possibilité de gérer la réplication, les
sites, les domaines et forêts, les contrôleurs de domaine et les partitions. Les utilisateurs
d’outils de gestion antérieurs, tels que le composant logiciel enfichable Sites et services
Active Directory et repadmin.exe, noteront que des fonctions similaires sont à présent
disponibles depuis le contexte Windows PowerShell pour Active Directory. En outre, les
applets de commande sont compatibles avec les applets de commande Windows
PowerShell pour Active Directory existantes, ce qui crée une expérience utilisateur
rationalisée et permet aux clients de générer aisément des scripts d’automatisation.
７ Notes
Les applets de commande de topologie et de réplication Windows PowerShell pour

Active Directory sont disponibles dans les environnements suivants :
contrôleur de domaine Windows Server 2012

Windows Server 2012 avec le Outils d’administration de serveur distant pour
AD DS et AD LDS installé.
Windows® 8 avec le Outils d’administration de serveur distant pour AD DS et
AD LDS installés.
Installation du module Active Directory pour

Windows PowerShell
le Module Active Directory pour Windows PowerShell est installé par défaut lorsque le
rôle de serveur AD DS est installé sur un serveur qui exécute Windows Server 2012.
L’ajout du rôle serveur est la seule étape supplémentaire requise. vous pouvez
également installer le module Active Directory sur un serveur qui exécute Windows
Server 2012 en installant le Outils d’administration de serveur distant, et vous pouvez
installer le module Active Directory sur un ordinateur exécutant Windows 8 en
téléchargeant et en installant les outils d’administration de serveur distant (RSAT) . Voir
Instructions pour les étapes d’installation.
Scénarios de test des applets de commande de

gestion de la topologie et de la réplication
Windows PowerShell pour Active Directory
Les scénarios suivants sont destinés aux administrateurs pour qu’ils se familiarisent avec
les nouvelles applets de commande de gestion :
Obtenir une liste de tous les contrôleurs de domaine et leurs sites correspondants
Gérer la topologie de réplication
Afficher les informations et l’état de réplication
Configuration de laboratoire requise

deux contrôleurs de domaine Windows Server 2012 : DC1 et DC2 qui font partie du
domaine contoso.com et qui résident dans le site d’entreprise au sein de ce
domaine.
Afficher les contrôleurs de domaine et leurs

sites
Dans cette étape, vous allez utiliser le module Active Directory pour Windows
PowerShell pour afficher les contrôleurs de domaine existants et la topologie de
réplication pour le domaine.
Pour effectuer les étapes des procédures suivantes, vous devez être membre du groupe
Administrateurs du domaine ou disposer des autorisations équivalentes.
Pour afficher tous les sites Active Directory
1. Sur DC1, cliquez sur Windows PowerShell dans la barre des tâches.
2. Tapez la commande suivante :
Get-ADReplicationSite -Filter *
Des informations détaillées sur chaque site sont retournées. Le paramètre Filter
est utilisé dans toutes les applets de commande PowerShell Active Directory afin
de limiter la liste des objets renvoyés. Dans ce cas, l’astérisque (*) indique tous les
objets de sites.
 Conseil
Vous pouvez utiliser la touche Tab pour compléter automatiquement les

commandes dans Windows PowerShell.
Exemple : tapez Get-ADRep et appuyez sur Tab plusieurs fois pour parcourir les
commandes correspondantes jusqu’à atteindre Get-ADReplicationSite . La
saisie semi-automatique fonctionne également pour les noms de paramètres
tels que Filter .
Pour mettre en forme la sortie de la Get-ADReplicationSite commande en tant

que table et limiter l’affichage à des champs spécifiques, vous pouvez diriger la
sortie vers la Format-Table commande (ou « ft » en abrégé) :
Get-ADReplicationSite -Filter * | ft Name
Une version plus courte de la liste de sites est retournée, contenant uniquement le
champ Name.
Pour générer un tableau de tous les contrôleurs de domaine
Tapez la commande suivante à l’invite de commandes du module Active Directory

pour Windows PowerShell :
Get-ADDomainController -Filter * | ft Hostname,Site
Cette commande retourne le nom d’hôte des contrôleurs de domaine ainsi que
leurs associations de sites.
Gérer la topologie de réplication

À l’étape précédente, après l’exécution de la commande, Get-ADDomainController -
Filter * | ft Hostname,Site , Get-ADDomainController -Filter * | ft Hostname,Site
était répertorié comme faisant partie du site CORPORATE . Dans les procédures ci-
dessous, vous allez créer un nouveau site de succursale, BRANCH1, créer un lien de site,
définir le coût du lien de site et la fréquence de réplication, puis déplacer DC2 vers
BRANCH1.
Pour créer un site

New-ADReplicationSite BRANCH1
Cette commande crée le site de la nouvelle filiale, branch1.
Pour créer un lien de site

New-ADReplicationSiteLink 'CORPORATE-BRANCH1' -SitesIncluded CORPORATE,BRANCH1

-OtherAttributes @{'options'=1}
Cette commande crée le lien de site vers BRANCH1 et active le processus de

notification de modification.
 Conseil
Utilisez la touche Tab pour effectuer une saisie semi-automatique des noms
de paramètres tels que -SitesIncluded et -OtherAttributes plutôt que les
taper manuellement.
Pour définir le coût du lien de site et la fréquence de réplication

Set-ADReplicationSiteLink CORPORATE-BRANCH1 -Cost 100 -
ReplicationFrequencyInMinutes 15
Cette commande affecte la valeur 100 au coût du lien de site vers BRANCH1 et
définit la fréquence de réplication avec le site à 15 minutes.
Pour déplacer un contrôleur de domaine vers un autre site
Get-ADDomainController DC2 | Move-ADDirectoryServer -Site BRANCH1
Cette commande déplace le contrôleur de domaine, DC2 vers le site BRANCH1.
Vérification
Pour vérifier la création du site, le lien vers le nouveau site, le

coût et la fréquence de réplication
Cliquez sur Gestionnaire de serveur, sur Outils, puis sur Sites et services Active
Directory et vérifiez les points suivants :
Vérifiez que le site BRANCH1 contient toutes les valeurs correctes des commandes
Windows PowerShell.
Vérifiez que le lien de site CORPORATE-BRANCH1 est créé et connecte les sites
BRANCH1 et CORPORATE.
Vérifiez que DC2 figure maintenant dans le site BRANCH1. En guise d’alternative,
vous pouvez ouvrir le Module Active Directory pour Windows PowerShell et taper
la commande suivante pour vérifier que DC2 figure désormais dans le site
BRANCH1 : .
Afficher les informations et l’état de réplication

Dans les procédures suivantes, vous allez utiliser l’une des applets de commande
Windows PowerShell pour la gestion et la réplication Active Directory, Get-
ADReplicationUpToDatenessVectorTable DC1 , pour générer un rapport de réplication
simple utilisant la table de vecteurs de mise à jour conservée par chaque contrôleur de
domaine. Cette table de vecteurs de mise à jour assure le suivi du numéro USN écrit
source le plus élevé détecté par chaque contrôleur de domaine dans la forêt.
Pour afficher la table de vecteurs de mise à jour pour un seul

1. Tapez la commande suivante à l’invite de commandes du module Active Directory
Get-ADReplicationUpToDatenessVectorTable DC1
Cette commande fournit une liste des numéros USN les plus élevés détectés DC1
pour chaque contrôleur de domaine dans la forêt. La valeur Server fait référence
au serveur qui assure la maintenance de la table, dans le cas présent DC1. La valeur
Partner fait référence au partenaire de réplication (direct ou indirect) sur lequel les
modifications ont été apportées. La valeur UsnFilter est le numéro USN le plus
élevé détecté par DC1 à partir du partenaire. Si un nouveau contrôleur de domaine
est ajouté à la forêt, il n’apparaîtra pas dans la table de DC1tant que DC1 n’aura pas
reçu de modification provenant du nouveau domaine.
Pour afficher la table de vecteurs de mise à jour pour tous les

contrôleurs d’un domaine
1. Tapez la commande suivante à l’invite de commandes du module Active Directory
Get-ADReplicationUpToDatenessVectorTable * | sort Partner,Server | ft

Partner,Server,UsnFilter
Cette commande remplace DC1 par , recueillant ainsi les données de table de
vecteurs de mise à jour de tous les contrôleurs de domaine. Les données sont
triées par Partner et Server, puis affichées dans un tableau.
Le tri vous permet de comparer aisément le dernier numéro USN détecté par
chaque contrôleur de domaine pour un partenaire de réplication donné. Il s’agit
d’un moyen rapide de vérifier que la réplication a lieu au sein de votre
environnement. Si la réplication fonctionne correctement, les valeurs UsnFilter
signalées pour un partenaire de réplication donné doivent être assez semblables
sur tous les contrôleurs de domaine.
Voir aussi
gestion de la topologie et de la réplication avancée Active Directory à l’aide de Windows
PowerShell (niveau 200)
Gestion avancée de la topologie et de la
Windows PowerShell (Niveau 200)

Cette rubrique décrit plus en détail les applets de commande de gestion de la topologie
et de la réplication d’AD DS et fournit des exemples supplémentaires. Pour une
introduction, voir Gestion de la topologie et de la réplication Active Directory avec
Windows PowerShell (niveau 100).
1. Introduction
2. Réplication et métadonnées
3. Get-ADReplicationAttributeMetadata
4. Get-ADReplicationPartnerMetadata
5. Get-ADReplicationFailure
6. Get-ADReplicationQueueOperation et Get-ADReplicationUpToDatenessVectorTable
7. Sync-ADObject
8. Topologie
Introduction
Le tableau suivant répertorie les applets de commande de topologie et de réplication
qui ont été ajoutées au module Active Directory pour Windows PowerShell :
Applet de commande Explication
Get-ADReplicationAttributeMetadata Renvoie des métadonnées de réplication d'attribut

pour un objet
Get-ADReplicationConnection Retourne les informations sur les objets de connexion

du contrôleur de domaine
Applet de commande Explication
Get-ADReplicationFailure Renvoie l'échec de réplication le plus récent d'un

Get-ADReplicationPartnerMetadata Retourne la configuration de réplication d'un

Get-ADReplicationQueueOperation Renvoie la liste d'attente actuelle de la réplication
Get-ADReplicationSite Retourne les informations sur le site
Get-ADReplicationSiteLink Renvoie les informations sur les liens du site
Get-ADReplicationSiteLinkBridge Retourne les informations sur le pont lien de sites
Get-ADReplicationSubnet Renvoie les informations du sous-réseau Active

Directory
Get- Retourne le vecteur de mise à jour (UTD) d'un

ADReplicationUpToDatenessVectorTable contrôleur de domaine
Get-ADTrust Renvoie les informations relatives à l'approbation inter-

domaines ou inter-forêts
New-ADReplicationSite Crée un site
New-ADReplicationSiteLink Crée un lien de sites
New-ADReplicationSiteLinkBridge Crée un pont lien de sites
New-ADReplicationSubnet Crée un sous-réseau Active Directory
Remove-ADReplicationSite Supprime un site
Remove-ADReplicationSiteLink Supprime un lien de sites
Remove-ADReplicationSiteLinkBridge Supprime un pont lien de sites
Remove-ADReplicationSubnet Supprime un sous-réseau Active Directory
Set-ADReplicationConnection Change une connexion
Set-ADReplicationSite Modifie un site
Set-ADReplicationSiteLink Change un lien de sites
Set-ADReplicationSiteLinkBridge Modifie un pont lien de sites
Set-ADReplicationSubnet Change un sous-réseau Active Directory
Sync-ADObject Force la réplication d'un objet unique

La base de la plupart des applets de commande se trouve dans Repadmin.exe. D'autres
applets de commande (non répertoriées) gèrent des fonctionnalités comme le contrôle
d'accès dynamique et les comptes de service administrés de groupe.
Pour obtenir la liste complète de toutes les applets de commande Active Directory pour
Windows PowerShell, exécutez :
Get-Command -module ActiveDirectory
Pour obtenir la liste complète de tous les arguments d'applets de commande Active
Directory pour Windows PowerShell, consultez l'aide. Par exemple :
Get-Help New-ADReplicationSite
Utilisez l’applet de commande Update-Help pour télécharger et installer les fichiers

d’aide
Réplication et métadonnées
Repadmin.exe valide l'état et la cohérence de la réplication Active Directory.
Repadmin.exe offre des options de manipulation simple des données (certains
arguments prennent par exemple en charge les sorties CSV) mais l'automatisation a
généralement exigé une analyse des sorties de fichiers texte. Le module Active Directory
pour Windows PowerShell offre pour la première fois la possibilité de contrôler
directement les données renvoyées. Auparavant, vous deviez créer des scripts ou utiliser
des outils tiers.
De plus, les applets de commande suivantes implémentent un nouveau jeu de

paramètres Target, Scope et EnumerationServer :
Get-ADReplicationFailure
Get-ADReplicationPartnerMetadata
Get-ADReplicationUpToDatenessVectorTable
L'argument Target accepte une liste CSV de chaînes qui identifient les serveurs, sites,
domaines ou forêts cibles spécifiés par l'argument Scope. Un astérisque (*) est
également autorisé et signifie « tous les serveurs » de l'étendue spécifiée. Si aucune
étendue n’est spécifiée, il implique tous les serveurs de la forêt de l’utilisateur actuel.
L'argument Scope spécifie la latitude de la recherche. Les valeurs acceptables sont
Server, Site, Domain et Forest. L'argument EnumerationServer indique le serveur qui
énumère la liste des contrôleurs de domaine spécifiés dans Target et Scope. Il
fonctionne comme l'argument Server et nécessite que le serveur spécifié exécute les
services Web Active Directory.
Pour présenter les applets de commande, voici quelques exemples de scénarios

démontrant ce que repadmin.exe ne peut pas réaliser. Avec ces illustrations, les
possibilités d’administration deviennent évidentes. Consultez l'aide sur les applets de
commande pour connaître les exigences spécifiques en matière d'utilisation.
Get-ADReplicationAttributeMetadata
Cette applet de commande est semblable à repadmin.exe /showobjmeta. Elle vous
permet de renvoyer des métadonnées de réplication, dans des situations telles que le
changement d'un attribut, le contrôleur de domaine d'origine, les informations de
version et numéro de séquence de mise à jour (USN, Update Sequence Number) et les
données d'attribut. Cette applet de commande est utile pour vérifier où et quand le
changement s'est produit.
Contrairement à Repadmin, Windows PowerShell permet une recherche et un contrôle

de sortie flexible. Par exemple, vous pouvez effectuer la sortie des métadonnées de
l'objet Admins du domaine, sous forme de liste lisible :
Get-ADReplicationAttributeMetadata -object "cn=domain

admins,cn=users,dc=corp,dc=contoso,dc=com" -server dc1.corp.contoso.com -
showalllinkedvalues | format-list
Vous pouvez aussi réorganiser les données en tableau comme dans repadmin :
Get-ADReplicationAttributeMetadata -object "cn=domain

admins,cn=users,dc=corp,dc=contoso,dc=com" -server dc1.corp.contoso.com -
showalllinkedvalues | format-table -wrap
Sinon, vous pouvez obtenir les métadonnées pour une classe entière d'objets, en
traitant en pipeline l'applet de commande Get-Adobject avec un filtre, tel que « tous les
groupes », associé à une date spécifique. Le pipeline est un canal utilisé entre plusieurs
applets de commande pour transmettre des données. Pour afficher tous les groupes
modifiés d'une certaine façon le 13 janvier 2012 :
Get-ADObject -filter 'objectclass -eq "group"' | Get-
ADReplicationAttributeMetadata -server dc1.corp.contoso.com | where-object
{$_.lastoriginatingchangetime -like "*1/13/2012*" -and $_.attributename -eq
"name"} | format-table object
Pour plus d’informations sur d’autres opérations Windows PowerShell avec des
pipelines, consultez Définition et utilisation des pipelines dans Windows PowerShell.
Vous pouvez aussi rechercher chaque groupe qui comporte le membre Tony Wang et la
date à laquelle le groupe a été modifié pour la dernière fois :
Get-ADObject -filter 'objectclass -eq "group"' | Get-

ADReplicationAttributeMetadata -server dc1.corp.contoso.com -
showalllinkedvalues | where-object {$_.attributevalue -like "*tony wang*"} |
format-table object,LastOriginatingChangeTime,version -auto
Sinon, pour trouver tous les objets qui ont été restaurés à l'aide d'une sauvegarde de
l'état du système dans le domaine, d'après leur version arbitrairement haute :
Get-ADObject -filter 'objectclass -like "*"' | Get-

ADReplicationAttributeMetadata -server dc1.corp.contoso.com | where-object
{$_.version -gt "100000" -and $_.attributename -eq "name"} | format-table
object,LastOriginatingChangeTime
Vous pouvez aussi envoyer toutes les métadonnées de l'utilisateur dans un fichier CSV
pour le consulter ultérieurement dans Microsoft Excel :
Get-ADObject -filter 'objectclass -eq "user"' | Get-

ADReplicationAttributeMetadata -server dc1.corp.contoso.com -
showalllinkedvalues | export-csv allgroupmetadata.csv
Get-ADReplicationPartnerMetadata
Cette applet de commande renvoie les informations sur la configuration et l'état de
réplication d'un contrôleur de domaine pour surveiller, créer un inventaire ou résoudre
un problème. À la différence de Repadmin.exe, Windows PowerShell permet d'afficher
uniquement les données que vous considérez importantes, au format souhaité.
Par exemple, l'état de réplication lisible d'un contrôleur de domaine unique :
Get-ADReplicationPartnerMetadata -target dc1.corp.contoso.com
Ou la dernière réplication entrante d'un contrôleur de domaine et ses partenaires, dans

un tableau :
Get-ADReplicationPartnerMetadata -target dc1.corp.contoso.com | format-table

lastreplicationattempt,lastreplicationresult,partner -auto
Ou encore, vous pouvez contacter tous les contrôleurs de domaine de la forêt et afficher
celui dont la dernière tentative de réplication a échoué pour une raison quelconque :
Get-ADReplicationPartnerMetadata -target * -scope server | where

{$_.lastreplicationresult -ne "0"} | ft
server,lastreplicationattempt,lastreplicationresult,partner -auto
Get-ADReplicationFailure
Cette applet de commande peut être utilisée pour renvoyer des informations sur les
erreurs récentes de réplication. Elle est analogue à Repadmin.exe /showreplsum, mais
avec un niveau nettement plus élevé de contrôle grâce à Windows PowerShell.
Par exemple, vous pouvez renvoyer les échecs les plus récents d’un contrôleur de
domaine et les partenaires qu’il n’a pas réussi à contacter :
Get-ADReplicationFailure dc1.corp.contoso.com
Vous pouvez également renvoyer un affichage sous forme de tableau pour tous les
serveurs d'un site logique Active Directory spécifique, classés pour faciliter la
consultation et ne contenant que les données essentielles :
Get-ADReplicationFailure -scope site -target default-first-site-name |

format-table server,firstfailuretime,failurecount,lasterror,partner -auto
Get-ADReplicationQueueOperation et Get-
ADReplicationUpToDatenessVectorTable
Ces deux applets de commande renvoient les aspects futurs d’un contrôleur de domaine
et précisent s’il est à jour. Vous y trouverez des informations de réplication et de vecteur
de version en attente.
Sync-ADObject
Cette applet de commande revient à exécuter Repadmin.exe /replsingleobject. Elle
s'avère très utile pour apporter des changements qui nécessitent une réplication hors-
bande, notamment pour corriger un problème.
Par exemple, si quelqu'un a supprimé le compte d'utilisateur du PDG et l'a restauré avec
la Corbeille Active Directory, vous souhaitez certainement qu'il soit immédiatement
répliqué sur tous les contrôleurs de domaine Vous voudrez probablement ne pas forcer
la réplication de toutes les autres modifications d’objet déjà effectuées. C’est pour cela
que vous avez un calendrier de réplication, pour éviter la surcharge des liaisons réseau
étendu.
Get-ADDomainController -filter * | foreach {Sync-ADObject -object "cn=tony

wang,cn=users,dc=corp,dc=contoso,dc=com" -source dc1 -destination
$_.hostname}
Topologie
Repadmin.exe est performant lorsqu'il s'agit de renvoyer des informations sur la
topologie de réplication comme des sites, des liens de sites, des ponts liens de sites et
des connexions, mais il ne dispose pas d'un ensemble complet d'arguments pour
apporter des changements. En réalité, aucun utilitaire Windows intégré, scriptable, n'a
été spécifiquement conçu pour des administrateurs en vue de créer et de modifier une
topologie AD DS. La modification en bloc des informations logiques Active Directory
devient nécessaire, car Active Directory a évolué dans des millions d'environnements de
clients.
Par exemple, après une expansion rapide de nouvelles succursales, associée à la

consolidation d'autres succursales, vous pouvez être amené à apporter une centaine de
modifications en fonction des emplacements physiques, des changements du réseau et
des besoins en termes de nouvelle capacité. Au lieu d'utiliser Dssites.msc et Adsiedit.msc
pour effectuer ces modifications, vous pouvez les automatiser. Ce changement s'impose
alors que vous commencez avec une feuille de calcul de données fournies par votre
réseau et les équipes des sites.
Les applets de commande Get-Adreplication\* renvoient des informations sur la

topologie de la réplication et sont utiles pour traiter en pipeline les applets de
commande Set-Adreplication\* en bloc. Les applets de commande Get ne modifient
pas les données, elles affichent uniquement les données ou créent des objets de session
Windows PowerShell qui peuvent être traités en pipeline vers les applets de commande
Set-Adreplication\*. Les applets de commande New et Remove servent à créer et
supprimer les objets de topologie Active Directory.
Par exemple, vous pouvez créer de nouveaux sites à l'aide d'un fichier CSV :
Import-Csv -path C:\newsites.csv | new-adreplicationsite
Vous pouvez également créer un lien de sites entre deux liens existants avec un
intervalle de réplication et un coût de site personnalisés :
New-ADReplicationSiteLink -name "chicago<-->waukegan" -sitesincluded

chicago,waukegan -cost 50 -replicationfrequencyinminutes 15
Sinon, vous pouvez rechercher chaque site dans la forêt et remplacer leurs attributs
Options par le drapeau pour activer la notification de modifications inter-sites, afin de
répliquer le plus rapidement possible avec une compression :
Get-ADReplicationSiteLink -filter * | set-adobject -replace

@{options=$($_.options -bor 1)}
） Important
Définissez -bor 5 pour désactiver aussi la compression sur ces liens de sites.
Vous pouvez encore rechercher toutes les affectations manquantes de sous-réseaux de

sites, pour rapprocher la liste avec les sous-réseaux réels de ces emplacements :
Get-ADReplicationSite -filter * -property subnets | where-object

{!$_.subnets -eq "*"} | format-table name
Voir aussi
Gestion de la topologie et de la réplication Active Directory avec Windows PowerShell
(niveau 100)
Gestion de l'émission RID

Cette rubrique décrit la modification apportée au rôle FSMO du maître RID, y compris la
nouvelle fonctionnalité d'émission et d'analyse dans le maître RID ainsi que la façon
d'analyser l'émission RID et de résoudre les problèmes associés.
Gestion de l’émission RID
Résolution des problèmes associés à l'émission RID
Vous trouverez plus d’informations sur le Blog AskDS.
Gestion de l'émission RID

Par défaut, un domaine peut contenir environ un milliard de principaux de sécurité, tels
que des utilisateurs, des groupes et des ordinateurs. Bien entendu, il n'existe aucun
domaine avec autant d'objets activement utilisés. Toutefois, le support technique
Microsoft a rencontré les cas suivants :
L'approvisionnement de scripts d'administration ou de logiciels a créé

accidentellement des utilisateurs, des groupes et des ordinateurs en bloc.
De nombreux groupes de distribution et de sécurité inutilisés ont été créés par des
utilisateurs délégués.
De nombreux contrôleurs de domaine ont été rétrogradés ou restaurés, ou des

métadonnées ont été nettoyées.
Des récupérations de forêts ont été effectuées.
L'opération InvalidateRidPool a été souvent effectuée.
La valeur de Registre de la taille de bloc de RID a été augmentée de façon

incorrecte.
Toutes ces situations épuisent les identificateurs RID inutilement, souvent par erreur.
Après de nombreuses années, les identificateurs RID sont devenus insuffisants pour
quelques environnements qui ont été obligés de migrer vers un nouveau domaine ou
d'effectuer des récupérations de forêts.
Windows Server 2012 traite les questions liées à l'allocation RID qui ne sont devenues
problématiques qu'avec l'ancienneté et l'omniprésence d'Active Directory. Ces
améliorations incluent une meilleure journalisation des événements, des limites plus
appropriées et la capacité, en cas d'urgence, de doubler la taille totale de l'espace RID
global pour un domaine.
Avertissements liés à la consommation périodiques

Windows Server 2012 ajoute un suivi des événements liés à l'espace RID global qui émet
un premier avertissement quand des limites cruciales sont franchies. Le modèle calcule
la limite de dix (10) pour cent d'identificateurs RID utilisés dans le pool global et
consigne un événement quand elle est atteinte. Il calcule ensuite les dix pour cent
d'identificateurs RID utilisés suivants dans le pool restant et le cycle des événements
continue. À mesure que l'espace RID global s'épuise, les événements s'accélèrent car les
dix pour cent sont plus rapidement atteints dans un pool en baisse (mais le blocage du
journal des événements empêche plus d'une entrée par heure). Le journal des
événements système sur chaque contrôleur de domaine écrit l'événement
d'avertissement Directory-Services-SAM 16658.
En supposant un espace RID global de 30 bits par défaut, le premier événement est
consigné pendant l'allocation du pool contenant le 107 374 182e identificateur RID. Le
débit des événements s'accélère naturellement jusqu'au dernier point de contrôle de
100 000 avec 110 événements générés au total. Le comportement est semblable pour
un espace RID global de 31 bits déverrouillé : début au niveau 214 748 365 et fin avec
117 événements.
） Important
Cet événement n'est pas prévu ; examinez l'utilisateur, l'ordinateur et les processus
de création de groupes immédiatement dans le domaine. La création de plus de
100 millions d'objets des services de domaine Active Directory sort de l'ordinaire.
Événements d'invalidation du pool RID
De nouvelles alertes d'événement signalent qu'un pool RID de contrôleur de domaine
local a été ignoré. Ces alertes s'affichent à titre d'information et peuvent être prévues,
en particulier en raison de la nouvelle fonctionnalité de contrôleur de domaine virtuel.
Voir la liste d'événements ci-dessous pour obtenir des détails sur l'événement.
Limite de la taille de bloc de RID

Un contrôleur de domaine demande généralement des allocations RID en blocs de
500 identificateurs RID à la fois. Vous pouvez remplacer cette valeur par défaut avec la
valeur de Registre REG_DWORD suivante sur un contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\RID Values
RID Block Size
Avant Windows Server 2012, aucune valeur maximale n'était appliquée dans cette clé de
Registre, à l'exception de la valeur maximale DWORD implicite (qui est de 0xffffffff ou
4294967295). Cette valeur est considérablement supérieure à l'espace RID global total.
Les administrateurs ont parfois configuré de façon inappropriée ou involontaire la taille
de bloc de RID avec des valeurs qui épuisaient l'espace RID global à un rythme
considérable.
Dans Windows Server 2012, vous ne pouvez pas définir une valeur de Registre
supérieure à 15 000 en décimal (0x3A98 en hexadécimal). Cela permet d'empêcher une
allocation RID imprévue massive.
Si vous affectez une valeur supérieure à 15 000, elle est traitée comme égale à 15 000 et
le contrôleur de domaine consigne l'événement 16653 dans le journal des événements
des services d'annuaire à chaque redémarrage jusqu'à ce que la valeur soit corrigée.
Déverrouillage de la taille de l'espace RID global

Avant Windows Server 2012, l'espace RID global était limité à 230 (ou 1 073 741 823)
identificateurs RID au total. Une fois cette limite atteinte, seule une migration de
domaine ou une récupération de forêt vers une période antérieure autorisait la création
de nouveaux identificateurs, une récupération en cas d'urgence à tous points de vue. À
compter de Windows Server 2012, la taille de 231 bits peut être déverrouillée pour
augmenter le pool global jusqu'à 2 147 483 648 identificateurs RID.
Les services de domaine Active Directory stockent ce paramètre dans un attribut

masqué spécial nommé SidCompatibilityVersion dans le contexte RootDSE de tous les
contrôleurs de domaine. Cet attribut n'est pas lisible à l'aide d'ADSIEdit, de LDP ni
d'autres outils. Pour voir une augmentation de l'espace RID global, recherchez dans le
journal des événements système l'événement d'avertissement 16655 de Directory-
Services-SAM ou utilisez la commande Dcdiag suivante :
Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
Si vous augmentez le pool RID global, le pool disponible passe à 2 147 483 647 au lieu
de la valeur 1 073 741 823 par défaut. Par exemple :
２ Avertissement
Ce déverrouillage est destiné uniquement à empêcher le manque d'identificateurs

RID et doit être utilisé uniquement avec l'application d'un plafond RID (voir la
section suivante). Ne le définissez pas « à titre préventif » dans des environnements
qui ont des millions d'identificateurs RID restants et une faible croissance, car des
problèmes de compatibilité des applications peuvent exister avec des
identificateurs SID générés à partir du pool RID déverrouillé.
Cette opération de déverrouillage ne peut pas être rétablie ni supprimée, sauf par
une récupération de forêt complète vers des sauvegardes antérieures.
Réserves importantes
Les contrôleurs de domaine Windows Server 2003 et Windows Server 2008 ne peuvent

pas émettre de RID quand le 31e bit du pool RID global est déverrouillé. Les contrôleurs
de domaine Windows Server 2008 R2 peuvent utiliser le 31e bit de l’espace RID, mais
uniquement si le correctif logiciel KB 2642658 est installé. Les contrôleurs de domaine
non pris en charge et non corrigés traitent le pool RID global comme s'il était épuisé
quand il est déverrouillé.
Cette fonctionnalité n'est pas appliquée selon n'importe quel niveau fonctionnel de
domaine ; veillez à ce que seuls des contrôleurs de domaine Windows Server 2012 ou
Windows Server 2008 R2 mis à jour existent dans le domaine.
Implémentation de l'espace RID global déverrouillé
Pour déverrouiller le pool RID au niveau du 31e bit après avoir reçu l'alerte de plafond
RID (voir ci-dessous), procédez comme suit :
1. Vérifiez que le rôle de maître RID est exécuté sur un contrôleur de domaine
Windows Server 2012. Dans le cas contraire, transférez-le vers un contrôleur de
domaine Windows Server 2012.
2. Exécutez LDP.exe.
3. Cliquez sur le menu Connexion, sur Se connecter pour le maître RID Windows
Server 2012 sur le port 389, puis sur Lier en tant qu'administrateur de domaine.
4. Cliquez sur le menu Parcourir, puis sur Modifier.
5. Vérifiez que Nom unique est vide.
6. Dans Modifier l'entrée Attribut, tapez :
SidCompatibilityVersion
7. Dans Valeurs, tapez :
8. Vérifiez que l'opération Ajouter est sélectionnée dans Opération et cliquez sur
Entrée. La Liste d'entrées est ainsi mise à jour.
9. Sélectionnez les options Synchrone et Étendu, puis cliquez sur Exécuter.
10. Si l'opération réussit, la fenêtre de sortie LDP affiche ce qui suit :
***Call Modify...
ldap_modify_ext_s(Id, '(null)',[1] attrs, SvrCtrls, ClntCtrls);
modified "".
11. Confirmez que le pool RID global a été augmenté en recherchant dans le journal
des événements système sur ce contrôleur de domaine l'événement d'information
Directory-Services-SAM 16655.
Application d'un plafond RID

Pour offrir une mesure de protection et sensibiliser davantage les utilisateurs aux
problèmes d'administration, Windows Server 2012 introduit un plafond artificiel sur la
plage RID globale à dix (10) pour cent d'identificateurs RID restants dans l'espace global.
À moins d'un (1) pour cent du plafond artificiel, les contrôleurs de domaine qui
demandent des pools RID écrivent l'événement d'avertissement Directory-Services-
SAM 16656 dans le journal des événements système. Quand ils atteignent le plafond de
dix pour cent sur les opérations FSMO du maître RID, ils écrivent l'événement Directory-
Services-SAM 16657 dans le journal des événements système et n'alloue aucun autre
pool RID tant que le plafond n'est pas modifié. Vous devez ainsi évaluer l'état du maître
RID dans le domaine et traiter l'éventuelle perte de contrôle de l'allocation RID ; cela
protège également les domaines contre l'épuisement de tout l'espace RID.
Ce plafond est codé en dur à dix pour cent de l'espace RID disponible restant.
Autrement dit, le plafond est activé quand le maître RID alloue un pool qui inclut le RID
correspondant à quatre-vingt-dix (90) pour cent de l'espace RID global.
Pour les domaines par défaut, le premier seuil de déclenchement est 230-1 * 0,90 =
966 367 640 (ou 107 374 183 identificateurs RID restants).
Pour les domaines avec un espace RID de 31 bits déverrouillé, le seuil de

déclenchement est 231-1 * 0,90 = 1 932 735 282 identificateurs RID (ou
214 748 365 identificateurs RID restants).
Une fois déclenché, le maître RID affecte à l'attribut Active Directory msDS-
RIDPoolAllocationEnabled (nom commun ms-DS-RID-Pool-Allocation-Enabled) la
valeur FALSE sur l'objet :
CN=RID Manager$,CN=System,DC=<domaine>
L'événement 16657 est consigné et aucune autre émission de blocs RID n'est permise
sur tous les contrôleurs de domaine. Les contrôleurs de domaine continuent de
consommer les pools RID en attente déjà émis à leur intention.
Pour supprimer le bloc et autoriser la poursuite de l'allocation de pools RID, choisissez la

valeur TRUE. Lors de la prochaine allocation RID effectuée par le maître RID, l'attribut
reprendra sa valeur NOT SET par défaut. Après cela, il n'existe pas d'autre plafond et
l'espace RID global finit par être insuffisant, ce qui nécessite une migration de domaine
ou une récupération de forêt.
Suppression du bloc du plafond
Pour supprimer le bloc une fois le plafond artificiel atteint, procédez comme suit :
1. Vérifiez que le rôle de maître RID est exécuté sur un contrôleur de domaine
Windows Server 2012. Dans le cas contraire, transférez-le vers un contrôleur de
domaine Windows Server 2012.
2. Exécutez LDP.exe.
3. Cliquez sur le menu Connexion, sur Se connecter pour le maître RID Windows
Server 2012 sur le port 389, puis sur Lier en tant qu'administrateur de domaine.
4. Cliquez sur le menu Affichage et sur Arborescence, puis pour Nom unique de
base, sélectionnez le propre contexte de nommage du domaine du maître RID.
Cliquez sur OK.
5. Dans le volet de navigation, descendez dans la hiérarchie jusqu'au conteneur

CN=System et cliquez sur l'objet CN=RID Manager$. Cliquez avec le bouton droit
dessus et cliquez sur Modifier.
6. Dans Modifier l'entrée Attribut, tapez :
MsDS-RidPoolAllocationEnabled
7. Dans Valeurs, tapez (en majuscules) :
TRUE
8. Sélectionnez Remplacer dans Opération et cliquez sur Entrée. La Liste d'entrées

est ainsi mise à jour.
9. Activez les options Synchrone et Étendu, puis cliquez sur Exécuter.

10. Si l'opération réussit, la fenêtre de sortie LDP affiche ce qui suit :
***Call Modify...
ldap_modify_ext_s(ld, 'CN=RID Manager$,CN=System,DC=<domain>',[1]

attrs, SvrCtrls, ClntCtrls);
Modified "CN=RID Manager$,CN=System,DC=<domain>".
Autres correctifs RID

Les systèmes d'exploitation Windows Server précédents présentaient une fuite du pool
RID quand l'attribut rIDSetReferences était manquant. Pour résoudre ce problème sur les
contrôleurs de domaine qui exécutent Windows Server 2008 R2, installez le correctif
logiciel de la KB 2618669 .
Problèmes RID non résolus
Il est habituel d'avoir une fuite RID lors de l'échec de la création de comptes ; pendant la
création d'un compte, l'échec épuise toujours un RID. Citons, à titre d'exemple, la
création d'un utilisateur avec un mot de passe qui ne répond pas aux exigences de
complexité.
Correctifs RID pour les versions antérieures de Windows

Server
Des correctifs logiciels Windows Server 2008 R2 ont été commercialisés pour l'ensemble
des correctifs et modifications ci-dessus. Actuellement, aucun correctif logiciel Windows
Server 2008 n'est prévu ni en cours.
Résolution des problèmes associés à l'émission

RID

La résolution des problèmes associés à l'émission RID nécessite une méthode logique et
linéaire. Sauf si vous analysez attentivement vos journaux des événements à la recherche
d'erreurs et d'avertissements déclenchés par RID, les premières indications d'un
problème risquent d'être des créations de comptes qui ont échoué. La solution pour
résoudre les problèmes associés à l'émission RID consiste à comprendre quand le
symptôme est prévu ou non ; de nombreux problèmes d'émission RID peuvent affecter
uniquement un contrôleur de domaine et n'avoir aucun lien avec les améliorations
apportées aux composants. Ce simple diagramme ci-dessous permet de présenter plus
clairement ces décisions :
Options de résolution des problèmes
Toute la journalisation de l'émission RID a lieu dans le journal des événements système,
sous la source Directory-Services-SAM. La journalisation est activée et configurée pour
un maximum de commentaires par défaut. Si aucune entrée n'est enregistrée pour les
nouvelles modifications de composants dans Windows Server 2012, traitez le problème
comme un problème d'émission RID classique (autrement dit, hérité et antérieur à
Windows Server 2012) vu dans Windows 2008 R2 ou des systèmes d'exploitation plus
anciens.
Utilitaires et commandes pour la résolution des problèmes
Pour résoudre les problèmes non décrits par les journaux indiqués ci-dessus, en
particulier les problèmes d'émission RID plus anciens, utilisez la liste suivante d'outils
comme point de départ :
Dcdiag.exe
Repadmin.exe
de configuration des contrôleurs de domaine
1. Est-ce que l'erreur est causée par un simple problème d'autorisations ou de
disponibilité de contrôleur de domaine ?
a. Essayez-vous de créer un principal de sécurité sans les autorisations

nécessaires ? Examinez la sortie pour les erreurs d'accès refusé.
b. Est-ce qu'un contrôleur de domaine est disponible ? Examinez l'erreur retournée

ou LDAP ou les messages de disponibilité de contrôleur de domaine.
2. Est-ce que l'erreur retournée mentionne spécifiquement les identificateurs RID, et

est-elle assez caractéristique pour être utilisée comme indication ? Si tel est le cas,
suivez l'indication.
3. Est-ce que l'erreur retournée mentionne spécifiquement les identificateurs RID

sans être par ailleurs caractéristique ? Par exemple, « Windows ne peut pas créer
l'objet car le service d'annuaire n'a pas pu allouer un identificateur relatif ».
a. Recherchez dans le journal des événements système sur le contrôleur de

domaine des événements RID « hérités » (antérieurs à Windows Server 2012)
détaillés dans Demande de pool RID (16642, 16643, 16644, 16645, 16656).
b. Recherchez dans le journal des événements système sur le contrôleur de

domaine et le maître RID de nouveaux événements indiquant des blocs détaillés
ci-dessous dans cette rubrique (16655, 16656, 16657).
c. Validez l'intégrité de la réplication Active Directory avec Repadmin.exe et la

disponibilité du maître RID avec Dcdiag.exe /test:ridmanager /v. Autorisez les
captures réseau recto verso entre le contrôleur de domaine et le maître RID si
ces tests ne sont pas concluants.

Les nouveaux messages suivants sont consignés dans le journal des événements
système sur les contrôleurs de domaine Windows Server 2012. Les systèmes de suivi
d'intégrité Active Directory automatisés, tels que System Center Operations Manager,
doivent analyser ces événements ; tous sont importants et certains indiquent des
problèmes de domaine sérieux.
ID de 16653
l’événement
ID de 16653
l’événement
Source Directory-Services-SAM
severity Avertissement
Message Une taille de pool pour des identificateurs de comptes (RID) qui a été configurée
par un administrateur est supérieure au maximum pris en charge. La valeur
maximale %1 est utilisée quand le contrôleur de domaine est le maître RID.
Pour plus d'informations, voir Limite de la taille de bloc RID.
Remarques La valeur maximale pour la taille de bloc de RID est maintenant 15 000 en décimal
et résolution (0x3A98 en hexadécimal). Un contrôleur de domaine ne peut pas demander plus
de 15 000 identificateurs RID. Cet événement est consigné à chaque redémarrage
jusqu'à ce que la valeur définie soit inférieure ou égale à cette valeur maximale.
ID de 16654
l’événement
Message Un pool d'identificateurs de comptes (RID) a été invalidé. Ceci peut se produire
dans les cas attendus suivants :
1. Un contrôleur de domaine est restauré à partir de la sauvegarde.
2. Un contrôleur de domaine exécuté sur un ordinateur virtuel est restauré à partir

de l'instantané.
Consultez la rubrique https://go.microsoft.com/fwlink/?LinkId=226247

(éventuellement en anglais) pour plus d'informations.
Remarques Si cet événement est inattendu, contactez tous les administrateurs de domaine et
et résolution identifiez celui qui a effectué l'action. Le journal des événements des services
d'annuaire contient également d'autres informations sur le moment où l'une de
ces étapes a été effectuée.
ID de 16655
l’événement
Message La limite supérieure pour les identificateurs de comptes (RID) est passée à %1.
ID de 16655
l’événement
Remarques Si cet événement est inattendu, contactez tous les administrateurs de domaine et
et résolution identifiez celui qui a effectué l'action. Cet événement indique l'augmentation de la
taille du pool RID global au-delà de la valeur par défaut 230, qui n'a pas eu lieu
automatiquement, mais résulte d'une action de l'administrateur.
ID de 16656
l’événement
Message La limite supérieure pour les identificateurs de comptes (RID) est passée à %1.
Remarques Action requise ! Un pool d'identificateurs de comptes (RID) a été alloué à ce

et résolution contrôleur de domaine La valeur du pool indique que ce domaine a consommé
une partie importante du total des identificateurs de comptes disponibles.
Un mécanisme de protection sera activé quand le domaine atteindra le seuil
suivant du total d'identificateurs de comptes disponibles restants : %1. Le
mécanisme de protection empêche toute création de comptes jusqu'à ce que
vous réactiviez manuellement l'allocation des identificateurs de comptes sur le
contrôleur de domaine du maître RID.

ID de 16657
l’événement
severity Error
ID de 16657
l’événement
Message Action requise ! Ce domaine a consommé une partie importante du total des
identificateurs de comptes (RID) disponibles. Un mécanisme de protection a été
activé, car le total des identificateurs de comptes disponibles restants est inférieur
à : X% [argument de plafond artificiel].
Le mécanisme de protection empêche toute création de comptes jusqu'à ce que
vous réactiviez manuellement l'allocation des identificateurs de comptes sur le
contrôleur de domaine du maître RID.
Il est extrêmement important d'effectuer certains diagnostics avant de réactiver la

création de comptes pour s'assurer que ce domaine ne consomme pas les
identificateurs de comptes à une vitesse anormalement élevée. Tout problème
identifié doit être résolu avant de réactiver la création de comptes.
L'échec du diagnostic et de la résolution de tout problème sous-jacent

provoquant une vitesse anormalement élevée de consommation des
identificateurs de compte peut amener à l'épuisement des identificateurs de
comptes dans le domaine, après quoi la création de comptes sera définitivement
désactivée dans ce domaine.

Remarques Contactez tous les administrateurs de domaine et informez-les qu'aucun autre

et résolution principal de sécurité ne peut être créé dans ce domaine jusqu'à ce que cette
protection soit remplacée. Pour plus d'informations sur la façon de remplacer la
protection et d'augmenter éventuellement le pool RID global, voir Déverrouillage
de la taille de l'espace RID global.
ID de 16658
l’événement
Message Cet événement est une mise à jour périodique de la quantité totale restante
d'identificateurs de comptes (RID) disponibles. Le nombre approximatif
d'identificateurs de comptes restants est : %1.
Les identificateurs de comptes sont utilisés quand des comptes sont créés ; une
fois épuisés, aucun compte ne peut être créé dans le domaine.

ID de 16658
l’événement
Remarques Contactez tous les administrateurs de domaine et informez-les que la

et résolution consommation d'identificateurs RID a franchi une limite cruciale ; déterminez s'il
s'agit ou non d'un comportement prévu en examinant les modèles de création de
clients approuvés de sécurité. Il est peu probable que vous ne voyiez jamais cet
événement, car il signifie qu'au moins 100 millions d'identificateurs RID ont été
alloués.
Voir aussi
Gestion de l’émission RID dans Windows Server 2012
Mises à jour des composants des
services de domaine Active Directory
Ce module présente les composants qui ont subi des mises à jour mineures dans les
espaces Services d'annuaire et Identité.
À propos de l’auteur
Auteur :
Biographie :
Contributeurs
Réviseurs
７ Notes
Ce contenu est écrit par un ingénieur du support client Microsoft et est destiné aux
administrateurs expérimentés et aux architectes système qui recherchent des
explications techniques plus approfondies des fonctionnalités et des solutions
Windows Server 2012 R2 que n'en proposent généralement les rubriques de
TechNet. Toutefois, il n'a pas subi les mêmes passes de correction. De ce fait, une
partie du langage peut sembler moins finalisée que le contenu de TechNet.
Contenu du didacticiel
À la fin de ce module, vous serez en mesure de :
Expliquer les mises à jour des composants effectuées dans les domaines
technologiques Services d'annuaire et Identité dans Windows Server 2012 R2
Unicité des noms SPN et UPN
Connexion de redémarrage automatique Winlogon
Attestation de clé TPM

Applets de commande de sauvegarde et de restauration de l'autorité de
certification Windows PowerShell
Audit des processus de ligne de commande
Gestion et protection des informations d’identification
Mises à jour du composant Directory Services
Niveaux fonctionnels de domaines et de forêt
Désapprobation de NTFRS
Modifications de l'optimiseur de requête LDAP
Améliorations de l'événement 1644
Amélioration du débit de réplication Active Directory

Identité des mises à jour de composant

Leçon 1 : mettre à jour les composants

d’identité
cette leçon explique les mises à jour des composants d’identité dans Windows Server
2012 R2.
À la fin de cette leçon, vous serez en mesure d’effectuer les opérations suivantes :
Décrivez les modifications suivantes :
Connexion de redémarrage automatique Winlogon
Applets de commande de sauvegarde et de restauration de l'autorité de

Audit des processus de ligne de commande
Gestion et protection des informations d’identification
auteur: Justin Turner, ingénieur du Support technique Senior avec le groupe de

Windows
７ Notes

Auteur : Justin Turner, ingénieur support senior d’escalade auprès du groupe Windows
７ Notes
Vue d’ensemble
Les contrôleurs de domaine exécutant Windows Server 2012 R2 bloquent la création de
noms de principal du service (SPN) et de noms d’utilisateurs principaux (UPN) en
double. Cela inclut savoir si la restauration ou la réanimation d’un objet supprimé ou le
renommage d’un objet entraînerait un doublon.
Contexte
Les noms de principal de service (SPN) dupliqués se produisent couramment, entraînant
des échecs d’authentification et pouvant causer une utilisation excessive du processeur
LSASS. Il n’existe aucune méthode prête à l’emploi pour bloquer l’ajout d’un SPN ou
d’un UPN en double. *
Les valeurs UPN en double interrompent la synchronisation entre AD local et Office 365.
*Setspn.exe est couramment utilisé pour créer de nouveaux SPN et a été intégré
fonctionnellement à la version publiée avec Windows Server 2008 qui ajoute une
vérification des doublons.
Table SEQ Table \* ARABIC 1 : Unicité d’UPN et de SPN

Fonctionnalité Commentaire
Unicité de Les UPN dupliqués interrompent la synchronisation des comptes AD locaux

l’UPN avec des services Windows Azure AD comme Office 365.
Unicité du SPN Kerberos nécessite des SPN pour l’authentification mutuelle. Les SPN dupliqués
entraînent des échecs d’authentification.
Pour plus d’informations sur les exigences d’unicité pour les UPN et les SPN, consultez
Contraintes d’unicité.
Symptômes
Les codes d’erreur 8467 ou 8468 ou leurs équivalents hexadécimaux, symboliques ou au
format chaîne sont enregistrés dans différentes boîtes de dialogue à l’écran et dans l’ID
d’événement 2974 dans le journal des événements des services d’annuaire. La tentative
de création d’un UPN ou d’un SPN en double est bloquée uniquement dans les
circonstances suivantes :
L’écriture est traitée par un contrôleur de domaine Windows Server 2012 R2
Table SEQ Table \* ARABIC 2 : Codes d’erreur d’unicité d’UPN et de SPN
Decimal Hex Symbolique String
8467 21C7 ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST L’opération a échoué, car

la valeur SPN fournie pour
l’ajout/modification n’est
pas unique à l’échelle de
la forêt.
8648 21C8 ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST L’opération a échoué car

la valeur UPN fournie
pour l’ajout/modification
n’est pas unique à
l’échelle de la forêt.
Échec de la création d’un nouvel utilisateur si

l’UPN n’est pas unique
DSA.msc
Le nom d’ouverture de session utilisateur que vous avez choisi est déjà utilisé dans cette
entreprise. Choisissez un autre nom de connexion, puis réessayez.
Modifier un compte existant :
Le nom de connexion utilisateur spécifié existe déjà dans l’entreprise. Spécifiez-en un

nouveau, en modifiant le préfixe ou en sélectionnant un suffixe différent dans la liste.
Centre d’administration Active Directory (DSAC.exe)

Une tentative de création d’un utilisateur dans le Centre d’administration Active
Directory avec un UPN qui existe déjà génère l’erreur suivante.
Figure SEQ Figure \* Erreur ARABIC 1 affichée dans le Centre d’administration AD

lorsque la création d’un nouvel utilisateur échoue en raison d’un UPN en double
Source de l’événement 2974 :
ActiveDirectory_DomainService
Figure SEQ Figure \* ID d’événement ARABIC 2 2974 avec l’erreur 8648
L’événement 2974 répertorie la valeur qui a été bloquée et une liste d’un ou plusieurs
objets (jusqu’à 10) qui contiennent déjà cette valeur. Dans la figure suivante, vous
pouvez voir que la valeur de l’attribut UPN dhunt@blue.contoso.com existe déjà sur
quatre autres objets. Étant donné qu’il s’agit d’une nouvelle fonctionnalité dans
Windows Server 2012 R2, la création accidentelle d’UPN et de SPN en double dans un
environnement mixte se produit toujours lorsque les contrôleurs de domaine de bas
niveau traitent la tentative d’écriture.
Figure SEQ Figure \* Événement ARABIC 3 Event 2974 montrant tous les objets
contenant l’UPN en double
 Conseil
Passez régulièrement en revue les ID d’événement 2974 pour :
identifier les tentatives de création d’UPN ou de SPN en double

identifier les objets qui contiennent déjà des doublons
8648 = "L’opération a échoué, car la valeur UPN fournie pour l’ajout/modification n’est
pas unique à l’échelle de la forêt."
SetSPN :
Setspn.exe dispose d’une détection de SPN en double intégrée depuis Windows
Server 2008 lors de l’utilisation de l’option « -S ». Vous pouvez toutefois contourner la
détection des SPN en double à l’aide de l’option « -A ». La création d’un SPN en double
est bloquée lors du ciblage d’un contrôleur de domaine Windows Server 2012 R2 à
l’aide de SetSPN avec l’option -A. Le message d’erreur affiché est le même que celui
affiché lors de l’utilisation de l’option -S : « SPN dupliqué trouvé, abandon de
l’opération ! »
ADSIEDIT :
Operation failed. Error code: 0x21c8
The operation failed because UPN value provided for addition/modification is

not unique forest-wide.
000021C8: AtrErr: DSID-03200BBA, #1: 0: 000021C8: DSID-03200BBA, problem

1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90290 (userPrincipalName)
Figure SEQ Figure \* Message d’erreur ARABIC 4 affiché dans ADSIEdit lorsque l’ajout
de l’UPN en double est bloqué
Windows PowerShell
Windows Server 2012 R2 :
PS s’exécutant à partir de Server 2012 ciblant un contrôleur de domaine Windows

Server 2012 R2 :
DSAC.exe s’exécutant sur Windows Server 2012 ciblant un contrôleur de domaine
Windows Server 2012 R2 :
Figure SEQ Figure \* Erreur ARABIC 5 de création d’utilisateur DSAC sur une instance
non Windows Server 2012 R2 lors du ciblage du contrôleur de domaine Windows
Server 2012 R2
Figure SEQ Figure \* Erreur ARABIC 6 de modification de l’utilisateur DSAC sur une
instance non Windows Server 2012 R2 lors du ciblage du contrôleur de domaine
La restauration d’un objet qui entraînerait l’échec d’un

UPN en double :
Aucun événement n’est journalisé lorsqu’un objet ne parvient pas à être restauré en
raison d’un UPN/SPN en double.
L’UPN de l’objet doit être unique pour pouvoir être restauré.
1. Identifier l’UPN qui existe sur l’objet dans la Corbeille
2. Identifier tous les objets qui ont la même valeur
3. Supprimer le ou les UPN dupliqués

Identifier l’UPN en conflit sur l’objet supprimé avec
repadmin.exe
Repadmin /showattr DCName "DN of deleted objects container" /subtree

/filter:"(msDS-LastKnownRDN=<NAME>)" /deleted /atts:userprincipalname
repadmin /showattr DCName "CN=Deleted Objects,DC=blue,DC=contoso,DC=com"

/subtree /filter:"(msDS-LastKnownRDN=Dianne Hunt2)" /deleted
/atts:userprincipalname
C:\>repadmin /showattr winbluedc1 "cn=deleted

objects,dc=blue,dc=contoso,dc=com" /subtree /filter:"(msds-
lastknownrdn=Dianne Hunt2)" /deleted /atts:userprincipalname
DN: CN=Dianne Hunt2\0ADEL:dd3ab8a4-3005-4f2f-814f-d6fc54a1a1c0,CN=Deleted

Object
s,DC=blue,DC=contoso,DC=com
1> userPrincipalName: dhunt@blue.contoso.com
Pour identifier tous les objets avec le même UPN : avec

Repadmin.exe
repadmin /showattr WinBlueDC1 "DC=blue,DC=contoso,DC=com" /subtree /filter:"

(userPrincipalName=dhunt@blue.contoso.com)" /deleted /atts:DN
C:\>repadmin /showattr winbluedc1 "dc=blue,dc=contoso,dc=com" /subtree

/filter:"(userPrincipalName=dhunt@blue.contoso.com)" /deleted /atts:DN
DN: CN=Administrator,CN=Users,DC=blue,DC=contoso,DC=com
DN: CN=xouser1,CN=Users,DC=blue,DC=contoso,DC=com
DN: CN=Dianne Hunt,OU=Marketing,DC=blue,DC=contoso,DC=com
DN: CN=Dianne Hunt2\0ADEL:dd3ab8a4-3005-4f2f-814f-d6fc54a1a1c0,CN=Deleted

Objects,DC=blue,DC=contoso,DC=com
 Conseil
Le paramètre /deleted précédemment non documenté dans repadmin.exe est

utilisé pour inclure des objets supprimés dans le jeu de résultats
Utilisation de la recherche globale
Ouvrez le Centre d’administration Active Directory et accédez à Recherche globale
Sélectionnez la case d’option Convertir en LDAP
Entrez (userPrincipalName=ConflictingUPN)
Remplacez ConflictingUPN par l’UPN réel en conflit
Sélectionnez Appliquer
Utilisation de Windows PowerShell
Get-ADObject -LdapFilter "(userPrincipalName=dhunt@blue.contoso.com)" -

IncludeDeletedObjects -SearchBase "DC=blue,DC=Contoso,DC=com" -SearchScope
Subtree -Server winbluedc1.blue.contoso.com
Si l’objet doit être restauré, vous devez supprimer les UPN dupliqués des autres objets.
Pour un seul objet, il est assez simple d’utiliser ADSIEdit pour supprimer le doublon. S’il
existe plusieurs objets avec des doublons, Windows PowerShell peut être le meilleur
outil à utiliser.
Pour annuler l’attribut UserPrincipalName à l’aide de Windows PowerShell :
７ Notes
L’attribut userPrincipalName étant un attribut à valeur unique, cette procédure

supprime uniquement l’UPN en double.
SPN dupliqué
Figure SEQ Figure \* Message d’erreur ARABIC 8 affiché dans ADSIEdit lorsque l’ajout
du SPN en double est bloqué
Un ID d’événement ActiveDirectory_DomainService2974 est journalisé dans le journal

des événements des services d’annuaire.
Operation failed. Error code: 0x21c7
The operation failed
The attribute value provided is not unique in the forest or partition.

Attribute:
servicePrincipalName Value=<SPN>
<Object DN> Winerror: 8467
Figure SEQ Figure \* Erreur ARABIC 9 enregistrée lorsque la création du SPN en

double est bloquée
Workflow
Si DC == GC
Aucun appel offbox requis, la requête peut être satisfaite localement
Cas UPN
Interroger l’index UPN local à l’échelle de la forêt pour l’UPN fourni

(userPrincipalName ; index global)
Si entrées retournées == 0 -> l’écriture continue
Si entrées retournées !=0 -> l’écriture échoue
Événement journalisé
Retourne également l’erreur étendue :
8648 :
ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST
Cas SPN
Interroger l’index SPN local à l’échelle de la forêt pour le SPN fourni

(servicePrincipalName ; index global)
8647 :
ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST
Si DC != GC
Appel offbox souhaitable mais pas critique, c’est-à-dire qu’il s’agit d’une
vérification de l’unicité de meilleur effort
Vérifiez le produit par rapport au DIT local uniquement si le GC ne peut pas

être localisé
Événement journalisé pour indiquer ce type
Cas UPN
Envoyer une requête LDAP par rapport au GC le plus proche ? interroger

l’index UPN à l’échelle de la forêt du GC pour obtenir l’UPN fourni
(userPrincipalName ; index global)
8648 :
ERROR_DS_UPN_VALUE_NOT_UNIQUE_IN_FOREST
Cas SPN
Envoyer une requête LDAP par rapport au GC le plus proche ? interroger
l’index SPN à l’échelle de la forêt du GC pour le SPN fourni
(servicePrincipalName ; index global)
8647 :
ERROR_DS_SPN_VALUE_NOT_UNIQUE_IN_FOREST
Lorsque des objets supprimés sont réanimés, les valeurs de SPN ou UPN présentes sont
vérifiées pour l’unicité. Si un doublon est trouvé, la demande échoue.
Pour certaines modifications d’attributs comme le nom d’hôte DNS, le nom du

compte SAM, etc., lorsque la modification est effectuée, les noms de service sont
mis à jour en conséquence. Au passage, les SPN obsolètes sont supprimés, et de
nouveaux noms de service sont construits et ajoutés à la base de données. Les
modifications d’attribut requises pour lesquelles ce chemin d’accès est déclenché
ATT_DNS_HOST_NAME
ATT_MS_DS_ADDITIONAL_DNS_HOST_NAME
ATT_SAM_ACCOUNT_NAME
ATT_MS_DS_ADDITIONAL_SAM_ACCOUNT_NAME
ATT_SERVER_REFERENCE_BL
ATT_USER_ACCOUNT_CONTROL
Si l’une des nouvelles valeurs SPN est un doublon, la modification échoue. Dans la liste
ci-dessus, les attributs importants sont ATT_DNS_HOST_NAME (Nom de l’ordinateur) et
ATT_SAM_ACCOUNT_NAME (Nom du compte SAM).
Try This : Exploration de l’unicité du SPN et de l’UPN

Il s’agit de la première des activités « Try This » dans le module. Il n’existe pas de guide
lab distinct pour ce module. Les activités Try This sont essentiellement des activités de
forme libre qui vous permettent d’explorer le matériel de leçon dans l’environnement
lab. Vous avez la possibilité de suivre l’invite ou de désactiver le script et de créer votre
propre activité.
７ Notes
Il s’agit de la première de plusieurs activités « Try This ».

Il n’existe pas de guide lab distinct pour ce module.
Les activités Try This sont essentiellement des activités de forme libre qui vous
permettent d’explorer le matériel de leçon dans l’environnement lab.
Vous avez la possibilité de suivre l’invite ou de désactiver le script et de créer
votre propre activité.
Bien que toutes les sections n’aient pas d’invite Try This, nous vous
encourageons à explorer le contenu de la leçon dans le lab, le cas échéant.
Expérimentez l’unicité du SPN et de l’UPN. Suivez ces invites ou procédez à votre

convenance.
1. Créer de nouveaux utilisateurs avec un UPN
2. Créer des comptes avec des SPN
3. Créer un utilisateur avec un UPN déjà défini ou modifiez l’UPN d’un compte
existant. En faire de même pour un SPN sur un autre compte
a. Remplir un compte d’utilisateur existant avec un UPN déjà utilisé

i. Avec PowerShell, d’ADSIEDIT ou le Centre d’administration Active Directory
(DSAC.exe)
b. Remplir un compte existant avec un SPN déjà utilisé

i. Avec Windows PowerShell, ADSIEDIT ou SetSPN
4. Observer les erreurs
Au choix
1. Vérifiez auprès de l’instructeur de classe qu’il est correct d’activer la Corbeille AD

dans le Centre d’administration Active Directory. Si c’est le cas, passez à l’étape
suivante.
2. Remplir l’UPN sur un compte d’utilisateur
3. Supprimer le compte
4. Remplir un autre compte avec le même UPN que le compte supprimé
5. Tenter d’utiliser l’interface graphique de la Corbeille pour restaurer le compte
6. Imaginez que vous venez de voir l’erreur que vous voyez à l’étape précédente. (et
n’avez pas d’historique des étapes que vous venez d’effectuer) Votre objectif est
d’effectuer la restauration du compte. Consultez le classeur pour obtenir des
exemples d’étapes.
Connexion de redémarrage
automatique Winlogon
Pendant une mise à jour Windows Update, des processus spécifiques à l’utilisateur
doivent se produire pour que la mise à jour soit terminée. Ces processus nécessitent que
l’utilisateur soit connecté à son appareil. Lors de la première connexion après qu’une
mise à jour a été lancée, les utilisateurs doivent attendre que ces processus spécifiques à
l’utilisateur soient terminés avant de pouvoir commencer à utiliser leur appareil.
Comment cela fonctionne-t-il ?

Lorsque Windows Update lance un redémarrage automatique, ARSO extrait les
informations d’identification dérivées de l’utilisateur actuellement connecté, conserve
l’utilisateur sur le disque et configure la connexion automatique pour l’utilisateur.
Windows Update s’exécutant en tant que système avec le privilège TCB lance l’appel
RPC pour ce faire.
Après le dernier redémarrage de Windows Update, l’utilisateur est automatiquement

connecté via le mécanisme de connexion automatique, et la session de l’utilisateur est
réalimentée avec les secrets persistants. En outre, l’appareil est verrouillé pour protéger
la session de l’utilisateur. Le verrouillage est lancé via Winlogon, tandis que la gestion
des informations d’identification est effectuée par l’autorité de sécurité locale (LSA). En
cas de configuration et de connexion ARSO réussies, les informations d’identification
enregistrées sont immédiatement supprimées du disque.
En se connectant automatiquement et en verrouillant l’utilisateur sur la console,

Windows Update peut effectuer les processus spécifiques de l’utilisateur avant que
l’utilisateur ne retourne sur l’appareil. De cette façon, l’utilisateur peut immédiatement
commencer à utiliser son appareil.
ARSO traite différemment les appareils non managés et managés. Pour les appareils non
managés, le chiffrement des appareils est utilisé, mais pas obligatoire pour que
l’utilisateur obtienne ARSO. Pour les appareils managés, TPM 2.0, SecureBoot et
BitLocker sont requis pour la configuration ARSO. Les administrateurs informatiques
peuvent remplacer cette exigence via une stratégie de groupe. ARSO pour les appareils
managés est actuellement disponible uniquement pour les appareils joints à Azure
Active Directory.
Windows shutdown -g - Redémarrages initiés API avec indicateurs
Update t 0 par l’utilisateur SHUTDOWN_ARSO/EWX_ARSO
Appareils gérés Appareils gérés Appareils managés - Appareils gérés - Oui

- Oui - Oui Non Appareils non gérés - Oui
Appareils non Appareils non Appareils non gérés -
gérés - Oui gérés - Oui Oui
７ Notes
Après un redémarrage Windows Update provoqué, le dernier utilisateur interactif

est automatiquement connecté et la session est verrouillée. Cela permet aux
applications de l’écran de verrouillage d’un utilisateur de continuer à s’exécuter
malgré le redémarrage par Windows Update.
Stratégie #1
Se connecter et verrouiller automatiquement le dernier

utilisateur interactif après un redémarrage
Dans Windows 10, ARSO est désactivé pour les références SKU de serveur et
désactivable pour les références SKU clientes.
Emplacement de la stratégie de groupe : Configuration de l’ordinateur >Modèles
d’administration > Composants Windows > Options d’ouverture de session Windows
Stratégie Intune :
Platform : Windows 10 et versions ultérieures

Type de profil : Modèles d’administration
Chemin : \Windows Components\Windows Logon Options
Pris en charge sur : Au moins Windows 10 version 1903
Description :
Ce paramètre de stratégie contrôle si un appareil se connecte automatiquement et

verrouille le dernier utilisateur interactif après le redémarrage du système ou après un
arrêt et un démarrage à froid.
Cela se produit uniquement si le dernier utilisateur interactif ne s’est pas déconnecté

avant le redémarrage ou l’arrêt.
Si l’appareil est joint à Active Directory ou Azure Active Directory, cette stratégie
s’applique uniquement aux redémarrages Windows Update. Dans le cas contraire, cela
s’applique à la fois aux redémarrages Windows Update et aux redémarrages et aux
arrêts lancés par l’utilisateur.
Si vous ne configurez pas ce paramètre de stratégie, il est activé par défaut. Lorsque la
stratégie est activée, l’utilisateur est automatiquement connecté et la session est
automatiquement verrouillée avec toutes les applications d’écran de verrouillage
configurées pour cet utilisateur après le démarrage de l’appareil.
Après avoir activé cette stratégie, vous pouvez configurer ses paramètres via la stratégie
ConfigAutomaticRestartSignOn, qui configure le mode de connexion automatique et de
verrouillage du dernier utilisateur interactif après un redémarrage ou un démarrage à
froid.
Si vous désactivez ce paramètre de stratégie, l’appareil ne configure pas la connexion

automatique. Les applications de l’écran de verrouillage de l’utilisateur ne sont pas
redémarrées après le redémarrage du système.
Éditeur du Registre :
Nom de la valeur Type Données
DisableAutomaticRestartSignOn DWORD 0 (Activer ARSO)
1 (Désactiver ARSO)
Emplacement du Registre de stratégie :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type : DWORD
Stratégie #2
Configurer le mode de connexion automatique et de

verrouillage du dernier utilisateur interactif après un
redémarrage ou un démarrage à froid
Emplacement de la stratégie de groupe : Configuration de l’ordinateur >Modèles
d’administration > Composants Windows > Options d’ouverture de session Windows
Stratégie Intune :
Platform : Windows 10 et versions ultérieures
Type de profil : Modèles d’administration
Chemin : \Windows Components\Windows Logon Options
Pris en charge sur : Au moins Windows 10 version 1903
Description :
Ce paramètre de stratégie contrôle la configuration sous laquelle un redémarrage, une

connexion et un verrouillage automatiques se produisent après un redémarrage ou un
démarrage à froid. Si vous avez choisi « Désactivé » dans la stratégie « Se connecter et
verrouiller automatiquement le dernier utilisateur interactif après un redémarrage »,
l’authentification automatique ne se produit pas et cette stratégie n’a pas besoin d’être
configurée.
Si vous activez ce paramètre de stratégie, vous pouvez choisir l’une des deux options
suivantes :
1. « Activé si BitLocker est activé et non suspendu » spécifie que l’authentification et

le verrouillage automatiques se produisent uniquement si BitLocker est actif et non
suspendu pendant le redémarrage ou l’arrêt. Les données personnelles sont
actuellement accessibles sur le disque dur de l’appareil si BitLocker n’est pas activé
ou suspendu pendant une mise à jour. La suspension BitLocker supprime
temporairement la protection des composants système et des données, mais peut
être nécessaire dans certaines circonstances pour mettre à jour correctement les
composants critiques au démarrage.
BitLocker est suspendu pendant les mises à jour si :

L’appareil n’a pas TPM 2.0 et PCR7, ou
L’appareil n’utilise pas de protecteur TPM uniquement
2. « Toujours activé » spécifie que l’authentification automatique se produit même si

BitLocker est désactivé ou suspendu pendant le redémarrage ou l’arrêt. Lorsque
BitLocker n’est pas activé, les données personnelles sont accessibles sur le disque
dur. Le redémarrage et l’authentification automatiques ne doivent être exécutés
que dans cette condition si vous êtes certain que l’appareil configuré se trouve
dans un emplacement physique sécurisé.
Si vous désactivez ou ne configurez pas ce paramètre, l’authentification automatique est

définie par défaut sur le comportement « Activé si BitLocker est activé et non
suspendu ».
Éditeur du Registre
AutomaticRestartSignOnConfig DWORD 0 (Activer ARSO si sécurisé)
1 (Activer ARSO toujours)
Emplacement du Registre de stratégie :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Type : DWORD
Résolution des problèmes

Lorsque WinLogon se verrouille automatiquement, la trace d’état de WinLogon est
stockée dans le journal des événements WinLogon.
L’état d’une tentative de configuration de journalisation automatique est journalisé
En cas de réussite,
l’enregistre en tant que tel
En cas d’échec
enregistre ce que l’échec a été
Lorsque l’état de BitLocker change :
la suppression des informations d’identification est journalisée
Ces dernières seront stockées dans le journal des opérations LSA.
Raisons pour lesquelles la journalisation automatique

peut échouer
Il existe plusieurs cas dans lesquels une connexion automatique d’utilisateur ne peut pas
être obtenue. Cette section est destinée à rassembler les scénarios connus dans lesquels
cela peut se produire.
L'utilisateur doit changer de mot de passe à la prochaine

connexion
La connexion utilisateur peut entrer un état bloqué lorsque la modification du mot de
passe lors de la prochaine connexion est requise. Cela peut être détecté avant le
redémarrage dans la plupart des cas, mais pas tous (par exemple, l’expiration du mot de
passe peut être atteinte entre l’arrêt et la prochaine connexion.
Compte d’utilisateur désactivé

Une session utilisateur existante peut être conservée même si elle est désactivée. Le
redémarrage d’un compte désactivé peut être détecté localement dans la plupart des
cas à l’avance, en fonction de la stratégie de groupe, il peut ne pas s’agir des comptes
de domaine (certains scénarios de connexion mise en cache de domaine fonctionnent
même si le compte est désactivé sur le contrôleur de domaine).
Heures de connexion et contrôles parentaux

Les heures d’ouverture de session et les contrôles parentaux peuvent empêcher la
création d’une session utilisateur. Si un redémarrage devait se produire pendant cette
fenêtre, l’utilisateur ne serait pas autorisé à se connecter. Il existe une stratégie
supplémentaire qui provoque le verrouillage ou la déconnexion en tant qu’action de
conformité. L’état d’une tentative de configuration de journalisation automatique est
consigné.
Informations sur la sécurité
Dans les environnements où la sécurité physique de l’appareil est un sujet d’inquiétude
(par exemple, l’appareil peut être volé), Microsoft ne recommande pas d’utiliser ARSO.
ARSO s’appuie sur l’intégrité du microprogramme de la plateforme et du module TPM,
un attaquant disposant d’un accès physique peut être en mesure de les compromettre
et, par conséquent, d’accéder aux informations d’identification stockées sur le disque
avec ARSO activé.
Dans les environnements d’entreprise où la sécurité des données utilisateur protégées

par l’API de protection des données (DPAPI) est un sujet d’inquiétude, Microsoft ne
recommande pas d’utiliser ARSO. ARSO a un impact négatif sur les données utilisateur
protégées par DPAPI, car le déchiffrement ne nécessite pas d’informations
d’identification utilisateur. Les entreprises doivent tester l’impact sur la sécurité des
données utilisateur protégées par DPAPI avant d’utiliser ARSO.
Informations d’identification stockées
Hachage du mot Clé d’informations Ticket d’octroi de Jeton d’actualisation

de passe d’identification ticket principal
Compte local - Oui Compte local - Oui Compte local - Non Compte local - Non
Compte MSA - Oui Compte MSA - Oui Compte MSA - Non Compte MSA - Non
Compte joint à Compte joint à Azure Compte joint à Azure Compte joint à Azure AD
Azure AD - Oui AD - Oui AD - Oui (si hybride) - Oui
Compte joint à un Compte joint à un Compte joint à un Compte joint au

domaine - Oui domaine - Oui domaine - Oui domaine - Oui (si
hybride)
Interaction Credential Guard

ARSO est pris en charge avec Credential Guard activé sur les appareils à compter de
Windows 10 version 2004.
Ressources supplémentaires
La connexion automatique est une fonctionnalité présente dans Windows depuis
plusieurs versions. Il s’agit d’une fonctionnalité documentée de Windows qui dispose
même d’outils comme autologon pour Windows
http:/technet.microsoft.com/sysinternals/bb963905.aspx. Elle permet à un seul
utilisateur de l’appareil de se connecter automatiquement sans entrer d’informations
d’identification. Les informations d’identification sont configurées et stockées dans le
Registre en tant que secret LSA chiffré. Cela peut être problématique dans de nombreux
cas d’enfants où le verrouillage du compte peut se produire entre le moment du
coucher et le réveil, en particulier si la fenêtre de maintenance est généralement
pendant cette période.

７ Notes
Vue d’ensemble
Bien que la prise en charge des clés protégées par un module de plateforme sécurisée
(TPM) existe depuis Windows 8, il n’existait aucun mécanisme permettant aux autorités
de certification d’attester par chiffrement que la clé privée du demandeur de certificat
était réellement protégée par un module TPM. Cette mise à jour permet à une autorité
de certification d’effectuer cette attestation et de la refléter dans le certificat émis.
７ Notes
Cet article suppose que le lecteur connaît le concept de modèle de certificat (pour
référence, consultez Modèles de certificat) et la configuration des autorités de
certification d’entreprise pour émettre des certificats basés sur des modèles de
certificat (pour référence, consultez Liste de contrôle : Configuration des autorités
de certification pour émettre et gérer des certificats).
Terminologie
Terme Définition
Terme Définition
EK Endorsement Key. Clé asymétrique contenue à l’intérieur du module TPM (injectée

au moment de la fabrication), propre à chaque module TPM et capable de
l’identifier. La paire de clés de type EK ne peut pas être changée ni supprimée.
EKPub Clé publique de la paire de clés de type EK.
EKPriv Clé privée de la paire de clés de type EK.
EKCert Certificat de la paire de clés de type EK, émis pour la clé EKPub par le fabricant du
module TPM. Tous les modules TPM ne possèdent pas de certificat EKCert.
Module de Module de plateforme sécurisée, conçu pour fournir des fonctions de sécurité
plateforme matérielles. Une puce TPM est un processeur de chiffrement sécurisé conçu pour
sécurisée effectuer des opérations de chiffrement. La puce comprend plusieurs mécanismes
(TPM) de sécurité physique qui la protègent contre la falsification, et les logiciels
malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM.
Contexte
À compter de Windows 8, un module TPM peut être utilisé pour sécuriser la clé privée
d’un certificat. C’est le fournisseur de stockage de clés (KSP) du fournisseur de
chiffrement de plateforme Microsoft qui active cette fonctionnalité. La mise en œuvre a
suscité deux préoccupations :
Il n’était pas garanti qu’une clé soit réellement protégée par un module TPM (il est
facile d’usurper l’identité d’un fournisseur de stockage de clés logiciel en tant que
fournisseur de type TPM avec des informations d’identification d’administrateur
local).
Il n’était pas possible de limiter la liste des modules TPM autorisés à protéger les
certificats émis par l’entreprise (dans le cas où l’administrateur PKI souhaite
contrôler les types d’appareils pouvant être utilisés pour obtenir des certificats
dans l’environnement).

L’attestation de clé TPM correspond à la capacité, pour l’entité qui demande un
certificat, à prouver par chiffrement à une autorité de certification que la clé RSA de la
demande de certificat est protégée par un (ou le) TPM approuvé par l’autorité de
certification. Le modèle d’approbation TPM est décrit plus en détail dans la section Vue
d’ensemble du déploiement plus loin dans cette rubrique.
Importance de l’attestation de clé TPM
Un certificat utilisateur comportant une clé attestée par module TPM offre une garantie
de sécurité plus élevée, renforcée par la non-exportation, la protection anti-martèlement
et l’isolation des clés fournies par le module TPM.
Avec l’attestation de clé TPM, un nouveau paradigme de gestion est désormais possible
: l’administrateur définit l’ensemble des appareils dont les utilisateurs peuvent se servir
pour accéder aux ressources de l’entreprise (par exemple un VPN ou un point d’accès
sans fil) et disposer de garanties fortes qu’aucun autre appareil ne peut être utilisé pour
y accéder. Ce nouveau paradigme de contrôle d’accès est dit fort, car il est associé à une
identité d’utilisateur liée au matériel, plus forte qu’une information d’identification
logicielle.
Fonctionnement de l’attestation de clé TPM

En général, l’attestation de clé TPM repose sur les piliers suivants :
1. Chaque module TPM est fourni avec une clé asymétrique unique, appelée paire de
clés de type EK (Endorsement Key), qui est gravée par le fabricant. Nous désignons
sous le nom EKPub la partie publique de cette clé et sous le nom EKPriv la clé
privée associée. Certaines puces TPM ont également un certificat EK émis par le
fabricant pour la clé EKPub. Nous appelons ce certificat EKCert.
2. Une autorité de certification établit l’approbation dans le module TPM via la clé
EKPub ou le certificat EKCert.
3. Un utilisateur prouve à l’autorité de certification qu’il possède la clé EKPriv et que

la clé RSA pour laquelle le certificat est demandé est liée par chiffrement à la clé
EKPub.
4. L’autorité de certification émet un certificat comportant un identificateur d’objet

(OID) de stratégie d’émission spécial pour indiquer que la clé est maintenant
attestée comme étant protégée par un module TPM.
Vue d’ensemble du déploiement

Dans ce déploiement, il est supposé qu’une autorité de certification d’entreprise
Windows Server 2012 R2 est configurée. En outre, les clients (Windows 8.1) sont
paramétrés de façon à s’inscrire auprès de cette autorité de certification d’entreprise à
l’aide de modèles de certificat.
Il existe trois étapes à suivre pour déployer l’attestation de clé TPM :
1. Planification du modèle d’approbation TPM : la première étape consiste à

déterminer le modèle d’approbation TPM à utiliser. Trois méthodes sont prises en
charge :
Approbation en fonction des informations d’identification de l’utilisateur :

l’autorité de certification d’entreprise approuve la clé EKPub fournie par
l’utilisateur dans le cadre de la demande de certificat. Aucune validation autre
que celle des informations d’identification de domaine de l’utilisateur n’est
effectuée.
Approbation en fonction du certificat EKCert : l’autorité de certification

d’entreprise valide la chaîne EKCert fournie dans le cadre de la demande de
certificat par rapport à une liste gérée par l’administrateur de chaînes EKCert
acceptables. Ces chaînes acceptables sont définies par fabricant et exprimées
dans deux magasins de certificats personnalisés sur l’autorité de certification
émettrice (l’un pour les certificats de l’autorité de certification intermédiaire,
l’autre pour ceux de l’autorité de certification racine). Dans ce mode
d’approbation, tous les modules TPM d’un fabricant donné sont approuvés.
Notez que les modules TPM utilisés dans l’environnement doivent contenir
des certificats EKCert.
Approbation en fonction de la clé EKPub : l’autorité de certification

d’entreprise vérifie que la clé EKPub fournie dans le cadre de la demande de
certificat apparaît dans la liste gérée par l’administrateur des clés EKPub
autorisées. Cette liste est exprimée sous la forme d’un répertoire de fichiers
dont le nom correspond au hachage SHA-2 de la clé EKPub autorisée. Il s’agit
de la solution qui offre le niveau d’assurance le plus élevé. L’effort
d’administration nécessaire se révèle toutefois supérieur, car chaque appareil
est identifié individuellement. Dans ce modèle d’approbation, seuls les
appareils dont la clé EKPub de module TPM a été ajoutée à la liste des clés
EKPub autorisées ont la possibilité de s’inscrire à un certificat attesté par
module TPM.
L’autorité de certification applique au certificat émis un OID de stratégie

d’émission différent selon la méthode utilisée. Pour plus d’informations sur les OID
de stratégie d’émission, consultez le tableau des OID de stratégie d’émission dans
la section Configuration d’un modèle de certificat de cette rubrique.
Notez qu’il est possible de choisir une combinaison de modèles d’approbation

TPM. Dans ce cas, l’autorité de certification accepte l’une des méthodes
d’attestation. Les OID de stratégie d’émission reflètent alors toutes celles qui ont
réussi.
2. Configuration du modèle de certificat : la configuration du modèle de certificat

est décrite dans la section Informations détaillées sur le déploiement de cette
rubrique. Cet article ne couvre pas la façon dont ce modèle de certificat est
attribué à l’autorité de certification d’entreprise ni la manière dont l’accès à
l’inscription est accordé à un groupe d’utilisateurs. Pour plus d’informations,
consultez Liste de contrôle : Configuration des autorités de certification pour
émettre et gérer des certificats.
3. Configuration de l’autorité de certification pour le modèle d’approbation TPM :
a. Approbation en fonction des informations d’identification de l’utilisateur :

aucune configuration spécifique n’est requise.
b. Approbation en fonction du certificat EKCert : l’administrateur doit obtenir les

certificats de chaîne EKCert auprès des fabricants du module TPM et les
importer dans deux nouveaux magasins de certificats, créés par l’administrateur,
sur l’autorité de certification qui effectue l’attestation de clé TPM. Pour plus
d’informations, consultez la section Configuration de l’autorité de certification
de cette rubrique.
c. Approbation en fonction de la clé EKPub : l’administrateur doit obtenir la clé

EKPub de chaque appareil qui a besoin de certificats attestés par module TPM
et l’ajouter à la liste des clés EKPub autorisées. Pour plus d’informations,
consultez la section Configuration de l’autorité de certification de cette
rubrique.
７ Notes
Cette fonctionnalité exige Windows 8.1 ou Windows Server 2012 R2.

L’attestation de clé TPM n’est pas prise en charge pour les fournisseurs
de stockage de clés de carte à puce tiers. Le fournisseur de stockage de
clés à utiliser est celui du fournisseur de chiffrement de plateforme
Microsoft.
L’attestation de clé TPM ne fonctionne que pour les clés RSA.
L’attestation de clé TPM n’est pas prise en charge pour une autorité de
certification autonome.
L’attestation de clé TPM ne prend pas en charge le traitement des
certificats non persistants.
Détails du déploiement
Configuration d’un modèle de certificat

Pour configurer le modèle de certificat pour l’attestation de clé TPM, procédez comme
suit :
1. Onglet Compatibilité
Dans la section Paramètres de compatibilité, suivez la procédure ci-dessous :
Vérifiez que Windows Server 2012 R2 est sélectionné comme Autorité de

certification.
Vérifiez que Windows 8.1/Windows Server 2012 R2 est sélectionné comme

Destinataire du certificat.
2. Onglet Chiffrement
Vérifiez que Fournisseur de stockage de clés est sélectionné comme Catégorie de
fournisseur, et RSA comme Nom de l’algorithme. Vérifiez que Les demandes
doivent utiliser l’un des fournisseurs suivants : est sélectionné, ainsi que l’option
Fournisseur de chiffrement de plateforme Microsoft sous Fournisseurs :.
3. Onglet Attestation de clé :
Il s’agit d’un nouvel onglet pour Windows Server 2012 R2 :

Choisissez un mode d’attestation parmi les trois options possibles.
Aucune : l’attestation de clé ne doit pas être utilisée.
Obligatoire, si le client en est capable : les utilisateurs peuvent continuer à

s’inscrire pour ce certificat sur un appareil qui ne prend pas en charge
l’attestation de clé TPM. Les utilisateurs en capacité d’effectuer une
attestation sont distingués par un OID de stratégie d’émission spécial.
Certains appareils ne sont pas en mesure d’effectuer l’attestation en raison
d’un ancien module TPM ne prenant pas en charge l’attestation de clé, ou
d’un appareil ne disposant pas d’un module TPM.
Obligatoire : le client doit effectuer l’attestation de clé TPM, sinon la

demande de certificat échoue.
Choisissez ensuite le modèle d’approbation TPM. Il existe là encore trois options

possibles :
Informations d’identification de l’utilisateur : un utilisateur qui s’authentifie

peut se porter garant d’un module TPM valide en spécifiant ses informations
d’identification de domaine.
Certificat d’approbation : le certificat EKCert de l’appareil doit être validé au

moyen de certificats d’autorité de certification intermédiaire TPM gérés par
l’administrateur auprès d’un certificat d’autorité de certification racine géré
par l’administrateur. Si vous choisissez cette option, vous devez configurer les
magasins de certificats EKCA et EKRoot sur l’autorité de certification émettrice
(cf. section Configuration de l’autorité de certification de cette rubrique).
Paire de clés de type EK : la clé EKPub de l’appareil doit apparaître dans la

liste gérée par l’administrateur PKI. Il s’agit de la solution qui offre le niveau
d’assurance le plus élevé. L’effort d’administration nécessaire se révèle
toutefois supérieur. Si vous choisissez cette option, vous devez configurer
une liste EKPub sur l’autorité de certification émettrice (cf. section
Configuration de l’autorité de certification de cette rubrique).
Enfin, déterminez la stratégie d’émission à afficher dans le certificat émis. Par

défaut, à chaque type d’application est associé un OID qui sera inséré dans le
certificat s’il réussit ce type d’application (cf. tableau suivant). Notez qu’il est
possible de choisir une combinaison de méthodes d’application. Dans ce cas,
l’autorité de certification accepte l’une des méthodes d’attestation. L’OID de
stratégie d’émission reflète alors toutes celles qui ont réussi.
OID de stratégie d’émission

OID Type Description Niveau
d’attestation d’assurance
de clé
1.3.6.1.4.1.311.21.30 Paire de clés « Paire de clés de type EK vérifiée » : Élevé

de type EK pour la liste gérée par
l’administrateur des paires de clés
de type EK
1.3.6.1.4.1.311.21.31 Certificat de la « Certificat de la paire de clés de Moyenne

paire de clés type EK vérifié » : quand la chaîne de
de type EK certificats de la paire de clés de type
EK est validée
1.3.6.1.4.1.311.21.32 Informations « Paire de clés de type EK approuvée Faible

d’identification à l’utilisation » : pour la paire de clés
de l’utilisateur de type EK attestée par l’utilisateur
Les OID sont insérés dans le certificat émis si Inclure des stratégies d’émission est
sélectionné (configuration par défaut).
 Conseil
Une utilisation potentielle de la présence de l’OID dans le certificat consiste à

limiter l’accès au réseau VPN ou sans fil à certains appareils. Par exemple,
votre stratégie d’accès peut autoriser la connexion (ou l’accès à un autre
VLAN) si l’OID 1.3.6.1.4.1.311.21.30 figure dans le certificat. Cela vous permet
de limiter l’accès aux appareils dont la paire de clés de type EK du module
TPM est présente dans la liste EKPub.
Configuration de l’autorité de certification

1. Configuration des magasins de certificats EKCA et EKROOT sur une autorité de
certification émettrice :
Si vous avez choisi Certificat d’approbation dans les paramètres du modèle,

a. Utilisez Windows PowerShell pour créer deux magasins de certificats sur le
serveur de l’autorité de certification qui effectuera l’attestation de clé TPM.
b. Obtenez le ou les certificats d’autorité de certification intermédiaire et racine

auprès du ou des fabricants que vous souhaitez autoriser dans votre
environnement d’entreprise. Ces certificats doivent être importés dans les
magasins de certificats déjà créés (EKCA et EKROOT) appropriés.
Le script Windows PowerShell suivant effectue ces deux étapes. Dans l’exemple
suivant, le fabricant de module TPM Fabrikam a fourni un certificat racine
FabrikamRoot.cer et un certificat d’autorité de certification d’émission
Fabrikamca.cer.
PowerShell
PS C:>\cd cert:
PS Cert:\>cd .\\LocalMachine
PS Cert:\LocalMachine> new-item EKROOT
PS Cert:\ LocalMachine> new-item EKCA
PS Cert:\EKCA\copy FabrikamCa.cer .\EKCA
PS Cert:\EKROOT\copy FabrikamRoot.cer .\EKROOT
2. Configuration de la liste EKPub si le type d’attestation EK est utilisé :
Si vous avez choisi Paire de clés de type EK dans les paramètres du modèle, les
étapes de configuration suivantes consistent à créer et à configurer sur l’autorité
de certification émettrice un dossier contenant des fichiers de 0 octet, chacun
nommé pour le hachage SHA-2 d’une paire de clés de type EK autorisée. Ce
dossier sert de « liste verte » d’appareils autorisés à obtenir des certificats attestés
par clé TPM. Étant donné que vous devez ajouter manuellement la clé EKPub pour
chaque appareil exigeant un certificat attesté, l’entreprise dispose d’une garantie
des appareils autorisés à obtenir des certificats attestés par clé TPM. La
configuration d’une autorité de certification dans ce mode s’effectue en deux
étapes :
a. Création de l’entrée de registre EndorsementKeyListDirectories : utilisez l’outil

en ligne de commande CertUtil pour configurer les emplacements des dossiers
où les clés EKPub approuvées sont définies (cf. tableau suivant).
Opération Syntaxe de la commande
Ajouter des emplacements de certutil.exe -setreg

dossiers CA\EndorsementKeyListDirectories +"<folder>"
Opération Syntaxe de la commande
Supprimer des emplacements de certutil.exe -setreg

dossiers CA\EndorsementKeyListDirectories -"<folder>"
La commande EndorsementKeyListDirectories de CertUtil constitue un

paramètre de registre (cf. tableau suivant).
EndorsementKeyListDirectories REG_MULTI_SZ <Chemin LOCAL ou UNC à la ou aux

listes autorisées EKPub>
Exemple :
\\blueCA.contoso.com\ekpub
\\bluecluster1.contoso.com\ekpub
D:\ekpub
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA
Sanitized Name>
EndorsementKeyListDirectories contient la liste des chemins UNC ou de système

de fichiers local, chacun pointant vers un dossier auquel l’autorité de
certification a accès en lecture. Chaque dossier peut comporter zéro, une ou
plusieurs entrées de liste verte, chacune correspondant à un fichier dont le nom
correspond au hachage SHA-2 d’une clé EKPub approuvée, sans extension de
fichier.
Un redémarrage de l’autorité de certification est nécessaire en cas de
création ou de modification de cette configuration de clé de registre, tout
comme pour les paramètres de configuration existants du registre de l’autorité
de certification. En revanche, les modifications du paramètre de configuration
s’appliquent immédiatement sans exiger de redémarrage de l’autorité de
certification.
） Important
Sécurisez les dossiers de la liste contre la falsification et l’accès non

autorisé en configurant les autorisations de sorte que seuls les
administrateurs autorisés disposent d’un accès en lecture et en écriture. Le
compte d’ordinateur de l’autorité de certification n’a besoin que d’un accès
en lecture.
b. Remplissage de la liste EKPub : utilisez la cmdlet Windows PowerShell suivante
pour obtenir le hachage de clé publique de la paire de clés de type EK du
module TPM à l’aide de Windows PowerShell sur chaque appareil, puis envoyez
ce hachage de clé publique à l’autorité de certification et stockez-le dans le
dossier EKPubList.
PowerShell
PS C:>\$a=Get-TpmEndorsementKeyInfo -hashalgorithm sha256
PS C:>$b=new-item $a.PublicKeyHash -ItemType file
Résolution des problèmes
Indisponibilité des champs d’attestation de clé sur un

modèle de certificat
Les champs Attestation de clé ne sont pas disponibles si les paramètres du modèle ne
répondent pas aux conditions requises pour l’attestation. En voici quelques raisons
courantes :
1. Les paramètres de compatibilité ne sont pas configurés correctement. Assurez-

vous qu’ils sont paramétrés comme suit :
a. Autorité de certification :Windows Server 2012 R2
b. Destinataire du certificat :Windows 8.1/Windows Server 2012 R2
2. Les paramètres de chiffrement ne sont pas configurés correctement. Assurez-vous

qu’ils sont paramétrés comme suit :
a. Catégorie de fournisseur : Fournisseur de stockage de clés
b. Nom de l’algorithme :RSA
c. Fournisseurs : : Fournisseur de chiffrement de plateforme Microsoft
3. Les paramètres de gestion des demandes ne sont pas configurés correctement.

Assurez-vous qu’ils sont paramétrés comme suit :
a. L’option Autoriser l’exportation de la clé privée ne doit pas être sélectionnée.
b. L’option Archiver la clé privée de chiffrement du sujet ne doit pas être

sélectionnée.
Vérification de l’appareil TPM pour l’attestation
Utilisez la cmdlet Windows PowerShell Confirm-CAEndorsementKeyInfo afin de vérifier
qu’un appareil TPM spécifique est approuvé pour l’attestation par les autorités de
certification. Il existe deux options : l’une pour vérifier le certificat EKCert, l’autre pour
une clé EKPub. La cmdlet est exécutée soit localement sur une autorité de certification,
soit sur des autorités de certification distantes à l’aide de la communication à distance
Windows PowerShell.
1. Pour vérifier l’approbation sur une clé EKPub, suivez les deux étapes ci-dessous :
a. Extraction de la clé EKPub de l’ordinateur client : la clé EKPub peut être extraite
d’un ordinateur client avec Get-TpmEndorsementKeyInfo. Dans une invite de
commandes avec élévation de privilèges, exécutez la commande suivante :
PS C:>\$a=Get-TpmEndorsementKeyInfo -hashalgorithm sha256
b. Vérification de l’approbation sur un certificat EKCert sur un ordinateur

d’autorité de certification : copiez la chaîne extraite (le hachage SHA-2 de la clé
EKPub) sur le serveur (par exemple par e-mail) et passez-la à la cmdlet Confirm-
CAEndorsementKeyInfo. Notez que ce paramètre doit comporter 64 caractères.
Confirm-CAEndorsementKeyInfo [-PublicKeyHash] <string>
2. Pour vérifier l’approbation sur un certificat EKCert, suivez les deux étapes ci-
dessous :
a. Extraction du certificat EKCert de l’ordinateur client : le certificat EKCert peut

être extrait d’un ordinateur client avec Get-TpmEndorsementKeyInfo. Dans une
invite de commandes avec élévation de privilèges, exécutez la commande
suivante :
PS C:>\$a=Get-TpmEndorsementKeyInfo
PS C:>\$a.manufacturerCertificates|Export-Certificate -filepath
c:\myEkcert.cer
b. Vérification de l’approbation sur un certificat EKCert sur un ordinateur

d’autorité de certification : copiez le certificat EKCert (EkCert.cer) extrait dans
l’autorité de certification (par exemple par e-mail ou xcopy). Par exemple, si
vous copiez le fichier de certificat dans le dossier « C:\diagnose » sur le serveur
d’autorité de certification, exécutez la commande suivante pour terminer la
vérification :
PS C:>new-object
System.Security.Cryptography.X509Certificates.X509Certificate2
"c:\diagnose\myEKcert.cer" | Confirm-CAEndorsementKeyInfo
Voir aussi
Vue d’ensemble de la technologie du module de plateforme sécuriséeRessource externe
: Module de plateforme sécurisée
Applets de commande de sauvegarde et
de restauration d’autorité de

Auteur: Justin Turner, ingénieur d’escalade de support senior avec le groupe

Windows
７ Notes
Vue d’ensemble
Le module ADCSAdministration Windows PowerShell a été introduit dans Window
Server 2012. Deux nouvelles applets de commande ont été ajoutées à ce module dans
Window Server 2012 R2 pour prendre en charge la sauvegarde et la restauration d’une
autorité de certification.
Backup-CARoleService
Restore-CARoleService
Backup-CARoleService
Applet de commande ADCSAdministration : Backup-CARoleService
Arguments : les Description
arguments gras
sont obligatoires
-Path - Chaîne - emplacement pour enregistrer la sauvegarde
- Il s’agit du seul paramètre sans nom
- Paramètre positionnel
Exemple :
Backup-CARoleService.-Path c:\adcsbackup1
Backup-CARoleService c:\adcsbackup2
-KeyOnly - Sauvegarder le certificat d’autorité de certification sans la base de

données
Exemple :
Backup-CARoleService c:\adcsbackup3 -KeyOnly
-Mot de passe - Spécifie le mot de passe pour protéger les certificats d’autorité de
certification et les clés privées
- Doit être une chaîne sécurisée
- Non valide avec le paramètre -DatabaseOnly
Exemple :
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt

« Password: » -AsSecureString)
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString

« Pa55w0rd! » -AsPlainText -Force)
-DatabaseOnly - Sauvegarder la base de données sans le certificat d’autorité de

certification
Backup-CARoleService c:\adcsbackup6 -DatabaseOnly
-Force 1. Vous permet de remplacer la sauvegarde préexistante à l’emplacement

spécifié dans le paramètre -Path
Backup-CARoleService c:\adcsbackup1 -Force
-Incrémentiel - Effectuer une sauvegarde incrémentielle

Backup-CARoleService c:\adcsbackup7 -Incrémentiel
-KeepLog 1. Indique à la commande de conserver les fichiers journaux. Si le

commutateur n’est pas spécifié, les fichiers journaux sont tronqués par
défaut, sauf dans le scénario incrémentiel
Backup-CARoleService c:\adcsbackup7 -KeepLog
-Mot de passe <- Chaîne sécurisée>

Si le paramètre -Password est utilisé, le mot de passe fourni doit être une chaîne
sécurisée. Utilisez l’applet de commande Read-Host pour lancer une invite interactive
d’entrée de mot de passe sécurisée, ou utilisez l’applet de commande ConvertTo-
SecureString pour spécifier le mot de passe en ligne.
Passez en revue les exemples suivants
Spécification d’une chaîne sécurisée pour le paramètre Password à l’aide de Read-

Host
PowerShell
Backup-CARoleService c:\adcsbackup4 -Password (Read-Host -prompt "Password:"

-AsSecureString)
Spécification d’une chaîne sécurisée pour le paramètre Password à l’aide de

ConvertTo-SecureString
PowerShell
Backup-CARoleService c:\adcsbackup5 -Password (ConvertTo-SecureString

"Pa55w0rd!" -AsPlainText -Force)
Restore-CARoleService
Applet de commande ADCSAdministration : Restore-CARoleService
Arguments : les arguments Description

gras sont obligatoires
-Path - Chaîne - emplacement de restauration de la sauvegarde à partir

de
- Il s’agit du seul paramètre sans nom
- Paramètre positionnel
Exemple :
Restore-CARoleService.-Path c:\adcsbackup1 -Force
Restore-CARoleService c:\adcsbackup2 -Force

Arguments : les arguments Description
gras sont obligatoires
-KeyOnly - Restaurer le certificat d’autorité de certification sans la base de

données
- Doit être spécifié si la sauvegarde a été effectuée avec l’option -

KeyOnly
Exemple :
Restore-CARoleService c:\adcsbackup3 -KeyOnly -Force
-Mot de passe - Spécifie le mot de passe des certificats d’autorité de certification

et des clés privées
- Doit être une chaîne sécurisée
Exemple :
Restore-CARoleService c:\adcsbackup4 -Password (read-host -

prompt « Password: » -AsSecureString) -Force
Restore-CARoleService c:\adcsbackup5 -Password (ConvertTo-

SecureString « Pa55w0rd! » -AsPlainText -Force) -Force
-DatabaseOnly - Restaurer la base de données sans le certificat d’autorité de

certification
Restore-CARoleService c:\adcsbackup6 -DatabaseOnly
-Force - Vous permet de remplacer les clés préexistantes
- Est un paramètre facultatif, mais lors de la restauration sur place,

il est probablement nécessaire
Restore-CARoleService c:\adcsbackup1 -Force
Problèmes
Une sauvegarde non protégée par mot de passe est effectuée si la fonction ConvertTo-
SecureString échoue lors de l’utilisation de l'Backup-CARoleService avec le paramètre -
Password.
Erreurs courantes
Action Erreur Commentaire
Restore-CARoleService Restore-CARoleService : le Arrêtez le service Services de certificats

C:\ADCSBackup processus ne peut pas Active Directory avant d’exécuter
accéder au fichier, car il est l’applet de commande Restore-
utilisé par un autre CARoleService
processus. (Exception de
HRESULT :
0x80070020)
Restore-CARoleService Restore-CARoleService : le Utiliser le paramètre -Force pour

C:\ADCSBackup répertoire n’est pas vide. remplacer les clés préexistantes
(Exception de HRESULT :
0x80070091)
Action Erreur Commentaire
Backup-CARoleService Backup-CARoleService : Le Le paramètre -Password est utilisé

C:\ADCSBackup - jeu de paramètres ne peut uniquement pour protéger les clés
Password (Read-Host - pas être résolu à l’aide des privées par mot de passe et n’est donc
Prompt « Password: » - paramètres nommés pas valide lorsque vous ne les
AsSecureString) - spécifiés. sauvegardez pas
DatabaseOnly
Restore-CARoleService Restore-CARoleService : Le Le paramètre -Password est utilisé

C:\ADCSBack15 - jeu de paramètres ne peut uniquement pour protéger les clés
Password (Read-Host - pas être résolu à l’aide des privées par mot de passe et n’est donc
Prompt « Password: » - paramètres nommés pas valide lorsque vous ne les restaurez
AsSecureString) - spécifiés. pas
DatabaseOnly
Restore-CARoleService Restore-CARoleService : le Le chemin spécifié ne contient pas de

C:\ADCSBack14 - système ne trouve pas le sauvegarde de base de données valide.
Password (Read-Host - fichier spécifié. (Exception Le chemin d’accès n’est peut-être pas
Prompt « Password: » - de HRESULT : 0x80070002) valide ou la sauvegarde a été effectuée
AsSecureString) avec l’option -KeysOnly ?
Guide de migration des services de certificats Active Directory
Sauvegarde de la base de données et de la clé privée d'une autorité de certification
Restauration de la base de données et de la configuration de l'autorité de certification

sur le serveur de destination
Essayez ceci : Sauvegardez l’autorité de

certification dans votre laboratoire à l’aide de
Windows PowerShell
1. Utilisez les commandes de cette leçon pour sauvegarder la base de données
d’autorité de certification et la clé privée sécurisées avec un mot de passe.
2. Arrêtez la restauration de l’autorité de certification pour l’instant.

Audit des processus de ligne de
commande
Auteur : Justin Turner, ingénieur d’escalade de support senior avec le groupe Windows
７ Notes
Vue d’ensemble
L’ID d’événement d’audit de création de processus pré-existant 4688 inclut
désormais des informations d’audit pour les processus de ligne de commande.
Il journalisera également le hachage SHA1/2 du fichier exécutable dans le journal

des événements AppLocker
Journaux des applications et services\Microsoft\Windows\AppLocker
Vous activez via un objet de stratégie de groupe, mais il est désactivé par défaut
« Inclure la ligne de commande dans les événements de création de processus »
Figure SEQ Figure \* ARABE 16 Événement 4688
Passez en revue l’ID d’événement mis à jour 4688 dans REF _Ref366427278 \h Figure 16.
Avant cette mise à jour, aucune des informations relatives à la ligne de commande
process n’est journalisée. En raison de cette journalisation supplémentaire, nous
pouvons maintenant voir que non seulement le processus wscript.exe a démarré, mais
qu’il a également été utilisé pour exécuter un script VB.
Configuration
Pour afficher les effets de cette mise à jour, vous devez activer deux paramètres de
stratégie.
Vous devez avoir activé l’audit de création du processus

d’audit pour afficher l’ID d’événement 4688.
Pour activer la stratégie de création du processus d’audit, modifiez la stratégie de
groupe suivante :
Emplacement de la stratégie : Stratégies > de configuration > de l’ordinateur Windows

Paramètres > suivi détaillé de la configuration > d’audit > avancée Paramètres sécurité
Nom de la stratégie : Création du processus d’audit
Prise en charge sur : Windows 7 et versions ultérieures
Description/Aide :
Ce paramètre de stratégie de sécurité détermine si le système d’exploitation génère des

événements d’audit lorsqu’un processus est créé (démarre) et le nom du programme ou
de l’utilisateur qui l’a créé.
Ces événements d’audit peuvent vous aider à comprendre comment un ordinateur est
utilisé et pour suivre l’activité utilisateur.
Volume d’événements : faible à moyen, selon l’utilisation du système
Par défaut: Non configuré
Pour afficher les ajouts à l’ID d’événement 4688, vous

devez activer le nouveau paramètre de stratégie : Inclure
la ligne de commande dans les événements de création
de processus
Table SEQ Table \* ARABE 19 Paramètre de stratégie de processus de ligne de
commande
Configuration Détails
de la
stratégie
Chemin Modèles d’administration\System\Création du processus d’audit

d’accès
Paramètre Inclure la ligne de commande dans les événements de création de processus
Paramètre par Non configuré (non activé)

défaut
Pris en charge ?
sur :
Configuration Détails
de la
stratégie
Description Ce paramètre de stratégie détermine les informations enregistrées dans les

événements d’audit de sécurité lorsqu’un nouveau processus a été créé.
Ce paramètre s’applique uniquement lorsque la stratégie d’audit de la création
de processus est activée. Si vous activez cette stratégie, les informations de ligne
de commande pour chaque processus seront journalisées en texte brut dans le
journal des événements de sécurité dans le cadre de l’événement d’audit de la
création de processus 4688, « Un nouveau processus a été créé » sur les stations
de travail et les serveurs sur lesquels ce paramètre de stratégie est appliqué.
Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les

informations de ligne de commande du processus ne seront pas incluses dans
les événements d’audit de la création de processus.
Par défaut : non configuré
Remarque : lorsque ce paramètre de stratégie est activé, tout utilisateur ayant

accès à lire les événements de sécurité peut lire les arguments de ligne de
commande pour tout processus créé avec succès. Les arguments de ligne de
commande peuvent contenir des informations sensibles ou privées, telles que
des mots de passe ou des données utilisateur.
Lorsque vous utilisez les paramètres Configuration avancée de la stratégie d’audit, vous
devez confirmer que ces paramètres ne sont pas remplacés par les paramètres de
stratégie d’audit de base. L’événement 4719 est journalisé lorsque les paramètres sont
remplacés.
La procédure suivante montre comment empêcher les conflits en bloquant l’application

de tous les paramètres de stratégie d’audit de base.
Pour vous assurer que les paramètres avancés de

configuration de la stratégie d’audit ne sont pas
remplacés
1. Ouvrez la console gestion stratégie de groupe

2. Cliquez avec le bouton droit sur Stratégie de domaine par défaut, puis cliquez sur
Modifier.
3. Double-cliquez sur Configuration ordinateur, sur Stratégies, puis sur Paramètres

Windows.
4. Double-cliquez sur Sécurité Paramètres, double-cliquez sur Stratégies locales, puis

sur Options de sécurité.
5. Double-cliquez sur Audit : force les paramètres de sous-catégorie de stratégie

d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de
catégorie de stratégie d’audit, puis cliquez sur Définir ce paramètre de stratégie.
6. Cliquez sur Activé, puis sur OK.
Auditer la création du processus
Guide pas à pas de la stratégie d’audit de sécurité avancée
AppLocker : Forum aux questions
Essayez ceci : Explorer l’audit du processus de

ligne de commande
1. Activer les événements de création du processus d’audit et vérifier que la
configuration avancée de la stratégie d’audit n’est pas remplacée
2. Créez un script qui génère certains événements d’intérêt et exécutez le script.

Observez les événements. Le script utilisé pour générer l’événement dans la leçon
ressemblait à ceci :
mkdir c:\systemfiles\temp\commandandcontrol\zone\fifthward
copy \\192.168.1.254\c$\hidden
c:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward
start
C:\systemfiles\temp\hidden\commandandcontrol\zone\fifthward\ntuserright
s.vbs
del c:\systemfiles\temp\*.* /Q
3. Activer l’audit du processus de ligne de commande

4. Exécutez le même script que avant et observez les événements
Mises à jour du composant Directory
Services

７ Notes
Cette leçon explique les mises à jour du composant Services d’annuaire dans Windows
Server 2012 R2.
Expliquez les nouvelles mises à jour de composant Services d’annuaire suivantes :
Expliquez les nouvelles mises à jour de composant Services d’annuaire suivantes :
Amélioration du débit de réplication Active Directory

Vue d’ensemble
Cette section fournit une brève introduction aux changements de niveau fonctionnel de
domaine et de forêt.
Nouveaux niveaux DFL et FFL

Avec cette version, il existe de nouveaux niveaux fonctionnels de domaine et de forêt :
Niveau fonctionnel de la forêt : Windows Server 2012 R2
Niveau fonctionnel du domaine : Windows Server 2012 R2
Le niveau fonctionnel de domaine Windows

Server 2012 R2 permet de prendre en charge les éléments
suivants :
1. Protections côté contrôleur de domaine pour les utilisateurs protégés
Les utilisateurs protégés qui s’authentifient auprès d’un domaine Windows

Server 2012 R2 ne peuvent plus effectuer les opérations suivantes :
s’authentifier avec l’authentification NTLM ;
utiliser les suites de chiffrement DES ou RC4 dans la pré-authentification

Kerberos ;
renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4

heures.
2. Stratégies d'authentification
Nouvelles stratégies Active Directory basées sur une forêt qui peuvent être
appliquées à des comptes dans les domaines Windows Server 2012 R2 pour
contrôler les hôtes à partir desquels un compte peut se connecter et appliquer des
conditions de contrôle d’accès pour l’authentification auprès de services
s’exécutant en tant que compte
3. Silos de stratégies d'authentification
Nouvel objet Active Directory basé sur une forêt, qui peut créer une relation entre
des comptes d’utilisateurs, de services gérés et d’ordinateurs permettant de classer
les comptes pour les stratégies d’authentification ou pour l’isolation de
Pour plus d’informations, consultez Guide pratique pour configurer des comptes
protégés.
En plus des fonctionnalités ci-dessus, le niveau fonctionnel du domaine Windows

Server 2012 R2 garantit que tout contrôleur de domaine du domaine s’exécute Windows
Server 2012 R2.
Le niveau fonctionnel de forêt Windows Server 2012 R2 ne fournit
aucune nouvelle fonctionnalité, mais il garantit que tout nouveau domaine créé dans la
forêt fonctionne automatiquement au niveau fonctionnel de domaine Windows
Server 2012 R2.
DFL minimum appliqué lors de la création d’un nouveau

domaine
Windows Server 2008 DFL est le niveau fonctionnel minimal pris en charge lors de la
création d’un nouveau domaine.
７ Notes
La dépréciation de FRS s’effectue en supprimant la possibilité d’installer un

nouveau domaine avec un niveau fonctionnel de domaine inférieur à Windows
Server 2008 avec le Gestionnaire de serveur ou via Windows PowerShell.
Réduction des niveaux fonctionnels de forêt et de

domaine
Les niveaux fonctionnels de forêt et de domaine sont définis sur Windows
Server 2012 R2 par défaut lors de la création d’un nouveau domaine et d’une nouvelle
forêt, mais peuvent être réduits à l’aide de Windows PowerShell.
Pour augmenter ou abaisser le niveau fonctionnel de la forêt à l’aide de Windows

PowerShell, utilisez l’applet de commande Set-ADForestMode.
Pour définir le FFL contoso.com en mode Windows Server 2008 :
SQL
Set-ADForestMode -ForestMode Windows2008Forest -Identity contoso.com
Pour augmenter ou diminuer le niveau fonctionnel du domaine à l’aide de Windows

PowerShell, utilisez l’applet de commande Set-ADDomainMode.
Pour définir le DFL contoso.com en mode Windows Server 2008 :
PowerShell
Set-ADDomainMode -DomainMode Windows2008Domain -Identity contoso.com
La promotion d’un contrôleur de domaine exécutant Windows Server 2012 R2 en tant

que réplica supplémentaire dans un domaine existant exécutant 2003 DFL fonctionne.
Création d’un nouveau domaine dans une forêt existante
ADPREP
Aucune opération de domaine ou de forêt n’est ajoutée dans cette version.
Ces fichiers .ldf contiennent des modifications de schéma pour le Service d’inscription
d’appareil.
1. Sch59
2. Sch61
3. Sch62
4. Sch63
5. Sch64
6. Sch65
7. Sch67
Dossiers de travail :
1. Sch66
MSODS :
1. Sch60
Silos et stratégies d’authentification
1. Sch68
2. Sch69
Vue d’ensemble
FRS est déconseillé dans Windows Server 2012 R2. La dépréciation de FRS s’effectue en
appliquant un niveau fonctionnel de domaine (DFL) minimal de Windows Server 2008.
Cela s’applique uniquement si le nouveau domaine est créé à l’aide du Gestionnaire de
serveur ou de Windows PowerShell.
Vous utilisez le paramètre -DomainMode avec les applets de commande Install-

ADDSForest ou Install-ADDSDomain pour spécifier le niveau fonctionnel du domaine.
Les valeurs prises en charge pour ce paramètre peuvent être un entier valide ou une
valeur de chaîne énumérée correspondante. Par exemple, pour définir le niveau de
mode de domaine sur Windows Server 2008 R2, vous pouvez spécifier la valeur 4 ou
« Win2008R2 ». Lors de l’exécution de ces applets de commande à partir de Windows
Server 2012 R2, les valeurs valides incluent celles pour Windows Server 2008 (3,
Win2008), Windows Server 2008 R2 (4, Win2008R2) Windows Server 2012 (5, Win2012)
et Windows Server 2012 R2 (6, Win2012R2). Le niveau fonctionnel du domaine ne peut
pas être inférieur à celui de la forêt, mais il peut être supérieur. Étant donné que FRS est
déconseillé avec cette version, Windows Server 2003 (2, Win2003) n’est pas un
paramètre reconnu avec ces applets de commande lors de l’exécution à partir de
Vue d’ensemble
L’algorithme de l’optimiseur de requête LDAP a été réévalué et optimisé. Il en découle
des améliorations des performances au niveau de l’efficacité des recherches LDAP et du
temps de recherche LDAP pour les requêtes complexes.
７ Notes
Du développeur :amélioration des performances des recherches grâce à des

améliorations dans le mappage de la requête LDAP à la requête ESE. Les filtres
LDAP au-delà d’un certain niveau de complexité empêchent la sélection d’index
optimisée, qui réduit considérablement les performances (1 000x ou plus). Cette
modification modifie la façon dont nous sélectionnons les index pour les requêtes
LDAP afin d’éviter ce problème.
７ Notes
Une révision complète de l’algorithme de l’optimiseur de requête LDAP, avec les
résultats suivants :
Temps de recherche plus rapides

Des gains d’efficacité permettant aux contrôleurs de domaine d’en faire plus
Moins d’appels de support concernant les problèmes de performances d’AD
Rétro-portage vers Windows Server 2008 R2 (KB 2862304)
Contexte
La possibilité de rechercher dans Active Directory est un service essentiel fourni par les
contrôleurs de domaine. D’autres services et applications métier s’appuient sur les
recherches dans Active Directory. Les opérations commerciales peuvent cesser si cette
fonctionnalité n’est pas disponible. En tant que service essentiel et fortement utilisé, il
est impératif que les contrôleurs de domaine gèrent efficacement le trafic de recherche
LDAP. L’algorithme d’optimiseur de requête LDAP tente de rendre les recherches LDAP
efficaces autant que possible en mappant des filtres de recherche LDAP à un jeu de
résultats qui peut être satisfait via des enregistrements déjà indexés dans la base de
données. Cet algorithme a été réévalué et optimisé. Il en découle des améliorations des
performances au niveau de l’efficacité des recherches LDAP et du temps de recherche
LDAP pour les requêtes complexes.
Détails de la modification
Une recherche LDAP contient :
Un emplacement (direction NC, unité d’organisation, objet) dans la hiérarchie pour

commencer la recherche
Un filtre de recherche
Une liste des attributs à retourner
Le processus de recherche peut être résumé comme suit :
1. Simplifiez le filtre de recherche si possible.
2. Sélectionnez un ensemble de clés d’index qui retourne le plus petit ensemble

couvert.
3. Effectuez une ou plusieurs intersections de clés d’index pour réduire l’ensemble

couvert.
4. Pour chaque enregistrement dans le jeu couvert, évaluez l’expression de filtre ainsi
que la sécurité. Si le filtre prend la valeur TRUE et que l’accès est accordé,
retournez cet enregistrement au client.
Le travail d’optimisation des requêtes LDAP modifie les étapes 2 et 3 pour réduire la
taille de l’ensemble couvert. Plus spécifiquement, l’implémentation actuelle sélectionne
les clés d’index en double et effectue des intersections redondantes.
Comparaison entre l’ancien et le nouvel algorithme

La cible de la recherche LDAP inefficace dans cet exemple est un contrôleur de domaine
Windows Server 2012. La recherche se termine en environ 44 secondes en raison de
l’échec de la recherche d’un index plus efficace.
adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu)

(postalcode=80304) (userprincipalname=justintu@blue.contoso.com)) (|
(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))"
-stats >>adfind.txt
Using server: WINSRV-DC1.blue.contoso.com:389
<removed search results>
Statistics
=====
Elapsed Time: 44640 (ms)
Returned 324 entries of 553896 visited - (0.06%)
Used Filter:
( | ( & ( | (cn=justintu) (postalCode=80304)

(userPrincipalName=justintu@blue.contoso.com) ) ( | (objectClass=person)
(cn=justintu) ) ) ( & (cn=justintu) (objectClass=person) ) )
Used Indices:
DNT_index:516615:N
Pages Referenced : 4619650
Pages Read From Disk : 973
Pages Pre-read From Disk : 180898
Pages Dirtied : 0
Pages Re-Dirtied : 0
Log Records Generated : 0
Log Record Bytes Generated: 0
Exemples de résultats à l’aide du nouvel algorithme

Cet exemple répète exactement la même recherche que ci-dessus, mais cible un
contrôleur de domaine Windows Server 2012 R2. La même recherche se termine en
moins d’une seconde en raison des améliorations apportées à l’algorithme d’optimiseur
de requête LDAP.
adfind -b dc=blue,dc=contoso,dc=com -f "(| (& (|(cn=justintu)

(postalcode=80304) (userprincipalname=dhunt@blue.contoso.com)) (|
(objectclass=person) (cn=justintu)) ) (&(cn=justintu)(objectclass=person)))"
-stats >>adfindBLUE.txt
Using server: winblueDC1.blue.contoso.com:389
.<removed search results>
Statistics
=====
Elapsed Time: 672 (ms)
Returned 324 entries of 648 visited - (50.00%)
Used Filter:
( | ( & ( | (cn=justintu) (postalCode=80304)

(userPrincipalName=justintu@blue.contoso.com) ) ( | (objectClass=person)
(cn=justintu) ) ) ( & (cn=justintu) (objectClass=person) ) )
Used Indices:
idx_userPrincipalName:648:N
idx_postalCode:323:N
idx_cn:1:N
Pages Referenced : 15350

Pages Read From Disk : 176
Pages Pre-read From Disk : 2
Pages Dirtied : 0
Pages Re-Dirtied : 0
Log Records Generated : 0
Log Record Bytes Generated: 0
Si vous ne parvenez pas à optimiser l’arborescence :
Par exemple : une expression dans l’arborescence était sur une colonne non
indexée
Enregistrer une liste d’index qui empêchent l’optimisation
Exposé via le suivi ETW et l’ID d’événement 1644

Pour activer le contrôle Stats dans LDP
1. Ouvrez LDP.exe, puis connectez-vous et liez-vous à un contrôleur de domaine.
2. Dans le menu Options, cliquez sur Contrôles.
3. Dans la boîte de dialogue Contrôles, développez le menu déroulant Charger

prédéfini, cliquez sur Rechercher des statistiques, puis cliquez sur OK.
4. Dans le menu Parcourir, cliquez sur Rechercher
5. Dans la boîte de dialogue Rechercher, sélectionnez le bouton Options.
6. Vérifiez que la case à cocher Étendue est activée dans la boîte de dialogue Options
de recherche, puis sélectionnez OK.
Try This : utiliser LDP pour retourner des statistiques de

requête
Effectuez les opérations suivantes sur un contrôleur de domaine ou à partir d’un client
ou d’un serveur joint à un domaine sur lequel les outils AD DS sont installés. Répétez les
opérations suivantes pour cibler votre contrôleur de domaine Windows Server 2012 et
votre contrôleur de domaine Windows Server 2012 R2.
1. Consultez l’article « Création d’applications plus efficaces avec Microsoft AD » et

reportez-vous à cet article si nécessaire.
2. À l’aide de LDP, activez les statistiques de recherche (consultez Activer le contrôle
Stats dans LDP)
3. Effectuez plusieurs recherches LDAP et observez les informations statistiques en

haut des résultats. Vous répéterez la même recherche dans d’autres activités afin
de les documenter dans un fichier texte du Bloc-notes.
4. Effectuer une recherche LDAP que l’optimiseur de requête doit être en mesure
d’optimiser en raison des index d’attributs
5. Essayez de créer une recherche qui prend beaucoup de temps (vous souhaiterez
peut-être augmenter l’option Limite de temps afin que la recherche n’expire pas).
Que sont les recherches Active Directory ?
Fonctionnement des recherches Active Directory
Création d’applications avec Microsoft Active Directory plus efficaces
Les requêtes LDAP 951 581 sont exécutées plus lentement que prévu dans le service
d’annuaire AD ou LDS/ADAM et l’ID d’événement 1644 peut être consigné
Vue d’ensemble
Cette mise à jour ajoute des statistiques de résultats de recherche LDAP
supplémentaires à l’ID d’événement 1644 pour faciliter la résolution des problèmes. En
outre, il existe une nouvelle valeur de Registre qui peut être utilisée pour activer la
journalisation sur un seuil basé sur le temps. Ces améliorations ont été mises à
disposition dans Windows Server 2012 et Windows Server 2008 R2 SP1 via la KB
2 800 945 et seront mises à disposition dans Windows Server 2008 SP2.
７ Notes
Des statistiques de recherche LDAP supplémentaires sont ajoutées à l’ID

d’événement 1644 pour vous aider à résoudre les problèmes liés aux
recherches LDAP inefficaces ou coûteuses
Vous pouvez maintenant spécifier un seuil de temps de recherche (par
exemple Événement de journal 1644 pour les recherches prenant plus de
100 ms) au lieu de spécifier les valeurs de seuil des résultats de recherche
coûteux et inefficaces
Contexte
Lors de la résolution des problèmes de performances d’Active Directory, il apparaît que
l’activité de recherche LDAP peut contribuer au problème. Vous décidez d’activer la
journalisation afin de voir les requêtes LDAP coûteuses ou inefficaces traitées par le
contrôleur de domaine. Pour activer la journalisation, vous devez définir la valeur de
diagnostic Field Engineering et spécifier éventuellement les valeurs de seuil des résultats
de recherche coûteux/inefficaces. Lorsque vous activez le niveau de journalisation Field
Engineering avec la valeur 5, toute recherche qui répond à ces critères est journalisée
dans le journal des événements des services d’annuaire avec un ID d’événement 1644.
L’événement contient :
Adresse IP et port du client
Nœud de démarrage
Filtrer
Étendue de la recherche
Sélection des attributs
Contrôles serveur
Entrées visitées
Entrées retournées
Toutefois, des données clés sont manquantes dans l’événement, comme le temps passé
sur l’opération de recherche et l’index (le cas échéant) utilisé.
Statistiques de recherche supplémentaires ajoutées à

l’événement 1644
Index utilisés
Pages référencées
Pages lues à partir du disque
Pages pré-lues à partir du disque
Pages propres modifiées
Pages incorrectes modifiées
Heure de recherche
Attributs empêchant l’optimisation
Nouvelle valeur de Registre de seuil basé sur le temps pour la

journalisation de l’événement 1644
Au lieu de spécifier les valeurs de seuil des résultats de recherche coûteux et inefficaces,
vous pouvez spécifier le seuil de temps de recherche. Si vous souhaitez enregistrer tous
les résultats de recherche qui ont pris 50 ms ou plus, vous devez spécifier 50
(décimal)/32 (hex) (en plus de définir la valeur Field Engineering).
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters]
"Search Time Threshold (msecs)"=dword:00000032
Comparaison de l’ancien et du nouvel ID d’événement 1644

OLD
NEW
Try This : utiliser le journal des événements pour retourner des
statistiques de requête
1. Répétez les opérations suivantes pour cibler votre contrôleur de domaine Windows
Server 2012 et votre contrôleur de domaine Windows Server 2012 R2. Observez les
ID d’événement 1644 sur les deux contrôleurs de domaine après chaque
recherche.
2. À l’aide de regedit, activez la journalisation de l’ID d’événement 1644 à l’aide d’un
seuil basé sur le contrôleur de domaine Windows Server 2012 R2 et de l’ancienne
méthode sur le contrôleur de domaine Windows Server 2012.
3. Effectuez plusieurs recherches LDAP qui dépassent le seuil et observez les

informations statistiques en haut des résultats. Utilisez les requêtes LDAP que vous
avez documentées précédemment et répétez les mêmes recherches.
4. Effectuez une recherche LDAP que l’optimiseur de requête n’est pas en mesure
d’optimiser, car un ou plusieurs attributs ne sont pas indexés.
Amélioration du débit de réplication Active

Directory
Vue d’ensemble
La réplication AD utilise RPC pour son transport de réplication. Par défaut, RPC utilise
une mémoire tampon de transmission de 8 Ko et une taille de paquet de 5 Ko. Cela a
pour effet net que l’instance d’envoi transmet trois paquets (environ 15 000 de
données), puis doit attendre un aller-retour réseau avant d’en envoyer davantage. En
supposant un temps d’aller-retour de 3 ms, le débit le plus élevé serait d’environ
40 Mbits/s, même sur les réseaux 1 Gbit/s ou 10 Gbits/s.
７ Notes
Cette mise à jour remplace le débit de réplication Active Directory maximal de

40 Mbits/s par 600 Mbits/s environ.
Cela augmente la taille de la mémoire tampon d’envoi RPC, ce qui réduit le
nombre d’allers-retours réseau
L’effet sera le plus notable sur un réseau à haut débit et à latence élevée.
Cette mise à jour augmente le débit maximal à environ 600 Mbits/s en modifiant la taille
de la mémoire tampon d’envoi RPC de 8 Ko à 256 Ko. Cette modification permet à la
taille de la fenêtre TCP d’augmenter au-delà de 8 Ko, ce qui réduit le nombre d’allers-
retours réseau.
７ Notes
Il n’existe aucun paramètre configurable pour modifier ce comportement.

Fonctionnement du modèle de réplication Active Directory
Comptes Active Directory
Les systèmes d’exploitation Windows Server sont installés avec des comptes locaux par
défaut. Par ailleurs, vous pouvez créer des comptes d’utilisateur pour répondre aux
exigences de votre organisation.
Cet article de référence décrit les comptes locaux Windows Server par défaut qui sont
stockés localement sur le contrôleur de domaine et utilisés dans Active Directory. Il ne
décrit pas les comptes d’utilisateur locaux par défaut pour un membre, un serveur
autonome ou un client Windows. Pour plus d’informations, consultez Comptes locaux.
Comptes locaux par défaut dans Active

Directory
Les comptes locaux par défaut sont des comptes intégrés qui sont créés
automatiquement lorsqu’un contrôleur de domaine Windows Server est installé et que
le domaine est créé. Ces comptes locaux par défaut possèdent des équivalents dans
Active Directory. Ils disposent également d’un accès à l’échelle du domaine et sont
complètement distincts des comptes d’utilisateur locaux par défaut pour un membre ou
un serveur autonome.
Vous pouvez attribuer des droits et des autorisations à des comptes locaux par défaut
sur un contrôleur de domaine particulier, et uniquement sur ce contrôleur de domaine.
Ces comptes sont locaux par rapport à ce domaine. Une fois les comptes locaux par
défaut installés, ils sont stockés dans le conteneur Utilisateurs dans Utilisateurs et
ordinateurs Active Directory. Il est recommandé de conserver les comptes locaux par
défaut dans le conteneur Utilisateurs et de ne pas tenter de déplacer ces comptes, par
exemple vers une autre unité d’organisation.
Les comptes locaux par défaut dans le conteneur Utilisateurs sont les suivants :
Administrateur, Invité et KRBTGT. Le compte Assistant de l’aide est installé lorsqu’une
session d’assistance à distance est établie. Les sections suivantes décrivent les comptes
locaux par défaut et leur utilisation dans Active Directory.
Les comptes locaux par défaut effectuent les actions suivantes :

Permettre au domaine de représenter, d’identifier et d’authentifier l’identité de
l’utilisateur affecté au compte à l’aide d’informations d’identification uniques (nom
d’utilisateur et mot de passe). Il est recommandé d’affecter chaque utilisateur à un
compte unique pour garantir une sécurité maximale. Plusieurs utilisateurs ne sont
pas autorisés à partager un compte. Un compte d’utilisateur permet à un
utilisateur de se connecter à des ordinateurs, des réseaux et des domaines avec un
identificateur unique qui peut être authentifié par l’ordinateur, le réseau ou le
domaine.
Autoriser (accorder ou refuser) l’accès aux ressources. Une fois les informations
d’identification d’un utilisateur authentifiées, l’utilisateur est autorisé à accéder au
réseau et aux ressources de domaine en fonction des droits explicitement attribués
à l’utilisateur sur la ressource.
Auditer les actions effectuées sur un compte d’utilisateur.
Dans Active Directory, les administrateurs utilisent des comptes locaux par défaut pour
gérer les serveurs de domaine et de membres, aussi bien directement qu’à partir de
stations de travail d’administration dédiées. Les comptes Active Directory fournissent
l’accès aux ressources réseau. Les comptes d’utilisateur et d’ordinateur Active Directory
peuvent représenter une entité physique, telle qu’un ordinateur ou une personne, ou
agir en tant que comptes de service dédiés pour certaines applications.
Chaque compte local par défaut est automatiquement affecté à un groupe de sécurité
préconfiguré avec les droits et autorisations appropriés pour effectuer des tâches
spécifiques. Les groupes de sécurité Active Directory permettent de rassembler des
comptes d’utilisateur, des comptes d’ordinateur et d’autres groupes dans des unités
gérables. Pour plus d’informations, consultez Groupes de sécurité Active Directory.
Sur un contrôleur de domaine Active Directory, chaque compte local par défaut est
appelé Principal de sécurité. Un principal de sécurité est un objet annuaire utilisé pour
sécuriser et gérer les services Active Directory qui fournissent l’accès aux ressources du
contrôleur de domaine. Un principal de sécurité inclut des objets tels que des comptes
d’utilisateur, des comptes d’ordinateur, des groupes de sécurité ou les threads ou
processus qui s’exécutent dans le contexte de sécurité d’un compte d’utilisateur ou d’un
compte d’ordinateur. Pour plus d’informations, consultez Principaux de sécurité.
Un principal de sécurité est représenté par un identificateur de sécurité unique (SID). Les
SID liés à chacun des comptes locaux par défaut dans Active Directory sont décrits dans
les sections suivantes.
Certains des comptes locaux par défaut sont protégés par un processus en arrière-plan
qui vérifie et applique régulièrement un descripteur de sécurité spécifique. Un
descripteur de sécurité est une structure de données qui contient les informations de
sécurité associées à un objet protégé. Ce processus garantit que toute modification non
autorisée du descripteur de sécurité sur l’un des comptes ou groupes locaux par défaut
est remplacée par les paramètres protégés.
Le descripteur de sécurité est présent sur l’objet AdminSDHolder. Si vous souhaitez

modifier les autorisations sur l’un des groupes d’administrateurs de service ou sur l’un
de ses comptes membres, vous devez modifier le descripteur de sécurité sur l’objet
AdminSDHolder afin de vous assurer qu’il est appliqué de manière systématique. Soyez
prudent lorsque vous apportez ces modifications, car vous modifiez également les
paramètres par défaut appliqués à tous vos comptes protégés.
Compte d’administrateur
Un compte Administrateur est un compte par défaut utilisé dans toutes les versions du
système d’exploitation Windows sur chaque ordinateur et appareil. Le compte
Administrateur est utilisé par l’administrateur système pour les tâches qui nécessitent
des informations d’identification administratives. Ce compte ne peut pas être supprimé
ni verrouillé, mais il peut être renommé ou désactivé.
Le compte Administrateur donne à l’utilisateur un accès complet (autorisations de

contrôle total) aux fichiers, répertoires, services et autres ressources qui se trouvent sur
ce serveur local. Le compte Administrateur peut être utilisé pour créer des utilisateurs
locaux et pour attribuer des droits d’utilisateur et des autorisations de contrôle d’accès.
Le compte peut également être utilisé pour prendre le contrôle des ressources locales à
tout moment en modifiant simplement les droits et autorisations de l’utilisateur. Bien
que des fichiers et des répertoires puissent être protégés temporairement du compte
administrateur, le compte peut prendre le contrôle de ces ressources à tout moment en
modifiant les autorisations d’accès.
Appartenance à un groupe de comptes

Le compte Administrateur est membre des groupes de sécurité par défaut, comme
décrit dans le tableau Attributs du compte administrateur plus loin dans cet article.
Les groupes de sécurité garantissent que vous pouvez contrôler les droits
d’administrateur sans avoir à modifier chaque compte Administrateur. Dans la plupart
des cas, vous n’avez pas besoin de modifier les paramètres de base de ce compte.
Toutefois, vous devrez peut-être modifier ses paramètres avancés, tels que
l’appartenance à des groupes particuliers.
Après l’installation du système d’exploitation du serveur, votre première tâche consiste à
configurer les propriétés du compte Administrateur de manière sécurisée. Cela inclut la
configuration d’un mot de passe particulièrement long et fort et la sécurisation des
paramètres de profil de Contrôle à distance et des Services Bureau à distance.
Le compte Administrateur peut également être désactivé lorsqu’il n’est pas requis. En
désactivant le compte Administrateur ou en modifiant son nom, les utilisateurs
malveillants auront plus de mal à essayer d’accéder au compte. Toutefois, lorsque le
compte Administrateur est désactivé, il peut toujours être utilisé pour accéder à un
contrôleur de domaine à l’aide du mode sans échec.
Sur un contrôleur de domaine, le compte Administrateur devient le compte

d’administrateur de domaine. Le compte d’administrateur de domaine permet de se
connecter au contrôleur de domaine, et nécessite un mot de passe fort. Le compte
d’administrateur de domaine vous donne accès aux ressources de domaine.
７ Notes
Lorsque le contrôleur de domaine est installé initialement, vous pouvez vous

connecter et utiliser Gestionnaire de serveur pour configurer un compte
Administrateur local, avec les droits et autorisations que vous souhaitez attribuer.
Par exemple, vous pouvez utiliser un compte Administrateur local pour gérer le
système d’exploitation lorsque vous l’installez pour la première fois. En adoptant
cette approche, vous pouvez configurer le système d’exploitation sans risque d’être
bloqué. En règle générale, vous n’avez pas besoin d’utiliser le compte après
l’installation. Vous pouvez créer des comptes d’utilisateur locaux sur le contrôleur
de domaine uniquement avant l’installation d’Active Directory Domain Services et
non après.
Quand Active Directory est installé sur le premier contrôleur de domaine du domaine, le
compte Administrateur est créé pour Active Directory. Le compte Administrateur est le
compte le plus puissant du domaine. Il reçoit des droits d’accès et d’administration à
l’échelle du domaine pour administrer l’ordinateur et le domaine, et dispose des droits
et autorisations les plus étendus sur le domaine. La personne qui installe Active
Directory Domain Services sur l’ordinateur crée le mot de passe de ce compte lors de
l’installation.
Attributs de compte administrateur

Attribut Valeur
SID/RID connu S-1-5- <domain> -500
Type Utilisateur
Conteneur par défaut CN=Utilisateurs, DC= <domain> , DC=
Membres par défaut N/A
Membre par défaut de Administrateurs, Admins du domaine, Administrateurs

d’entreprise, Utilisateurs de domaine (l’ID de groupe
principal de tous les comptes d’utilisateur est Utilisateurs
de domaine)
Propriétaires créateurs de la stratégie de groupe et

Administrateurs du schéma dans le groupe d’utilisateurs
du domaine Active Directory
Protégé par ADMINSDHOLDER ? Oui
Sortie du conteneur par défaut Oui

sécurisée ?
La gestion de ce groupe peut-elle Non

être déléguée à des administrateurs
extérieurs au service de façon
sécurisée ?
Compte Invité
Le compte Invité est un compte local par défaut qui dispose d’un accès limité à
l’ordinateur et qui est désactivé par défaut. Par défaut, le mot de passe du compte Invité
est laissé vide. Un mot de passe vide permet d’accéder au compte Invité sans demander
à l’utilisateur d’entrer un mot de passe.
Le compte Invité permet aux utilisateurs occasionnels ou ponctuels, qui n’ont pas de
compte individuel sur l’ordinateur, de se connecter au serveur ou domaine local avec
des droits et autorisations restreints. Le compte Invité peut être activé et le mot de
passe peut être configuré si nécessaire, mais uniquement par un membre du groupe
Administrateur sur le domaine.
Appartenance à un groupe de comptes Invités

Le compte Invité est membre des groupes de sécurité par défaut décrits dans le tableau
Attributs du compte invité suivant. Par défaut, le compte Invité est le seul membre du
groupe Invités par défaut, qui permet à un utilisateur de se connecter à un serveur, et du
groupe global Invités du domaine, qui permet à un utilisateur de se connecter à un
domaine.
Un membre du groupe Administrateurs ou Admins du domaine peut configurer un

utilisateur avec un compte Invité sur un ou plusieurs ordinateurs.
Considérations relatives à la sécurité des comptes Invités

Étant donné que le compte Invité peut fournir un accès anonyme, il s’agit d’un risque
pour la sécurité. Il possède également un SID bien connu. Pour cette raison, il est
recommandé de laisser le compte Invité désactivé, sauf si son utilisation est requise et,
dans ce cas, uniquement avec des droits et autorisations restreints pendant une période
très limitée.
Lorsque le compte Invité est requis, un administrateur sur le contrôleur de domaine est
requis pour activer le compte Invité. Le compte Invité peut être activé sans exiger de
mot de passe, ou il peut être activé avec un mot de passe fort. L’administrateur accorde
également des droits et des autorisations restreints pour le compte Invité. Pour
empêcher tout accès non autorisé :
N’accordez pas au compte Invité le droit d’utilisateur Arrêter le système. Lorsqu’un

ordinateur s’arrête ou démarre, il est possible qu’un utilisateur Invité ou toute
personne disposant d’un accès local, tel qu’un utilisateur malveillant, puisse obtenir
un accès non autorisé à l’ordinateur.
Ne fournissez pas au compte Invité la possibilité d’afficher les journaux des

événements. Une fois le compte Invité activé, il est recommandé de surveiller ce
compte fréquemment pour s’assurer que les autres utilisateurs ne peuvent pas
utiliser les services et autres ressources, comme celles qui ont été laissées
involontairement disponibles par un utilisateur précédent.
N’utilisez pas le compte Invité lorsque le serveur dispose d’un accès réseau externe
ou d’un accès à d’autres ordinateurs.
Si vous décidez d’activer le compte Invité, veillez à restreindre son utilisation et à

modifier régulièrement le mot de passe. Comme avec le compte Administrateur, il est
recommandé de renommer le compte par mesure de sécurité supplémentaire.
Par ailleurs, un administrateur est responsable de la gestion du compte Invité.

L’administrateur surveille le compte Invité, le désactive lorsqu’il n’est plus utilisé et
modifie ou supprime son mot de passe en fonction des besoins.
Pour plus d’informations sur les attributs du compte Invité, consultez le tableau suivant :
Attributs du compte Invité
Attribut Valeur
Type Utilisateur
Conteneur par défaut CN=Utilisateurs, DC=

<domain> , DC=
Membres par défaut None
Membre par défaut de Invités, Invités du

domaine
Protégé par ADMINSDHOLDER ? Non
Sortie du conteneur par défaut sécurisée ? Peut être déplacé, mais

cela est déconseillé.
La gestion de ce groupe peut-elle être déléguée à des Non

administrateurs extérieurs au service de façon sécurisée ?
Compte Assistant de l’aide (installé à l’aide

d’une session d’assistance à distance)
Le compte Assistant de l’aide est un compte local par défaut qui est activé lors de
l’exécution d’une session d’assistance à distance. Ce compte est automatiquement
désactivé si aucune demande d’assistance à distance n’est en attente.
Assistant de l’aide est le compte principal utilisé pour établir une session d’assistance à
distance. La session d’assistance à distance permet de se connecter à un autre
ordinateur exécutant le système d’exploitation Windows, et elle est lancée sur invitation.
Pour solliciter une assistance à distance, un utilisateur envoie une invitation à partir de
son ordinateur, par e-mail ou sous forme de fichier, à une personne qui peut fournir de
l’aide. Une fois l’invitation de l’utilisateur à une session d’assistance à distance acceptée,
le compte Assistant de l’aide par défaut est automatiquement créé pour accorder à la
personne qui fournit de l’aide un accès limité à l’ordinateur. Le compte Assistant de
l’aide est géré par le service Gestionnaire de sessions d’aide sur le Bureau à distance.
Considérations relatives à la sécurité d’Assistant de l’aide

Les SID qui se rapportent au compte Assistant de l’aide par défaut sont les suivants :
SID : S-1-5- <domain> -13, nom d’affichage Utilisateur Terminal Server. Ce groupe
inclut tous les utilisateurs qui se connectent à un serveur sur lequel les services
Bureau à distance sont activés. Sous Windows Server 2008 R2, les services Bureau à
distance sont appelés services Terminal Server.
SID : S-1-5- <domain> -14, nom d’affichage Ouverture de session interactive

distante. Ce groupe comprend tous les utilisateurs qui se connectent à l’ordinateur
à l’aide d’une connexion Bureau à distance. Ce groupe est un sous-ensemble du
groupe interactif. Les jetons d’accès qui contiennent le SID d’ouverture de session
interactive distante contiennent également le SID interactif.
Pour le système d’exploitation Windows Server, l’assistance à distance est un composant

facultatif qui n’est pas installé par défaut. Vous devez installer l’assistance à distance
avant de pouvoir l’utiliser.
Pour plus d’informations sur les attributs du compte Assistant de l’aide, consultez le
tableau suivant :
Attributs du compte Assistant de l’aide
Attribut Valeur
SID/RID connu S-1-5- <domain> -13 (utilisateur Terminal Server),

S-1-5- <domain> -14 (ouverture de session
interactive distante)
Type Utilisateur
Membre par défaut de Invités du domaine
Invités
Protégé par ADMINSDHOLDER ? Non
Sortie du conteneur par défaut sécurisée ? Peut être déplacé, mais cela est déconseillé.
La gestion de ce groupe peut-elle être déléguée Non

à des administrateurs extérieurs au service de
façon sécurisée ?
Compte KRBTGT
Le compte KRBTGT est un compte local par défaut qui agit en tant que compte de
service pour le service Centre de distribution de clés (KDC). Ce compte ne peut pas être
supprimé et le nom du compte ne peut pas être modifié. Le compte KRBTGT ne peut pas
être activé dans Active Directory.
KRBTGT est également le nom de principal de sécurité utilisé par le KDC pour un
domaine Windows Server, comme spécifié par la norme de sécurité RFC 4120. Le
compte KRBTGT est l’entité du principal de sécurité KRBTGT, et il est créé
automatiquement lorsqu’un nouveau domaine est créé.
L’authentification Kerberos Windows Server est obtenue à l’aide d’un ticket DGT (Ticket-
Granting Ticket) Kerberos spécial, chiffré avec une clé symétrique. Cette clé est créée à
partir du mot de passe du serveur ou du service auquel l’accès est demandé. Le mot de
passe TGT du compte KRBTGT est connu uniquement par le service Kerberos. Pour
demander un ticket de session, le TGT doit être présenté au KDC. Le TGT est envoyé au
client Kerberos à partir du KDC.
Considérations relatives à la maintenance du compte KRBTGT

Un mot de passe fort est automatiquement affecté aux comptes KRBTGT et de
confiance. Comme pour tout compte de service disposant de privilèges, les
organisations doivent modifier ces mots de passe régulièrement. Le mot de passe du
compte KDC est utilisé pour créer une clé secrète pour le chiffrement et le déchiffrement
des demandes TGT émises. Le mot de passe d’un compte de confiance de domaine est
utilisé pour créer une clé inter-domaines pour le chiffrement des tickets de référence.
La réinitialisation du mot de passe nécessite que vous soyez membre du groupe Admins
du domaine ou que l’autorité appropriée vous ait été déléguée. Par ailleurs, vous devez
être membre du groupe Administrateurs local, ou l’autorité appropriée doit vous avoir
été déléguée.
Après avoir réinitialisé le mot de passe KRBTGT, assurez-vous que l’ID d’événement 9
dans la source d’événements Key-Distribution-Center (Kerberos) est écrit dans le journal
des événements système.
Considérations relatives à la sécurité des comptes KRBTGT

Il est également recommandé de réinitialiser le mot de passe du compte KRBTGT pour
s’assurer qu’un contrôleur de domaine récemment restauré ne se réplique pas avec un
contrôleur de domaine compromis. Dans ce cas, dans une récupération de forêt
volumineuse répartie sur plusieurs emplacements, vous ne pouvez pas garantir que tous
les contrôleurs de domaine sont arrêtés et, s’ils sont arrêtés, qu’ils ne peuvent pas être
redémarrés avant que toutes les étapes de récupération appropriées aient été
effectuées. Après avoir réinitialisé le compte KRBTGT, un autre contrôleur de domaine ne
peut pas répliquer le mot de passe de ce compte à l’aide d’un ancien mot de passe.
Une organisation qui soupçonne la compromission du domaine du compte KRBTGT doit

envisager l’utilisation de services professionnels de réponse aux incidents. La
restauration de la propriété du compte a un impact sur l’ensemble du domaine,
nécessite beaucoup de travail et doit se faire dans le cadre d’un effort de récupération
plus large.
Le mot de passe KRBTGT est la clé sur laquelle repose toute la confiance dans Kerberos.
La réinitialisation du mot de passe KRBTGT revient à renouveler le certificat d’autorité de
certification racine avec une nouvelle clé et à immédiatement ne plus approuver
l’ancienne clé, ce qui affecte presque toutes les opérations Kerberos ultérieures.
Pour tous les types de compte (utilisateurs, ordinateurs et services)
Tous les TGT déjà émis et distribués ne seront plus valides, car les contrôleurs de
domaine les rejetteront. Ces tickets sont chiffrés avec le KRBTGT afin que n’importe
quel contrôleur de domaine puisse les valider. Lorsque le mot de passe change, les
tickets ne sont plus valides.
Toutes les sessions actuellement authentifiées que les utilisateurs connectés ont
établies (en fonction de leurs tickets de service) à une ressource (comme un
partage de fichiers, un site SharePoint ou un serveur Exchange) sont valides jusqu’à
ce que le ticket de service soit requis pour réauthentification.
Les connexions authentifiées NTLM ne sont pas affectées.
Étant donné qu’il est impossible de prédire les erreurs spécifiques qui se produiront
pour un utilisateur donné dans un environnement d’exploitation de production, vous
devez supposer que tous les ordinateurs et tous les utilisateurs seront affectés.
） Important
Le redémarrage d’un ordinateur est le seul moyen fiable de récupérer les

fonctionnalités, car cela entraîne la nouvelle connexion du compte d’ordinateur et
des comptes d’utilisateur. Une nouvelle connexion demandera de nouveaux TGT
valides avec le nouveau KRBTGT, ce qui corrigera les problèmes opérationnels liés à
KRBTGT sur cet ordinateur.
Pour plus d’informations sur la façon d’atténuer les risques associés à un compte
KRBTGT potentiellement compromis, consultez KRBTGT Account Password Reset Scripts
now available for customers (les scripts de réinitialisation de mot de passe de compte
KRBTGT sont désormais disponibles pour les clients).
Contrôleurs de domaine en lecture seule et compte

KRBTGT
Windows Server 2008 a introduit le contrôleur de domaine en lecture seule. Le
contrôleur de domaine en lecture seule est présenté comme un centre de distribution
de clés (KDC) pour les succursales. Le contrôleur de domaine en lecture seule utilise un
compte et un mot de passe KRBTGT différents de ceux du KDC sur un contrôleur de
domaine accessible en écriture lorsqu’il signe ou chiffre les requêtes TGT (Ticket
Granting Ticket). Une fois qu’un compte a été correctement authentifié, le contrôleur de
domaine en lecture seule détermine si les informations d’identification d’un utilisateur
ou d’un ordinateur peuvent être répliquées depuis le contrôleur de domaine accessible
en écriture vers le contrôleur de domaine en lecture seule à l’aide de la stratégie de
réplication de mot de passe.
Une fois les informations d’identification mises en cache sur le contrôleur de domaine
en lecture seule, celui-ci peut accepter les demandes de connexion de cet utilisateur
jusqu’à ce que les informations d’identification changent. Lorsqu’un TGT est signé avec
le compte KRBTGT du contrôleur de domaine en lecture seule, celui-ci reconnaît qu’il
dispose d’une copie mise en cache des informations d’identification. Si un autre
contrôleur de domaine signe le TGT, le contrôleur de domaine en lecture seule transfère
les requêtes à un contrôleur de domaine accessible en écriture.
Attributs du compte KRBTGT
Pour plus d’informations sur les attributs du compte KRBTGT, consultez le tableau
suivant :
Attribut Valeur
Type Utilisateur

Attribut Valeur
Membre par défaut de Groupe Utilisateurs du domaine (l’ID de groupe

principal de tous les comptes d’utilisateur est
Utilisateurs de domaine)
Protégé par ADMINSDHOLDER ? Oui
Sortie du conteneur par défaut sécurisée ? Peut être déplacé, mais cela est déconseillé.
La gestion de ce groupe peut-elle être Non

déléguée à des administrateurs extérieurs au
service de façon sécurisée ?
Paramètres des comptes locaux par défaut

Chaque compte local par défaut dans Active Directory possède plusieurs paramètres de
compte que vous pouvez utiliser pour configurer les paramètres de mot de passe et les
informations propres à la sécurité, comme décrit dans le tableau suivant :
Paramètres de Description
compte
L’utilisateur Force la modification du mot de passe la prochaine fois que l’utilisateur se

doit changer connectera au réseau. Utilisez cette option pour vous assurer que l’utilisateur
de mot de est la seule personne à connaître le mot de passe.
passe à la
prochaine
ouverture de
session
L’utilisateur ne Empêche l’utilisateur de modifier le mot de passe. Utilisez cette option pour
peut pas garder le contrôle sur un compte d’utilisateur, tel un compte Invité ou un
changer de compte temporaire.
mot de passe
Le mot de Empêche l’expiration du mot de passe de l’utilisateur. Il est recommandé

passe n’expire d’activer cette option avec des comptes de service et d’utiliser des mots de
jamais passe forts.
compte
Enregistrer les Fournit une prise en charge pour les applications qui utilisent des protocoles
mots de passe nécessitant une connaissance de la forme en texte clair du mot de passe de
en utilisant un l’utilisateur à des fins d’authentification.
chiffrement Cette option est requise lorsque vous utilisez le protocole CHAP (Challenge
réversible Handshake Authentication Protocol) dans Internet Authentication Services (IAS)
et lorsque vous utilisez l’authentification Digest dans Internet Information
Services (IIS).
Le compte est Empêche l’utilisateur de se connecter avec le compte sélectionné. En tant

désactivé qu’administrateur, vous pouvez utiliser des comptes désactivés comme
modèles pour des comptes d’utilisateurs courants.
Une carte à Nécessite l’utilisation d’une carte à puce par l’utilisateur pour se connecter au
puce est réseau de manière interactive. L’utilisateur doit aussi posséder un lecteur de
nécessaire pour carte à puce installé sur son ordinateur et un code confidentiel (PIN) valide pour
ouvrir une la carte à puce.
session
interactive Lorsque cet attribut est appliqué sur le compte, l’effet est le suivant :
L’attribut restreint uniquement l’authentification initiale pour la connexion
interactive et la connexion Bureau à distance. Lorsque la connexion interactive
ou la connexion Bureau à distance nécessite une connexion réseau ultérieure,
par exemple avec des informations d’identification de domaine, un hachage NT
fourni par le contrôleur de domaine est utilisé pour terminer le processus
d’authentification par carte à puce.
Chaque fois que l’attribut est activé sur un compte, la valeur de hachage du
mot de passe actuel du compte est remplacée par un nombre aléatoire à
128 bits. Cela invalide l’utilisation de tous les mots de passe configurés
précédemment pour le compte. La valeur ne change pas après cela, sauf si un
nouveau mot de passe est défini ou si l’attribut est désactivé et réactivé.
Les comptes avec cet attribut ne peuvent pas être utilisés pour démarrer des
services ni exécuter des tâches planifiées.
Le compte est Permet à un service qui s’exécute sous ce compte d’effectuer des opérations au
approuvé pour nom d’autres comptes d’utilisateurs sur le réseau. Un service qui s’exécute sous
la délégation un compte d’utilisateur (également appelé un compte de service) approuvé
pour la délégation peut emprunter l’identité d’un client pour obtenir l’accès aux
ressources sur l’ordinateur qui exécute le service ou sur d’autres ordinateurs.
Par exemple, dans une forêt définie sur le niveau fonctionnel de Windows
Server 2003, ce paramètre se trouve sous l’onglet Délégation. Il est disponible
uniquement pour les comptes auxquels ont été attribués des noms de
principaux de service (SPN), qui sont définis à l’aide de la commande setspn
des outils de support Windows. Ce paramètre affecte la sécurité et doit être
attribué avec précaution.
compte
Le compte est Donne le contrôle sur un compte utilisateur, par exemple un compte Invité ou
sensible et ne un compte temporaire. Cette option peut être utilisée si ce compte ne peut pas
peut pas être être affecté à un autre compte pour délégation.
délégué
Utiliser les Fournit la prise en charge pour la norme DES (Data Encryption Standard). La
types de norme DES prend en charge plusieurs niveaux de chiffrement, y compris les
chiffrement normes Microsoft Point-to-Point Encryption (MPPE) Standard (40 et 56 bits),
DES pour ce MPPE Standard (56 bits), MPPE Strong (56 bits), Internet Protocol security
compte (IPsec) DES (128 bits), IPsec DES (40 bits), IPsec DES (56 bits) et IPsec Triple DES
(3DES).
La pré- Fournit une prise en charge pour les autres implémentations du protocole
authentification Kerberos. Étant donné que la pré-authentification offre une sécurité
Kerberos n’est supplémentaire, soyez prudent lorsque vous activez cette option. Les
pas nécessaire contrôleurs de domaine exécutant Windows 2000 ou Windows Server 2003
peuvent utiliser d’autres mécanismes pour synchroniser l’heure.
７ Notes
L’option DES n’est pas activée par défaut dans les systèmes d’exploitation
Windows Server (à compter de Windows Server 2008 R2) ou dans les systèmes
d’exploitation clients Windows (à compter de Windows 7). Pour ces systèmes
d’exploitation, les ordinateurs n’utilisent pas les suites de chiffrement DES-CBC-
MD5 ou DES-CBC-CRC par défaut. Si votre environnement nécessite DES, ce
paramètre peut affecter la compatibilité avec les ordinateurs clients ou avec les
services et les applications de votre environnement.
Pour plus d’informations, consultez Hunting down DES in order to securely deploy
Kerberos (Traque de DES pour déployer Kerberos de manière sécurisée).
Gérer les comptes locaux par défaut dans

Active Directory
Une fois les comptes locaux par défaut installés, ils se trouvent dans le conteneur
Utilisateurs dans Utilisateurs et ordinateurs Active Directory. Vous pouvez créer,
désactiver, réinitialiser et supprimer des comptes locaux par défaut à l’aide de Microsoft
Management Console (MMC) pour Utilisateurs et ordinateurs Active Directory, ainsi que
des outils en ligne de commande.
Vous pouvez utiliser Utilisateurs et ordinateurs Active Directory pour attribuer des droits
et des autorisations sur un contrôleur de domaine local spécifié, et sur ce contrôleur de
domaine uniquement, afin de limiter la capacité des utilisateurs et des groupes locaux à
effectuer certaines actions. Un droit autorise un utilisateur à effectuer certaines actions
sur un ordinateur, comme effectuer des copies de sauvegarde de fichiers et de dossiers
ou arrêter un ordinateur. À l’opposé, une autorisation est une règle associée à un objet
(généralement, un fichier, un dossier ou une imprimante), qui régule quels utilisateurs
peuvent accéder à l’objet et de quelle manière.
Pour plus d’informations sur la création et la gestion de comptes d’utilisateurs locaux

dans Active Directory, voir Gérer les utilisateurs locaux.
Vous pouvez également utiliser Utilisateurs et ordinateurs Active Directory sur un

contrôleur de domaine afin de cibler des ordinateurs distants qui ne sont pas des
contrôleurs de domaine sur le réseau.
Vous pouvez obtenir des suggestions de Microsoft pour les configurations de contrôleur
de domaine que vous pouvez distribuer à l’aide de l’outil Security Compliance Manager
(SCM). Pour plus d’informations, consultez Microsoft Security Compliance Manager.
Certains des comptes d’utilisateurs locaux par défaut sont protégés par un processus en
arrière-plan qui vérifie et applique régulièrement un descripteur de sécurité spécifique,
qui est une structure de données qui contient des informations de sécurité associées à
un objet protégé. Le descripteur de sécurité est présent sur l’objet AdminSDHolder.
Cela signifie que, lorsque vous souhaitez modifier les autorisations sur un groupe
d’administrateurs de service ou sur l’un de ses comptes membres, vous devez
également modifier le descripteur de sécurité sur l’objet AdminSDHolder. Cette
approche garantit que les autorisations sont appliquées de manière cohérente. Soyez
prudent lorsque vous apportez ces modifications, car cette action peut également
affecter les paramètres par défaut appliqués à tous vos comptes d’administration
protégés.
Restreindre et protéger les comptes de

domaine sensibles
La restriction et la protection des comptes de domaine dans votre environnement de
domaine requièrent que vous adoptiez et implémentiez l’approche recommandée
suivante :
Limitez strictement l’appartenance aux groupes Administrateurs, Admins du

domaine et Administrateurs de l’entreprise.
Contrôlez rigoureusement où et comment les comptes de domaine sont utilisés.
Les comptes de membre dans les groupes Administrateurs, Admins du domaine et

Administrateurs de l’entreprise d’un domaine ou d’une forêt sont des cibles de grande
valeur pour les utilisateurs malveillants. Pour limiter toute exposition, il est recommandé
de limiter strictement l’appartenance à ces groupes d’administrateurs au plus petit
nombre de comptes. La restriction de l’appartenance à ces groupes réduit le risque
qu’un administrateur utilise involontairement ces informations d’identification et crée
une vulnérabilité que des utilisateurs malveillants peuvent exploiter.
Par ailleurs, il est recommandé de contrôler rigoureusement où et comment les comptes

de domaine sensibles sont utilisés. Limitez l’utilisation des comptes Admins du domaine
et des autres comptes Administrateur afin d’éviter qu’ils ne soient utilisés pour se
connecter à des systèmes de gestion et à des stations de travail qui sont sécurisés au
même niveau que les systèmes gérés. Lorsque les comptes Administrateur ne sont pas
limités de cette manière, chaque station de travail à partir de laquelle un administrateur
du domaine se connecte fournit un emplacement supplémentaire que les utilisateurs
malveillants peuvent exploiter.
L’implémentation de ces bonnes pratiques se divise en différentes tâches que vous

trouverez ci-dessous :
Séparer les comptes administrateur des comptes d’utilisateur

Restreindre l’accès de connexion des administrateurs aux serveurs et stations de
travail
Désactiver le droit de délégation de compte pour les comptes administrateur
sensibles
Pour parer aux situations où des défis d’intégration avec l’environnement de domaine
sont attendus, chaque tâche est décrite en fonction des exigences à respecter pour une
implémentation minimale, meilleure ou idéale. Comme pour toutes les modifications
importantes apportées à un environnement de production, veillez à tester ces
modifications en détail avant de les implémenter et de les déployer. Ensuite, mettez en
place le déploiement de manière à permettre une restauration de la modification si des
problèmes techniques se produisent.
Séparer les comptes administrateur des comptes

d’utilisateur
Limitez les comptes Admins du domaine et les autres comptes sensibles afin
d’empêcher qu’ils ne soient utilisés pour se connecter à des serveurs et des stations de
travail dont le niveau de confiance est plus faible. Limitez et protégez les comptes
Administrateur en isolant les comptes Administrateur des comptes d’utilisateur
standard, en séparant les tâches administratives des autres tâches et en limitant
l’utilisation de ces comptes. Créez des comptes dédiés pour le personnel administratif
qui a besoin d’informations d’identification d’administrateur pour effectuer des tâches
administratives spécifiques, puis créez des comptes distincts pour d’autres tâches
utilisateur standard, conformément aux instructions suivantes :
Compte privilégié : allouez des comptes administrateur pour effectuer les tâches
administratives suivantes uniquement :
Implémentation minimale : créez des comptes distincts pour les

administrateurs du domaine, les administrateurs d’entreprise ou équivalent,
avec les droits d’administrateur appropriés dans le domaine ou la forêt. Servez-
vous des comptes auxquels des droits d’administrateur sensibles ont été
accordés uniquement pour administrer les données de domaine et les
Implémentation meilleure : créez des comptes distincts pour les

administrateurs disposant de droits d’administration réduits, tels que les
comptes pour les administrateurs de station de travail et les comptes disposant
de droits d’utilisateur sur les unités d’organisation Active Directory désignées.
Implémentation idéale : créez plusieurs comptes distincts pour un

administrateur qui a plusieurs responsabilités professionnelles qui nécessitent
différents niveaux de confiance. Configurez chaque compte Administrateur avec
des droits d’utilisateur différents, par exemple pour l’administration des stations
de travail, l’administration de serveurs et l’administration de domaine, afin de
permettre à l’administrateur de se connecter aux stations de travail, serveurs et
contrôleurs de domaine spécifiés, et ce strictement en fonction de ses
responsabilités professionnelles.
Comptes d’utilisateur standard : octroyez des droits d’utilisateur standard pour les
tâches d’utilisateur standard, comme les e-mails, la navigation web et l’utilisation
des applications de cœur de métier. Ces comptes ne doivent pas se voir accorder
de droits d’administrateur.
） Important
Assurez-vous que les comptes Administrateur sensibles ne peuvent pas accéder aux
e-mails ni naviguer sur Internet, comme décrit dans la section suivante.
Pour en savoir plus sur l’accès privilégié, consultez Appareils à accès privilégié.
Restreindre l’accès de connexion des administrateurs aux
serveurs et stations de travail
Il est recommandé d’empêcher les administrateurs d’utiliser des comptes Administrateur
sensibles pour se connecter à des serveurs et des stations de travail dont le niveau de
confiance est plus faible. Cette restriction empêche les administrateurs d’augmenter par
inadvertance le risque de vol d’informations d’identification en se connectant à un
ordinateur dont le niveau de confiance est plus faible.
） Important
Vérifiez que vous disposez d’un accès local au contrôleur de domaine ou que vous
avez créé au moins une station de travail d’administration dédiée.
Procédez comme suit pour limiter l’accès de connexion aux serveurs et stations de
travail dont le niveau de confiance est plus faible :
Implémentation minimale : empêchez les administrateurs du domaine de disposer

d’un accès de connexion aux serveurs et aux stations de travail. Avant de
commencer cette procédure, identifiez toutes les unités d’organisation du domaine
qui contiennent des stations de travail et des serveurs. Les ordinateurs non
identifiés et présents dans des unités d’organisation n’empêcheront pas les
administrateurs disposant de comptes sensibles de se connecter à eux.
Implémentation meilleure : limitez les administrateurs du domaine aux serveurs et

stations de travail hors contrôleur de domaine.
Implémentation idéale : empêchez les administrateurs de serveur de se connecter

aux stations de travail, en plus des administrateurs du domaine.
７ Notes
Pour cette procédure, ne liez pas à l’unité d’organisation des comptes qui
contiennent des stations de travail pour les administrateurs qui effectuent
uniquement des tâches d’administration et ne fournissent pas d’accès à Internet ni
aux e-mails.
Pour empêcher les administrateurs du domaine d’accéder aux

stations de travail (implémentation minimale)
1. En tant qu’administrateur du domaine, ouvrez la console de gestion des stratégies
de groupe (GPMC).
2. Ouvrez Gestion des stratégies de groupe, puis développez <forest>\Domains\

<domain> .
3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez
Nouveau.
4. Dans la fenêtre Nouvel objet GPO, nommez le GPO qui empêche les
administrateurs de se connecter aux stations de travail, puis sélectionnez OK.
5. Cliquez avec le bouton droit sur Nouvel objet GPO, puis sélectionnez Modifier.
6. Configurez les droits d’utilisateur pour refuser la connexion locale pour les
administrateurs du domaine.
7. Sélectionnez Configuration ordinateur>Stratégies>Paramètres
Windows>Stratégies locales, sélectionnez Attribution des droits utilisateur, puis
a. Double-cliquez sur Interdire l’ouverture d’une session locale, puis sélectionnez

Définir ces paramètres de stratégie.
b. Sélectionnez Ajouter un utilisateur ou un groupe, sélectionnez Parcourir, tapez

Administrateurs de l’entreprise, puis sélectionnez OK.
c. Sélectionnez Ajouter un utilisateur ou un groupe, sélectionnez Parcourir, tapez

Admins du domaine, puis sélectionnez OK.
 Conseil
Vous pouvez éventuellement ajouter tous les groupes qui contiennent des
administrateurs de serveur que vous souhaitez empêcher de se connecter aux
７ Notes
Cette étape peut entraîner des problèmes avec les tâches d’administrateur qui
s’exécutent en tant que tâches ou services planifiés avec des comptes
présents dans le groupe Admins du domaine. La pratique consistant à utiliser
des comptes Administrateur du domaine pour exécuter des services et des
tâches sur des stations de travail crée un risque important d’attaques par vol
d’informations d’identification et, par conséquent, doit être remplacée par
d’autres moyens permettant d’exécuter des tâches ou des services planifiés.
d. Sélectionnez OK pour achever la configuration.
8. Liez le GPO à la première unité d’organisation de station de travail. Accédez au

chemin <forêt>\Domains\ <domain> \OU, puis procédez comme suit :
a. Cliquez avec le bouton droit sur l’unité d’organisation de la station de travail,

puis sélectionnez Lier un objet de stratégie de groupe existant.
b. Sélectionnez le GPO que vous venez de créer, puis sélectionnez OK.
9. Testez les fonctionnalités des applications d’entreprise sur les stations de travail de
la première unité d’organisation, puis résolvez les problèmes causés par la nouvelle
stratégie.
10. Liez toutes les autres unités d’organisation qui contiennent des stations de travail.
Toutefois, ne créez pas de lien vers l’unité d’organisation de la station de travail

d’administration si elle est créée pour les stations de travail d’administration qui
sont dédiées uniquement aux tâches d’administration et qui n’ont pas accès à
Internet ni à la messagerie.
） Important
Si vous étendez ultérieurement cette solution, ne refusez pas les droits de

connexion pour le groupe Utilisateurs du domaine. Le groupe Utilisateurs du
domaine inclut tous les comptes d’utilisateur du domaine, y compris les
utilisateurs, les administrateurs du domaine et les administrateurs de
l’entreprise.
Désactiver le droit de délégation de compte pour les

comptes Administrateur sensibles
Bien que les comptes d’utilisateur ne soient pas marqués pour la délégation par défaut,
les comptes d’un domaine Active Directory peuvent être approuvés pour la délégation.
Cela signifie qu’un service ou un ordinateur approuvé pour la délégation peut
emprunter l’identité d’un compte qui s’authentifie auprès d’eux afin d’accéder à d’autres
ressources sur le réseau.
Pour les comptes sensibles, tels que ceux appartenant aux membres des groupes
Administrateurs, Admins du domaine ou Administrateurs de l’entreprise dans Active
Directory, la délégation peut présenter un risque important d’élévation des droits. Par
exemple, si un compte du groupe Admins du domaine est utilisé pour se connecter à un
serveur membre compromis pour lequel la délégation est approuvée, ce serveur peut
demander l’accès aux ressources dans le contexte du compte Admins du domaine et
transformer la compromission de ce serveur membre en compromission du domaine.
Il est recommandé de configurer les objets utilisateur pour tous les comptes sensibles
dans Active Directory en cochant la case Le compte est sensible et ne peut pas être
délégué sous Options de compte pour empêcher la délégation de ces comptes. Pour
plus d’informations, consultez Paramètres des comptes locaux par défaut dans Active
Directory.
Comme pour toute modification de configuration, testez entièrement ce paramètre

activé pour vous assurer qu’il fonctionne correctement avant de l’implémenter.
Sécuriser et gérer les contrôleurs de domaine
Il est recommandé d’appliquer strictement des restrictions aux contrôleurs de domaine
de votre environnement. Cela garantit que les contrôleurs de domaine :
exécutent uniquement les logiciels requis ;

exigent que le logiciel soit régulièrement mis à jour ;
sont configurés avec les paramètres de sécurité appropriés.
L’un des aspects de la sécurisation et de la gestion des contrôleurs de domaine consiste

à s’assurer que les comptes d’utilisateur locaux par défaut sont entièrement protégés. Il
est primordial de restreindre et de sécuriser tous les comptes de domaine sensibles,
comme décrit dans les sections précédentes.
Étant donné que les contrôleurs de domaine stockent les hachages de mot de passe des
informations d’identification de tous les comptes du domaine, ils constituent des cibles
de choix pour les utilisateurs malveillants. Lorsque les contrôleurs de domaine ne sont
pas bien gérés et sécurisés à l’aide de restrictions appliquées de manière stricte, ils
peuvent être compromis par des utilisateurs malveillants. Par exemple, un utilisateur
malveillant peut voler des informations d’identification d’administrateur de domaine
sensibles à partir d’un contrôleur de domaine, puis se servir de ces informations
d’identification pour attaquer le domaine et la forêt.
Par ailleurs, les applications installées et les agents de gestion sur les contrôleurs de
domaine peuvent fournir un chemin d’accès à l’élévation des droits, que les utilisateurs
malveillants peuvent utiliser pour compromettre le service de gestion ou les
administrateurs de ce service. Les outils et services de gestion, que votre organisation
utilise pour gérer les contrôleurs de domaine et leurs administrateurs, sont tout aussi
importants pour la sécurité des contrôleurs de domaine et des comptes d’administrateur
de domaine. Assurez-vous que ces services et administrateurs sont pleinement sécurisés
avec un effort égal.
Voir aussi
Principaux de sécurité
Présentation du contrôle d’accès
Groupes d’identité spéciale
Découvrez les groupes d’identité spéciale Windows Server (parfois appelés groupes de
sécurité) utilisés pour le contrôle d’accès Windows.
Qu’est-ce qu’un groupe d’identité spéciale ?

Les groupes d’identité spéciale sont similaires aux groupes de sécurité Active Directory
listés dans les conteneurs Utilisateurs Active Directory et BuiltIn. Les groupes d’identité
spéciale peuvent constituer un moyen efficace d’autoriser l’accès aux ressources de
votre réseau. En utilisant des groupes d’identité spéciale, vous pouvez :
Attribuer des droits d’utilisateur à des groupes de sécurité dans Active Directory.
Attribuer des autorisations à des groupes de sécurité pour accéder aux ressources.
Comment fonctionnent les groupes d’identité

spéciale dans Windows Server
Si un serveur exécute l’une des versions du système d’exploitation Windows Server
indiquée dans la section S’applique à au début de cet article, le serveur a plusieurs
groupes d’identité spéciale. Les groupes d’identité spéciale n’ont pas d’appartenances
spécifiques que vous pouvez modifier, mais ils peuvent représenter différents
utilisateurs à différents moments en fonction des circonstances.
Même si vous pouvez attribuer des droits et des autorisations sur des ressources
spécifiques à un groupe d’identité spéciale, vous ne pouvez pas voir ou modifier
l’appartenance d’un groupe d’identité spéciale. Les étendues de groupe ne s’appliquent
pas aux groupes d’identité spéciale. Les utilisateurs sont automatiquement attribués à
des groupes d’identité spéciale quand ils se connectent ou accèdent à une ressource
spécifique.
Pour plus d’informations sur les groupes de sécurité et les étendues de groupe Active
Directory, consultez Groupes de sécurité Active Directory.
Groupes d’identité spéciale par défaut

Les groupes d’identité spéciale par défaut dans Windows Server sont décrits dans la liste
suivante :
Ouverture de session anonyme

Propriété de clé attestée
Utilisateurs authentifiés
Identité déclarée par l’autorité d’authentification
Batch
Ouverture de session console
Creator Group (GROUPE CREATEUR)
Propriétaire créateur
Accès à distance
Authentification Digest
Contrôleurs de domaine d’entreprise
Contrôleurs de domaine d’entreprise en lecture seule
Tout le monde
Nouvelle identité de clé publique
Interactive
IUSR
Approbation de clé
Service local
LocalSystem
Propriété de clé MFA
Réseau
Service réseau
Authentification NTLM
Autre organisation
Droits de propriétaire
Principal lui-même
Proxy
Contrôleur de domaine en lecture seule
Ouverture de session interactive à distance
Restreint
Authentification SChannel
Service
Identité déclarée par le service
Utilisateur Terminal Server
This Organization (Cette organisation)
Gestionnaire de fenêtres\Groupe Gestionnaire de fenêtres
Ouverture de session anonyme
Tout utilisateur qui accède au système avec une ouverture de session anonyme a
l’identité Ouverture de session anonyme. Cette identité donne un accès anonyme aux
ressources, par exemple, à une page web publiée sur un serveur d’entreprise. Le groupe
Ouverture de session anonyme n’est pas membre du groupe Tout le monde par défaut.
Attribut Valeur
SID/RID connu S-1-5-7
classe d'objet, Principal de sécurité extérieur
Emplacement par défaut dans CN=WellKnown Security Principals, CN=Configuration, DC=

Active Directory <forestRootDomain>
Droits d’utilisateur par défaut None
Propriété de clé attestée

Identificateur de sécurité (SID) qui signifie que l’objet d’approbation de clé a la propriété
attestation.
Attribut Valeur

Utilisateurs authentifiés
Tout utilisateur qui accède au système avec un processus de connexion a l’identité
Utilisateurs authentifiés. Cette identité donne accès aux ressources partagées au sein du
domaine, comme les fichiers d’un dossier partagé qui doivent être accessibles à tous les
travailleurs de l’organisation. L’appartenance est contrôlée par le système d’exploitation.
Attribut Valeur

Attribut Valeur

Droits d’utilisateur par défaut Accéder à cet ordinateur à partir du réseau :

SeNetworkLogonRight
Ajouter des stations de travail au domaine :

SeMachineAccountPrivilege
Ignorer la vérification transversale : SeChangeNotifyPrivilege
Identité déclarée par l’autorité d’authentification

SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à
partir de la preuve de possession des informations d’identification du client.
Attribut Valeur

Batch
Tout utilisateur ou processus qui accède au système sous forme de traitement par lots
ou par la file d’attente de lots a l’identité Traitement par lots. Cette identité autorise les
traitements par lots à exécuter des tâches planifiées, comme un travail de nettoyage
nocturne qui supprime les fichiers temporaires. L’appartenance est contrôlée par le
Attribut Valeur

Droits d’utilisateur par défaut aucun

Ouverture de session console
Groupe qui comprend les utilisateurs connectés à la console physique. Ce SID peut être
utilisé pour implémenter des stratégies de sécurité qui accordent des droits différents
selon que l’utilisateur a ou non obtenu un accès physique à la console.
Attribut Valeur

Creator Group (GROUPE CREATEUR)

La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité
spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder
automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire.
Un SID d’espace réservé est créé dans une entrée de contrôle d’accès (ACE) pouvant être
héritée. Quand l’ACE est héritée, le système remplace ce SID par celui du groupe
principal du propriétaire actuel de l’objet. Le groupe principal est utilisé uniquement par
le sous-système POSIX.
Attribut Valeur

Creator Owner (Créateur propriétaire)

La personne qui a créé un fichier ou un répertoire est membre de ce groupe d’identité
spéciale. Le système d’exploitation Windows Server utilise cette identité pour accorder
automatiquement des autorisations d’accès au créateur d’un fichier ou d’un répertoire.
Un SID d’espace réservé est créé dans une ACE pouvant être héritée. Quand l’ACE est
héritée, le système remplace ce SID par celui du propriétaire actuel de l’objet.
Attribut Valeur

Dialup (LIGNE)
Tout utilisateur qui accède au système avec une connexion d’accès à distance a l’identité
Accès à distance. Cette identité distingue les utilisateurs d’accès à distance des autres
types d’utilisateurs authentifiés.
Attribut Valeur

Authentification Digest
Attribut Valeur
SID/RID connu S-1-5-64-21

Contrôleurs de domaine d’entreprise

Ce groupe comprend tous les contrôleurs de domaine d’une forêt Active Directory. Les
contrôleurs de domaine avec des rôles et des responsabilités à l’échelle de l’entreprise
ont l’identité Contrôleurs de domaine d’entreprise. Cette identité permet aux
contrôleurs de domaine d’effectuer certaines tâches dans l’entreprise en utilisant les
approbations transitives. L’appartenance est contrôlée par le système d’exploitation.
Attribut Valeur


SeNetworkLogonRight
Autoriser l’ouverture de session localement :

SeInteractiveLogonRight

Ce groupe comprend tous les contrôleurs de domaine d’une forêt Active Directory. Les
contrôleurs de domaine avec des rôles et des responsabilités à l’échelle de l’entreprise
ont l’identité Contrôleurs de domaine d’entreprise. À l’exception des mots de passe de
compte, un contrôleur de domaine en lecture seule (RODC) contient tous les objets et
attributs Active Directory d’un contrôleur de domaine accessible en écriture.
L’appartenance est contrôlée par le système d’exploitation.
Attribut Valeur
SID/RID connu S-1-5-21-<RootDomain>

Tout le monde
Tous les utilisateurs interactifs, réseau, avec accès à distance et authentifiés sont
membres du groupe Tout le monde. Ce groupe d’identité spéciale donne un accès large
aux ressources système. Chaque fois qu’un utilisateur se connecte au réseau, il est
ajouté automatiquement au groupe Tout le monde. L’appartenance est contrôlée par le
Sur les ordinateurs qui exécutent Windows 2000 et versions antérieures, le groupe Tout
le monde est un membre par défaut. À compter de Windows Server 2003, le groupe
Tout le monde contient uniquement Utilisateurs authentifiés et Invités. Le groupe ne
comprend plus Ouverture de session anonyme par défaut. Pour changer le paramètre de
groupe Tout le monde pour y ajouter le groupe Ouverture de session anonyme, dans
l’Éditeur du Registre, accédez à la clé
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa et
définissez la valeur du DWORD everyoneincludesanonymous sur 1.
Attribut Valeur


SeNetworkLogonRight
Agir en tant que partie du système d’exploitation :

SeTcbPrivilege
Nouvelle identité de clé publique

SID qui signifie que l’identité du client est déclarée par une autorité d’authentification à
partir de la preuve de possession des informations d’identification de clé publique du
client.
Attribut Valeur


Interactive
Tout utilisateur connecté au système local a l’identité Interactif. Cette identité permet
uniquement aux utilisateurs locaux d’accéder à une ressource. Chaque fois qu’un
utilisateur accède à une ressource donnée sur l’ordinateur auquel il est connecté, il est
ajouté automatiquement au groupe Interactif. L’appartenance est contrôlée par le
Attribut Valeur

IUSR
Internet Information Services (IIS) utilise ce compte par défaut quand l’authentification
anonyme est activée.
Attribut Valeur

Approbation de clé
SID qui signifie que l’identité du client est basée sur la preuve de possession des
informations d’identification de clé publique en utilisant l’objet d’approbation de clé.
Attribut Valeur

Attribut Valeur

Service local
Le compte Service local est similaire au compte Utilisateur authentifié. Les membres du
compte Service local ont le même niveau d’accès aux ressources et aux objets que les
membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité pour
le système, au cas où le fonctionnement de services ou de processus donnés vient à être
compromis. Les services qui s’exécutent sous le compte Service local accèdent aux
ressources réseau dans une session null avec des informations d’identification
anonymes. Le nom du compte est NT AUTHORITY\LocalService. Ce compte n’a pas de
mot de passe.
Attribut Valeur

Droits d’utilisateur par défaut Ajuster les quotas de mémoire d’un processus :
SeIncreaseQuotaPrivilege
Changer l’heure système : SeSystemtimePrivilege
Changer le fuseau horaire : SeTimeZonePrivilege
Créer des objets globaux : SeCreateGlobalPrivilege
Générer des audits de sécurité : SeAuditPrivilege
Emprunter l’identité d’un client après l’authentification :

SeImpersonatePrivilege
Remplacer un jeton de niveau processus :

SeAssignPrimaryTokenPrivilege
LocalSystem
Le compte LocalSystem est un compte de service utilisé par le système d’exploitation. Le
compte LocalSystem est un compte puissant qui a un accès complet au système et
représente l’ordinateur sur le réseau. Si un service se connecte au compte LocalSystem
sur un contrôleur de domaine, ce service a accès à l’ensemble du domaine. Certains
services sont configurés par défaut pour se connecter au compte LocalSystem. Ne
changez pas le paramètre de service par défaut. Le nom du compte est LocalSystem. Ce
compte n’a pas de mot de passe.
Attribut Valeur

Propriété de clé MFA

SID qui signifie que l’objet d’approbation de clé a la propriété d’authentification
multifacteur (MFA).
Attribut Valeur

Réseau
Ce groupe comprend implicitement tous les utilisateurs connectés avec une connexion
réseau. Tout utilisateur qui accède au système sur un réseau a l’identité Réseau. Cette
identité permet uniquement aux utilisateurs distants d’accéder à une ressource. Chaque
fois qu’un utilisateur accède à une ressource sur le réseau, il est ajouté
automatiquement au groupe Réseau. L’appartenance est contrôlée par le système
d’exploitation.
Attribut Valeur

Service réseau
Le compte Service réseau est similaire au compte Utilisateur authentifié. Les membres
du compte Service réseau ont le même niveau d’accès aux ressources et aux objets que
les membres du groupe Utilisateurs. Cet accès limité constitue une mesure de sécurité
pour le système, au cas où le fonctionnement de services ou de processus donnés vient
à être compromis. Les services qui exécutent le compte de service réseau accèdent aux
ressources réseau à l'aide des informations d'identification du compte d'ordinateur. Le
nom du compte est NT AUTHORITY\NetworkService. Ce compte n’a pas de mot de
passe.
Attribut Valeur

Droits d’utilisateur par défaut Ajuster les quotas de mémoire d’un processus :
SeIncreaseQuotaPrivilege
Générer des audits de sécurité : SeAuditPrivilege

Remplacer un jeton de niveau processus :

SeAssignPrimaryTokenPrivilege
Authentification NTLM
Attribut Valeur

Autre organisation
Ce groupe comprend implicitement tous les utilisateurs connectés au système avec une
connexion d’accès à distance. L’appartenance est contrôlée par le système
d’exploitation.
Attribut Valeur

Droits de propriétaire
Le groupe Droits de propriétaire représente le propriétaire actuel de l’objet. Quand une
ACE qui porte ce SID est appliquée à un objet, le système ignore les autorisations
implicites READ_CONTROL et WRITE_DAC du propriétaire de l’objet.
Attribut Valeur


Principal lui-même
Cette identité est un espace réservé dans une ACE pour un utilisateur, un groupe ou un
objet ordinateur dans Active Directory. Quand vous accordez des autorisations à
Principal lui-même, vous les accordez au principal de sécurité représenté par l’objet.
Pendant une vérification d’accès, le système d’exploitation remplace le SID de Principal
lui-même par le SID du principal de sécurité représenté par l’objet.
Attribut Valeur

Proxy
Identifie un proxy SECURITY_NT_AUTHORITY.
Attribut Valeur

Contrôleur de domaine en lecture seule

Ce groupe comprend tous les contrôleurs de domaine en lecture seule de la forêt qui
ont des droits en lecture seule sur la base de données Active Directory. Il permet le
déploiement de contrôleurs de domaine quand la sécurité physique est faible ou non
garantie. L’appartenance est contrôlée par le système d’exploitation.
Attribut Valeur
SID/RID connu S-1-5-21-<domain>

Attribut Valeur

７ Notes
Le groupe Réplication de mot de passe RODC refusée est créé automatiquement

quand un compte RODC est créé dans la forêt. Les mots de passe ne peuvent pas
être répliqués dans le groupe Réplication de mot de passe RODC refusée.
Ouverture de session interactive à distance

Cette identité représente tous les utilisateurs actuellement connectés à un ordinateur
avec une connexion de protocole RDP (Remote Desktop Protocol). Ce groupe est un
sous-ensemble du groupe Interactif. Les jetons d’accès qui contiennent le SID Ouverture
de session interactive à distance contiennent également le SID Interactif.
Attribut Valeur

Limitées
Les utilisateurs et les ordinateurs avec des fonctionnalités restreintes ont l’identité
Restreint. Ce groupe d’identité est utilisé par un processus qui s’exécute dans un
contexte de sécurité restreint, comme l’exécution d’une application avec le service
RunAs. Quand le code s’exécute au niveau de sécurité Restreint, le SID Restreint est
ajouté au jeton d’accès de l’utilisateur.
Attribut Valeur

Attribut Valeur

Authentification SChannel
Attribut Valeur

Droits d’utilisateur par défaut Aucun
Service
Tout service qui accède au système a l’identité Service. Ce groupe d’identité comprend
tous les principaux de sécurité qui sont connectés en tant que service. Cette identité
accorde l’accès aux processus exécutés par les services Windows Server. L’appartenance
est contrôlée par le système d’exploitation.
Attribut Valeur

Droits d’utilisateur par défaut Créer des objets globaux : SeCreateGlobalPrivilege

Identité déclarée par le service

SID qui signifie que l’identité du client est déclarée par un service.
Attribut Valeur

Utilisateur Terminal Server

Tout utilisateur qui accède au système avec des services Terminal Server a l’identité
Utilisateur Terminal Server. Cette identité permet aux utilisateurs d’accéder aux
applications Terminal Server et d’effectuer d’autres tâches nécessaires avec les services
Terminal Server. L’appartenance est contrôlée par le système d’exploitation.
Attribut Valeur

This Organization (Cette organisation)
Attribut Valeur

Gestionnaire de fenêtres\Groupe Gestionnaire de fenêtres

Attribut Valeur

Droits d’utilisateur par défaut Ignorer la vérification transversale : SeChangeNotifyPrivilege
Augmenter une plage de travail de processus :

SeIncreaseWorkingSetPrivilege
Voir aussi
Groupes de sécurité Active Directory

Groupes de sécurité Active Directory
Découvrez les groupes de sécurité, l’étendue de groupe et les fonctions de groupe

Active Directory par défaut.
Qu’est-ce qu’un groupe de sécurité dans Active

Directory ?
Active Directory a deux formes de principaux de sécurité courants : les comptes
d’utilisateur et les comptes d’ordinateur. Ces comptes représentent une entité physique
qui est une personne ou un ordinateur. Un compte d’utilisateur peut également être
utilisé comme compte de service dédié pour certaines applications.
Les groupes de sécurité sont un moyen de rassembler des comptes d’utilisateur, des
comptes d’ordinateur et d’autres groupes dans des unités gérables.
Dans le système d’exploitation Windows Server, plusieurs comptes et groupes de

sécurité intégrés sont préconfigurés avec les droits et autorisations appropriés pour
effectuer des tâches spécifiques. Dans Active Directory, les responsabilités
administratives sont séparées et accordées à deux types d’administrateurs :
Administrateurs de service : ils sont responsables de la maintenance et de la

distribution des services de domaine Active Directory (AD DS), notamment de la
gestion des contrôleurs de domaine et de la configuration d’AD DS.
Administrateurs de données : ils sont responsables de la maintenance des

données stockées dans AD DS et sur les serveurs et stations de travail membres du
domaine.
Fonctionnement des groupes de sécurité Active

Directory
Utilisez des groupes pour rassembler des comptes d’utilisateur, des comptes
d’ordinateur et d’autres groupes dans des unités gérables. Travailler avec des groupes
plutôt qu’avec des utilisateurs individuels vous permet de simplifier la maintenance et
l’administration du réseau.
Active Directory a deux types de groupes :
Groupes de sécurité : utilisez-les pour affecter des autorisations à des ressources

partagées.
Groupes de distribution : utilisez-les pour créer des listes de distribution d’e-mails.
Groupes de sécurité
Les groupes de sécurité peuvent constituer un moyen efficace d’autoriser l’accès aux
ressources de votre réseau. Grâce aux groupes de sécurité, vous pouvez :
Attribuer des droits de l’utilisateur à des groupes de sécurité dans AD DS.
Attribuer des droits de l’utilisateur à un groupe de sécurité pour déterminer ce que

peuvent faire les membres de ce groupe au sein de l’étendue d’un domaine ou
d’une forêt. Des droits de l’utilisateur sont attribués automatiquement à certains
groupes de sécurité lorsqu’Active Directory est installé, afin d’aider les
administrateurs à définir le rôle administratif d’une personne dans un domaine.
Par exemple, un utilisateur que vous ajoutez au groupe Opérateurs de sauvegarde

dans Active Directory peut sauvegarder et restaurer des fichiers et des répertoires
situés sur chaque contrôleur de domaine du domaine. L’utilisateur peut effectuer
ces actions car, par défaut, les droits de l’utilisateur Sauvegarder les fichiers et les
répertoires et Restaurer les fichiers et les répertoires sont attribués
automatiquement au groupe Opérateurs de sauvegarde. Par conséquent, les
membres de ce groupe héritent des droits de l’utilisateur qui sont attribués à ce
groupe.
Vous pouvez utiliser Stratégie de groupe pour attribuer des droits de l’utilisateur à
des groupes de sécurité afin de déléguer des tâches spécifiques. Pour plus
d’informations sur l’utilisation de Stratégie de groupe, consultez Attribution de
droits de l’utilisateur.
Attribuer des autorisations à des groupes de sécurité pour des ressources.
Les autorisations sont différentes des droits d’utilisateurs. Les autorisations sont
attribuées à un groupe de sécurité pour une ressource partagée. Les autorisations
déterminent qui peut accéder à la ressource ainsi que le niveau d’accès, par
exemple Contrôle total ou Lecture. Certaines autorisations définies sur des objets
de domaine sont attribuées automatiquement afin d’accorder divers niveaux
d’accès aux groupes de sécurité par défaut, tels que les groupes Opérateurs de
compte ou Admins du domaine.
Les groupes de sécurité figurent dans des listes de contrôle d’accès discrétionnaire
(DACL) qui définissent des autorisations sur les ressources et les objets. Lorsque les
administrateurs attribuent des autorisations pour des ressources telles que des
partages de fichiers ou des imprimantes, ils doivent attribuer ces autorisations à un
groupe de sécurité plutôt qu’à des utilisateurs individuels. Les autorisations sont
attribuées une seule fois au groupe, plutôt que plusieurs fois à chaque utilisateur
individuel. Chaque compte ajouté à un groupe reçoit les droits qui sont attribués à
ce groupe dans Active Directory. L’utilisateur reçoit des autorisations qui sont
définies pour ce groupe.
Vous pouvez utiliser un groupe de sécurité en tant qu’entité d’e-mail. L’envoi d’un e-
mail à un groupe de sécurité entraîne l’envoi du message à tous les membres du
groupe.
Groupes de distribution
Vous pouvez utiliser des groupes de distribution uniquement pour envoyer des e-mails
à des collections d’utilisateurs à l’aide d’une application d’e-mail telle qu’Exchange
Server. Les groupes de distribution ne sont pas activés pour la sécurité. Vous ne pouvez
donc pas les inclure dans des listes DACL.
Étendue du groupe
Chaque groupe a une étendue qui identifie le degré d’application du groupe dans la
forêt ou l’arborescence de domaine. L’étendue d’un groupe définit où, dans le réseau,
les autorisations peuvent être accordées pour le groupe. Active Directory définit les trois
étendues de groupe suivantes :
Universal
Global
Domaine local
７ Notes
En plus de ces trois étendues, les groupes par défaut dans le conteneur Builtin ont
une étendue de groupe Builtin Local. Cette étendue de groupe et ce type de
groupe ne peuvent pas être modifiés.
Le tableau suivant décrit les trois étendues de groupe et leur fonctionnement en tant
que groupes de sécurité :
Étendue Membres Conversion Peut accorder Membre possible de
possibles d’étendue des
autorisations
Universal Comptes de Peut être convertie Sur n’importe Autres groupes Universel
n’importe quel en étendue quel domaine dans la même forêt
domaine dans Domaine local si le de la même Groupes Domaine local
la même forêt groupe n’est forêt ou de dans la même forêt ou des
Groupes membre d’aucun forêts autorisées forêts autorisées à
globaux de autre groupe à approuver approuver
n’importe quel Universel
domaine dans Peut être convertie Groupes locaux sur les
la même forêt en étendue Global ordinateurs dans la même
si le groupe ne forêt ou des forêts
Autres groupes contient aucun autorisées à approuver
Universel de autre groupe
n’importe quel Universel
domaine dans
la même forêt
Global Comptes du Peut être convertie Sur n’importe Groupes Universel de

même en étendue quel domaine n’importe quel domaine
domaine Universel si le de la même dans la même forêt
Autres groupes groupe n’est forêt, ou forêts Autres groupes Global du
Global du membre d’aucun ou domaines même domaine
même autre groupe autorisés à
domaine Global approuver Groupes Domaine local de
n’importe quel domaine
dans la même forêt ou de
n’importe quel domaine
autorisé à approuver
Étendue Membres Conversion Peut accorder Membre possible de
possibles d’étendue des
autorisations
Domaine Comptes de Peut être convertie Dans le même Autres groupes Domaine
local n’importe quel en étendue domaine local du même domaine
domaine ou Universel si le Groupes locaux sur les
domaine groupe ne contient ordinateurs du même
autorisé à aucun autre domaine, à l’exclusion des
approuver groupe Domaine groupes intégrés qui ont
Groupes Global local des identificateurs de
de n’importe sécurité (SID) connus
quel domaine
ou domaine
autorisé à
approuver
Groupes
Universel de
n’importe quel
domaine dans
la même forêt
Autres groupes
Domaine local
du même
domaine
Comptes,
groupes Global
et groupes
Universel
d’autres forêts
et de domaines
externes
Groupes d’identités spéciales

Les identités spéciales sont appelées « groupes ». Les groupes d’identités spéciales n’ont
pas d’appartenances spécifiques que vous pouvez modifier, mais ils peuvent représenter
différents utilisateurs à différents moments en fonction des circonstances. Parmi ces
groupes figurent Créateur propriétaire, Lot et Utilisateur authentifié.
Pour plus d’informations, consultez Groupes d’identités spéciales.
Groupes de sécurité par défaut

Les groupes par défaut tels que le groupe Admins du domaine sont des groupes de
sécurité créés automatiquement lorsque vous créez un domaine Active Directory. Vous
pouvez utiliser ces groupes prédéfinis pour contrôler l'accès aux ressources partagées et
pour déléguer les rôles administratifs spécifiques dans l'ensemble du domaine.
Un jeu de droits de l’utilisateur qui autorise les membres d’un groupe à effectuer des
actions spécifiques dans un domaine, par exemple se connecter à un système local ou
sauvegarder des dossiers et des fichiers, est attribué automatiquement à de nombreux
groupes par défaut. Par exemple, un membre du groupe Opérateurs de sauvegarde
peut effectuer des opérations de sauvegarde pour tous les contrôleurs de domaine du
domaine.
Lorsque vous ajoutez un utilisateur à un groupe, cet utilisateur reçoit tous les droits de
l’utilisateur attribués au groupe, y compris toutes les autorisations attribuées au groupe
pour les éventuelles ressources partagées.
Les groupes par défaut se trouvent dans le conteneur Builtin et dans le conteneur Users
dans Utilisateurs et ordinateurs Active Directory. Le conteneur Builtin inclut des groupes
qui sont définis avec l’étendue Domaine local. Le conteneur Users inclut des groupes
définis avec une étendue Global et des groupes définis avec une étendue Domaine local.
Vous pouvez déplacer les groupes figurant dans ces conteneurs vers d’autres groupes
ou unités d’organisation au sein du domaine, mais vous ne pouvez pas les déplacer vers
d’autres domaines.
Certains des groupes d’administration listés dans cet article et tous les membres de ces
groupes sont protégés par un processus en arrière-plan qui recherche et applique
régulièrement un descripteur de sécurité spécifique. Ce descripteur est une structure de
données qui contient les informations de sécurité associées à un objet protégé. Ce
processus garantit que toute tentative non autorisée et réussie de modification du
descripteur de sécurité sur l’un des comptes d’administration ou groupes est remplacée
par les paramètres protégés.
Le descripteur de sécurité est présent sur l’objet AdminSDHolder. Si vous souhaitez

modifier les autorisations sur l’un des groupes d’administrateurs de service ou sur l’un
de ses comptes membres, vous devez modifier le descripteur de sécurité sur l’objet
AdminSDHolder afin qu’il soit appliqué de manière cohérente. Soyez prudent lorsque
vous apportez ces modifications, car vous modifiez également les paramètres par défaut
appliqués à tous vos comptes d’administration protégés.
Groupes de sécurité Active Directory par défaut

La liste suivante fournit des descriptions des groupes par défaut qui se trouvent dans les
conteneurs Builtin et Users dans Active Directory :
Opérateurs d’assistance de contrôle d’accès

Opérateurs de compte
Administrateurs
Groupe de réplication dont le mot de passe RODC est autorisé
Opérateurs de sauvegarde
Accès DCOM au service de certificats
Contrôleurs de domaine clonables
Opérateurs de chiffrement
Groupe de réplication dont le mot de passe RODC est refusé
Propriétaires d’appareils
Administrateurs DHCP
Utilisateurs DHCP
Utilisateurs du modèle COM distribué
DnsUpdateProxy
DnsAdmins
Ordinateurs du domaine
Invités du domaine
Enterprise Key Admins
Lecteurs des journaux d’événements
Propriétaires créateurs de la stratégie de groupe
Invités
Administrateurs Hyper-V
IIS_IUSRS
Générateurs d’approbation de forêt entrante
Administrateurs de clés
Opérateurs de configuration réseau
Utilisateurs du journal des performances
Utilisateurs de l’Analyseur de performances
Accès compatible pré-Windows 2000
Opérateurs d'impression
Utilisateurs protégés
Serveurs RAS et IAS
Serveurs de points de terminaison...
Serveurs Gestion RDS
Serveurs Accès Distant RDS
Contrôleurs de domaine en lecture seule
Utilisateurs du Bureau à distance
Utilisateurs de gestion à distance
Duplicateur
Administrateurs de réplica de stockage
System Managed Accounts
Serveurs de licences des services Terminal Server
Utilisateurs
Groupe d’accès d’autorisation Windows
WinRMRemoteWMIUsers_
Opérateurs d’assistance de contrôle d’accès

Les membres de ce groupe peuvent interroger à distance les attributs d’autorisation et
les autorisations pour les ressources sur l’ordinateur.
Le groupe Opérateurs d’assistance de contrôle d’accès s’applique au système

d’exploitation Windows Server indiqué dans le tableau Groupes de sécurité Active
Directory par défaut.
Attribut Valeur
Type Builtin Local
Conteneur par défaut CN=Builtin, DC=

<domaine>, DC=
Membre par défaut de None
Protégé par AdminSDHolder ? Non
Sortie du conteneur par défaut sécurisée ? Déplacement impossible
Délégation de la gestion de ce groupe à des administrateurs

extérieurs au service sécurisée ?

Opérateurs de compte
Le groupe Opérateurs de compte accorde des privilèges de création de compte limités à
un utilisateur. Les membres de ce groupe peuvent créer et modifier la plupart des types
de comptes, y compris les comptes pour les utilisateurs, les groupes Local et les groupes
Global. Les membres du groupe peuvent se connecter localement aux contrôleurs de
domaine.
Les membres du groupe Opérateurs de compte ne peuvent pas gérer le compte

d’utilisateur Administrateur, les comptes d’utilisateur des administrateurs ou les groupes
Administrateurs, Opérateurs de serveur, Opérateurs de compte, Opérateurs de
sauvegarde ou Opérateurs d’impression. Les membres de ce groupe ne peuvent pas
modifier les droits de l’utilisateur.
Le groupe Opérateurs de compte s’applique au système d’exploitation Windows Server

indiqué dans la liste Groupes de sécurité Active Directory par défaut.
７ Notes
Par défaut, ce groupe intégré n’a aucun membre. Le groupe peut créer et gérer des
utilisateurs et des groupes dans le domaine, y compris sa propre appartenance et
celle du groupe Opérateurs de serveur. Ce groupe est considéré comme un groupe
d’administrateurs de service, car il peut modifier les opérateurs de serveur, qui à
leur tour peuvent modifier les paramètres du contrôleur de domaine. Il est
recommandé de laisser l’appartenance à ce groupe vide et de ne pas l’utiliser pour
une administration déléguée. Ce groupe ne peut pas être renommé ou supprimé.
Attribut Valeur
Type Builtin Local
Conteneur par défaut CN=Builtin, DC=<domaine>, DC=
Protégé par AdminSDHolder ? Oui
Délégation de la gestion de ce groupe à des Non

administrateurs extérieurs au service sécurisée ?
Attribut Valeur
Droits d’utilisateur par défaut Autoriser la connexion locale :

Administrateurs
Les membres du groupe Administrateurs ont un accès total et sans restriction à
l’ordinateur. Si l’ordinateur est promu contrôleur de domaine, les membres du groupe
Administrateurs disposent d’un accès sans restriction au domaine.
Le groupe Administrateurs s’applique au système d’exploitation Windows Server indiqué

dans la liste Groupes de sécurité Active Directory par défaut.
７ Notes
Le groupe Administrateurs dispose de fonctionnalités intégrées qui accordent à ses

membres un contrôle total sur le système. Ce groupe ne peut pas être renommé ou
supprimé. Ce groupe intégré contrôle l’accès à tous les contrôleurs de domaine de
son domaine, et peut modifier l’appartenance à tous les groupes d’administration.
Les membres des groupes suivants peuvent modifier l’appartenance au groupe
Administrateurs : Administrateurs de service par défaut, Admins du domaine dans
le domaine et Administrateurs de l’entreprise. Ce groupe a le privilège spécial de
prendre possession de n’importe quel objet de l’annuaire ou de toute ressource sur
un contrôleur de domaine. Ce compte est considéré comme un groupe
d’administrateurs de service, car ses membres disposent d’un accès complet aux
contrôleurs de domaine dans le domaine.
Ce groupe de sécurité inclut les modifications suivantes à compter de Windows

Server 2008 :
Modifications des droits de l’utilisateur par défaut : Autoriser l’ouverture de session

par les services Terminal Server existait dans Windows Server 2008, et il a été
remplacé par Autoriser l’ouverture de session par les services Bureau à distance.
Retirer l’ordinateur de la station d’accueil a été supprimé dans Windows

Server 2012 R2.
Attribut Valeur

Attribut Valeur
Type Builtin Local
Membres par défaut Administrateur, Admins du domaine, Administrateurs

de l’entreprise
Sortie du conteneur par défaut sécurisée Déplacement impossible

?
Délégation de la gestion de ce groupe à Non

des administrateurs extérieurs au service
sécurisée ?
Droits d’utilisateur par défaut Changer les quotas de mémoire d’un processus :
(SeIncreaseQuotaPrivilege)
Accéder à cet ordinateur à partir du réseau :

SeNetworkLogonRight
Autoriser la connexion localement :


Bureau à distance : SeRemoteInteractiveLogonRight
Sauvegarder les fichiers et les répertoires :

SeBackupPrivilege
Ignorer la vérification transversale :

(SeChangeNotifyPrivilege)
Modifier l’heure système : SeSystemTimePrivilege
Modifier le fuseau horaire : SeTimeZonePrivilege
Créer un fichier d’échange : SeCreatePagefilePrivilege
Créer des liens symboliques :

SeCreateSymbolicLinkPrivilege
Déboguer des programmes : SeDebugPrivilege

d’être approuvés pour la délégation :
Attribut Valeur
SeEnableDelegationPrivilege
Forcer l’arrêt à partir d’un système distant :

SeRemoteShutdownPrivilege
Emprunter l’identité d’un client après

authentification : (SeImpersonatePrivilege)
Augmenter la priorité de planification :

(SeIncreaseBasePriorityPrivilege)
Charger et décharger les pilotes de périphériques :

SeLoadDriverPrivilege
Ouvrir une session en tant que tâche :

SeBatchLogonRight
Gérer le journal d’audit et de sécurité :

SeSecurityPrivilege
Modifier les valeurs d’environnement du

microprogramme : SeSystemEnvironmentPrivilege
Effectuer des tâches de maintenance en volume :

SeManageVolumePrivilege
Performance système du profil :

SeSystemProfilePrivilege
Processus unique du profil :

SeProfileSingleProcessPrivilege
Retirer l’ordinateur de la station d’accueil :

SeUndockPrivilege
Restaurer les fichiers et les répertoires :

SeRestorePrivilege
Arrêter le système : SeShutdownPrivilege
Prendre possession de fichiers ou d’autres objets :

SeTakeOwnershipPrivilege
Groupe de réplication dont le mot de passe RODC est

autorisé
L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de
passe de contrôleur de domaine en lecture seule (RODC). Ce groupe n’a aucun membre
par défaut, et il a comme conséquence que les nouveaux contrôleurs de domaine ne
mettent pas en cache les informations d’identification utilisateur. Le Groupe de
réplication dont le mot de passe RODC est refusé contient différents groupes de
sécurité et comptes à privilèges élevés. Le Groupe de réplication dont le mot de passe
RODC est refusé l’emporte sur le Groupe de réplication dont le mot de passe RODC est
autorisé.
Le Groupe de réplication dont le mot de passe RODC est autorisé s’applique au système
d’exploitation Windows Server indiqué dans Groupes de sécurité Active Directory par
défaut.
Attribut Valeur
SID/RID connu S-1-5-21-

<domaine>-571
Type Domaine local
Conteneur par défaut CN=Users DC=

<domaine>, DC=
Délégation de la gestion de ce groupe à des administrateurs extérieurs

au service sécurisée ?
Opérateurs de sauvegarde
Les membres du groupe Opérateurs de sauvegarde peuvent sauvegarder et restaurer
tous les fichiers sur un ordinateur, quelles que soient les autorisations qui protègent ces
fichiers. Les Opérateurs de sauvegarde peuvent également se connecter à l’ordinateur et
l’arrêter. Ce groupe ne peut pas être renommé ou supprimé. Par défaut, ce groupe
intégré n’a aucun membre, et il peut effectuer des opérations de sauvegarde et de
restauration sur les contrôleurs de domaine. Les membres des groupes suivants peuvent
modifier l’appartenance au groupe Opérateurs de sauvegarde : Administrateurs de
service par défaut, Admins du domaine dans le domaine et Administrateurs de
l’entreprise. Les membres du groupe Opérateurs de sauvegarde ne peuvent pas
modifier l’appartenance à des groupes d’administration. Bien que les membres de ce
groupe ne puissent pas modifier les paramètres de serveur ou la configuration de
l’annuaire, ils disposent des autorisations nécessaires pour remplacer les fichiers (y
compris les fichiers de système d’exploitation) sur les contrôleurs de domaine. Étant
donné que les membres de ce groupe peuvent remplacer des fichiers sur des
contrôleurs de domaine, ils sont considérés comme des administrateurs de service.
Le groupe Opérateurs de sauvegarde s’applique au système d’exploitation Windows

Server indiqué dans Groupes de sécurité Active Directory par défaut.
Attribut Valeur
Type Builtin Local

Droits d’utilisateur par défaut Autoriser la connexion localement :

Sauvegarder les fichiers et les

répertoires : SeBackupPrivilege
Ouvrir une session en tant que tâche :

SeBatchLogonRight
Restaurer les fichiers et les

répertoires : SeRestorePrivilege
Arrêter le système :
SeShutdownPrivilege
Accès DCOM au service de certificats

Les membres de ce groupe peuvent se connecter aux autorités de certification de
l’entreprise.
Le groupe Accès DCOM service de certificats s’applique au système d’exploitation

Windows Server indiqué dans Groupes de sécurité Active Directory par défaut.
Attribut Valeur

<domaine>-574
Type Domaine local

<domaine>, DC=

Les membres du groupe Éditeurs de certificats sont autorisés à publier des certificats
pour les objets Utilisateur dans Active Directory.
Le groupe Éditeurs de certificats s’applique au système d’exploitation Windows Server

indiqué dans Groupes de sécurité Active Directory par défaut.
Attribut Valeur
SID/RID connu S-1-5-21-<domaine>-517
Type Domaine local
Conteneur par défaut CN=Users, DC=<domaine>, DC=
Membre par défaut de Groupe de réplication dont le mot de

passe RODC est refusé

Attribut Valeur
Contrôleurs de domaine clonables

Les membres du groupe Contrôleurs de domaine clonables qui sont des contrôleurs de
domaine peuvent être clonés. Dans Windows Server 2012 R2 et Windows Server 2012,
vous pouvez déployer des contrôleurs de domaine en copiant un contrôleur de domaine
virtuel existant. Dans un environnement virtuel, vous n’avez plus besoin de déployer à
plusieurs reprises une image de serveur préparée à l’aide de Sysprep.exe, de promouvoir
le serveur en contrôleur de domaine, puis de satisfaire d’autres exigences de
configuration pour le déploiement de chaque contrôleur de domaine (y compris l’ajout
du contrôleur de domaine virtuel à ce groupe de sécurité).
Pour plus d'informations, voir Présentation de la virtualisation des services de domaine

Active Directory (AD DS) (niveau 100).
Attribut Valeur

<domaine>-522
Type Global
Conteneur par défaut CN=Users, DC=

<domaine>, DC=

Opérateurs de chiffrement
Les membres de ce groupe sont autorisés à réaliser des opérations de chiffrement. Ce
groupe de sécurité a été ajouté dans Windows Vista Service Pack 1 (SP1) pour
configurer le Pare-feu Windows pour IPsec en mode Critères communs.
Le groupe Opérateurs de chiffrement s’applique au système d’exploitation Windows
Ce groupe de sécurité a été introduit dans Windows Vista SP1, et il n’a pas changé dans
les versions suivantes.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Groupe de réplication dont le mot de passe RODC est

refusé
Les mots de passe des membres du Groupe de réplication dont le mot de passe RODC
est refusé ne peuvent pas être répliqués sur un contrôleur de domaine.
L’objectif de ce groupe de sécurité est de gérer une stratégie de réplication de mot de

passe RODC. Ce groupe contient différents groupes de sécurité et comptes à privilèges
élevés. Le Groupe de réplication dont le mot de passe RODC est refusé l’emporte sur le
Groupe de réplication dont le mot de passe RODC est autorisé.

Server 2008 :
Dans Windows Server 2012, les membres par défaut ont été changés de façon à
inclure Éditeurs de certificats.
Attribut Valeur
Attribut Valeur
Type Domaine local
Conteneur par défaut CN=Users, DC=<domaine>,

DC=
Membres par défaut Éditeurs de certificats
Propriétaires créateurs de la
Contrôleurs de domaine en
lecture seule
Sortie du conteneur par défaut sécurisée ?

Propriétaires d’appareils
Lorsque le groupe Propriétaires d’appareils n’a aucun membre, nous vous
recommandons de ne pas modifier la configuration par défaut de ce groupe de sécurité.
La modification de la configuration par défaut peut entraver les scénarios ultérieurs qui
s’appuient sur ce groupe. Le groupe Propriétaires d’appareils n’est actuellement pas
utilisé dans Windows.
Le groupe Propriétaires d’appareils s’applique au système d’exploitation Windows

Attribut Valeur
Attribut Valeur
Type Builtin Local
Sortie du conteneur par défaut sécurisée ? Vous pouvez déplacer le groupe, mais
nous vous le déconseillons


Accéder à cet ordinateur à partir du

réseau : SeNetworkLogonRight
Ignorer la vérification transversale :

(SeChangeNotifyPrivilege)
Modifier le fuseau horaire :

SeTimeZonePrivilege
Administrateurs DHCP
Les membres du groupe Administrateurs DHCP peuvent créer, supprimer et gérer
différentes zones de l’étendue du serveur, y compris les droits de sauvegarde et de
restauration de la base de données DHCP (Dynamic Host Configuration Protocol). Même
si ce groupe dispose de droits d’administration, il ne fait pas partie du groupe
Administrateurs car ce rôle est limité aux services DHCP.
Le groupe Administrateurs DHCP s’applique au système d’exploitation Windows Server

Attribut Valeur
SID/RID connu S-1-5-21-<domaine>
Type Builtin Local

Attribut Valeur
Membre par défaut de Utilisateurs

Utilisateurs DHCP
Les membres du groupe Utilisateurs DHCP peuvent voir quelles étendues sont actives
ou inactives, voir quelles adresses IP sont affectées, et afficher les problèmes de
connectivité si le serveur DHCP n’est pas configuré correctement. Ce groupe est limité à
l’accès en lecture seule au serveur DHCP.
Le groupe Utilisateurs DHCP s’applique au système d’exploitation Windows Server

Attribut Valeur
SID/RID connu S-1-5-21-<domaine>
Type Builtin Local


Utilisateurs du modèle COM distribué
Les membres du groupe Utilisateurs du modèle COM distribué peuvent lancer, activer et
utiliser des objets COM distribués sur l’ordinateur. Le modèle COM (Component Object
Model) Microsoft est un système distribué, orienté objet et indépendant de toute
plateforme qui permet de créer des composants logiciels binaires capables d’interagir.
Le modèle DCOM (Distributed Component Object Model) permet de distribuer les
applications aux emplacements les plus pertinents pour vous et pour l’application. Ce
groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit
désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des
opérations (également appelé FSMO [flexible single master operations]).
Le groupe Utilisateurs du modèle COM distribué s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local

<domaine>, DC=

DnsUpdateProxy
Les membres du groupe DnsUpdateProxy sont des clients DNS. Ils sont autorisés à
effectuer des mises à jour dynamiques pour le compte d’autres clients, comme les
serveurs DHCP. Un serveur DNS peut développer des enregistrements de ressources
obsolètes lorsqu’un serveur DHCP est configuré de façon à inscrire dynamiquement des
enregistrements de ressources d’hôte (A) et de pointeur (PTR) pour le compte de clients
DHCP à l’aide d’une mise à jour dynamique. L’ajout de clients à ce groupe de sécurité
atténue ce scénario.
Toutefois, pour vous protéger contre les enregistrements non sécurisés ou permettre
aux membres du groupe DnsUpdateProxy d’inscrire des enregistrements dans des zones
qui autorisent uniquement des mises à jour dynamiques sécurisées, vous devez créer un
compte d’utilisateur dédié et configurer les serveurs DHCP de façon à effectuer des
mises à jour dynamiques DNS à l’aide des informations d’identification (nom
d’utilisateur, mot de passe et domaine) de ce compte. Plusieurs serveurs DHCP peuvent
utiliser les informations d’identification d’un même compte d’utilisateur dédié. Ce
groupe existe uniquement si le rôle serveur DNS est ou a déjà été installé sur un
contrôleur de domaine dans le domaine.
Pour plus d’informations, consultez Propriété d’enregistrement DNS et le groupe

DnsUpdateProxy.
Attribut Valeur
SID/RID connu S-1-5-21-<domaine>-

<variable RI>
Type Global

<domaine>, DC=
Sortie du conteneur par défaut sécurisée ? Oui

DnsAdmins
Les membres du groupe DnsAdmins ont accès aux informations DNS du réseau. Les
autorisations par défaut sont Autoriser : Lire, Écrire, Créer tous les objets enfants,
Supprimer des objets enfants, Autorisations spéciales. Ce groupe existe uniquement si le
rôle serveur DNS est ou a déjà été installé sur un contrôleur de domaine dans le
domaine.
Pour plus d’informations sur la sécurité et DNS, consultez DNSSEC dans Windows
Server 2012.
Attribut Valeur

<variable RI>
Type Builtin Local

<domaine>, DC=

Les membres du groupe de sécurité Admins du domaine sont autorisés à administrer le
domaine. Par défaut, le groupe Admins du domaine est membre du groupe
Administrateurs sur tous les ordinateurs qui ont rejoint un domaine, y compris les
contrôleurs de domaine. Le groupe Admins du domaine est le propriétaire par défaut de
tout objet créé dans Active Directory pour le domaine par n’importe quel membre du
groupe. Si des membres du groupe créent d’autres objets, tels que des fichiers, le
propriétaire par défaut est le groupe Administrateurs.
Le groupe Admins du domaine contrôle l’accès à tous les contrôleurs de domaine d’un
domaine, et peut modifier l’appartenance de tous les comptes d’administration dans le
domaine. Les membres des groupes d’administrateurs de service dans son domaine
(Administrateurs et Admins du domaine) et les membres du groupe Administrateurs de
l’entreprise peuvent modifier l’appartenance d’Admins du domaine. Ce groupe est
considéré comme un compte d’administrateurs de service, car ses membres disposent
d’un accès complet aux contrôleurs de domaine dans un domaine.
Le groupe Admins du domaine s’applique au système d’exploitation Windows Server

Attribut Valeur
Attribut Valeur
Type Global
Membres par défaut Administrateur
Membre par défaut de Administrateurs
Groupe de réplication dont le mot de


Droits d’utilisateur par défaut Voir Administrateurs
Voir Groupe de réplication dont le mot

de passe RODC est refusé
Ordinateurs du domaine
Ce groupe peut inclure tous les ordinateurs et serveurs qui ont rejoint le domaine, à
l’exception des contrôleurs de domaine. Par défaut, tout compte d’ordinateur créé
devient automatiquement membre de ce groupe.
Le groupe Ordinateurs du domaine s’applique au système d’exploitation Windows

Attribut Valeur
Type Global
Membres par défaut Tous les ordinateurs joints au domaine, à

l’exclusion des contrôleurs de domaine

Attribut Valeur
Sortie du conteneur par défaut sécurisée ? Oui (mais pas obligatoire)
Délégation de la gestion de ce groupe à des Oui

Le groupe Contrôleurs de domaine peut inclure tous les contrôleurs de domaine du
domaine. Les nouveaux contrôleurs de domaine sont automatiquement ajoutés à ce
groupe.
Le groupe Contrôleurs de domaine s’applique au système d’exploitation Windows

Attribut Valeur
Type Global
Membres par défaut Comptes d’ordinateur pour tous les

contrôleurs de domaine du domaine

Sortie du conteneur par défaut sécurisée ? Non

Invités du domaine
Le groupe Invités du domaine inclut le compte Invité intégré du domaine. Lorsque des
membres de ce groupe se connectent en tant qu’invités locaux sur un ordinateur joint à
un domaine, un profil de domaine est créé sur l’ordinateur local.
Le groupe Invités du domaine s’applique au système d’exploitation Windows Server
Attribut Valeur
Type Global
Membres par défaut Invité
Membre par défaut de Invités

Droits d’utilisateur par défaut Voir Invités
Le groupe Utilisateurs du domaine inclut tous les comptes d’utilisateur d’un domaine.
Lorsque vous créez un compte d’utilisateur dans un domaine, il est automatiquement
ajouté à ce groupe.
Par défaut, tout compte d’utilisateur créé dans le domaine devient automatiquement
membre de ce groupe. Vous pouvez utiliser ce groupe pour représenter tous les
utilisateurs dans le domaine. Par exemple, si vous souhaitez que tous les utilisateurs du
domaine aient accès à une imprimante, vous pouvez attribuer des autorisations pour
l’imprimante à ce groupe ou ajouter le groupe Utilisateurs du domaine à un groupe
Local sur le serveur d’impression qui dispose d’autorisations pour l’imprimante.
Le groupe Utilisateurs du domaine s’applique au système d’exploitation Windows Server

Attribut Valeur

<domaine>-513
Type Global
Attribut Valeur

<domaine>, DC=
krbtgt
Délégation de la gestion de ce groupe à des administrateurs Non

Droits d’utilisateur par défaut Voir Utilisateurs
Le groupe Administrateurs de l’entreprise existe uniquement dans le domaine racine
d’une forêt de domaines Active Directory. Ce groupe est un groupe Universel si le
domaine est en mode natif. Le groupe est un groupe Global si le domaine est en mode
mixte. Les membres de ce groupe sont autorisés à apporter des modifications à l’échelle
de la forêt dans Active Directory, comme l’ajout de domaines enfants.
Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine
de la forêt. Ce groupe est automatiquement ajouté au groupe Administrateurs dans
chaque domaine de la forêt, et fournit un accès complet à la configuration de tous les
contrôleurs de domaine. Les membres de ce groupe peuvent modifier l’appartenance à
tous les groupes d’administration. Les membres des groupes d’administrateurs de
service par défaut dans le domaine racine peuvent modifier l’appartenance du groupe
Administrateurs de l’entreprise. Ce groupe est considéré comme un compte
d’administrateur de service.
Le groupe Administrateurs de l’entreprise s’applique au système d’exploitation Windows

Attribut Valeur
SID/RID connu S-1-5-21-<domaine racine>-519
Type Universel si le domaine est en mode

natif ; sinon, Global
Attribut Valeur
Membre par défaut de Administrateurs
Groupe de réplication dont le mot de


Droits d’utilisateur par défaut Voir Administrateurs
Voir Groupe de réplication dont le mot

Enterprise Key Admins

Les membres de ce groupe peuvent effectuer des actions administratives sur des objets
clés au sein de la forêt.
Attribut Valeur

<domaine>-527
Type Global

<domaine>, DC=


Les membres de ce groupe sont des contrôleurs de domaine en lecture seule (RODC)
dans l’entreprise. À l’exception des mots de passe de compte, un RODC contient tous les
objets et attributs Active Directory qu’un contrôleur de domaine accessible en écriture
contient. Toutefois, aucune modification ne peut être apportée à la base de données
stockée sur le RODC. Les modifications doivent être effectuées sur un contrôleur de
domaine accessible en écriture, puis répliquées sur le RODC.
Les RODC permettent de résoudre certains des problèmes couramment rencontrés dans
les succursales. Ces emplacements peuvent ne pas avoir de contrôleur de domaine, ou
ils peuvent avoir un contrôleur de domaine accessible en écriture, mais pas la sécurité
physique, la bande passante réseau ou l’expertise locale pour le prendre en charge.
Pour plus d’informations, consultez Qu’est-ce qu’un contrôleur de domaine en lecture

seule ?
Le groupe Contrôleurs de domaine d’entreprise en lecture seule s’applique au système

défaut.
Attribut Valeur
SID/RID connu S-1-5-21-<domaine

racine>-498
Type Universal

<domaine>, DC=

Lecteurs des journaux d’événements

Les membres de ce groupe peuvent lire les journaux d’événements à partir d’ordinateurs
locaux. Le groupe est créé lorsque le serveur est promu en contrôleur de domaine.
Le groupe Lecteurs des journaux d’événements s’applique au système d’exploitation

Attribut Valeur
Type Domaine local

<domaine>, DC=

Propriétaires créateurs de la stratégie de groupe

Ce groupe est autorisé à créer, à modifier et à supprimer des objets de stratégie de
groupe dans le domaine. Par défaut, le seul membre du groupe est Administrateur.
Pour plus d’informations sur les autres fonctionnalités que vous pouvez utiliser avec ce
groupe de sécurité, consultez Vue d’ensemble de la stratégie de groupe.
Le groupe Propriétaires créateurs de la stratégie de groupe s’applique au système

défaut.
Attribut Valeur
Type Global

Attribut Valeur

Sortie du conteneur par défaut sécurisée ? Non

Droits d’utilisateur par défaut Voir Groupe de réplication dont le mot

Invités
Les membres du groupe Invités ont le même accès que les membres du groupe
Utilisateurs par défaut, sauf que le compte Invité a d’autres restrictions. Par défaut, le
seul membre est le compte Invité. Le groupe Invités permet aux utilisateurs occasionnels
ou ponctuels de se connecter avec des privilèges limités au compte Invité intégré d’un
ordinateur.
Lorsqu’un membre du groupe Invités se déconnecte, le profil entier est supprimé. La

suppression du profil inclut tout ce qui est stocké dans le répertoire %userprofile%, y
compris les informations de ruche du Registre de l’utilisateur, les icônes de bureau
personnalisées et d’autres paramètres propres à l’utilisateur. Ce fait implique qu’un
invité doit utiliser un profil temporaire pour se connecter au système. Ce groupe de
sécurité interagit avec le paramètre de stratégie de groupe. Lorsque ce groupe de
sécurité est activé, ne connectez pas les utilisateurs qui ont des profils temporaires. Pour
accéder à ce paramètre, accédez à Configuration de l’ordinateur>Modèles
d’administration>Système>Profils utilisateur.
７ Notes
Un compte Invité est un membre par défaut du groupe de sécurité Invités. Les
personnes qui n’ont pas un compte réel dans le domaine peuvent utiliser le compte
Invité. Un utilisateur dont le compte est désactivé (mais pas supprimé) peut
également se servir du compte Invité. Le compte Invité ne demande pas de mot de
passe. Vous définissez des droits et des autorisations pour le compte Invité comme
pour tout autre compte d’utilisateur. Par défaut, ce compte fait partie du groupe
Invités intégré et du groupe Global Invités du domaine, ce qui permet à un
utilisateur de se connecter à un domaine. Par défaut, le compte Invité est désactivé
et il est conseillé de ne pas l’activer.
Le groupe Invités s’applique au système d’exploitation Windows Server indiqué dans

Groupes de sécurité Active Directory par défaut.
Attribut Valeur
Type Builtin Local

<domaine>, DC=
Membres par défaut Invités du domaine

Administrateurs Hyper-V
Les membres du groupe Administrateurs Hyper-V disposent d’un accès complet et sans
restriction à toutes les fonctionnalités d’Hyper-V. L’ajout de membres à ce groupe
permet de réduire le nombre de membres requis dans le groupe Administrateurs, et de
séparer davantage l’accès.
７ Notes
Avant Windows Server 2012, l’accès aux fonctionnalités dans Hyper-V était contrôlé
en partie par l’appartenance au groupe Administrateurs.
Attribut Valeur
Type Builtin Local

Attribut Valeur

<domaine>, DC=

IIS_IUSRS
IIS_IUSRS est un groupe intégré utilisé par les services Internet (IIS) à partir d’IIS 7. Un
compte et un groupe intégrés sont garantis par le système d’exploitation comme ayant
toujours un SID unique. IIS 7 remplace le compte IUSR_MachineName et le groupe
IIS_WPG par le groupe IIS_IUSRS pour s’assurer que les noms réellement utilisés par le
nouveau compte et le nouveau groupe ne sont jamais localisés. Par exemple, quelle que
soit la langue du système d’exploitation Windows que vous installez, le nom du compte
IIS sera toujours IUSR et le nom du groupe sera IIS_IUSRS.
Pour plus d’informations, consultez Présentation des comptes d’utilisateurs et de

groupes intégrés dans IIS 7.
Attribut Valeur
Type Builtin Local

<domaine>, DC=
Membres par défaut IUSR

Attribut Valeur

Générateurs d’approbation de forêt entrante

Les membres du groupe Générateurs d’approbations de forêt entrante peuvent créer
des approbations entrantes unidirectionnelles pour cette forêt. Active Directory assure la
sécurité sur plusieurs domaines ou forêts par l’intermédiaire de relations d’approbation
de domaine et de forêt. Pour que l’authentification puisse s’effectuer entre les
approbations, Windows doit déterminer si le domaine demandé par un utilisateur, un
ordinateur ou un service dispose d’une relation d’approbation avec le domaine
d’ouverture de session du compte demandeur.
Pour effectuer cette détermination, le système de sécurité de Windows calcule un

chemin d’approbation entre le contrôleur de domaine du serveur qui reçoit la demande
et un contrôleur de domaine dans le domaine du compte demandeur. Un canal sécurisé
s’étend à d’autres domaines Active Directory par le biais de relations d’approbation
entre domaines. Ce canal sécurisé est utilisé pour obtenir et vérifier des informations de
sécurité, entre autres les SID pour les utilisateurs et les groupes.
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine soit
opérations (FSMO). Ce groupe ne peut pas être renommé ou supprimé.
Pour plus d’informations, consultez Fonctionnement des approbations de domaine et de

forêt : approbations de domaine et de forêt.
Le groupe Générateurs d’approbations de forêt entrante s’applique au système

défaut.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Attribut Valeur

Administrateurs de clés
Les membres de ce groupe peuvent effectuer des actions administratives sur des objets
clés au sein du domaine.
Le groupe Administrateurs de clés s’applique au système d’exploitation Windows Server

Attribut Valeur

<domaine>-526
Type Global

<domaine>, DC=

Opérateurs de configuration réseau

Les membres du groupe Opérateurs de configuration réseau peuvent disposer des
privilèges d’administration suivants pour gérer la configuration des fonctionnalités
réseau :
Modifier les propriétés TCP/IP (Transmission Control Protocol/Internet Protocol)

pour une connexion de réseau local (LAN), notamment l’adresse IP, le masque de
sous-réseau, la passerelle par défaut et les serveurs de noms
Renommer les connexions LAN ou les connexions d’accès à distance accessibles à

tous les utilisateurs
Activer ou désactiver une connexion LAN
Modifier les propriétés de toutes les connexions d’accès à distance des utilisateurs
Supprimer toutes les connexions d’accès à distance des utilisateurs
Renommer toutes les connexions d’accès à distance des utilisateurs
Émettre des commandes ipconfig , ipconfig /release et ipconfig /renew
Entrer le code de déverrouillage (PUK) pour les appareils haut débit mobiles qui
prennent en charge une carte SIM
Le groupe Opérateurs de configuration réseau s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local

<domaine>, DC=
Délégation de la gestion de ce groupe à des administrateurs Oui

Attribut Valeur
Utilisateurs du journal des performances

Les membres du groupe Utilisateurs du journal de performances peuvent gérer les
compteurs de performance, les journaux et les alertes localement sur le serveur et à
partir de clients distants sans être membres du groupe Administrateurs. Plus
précisément, les membres de ce groupe de sécurité :
Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs de

l’Analyseur de performances.
Peuvent créer et modifier des ensembles de collecteurs de données une fois que le
groupe s’est vu attribuer le droit de l’utilisateur Ouvrir une session en tant que
tâche.
２ Avertissement
Si vous êtes membre du groupe Utilisateurs du journal de performances, vous

devez configurer les ensembles de collecteurs de données que vous créez de
façon à ce» qu’ils s’exécutent sous vos informations d’identification.
７ Notes
Dans Windows Server 2016 et versions ultérieures, un membre du groupe

Utilisateurs du journal de performances ne peut pas créer de jeux de
collecteurs de données. Si un membre du groupe Utilisateurs du journal de
performances tente de créer des ensembles de collecteurs de données, il ne
peut pas terminer l’action, car l’accès est refusé.
Ne peuvent pas utiliser le fournisseur d’événements Trace du noyau Windows dans

les ensembles de collecteurs de données.
Pour que les membres du groupe Utilisateurs du journal de performances puissent

lancer la journalisation des données ou modifier des ensembles de collecteurs de
données, le groupe doit d’abord se voir attribuer le droit de l’utilisateur Ouvrir une
session en tant que tâche. Pour attribuer ce droit de l’utilisateur, utilisez le composant
logiciel enfichable Stratégie de sécurité locale dans MMC (Microsoft Management
Console).
opérations (FSMO). Ce compte ne peut pas être renommé, supprimé ou déplacé.
Le groupe Utilisateurs du journal de performances s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local
Délégation de la gestion de ce groupe à des Oui

Droits d’utilisateur par défaut Ouvrir une session en tant que

tâche : SeBatchLogonRight
Utilisateurs de l’Analyseur de performances

Les membres de ce groupe peuvent superviser les compteurs de performance des
contrôleurs de domaine dans le domaine, localement et à partir de clients distants, sans
être membres des groupes Administrateurs ou Utilisateurs du journal de performances.
L’Analyseur de performances Windows est un composant logiciel enfichable MMC qui
fournit des outils pour l’analyse des performances du système. À partir d’une simple
console, vous pouvez superviser les performances des applications et du matériel,
personnaliser les données que vous souhaitez collecter dans des journaux, définir des
seuils d’alertes et des actions automatiques, générer des rapports et afficher les
données des performances passées de nombreuses manières.
Plus précisément, les membres de ce groupe de sécurité :
Peuvent utiliser toutes les fonctionnalités accessibles au groupe Utilisateurs.
Peuvent afficher les données de performances en temps réel dans l’Analyseur de

performances.
Peuvent modifier les propriétés d’affichage de l’Analyseur de performances lors de
l’affichage des données.
Ne peuvent pas créer ou modifier des ensembles de collecteurs de données.
２ Avertissement
Les membres du groupe Utilisateurs de l’Analyseur de performances ne peuvent

pas configurer d’ensembles de collecte de données.
Le groupe Utilisateurs de l’Analyseur de performances s’applique au système

défaut.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Accès compatible pré-Windows 2000

Les membres du groupe Accès compatible pré-Windows 2000 disposent d’un accès en
lecture pour tous les utilisateurs et groupes du domaine. Ce groupe est fourni à des fins
de compatibilité descendante pour les ordinateurs exécutant Windows NT versions 4.0
et antérieures. Par défaut, l’identité spéciale Tout le monde est membre de ce groupe.
Ajoutez des utilisateurs à ce groupe uniquement s’ils exécutent Windows NT 4.0 ou
version antérieure.
２ Avertissement
Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le contrôleur de domaine
soit désigné contrôleur de domaine principal et qu’il détienne le rôle de maître des
opérations (FSMO).
Le groupe Accès compatible pré-Windows 2000 s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local
Membres par défaut Si vous choisissez le mode Autorisations compatibles pré-

Windows 2000, les groupes Tout le monde et Anonyme sont
membres. Si vous choisissez le mode Autorisations Windows 2000
uniquement, le groupe Utilisateurs authentifiés est membre.
Protégé par Non

AdminSDHolder ?
Sortie du conteneur par Déplacement impossible

défaut sécurisée ?
Délégation de la gestion Non

de ce groupe à des
administrateurs
extérieurs au service
sécurisée ?
Droits d’utilisateur par Accéder à cet ordinateur à partir du réseau : SeNetworkLogonRight

défaut
Ignorer la vérification transversale : (SeChangeNotifyPrivilege)
Opérateurs d'impression
Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes
connectées aux contrôleurs de domaine dans le domaine. Ils peuvent également gérer
les objets imprimantes Active Directory dans le domaine. Les membres de ce groupe
peuvent se connecter localement aux contrôleurs de domaine dans le domaine, et les
arrêter.
Ce groupe ne possède aucun membre par défaut. Étant donné que les membres de ce
groupe peuvent charger et décharger des pilotes de périphériques sur tous les
contrôleurs de domaine dans le domaine, soyez attentif lorsque vous y ajoutez des
utilisateurs. Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Opérateurs d’impression s’applique au système d’exploitation Windows

Pour plus d’informations, consultez Affecter des paramètres d’autorisation pour

l’administrateur d’impression délégué et les imprimantes dans Windows Server 2012.
Attribut Valeur
Type Builtin Local


Charger et décharger les pilotes de

périphériques : SeLoadDriverPrivilege
Les membres du groupe Utilisateurs protégés bénéficient d’une protection
supplémentaire contre la compromission des informations d’identification pendant les
processus d’authentification.
Ce groupe de sécurité est conçu dans le cadre d'une stratégie pour protéger et gérer
efficacement les informations d'identification dans l'entreprise. Les membres de ce
groupe disposent automatiquement d’une protection non configurable appliquée à
leurs comptes. L'appartenance au groupe Utilisateurs protégés est censée être restrictive
et sécurisée de manière proactive par défaut. Le seul moyen de modifier la protection
pour un compte consiste à supprimer le compte du groupe de sécurité.
Ce groupe Global lié au domaine déclenche une protection non configurable sur les
appareils et les ordinateurs hôtes, à compter des systèmes d’exploitation Windows
Server 2012 R2 et Windows 8.1. Il déclenche également une protection non configurable
sur les contrôleurs de domaine dans les domaines qui ont un contrôleur de domaine
principal exécutant Windows Server 2016 ou Windows Server 2012 R2. Cette protection
réduit considérablement l’encombrement mémoire des informations d’identification
quand les utilisateurs se connectent aux ordinateurs du réseau à partir d’un ordinateur
fiable.
En fonction du niveau fonctionnel du domaine du compte, les membres du groupe

Utilisateurs protégés sont davantage protégés grâce aux modifications de
comportement dans les méthodes d’authentification prises en charge dans Windows :
Les membres du groupe Utilisateurs protégés ne peuvent pas s’authentifier à l’aide

des fournisseurs SSP (Security Support Providers) suivants : NTLM, Digest
Authentication ou CredSSP. Les mots de passe ne sont pas mis en cache sur un
appareil exécutant Windows 10 ou Windows 8.1, de sorte que l’appareil ne
parvient pas à s’authentifier auprès d’un domaine lorsque le compte est membre
du groupe Utilisateurs protégés.
Le protocole Kerberos n’utilisera pas les types de chiffrement DES et RC4 plus
faibles dans le processus de pré-authentification. Le domaine doit être configuré
pour prendre en charge au moins la suite de chiffrement AES.
Le compte de l’utilisateur ne peut pas être délégué via la délégation Kerberos

contrainte ou non contrainte. Si l’utilisateur est membre du groupe Utilisateurs
protégés, les anciennes connexions aux autres systèmes peuvent échouer.
Vous pouvez modifier le paramètre de durée de vie TGT (Ticket Granting Ticket)
Kerberos par défaut de quatre heures à l’aide des silos et stratégies
d’authentification dans le Centre d’administration Active Directory. Avec le
paramètre par défaut, lorsque quatre heures se sont écoulées, l’utilisateur doit à
nouveau s’authentifier.
Le groupe Utilisateurs protégés s’applique au système d’exploitation Windows Server

Ce groupe a été introduit dans Windows Server 2012 R2. Pour plus d’informations sur ce
groupe, consultez Groupe de sécurité Utilisateurs protégés.
Le tableau suivant spécifie les propriétés du groupe Utilisateurs protégés :
Attribut Valeur

<domaine>-525
Type Global

<domaine>, DC=

Serveurs RAS et IAS

Lorsqu’ils sont correctement configurés, les ordinateurs membres du groupe Serveurs
RAS et IAS peuvent utiliser des services d’accès à distance. Par défaut, ce groupe n’a
aucun membre. Les ordinateurs qui exécutent le service de routage et d’accès à distance
(RRAS) et des services d’accès à distance comme le service d’authentification Internet
(IAS) et les serveurs de stratégie réseau sont automatiquement ajoutés au groupe. Les
membres de ce groupe ont accès à certaines propriétés des objets User, telles que Lire
les restrictions de compte, Lire les informations de connexion et Lire les informations
d’accès à distance.
Le groupe Serveurs RAS et IAS s’applique au système d’exploitation Windows Server

Attribut Valeur

<domaine>-553
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Serveurs de points de terminaison...

Les serveurs membres du groupe Serveurs de points de terminaison RDS peuvent
exécuter des machines virtuelles et héberger des sessions où s’exécutent des
programmes RemoteApp utilisateur et des bureaux virtuels personnels. Vous devez
remplir ce groupe sur les serveurs exécutant le service Broker pour les connexions
Bureau à distance. Les serveurs hôtes de session et les serveurs hôtes de virtualisation
Bureau à distance utilisés dans le déploiement doivent se trouver dans ce groupe.
Pour plus d’informations sur les services Bureau à distance, consultez Héberger des
bureaux et des applications dans les services Bureau à distance.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Attribut Valeur

Serveurs Gestion RDS

Vous pouvez utiliser des serveurs membres du groupe Serveurs Gestion RDS pour
effectuer des actions d’administration de routine sur les serveurs exécutant RDS. Vous
devez remplir ce groupe sur tous les serveurs d’un déploiement RDS. Les serveurs
exécutant le service Gestion centrale des services Bureau à distance doivent être inclus
dans ce groupe.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Serveurs Accès Distant RDS

Les serveurs du groupe Serveurs Accès Distant RDS fournissent aux utilisateurs l’accès
aux programmes RemoteApp et aux bureaux virtuels personnels. Dans les déploiements
internet, ces serveurs sont généralement déployés dans un réseau de périphérie. Vous
devez remplir ce groupe sur les serveurs exécutant le service Broker pour les connexions
Bureau à distance. Les serveurs de passerelle Bureau à distance et les serveurs Accès
Bureau à distance par le Web utilisés dans le déploiement doivent faire partie de ce
groupe.
Pour plus d’informations, consultez Héberger des bureaux et des applications dans les
services Bureau à distance.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Contrôleurs de domaine en lecture seule

Ce groupe est composé des contrôleurs de domaine en lecture seule (RODC) du
domaine. Un RODC permet aux organisations de déployer facilement un contrôleur de
domaine dans les scénarios où la sécurité physique ne peut pas être garantie, par
exemple dans les filiales ou lorsque le stockage local de tous les mots de passe de
domaine est considéré comme une menace principale, comme dans un rôle extranet ou
orienté application.
Étant donné que vous pouvez déléguer l’administration d’un contrôleur de domaine à
un utilisateur de domaine ou à un groupe de sécurité, un RODC est bien adapté à un
site qui ne doit pas avoir d’utilisateur membre du groupe Administrateurs de domaine.
Un RODC dispose des fonctionnalités suivantes :
Il contient une base de données AD DS en lecture seule
Réplication unidirectionnelle
Mise en cache des informations d’identification
Séparation des rôles d’administrateur
Il contient le système DNS (Domain Name System) en lecture seule

Pour plus d’informations, consultez Présentation de la planification et du déploiement
pour les contrôleurs de domaine en lecture seule.
Attribut Valeur
Type Global

Délégation de la gestion de ce groupe à des


Utilisateurs du Bureau à distance

Utilisez le groupe Utilisateurs du Bureau à distance sur un serveur hôte de session
Bureau à distance pour accorder aux utilisateurs et aux groupes les autorisations de se
connecter à distance à un serveur hôte de session Bureau à distance. Ce groupe ne peut
pas être renommé ou supprimé. Ce groupe apparaît sous la forme d’un SID jusqu’à ce
que le contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il
détienne le rôle de maître des opérations (FSMO).
Le groupe Utilisateurs du Bureau à distance s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local

<domaine>, DC=

Attribut Valeur

Utilisateurs de gestion à distance

Les membres du groupe Utilisateurs de gestion à distance peuvent accéder aux
ressources WMI (Windows Management Instrumentation) via des protocoles de gestion
tels que WS-Management par le biais du service Windows Remote Management. L’accès
aux ressources WMI s’applique uniquement aux espaces de noms WMI qui accordent
l’accès à l’utilisateur.
Utilisez le groupe Utilisateurs de gestion à distance pour permettre aux utilisateurs de

gérer les serveurs par le biais de la console Gestionnaire de serveur. Utilisez le groupe
WinRMRemoteWMIUsers\_ pour permettre aux utilisateurs d’exécuter des commandes
Windows PowerShell à distance.
Pour plus d’informations, consultez Nouveautés de WMI et À propos de WMI.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Attribut Valeur
Duplicateur
Les ordinateurs membres du groupe Duplicateur prennent en charge la réplication de
fichiers dans un domaine. Les systèmes d’exploitation Windows Server utilisent le service
de réplication de fichiers (FRS) pour répliquer les stratégies système et les scripts
d’ouverture de session stockés dans le dossier Volume système (dossier sysvol). Chaque
contrôleur de domaine conserve une copie du dossier sysvol auquel les clients réseau
peuvent accéder. Le service FRS peut également répliquer des données pour le système
de fichiers DFS (Distributed File System) et synchroniser le contenu de chaque membre
dans un jeu de réplicas tel que défini par DFS. Le service FRS peut copier et tenir à jour
simultanément des fichiers et dossiers partagés sur plusieurs serveurs. Lorsque des
modifications se produisent, le contenu est synchronisé immédiatement dans les sites et
selon une planification entre les sites.
２ Avertissement
Dans Windows Server 2008 R2, vous ne pouvez pas utiliser le service FRS pour
répliquer des dossiers DFS ou des données personnalisées (non sysvol). Un
contrôleur de domaine Windows Server 2008 R2 peut toujours utiliser le service
FRS pour répliquer le contenu de la ressource partagée du dossier sysvol dans un
domaine qui utilise le service FRS pour répliquer la ressource partagée du dossier
sysvol entre les contrôleurs de domaine. Toutefois, les serveurs Windows
Server 2008 R2 ne peuvent pas utiliser le service FRS pour répliquer le contenu d’un
jeu de réplicas, à l’exception de la ressource partagée du dossier sysvol. Le service
de réplication DFS est un remplacement du service FRS. Vous pouvez utiliser la
réplication DFS pour répliquer le contenu d’une ressource partagée de dossier
sysvol, de dossiers DFS et d’autres données personnalisées (non sysvol). Vous devez
migrer tous les jeux de réplicas FRS non sysvol vers la réplication DFS.
Pour plus d'informations, consultez les pages suivantes :
Le service de réplication de fichiers (FRS) est déprécié dans Windows

Server 2008 R2 (Windows)
Vue d’ensemble des espaces de noms DFS et de la réplication DFS
Attribut Valeur
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Les membres du groupe Administrateurs du schéma peuvent modifier le schéma
Active Directory. Ce groupe existe uniquement dans le domaine racine d’une forêt de
domaines Active Directory. Ce groupe est un groupe Universel si le domaine est en
mode natif. Ce groupe est un groupe Global si le domaine est en mode mixte.
Le groupe est autorisé à apporter des modifications de schéma dans Active Directory.
Par défaut, le seul membre du groupe est le compte Administrateur du domaine racine
de la forêt. Ce groupe dispose d’un accès administratif complet au schéma.
N’importe quel groupe d’administrateurs de service dans le domaine racine peut

modifier l’appartenance à ce groupe. Ce groupe est considéré comme un compte
d’administrateur de service, car ses membres peuvent modifier le schéma, qui régit la
structure et le contenu de l’ensemble de l’annuaire.
Pour plus d’informations, consultez Qu’est-ce qu’un schéma Active Directory ?.
Le groupe Administrateurs du schéma s’applique au système d’exploitation Windows

Attribut Valeur
SID/RID connu S-1-5-21-<domaine racine>-518

Attribut Valeur
Type Universel (si le domaine est en mode

natif), sinon Global



Les membres du groupe Opérateurs de serveur peuvent administrer des contrôleurs de
domaine. Ce groupe existe uniquement sur les contrôleurs de domaine. Par défaut, le
groupe n’a aucun membre. Les membres du groupe Opérateurs de serveur peuvent
effectuer les actions suivantes : se connecter à un serveur de manière interactive, créer
et supprimer des ressources réseau partagées, démarrer et arrêter des services,
sauvegarder et restaurer des fichiers, formater le disque dur de l’ordinateur, et arrêter
l’ordinateur. Ce groupe ne peut pas être renommé ou supprimé.
Par défaut, ce groupe intégré n’a aucun membre. Le groupe a accès aux options de
configuration du serveur sur les contrôleurs de domaine. Son appartenance est
contrôlée par les groupes d’administrateurs de service Administrateurs et Admins du
domaine dans le domaine, et par le groupe Administrateurs de l’entreprise dans le
domaine racine de la forêt. Les membres de ce groupe ne peuvent pas modifier les
appartenances aux groupes administratifs. Ce groupe est considéré comme un compte
d’administrateur de service, car ses membres ont un accès physique aux contrôleurs de
domaine. Les membres de ce groupe peuvent effectuer des tâches de maintenance
telles que la sauvegarde et la restauration, et ils peuvent modifier les fichiers binaires
installés sur les contrôleurs de domaine. Consultez les droits de l’utilisateur par défaut
du groupe dans le tableau suivant.
Le groupe Opérateurs de serveur s’applique au système d’exploitation Windows Server
Attribut Valeur
Type Builtin Local

administrateurs extérieurs au service
sécurisée ?

Sauvegarder les fichiers et les répertoires :

SeBackupPrivilege
Modifier l’heure système : SeSystemTimePrivilege
Modifier le fuseau horaire : SeTimeZonePrivilege
Forcer l’arrêt à partir d’un système distant :

SeRemoteShutdownPrivilege
Restaurer des fichiers et des répertoires :

SeRestorePrivilege
Administrateurs de réplica de stockage

Les membres du groupe Administrateurs de réplica de stockage ont un accès complet et
sans restriction à toutes les fonctionnalités du réplica de stockage. Le groupe
Administrateurs de réplica de stockage s’applique au système d’exploitation Windows
Attribut Valeur
Type Builtin Local

<domaine>, DC=

System Managed Accounts

L’appartenance au groupe System Managed Accounts est gérée par le système.
Le groupe System Managed Accounts s’applique au système d’exploitation Windows

Attribut Valeur
Type Builtin Local

<domaine>, DC=
Membres par défaut Utilisateurs


Serveurs de licences des services Terminal Server
Les membres du groupe Serveurs de licences des services Terminal Server peuvent
mettre à jour les comptes d’utilisateur dans Active Directory avec des informations sur
l’émission de licences. Le groupe est utilisé pour suivre et signaler l’utilisation des
licences d’accès client des services Terminal Server par utilisateur. Une licence d’accès
client des services Terminal Server par utilisateur donne à un utilisateur le droit
d’accéder à une instance de Terminal Server à partir d’un nombre illimité d’ordinateurs
ou d’appareils clients. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le
contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le
rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou
supprimé.
Pour plus d’informations sur ce groupe de sécurité, consultez Configuration du groupe

de sécurité Serveurs de licences des services Terminal Server.
Le groupe Serveurs de licences des services Terminal Server s’applique au système

défaut.
Attribut Valeur
Type Builtin Local

<domaine>, DC=

Utilisateurs
Les membres du groupe Utilisateurs ne peuvent pas effectuer de modifications
accidentelles ou intentionnelles à l’échelle du système. Les membres de ce groupe
peuvent exécuter la plupart des applications. Après l’installation initiale du système
d’exploitation, le seul membre est le groupe Utilisateurs authentifiés. Lorsqu’un
ordinateur rejoint un domaine, le groupe Utilisateurs du domaine est ajouté au groupe
Utilisateurs sur l’ordinateur.
Les utilisateurs peuvent effectuer des tâches telles que l’exécution d’une application,
l’utilisation d’imprimantes locales et réseau, l’arrêt de l’ordinateur et le verrouillage de
l’ordinateur. Les utilisateurs peuvent installer des applications qu’eux seuls peuvent
utiliser si le programme d’installation de l’application prend en charge l’installation par
utilisateur. Ce groupe ne peut pas être renommé ou supprimé.
Le groupe Utilisateurs s’applique au système d’exploitation Windows Server indiqué

dans Groupes de sécurité Active Directory par défaut.

Server 2008 :
Dans Windows Server 2008 R2, Interactive a été ajouté à la liste des membres par
défaut.
Dans Windows Server 2012, la liste Membre de par défaut est passée de

Utilisateurs de domaine à aucun.
Attribut Valeur
Type Builtin Local

<domaine>, DC=
Membres par défaut Utilisateurs authentifiés
Interactive


Groupe d’accès d’autorisation Windows
Les membres de ce groupe ont accès à l’attribut GroupsGlobalAndUniversal du jeton
calculé sur les objets User. Certaines applications ont des fonctionnalités qui lisent
l’attribut token-groups-global-and-universal (TGGAU) sur les objets de compte
d’utilisateur ou de compte d’ordinateur dans AD DS. Certaines fonctions Win32 facilitent
la lecture de l’attribut TGGAU. Les applications qui lisent cet attribut ou qui appellent
une API (une fonction) qui lit cet attribut échouent si le contexte de sécurité appelant n’a
pas accès à l’attribut. Ce groupe apparaît sous la forme d’un SID jusqu’à ce que le
contrôleur de domaine soit désigné contrôleur de domaine principal et qu’il détienne le
rôle de maître des opérations (FSMO). Ce groupe ne peut pas être renommé ou
supprimé.
Le Groupe d’accès d’autorisation Windows s’applique au système d’exploitation

Attribut Valeur
Type Builtin Local

<domaine>, DC=
Membres par défaut Contrôleurs de domaine

d’entreprise

WinRMRemoteWMIUsers_
Dans Windows Server 2012 et Windows 8, un onglet Partager a été ajouté à l’interface
utilisateur Paramètres de sécurité avancés. Cet onglet affiche les propriétés de sécurité
d’un partage de fichiers distant. Pour afficher ces informations, vous devez disposer des
autorisations et appartenances suivantes, en fonction de la version de Windows Server
exécutée par le serveur de fichiers.
Le groupe WinRMRemoteWMIUsers_ s’applique au système d’exploitation Windows
Si le partage de fichiers est hébergé sur un serveur qui exécute une version prise
en charge du système d’exploitation :
Vous devez être membre du groupe WinRMRemoteWMIUsers__ ou du groupe

BUILTIN\Administrators
Vous devez disposer des autorisations Lecture sur le partage de fichiers
Si le partage de fichiers est hébergé sur un serveur qui exécute une version de
Windows Server antérieure à Windows Server 2012 :
Vous devez être membre du groupe BUILTIN\Administrators
Vous devez disposer des autorisations Lecture sur le partage de fichiers
Dans Windows Server 2012, la fonctionnalité Assistance en cas d’accès refusé ajoute le

groupe Utilisateurs authentifiés au groupe WinRMRemoteWMIUsers__ local. Lorsque la
fonctionnalité Assistance en cas d’accès refusé est activée, tous les utilisateurs
authentifiés disposant d’autorisations Lecture sur le partage de fichiers peuvent afficher
les autorisations de partage de fichiers.
７ Notes
Le groupe WinRMRemoteWMIUsers__ permet d’exécuter des commandes Windows

PowerShell à distance. En revanche, vous utilisez généralement le groupe
Utilisateurs de gestion à distance pour permettre aux utilisateurs de gérer des
serveurs à l’aide de la console Gestionnaire de serveur.
Attribut Valeur

<variable RI>
Type Domaine local

<domaine>, DC=

Attribut Valeur

Voir aussi
Groupes d’identités spéciales

Comptes de service
Un compte de service est un compte d’utilisateur créé explicitement pour fournir un

contexte de sécurité aux services qui s’exécutent sur les systèmes d’exploitation
Windows Server. Le contexte de sécurité détermine la capacité du service à accéder aux
ressources locales et réseau. Les systèmes d’exploitation Windows s’appuient sur des
services pour exécuter diverses fonctionnalités. Ces services peuvent être configurés par
les applications, le composant logiciel enfichable Services ou le Gestionnaire des tâches,
ou en utilisant Windows PowerShell.
Cet article contient des informations sur les types de comptes de service suivants :
Comptes de service géré autonomes

Comptes de service administrés de groupe
Comptes virtuels
Comptes de service géré autonomes

Les comptes de service administrés sont conçus pour isoler les comptes de domaine
dans des applications cruciales, comme Internet Information Services (IIS). Ils évitent à
l’administrateur d’administrer manuellement le nom du principal de service (SPN) et les
informations d’identification des comptes.
Pour utiliser des comptes de service administrés, le serveur sur lequel l’application ou le
service est installé doit exécuter Windows Server 2008 R2 ou version ultérieure. Un seul
compte de service administré par ordinateur peut être utilisé pour les services. Les
comptes de services administrés ne peuvent pas être partagés entre plusieurs
ordinateurs ni être utilisés dans des clusters de serveurs si un service est répliqué sur
plusieurs nœuds de cluster. Pour ce scénario, vous devez utiliser un compte de service
administré de groupe. Pour plus d’informations, consultez Vue d’ensemble des comptes
de service administrés de groupe.
En plus d’une sécurité renforcée par l’existence de comptes individuels pour les services
stratégiques, les comptes de services administrés présentent quatre avantages
importants en termes d’administration :
Vous pouvez créer une classe de comptes de domaine qui peut être utilisée pour
gérer les services sur des ordinateurs locaux.
Contrairement aux comptes de domaine dont les mots de passe doivent être
réinitialisés manuellement par les administrateurs, les mots de passe réseau de ces
comptes sont automatiquement réinitialisés.
Vous n’avez pas besoin d’effectuer des tâches de gestion SPN complexes pour
utiliser des comptes de service administrés.
Vous pouvez déléguer les tâches d’administration des comptes de service

administrés à des utilisateurs non administrateurs.
７ Notes
Les comptes de service administrés s’appliquent uniquement aux systèmes

d’exploitation Windows listés dans la section « S’applique à » au début de cet
article.
Comptes de service administrés de groupe

Les comptes de service administrés de groupe sont une extension des comptes de
service administrés autonomes, qui ont été introduits dans Windows Server 2008 R2. Ce
sont des comptes de domaine administrés qui fournissent une gestion automatique des
mots de passe et une gestion simplifiée du SPN, y compris la délégation de la gestion à
d’autres administrateurs.
Un compte de service administré de groupe offre les mêmes fonctionnalités que le

compte de service administré autonome dans le domaine, mais les étend sur plusieurs
serveurs. Quand vous vous connectez à un service hébergé sur une batterie de serveurs,
comme l’équilibrage de la charge réseau, les protocoles d’authentification prenant en
charge l’authentification mutuelle nécessitent que toutes les instances des services
utilisent le même principal. Quand les comptes de service administrés de groupe sont
utilisés comme principaux de service, le système d’exploitation Windows Server gère le
mot de passe du compte à la place de l’administrateur.
Le service de distribution de clés Microsoft (kdssvc.dll) fournit le mécanisme nécessaire

pour obtenir en toute sécurité la dernière clé ou une clé spécifique avec un
identificateur de clé d’un compte Active Directory. Ce service a été introduit dans
Windows Server 2012 et il ne s’exécute pas sur les versions antérieures du système
d’exploitation Windows Server. Le service de distribution de clés partage un secret qui
sert à créer des clés pour le compte. Ces clés sont modifiées périodiquement. Pour un
compte de service administré de groupe, le contrôleur de domaine calcule le mot de
passe sur la clé fournie par le service de distribution de clés, en plus d’autres attributs du
compte de service administré de groupe.
Applications pratiques des comptes administrés de

groupe
Les comptes de service administrés de groupe fournissent la même solution d’identité
pour les services qui s’exécutent dans une batterie de serveurs ou sur des systèmes
utilisant un équilibrage de la charge réseau. Avec une solution de compte de service
administré de groupe, les services peuvent être configurés pour le principal du compte
de service administré de groupe, et la gestion des mots de passe est gérée par le
En utilisant un compte de service administré de groupe, les administrateurs de service

n’ont pas besoin de gérer la synchronisation des mots de passe entre les instances de
service. Le compte de service administré de groupe prend en charge les hôtes qui sont
hors connexion pour une durée prolongée, ainsi que la gestion des hôtes membres pour
toutes les instances d’un service. Ce provisionnement signifie que vous pouvez déployer
une batterie de serveurs qui prend en charge une seule identité avec laquelle les
ordinateurs clients existants peuvent s’authentifier sans connaître l’instance de service à
laquelle ils se connectent.
Les clusters de basculement ne prennent pas en charge les comptes de service

administrés de groupe. Toutefois, les services qui s’exécutent sur le service de cluster
peuvent utiliser un compte de service administré de groupe ou un compte de service
administré autonome s’ils sont un service Windows, un pool d’applications ou une tâche
planifiée, ou s’ils prennent en charge en mode natif les comptes de service administrés
de groupe ou les comptes de service administrés autonomes.
Exigences logicielles des comptes administrés de groupe

Les comptes de service administrés de groupe peuvent être configurés et administrés
uniquement sur les ordinateurs qui exécutent Windows Server 2012 ou version
ultérieure. Toutefois, les comptes peuvent être déployés sous forme de solution
d’identité de service dans les domaines qui ont encore des contrôleurs de domaine
exécutant des systèmes d’exploitation antérieurs à Windows Server 2012. Il n’existe
aucune condition requise en ce qui concerne le niveau fonctionnel de forêt ou de
domaine.
Une architecture 64 bits est nécessaire afin d’exécuter les commandes Windows
PowerShell utilisées pour administrer les comptes de service administrés de groupe.
Un compte de service administré dépend des types de chiffrement pris en charge par
Kerberos. Quand un ordinateur client s’authentifie sur un serveur avec le protocole
Kerberos, le contrôleur de domaine crée un ticket de service Kerberos protégé par un
chiffrement pris en charge par le contrôleur de domaine et le serveur. Le contrôleur de
domaine utilise l’attribut msDS-SupportedEncryptionTypes du compte pour déterminer le
chiffrement pris en charge par le serveur. S’il n’y a pas d’attribut, il suppose que
l’ordinateur client ne prend pas en charge les types de chiffrement plus forts. AES
(Advanced Encryption Standard) doit toujours être configuré pour les comptes de
service administrés. Si les ordinateurs qui hébergent le compte de service administré
sont configurés pour ne pas prendre en charge RC4, l’authentification échoue toujours.
７ Notes
Introduit dans Windows Server 2008 R2, le chiffrement de données standard (DES)

est désactivé par défaut. Les comptes de service administrés de groupe ne
s’appliquent aux systèmes d’exploitation Windows antérieurs à Windows
Server 2012.
Pour plus d’informations sur les types de chiffrement pris en charge, voir Modifications
apportées à l’authentification Kerberos.
Comptes virtuels
Les comptes virtuels ont été introduits dans Windows Server 2008 R2 et Windows 7. Il
s’agit de comptes locaux administrés qui simplifient l’administration du service en
offrant les avantages suivants :
Le compte virtuel est administré automatiquement.

Le compte virtuel peut accéder au réseau dans un environnement de domaine.
Aucune gestion des mots de passe n'est requise. Par exemple, si la valeur par
défaut est utilisée pour les comptes de service pendant la configuration de SQL
Server sur Windows Server 2008 R2, un compte virtuel qui utilise le nom de
l’instance comme nom de service est établi au format NT SERVICE\
<SERVICENAME>.
Les services qui s’exécutent comme des comptes virtuels accèdent aux ressources
réseau en utilisant les informations d’identification du compte de l’ordinateur au format
<domain_name>\<computer_name>$.
Pour savoir comment configurer et utiliser des comptes de service virtuels, consultez
Guide pas à pas des comptes de service.
７ Notes
Les comptes virtuels s’appliquent uniquement aux systèmes d’exploitation

Windows listés dans la section « S’applique à » au début de cet article.
Voir aussi
Pour obtenir d’autres ressources liées aux comptes de service administrés autonomes,
aux comptes de service administrés de groupe et aux comptes virtuels, consultez :
Type de Références
contenu
Évaluation Nouveautés des comptes de service administrés
du produit Bien démarrer avec les comptes de service administrés de groupe
Déploiement Windows Server 2012: Group-managed service accounts - Ask Premier Field
Engineering (PFE) Platforms - Site Home - TechNet Blogs
Technologies Principaux de sécurité
associées Nouveautés Active Directory Domain Services

Comptes Microsoft
Découvrez comment fonctionne un compte Microsoft pour améliorer la sécurité et la

confidentialité des utilisateurs, et comment gérer les différents types de comptes de
consommateur dans votre organisation.
Qu’est-ce qu’un compte Microsoft ?

Les sites, services, propriétés et ordinateurs Microsoft exécutant Windows 10 peuvent
utiliser un compte Microsoft pour identifier un utilisateur. Auparavant, les comptes
Microsoft portaient le nom de comptes « Windows Live ID ». Un compte Microsoft
comprend des secrets définis par l’utilisateur, et se compose d’une adresse e-mail
unique et d’un mot de passe.
Lorsqu’un utilisateur se connecte avec un compte Microsoft, l’appareil est connecté aux
services cloud. L’utilisateur peut partager la plupart de ses paramètres, préférences et
applications entre ses appareils.
Fonctionnement d’un compte Microsoft

Un utilisateur peut utiliser un compte Microsoft pour se connecter à des sites web qui
prennent en charge ce service à l’aide d’un même ensemble d’informations
d’identification. Les informations d’identification d’un utilisateur sont validées par un
serveur d’authentification de compte Microsoft qui est associé à un site web.
Microsoft Store est un exemple d’une telle association. Lorsqu’un nouvel utilisateur se
connecte à un site web qui est activé pour utiliser des comptes Microsoft, l’utilisateur est
redirigé vers le serveur d’authentification le plus proche, qui demande un nom
d’utilisateur et un mot de passe. Windows utilise le fournisseur de support de sécurité
Schannel pour ouvrir une connexion TLS/SSL pour cette fonction. Les utilisateurs
peuvent utiliser le Gestionnaire d’informations d’identification pour stocker leurs
informations d’identification.
Lorsqu’un utilisateur se connecte à un site web qui est activé pour utiliser un compte
Microsoft, un cookie à durée limitée est installé sur son ordinateur. Le cookie inclut une
étiquette d’ID chiffrée triple DES. L’étiquette d’ID chiffrée a été convenue entre le
serveur d’authentification et le site web. L’étiquette d’ID est envoyée au site web, qui
place un autre cookie HTTP chiffré à durée limitée sur l’ordinateur de l’utilisateur. Tant
que le cookie est valide, l’utilisateur n’est pas tenu d’entrer un nom d’utilisateur et un
mot de passe. Si un utilisateur se déconnecte activement de son compte Microsoft, ces
cookies sont supprimés.
７ Notes
La fonctionnalité de compte Windows local est une option que vous pouvez utiliser
dans un environnement managé.
Création d’un compte Microsoft

Pour éviter la fraude, le système Microsoft vérifie l’adresse IP d’un utilisateur lorsque
celui-ci crée un compte Microsoft. Un utilisateur qui tente de créer plusieurs comptes
Microsoft à l’aide de la même adresse IP ne pourra pas créer d’autres comptes. Les
comptes Microsoft ne sont pas conçus pour être créés par lots, par exemple pour un
groupe d’utilisateurs de domaine au sein de votre entreprise.
Pour créer un compte Microsoft, un utilisateur dispose de deux options :
Utiliser une adresse e-mail existante. L’utilisateur peut utiliser son adresse e-mail
valide pour créer un compte Microsoft. Le service transforme l’adresse e-mail de
l’utilisateur demandeur en compte Microsoft. L’utilisateur peut choisir un mot de
passe distinct à utiliser pour le compte Microsoft.
S’inscrire pour obtenir une adresse e-mail Microsoft. Un utilisateur peut s’inscrire
à un compte de messagerie via les services de messagerie web Microsoft.
L’utilisateur peut utiliser le compte pour se connecter à des sites web qui sont
activés pour utiliser des comptes Microsoft.
Protection des informations de compte Microsoft

Les informations d’identification sont chiffrées deux fois. Le premier chiffrement est basé
sur le mot de passe du compte. Les informations d’identification sont chiffrées à
nouveau lorsqu’elles sont envoyées sur Internet. Les données d’informations
d’identification stockées ne sont pas disponibles pour les autres services Microsoft ni
pour les services non Microsoft.
Un mot de passe fort est nécessaire. Les mots de passe vides ne sont pas
autorisés.
Pour plus d’informations, consultez Comment maintenir le niveau de sécurité de
votre compte Microsoft .
Une preuve d’identité secondaire est requise. Pour qu’un utilisateur puisse
accéder aux informations et aux paramètres du profil utilisateur sur un autre
ordinateur Windows pris en charge, l’ordinateur en question doit d’abord être
approuvé. Pour obtenir cette approbation, l’utilisateur doit fournir une preuve
d’identité secondaire. L’utilisateur peut prouver son identité en entrant un code
envoyé sur un numéro de téléphone mobile ou en suivant les instructions
envoyées à une autre adresse e-mail spécifiée par un utilisateur dans les
paramètres du compte.
Toutes les données de profil utilisateur sont chiffrées sur le client avant d’être
envoyées vers le cloud. Par défaut, les données utilisateur ne circulent pas sur un
réseau étendu sans fil, ce qui permet de protéger les données de profil. L’ensemble
des données et des paramètres qui quittent un appareil sont transmis via le
protocole TLS/SSL.
Informations de sécurité du compte Microsoft

Un utilisateur peut ajouter des informations de sécurité à son compte Microsoft via
l’interface Comptes sur les ordinateurs exécutant des versions de Windows prises en
charge. Dans Comptes, l’utilisateur peut mettre à jour les informations de sécurité qu’il a
fournies lors de la création de son compte. Ces informations de sécurité incluent une
adresse e-mail ou un numéro de téléphone de secours, de sorte que si son mot de
passe est compromis ou oublié, un code de vérification peut lui être envoyé pour vérifier
son identité. Un utilisateur est susceptible d’utiliser son compte Microsoft pour stocker
des données d’entreprise sur une application OneDrive ou de messagerie personnelle.
Une pratique sûre consiste, pour le propriétaire du compte, à maintenir ces informations
de sécurité à jour.
Comptes Microsoft dans l’entreprise

Même si le compte Microsoft a été conçu pour les consommateurs, il peut y avoir des
situations dans lesquelles les utilisateurs de votre domaine peuvent avoir intérêt à
utiliser leur compte Microsoft personnel dans votre entreprise. La liste suivante décrit
certains de ces avantages :
Télécharger des applications du Microsoft Store. Si votre entreprise choisit de

distribuer des applications ou des logiciels via le Microsoft Store, un utilisateur
d’entreprise peut utiliser un compte Microsoft pour télécharger et utiliser les
applications sur un maximum de cinq appareils exécutant n’importe quelle version
de Windows 10, Windows 8.1, Windows 8 ou Windows RT.
Authentification unique. Un utilisateur d’entreprise peut utiliser des informations

d’identification de compte Microsoft pour se connecter à des appareils exécutant
Windows 10, Windows 8.1, Windows 8 ou Windows RT. Dans ce scénario, Windows
s’associe à votre application du Microsoft Store pour fournir une expérience
authentifiée dans l’application. Un utilisateur peut associer un compte Microsoft à
ses informations d’identification pour les applications ou sites web du
Microsoft Store afin que ces informations d’identification soient utilisées sur tous
les appareils qui exécutent ces versions prises en charge.
Synchronisation des paramètres personnalisés. Un utilisateur peut associer ses

paramètres de système d’exploitation les plus courants à un compte Microsoft. Ces
paramètres sont disponibles chaque fois que l’utilisateur se connecte avec ce
compte sur n’importe quel appareil qui exécute une version prise en charge de
Windows et qui est connecté au cloud. Une fois l’utilisateur connecté, cet appareil
tente automatiquement d’obtenir les paramètres de l’utilisateur à partir du cloud
et de les appliquer à l’appareil.
Synchronisation des applications. Les applications du Microsoft Store peuvent

stocker des paramètres propres à l’utilisateur afin que ces paramètres soient
disponibles sur n’importe quel appareil. Comme avec les paramètres de système
d’exploitation, ces paramètres d’application propres à l’utilisateur sont disponibles
chaque fois que l’utilisateur se connecte avec le même compte Microsoft sur un
appareil qui exécute une version de Windows prise en charge et qui est connecté
au cloud. Une fois que l’utilisateur se connecte, cet appareil télécharge
automatiquement les paramètres à partir du cloud et les applique lors de
l’installation de l’application.
Intégration des services de médias sociaux. Les informations de contact et l’état

des amis et associés d’un utilisateur sont automatiquement synchronisés avec les
sites tels qu’Outlook, Facebook, Twitter et LinkedIn. Un utilisateur peut également
accéder et partager des photos, des documents et d’autres fichiers à partir de sites
tels que OneDrive, Facebook et Flickr.
Gérer les comptes Microsoft dans le domaine

Selon vos modèles informatiques et commerciaux, l’introduction de comptes Microsoft
dans votre entreprise peut aussi bien ajouter de la complexité qu’apporter des solutions.
Avant d’autoriser l’utilisation de ces types de comptes dans votre entreprise, vous devez
prendre en compte ce qui suit :
Restreindre l’utilisation des comptes Microsoft
Configurer les comptes connectés
Provisionner les comptes Microsoft dans l’entreprise
Auditer l’activité du compte
Réinitialiser un mot de passe
Restreindre l’installation et l’utilisation des applications
Restreindre l’utilisation des comptes Microsoft

Les paramètres Stratégie de groupe suivants permettent de contrôler l’utilisation des
comptes Microsoft dans l’entreprise :
Applications et services : bloquer l’authentification utilisateur du compte Microsoft
Comptes : bloquer les comptes Microsoft
Applications et services : bloquer l’authentification utilisateur du

compte Microsoft
Ce paramètre permet de contrôler si un utilisateur peut s’authentifier à une application

ou à un service à l’aide d’un compte Microsoft.
Quand ce paramètre est activé, l’ensemble des applications et services d’un appareil ne
pourront pas utiliser un compte Microsoft pour l’authentification. Ce paramètre
s’applique à la fois aux utilisateurs existants et aux nouveaux utilisateurs.
Les applications ou services qui ont déjà authentifié un utilisateur avec un compte
Microsoft ne sont pas affectés par l’activation de ce paramètre tant que le cache
d’authentification n’a pas expiré. Nous vous recommandons d’activer ce paramètre
avant qu’un utilisateur ne se connecte à un appareil afin d’empêcher les jetons mis en
cache d’authentifier un compte Microsoft.
Si ce paramètre est désactivé ou non configuré, les applications et les services pourront

utiliser un compte Microsoft pour l’authentification. Ce paramètre est désactivé par
défaut.
Ce paramètre n’affecte pas la capacité de l’utilisateur à se connecter à un appareil à

l’aide d’un compte Microsoft, ni sa capacité à fournir un compte Microsoft via le
navigateur pour s’authentifier auprès d’une application web.
Le chemin de ce paramètre est Configuration ordinateur\Modèles
d’administration\Composants Windows\Compte Microsoft.
Comptes : bloquer les comptes Microsoft
Lorsque ce paramètre est activé, vous ne pouvez pas vous servir de l’application
Paramètres pour ajouter un compte Microsoft en vue d’utiliser l’authentification unique
avec les services Microsoft et certains services en arrière-plan. Vous ne pouvez pas non
plus utiliser un compte Microsoft pour l’authentification unique à d’autres applications
ou services.
Quand ce paramètre est activé, l’utilisateur a deux options :
L’utilisateur ne peut pas ajouter de compte Microsoft. Les comptes connectés

existants peuvent toujours se connecter à l’appareil (et ils s’affichent dans la page
Connexion). Toutefois, un utilisateur ne peut pas utiliser l’application Paramètres
pour ajouter un nouveau compte connecté ni pour connecter un compte local à un
compte Microsoft.
L’utilisateur ne peut pas ajouter un compte Microsoft ni se connecter avec un

compte Microsoft. Un utilisateur ne peut pas ajouter un nouveau compte
connecté (ou connecter un compte local à un compte Microsoft) ni utiliser un
compte connecté existant via l’application Paramètres.
Ce paramètre n’affecte pas l’ajout d’un compte Microsoft pour l’authentification auprès
des applications. Par exemple, si ce paramètre est activé, un utilisateur peut toujours
fournir un compte Microsoft pour l’authentification auprès d’une application telle que
Courrier, mais il ne pourra pas utiliser le compte Microsoft pour l’authentification unique
auprès d’autres applications ou services. Pour les autres applications et services,
l’utilisateur est invité à s’authentifier.
Ce paramètre n’est pas configuré par défaut.
Le chemin de ce paramètre est Configuration ordinateur\Paramètres

Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
Configurer les comptes connectés

Un utilisateur peut connecter un compte Microsoft à son compte de domaine et
synchroniser les paramètres et les préférences entre les comptes. En synchronisant les
paramètres et les préférences entre les comptes, l’utilisateur voit le même arrière-plan
de bureau, les mêmes paramètres de l’application, le même historique et les même
favoris de navigateur, ainsi que d’autres paramètres de compte Microsoft sur ses autres
appareils.
Déconnecter un compte connecté

Un utilisateur peut déconnecter un compte Microsoft de son compte de domaine à tout
moment : dans Paramètres du PC, sélectionnez Utilisateurs>Déconnecter>Terminer.
７ Notes
Le fait de déconnecter un compte Microsoft d’un compte de domaine peut limiter

l’accès à certaines tâches à privilèges élevés dans Windows. Par exemple, le
Planificateur de tâches évalue l’accès au compte Microsoft connecté et échoue.
Dans ce scénario, le propriétaire du compte doit déconnecter celui-ci.
Provisionner les comptes Microsoft dans l’entreprise

Un compte Microsoft est un compte d’utilisateur privé. Microsoft ne fournit pas de
moyen de provisionner des comptes Microsoft pour une entreprise. Les entreprises
doivent utiliser des comptes de domaine.
Auditer l’activité du compte

Étant donné qu’un compte Microsoft est basé sur Internet, Windows n’a pas de moyen
d’auditer un compte Microsoft, sauf si celui-ci est associé à un compte de domaine.
Vous ne pouvez pas auditer l’activité des comptes qui ne sont pas associés à votre
domaine, car un utilisateur peut déconnecter le compte ou quitter le domaine à tout
moment.
Réinitialisation du mot de passe

Seul le propriétaire d’un compte Microsoft peut modifier le mot de passe qui lui est
associé. Un utilisateur peut modifier le mot de passe de son compte Microsoft dans le
portail de connexion au compte Microsoft .
Restreindre l’installation et l’utilisation des applications

Au sein de votre organisation, vous pouvez définir des stratégies de contrôle des
applications pour réglementer l’installation et l’utilisation des applications pour les
comptes Microsoft. Pour plus d’informations, consultez AppLocker et Applications
empaquetées et règles du programme d’installation d’application empaquetée dans
AppLocker.
Voir aussi
Gérer la confidentialité : Utilisation d’un compte Microsoft pour se connecter et
communication Internet résultante

Cet article de référence décrit les principaux de sécurité pour les groupes de sécurité et
les comptes Windows, ainsi que les technologies de sécurité liées aux principaux de
sécurité.
Que sont les principaux de sécurité ?

Un principal de sécurité est toute entité qui peut être authentifiée par le système
d’exploitation, comme un compte d’utilisateur, un compte d’ordinateur, un thread ou un
processus qui s’exécute dans le contexte de sécurité d’un compte d’utilisateur ou
d’ordinateur, ou les groupes de sécurité de ces comptes. Les principaux de sécurité sont
depuis longtemps la base du contrôle de l’accès aux ressources sécurisables sur les
ordinateurs Windows. Chaque principal de sécurité est représenté dans le système
d’exploitation par un identificateur de sécurité unique (SID).
７ Notes
Ce contenu concerne uniquement les versions de Windows mentionnées dans la

liste « S’applique à » au début de l’article.
Fonctionnement des principaux de sécurité

Les principaux de sécurité créés dans un domaine Active Directory sont des objets
Active Directory, qui peuvent être utilisés pour gérer l’accès aux ressources de domaine.
Chaque principal de sécurité se voit attribuer un identificateur unique, qu’il conserve
pendant toute sa durée de vie. Les groupes de sécurité et les comptes d’utilisateur
locaux sont créés sur un ordinateur local, et ils peuvent être utilisés pour gérer l’accès
aux ressources sur cet ordinateur. Les groupes de sécurité et les comptes d’utilisateur
locaux sont gérés par le Gestionnaire de comptes de sécurité (SAM) sur l’ordinateur
local.
Composants d’autorisation et de contrôle d’accès

Le diagramme suivant illustre le processus d’autorisation et de contrôle d’accès
Windows. Dans ce diagramme, l’objet (un processus lancé par un utilisateur) tente
d’accéder à un objet, tel qu’un dossier partagé. Les informations contenues dans le jeton
d’accès de l’utilisateur sont comparées aux entrées de contrôle d’accès (ACE) dans le
descripteur de sécurité de l’objet, et la décision d’accès est prise. Les SID des principaux
de sécurité sont utilisés dans le jeton d’accès de l’utilisateur et dans les ACE dans le
descripteur de sécurité de l’objet.
Processus d’autorisation et de contrôle d’accès
Les principaux de sécurité sont étroitement liés aux composants et technologies

suivants :
Identificateurs de sécurité
Jetons d’accès
Descripteurs de sécurité et listes de contrôle d’accès
autorisations
Les identificateurs de sécurité (SID) constituent un module fondamental du modèle de
sécurité Windows. Ils fonctionnent avec des composants spécifiques des technologies
d’autorisation et de contrôle d’accès dans l’infrastructure de sécurité des systèmes
d’exploitation Windows Server. Cela permet de protéger l’accès aux ressources réseau,
et fournit un environnement informatique plus sécurisé.
Un SID est une valeur de longueur variable servant à identifier de manière unique un
principal de sécurité qui représente toute entité pouvant être authentifiée par le
système. Ces entités incluent un compte d’utilisateur, un compte d’ordinateur ou un
thread ou un processus qui s’exécute dans le contexte de sécurité d’un compte
d’utilisateur ou d’ordinateur. Un SID est automatiquement attribué à chaque principal
de sécurité lors de sa création. Le SID est stocké dans une base de données de sécurité.
Lorsqu’un SID est utilisé comme identificateur unique d’un utilisateur ou d’un groupe, il
ne peut jamais être utilisé pour identifier un autre utilisateur ou groupe.
Chaque fois qu’un utilisateur se connecte, le système crée un jeton d’accès pour cet
utilisateur. Le jeton d’accès contient le SID de l’utilisateur, les droits de l’utilisateur et les
SID pour les groupes auxquels l’utilisateur appartient. Ce jeton fournit le contexte de
sécurité pour toutes les actions effectuées par l’utilisateur sur cet ordinateur.
Outre les SID propres au domaine et créés de manière unique qui sont attribués à des
utilisateurs et groupes spécifiques, il existe des SID bien connus qui identifient les
groupes génériques et les utilisateurs génériques. Par exemple, les SID Everyone et
World identifient des groupes qui incluent tous les utilisateurs. Les SID bien connus ont
des valeurs qui restent constantes dans tous les systèmes d’exploitation.
Jetons d’accès
Un jeton d’accès est un objet protégé qui contient des informations sur l’identité et les
droits de l’utilisateur associés à un compte d’utilisateur.
Lorsqu’un utilisateur se connecte de manière interactive ou tente d’établir une

connexion réseau à un ordinateur Windows, le processus de connexion authentifie les
informations d’identification de l’utilisateur. Si l’authentification réussit, le processus
retourne un SID pour l’utilisateur et une liste de SID pour les groupes de sécurité de
l’utilisateur. L’autorité de sécurité locale (LSA) sur l’ordinateur utilise ces informations
pour créer un jeton d’accès (dans ce cas, le jeton d’accès principal). Celui-ci inclut les SID
retournés par le processus de connexion et une liste de droits d’utilisateur attribués par
la stratégie de sécurité locale à l’utilisateur et aux groupes de sécurité de l’utilisateur.
Une fois que la LSA a créé le jeton d’accès principal, une copie du jeton d’accès est
attachée à chaque thread et processus qui s’exécute au nom de l’utilisateur. Chaque fois
qu’un thread ou un processus interagit avec un objet sécurisable ou tente d’effectuer
une tâche système qui nécessite des droits d’utilisateur, le système d’exploitation vérifie
le jeton d’accès associé au thread pour déterminer le niveau d’autorisation.
Il existe deux types de jetons d'accès, primaire et emprunt d'identité. Chaque processus
a un jeton principal qui décrit le contexte de sécurité du compte d’utilisateur associé au
processus. Un jeton d’accès principal est généralement affecté à un processus pour
représenter les informations de sécurité par défaut pour ce processus. Les jetons
d’emprunt d’identité, quant à eux, sont utilisés pour les scénarios client et serveur. Les
jetons d’emprunt d’identité permettent à un thread de s’exécuter dans un contexte de
sécurité différent du contexte de sécurité du processus propriétaire du thread.
Descripteurs de sécurité et listes de contrôle d’accès

Un descripteur de sécurité est une structure de données associée à chaque objet
sécurisable. Tous les objets dans Active Directory et tous les objets sécurisables sur un
ordinateur local ou sur le réseau disposent de descripteurs de sécurité pour mieux
contrôler l’accès aux objets. Les descripteurs de sécurité incluent des informations sur le
propriétaire d’un objet, les personnes autorisées à y accéder et de quelle manière, et les
types d’accès audités. Les descripteurs de sécurité contiennent la liste de contrôle
d’accès (ACL) d’un objet, qui inclut toutes les autorisations de sécurité qui s’appliquent à
cet objet. Le descripteur de sécurité d’un objet peut contenir deux types de liste ACL :
Une liste de contrôle d’accès discrétionnaire (DACL) qui identifie les utilisateurs et
les groupes auxquels l’accès est autorisé ou refusé
Une liste de contrôle d’accès système (SACL) qui contrôle la façon dont l’accès est
audité
Vous pouvez utiliser ce modèle de contrôle d’accès pour sécuriser individuellement des
objets et des attributs tels que des fichiers et des dossiers, des objets Active Directory,
des clés de Registre, des imprimantes, des appareils, des ports, des services, des
processus et des threads. Grâce à ce contrôle individuel, vous pouvez ajuster la sécurité
des objets pour répondre aux besoins de votre organisation, déléguer des pouvoirs sur
des objets ou des attributs, et créer des objets ou des attributs personnalisés qui
nécessitent la définition de protections de sécurité uniques.
Autorisations
Les autorisations permettent au propriétaire de chaque objet sécurisable, tel qu’un
fichier, un objet Active Directory ou une clé de Registre, de contrôler qui peut effectuer
une opération ou un ensemble d’opérations sur l’objet ou la propriété d’objet. Les
autorisations sont exprimées dans l’architecture de sécurité en tant qu’entrée ACE.
L’accès à un objet étant à la discrétion du propriétaire de l’objet, le type de contrôle
d’accès utilisé dans Windows est appelé contrôle d’accès discrétionnaire.
Les autorisations diffèrent des droits de l’utilisateur, car elles sont attachées aux objets,
tandis que les droits de l’utilisateur s’appliquent aux comptes d’utilisateur. Les
administrateurs peuvent attribuer des droits de l’utilisateur à des groupes ou des
utilisateurs. Ces droits autorisent les utilisateurs à effectuer des actions spécifiques, telles
que la connexion à un système de manière interactive ou la sauvegarde de fichiers et de
répertoires.
Sur les ordinateurs, les droits de l’utilisateur permettent aux administrateurs de contrôler
qui a l’autorité d’effectuer des opérations qui affectent un ordinateur entier, plutôt
qu’un objet particulier. Les administrateurs attribuent des droits de l’utilisateur à des
utilisateurs ou à des groupes individuels dans le cadre des paramètres de sécurité de
l’ordinateur. Bien que les droits de l’utilisateur puissent être gérés de manière
centralisée via Stratégie de groupe, ils sont appliqués localement. Les utilisateurs
peuvent avoir différents droits de l’utilisateur sur différents ordinateurs (c’est d’ailleurs
généralement le cas).
Pour plus d’informations sur les droits de l’utilisateur disponibles et la façon dont ils
peuvent être implémentés, consultez Attribution des droits d’utilisateur.
Contexte de sécurité dans l’authentification

Un compte d’utilisateur permet à un utilisateur de se connecter à des ordinateurs, des
réseaux et des domaines avec une identité qui peut être authentifiée par l’ordinateur, le
réseau ou le domaine.
Dans Windows, tout utilisateur, service, groupe ou ordinateur qui peut lancer une action
est un principal de sécurité. Les principaux de sécurité ont des comptes, qui peuvent
être locaux sur un ordinateur ou un domaine. Par exemple, les ordinateurs clients
Windows joints à un domaine peuvent participer à un domaine réseau en
communiquant avec un contrôleur de domaine, même lorsqu’aucun utilisateur n’est
connecté.
Pour lancer des communications, l’ordinateur doit avoir un compte actif dans le
domaine. Avant d’accepter les communications en provenance de l’ordinateur, l’autorité
de sécurité locale sur le contrôleur de domaine authentifie l’identité de l’ordinateur, puis
définit le contexte de sécurité de l’ordinateur comme elle le ferait pour le principal de
sécurité d’un utilisateur.
Ce contexte de sécurité définit l’identité et les fonctionnalités d’un utilisateur ou d’un
service sur un ordinateur particulier, ou d’un utilisateur, service, groupe ou ordinateur
sur un réseau. Il définit par exemple les ressources accessibles (comme un partage de
fichiers ou une imprimante) et les actions (telles que Lire, Écrire ou Modifier) qui peuvent
être effectuées par un utilisateur, un service ou un ordinateur sur cette ressource.
Le contexte de sécurité d’un utilisateur ou d’un ordinateur peut varier d’un ordinateur à
l’autre, par exemple lorsqu’un utilisateur s’authentifie auprès d’un serveur ou d’une
station de travail autre que sa station de travail principale. Il peut également varier d’une
session à l’autre, par exemple lorsqu’un administrateur modifie les droits et autorisations
de l’utilisateur. En outre, le contexte de sécurité est différent lorsqu’un utilisateur ou un
ordinateur fonctionne de manière autonome, dans un domaine réseau mixte ou dans le
cadre d’un domaine Active Directory.
Comptes et groupes de sécurité

Les comptes et groupes de sécurité créés dans un domaine Active Directory sont
stockés dans la base de données Active Directory et gérés à l’aide des outils Active
Directory. Ces principaux de sécurité sont des objets d’annuaire, et ils peuvent être
utilisés pour gérer l’accès aux ressources de domaine.
Les groupes de sécurité et les comptes d’utilisateur locaux sont créés sur un ordinateur
local, et ils peuvent être utilisés pour gérer l’accès aux ressources sur cet ordinateur. Les
groupes de sécurité et les comptes d’utilisateur locaux sont stockés dans, et gérés par, le
Gestionnaire de comptes de sécurité (SAM) sur l’ordinateur local.
Comptes d'utilisateurs
Un compte d’utilisateur identifie de manière unique une personne qui utilise un système
informatique. Le compte indique au système d’appliquer l’autorisation appropriée pour
accorder ou refuser l’accès aux ressources à cet utilisateur. Des comptes d’utilisateur
peuvent être créés dans Active Directory et sur des ordinateurs locaux, et les
administrateurs les utilisent pour :
Représenter, identifier et authentifier l’identité d’un utilisateur. Un compte

d’utilisateur permet à un utilisateur de se connecter à des ordinateurs, des réseaux
et des domaines avec un identificateur unique qui peut être authentifié par
l’ordinateur, le réseau ou le domaine.
Autoriser (accorder ou refuser) l’accès aux ressources. Après son authentification,

l’utilisateur est autorisé à accéder aux ressources en fonction des autorisations qui
lui sont affectées pour la ressource.
Auditer les actions effectuées sur un compte d’utilisateur.
Les systèmes d’exploitation Windows et Windows Server ont des comptes d’utilisateur
intégrés, mais vous pouvez également créer des comptes d’utilisateur afin de répondre
aux exigences de votre organisation.
Groupes de sécurité
Un groupe de sécurité est une collection de comptes d’utilisateur, de comptes
d’ordinateur et d’autres groupes de comptes qui peuvent être gérés en tant qu’unité
unique du point de vue de la sécurité. Dans les systèmes d’exploitation Windows, il
existe plusieurs groupes de sécurité intégrés qui sont préconfigurés avec les droits et
autorisations appropriés pour effectuer des tâches spécifiques. Par ailleurs, vous pouvez
créer un groupe de sécurité pour chaque combinaison unique d’exigences de sécurité
qui s’applique à plusieurs utilisateurs de votre organisation.
Les groupes peuvent être basés sur Active Directory, ou être locaux sur un ordinateur
particulier :
Les groupes de sécurité Active Directory sont utilisés pour gérer les droits et les
autorisations sur des ressources de domaine.
Les groupes locaux existent dans la base de données SAM sur les ordinateurs
locaux (sur tous les ordinateurs Windows), à l’exception des contrôleurs de
domaine. Vous utilisez des groupes locaux pour gérer les droits et les autorisations
uniquement sur les ressources sur l’ordinateur local.
En utilisant des groupes de sécurité pour gérer le contrôle d’accès, vous pouvez :
Simplifier l’administration. Vous pouvez attribuer un ensemble commun de droits,

un ensemble commun d’autorisations, ou les deux, à de nombreux comptes à la
fois, plutôt que de les affecter à chaque compte individuellement. En outre, lorsque
les utilisateurs changent de fonction ou quittent l’organisation, la réaffectation ou
la suppression des autorisations est simplifiée car les autorisations ne sont pas
liées à leurs comptes d’utilisateur.
Implémenter un modèle de contrôle d’accès en fonction du rôle. Vous pouvez

utiliser ce modèle pour accorder des autorisations en créant des groupes avec des
étendues différentes à des fins appropriées. Les étendues disponibles dans
Windows sont les suivantes : locale, globale, locale au domaine et universelle.
Réduire la taille des listes de contrôle d’accès et accélérer la vérification de la

sécurité. Un groupe de sécurité a son propre SID ; par conséquent, le SID de
groupe peut être utilisé pour spécifier des autorisations pour une ressource. Dans
un environnement comptant plus de quelques milliers d’utilisateurs, si les SID des
comptes d’utilisateur individuels sont utilisés pour spécifier l’accès à une ressource,
la liste de contrôle d’accès de cette ressource peut devenir ingérable car trop
volumineuse, et le temps nécessaire au système pour vérifier les autorisations sur
la ressource peut devenir inacceptable.
Pour obtenir des descriptions et des informations sur les paramètres des groupes de
sécurité de domaine définis dans Active Directory, consultez Groupes de sécurité Active
Directory.
Pour obtenir des descriptions et des informations sur les paramètres des identités
spéciales, consultez Groupes d’identités spéciaux.
Voir aussi
Cet article décrit comment les identificateurs de sécurité (SID) fonctionnent avec les
comptes et les groupes dans le système d’exploitation Windows Server.
Que sont les identificateurs de sécurité ?

Un identificateur de sécurité est utilisé pour identifier de manière unique un principal de
sécurité ou un groupe de sécurité. Les principaux de sécurité représentent toute entité
qui peut être authentifiée par le système d’exploitation, comme un compte d’utilisateur,
un compte d’ordinateur, ou un thread ou un processus qui s’exécute dans le contexte de
sécurité d’un compte d’utilisateur ou d’ordinateur.
Chaque compte ou groupe, ou chaque processus qui s’exécute dans le contexte de

sécurité du compte, possède un SID unique émis par une autorité, telle qu’un contrôleur
de domaine Windows. Le SID est stocké dans une base de données de sécurité. Le
système génère le SID qui identifie un compte ou un groupe particulier au moment de
la création du compte ou du groupe. Lorsqu’un SID est utilisé comme identificateur
unique d’un utilisateur ou d’un groupe, il ne peut jamais être utilisé pour identifier un
autre utilisateur ou groupe.
Chaque fois qu’un utilisateur se connecte, le système crée un jeton d’accès pour cet
utilisateur. Le jeton d’accès contient le SID de l’utilisateur, les droits de l’utilisateur et les
SID des groupes auxquels l’utilisateur appartient. Ce jeton fournit le contexte de sécurité
pour toutes les actions effectuées par l’utilisateur sur cet ordinateur.
Outre les SID propres au domaine et créés de manière unique qui sont attribués à des
utilisateurs et groupes spécifiques, il existe des SID bien connus qui identifient les
groupes génériques et les utilisateurs génériques. Par exemple, les SID Everyone et
World identifient des groupes qui incluent tous les utilisateurs. Les SID bien connus ont
des valeurs qui restent constantes dans tous les systèmes d’exploitation.
Les SID constituent un module fondamental du modèle de sécurité Windows. Ils

fonctionnent avec des composants spécifiques des technologies d’autorisation et de
contrôle d’accès dans l’infrastructure de sécurité des systèmes d’exploitation Windows
Server. Cela permet de protéger l’accès aux ressources réseau, et fournit un
environnement informatique plus sécurisé.
７ Notes
Ce contenu concerne uniquement les versions de Windows mentionnées dans la

liste « S’applique à » au début de l’article.
Fonctionnement des identificateurs de sécurité

Les utilisateurs font référence à un compte en utilisant le nom de ce compte, mais en
interne, le système d’exploitation fait référence aux comptes et aux processus qui
s’exécutent dans le contexte de sécurité du compte à l’aide de leurs SID. Pour les
comptes de domaine, le SID d’un principal de sécurité est créé en concaténant le SID du
domaine avec un identificateur relatif (RID) pour le compte. Les SID sont uniques dans
leur étendue (domaine ou local) et ne sont jamais réutilisés.
Le système d’exploitation génère un SID qui identifie un compte ou un groupe

particulier au moment de la création du compte ou du groupe. Le SID d’un compte ou
d’un groupe local est généré par l’autorité de sécurité locale (LSA) sur l’ordinateur, et il
est stocké avec d’autres informations de compte dans une zone sécurisée du Registre.
Le SID d’un compte ou d’un groupe de domaine est généré par l’autorité de sécurité de
domaine, et il est stocké en tant qu’attribut de l’objet Utilisateur ou Groupe dans
Pour chaque compte et groupe local, le SID est unique pour l’ordinateur sur lequel il a
été créé. Deux comptes ou groupes sur l’ordinateur ne partagent jamais le même SID.
De même, pour chaque compte et groupe de domaine, le SID est unique au sein d’une
entreprise. Cela signifie que le SID d’un compte ou d’un groupe créé dans un domaine
ne correspond jamais au SID d’un compte ou d’un groupe créé dans un autre domaine
de l’entreprise.
Les SID restent toujours uniques. Les autorités de sécurité n’émettent jamais le même
SID deux fois et ne réutilisent jamais les SID pour les comptes supprimés. Par exemple, si
un utilisateur disposant d’un compte d’utilisateur dans un domaine Windows quitte son
travail, un administrateur supprime son compte Active Directory, y compris le SID qui
identifie le compte. Si l’utilisateur revient ultérieurement et occupe un autre poste dans
la même entreprise, un administrateur crée un nouveau compte et le système
d’exploitation Windows Server génère un nouveau SID. Le nouveau SID ne correspond
pas à l’ancien. Par conséquent, aucun accès de l’utilisateur n’est transféré de son ancien
compte vers son nouveau compte. Leurs deux comptes représentent deux principaux de
sécurité complètement différents.
Architecture de l’identificateur de sécurité
Un identificateur de sécurité est une structure de données au format binaire, qui
contient un nombre variable de valeurs. Les premières valeurs de la structure
contiennent des informations sur la structure SID. Les valeurs restantes sont organisées
sous la forme d’une hiérarchie (similaire à un numéro de téléphone) et identifient
l’autorité émettrice du SID (par exemple, « autorité NT »), le domaine émetteur du SID et
un principal ou un groupe de sécurité particulier. L’image suivante illustre la structure
d’un SID.
Les valeurs individuelles d’un SID sont décrites dans le tableau suivant :
Commentaire Description
Révision Indique la version de la structure SID utilisée dans un SID particulier.
Autorité Identifie le niveau d’autorité le plus élevé qui peut émettre des SID pour un type
d’identificateur particulier de principal de sécurité. Par exemple, la valeur de l’autorité
d’identificateur dans le SID pour le groupe Everyone est 1 (Autorité mondiale).
La valeur de l’autorité d’identificateur dans le SID d’un compte ou d’un groupe
Windows Server spécifique est 5 (autorité NT).
Sous-autorités Contient les informations les plus importantes dans un SID, qui sont contenues
dans une série d’une ou plusieurs valeurs de sous-autorité. Toutes les valeurs
jusqu’à la dernière valeur de la série (non incluse) identifient collectivement un
domaine dans une entreprise. Cette partie de la série est appelée identificateur
de domaine. La dernière valeur de la série, appelée identificateur relatif (RID),
identifie un compte ou un groupe particulier relatif à un domaine.
Les composants d’un SID sont plus faciles à visualiser lorsque les SID sont convertis d’un
format binaire à un format de chaîne à l’aide de la notation standard :
S-R-X-Y1-Y2-Yn-1-Yn
Dans cette notation, les composants d’un SID sont décrits dans le tableau suivant :
Commentaire Description
S Indique que la chaîne est un SID
R Indique le niveau de révision
X Indique la valeur de l’autorité d’identificateur
O Représente une série de valeurs de sous-autorité, où n est le nombre de valeurs
Les informations les plus importantes du SID sont contenues dans la série de valeurs de
sous-autorité. La première partie de la série (-Y1-Y2-Yn-1) est l’identificateur de
domaine. Cet élément du SID devient significatif dans une entreprise possédant
plusieurs domaines, car l’identificateur de domaine différencie les SID émis par un
domaine des SID émis par tous les autres domaines de l’entreprise. Deux domaines
d’une entreprise ne partagent pas le même identificateur de domaine.
Le dernier élément de la série de valeurs de sous-autorité (-Yn) est l’identificateur relatif.

Il distingue un compte ou un groupe de tous les autres comptes et groupes du
domaine. Deux comptes ou groupes dans n’importe quel domaine ne partagent pas le
même identificateur relatif.
Par exemple, le SID du groupe intégré Administrateurs est représenté en notation SID
standardisée avec une chaîne sous la forme suivante :
S-1-5-32-544
Ce SID comporte quatre composants :
Niveau de révision (1)

Valeur d’autorité d’identificateur (5, Autorité NT)
Identificateur de domaine (32, Builtin)
Identificateur relatif (544, Administrateurs)
Les SID pour les comptes et groupes intégrés ont toujours la même valeur
d’identificateur de domaine, 32. Cette valeur identifie le domaine, Builtin, qui existe sur
chaque ordinateur exécutant une version du système d’exploitation Windows Server. Il
n’est jamais nécessaire de distinguer les comptes et groupes intégrés d’un ordinateur
des comptes et groupes intégrés d’un autre ordinateur, car ils sont locaux par rapport à
l’étendue. Ils sont locaux par rapport à un seul ordinateur ou, dans le cas de contrôleurs
de domaine pour un domaine réseau, ils sont locaux par rapport à plusieurs ordinateurs
qui agissent comme une seule unité.
Les comptes et les groupes intégrés doivent être distingués les uns des autres dans
l’étendue du domaine Builtin. Par conséquent, le SID de chaque compte et groupe
possède un identificateur relatif unique. Une valeur d’identificateur relative de 544 est
propre au groupe administrateurs intégré. Aucun autre compte ou groupe dans le
domaine Builtin ne possède de SID avec une valeur finale de 544.
Dans un autre exemple, considérez le SID du groupe global Admins du domaine.

Chaque domaine d’une entreprise possède un groupe Admins du domaine, et le SID de
chaque groupe est différent. L’exemple suivant représente le SID pour le groupe Admins
du domaine dans le domaine Contoso, Ltd. (Contoso\Admins du domaine) :
S-1-5-21-1004336348-1177238915-682003330-512
Le SID pour Contoso\Admins du domaine se compose comme suit :
Niveau de révision (1)

Valeur d’autorité d’identificateur (5, Autorité NT)
Identificateur de domaine (21-1004336348-1177238915-682003330, Contoso)
Identificateur relatif (512, Admins du domaine)
Le SID pour Contoso\Admins du domaine se distingue des SID des autres groupes
Admins du domaine de la même entreprise par son identificateur de domaine : 21-
1004336348-1177238915-682003330. Aucun autre domaine de l’entreprise n’utilise
cette valeur comme identificateur de domaine. Le SID pour Contoso\Admins du
domaine se distingue des SID des autres comptes et groupes créés dans le domaine
Contoso par son identificateur relatif, 512. Aucun autre compte ou groupe dans le
domaine ne possède de SID avec une valeur finale de 512.
Allocation d’identificateur relatif

Lorsque des comptes et des groupes sont stockés dans une base de données de compte
gérée par un gestionnaire de comptes de sécurité (SAM) local, il est assez facile pour le
système de générer un identificateur relatif unique pour chaque compte et dans un
groupe qu’il crée sur un ordinateur autonome. Le SAM situé sur un ordinateur
autonome peut suivre les valeurs d’identificateur relatives qu’il a utilisées auparavant et
s’assurer qu’il ne les utilise plus jamais.
Toutefois, dans un domaine réseau, la génération d’identificateurs relatifs uniques est un

processus plus complexe. Les domaines réseau Windows Server peuvent avoir plusieurs
contrôleurs de domaine. Chaque contrôleur de domaine stocke les informations de
compte Active Directory. Cela signifie que, dans un domaine réseau, il y a autant de
copies de la base de données de compte que de contrôleurs de domaine. Par ailleurs,
chaque copie de la base de données de compte est une copie maître.
De nouveaux comptes et groupes peuvent être créés sur n’importe quel contrôleur de
domaine. Les modifications apportées à Active Directory sur un contrôleur de domaine
sont répliquées sur tous les autres contrôleurs de domaine du domaine. Le processus de
réplication des modifications d’une copie maître de la base de données de compte vers
toutes les autres copies maîtres est appelé opération à multiples maîtres.
Le processus de génération d’identificateurs relatifs uniques est une opération à un seul

maître. Un contrôleur de domaine se voit attribuer le rôle de maître RID et il alloue une
séquence d’identificateurs relatifs à chaque contrôleur de domaine dans le domaine.
Lorsqu’un nouveau compte ou groupe de domaine est créé dans le réplica d’un
contrôleur de domaine d’Active Directory, un SID lui est attribué. L’identificateur relatif
du nouveau SID provient de l’allocation d’identificateurs relatifs par le contrôleur de
domaine. Lorsque son stock d’identificateurs relatifs commence à devenir faible, le
contrôleur de domaine demande un autre bloc au maître RID.
Chaque contrôleur de domaine n’utilise chaque valeur qu’une seule fois dans un bloc
d’identificateurs relatifs. Le maître RID n’alloue chaque bloc de valeurs d’identificateur
relatif qu’une seule fois. Ce processus garantit que chaque compte et groupe créé dans
le domaine possède un identificateur relatif unique.
Identificateurs de sécurité et identificateurs

globaux uniques
Lorsqu’un compte d’utilisateur ou de groupe de domaine est créé, Active Directory
stocke le SID du compte dans la propriété ObjectSID d’un objet Utilisateur ou Groupe. Il
affecte également au nouvel objet un identificateur global unique (GUID), qui est une
valeur 128 bits unique non seulement dans l’entreprise, mais également dans le monde
entier. Les GUID sont attribués à chaque objet créé par Active Directory, et pas
uniquement dans les objets Utilisateur et Groupe. Le GUID de chaque objet est stocké
dans sa propriété ObjectGUID .
Active Directory utilise des GUID en interne pour identifier des objets. Par exemple, le
GUID est l’une des propriétés d’un objet publié dans le catalogue global. La recherche
d’un GUID d’objet utilisateur dans le catalogue global produit des résultats si l’utilisateur
possède un compte quelque part dans l’entreprise. En fait, la recherche d’un objet par
ObjectGUID peut être le moyen le plus fiable de trouver l’objet que vous souhaitez
localiser. Les valeurs d’autres propriétés d’objet peuvent changer, mais la propriété
ObjectGUID ne change jamais. Lorsqu’un objet reçoit un GUID, il conserve cette valeur à
vie.
Si un utilisateur passe d’un domaine à un autre, il obtient un nouveau SID. Le SID d’un
objet de groupe ne change pas, car les groupes restent dans le domaine où ils ont été
créés. Toutefois, si des personnes se déplacent, leurs comptes peuvent être déplacés
avec eux. Si un employé travaillant en Amérique du Nord déménage en Europe, mais
continue à travailler dans la même entreprise, un administrateur de l’entreprise peut
déplacer l’objet Utilisateur de l’employé, par exemple Contoso\AmNo vers
Contoso\Europe. Si l’administrateur effectue cette opération, l’objet Utilisateur du
compte a besoin d’un nouveau SID. La partie Identificateur de domaine d’un SID émis
dans AmNo est propre à AmNo. Le SID du compte de l’utilisateur en Europe possède
donc un identificateur de domaine différent. La partie Identificateur relative d’un SID est
unique par rapport au domaine. Par conséquent, si le domaine change, l’identificateur
relatif change également.
Lorsqu’un objet Utilisateur passe d’un domaine à un autre, un nouveau SID doit être
généré pour le compte d’utilisateur et stocké dans la propriété ObjectSID . Avant que la
nouvelle valeur ne soit écrite dans la propriété, la valeur précédente est copiée dans une
autre propriété d’un objet Utilisateur, SIDHistory . Cette propriété peut contenir
plusieurs valeurs. Chaque fois qu’un objet Utilisateur se déplace vers un autre domaine,
un nouveau SID est généré et stocké dans la propriété ObjectSID , et une autre valeur
est ajoutée à la liste des anciens SID dans SIDHistory . Lorsqu’un utilisateur se connecte
et qu’il est correctement authentifié, le service d’authentification de domaine interroge
Active Directory pour tous les SID associés à l’utilisateur, y compris le SID actuel de
l’utilisateur, les anciens SID de l’utilisateur et les SID des groupes de l’utilisateur. Tous
ces SID sont retournés au client d’authentification et sont inclus dans le jeton d’accès de
l’utilisateur. Lorsque l’utilisateur tente d’accéder à une ressource, l’un des SID dans le
jeton d’accès (y compris l’un des SID dans SIDHistory ), peut autoriser ou refuser l’accès
à utilisateur.
Si vous autorisez ou refusez l’accès des utilisateurs à une ressource en fonction de leur
travail, vous devez autoriser ou refuser l’accès à un groupe, et non à un individu. De
cette façon, lorsque les utilisateurs changent de travail ou de service, vous pouvez
facilement ajuster leur accès en les supprimant de certains groupes et en les ajoutant à
d’autres.
Toutefois, si vous autorisez un utilisateur individuel à accéder à des ressources ou lui

refusez cet accès, il est probable que vous souhaitiez que l’accès de cet utilisateur reste
le même, quel que soit le nombre de fois où le domaine du compte de l’utilisateur
change. La propriété SIDHistory vous permet de faire cela. Lorsqu’un utilisateur change
de domaine, il n’est pas nécessaire de modifier la liste de contrôle d’accès (ACL) à la
moindre ressource. Si une liste de contrôle d’accès possède l’ancien SID de l’utilisateur,
mais pas le nouveau, l’ancien SID se trouve toujours dans le jeton d’accès de l’utilisateur.
Il est répertorié parmi les SID des groupes de l’utilisateur, et l’utilisateur se voit accorder
ou refuser l’accès en fonction de l’ancien SID.
SID connus
Les valeurs de certains SID sont constantes, quel que soit le système. Ces SID sont créés
lorsque le système d’exploitation ou le domaine est installé. Ils sont appelés SID connus,
car ils identifient les utilisateurs génériques ou les groupes génériques.
Il existe des SID universels connus qui sont importants pour tous les systèmes sécurisés
qui utilisent ce modèle de sécurité, y compris les systèmes d’exploitation autres que
Windows. Par ailleurs, il existe des SID connus qui sont importants uniquement sur les
systèmes d’exploitation Windows.
Les SID universels connus sont répertoriés dans le tableau suivant :
Valeur SID universel Identifie

connu
S-1-0- SID Null Un groupe sans membres. Celui-ci est souvent utilisé lorsqu’une valeur
0 de SID n’est pas connue.
S-1-1- World Groupe qui inclut tous les utilisateurs.

0 (Monde)
S-1-2- Local Utilisateurs qui se connectent à des terminaux connectés localement

0 (physiquement) au système.
S-1-2- Ouverture de Groupe qui inclut les utilisateurs connectés à la console physique.
1 session de
console
S-1-3- ID du Identificateur de sécurité à remplacer par l’identificateur de sécurité de

0 propriétaire l’utilisateur qui a créé un nouvel objet. Ce SID est utilisé dans les
du créateur entrées de contrôle d’accès (ACE) qui peuvent être héritées.
S-1-3- ID du groupe Identificateur de sécurité à remplacer par le SID du groupe principal de

1 de créateur l’utilisateur qui a créé un nouvel objet. Utilisez ce SID dans les ACE
héritées.
Valeur SID universel Identifie
connu
S-1-3- Creator Owner

2 Server
(CREATOR
OWNER
SERVER)
S-1-3- Creator Group

3 Server
(CREATOR
GROUP
SERVER)
S-1-3- Droits du Groupe qui représente le propriétaire actuel de l’objet. Lorsqu’une ACE
4 propriétaire qui porte ce SID est appliquée à un objet, le système ignore les
autorisations implicites READ_CONTROL et WRITE_DAC pour le
propriétaire de l’objet.
S-1-4 Autorité non SID qui représente une autorité d’identificateur.

unique
S-1-5 NT Authority SID qui représente une autorité d’identificateur.

(AUTORITE
NT)
S-1-5- Tous les Groupe qui inclut tous les processus de service configurés sur le
80-0 services système. L’appartenance est contrôlée par le système d’exploitation.
Le tableau suivant répertorie les constantes de l’autorité d’identificateur prédéfinie. Les

quatre premières valeurs sont utilisées avec des SID universels connus, et les autres
valeurs sont utilisées avec des SID connus dans les systèmes d’exploitation Windows
figurant dans la liste « S’applique à » au début de l’article.
Autorité d’identificateur Valeur Préfixe de la chaîne SID
SECURITY_NULL_SID_AUTHORITY 0 S-1-0
SECURITY_WORLD_SID_AUTHORITY 1 S-1-1
SECURITY_LOCAL_SID_AUTHORITY 2 S-1-2
SECURITY_CREATOR_SID_AUTHORITY 3 S-1-3
SECURITY_NT_AUTHORITY 5 S-1-5
SECURITY_AUTHENTICATION_AUTHORITY 18 S-1-18
Les valeurs RID suivantes sont utilisées avec des SID universels connus. La colonne
Autorité d’identificateur affiche le préfixe de l’autorité d’identificateur que vous pouvez
combiner au RID pour créer un SID universel connu.
Autorité d’identificateur relative Valeur Autorité d’identificateur
SECURITY_NULL_RID 0 S-1-0
SECURITY_WORLD_RID 0 S-1-1
SECURITY_LOCAL_RID 0 S-1-2
SECURITY_CREATOR_OWNER_RID 0 S-1-3
SECURITY_CREATOR_GROUP_RID 1 S-1-3
L’autorité d’identificateur prédéfinie SECURITY_NT_AUTHORITY (S-1-5) produit des SID

non universels et qui ont leur importance uniquement dans les installations des
systèmes d’exploitation Windows figurant dans la liste « S’applique à » au début de cet
article.
Les SID connus sont répertoriés dans le tableau suivant :
SID Nom complet Description
S-1-5-1 Dialup (LIGNE) Groupe qui inclut tous les utilisateurs connectés au
système via une connexion d’accès à distance.
S-1-5-113 Compte local Vous pouvez utiliser ce SID lorsque vous limitez la
connexion réseau à des comptes locaux au lieu de
comptes « administrateur » ou équivalent. Ce SID peut
être efficace pour bloquer la connexion réseau pour
les utilisateurs et les groupes locaux par type de
compte, quel que soit leur nom.
S-1-5-114 Compte local et Vous pouvez utiliser ce SID lorsque vous limitez la
membre du groupe connexion réseau à des comptes locaux au lieu de
Administrateurs comptes « administrateur » ou équivalent. Ce SID peut
être efficace pour bloquer la connexion réseau pour
les utilisateurs et les groupes locaux par type de
compte, quel que soit leur nom.
S-1-5-2 Réseau Groupe qui inclut tous les utilisateurs connectés via
une connexion réseau. Les jetons d’accès pour les
utilisateurs interactifs ne contiennent pas le SID
Réseau.
S-1-5-3 Batch Groupe qui inclut tous les utilisateurs qui se sont
connectés via la fonctionnalité de file d’attente de lot,
comme des tâches du planificateur de tâches.
S-1-5-4 Interactive Groupe qui inclut tous les utilisateurs qui se

connectent de manière interactive. Un utilisateur peut
démarrer une session de connexion interactive en
ouvrant une connexion aux services Bureau à distance
à partir d’un ordinateur distant ou en utilisant un
interpréteur de commandes distant tel que Telnet.
Dans chaque cas, le jeton d’accès de l’utilisateur
contient le SID interactif. Si l’utilisateur se connecte à
l’aide d’une connexion des services Bureau à distance,
le jeton d’accès de l’utilisateur contient également le
SID d’ouverture de session interactive à distance.
S-1-5-5- X-Y Session d’ouverture de Les valeurs X et Y de ces SID identifient de manière
session unique une session d’ouverture de session
particulière.
S-1-5-6 Service Groupe qui inclut tous les principaux de sécurité qui
se sont connectés en tant que service.
S-1-5-7 Ouverture de session Un utilisateur qui s’est connecté à l’ordinateur sans

anonyme fournir de nom d’utilisateur ni de mot de passe.
L’identité d’ouverture de session anonyme est

différente de l’identité utilisée par Internet Information
Services (IIS) pour l’accès web anonyme. IIS utilise un
compte réel (par défaut, IUSR_NomOrdinateur), pour
l’accès anonyme aux ressources d’un site web. À
proprement parler, cet accès n’est pas anonyme, car le
principal de sécurité est connu même si des personnes
non identifiées utilisent le compte.
IUSR_NomOrdinateur (ou quel que soit le nom que
vous donnez au compte) possède un mot de passe, et
IIS se connecte au compte au démarrage du service.
Par conséquent, l’utilisateur IIS « anonyme » est
membre des utilisateurs authentifiés, mais pas
Ouverture de session anonyme.
S-1-5-8 Proxy Ne s’applique pas actuellement : ce SID n’est pas

utilisé.
S-1-5-9 Contrôleurs de Groupe qui inclut tous les contrôleurs de domaine

domaine d’entreprise dans une forêt de domaines.
S-1-5-10 Self Espace réservé dans un ACE pour un utilisateur, un

groupe ou un objet ordinateur dans Active Directory.
Lorsque vous accordez des autorisations à Self, vous
les accordez au principal de sécurité représenté par
l’objet. Lors d’une vérification d’accès, le système
d’exploitation remplace le SID pour Self par le SID du
principal de sécurité représenté par l’objet.
S-1-5-11 Utilisateurs Groupe qui inclut tous les utilisateurs et ordinateurs

authentifiés avec des identités qui ont été authentifiées. Les
utilisateurs authentifiés n’incluent pas Invité, même si
le compte Invité possède un mot de passe.
Ce groupe inclut des principaux de sécurité

authentifiés à partir de n’importe quel domaine
approuvé, pas seulement le domaine actuel.
S-1-5-12 Code restreint Identité utilisée par un processus en cours d’exécution

dans un contexte de sécurité restreint. Dans les
systèmes d’exploitation Windows et Windows Server,
une stratégie de restriction logicielle peut affecter l’un
des trois niveaux de sécurité au code :
Unrestricted
Restricted
Disallowed
Lorsque le code s’exécute au niveau de sécurité

restreint, le SID Restreint est ajouté au jeton d’accès
de l’utilisateur.
S-1-5-13 Utilisateur de Terminal Groupe qui inclut tous les utilisateurs qui se
Server connectent à un serveur sur lequel les services Bureau
à distance sont activés.
S-1-5-14 Ouverture de session Groupe qui comprend tous les utilisateurs qui se
interactive connectent à l’ordinateur à l’aide d’une connexion
Bureau à distance. Ce groupe est un sous-ensemble
du groupe interactif. Les jetons d’accès qui
contiennent le SID d’ouverture de session interactive
distante contiennent également le SID interactif.
S-1-5-15 This Organization Groupe qui inclut tous les utilisateurs de la même
(Cette organisation) organisation. Inclus uniquement avec les comptes
Active Directory et ajoutés uniquement par un
S-1-5-17 IUSR Compte utilisé par l’utilisateur IIS (Internet Information

Services) par défaut.
S-1-5-18 Système (ou Système Identité utilisée localement par le système

local) d’exploitation et par les services configurés pour se
connecter en tant que Système local.
Système est un membre masqué du groupe

Administrateurs. Autrement dit, tout processus
exécuté en tant que Système possède le SID du
groupe intégré Administrateurs dans son jeton
d’accès.
Lorsqu’un processus qui s’exécute localement en tant

que système accède aux ressources réseau, il le fait à
l’aide de l’identité de domaine de l’ordinateur. Son
jeton d’accès sur l’ordinateur distant inclut le SID du
compte de domaine de l’ordinateur local, ainsi que les
SID pour les groupes de sécurité dont l’ordinateur est
membre, tels que les ordinateurs de domaine et les
utilisateurs authentifiés.
S-1-5-19 Autorité NT (Service Identité utilisée par les services locaux de l’ordinateur,
local) qui n’ont pas besoin d’un accès local étendu et qui
n’ont pas besoin d’un accès réseau authentifié. Les
services qui s’exécutent en tant que Service local
accèdent aux ressources locales en tant qu’utilisateurs
ordinaires, et ils accèdent aux ressources réseau en
tant qu’utilisateurs anonymes. Par conséquent, un
service qui s’exécute en tant que Service local a
beaucoup moins d’autorité qu’un service qui s’exécute
en tant que Système local localement et sur le réseau.
S-1-5-20 Service réseau Identité utilisée par les services qui n’ont pas besoin
d’un accès local étendu, mais qui ont besoin d’un
accès réseau authentifié. Les services exécutés en tant
que Service réseau accèdent aux ressources locales en
tant qu’utilisateurs ordinaires et accèdent aux
ressources réseau à l’aide de l’identité de l’ordinateur.
Par conséquent, un service qui s’exécute en tant que
Service réseau a le même accès réseau qu’un service
qui s’exécute en tant que Système local, mais il
possède un accès local considérablement réduit.
S-1-5- Administrateur Compte d’utilisateur pour l’administrateur système.

domaine-500 Chaque ordinateur possède un compte Administrateur
local et chaque domaine possède un compte
Administrateur de domaine.
Le compte Administrateur est le premier compte créé

lors de l’installation d’un système d’exploitation. Le
compte ne peut pas être supprimé, désactivé ni
verrouillé, mais il peut être renommé.
Par défaut, le compte Administrateur est membre du

groupe Administrateurs et ne peut pas être supprimé
de ce groupe.
S-1-5- Invité Compte d’utilisateur pour les personnes qui ne

domaine-501 possèdent pas de compte individuel. Chaque
ordinateur possède un compte Invité local, et chaque
domaine possède un compte Invité de domaine.
Par défaut, Invité est membre des groupes Tout le

monde et Invités. Le compte Invité de domaine est
également membre des groupes Invités du domaine
et Utilisateurs du domaine.
Contrairement à Ouverture de session anonyme, Invité

est un compte réel qui peut être utilisé pour se
connecter de manière interactive. Le compte Invité ne
nécessite pas de mot de passe, mais il peut en avoir
un.
S-1-5- KRBTGT Compte d’utilisateur utilisé par le service Centre de

domaine-502 distribution de clés (KDC). Ce compte existe
uniquement sur les contrôleurs de domaine.
S-1-5- Administrateurs du Groupe global avec les membres autorisés à

domaine-512 domaine administrer le domaine. Par défaut, le groupe Admins
du domaine est membre du groupe Administrateurs
sur tous les ordinateurs qui ont rejoint le domaine, y
compris les contrôleurs de domaine.
Admins du domaine est le propriétaire par défaut de

tout objet créé dans l’Active Directory du domaine par
n’importe quel membre du groupe. Si des membres
du groupe créent d’autres objets, tels que des fichiers,
le propriétaire par défaut est le groupe
Administrateurs.
S-1-5- Utilisateurs du Groupe global qui inclut tous les utilisateurs d’un
domaine-513 domaine domaine. Lorsque vous créez un objet Utilisateur dans
Active Directory, l’utilisateur est automatiquement
ajouté à ce groupe.
S-1-5- Invités du domaine Groupe global qui, par défaut, ne possède qu’un seul
domaine-514 membre : le compte Invité intégré du domaine.
S-1-5- Ordinateurs du Groupe global qui inclut tous les ordinateurs qui ont
domaine-515 domaine rejoint le domaine, à l’exception des contrôleurs de
domaine.
S-1-5- Contrôleurs de Groupe global qui inclut tous les contrôleurs de

domaine-516 domaine domaine du domaine. Les nouveaux contrôleurs de
domaine sont automatiquement ajoutés à ce groupe.
S-1-5- Éditeurs de certificats Groupe global qui inclut tous les ordinateurs qui
domaine-517 hébergent une autorité de certification d’entreprise.
Les Éditeurs de certificats sont autorisés à publier des

certificats pour les objets Utilisateur dans Active
Directory.
S-1-5-domaine Administrateurs du Groupe qui existe uniquement dans le domaine racine

racine-518 schéma de la forêt. Il s’agit d’un groupe universel si le
domaine est en mode natif, et d’un groupe global si le
domaine est en mode mixte. Le groupe
Administrateurs du schéma est autorisé à apporter
des modifications de schéma dans Active Directory.
Par défaut, le seul membre du groupe est le compte
Administrateur du domaine racine de la forêt.
S-1-5-domaine Administrateurs de Groupe qui existe uniquement dans le domaine racine

racine-519 l’entreprise de la forêt. Il s’agit d’un groupe universel si le
domaine est en mode natif, et d’un groupe global si le
domaine est en mode mixte.
Le groupe Administrateurs de l’entreprise est autorisé

à apporter des modifications à l’infrastructure de la
forêt, telles que l’ajout de domaines enfants, la
configuration de sites, l’autorisation des serveurs
DHCP et l’installation d’autorités de certification
d’entreprise.
Par défaut, le seul membre du groupe Administrateurs

de l’entreprise est le compte Administrateur du
domaine racine de la forêt. Le groupe est membre par
défaut de chaque groupe Administrateurs de domaine
dans la forêt.
S-1-5- Propriétaires créateurs Groupe global autorisé à créer des objets Stratégie de
domaine-520 de la stratégie de groupe dans Active Directory. Par défaut, le seul
groupe membre du groupe est le membre Administrateur.
Les objets créés par les membres Propriétaires
créateurs de la stratégie de groupe appartiennent à
l’utilisateur individuel qui les crée. De cette façon, le
groupe Propriétaires créateurs de la stratégie de
groupe est différent d’autres groupes d’administration
(tels que Administrateurs et Admins du domaine). Les
objets créés par les membres de ces groupes
appartiennent au groupe plutôt qu’à l’individu.
S-1-5- Serveurs RAS et IAS Groupe de domaines local. Par défaut, ce groupe n’a
domaine-553 aucun membre. Les ordinateurs qui exécutent le
service Routage et accès distant sont
automatiquement ajoutés au groupe.
Les membres de ce groupe ont accès à certaines

propriétés des objets Utilisateur, telles que Lire les
restrictions de compte, Lire les informations de
connexion et Lire les informations d’accès à distance.
S-1-5-32-544 Administrateurs Groupe intégré. Après l’installation initiale du système

d’exploitation, le seul membre du groupe est le
compte Administrateur. Lorsqu’un ordinateur rejoint
un domaine, le groupe Admins du domaine est ajouté
au groupe Administrateurs. Lorsqu’un serveur devient
contrôleur de domaine, le groupe Administrateurs de
l’entreprise est également ajouté au groupe
Administrateurs.
S-1-5-32-545 Utilisateurs Groupe intégré. Après l’installation initiale du système

d’exploitation, le seul membre est le groupe
Utilisateurs authentifiés.
S-1-5-32-546 Invités Groupe intégré. Par défaut, le seul membre est le

compte Invité. Le groupe Invités permet aux
utilisateurs occasionnels ou ponctuels de se connecter
avec des privilèges limités au compte Invité intégré
d’un ordinateur.
S-1-5-32-547 Utilisateurs avec Groupe intégré. Par défaut, le groupe n’a aucun
pouvoir membre. Les utilisateurs avec pouvoir peuvent créer
des utilisateurs et des groupes locaux, modifier et
supprimer des comptes qu’ils ont créés, et supprimer
des utilisateurs des groupes Utilisateurs avec pouvoir,
Utilisateurs et Invités. Les utilisateurs avec pouvoir
peuvent également installer des programmes, créer,
gérer et supprimer des imprimantes locales, et créer et
supprimer des partages de fichiers.
S-1-5-32-548 Opérateurs de compte Groupe intégré qui existe uniquement sur les
contrôleurs de domaine. Par défaut, le groupe n’a
aucun membre. Par défaut, les opérateurs de compte
sont autorisés à créer, modifier et supprimer des
comptes pour les utilisateurs, les groupes et les
ordinateurs dans tous les conteneurs et unités
d’organisation d’Active Directory, à l’exception du
conteneur Builtin et de l’unité d’organisation
Contrôleurs de domaine. Les opérateurs de compte ne
sont pas autorisés à modifier les groupes
Administrateurs ou Admins du domaine, ni à modifier
les comptes des membres de ces groupes.
S-1-5-32-549 Opérateurs de serveur Description : groupe intégré qui existe uniquement sur
les contrôleurs de domaine. Par défaut, le groupe n’a
aucun membre. Les opérateurs de serveur peuvent se
connecter à un serveur de manière interactive, créer et
supprimer des partages réseau, démarrer et arrêter
des services, sauvegarder et restaurer des fichiers,
formater le disque dur de l’ordinateur et arrêter
l’ordinateur.
S-1-5-32-550 Opérateurs Groupe intégré qui existe uniquement sur les

d'impression contrôleurs de domaine. Par défaut, le seul membre
est le groupe Utilisateurs du domaine. Les opérateurs
d’impression peuvent gérer les imprimantes et les files
d’attente de documents.
S-1-5-32-551 Opérateurs de Groupe intégré. Par défaut, le groupe n’a aucun

sauvegarde membre. Les opérateurs de sauvegarde peuvent
sauvegarder et restaurer tous les fichiers sur un
ordinateur, quelles que soient les autorisations qui
protègent ces fichiers. Les opérateurs de sauvegarde
peuvent également se connecter à l’ordinateur et
l’arrêter.
S-1-5-32-552 Duplicateurs Groupe intégré utilisé par le service de réplication de

fichiers sur les contrôleurs de domaine. Par défaut, le
groupe n’a aucun membre. N’ajoutez pas d’utilisateurs
à ce groupe.
S-1-5-32-554 Builtin\Accès Alias ajouté par Windows 2000. Groupe de

compatible pré- compatibilité descendante qui autorise l’accès en
Windows 2000 lecture sur tous les utilisateurs et groupes du
domaine.
S-1-5-32-555 Builtin\Utilisateurs du Alias. Les membres de ce groupe ont le droit de se

Bureau à distance connecter à distance.
S-1-5-32-556 Builtin\Opérateurs de Alias. Les membres de ce groupe peuvent disposer de

configuration réseau certaines autorisations d’administration pour la
configuration des fonctionnalités réseau.
S-1-5-32-557 Builtin\Générateurs Alias. Les membres de ce groupe peuvent créer des

d’approbations de approbations à sens unique entrantes vers cette forêt.
forêt entrante
S-1-5-32-558 Builtin\Utilisateurs de Alias. Les membres de ce groupe disposent de

l’Analyseur de l’autorisation d’accès à distance pour surveiller cet
performances ordinateur.
S-1-5-32-559 Builtin\Utilisateurs du Alias. Les membres de ce groupe disposent de

journal de l’autorisation d’accès à distance pour planifier la
performances journalisation des compteurs de performances sur cet
ordinateur.
S-1-5-32-560 Builtin\Groupe d’accès Alias. Les membres de ce groupe ont accès à l’attribut
d’autorisation tokenGroupsGlobalAndUniversal sur les objets
Windows Utilisateur.
S-1-5-32-561 Builtin\Serveurs de Alias. Groupe pour les serveurs de licences des

licences des services services Terminal Server Lorsque Windows Server 2003
Terminal Server Service Pack 1 est installé, un groupe local est créé.
S-1-5-32-562 Builtin\Utilisateurs du Alias. Groupe pour COM afin de fournir des contrôles
modèle COM distribué d’accès à l’échelle de l’ordinateur qui régissent l’accès
à toutes les demandes d’appel, d’activation ou de
lancement sur l’ordinateur.
S-1-5-32-568 Builtin\IIS_IUSRS Alias. Compte de groupe intégré pour les utilisateurs

IIS.
S-1-5-32-569 Builtin\Opérateurs de Groupe local intégré. Les membres sont autorisés à

chiffrement réaliser des opérations de chiffrement.
S-1-5-32-573 Builtin\Lecteurs des Groupe local intégré. Les membres de ce groupe

journaux peuvent lire les journaux d’événements à partir d’un
d’événements ordinateur local.
S-1-5-32-574 Builtin\Accès DCOM Groupe local intégré. Les membres de ce groupe sont
service de certificats autorisés à se connecter à des autorités de
certification d’entreprise.
S-1-5-32-575 Builtin\Serveurs Accès Groupe local intégré. Les serveurs de ce groupe

Distant RDS permettent aux utilisateurs des programmes
RemoteApp et aux bureaux virtuels personnels
d’accéder à ces ressources. Dans les déploiements
avec accès via Internet, ces serveurs sont
généralement déployés dans un réseau de périmètre.
Ce groupe doit être renseigné sur les serveurs
exécutant le service Broker pour les connexions
Bureau à distance. Les serveurs Passerelle des services
Bureaux à distance et les serveurs Accès Bureau à
distance par le Web utilisés dans le déploiement
doivent être dans ce groupe.
S-1-5-32-576 Builtin\Serveurs RDS Groupe local intégré. Les serveurs de ce groupe

Endpoint exécutent des machines virtuelles et hébergent des
sessions où les utilisateurs, les programmes
RemoteApp et les bureaux virtuels personnels
s’exécutent. Ce groupe doit être rempli sur des
serveurs Broker pour les connexions Bureau à
distance. Les serveurs hôtes de session Bureau à
distance et les serveurs hôtes de virtualisation des
services Bureau à distance utilisés dans le déploiement
doivent être dans ce groupe.
S-1-5-32-577 Builtin\Serveurs Groupe local intégré. Les serveurs de ce groupe

Gestion RDS peuvent effectuer des actions administratives de
routine sur les serveurs exécutant Services Bureau à
distance. Ce groupe doit être rempli sur tous les
serveurs d’un déploiement Services Bureau à distance.
Les serveurs qui exécutent RDS Central Management
doivent être inclus dans ce groupe.
S-1-5-32-578 Builtin\Administrateurs Groupe local intégré. Les membres de ce groupe

Hyper-V disposent d’un accès complet et illimité à toutes les
fonctionnalités d’Hyper-V.
S-1-5-32-579 Builtin\Opérateurs Groupe local intégré. Les membres de ce groupe

d’assistance de peuvent interroger à distance les attributs
contrôle d’accès d’autorisation et les autorisations des ressources sur
cet ordinateur.
S-1-5-32-580 Builtin\Utilisateurs de Groupe local intégré. Les membres de ce groupe

gestion à distance peuvent accéder aux ressources WMI (Windows
Management Instrumentation) via des protocoles de
gestion (tels que WS-Management par le biais du
service Windows Remote Management). Cela
s’applique uniquement aux espaces de noms WMI qui
accordent l’accès à l’utilisateur.
S-1-5-64-10 Authentification NTLM SID utilisé lorsque le package d’authentification NTLM

authentifie le client.
S-1-5-64-14 Authentification SID utilisé lorsque le package d’authentification

SChannel SChannel authentifie le client.
S-1-5-64-21 Authentification Digest SID utilisé lorsque le package d’authentification Digest

authentifie le client.
S-1-5-80 Service Windows NT SID utilisé comme préfixe de compte de service NT.
S-1-5-80-0 Tous les services Groupe qui inclut tous les processus de service
configurés sur le système. L’appartenance est
contrôlée par le système d’exploitation. SID S-1-5-80-
0 est égal à SERVICES NT\TOUS LES SERVICES. Ce SID
a été introduit dans Windows Server 2008 R2.
S-1-5-83-0 NT VIRTUAL Groupe intégré. Le groupe est créé lorsque le rôle

MACHINE\Virtual Hyper-V est installé. L’appartenance au groupe est
Machines gérée par le service de gestion Hyper-V (VMMS). Ce
groupe nécessite le droit Créer des liens symboliques
(SeCreateSymbolicLinkPrivilege) et le droit Ouvrir une
session en tant que service (SeServiceLogonRight).
Les RID suivants sont relatifs à chaque domaine :
RID Valeur Identifie

décimale
DOMAIN_USER_RID_ADMIN 500 Compte d’utilisateur d’administration

dans un domaine.
DOMAIN_USER_RID_GUEST 501 Compte d’utilisateur invité dans un

domaine. Les utilisateurs qui n’ont pas
de compte peuvent se connecter
automatiquement à ce compte.
décimale
DOMAIN_GROUP_RID_USERS 513 Groupe qui contient tous les comptes

d’utilisateur d’un domaine. Tous les
utilisateurs sont ajoutés
automatiquement à ce groupe.
DOMAIN_GROUP_RID_GUESTS 514 Compte invité de groupe dans un

domaine.
DOMAIN_GROUP_RID_COMPUTERS 515 Groupe des ordinateurs du domaine.

Tous les ordinateurs du domaine sont
membres de ce groupe.
DOMAIN_GROUP_RID_CONTROLLERS 516 Groupe des contrôleurs du domaine.

Tous les contrôleurs de domaine du
domaine sont membres de ce groupe.
DOMAIN_GROUP_RID_CERT_ADMINS 517 Groupe des éditeurs de certificats. Les

ordinateurs exécutant les services de
certificats Active Directory sont
membres de ce groupe.
DOMAIN_GROUP_RID_SCHEMA_ADMINS 518 Groupe d’administrateurs de schéma.

Les membres de ce groupe peuvent
modifier le schéma Active Directory.
DOMAIN_GROUP_RID_ENTERPRISE_ADMINS 519 Groupe des administrateurs de

l’entreprise. Les membres de ce
groupe disposent d’un accès total à
tous les domaines de la forêt Active
Directory. Les administrateurs de
l’entreprise sont responsables des
opérations au niveau de la forêt, telles
que l’ajout ou la suppression de
nouveaux domaines.
DOMAIN_GROUP_RID_POLICY_ADMINS 520 Groupe des administrateurs de la

stratégie.
Des exemples de RID relatifs au domaine utilisés pour former des SID connus pour les
groupes locaux sont répertoriés dans le tableau suivant :

décimale
DOMAIN_ALIAS_RID_ADMINS 544 Administrateurs du domaine
DOMAIN_ALIAS_RID_USERS 545 Tous les utilisateurs du domaine

décimale
DOMAIN_ALIAS_RID_GUESTS 546 Invités du domaine
DOMAIN_ALIAS_RID_POWER_USERS 547 Un utilisateur ou un ensemble d’utilisateurs qui

s’attendent à traiter un système comme s’il
s’agissait de leur ordinateur personnel plutôt
que comme une station de travail pour
plusieurs utilisateurs.
DOMAIN_ALIAS_RID_BACKUP_OPS 551 Groupe local utilisé pour contrôler l’attribution

des droits utilisateur de sauvegarde et de
restauration de fichiers.
DOMAIN_ALIAS_RID_REPLICATOR 552 Groupe local chargé de copier les bases de

données de sécurité du contrôleur de domaine
principal vers les contrôleurs de domaine de
sauvegarde. Ces comptes sont utilisés
uniquement par le système.
DOMAIN_ALIAS_RID_RAS_SERVERS 553 Groupe local qui représente l’accès à distance

et les serveurs qui exécutent le service
d’authentification Internet (IAS). Ce groupe
permet d’accéder à différents attributs d’objets
Utilisateur.
Modifications apportées à la fonctionnalité

d’identificateur de sécurité
Les modifications apportées à l’implémentation du SID dans les systèmes d’exploitation
Windows sont décrites dans le tableau suivant :
Modifier Version du Description et ressources

système
d'exploitation
La plupart des Windows L’objectif de cette modification est d’empêcher un

fichiers du système Server 2008 et processus qui s’exécute en tant qu’administrateur ou
d’exploitation Windows Vista sous le compte LocalSystem de remplacer
appartiennent à automatiquement les fichiers du système d’exploitation.
l’identificateur de
sécurité
TrustedInstaller (SID)
Modifier Version du Description et ressources
système
d'exploitation
Les vérifications SID Windows Lorsque des SID de restriction sont présents, Windows
restreintes sont Server 2008 et effectue deux vérifications d’accès. La première est la
implémentées Windows Vista vérification d’accès normale, et la deuxième est la même
vérification d’accès par rapport aux SID restrictifs dans le
jeton. Les deux vérifications d’accès doivent être
effectuées pour permettre au processus d’accéder à
l’objet.
SID de fonctionnalité
Les identificateurs de sécurité de fonctionnalité sont utilisés pour identifier de manière
unique et immuable les fonctionnalités qui représentent un jeton d’autorité infalsifiable,
qui accorde l’accès aux ressources (par exemple, les documents, la caméra et
l’emplacement) aux applications Windows universelles. Une application disposant d’une
fonctionnalité se voit accorder l’accès à la ressource à laquelle la fonctionnalité est
associée, et une application qui n’a pas de fonctionnalité se voit refuser l’accès à la
ressource.
Tous les SID de fonctionnalité dont le système d’exploitation a connaissance sont

stockés dans le Registre Windows dans le chemin
« HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\All
CachedCapabilities ». Tout SID de fonctionnalité ajouté à Windows par des applications
internes ou tierces sera ajouté à cet emplacement.
Exemples de clés de registre extraites de

Windows 10, version 1909, édition Entreprise
64 bits
Vous pouvez voir les clés de registre suivantes sous AllCachedCapabilities :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityManager\CapabilityClasses\AllCa
chedCapabilities\capabilityClass_DevUnlock
chedCapabilities\capabilityClass_DevUnlock_Internal
chedCapabilities\capabilityClass_Enterprise
chedCapabilities\capabilityClass_General
chedCapabilities\capabilityClass_Restricted
chedCapabilities\capabilityClass_Windows
Tous les SID de fonctionnalité possèdent le préfixe S-1-15-3.
Exemples de clés de registre extraites de

Windows 11, version 21H2, édition Entreprise
64 bits
Vous pouvez voir les clés de registre suivantes sous AllCachedCapabilities :
chedCapabilities\capabilityClass_DevUnlock
chedCapabilities\capabilityClass_DevUnlock_Internal
chedCapabilities\capabilityClass_Enterprise
chedCapabilities\capabilityClass_General
chedCapabilities\capabilityClass_Restricted
chedCapabilities\capabilityClass_Windows
Tous les SID de fonctionnalité possèdent le préfixe S-1-15-3.
Voir aussi
Conseils sur la configuration des
comptes protégés

Par le biais d'attaques PtH (Pass-the-Hash), une personne malveillante peut

s'authentifier sur un service ou un serveur distant à l'aide du hachage NTLM sous-jacent
du mot de passe d'un utilisateur (ou d'autres dérivés d'informations d'identification).
Microsoft a précédemment publié des conseils pour prévenir les attaques PtH.
Windows Server 2012 R2 inclut des nouvelles fonctionnalités pour aider à mieux
prévenir ce type d'attaques. Pour plus d’informations sur d’autres fonctionnalités de
sécurité permettant de se prémunir contre le vol d’informations d’identification,
consultez Gestion et protection des informations d’identification. Cette rubrique décrit
comment configurer les nouvelles fonctionnalités suivantes :
Stratégies d’authentification
Windows 8.1 et Windows Server 2012 R2 présentent d'autres fonctionnalités de

prévention contre le vol d'informations d'identification. Elles sont abordées dans les
rubriques suivantes :
Mode d’administration restreinte pour le Bureau à distance
Protection LSA
Il s'agit d'un nouveau groupe de sécurité global auquel vous pouvez ajouter des
nouveaux utilisateurs ou des utilisateurs existants. Les appareils Windows 8.1 et les
hôtes Windows Server 2012 R2 se comportent différemment avec les membres de ce
groupe pour fournir une meilleure protection contre le vol d'informations
d'identification. Pour un membre du groupe, un appareil Windows 8.1 ou un hôte
Windows Server 2012 R2 ne met pas en cache les informations d'identification qui ne
sont pas prises en charge pour les utilisateurs protégés. Les membres de ce groupe ne
sont pas mieux protégés s’ils sont connectés à un appareil exécutant une version de
Windows antérieure à Windows 8.1.
Les membres du groupe Utilisateurs protégés qui se sont authentifiés sur des appareils
Windows 8.1 et des hôtes Windows Server 2012 R2 ne peuvent plus utiliser :
la délégation d'informations d'identification par défaut (CredSSP) : les informations

d'identification en texte brut ne sont pas mises en cache même si la stratégie
Autoriser la délégation d'informations d'identification par défaut est activée ;
Windows Digest : les informations d'identification en texte brut ne sont pas mises
en cache même si elles sont activées ;
NTLM : NTOWF n'est pas mis en cache ;
les clés à long terme Kerberos : le ticket TGT (Ticket-Granting Ticket) Kerberos
s'obtient à l'ouverture de session et ne peut pas être à nouveau obtenu
automatiquement ;
l'authentification hors ligne : le vérificateur d'ouverture de session en cache n'est

pas créé.
Si le niveau fonctionnel du domaine est Windows Server 2012 R2, les membres du

groupe ne peuvent plus :
effectuer d'authentifications NTLM ;
utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la
pré-authentification Kerberos ;
renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures.
Pour ajouter des utilisateurs au groupe, vous pouvez utiliser des outils d’interface
utilisateur tels que le Centre d’administration Active Directory (ADAC, Active Directory
Administrative Center) ou Utilisateurs et ordinateurs Active Directory, ou encore un outil
en ligne de commande tel que le groupe Dsmod, ou enfin l’applet de commande
Windows PowerShellAdd-ADGroupMember. Les comptes de services et d'ordinateurs ne
doivent pas être membres du groupe Utilisateurs protégés. L'appartenance à ces
comptes n'offre pas de protection locale car le mot de passe ou le certificat est toujours
disponible sur l'hôte.
２ Avertissement
Les restrictions d'authentification n'offrent pas de solutions de contournement, ce
qui veut dire que les membres des groupes dotés de privilèges élevés tels que les
groupes Administrateurs d'entreprise ou Admins du domaine sont soumis aux
mêmes restrictions que les autres membres du groupe Utilisateurs protégés. Si tous
les membres de tels groupes sont ajoutés au groupe Utilisateurs protégés, il est
possible que tous ces comptes soient verrouillés. Vous ne devez jamais ajouter tous
les comptes à privilèges élevés au groupe Utilisateurs protégés tant que vous
n’avez pas testé minutieusement l’impact potentiel.
Les membres du groupe Utilisateurs protégés doivent être capables d'effectuer une
authentification à l'aide du chiffrement Kerberos AES (Advanced Encryption Standards).
Cette méthode nécessite des clés AES pour le compte dans Active Directory.
L’administrateur intégré ne comporte pas de clé AES sauf si le mot de passe a été
modifié sur un contrôleur de domaine qui exécute Windows Server 2008 ou version
ultérieure. De plus, un compte dont le mot de passe a été modifié sur un contrôleur de
domaine exécutant une version antérieure de Windows Server est verrouillé. Nous vous
recommandons, par conséquent de suivre ces meilleures pratiques :
Ne pas effectuer de test sur des domaines sauf si tous les contrôleurs de domaine
exécutent Windows Server 2008 ou version ultérieure.
changer le mot de passe pour tous les comptes de domaine qui ont été créés
avant que le domaine ne l'ait été lui-même car cela empêche leur authentification ;
Modifier le mot de passe de chaque utilisateur avant d’ajouter le compte au

groupe Utilisateurs protégés ou vérifier que le mot de passe a été récemment
changé sur un contrôleur de domaine qui exécute Windows Server 2008 ou version
ultérieure.
Conditions requises pour utiliser des comptes protégés

Ces derniers doivent respecter les conditions de déploiements requises suivantes :
Pour fournir des restrictions côté client pour les utilisateurs protégés, les hôtes
doivent exécuter Windows 8.1 ou Windows Server 2012 R2. Un utilisateur doit
uniquement s'authentifier avec un compte qui est membre d'un groupe
Utilisateurs protégés. Dans ce cas, le groupe Utilisateurs protégés peut être créé en
transférant le rôle d'émulateur de contrôleur de domaine principal à un contrôleur
de domaine qui exécute Windows Server 2012 R2. Une fois l'objet de groupe
répliqué sur d'autres contrôleurs de domaine, le rôle de l'émulateur PDC peut être
hébergé sur un contrôleur de domaine qui exécute une version antérieure de
Windows Server.
Pour fournir des restrictions côté contrôleur de domaine pour les utilisateurs
protégés, c'est-à-dire pour limiter l'utilisation de l'authentification NTLM entre
autres restrictions, le niveau fonctionnel du domaine doit être Windows
Server 2012 R2. Pour plus d’informations sur les niveaux fonctionnels, consultez
Présentation des niveaux fonctionnels des services de domaine Active Directory
(AD DS).
Résoudre des problèmes liés aux événements concernant

les utilisateurs protégés
Cette section aborde de nouveaux journaux qui permettent de résoudre des problèmes
liés à des événements concernant les utilisateurs protégés. Elle décrit également
comment les utilisateurs protégés peuvent répercuter les modifications pour résoudre
les problèmes d'expiration de tickets TGT ou de délégation.
Nouveaux journaux pour les utilisateurs protégés

Deux nouveaux journaux d'administration opérationnels sont disponibles pour résoudre
les problèmes associés aux événements concernant les utilisateurs protégés : utilisateur
protégé - Journal client et échecs liés à l'utilisateur protégé - Journal du contrôleur de
domaine. Ces nouveaux journaux se trouvent dans l'Observateur d'événements et sont
désactivés par défaut. Pour activer un journal, cliquez sur Journaux des applications et
des services, Microsoft, Windows, Authentification, puis cliquez sur le nom du journal
et sur Action (ou cliquez avec le bouton droit sur le journal), puis sur Activer le journal.
Pour plus d’informations sur les événements consignés dans ces journaux, consultez
Stratégies d’authentification et silos de stratégies d’authentification.
Résoudre les problèmes d'expiration TGT
Généralement, le contrôleur de domaine définit la durée de vie et le renouvellement TGT

en fonction de la stratégie de domaine, comme illustré dans la fenêtre Éditeur de
gestion des stratégies de groupe.
Dans le cas des utilisateurs protégés, les paramètres suivants sont codés en dur :
durée de vie maximale pour le ticket utilisateur : 240 minutes.
durée de vie maximale pour le renouvellement du ticket utilisateur : 240 minutes.
Résoudre les problèmes de délégation
Auparavant, en cas d'échec d'une technologie utilisant la délégation Kerberos, le compte

client était vérifié pour voir si l'option Le compte est sensible et ne peut pas être
délégué était définie. Cependant, si le compte est membre du groupe Utilisateurs
protégés, ce paramètre n'est peut-être pas configuré dans le Centre d'administration
Active Directory (ADAC). Ainsi, vérifiez le paramètre et l'appartenance au groupe quand
vous résolvez les problèmes de délégation.
Vérifier les tentatives d'authentification

Pour vérifier les tentatives d'authentification spécifiquement pour les membres du
groupe Utilisateurs protégés, vous pouvez continuer à collecter les événements de
vérification du journal de sécurité ou rassembler les données dans les journaux
d'administration opérationnels. Pour plus d’informations sur ces événements, consultez
Stratégies d’authentification et silos de stratégies d’authentification.
Fournir les protections côté contrôleur de domaine pour

les services et les ordinateurs
Les comptes de services et d'ordinateurs ne doivent pas être membres du groupe
Utilisateurs protégés. Cette section décrit les protections basées sur le contrôleur de
domaine qui peuvent être offertes pour ces comptes :
rejet de l'authentification NTLM : configurable uniquement via les stratégies du

bloc NTLM;
Rejet de la norme DES (Data Encryption Standard) dans la pré-authentification

Kerberos : les contrôleurs de domaine Windows Server 2012 R2 n’acceptent pas la
norme DES pour les comptes d’ordinateur sauf s’ils sont configurés pour DES
uniquement, car chaque version de Windows publiée avec Kerberos prend
également en charge RC4.
rejet de RC4 dans la pré-authentification Kerberos : non configurable ;
７ Notes
Même si vous pouvez modifier la configuration des types de chiffrement

pris en charge, il n’est pas recommandé de changer ces paramètres pour les
comptes d’ordinateur sans les tester dans l’environnement cible.
restreindre les tickets utilisateur (TGT) à une durée de vie initiale de 4 heures :
utiliser les stratégies d'authentification ;
refuser la délégation avec délégation non contrainte ou contrainte : pour

restreindre un compte, ouvrez le Centre d'administration Active Directory (ADAC),
puis cochez la case Le compte est sensible et ne peut pas être délégué .
Stratégies d’authentification
Il s'agit d'un nouveau conteneur des services de domaine Active Directory (AD DS)
comprenant les objets de la stratégie d'authentification. Les stratégies d'authentification
peuvent spécifier les paramètres qui permettent de prévenir l'exposition au vol
d'informations d'identification, tels que la restriction de la durée de vie TGT des comptes
ou l'ajout d'autres conditions associées aux revendications.
Dans Windows Server 2012, le contrôle d'accès dynamique a introduit une classe d'objet
étendue à la forêt Active Directory appelée « stratégie d'accès centralisée » qui permet
de configurer facilement les serveurs de fichiers dans une organisation. Dans Windows
Server 2012 R2, vous pouvez utiliser la nouvelle classe d'objet « Stratégie
d'authentification » (objectClass msDS-AuthNPolicies) pour appliquer la configuration
d'authentification aux classes de compte des domaines Windows Server 2012 R2. Les
classes de compte Active Directory sont les suivantes :
Utilisateur
Computer
Compte de service administré et compte de service administré de groupe (GMSA,

Group Managed Service Account)
Actualisateur Kerberos rapide

Le protocole d'authentification Kerberos consiste en trois types d'échanges, également
connus en tant que sous-protocoles :
l'échange du service d'authentification (AS, Authentication Service) (KRB_AS_*),
l'échange du service d'accord de tickets (TGS, Ticket-Granting Service) (KRB_TGS_*),
l'échange client/serveur AP (Application Protocol) (KRB_AP_*).
Pendant l'échange AS, le client utilise le mot de passe du compte ou de la clé privée
pour créer un pré-authentificateur afin de demander un ticket TGT. Cela intervient au
cours de l'authentification de l'utilisateur ou à la première demande de ticket de service.
Pendant l'échange TGS, le ticket TGT du compte sert à créer un authentificateur pour
demander un ticket de service. Cela se produit quand une connexion authentifiée est
nécessaire.
L'échange AP a généralement lieu quand des données se trouvent à l'intérieur du

protocole d'application et n'est pas affecté par des stratégies d'authentification.
Pour plus d’informations, consultez Fonctionnement du protocole d’authentification

Kerberos version 5.
Vue d’ensemble
Les stratégies d'authentification complètent le groupe Utilisateurs protégés en
fournissant un moyen d'appliquer des restrictions configurables aux comptes et en
imposant des restrictions aux comptes de services et d'ordinateurs. Elles entrent en
vigueur pendant l'échange AS ou l'échange TGS.
Vous pouvez restreindre l'authentification initiale ou l'échange AS en configurant :
une durée de vie TGT ;
des conditions de contrôle d'accès pour restreindre l'authentification de

l'utilisateur (les appareils d'où provient l'échange AS doivent respecter ces
conditions).
Vous pouvez restreindre les demandes de ticket de service via un échange de service
d'accord de tickets (TGS) en configurant :
les conditions de contrôle d'accès que le client (utilisateur, service, ordinateur) ou

l'appareil d'où émane l'échange TGS doit respecter.
Conditions requises pour utiliser des stratégies

d'authentification
Stratégie Configuration requise
Fournir des durées de vie TGT personnalisées Domaines de compte de niveau fonctionnel
du domaine Windows Server 2012 R2
Restreindre l'authentification utilisateur - Domaines de comptes de niveau

fonctionnel du domaine Windows
Server 2012 R2 avec prise en charge du
contrôle d'accès dynamique
- Appareils Windows 8, Windows 8.1,

Windows Server 2012 ou Windows
Server 2012 R2 avec prise en charge du
contrôle d’accès dynamique
Restreindre l'émission de tickets de service qui est Domaines de ressources de niveau

basée sur le compte d'utilisateur et les groupes de fonctionnel du domaine Windows
sécurité Server 2012 R2
Restreindre l'émission de tickets de service en Domaines de ressources de niveau

fonction des revendications d'utilisateur ou du fonctionnel du domaine Windows
compte d'appareil, des groupes de sécurité ou des Server 2012 R2 avec prise en charge du
revendications contrôle d'accès dynamique
Restreindre un compte d'utilisateur aux appareils et hôtes
spécifiques
Un compte à valeur élevée assorti d'un privilège d'administration doit être membre du
groupe Utilisateurs protégés. Par défaut, aucun compte n'est membre du groupe
Utilisateurs protégés. Avant d'ajouter des comptes au groupe, configurez la prise en
charge du contrôleur de domaine et créez une stratégie d'audit pour vérifier qu'il n'y a
aucun problème majeur.
Configurer la prise en charge du contrôleur de domaine

Le compte de domaine de l'utilisateur doit se situer au niveau fonctionnel du domaine
Windows Server 2012 R2. Vérifiez que tous les contrôleurs de domaine sont Windows
Server 2012 R2, puis utilisez les approbations et les domaines Active Directory pour
augmenter le niveau fonctionnel du domaine vers Windows Server 2012 R2.
Pour configurer la prise en charge du contrôle d'accès dynamique
1. Dans la stratégie des contrôleurs de domaine par défaut, cliquez sur Activé pour
activer Prise en charge par le client du centre de distribution de clés des
revendications, de l'authentification composée et du blindage Kerberos dans
Configuration ordinateur | Modèles d'administration | Système | KDC.
2. Sous Options, dans la zone de liste déroulante, sélectionnez Toujours fournir des
revendications.
７ Notes
Vous pouvez également configurer Pris en charge, mais dans la mesure où le

domaine est au niveau fonctionnel du domaine Windows Server 2012 R2, le
fait que les contrôleurs de domaine fournissent toujours des revendications
permet des vérifications d'accès basées sur les revendications, quand des
hôtes et des appareils ne prenant pas en charge les revendications sont
utilisés pour connecter les services prenant en charge les revendications.
２ Avertissement
La configuration de Rejeter les demandes d’authentification non blindées

entraîne des échecs d’authentification de tout système d’exploitation qui ne
prend pas en charge le blindage Kerberos, tel que Windows 7 et les systèmes
d’exploitation antérieurs ou ceux à partir de Windows 8, qui n’ont pas été
explicitement configurés pour le prendre en charge.
Créer un audit de compte d'utilisateur pour la stratégie

d'authentification avec ADAC
1. Ouvrez le Centre d'administration Active Directory (ADAC).

７ Notes
Le nœud Authentification sélectionné est visible pour des domaines qui sont
au niveau fonctionnel du domaine Windows Server 2012 R2. Si le nœud
n'apparaît pas, réessayez en utilisant un compte d'administrateur de domaine
à partir d'un domaine qui se situe au niveau fonctionnel du domaine Windows
Server 2012 R2.
2. Cliquez sur Stratégies d'authentification, puis sur Nouveau pour créer une
stratégie.
Les stratégies d'authentification doivent avoir un nom d'affichage. Elles sont
appliquées par défaut.
3. Pour créer une stratégie en mode Auditer uniquement, cliquez sur Auditer
uniquement les restrictions de stratégie.
Les stratégies d'authentification sont appliquées en fonction du type de compte

Active Directory. Une stratégie unique peut s'appliquer au trois types de compte
en configurant les paramètres pour chaque type. Les types de compte sont les
suivants :
Utilisateur
Computer
Compte de service administré et compte de service administré de groupe
Si vous avez étendu le schéma avec de nouveaux principaux qui peuvent être
utilisés par le centre de distribution de clés (KDC, Key Distribution Center), le
nouveau type de compte est classé à partir du type de compte dérivé le plus
proche.
4. Pour configurer la durée de vie TGT des comptes d'utilisateur, cochez la case
Spécifiez la durée de vie du ticket TGT (Ticket Granting Ticket) pour les comptes
d'utilisateur et entrez la durée en minutes.
Par exemple, si vous voulez une durée de vie TGT maximale de 10 heures, entrez
600 comme illustré. Si aucune durée de vie TGT n'est configurée et si le compte est
membre du groupe Protected Users, la durée de vie et le renouvellement TGT sont
de 4 heures. Sinon, la durée de vie et le renouvellement TGT dépendent de la
stratégie de domaine comme le montre la fenêtre Éditeur de gestion des stratégies
de groupe suivante, pour un domaine comportant des paramètres par défaut.
5. Pour restreindre la sélection d'appareils du compte d'utilisateur, cliquez sur

Modifier afin de définir les conditions qui sont nécessaires pour l'appareil.
6. Dans la fenêtre Modifier les conditions de contrôle d'accès, cliquez sur Ajouter
une condition.
Ajouter le compte d'ordinateur ou les conditions du groupe
1. Pour configurer les comptes d'ordinateur ou les groupes, dans la liste déroulante,
sélectionnez la zone de liste déroulante Membre de chaque, puis modifiez
Membre de n'importe lequel.
７ Notes
Ce contrôle d'accès définit les conditions de l'appareil ou de l'hôte à partir

duquel l'utilisateur s'authentifie. Dans la terminologie du contrôle d'accès, le
compte d'ordinateur de l'appareil ou de l'hôte est l'utilisateur, ce qui explique
qu'Utilisateur soit la seule option.
2. Cliquez sur Ajouter des éléments.
3. Pour modifier les types d'objets, cliquez sur Types d'objets.
4. Pour sélectionner les objets d'ordinateur dans Active Directory, cliquez sur
Ordinateurs, puis sur OK.
5. Tapez le nom des ordinateurs pour restreindre l'utilisateur, puis cliquez sur Vérifier
les noms.
6. Cliquez sur OK et créez une autre condition pour le compte d'ordinateur.
7. Une fois terminé, cliquez sur OK et les conditions définies apparaîtront pour le
compte d'ordinateur.
Ajouter des conditions de revendication d'ordinateur
1. Pour configurer des revendications d'ordinateur, déroulez le groupe pour

sélectionner la revendication.
Les revendications sont uniquement disponibles si elles sont déjà déployées dans
la forêt.
2. Tapez le nom de l'unité d'organisation, auprès de laquelle le compte d'utilisateur

peut uniquement s'authentifier.
3. Une fois terminé, cliquez sur OK et la zone affichera les conditions définies.
Résoudre les problèmes liés aux revendications d'ordinateur
Si la revendication a été déployée, mais qu'elle n'est pas disponible, elle est peut être
uniquement configurée pour les classes Ordinateur.
Imaginons que vous vouliez restreindre l'authentification en fonction de l'unité

d'organisation (OU, Organizational Unit) de l'ordinateur, qui a déjà été configurée, mais
seulement pour les classes Ordinateur .
Pour que la revendication soit disponible et que vous puissiez restreindre

l'authentification de l'utilisateur sur l'appareil, cochez la case Utilisateur.
Déployer un compte d'utilisateur avec une stratégie
d'authentification à l'aide d'ADAC
1. À partir du compte Utilisateur, cliquez sur Stratégie.
2. Cochez la case Affectez une stratégie d'authentification à ce compte.
3. Sélectionnez ensuite la stratégie d'authentification à appliquer à l'utilisateur.

Configurer la prise en charge du contrôle d'accès dynamique sur
les appareils et les hôtes
Vous pouvez configurer les durées de vie TGT sans configurer le contrôle d'accès
dynamique. Le contrôle d'accès dynamique est uniquement nécessaire pour la
vérification AllowedToAuthenticateFrom et AllowedToAuthenticateTo.
À l'aide de la stratégie de groupe ou de l'Éditeur de stratégie de groupe locale, activez

Prise en charge par le client Kerberos des revendications, de l'authentification
composée et du blindage Kerberos Configuration ordinateur | Modèles
d'administration | Système | Kerberos :
Résoudre les problèmes des stratégies d'authentification
Déterminer les comptes auxquels est directement affectée une

stratégie d'authentification
La section des comptes de la stratégie d'authentification illustre les comptes qui ont
directement appliqué la stratégie.
Utiliser les échecs de stratégie d'authentification - journal

d'administration du contrôleur de domaine
Un nouveau journal d'administration Échecs de stratégie d'authentification -
contrôleur de domaine sous Journaux des applications et des
services>Microsoft>Windows>Authentification a été créé pour faciliter la détection
d’échecs liés aux stratégies d’authentification. Le journal est désactivé par défaut. Pour
l'activer, cliquez avec le bouton droit sur le nom du journal, puis cliquez sur Activer le
journal. Le contenu des nouveaux événements est très semblable à celui des
événements d'audit du ticket de service et de ticket TGT Kerberos. Pour plus
d’informations sur ces événements, consultez Stratégies d’authentification et silos de
stratégies d’authentification.
Gérer les stratégies d'authentification à l'aide de

Windows PowerShell
Cette commande crée une stratégie d'authentification nommée
« TestAuthenticationPolicy ». Le paramètre UserAllowedToAuthenticateFrom spécifie
les appareils à partir desquels les utilisateurs peuvent s'authentifier par une chaîne SDDL
dans le fichier « someFile.txt ».
PS C:\> New-ADAuthenticationPolicy testAuthenticationPolicy -

UserAllowedToAuthenticateFrom (Get-Acl .\someFile.txt).sddl
Cette commande obtient toutes les stratégies d'authentification qui correspondent au

filtre spécifié par le paramètre Filter.
PS C:\> Get-ADAuthenticationPolicy -Filter "Name -like

'testADAuthenticationPolicy*'" -Server Server02.Contoso.com
Cette commande modifie la description et les propriétés UserTGTLifetimeMins de la

stratégie d'authentification spécifiée.
PS C:\> Set-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1 -

Description "Description" -UserTGTLifetimeMins 45
Cette commande supprime la stratégie d'authentification spécifiée par le paramètre

Identity.
PS C:\> Remove-ADAuthenticationPolicy -Identity ADAuthenticationPolicy1
Cette commande utilise l'applet de commande Get-ADAuthenticationPolicy avec le

paramètre Filter pour obtenir toutes les stratégies d'authentification qui ne sont pas
appliquées. Le jeu de résultats est dirigé vers l'applet de commande Remove-
ADAuthenticationPolicy.
PS C:\> Get-ADAuthenticationPolicy -Filter 'Enforce -eq $false' | Remove-

ADAuthenticationPolicy

Il s'agit d'un nouveau conteneur (objectClass msDS-AuthNPolicySilos) des services de
domaine Active Directory (AD DS) pour les comptes d'utilisateur, d'ordinateur et de
service. Ces silos permettent de protéger des comptes à valeur élevée. Toutes les
organisations doivent protéger les membres des groupes Administrateurs d'entreprise,
Admins de domaine et Administrateurs de schéma car ces comptes peuvent être utilisés
par une personne malveillante pour accéder n'importe où dans la forêt, mais d'autres
comptes ont également besoin d'une protection.
Certaines organisations isolent les charges de travail en créant des comptes qui leur
sont uniques et en appliquant des paramètres de stratégie de groupe pour limiter
l'ouverture de session interactive locale et distante et les privilèges d'administration. Les
silos de stratégies d'authentification complètent ce travail en créant un moyen de définir
une relation entre les comptes d'utilisateur, d'ordinateur et de service administrés. Ces
comptes n'appartiennent qu'à un seul silo. Vous pouvez configurer la stratégie
d'authentification pour chaque type de compte pour contrôler :
1. la durée de vie TGT non renouvelable ;
2. les conditions de contrôle d'accès pour renvoyer le ticket TGT (Remarque : ne peut
s'appliquer aux systèmes car le blindage Kerberos est nécessaire) ;
3. les conditions de contrôle d'accès pour retourner le ticket de service.
De plus, les comptes figurant dans un silo de stratégies d'authentification comportent

une revendication de silo, qui peut être utilisée par les ressources prenant en charge les
revendications telles que les serveurs de fichiers pour contrôler l'accès.
Un nouveau descripteur de sécurité peut être configuré pour contrôler l'émission du

ticket de service en fonction de :
l'utilisateur, les groupes de sécurité de l'utilisateur et/ou les revendications de

l'utilisateur ;
l'appareil, le groupe de sécurité de l'appareil et/ou les revendications de

périphérique.
L'acheminement de ces informations au contrôleur de domaine de la ressource

nécessite le contrôle d'accès dynamique :
Revendications d'utilisateur :
Clients Windows 8 et version ultérieure prenant en charge le contrôle d'accès

dynamique
Le domaine de compte prend en charge le contrôle d'accès dynamique et les

revendications
Appareil et/ou groupe de sécurité de l'appareil :

dynamique
Ressource configurée pour l'authentification composée
Revendications de périphérique :

dynamique
Le domaine d'appareil prend en charge le contrôle d'accès dynamique et les

revendications
Ressource configurée pour l'authentification composée
Les stratégies d'authentification peuvent être appliquées à tous les membres d'un silo
plutôt qu'à des comptes individuels, ou des stratégies d'authentification distinctes
peuvent être appliquées à différents types de comptes à l'intérieur d'un silo. Par
exemple, une stratégie d'authentification peut être appliquée à des comptes d'utilisateur
dotés de privilèges élevés tandis qu'une autre stratégie peut être appliquée à des
comptes de service. Au moins une stratégie d'authentification doit être créée avant
qu'un silo de stratégies d'authentification ne puisse l'être.
７ Notes
Une stratégie d'authentification peut être appliquée aux membres d'un silo de
stratégies d'authentification. Elle peut être aussi appliquée indépendamment des
silos pour restreindre l'étendue du compte spécifique. Par exemple, pour protéger
un compte unique ou un petit ensemble de comptes, vous pouvez définir une
stratégie sur ces comptes sans ajouter les comptes à un silo.
Vous pouvez créer un silo de stratégies d’authentification en utilisant le Centre

d’administration Active Directory ou Windows PowerShell. Par défaut, un silo de
stratégies d'authentification vérifie uniquement les stratégies de silos, ce qui revient à
spécifier le paramètre WhatIf dans les applets de commande Windows PowerShell. Dans
ce cas, les restrictions du silo de stratégies ne s'appliquent pas, mais les audits sont
générés pour indiquer si des échecs se produisent quand les restrictions sont
appliquées.
Pour créer un silo de stratégies d'authentification en utilisant le

1. Ouvrez Centre d'administration Active Directory, cliquez sur Authentification,

cliquez avec le bouton droit sur Silos de stratégies d'authentification, cliquez sur
Nouveau, puis sur Silo de stratégies d'authentification.
2. Dans Nom d'affichage, tapez le nom du silo. Dans Comptes autorisés, cliquez sur
Ajouter, tapez le nom des comptes, puis cliquez sur OK. Vous pouvez spécifier les
utilisateurs, les ordinateurs ou les comptes de service. Indiquez ensuite si vous allez
utiliser une stratégie unique pour tous les principaux ou une stratégie distincte
pour chaque type de principal, et le nom de la ou des stratégies.
Gérer les silos de stratégies d'authentification à l'aide de
Windows PowerShell
Cette commande crée un objet de silo de stratégies d'authentification et l'applique.
PS C:\>New-ADAuthenticationPolicySilo -Name newSilo -Enforce
Cette commande obtient tous les silos de stratégies d'authentification qui

correspondent au filtre spécifié par le paramètre Filter. La sortie est alors transmise à
l'applet de commande Format-Table pour afficher le nom de la stratégie et la valeur
pour appliquer (Enforce) à chaque stratégie.
PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Name -like "*silo*"' |

Format-Table Name, Enforce -AutoSize
Name Enforce
---- -------
silo True
silos False
Cette commande utilise l'applet de commande Get-ADAuthenticationPolicySilo avec le

paramètre Filter pour obtenir tous les silos de stratégies d'authentification qui ne sont
pas appliqués et diriger le résultat du filtre vers l'applet de commande Remove-
ADAuthenticationPolicySilo.
PS C:\>Get-ADAuthenticationPolicySilo -Filter 'Enforce -eq $False' | Remove-

ADAuthenticationPolicySilo
Cette commande octroie l'accès au silo de stratégies d'authentification nommé Silo au

compte d'utilisateur User01.
PS C:\>Grant-ADAuthenticationPolicySiloAccess -Identity Silo -Account User01
Cette commande révoque l'accès au silo de stratégies d'authentification nommé Silo

pour le compte d'utilisateur User01. Le paramètre Confirm ayant la valeur $False, aucun
message de confirmation n'apparaît.
PS C:\>Revoke-ADAuthenticationPolicySiloAccess -Identity Silo -Account

User01 -Confirm:$False
Cet exemple utilise d'abord l'applet de commande Get-ADComputer pour obtenir tous
les comptes d'utilisateur correspondant au filtre spécifié par le paramètre Filter. La sortie
de cette commande est transmise à Set-ADAccountAuthenticatinPolicySilo pour leur
affecter le silo de stratégies d'authentification Silo et la stratégie d'authentification
AuthenticationPolicy02.
PS C:\>Get-ADComputer -Filter 'Name -like "newComputer*"' | Set-

ADAccountAuthenticationPolicySilo -AuthenticationPolicySilo Silo -
AuthenticationPolicy AuthenticationPolicy02
Gestion des cookies du serveur LDAP

Article • 11/04/2023

Dans LDAP, certaines requêtes génèrent un jeu de résultats de grande taille. Ces
requêtes présentent des défis pour Windows Server.
La collecte et la création de ces jeux de résultats volumineux représentent un travail

considérable. De nombreux attributs doivent être convertis d'une représentation interne
vers la représentation de transfert LDAP. Pour beaucoup d'attributs, une conversion d'un
format interne, souvent binaire, doit se produire dans un format UTF-8 textuel dans le
cadre de la réponse LDAP.
Un autre défi est que les jeux de résultats avec des dizaines de milliers d'objets
deviennent encombrants, facilement plusieurs centaines de méga-octets. Ils requièrent
alors un espace d'adressage virtuel volumineux. En outre, le transfert sur réseau
présente des problèmes car l'effort entier est perdu lorsque la session TCP se
décompose en transit.
Ces problèmes de capacités et d’aspects logistiques ont conduit les développeurs

Microsoft LDAP à créer une extension LDAP appelée « Requête paginée ». Elle
implémente un contrôle LDAP pour séparer une seule requête volumineuse en
segments plus petits de jeux de résultats. Il s’agit maintenant de la norme RFC 2696 .
Gestion des cookies sur le client

La méthode « requête paginée » utilise la taille de page définie par le client ou via une
Stratégie LDAP (« MaxPageSize »). Le client doit systématiquement activer la
pagination en envoyant un contrôle LDAP.
Lorsque vous travaillez sur une requête avec un grand nombre de résultats, à un
moment donné, le nombre maximal d'objets autorisés est atteint. Le serveur LDAP
empaquette le message de réponse et ajoute un cookie qui contient les informations
nécessaires pour continuer ultérieurement la recherche.
L'application cliente doit traiter le cookie comme un objet blob opaque. Il peut
récupérer le nombre d’objets dans la réponse et peut poursuivre la recherche en
fonction de la présence du cookie. Le client continue la recherche en envoyant à
nouveau la requête au serveur LDAP avec les mêmes paramètres, tels que l’objet de
base et le filtre, et inclut la valeur du cookie qui a été retournée dans la réponse
précédente.
Si le nombre d’objets ne remplit pas une page, la requête LDAP est terminée et la
réponse ne contient aucun cookie de page. Si aucun cookie n'est retourné par le
serveur, le client doit considérer que la recherche paginée est terminée avec succès.
Si une erreur est renvoyée par le serveur, le client doit considérer que la recherche
paginée est un échec. Une nouvelle tentative de recherche provoquera le redémarrage
de la recherche à partir de la première page.
Gestion des cookies côté serveur

Le serveur Windows renvoie le cookie au client et, parfois, stocke les informations
relatives au cookie sur le serveur. Ces informations sont stockées sur le serveur dans un
cache et sont soumises à certaines limites.
Dans ce cas, le cookie envoyé au client par le serveur est également utilisé par le serveur
pour rechercher les informations à partir du cache sur le serveur. Lorsque le client
continue la recherche paginée, Windows Server utilise le cookie du client ainsi que
toutes les informations connexes à partir du cache de cookie du serveur afin de
continuer la recherche. Si le serveur ne peut pas trouver les informations connexes sur le
cookie à partir du cache du serveur pour une raison quelconque, la recherche est arrêtée
et l'erreur est retournée au client.
Gestion du pool de cookies

Évidemment, le serveur LDAP sert plusieurs clients à la fois, et plusieurs clients à la fois
peuvent lancer des requêtes qui requièrent l’utilisation du cache de cookie du serveur.
Par conséquent, l’implémentation de Windows Server comporte un suivi de l’utilisation
et des limites du pool de cookies afin que le pool n’utilise pas trop de ressources. Les
limites peuvent être définies par l'administrateur en utilisant les paramètres suivants
dans la stratégie LDAP. Les valeurs par défaut et les explications sont les suivantes :
MinResultSets : 4
Le serveur LDAP ne recherche pas la taille maximale du pool indiquée ci-dessous s'il y a
moins de MinResultSets entrées dans le cache de cookie du serveur.
MaxResultSetSize : 262 144 octets
La taille totale du cache de cookie sur le serveur ne doit pas dépasser le nombre
maximal de MaxResultSetSize en octets. Le cas échéant, les cookies, à partir du plus
ancien, sont supprimés jusqu'à ce que le pool soit inférieur à MaxResultSetSize octets ou
à MinResultSets cookies. Cela signifie que, en utilisant les paramètres par défaut, le
serveur LDAP considère qu'un pool de 450 Ko est correct s'il y a seulement 3 cookies
stockés.
MaxResultSetsPerConn : 10
Le serveur LDAP n'autorise pas plus de MaxResultSetsPerConn cookies par connexion

LDAP dans le pool.
Gestion des cookies supprimés

La suppression des informations de cookie du cache du serveur LDAP n'entraîne pas une
erreur immédiate pour les applications dans tous les cas. Les applications peuvent
redémarrer la recherche paginée à partir du début et la terminer sur une autre tentative.
Certaines applications possèdent ce genre de mécanisme de nouvelle tentative pour
ajouter de la robustesse.
Certaines applications peuvent effectuer une recherche paginée et ne jamais la terminer.

Cela peut laisser des entrées dans le cache de cookie du serveur LDAP, ce qui est géré
par le mécanisme décrit à la section 4. Il est essentiel de libérer de la mémoire sur le
serveur pour les recherches LDAP actives.
Que se passe-t-il lorsqu'un cookie est supprimé du serveur et que le client continue la
recherche avec ce descripteur de cookie ? Le serveur LDAP ne trouve pas le cookie dans
le cache de cookie du serveur et renvoie une erreur pour la requête, la réponse d'erreur
étant semblable à :
00000057: LdapErr: DSID-xxxxxxxx, comment: Error processing control, data 0,

v1db1
７ Notes
La valeur hexadécimale de « DSID » varie en fonction de la version de build des

fichiers binaires du serveur LDAP.
Création de rapports sur le pool de cookies

Le serveur LDAP a la possibilité de consigner les événements dans la catégorie « 16 Ldap
Interface » dans la Clé des diagnostics NTDS . Si vous définissez cette catégorie sur
« 2 », vous pouvez obtenir les événements suivants :
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2898
Task Category: LDAP Interface
Level: Information
Description:
Internal event: The LDAP server has reached the limit of the number of
Result Sets it will maintain for a single connection. A stored Result Set
will be discarded. This will result in a client being unable to continue a
paged LDAP search.
Maximum number of Result Sets allowed per LDAP connection:
10
Current number of Result Sets for this LDAP connection:
11
User Action
The client should consider a more efficient search filter. The limit for
Maximum Result Sets per Connection may also be increased.
Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Event ID: 2899
Task Category: LDAP Interface
Level: Information
Description:
Internal event: The LDAP server has exceeded the limit of the LDAP Maximum
Result Set Size. A stored Result Set will be discarded. This will result in
a client being unable to continue a paged LDAP search.
Number of result sets currently stored:
Current Result Set Size:
263504
Maximum Result Set Size:
262144
Size of single Result Set being discarded:
40876
User Action
The client should consider a more efficient search filter. The limit for
Maximum Result Set Size may also be increased.
Les événements signalent qu'un cookie stocké a été supprimé. Cela NE signifie PAS
qu'un client a constaté l'erreur LDAP, mais seulement que le serveur LDAP a atteint les
limites d'administration pour le cache. Dans certains cas, un client LDAP peut avoir
abandonné la recherche paginée et peut ne jamais voir l'erreur.
Surveillance du pool de cookies

Si vous ne rencontrez jamais d'erreurs de recherche LDAP dans votre domaine, vous
n'aurez peut-être jamais à surveiller le pool de cookies de recherche paginée du serveur
LDAP. Dans le cas où vous voyez des erreurs liées à la recherche paginée LDAP dans
votre environnement, vous pouvez avoir un problème avec les limites d'administrateur
du pool de cookies.
Les événements 2898 et 2899 sont les seuls moyens de savoir si le serveur LDAP a
atteint les limites d'administrateur. Lorsque vous rencontrez cette erreur de requêtes
LDAP en raison de l'erreur de traitement de contrôle ci-dessus, vous devez envisager
l'augmentation des limites de l'un ou de plusieurs des paramètres de stratégie LDAP
mentionnés à la section 4, en fonction de l'événement que vous obtenez.
Si vous voyez l'événement 2898 sur votre serveur de contrôleur de domaine/LDAP, nous

vous recommandons de définir MaxResultSetsPerConn sur 25. Plus de 25 recherches
paginées parallèles sur une seule connexion LDAP n'est pas habituel. Si vous continuez à
voir l'événement 2898, analysez votre application cliente LDAP qui rencontre l'erreur. Il
est probable que, d'une certaine manière, l'application reste bloquée lors de la
récupération des résultats paginés supplémentaires, laisse le cookie en attente et
redémarre une nouvelle requête. Déterminez donc si l'application, à un moment donné,
a suffisamment de cookies pour ses besoins. Vous pouvez également augmenter la
valeur de MaxResultSetsPerConn au-delà de 25 Lorsque vous voyez des
événements 2899 consignés sur vos contrôleurs de domaine, l'approche est différente.
Si votre serveur de contrôleur de domaine/LDAP s’exécute sur un ordinateur avec
suffisamment de mémoire (plusieurs gigaoctets de mémoire disponible), nous vous
recommandons de définir MaxResultsetSize sur le serveur LDAP sur une valeur
>=250 Mo. Cette limite est assez grande pour contenir des volumes importants de
recherches paginées LDAP même sur des répertoires très volumineux.
Si vous voyez toujours les événements 2899 avec un pool de 250 Mo ou plus, vous avez
probablement de nombreux clients avec un très grand nombre d'objets retournés,
interrogés de manière très fréquente. Les données que vous pouvez rassembler avec
l’ensemble de collecteurs de données Active Directory peuvent vous aider à trouver les
requêtes paginées répétitives qui chargent vos serveurs LDAP. Ces requêtes s’affichent
avec un nombre d’« Entrées retournées » qui correspond à la taille de la page utilisée.
Si possible, vous devez examiner la conception de l’application et implémenter une
approche différente avec une fréquence inférieure, un volume de données inférieur
et/ou moins d’instances client interrogeant ces données. Dans le cas des applications
pour lesquelles vous avez accès au code source, ce guide de création d’applications
Active Directory efficaces peut vous aider à comprendre la façon optimale pour que les
applications accèdent à Active Directory.
Si le comportement de la requête ne peut pas être modifié, une autre approche consiste
à ajouter plus d’instances répliquées des contextes d’appellation nécessaires et à
redistribuer les clients et finalement à réduire la charge sur les serveurs LDAP.
Résolution des problèmes liés aux
services AD DS
Cette section comprend des recommandations et des procédures de dépannage pour le

diagnostic et la résolution des problèmes qui peuvent se produire pendant la réplication
de Active Directory. Il se concentre sur la façon de répondre aux entrées du journal des
événements du service d’annuaire et sur l’interprétation des messages que les outils tels
que Repadmin.exe et Dcdiag.exe peuvent créer des rapports.
les Repadmin.exe et les Dcdiag.exe sont disponibles sur tous les contrôleurs de domaine
qui exécutent Windows Server 2012 version R2 ou ultérieure. Pour plus d’informations
sur l’utilisation de ces outils pour résoudre les problèmes, consultez les articles suivants.
Configuration d’un ordinateur pour la résolution des problèmes Active Directory

Résolution des problèmes de réplication Active Directory
une autre technologie utile est Suivi d’v nements pour Windows (ETW). Vous pouvez
utiliser ETW pour résoudre les problèmes de communication LDAP entre les contrôleurs
de domaine. Pour plus d’informations, consultez utilisation d’ETW pour résoudre les
problèmes de connexion LDAP.
Vous pouvez également installer des Outils d’administration de serveur distant (RSAT)
sur un serveur membre qui exécute Windows 10. Pour plus d’informations sur
l’installation de RSAT, voir Outils d’administration de serveur distant.
Configuration d’un ordinateur pour la
résolution des problèmes

Avant d’utiliser des techniques de dépannage avancées pour identifier et résoudre les
problèmes affectant Active Directory, configurez vos ordinateurs pour résoudre les
problèmes. Vous devez également avoir une compréhension de base des concepts,
procédures et outils de résolution des problèmes.
Pour plus d’informations sur les outils d’analyse pour Windows Server, consultez le
Guide pas à pas pour l’analyse des performances et de la fiabilité dans Windows Server
Tâches de configuration pour la résolution des

problèmes
Pour configurer votre ordinateur pour la résolution des problèmes affectant Active
Directory Domain Services (AD DS), effectuez les tâches suivantes :
Installer les Outils d’administration de serveur distant

pour AD DS
Lorsque vous installez AD DS pour créer un contrôleur de domaine, les outils
d’administration que vous utilisez pour gérer AD DS sont installés automatiquement. Si
vous souhaitez gérer les contrôleurs de domaine à distance à partir d’un ordinateur qui
n’est pas un contrôleur de domaine, vous pouvez installer les outils d’administration de
serveur distant (RSAT) sur un serveur membre ou une station de travail exécutant une
version prise en charge de Windows. RSAT remplace les outils de support de Windows à
partir de Windows Server 2003.

Configurer l’analyseur de fiabilité et de performances

Windows Server inclut l’analyseur de performances et de fiabilité Windows, qui est un
composant logiciel enfichable Microsoft Management Console (MMC) combinant la
fonctionnalité des outils autonomes antérieurs, y compris Journaux et alertes de
performance et Moniteur système. Ce composant logiciel enfichable fournit une
interface utilisateur graphique (GUI) pour la personnalisation des ensembles de
collecteurs de données et des sessions de suivi d’événements.
L’analyseur de fiabilité et de performances inclut également le Moniteur de fiabilité, un

composant logiciel enfichable MMC qui suit les modifications apportées au système et
les compare aux changements de stabilité du système, fournissant ainsi une vue
graphique de leur relation.
Définir les niveaux de journalisation

Si les informations que vous recevez dans le journal du service d’annuaire de
l’observateur d'événements ne sont pas suffisantes pour la résolution des problèmes,
augmentez les niveaux de journalisation à l’aide de l’entrée de Registre appropriée dans
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.
Par défaut, les niveaux de journalisation de toutes les entrées sont définis sur 0, ce qui
fournit la quantité minimale d’informations. Le niveau de journalisation le plus élevé est
5. L’augmentation du niveau d’une entrée entraîne la journalisation d’événements
supplémentaires dans le journal des événements du service d’annuaire.
Utilisez la procédure suivante pour modifier le niveau de journalisation d’une entrée de

diagnostic. L'appartenance au groupe Admins du domaine, ou équivalent, est la
condition minimale requise pour effectuer cette procédure.
２ Avertissement
Nous vous recommandons de ne pas modifier directement le Registre, sauf s’il n’y a
pas d’autre solution. Les modifications apportées au Registre ne sont pas validées
par l’Éditeur du Registre ni par Windows avant d’être appliquées ; des valeurs
incorrectes peuvent donc être stockées. Cela peut entraîner des erreurs
irrécupérables dans le système. Si possible, utilisez la stratégie de groupe ou
d’autres outils Windows tels que des composants logiciels enfichables MMC pour
exécuter des opérations, au lieu de modifier le Registre directement. Si vous devez
modifier le Registre, soyez très vigilant.
Pour modifier le niveau de journalisation d’une entrée de diagnostic
1. Cliquez sur Démarrer>Exécuter> tapez regedit>, puis cliquez sur OK.

2. Accédez à l’entrée pour laquelle vous souhaitez définir la connexion.
EXAMPLE:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSDiagnostics
3. Double-cliquez sur l’entrée puis, dans Base, cliquez sur Décimal.

4. Dans Valeur, tapez un entier compris entre 0 et 5, puis cliquez sur OK.
Utilisation d’ETW pour résoudre les
problèmes des connexions LDAP
Article • 12/04/2023
Le suivi d’événements pour Windows (ETW) peut être un outil de résolution des
problèmes précieux pour Active Directory Domain Services (AD DS). Vous pouvez utiliser
ETW pour suivre les communications LDAP (Lightweight Directory Access Protocol) entre
les clients Windows et les serveurs LDAP, y compris les contrôleurs de domaine AD DS.
Comment activer ETW et démarrer une trace

Pour activer ETW
1. Ouvrez l’Éditeur du Registre et créez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\Proces
sName
Dans cette sous-clé, ProcessName est le nom complet du processus que vous
souhaitez suivre, y compris son extension (par exemple, « Svchost.exe »).
2. (Facultatif) Sous cette sous-clé, créez une nouvelle entrée nommée PID. Pour
utiliser cette entrée, attribuez un ID de processus en tant que valeur DWORD.
Si vous spécifiez un ID de processus, ETW trace uniquement l’instance de

l’application qui a cet ID de processus.
Pour démarrer une session de suivi
Ouvrez une fenêtre d'invite de commandes et exécutez la commande suivante :
Invite de commandes Windows
tracelog.exe -start <SessionName> -guid \#099614a5-5dd7-4788-8bc9-

e29f43db28fc -f <FileName> -flag <TraceFlags>
Les espaces réservés dans cette commande représentent les valeurs suivantes.
<SessionName> est un identificateur arbitraire utilisé pour étiqueter la session
de suivi.
７ Notes
Vous devrez vous référer à ce nom de session plus tard lorsque vous arrêterez
la session de suivi.
<FileName> spécifie le fichier journal dans lequel les événements seront écrits.
<TraceFlags> doit être une ou plusieurs des valeurs répertoriées dans la table
indicateurs de trace.
Comment mettre fin à une session de suivi et

désactiver le suivi d’événements
Pour arrêter le suivi
À l'invite de commandes, exécutez la commande suivante :
tracelog.exe -stop <SessionName>
Dans cette commande, <SessionName> est le même nom que celui que vous avez
utilisé dans la commande tracelog.exe -start.
Pour désactiver ETW
Dans l’Éditeur du Registre, supprimez la sous-clé

ProcessNameHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\.
Valeurs des indicateurs de suivi

Pour utiliser un indicateur, remplacez la valeur de l’indicateur par l’espace réservé
<TraceFlags> dans les arguments de la commande tracelog.exe -start.
７ Notes
Vous pouvez spécifier plusieurs indicateurs à l’aide de la somme des valeurs

d’indicateur appropriées. Par exemple, pour spécifier les indicateurs
DEBUG_SEARCH (0x00000001) et DEBUG_CACHE (0x00000010), la valeur
<TraceFlags> appropriée est 0x00000011.
Nom de l’indicateur Valeur Description de l’indicateur

d’indicateur
d’indicateur
DEBUG_SEARCH 0x00000001 Consigne les requêtes de recherche et les

paramètres qui sont passés à ces requêtes. Les
réponses ne sont pas consignées ici. Seules les
requêtes de recherche sont consignées. (Utilisez
DEBUG_SPEWSEARCH pour consigner les réponses
aux requêtes de recherche.)
DEBUG_WRITE 0x00000002 Consigne les requêtes d’écriture et les paramètres

transmis à ces requêtes. Les requêtes d’écriture
incluent les opérations d’ajout, de suppression, de
modification et d’extension.
DEBUG_REFCNT 0x00000004 Consigne les données et les opérations de

comptage de référence pour les connexions et les
requêtes.
DEBUG_HEAP 0x00000008 Consigne toutes les allocations de mémoire et les

libérations de mémoire.
DEBUG_CACHE 0x00000010 Consigne l’activité du cache. Cette activité inclut des

ajouts, des suppressions, des accès, des manques,
et ainsi de suite.
DEBUG_SSL 0x00000020 Consigne les informations et les erreurs relatives à

SSL.
DEBUG_SPEWSEARCH 0x00000040 Consigne toutes les réponses du serveur aux

requêtes de recherche. Ces réponses incluent les
attributs qui ont été demandés, ainsi que toutes les
données reçues.
DEBUG_SERVERDOWN 0x00000080 Consigne les erreurs de connexion et d’arrêt du

serveur.
DEBUG_CONNECT 0x00000100 Consigne les données liées à l’établissement d’une

connexion.
Utilisez DEBUG_CONNECTION pour consigner

d’autres données liées aux connexions.
DEBUG_RECONNECT 0x00000200 Consigne l’activité de reconnexion automatique.

Cette activité inclut les tentatives de reconnexion,
les échecs et les erreurs associées.
DEBUG_RECEIVEDATA 0x00000400 Consigne l’activité liée à la réception de messages

du serveur. Cette activité inclut des événements tels
que « en attente de la réponse du serveur » et la
réponse reçue du serveur.
d’indicateur
DEBUG_BYTES_SENT 0x00000800 Consigne toutes les données envoyées par le client

LDAP au serveur. Cette fonction consiste
essentiellement à enregistrer des paquets, mais elle
consigne toujours des données non chiffrées. (Si un
paquet est envoyé via SSL, cette fonction consigne
le paquet non chiffré.) Cette journalisation peut être
détaillée. Cet indicateur est probablement mieux
utilisé seul ou combiné avec
DEBUG_BYTES_RECEIVED.
DEBUG_EOM 0x00001000 Consigne les événements liés à l’atteinte de la fin

d’une liste de messages. Ces événements incluent
des informations telles que « liste de messages
effacée », etc.
DEBUG_BER 0x00002000 Consigne les opérations et les erreurs liées aux

règles d’encodage de base (BER). Ces opérations et
erreurs incluent des problèmes d’encodage, des
problèmes de taille de la mémoire tampon, etc.
DEBUG_OUTMEMORY 0x00004000 Consigne les échecs d’allocation de mémoire.

Consigne également tout échec de calcul de la
mémoire requise (par exemple, un dépassement de
capacité qui se produit lors du calcul de la taille de
la mémoire tampon requise).
DEBUG_CONTROLS 0x00008000 Consigne les données relatives aux contrôles. Ces

données incluent les contrôles qui sont insérés, les
problèmes qui affectent les contrôles, les contrôles
obligatoires sur une connexion, etc.
DEBUG_BYTES_RECEIVED 0x00010000 Consigne toutes les données reçues par le client

LDAP. Ce comportement consiste essentiellement à
consigner des paquets, mais il enregistre toujours
des données non chiffrées. (Si un paquet est envoyé
via SSL, cette option consigne le paquet non
chiffré.) Ce type de journalisation peut être détaillé.
Cet indicateur est probablement mieux utilisé seul
ou combiné avec DEBUG_BYTES_SENT.
DEBUG_CLDAP 0x00020000 Consigne les événements spécifiques à UDP et

LDAP sans connexion.
d’indicateur
DEBUG_FILTER 0x00040000 Consigne les événements et les erreurs rencontrés

lors de la construction d’un filtre de recherche.
Note Cette option consigne les événements client

uniquement pendant la construction du filtre. Elle
ne consigne aucune réponse du serveur à propos
d’un filtre.
DEBUG_BIND 0x00080000 Consigne les événements et les erreurs de liaison.

Ces données incluent des informations de
négociation, de réussite de liaison, d’échec de
liaison, etc.
DEBUG_NETWORK_ERRORS 0x00100000 Consigne les erreurs réseau générales. Ces données

incluent les erreurs d’envoi et de réception.
Note Si une connexion est perdue ou si le serveur

n’est pas accessible, DEBUG_SERVERDOWN est la
balise préférée.
DEBUG_VERBOSE 0x00200000 Consigne les messages généraux. Utilisez cette

option pour tous les messages qui ont tendance à
générer une grande quantité de sortie. Par exemple,
cette option permet de consigner des messages tels
que « fin du message atteinte », « le serveur n’a pas
encore répondu », etc. Cette option est également
utile pour les messages génériques.
DEBUG_PARSE 0x00400000 Consigne les événements et erreurs de message

généraux, ainsi que les événements et erreurs
d’analyse et d’encodage de paquets.
DEBUG_REFERRALS 0x00800000 Consigne les données relatives aux références et à

la recherche de références.
DEBUG_REQUEST 0x01000000 Consigne le suivi des requêtes.
DEBUG_CONNECTION 0x02000000 Consigne les données générales de connexion et les

erreurs.
DEBUG_INIT_TERM 0x04000000 Consigne l’initialisation et le nettoyage du module

(DLL Main, etc.).
DEBUG_API_ERRORS 0x08000000 Prend en charge la journalisation de l’utilisation

incorrecte de l’API. Par exemple, cette option
consigne les données si l’opération de liaison est
appelée deux fois sur la même connexion.
d’indicateur
DEBUG_ERRORS 0x10000000 Consigne les erreurs générales. La plupart de ces

erreurs peuvent être classées comme des erreurs
d’initialisation de module, des erreurs SSL ou des
erreurs de dépassement ou d’insuffisance de
capacité.
DEBUG_PERFORMANCE 0x20000000 Consigne des données sur les statistiques d’activité

LDAP globales du processus après réception d’une
réponse du serveur à une requête LDAP.
Exemple
Envisagez une application, App1.exe, qui définit des mots de passe pour les comptes
d’utilisateur. Supposons que App1.exe génère une erreur inattendue. Pour utiliser ETW
pour vous aider à diagnostiquer ce problème, procédez comme suit :
1. Dans l’Éditeur du Registre, créez l’entrée de Registre suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\App1.e
xe
2. Pour démarrer une session de suivi, ouvrez une fenêtre d’invite de commandes et
exécutez la commande suivante :
tracelog.exe -start ldaptrace -guid \#099614a5-5dd7-4788-8bc9-

e29f43db28fc -f .\ldap.etl -flag 0x80000
Une fois cette commande démarrée, DEBUG_BIND vérifie que ETW écrit les
messages de suivi dans .\ldap.etl.
3. Démarrez App1.exe et reproduisez l’erreur inattendue.
4. Pour arrêter la session de suivi, exécutez la commande suivante à l’invite de

commandes :
tracelog.exe -stop ldaptrace
5. Pour empêcher d’autres utilisateurs de tracer l’application, supprimez l’entrée de

Registre
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\App1.e
xe.
6. Pour passer en revue les informations contenues dans le journal de suivi, exécutez
la commande suivante à l’invite de commandes :
tracerpt.exe .\ldap.etl -o -report
７ Notes
Dans cette commande, tracerpt.exe est un outil consommateur de suivi.

Résolution des problèmes de réplication
Active Directory

Essayez notre agent virtuel : il peut vous aider à identifier et à résoudre

rapidement les problèmes courants liés à la réplication Active Directory
Les problèmes de réplication Active Directory peuvent avoir plusieurs causes différentes.
Par exemple, les problèmes DNS, les problèmes de mise en réseau ou les problèmes de
sécurité peuvent tous entraîner l’échec de la réplication Active Directory.
Le reste de cette rubrique décrit les outils et explique une méthodologie générale pour
corriger les erreurs de réplication Active Directory. Les sous-rubriques suivantes
couvrent les symptômes, les causes et la façon de résoudre des erreurs de réplication
spécifiques :
Introduction et ressources pour la résolution

des problèmes de réplication Active Directory
L’échec des réplications entrante ou sortante provoque l’incohérence des objets Active
Directory qui représentent la topologie de réplication, la planification de réplication, les
contrôleurs de domaine, les utilisateurs, les ordinateurs, les mots de passe, les groupes
de sécurité, l’appartenance aux groupes et la stratégie de groupe entre les contrôleurs
de domaine. L’incohérence du répertoire et l’échec de la réplication entraînent des
échecs opérationnels ou des résultats incohérents, selon le contrôleur de domaine
contacté pour l’opération, et peuvent empêcher l’application des autorisations Stratégie
de groupe et du contrôle d’accès. Active Directory Domain Services (AD DS) dépend de
la connectivité réseau, de la résolution de noms, de l’authentification et de l’autorisation,
de la base de données de répertoires, de la topologie de réplication et du moteur de
réplication. Lorsque la cause racine d’un problème de réplication n’est pas
immédiatement évidente, déterminer la cause parmi les nombreuses possibilités
nécessite l’élimination systématique des causes probables.
Pour qu’un outil basé sur l’interface utilisateur vous aide à superviser la réplication et à
diagnostiquer les erreurs, téléchargez et exécutez l’outil Assistant Support et
récupération de Microsoft ou utilisez l’outil d’état de réplication Active Directory si
vous souhaitez uniquement analyser l’état de la réplication.
Pour obtenir un document complet qui décrit comment utiliser l’outil Repadmin pour
résoudre les problèmes de réplication Active Directory, consultez Analyse et dépannage
de la réplication Active Directory à l’aide de Repadmin.
Pour plus d’informations sur le fonctionnement de la réplication Active Directory,

consultez les références techniques suivantes :
Référence technique sur le modèle de réplication Active Directory

Référence technique sur la topologie de réplication Active Directory
Recommandations de solutions avec

événements et outils
Dans l’idéal, les événements rouge (Erreur) et jaune (Avertissement) dans le journal des
événements Directory Service suggèrent la contrainte spécifique qui provoque l’échec
de la réplication sur le contrôleur de domaine source ou de destination. Si le message
d’événement suggère une solution, essayez d’effectuer les étapes décrites dans
l’événement. L’outil Repadmin et d’autres outils de diagnostic fournissent également
des informations qui peuvent vous aider à résoudre les échecs de réplication.
Pour plus d’informations sur l’utilisation de Repadmin afin de résoudre les problèmes de
réplication, consultez Analyse et dépannage de la réplication Active Directory à l’aide de
Repadmin.
Exclusion des interruptions intentionnelles ou

des défaillances matérielles
Parfois, des erreurs de réplication se produisent en raison d’interruptions intentionnelles.
Par exemple, lorsque vous résolvez des problèmes de réplication Active Directory,
excluez d’abord les déconnexions intentionnelles et les défaillances matérielles ou les
mises à niveau.
Déconnexions intentionnelles
Si des erreurs de réplication sont signalées par un contrôleur de domaine qui tente la
réplication avec un contrôleur de domaine qui a été créé dans un site de préproduction
et qui est actuellement hors connexion et en attente de déploiement sur le site de
production final (un site distant, par exemple une filiale), vous savez d’où proviennent
ces erreurs de réplication. Pour éviter de séparer un contrôleur de domaine de la
topologie de réplication pendant de longues périodes, ce qui entraîne des erreurs
continues jusqu’à ce que le contrôleur de domaine soit reconnecté, envisagez d’ajouter
ces ordinateurs initialement en tant que serveurs membres et d’utiliser la méthode
d’installation à partir d’un support (IFM) pour installer Active Directory Domain Services
(AD DS). Vous pouvez utiliser l’outil en ligne de commande Ntdsutil pour créer un
support d’installation que vous pouvez stocker sur un support amovible (CD, DVD ou
autre) et expédier vers le site de destination. Ensuite, vous pouvez utiliser le support
d’installation pour installer AD DS sur les contrôleurs de domaine du site, sans utiliser la
réplication.
Défaillances matérielles ou mises à niveau

Si des problèmes de réplication se produisent à la suite d’une défaillance matérielle (par
exemple, défaillance d’une carte mère, d’un sous-système de disque ou d’un disque
dur), informez le propriétaire du serveur afin que le problème matériel puisse être
résolu.
Les mises à niveau matérielles périodiques peuvent également entraîner la mise hors
service des contrôleurs de domaine. Assurez-vous que les propriétaires de serveurs
disposent d’un bon système de communication de ces pannes à l’avance.
Configuration du pare-feu
Par défaut, les appels de procédure distante (RPC) durant une réplication Active
Directory se produisent de façon dynamique sur un port disponible par le biais du
Mappeur de point de terminaison RPC (RPCSS) sur le port 135. Vérifiez que le Pare-feu
Windows avec fonctions avancées de sécurité ou tout autre pare-feu est correctement
configuré pour permettre la réplication. Pour plus d’informations sur la spécification du
port pour la réplication Active Directory et les paramètres du port, consultez
l’article 224196 dans la Base de connaissances Microsoft .
Pour plus d’informations sur les ports utilisés par la réplication Active Directory,
consultez Outils et paramètres de la réplication Active Directory.
Pour plus d’informations sur la gestion de la réplication Active Directory sur des pare-
feux, consultez Réplication Active Directory sur des pare-feux.
Réponse à l’échec d’un serveur obsolète
exécutant Windows 2000 Server
Si un contrôleur de domaine exécutant Windows 2000 Server a échoué pendant plus
longtemps que le nombre de jours de la durée de vie de temporisation (tombstone), la
solution est toujours la même :
1. Déplacez le serveur du réseau d’entreprise vers un réseau privé.

2. Supprimez Active Directory de manière forcée ou réinstallez le système
d’exploitation.
3. Supprimez les métadonnées du serveur dans Active Directory afin que l’objet
serveur ne puisse pas être relancé.
Vous pouvez utiliser un script pour nettoyer les métadonnées du serveur sur la plupart
des systèmes d’exploitation Windows. Pour plus d’informations sur l’utilisation de ce
script, consultez Supprimer les métadonnées du contrôleur de domaine Active
Directory .
Par défaut, les objets Paramètres NTDS supprimés sont automatiquement réactivés
pendant une période de 14 jours. Par conséquent, si vous ne supprimez pas les
métadonnées du serveur (utilisez Ntdsutil ou le script mentionné précédemment pour
effectuer le nettoyage des métadonnées), les métadonnées du serveur sont rétablies
dans le répertoire, ce qui invite des tentatives de réplication à se produire. Dans ce cas,
les erreurs sont consignées de manière permanente en raison de l’impossibilité de
répliquer avec le contrôleur de domaine manquant.
Causes racines
Si vous excluez les déconnexions intentionnelles, les défaillances matérielles et les
contrôleurs de domaine Windows 2000 obsolètes, les autres problèmes de réplication
ont presque toujours l’une des causes racines suivantes :
Connectivité réseau : la connexion réseau est peut-être indisponible ou les

paramètres réseau ne sont pas configurés correctement.
Résolution de noms : Les erreurs de configuration DNS sont souvent à l’origine
d’échecs de réplication.
Authentification et autorisation : les problèmes d’authentification et d’autorisation
entraînent des erreurs de type « Accès refusé » quand un contrôleur de domaine
tente de se connecter à son partenaire de réplication.
Base de données d’annuaires (magasin) : la base de données d’annuaires peut ne
pas traiter les transactions suffisamment vite pour respecter les délais d’expiration
de la réplication.
Moteur de réplication : si les planifications de réplication intersite sont trop
courtes, les files d’attente de réplication peuvent être trop volumineuses pour
pouvoir être traitées dans le temps imparti par la planification de réplication
sortante. Dans ce cas, la réplication de certaines modifications peut être bloquée
indéfiniment ou du moins assez longtemps pour dépasser la durée de vie de
temporisation (tombstone).
Topologie de réplication : les contrôleurs de domaine doivent avoir des liens
intersites dans AD DS mappés à de vraies connexions WAN (réseau étendu) ou
VPN (réseau privé virtuel). Si vous créez des objets dans AD DS pour la topologie
de réplication qui ne sont pas pris en charge par la topologie de site de votre
réseau, la réplication qui nécessite la topologie mal configurée échoue.
Approche générale de la résolution des

problèmes
Utilisez l’approche générale suivante pour résoudre les problèmes de réplication :
1. Supervisez l’intégrité de la réplication quotidiennement ou utilisez Repadmin.exe

pour récupérer chaque jour l’état de la réplication.
2. Essayez de résoudre les échecs signalés dans un délai convenable en utilisant les
méthodes décrites dans les messages d’événement et dans ce guide. Si un logiciel
est peut-être à l’origine du problème, désinstallez-le avant de passer à d’autres
solutions.
3. Si le problème à l’origine de l’échec de la réplication ne peut pas être résolu par

des méthodes connues, supprimez AD DS du serveur et réinstallez-le. Pour plus
d’informations sur la réinstallation du service AD DS, consultez Désactivation d’un
4. Si AD DS ne peut pas être supprimé de manière classique quand le serveur est
connecté au réseau, utilisez l’une des méthodes suivantes pour résoudre le
problème :
Forcez la suppression du service AD DS en mode de restauration des services

d’annuaire (DSRM), nettoyez les métadonnées du serveur, puis réinstallez
AD DS.
Réinstallez le système d’exploitation et regénérez le contrôleur de domaine.
Pour plus d’informations sur la suppression forcée d’AD DS, consultez Suppression

forcée d’un contrôleur de domaine.
Utilisation de Repadmin pour récupérer l’état
de réplication
L’état de réplication est un moyen important pour vous d’évaluer l’état du service
d’annuaire. Si la réplication fonctionne sans erreurs, vous savez quels contrôleurs de
domaine sont en ligne. Vous savez également que les systèmes et services suivants
fonctionnent :
Infrastructure DNS
Protocole d’authentification Kerberos
Service de temps Windows (W32time)
Appel de procédure distante (RPC)
Connectivité réseau
Utilisez Repadmin pour superviser l’état de réplication quotidiennement en exécutant

une commande qui évalue l’état de réplication de tous les contrôleurs de domaine dans
votre forêt. La procédure génère un fichier .csv que vous pouvez ouvrir dans
Microsoft Excel et filtrer pour consulter les échecs de réplication.
Vous pouvez utiliser la procédure suivante pour récupérer l’état de réplication de tous
les contrôleurs de domaine dans la forêt.
Configuration requise
L'appartenance au groupe Administrateurs de l'entreprise, ou équivalent, est la

condition minimale requise pour effectuer cette procédure.
Outils :
Repadmin.exe
Excel (Microsoft Office)
Pour générer une feuille de calcul repadmin/showrepl

pour les contrôleurs de domaine
1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu
Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur
Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte
d’utilisateur apparaît, indiquez au besoin les informations d’identification
Entreprise, puis cliquez sur Continuer.
2. À l’invite de commandes, tapez la commande suivante et appuyez sur ENTRÉE :

repadmin /showrepl * /csv > showrepl.csv
3. Ouvrez Excel.
4. Cliquez sur le bouton Office, cliquez sur Ouvrir, accédez à showrepl.csv, puis
cliquez sur Ouvrir.
5. Masquez ou supprimez la colonne A ainsi que la colonne Type de transport,

comme suit :
6. Sélectionnez une colonne que vous souhaitez masquer ou supprimer.
Pour masquer la colonne, cliquez avec le bouton droit sur la colonne, puis
cliquez sur Masquer.
Pour supprimer la colonne, cliquez avec le bouton droit sur la colonne
sélectionnée, puis cliquez sur Supprimer.
7. Sélectionnez la ligne 1 sous la ligne d’en-tête de colonne. Sous l’onglet Affichage,

cliquez sur Figer les volets, puis sur Figer la ligne supérieure.
8. Sélectionnez la feuille de calcul entière. Sous l’onglet Données, cliquez sur Filtrer.
9. Dans la colonne Heure de la dernière réussite, cliquez sur la flèche vers le bas, puis
sur Tri croissant.
10. Dans la colonne DC source, cliquez sur la flèche de filtre vers le bas, pointez sur
Filtres de texte, puis cliquez sur Filtre personnalisé.
11. Dans la boîte de dialogue Filtre automatique personnalisé, sous Afficher les lignes
où, cliquez sur ne contient pas. Dans la zone de texte adjacente, tapez del pour
éliminer de la vue les résultats des contrôleurs de domaine supprimés.
12. Répétez l’étape 11 pour la colonne Heure du dernier échec, mais utilisez la valeur
n’est pas égal à, puis tapez la valeur 0.
13. Résolvez les échecs de réplication.
Pour chaque contrôleur de domaine dans la forêt, la feuille de calcul indique le

partenaire de réplication source, l’heure de la dernière réplication et l’heure à laquelle la
dernière échec de réplication s’est produit pour chaque contexte d’affectation de noms
(partition d’annuaire). En utilisant le filtre automatique dans Excel, vous pouvez afficher
l’intégrité de la réplication pour les contrôleurs de domaine en fonctionnement
uniquement, les contrôleurs de domaine défaillants uniquement ou les contrôleurs de
domaine les moins ou les plus actuels, et vous pouvez voir les partenaires de réplication
qui effectuent correctement la réplication.
Problèmes de réplication et résolutions
Des problèmes de réplication sont signalés dans les messages d’événement et dans
différents messages d’erreur qui se produisent lorsqu’une application ou un service
tente d’exécuter une opération. Dans l’idéal, ces messages sont collectés par votre
application de supervision ou lorsque vous récupérez l’état de réplication.
La plupart des problèmes de réplication sont identifiés dans les messages d’événements
qui sont consignés dans le journal des événements du service d’annuaire. Les problèmes
de réplication peuvent également être identifiés sous la forme de messages d’erreur
dans la sortie de la commande repadmin /showrepl .
messages d’erreur repadmin/showrepl indiquant des

problèmes de réplication
Pour identifier les problèmes de réplication Active Directory, utilisez la commande
repadmin /showrepl , comme décrit dans la section précédente. Le tableau suivant
présente les messages d’erreur générés par cette commande, ainsi que les causes
racines des erreurs, et des liens vers des rubriques qui fournissent des solutions aux
erreurs.
Erreur Cause racine Solution

Repadmin
Le temps écoulé Un contrôleur de domaine a échoué ID d’événement 2042 : Trop de

depuis la une réplication entrante avec le temps s’est écoulé depuis la
dernière contrôleur de domaine source nommé réplication de cette machine
réplication avec assez longtemps pour entraîner la
ce serveur a temporisation (« tombstone ») d’une
dépassé la durée suppression, sa réplication et sa
de vie de récupération par le garbage collector
temporisation d’AD DS.
(tombstone).
Pas de voisins Si aucun élément n’apparaît dans la Résolution des problèmes de

entrants. section « Inbound Neighbors » de la connectivité de réplication (ID
sortie générée par repadmin /showrepl, d’événement 1925)
le contrôleur de domaine n’a pas pu
établir de liens de réplication avec un
autre contrôleur de domaine.
Erreur Cause racine Solution
Repadmin
L’accès est Un lien de réplication existe entre deux Résolution des problèmes de
refusé. contrôleurs de domaine, mais la sécurité de réplication
réplication ne peut pas être effectuée
correctement en raison d’un échec
d’authentification.
La dernière Ce problème peut être lié à des Correction des problèmes de

tentative problèmes de connectivité, recherche DNS de réplication (ID
effectuée à d’authentification ou DNS. S’il s’agit des événements 1925, 2087, 2088)
<date - heure> d’une erreur DNS, le contrôleur de Résolution des problèmes de
a échoué avec domaine local n’a pas pu résoudre le sécurité de réplication Résolution
l’erreur « Le nom nom DNS basé sur l’identificateur des problèmes de connectivité de
du compte cible global unique (GUID) de son partenaire réplication (ID d’événement 1925)
est incorrect. » de réplication.
Erreur LDAP 49. Le compte d’ordinateur du contrôleur Résolution des problèmes de

de domaine n’est peut-être pas sécurité de réplication
synchronisé avec le centre de
distribution de clés (KDC).
Impossible L’outil d’administration n’a pas pu Résolution des problèmes de

d’ouvrir la contacter AD DS. recherche DNS de réplication (ID
connexion LDAP d’événement 1925, 2087, 2088)
à l’hôte local
La réplication La progression de la réplication Patientez jusqu’à la fin de la

Active Directory entrante a été interrompue par une réplication. Ce message
a été préemptée. demande de réplication de priorité plus d’information indique un
élevée, telle qu’une requête générée fonctionnement normal.
manuellement avec la commande
repadmin/sync.
Réplication Le contrôleur de domaine a publié une Patientez jusqu’à la fin de la

publiée, en demande de réplication et attend une réplication. Ce message
attente. réponse. La réplication est en cours à d’information indique un
partir de cette source. fonctionnement normal.
Le tableau suivant répertorie les événements courants susceptibles d’indiquer des

problèmes liés à la réplication Active Directory, ainsi que les causes racines des
problèmes, et des liens vers des rubriques qui fournissent des solutions aux problèmes.
ID Cause racine Solution

d’événement
et source
d’événement
et source
KCC 1311 Les informations de configuration de réplication Résolution des problèmes

NTDS dans AD DS ne reflètent pas avec précision la de topologie de
topologie physique du réseau. réplication (ID
d’événement 1311)
Réplication La cohérence de réplication stricte n’est pas Résolution des problèmes

1388 NTDS appliquée et un objet persistant a été répliqué sur le des objets en attente de
contrôleur de domaine. réplication (ID
d’événement 1388, 1988,
2042)
KCC 1925 Échec de la tentative d’établissement d’un lien de Résolution des problèmes
NTDS réplication pour une partition d’annuaire accessible de connectivité de
en écriture. Cet événement peut avoir des causes réplication (ID
différentes, en fonction de l’erreur. d’événement 1925)
Correction des problèmes
de recherche DNS de
réplication (ID des
événements 1925, 2087,
2088)
Réplication Le contrôleur de domaine local a tenté de répliquer Résolution des problèmes

1988 NTDS un objet à partir d’un contrôleur de domaine source des objets en attente de
qui n’est pas présent sur le contrôleur de domaine réplication (ID
local, car il a peut-être été supprimé et déjà d’événement 1388, 1988,
récupéré par la mémoire. La réplication ne se 2042)
poursuit pas pour cette partition d’annuaire avec ce
partenaire tant que la situation n’est pas résolue.
Réplication La réplication n’a pas eu lieu avec ce partenaire Résolution des problèmes
2042 NTDS pendant une durée de vie de temporisation des objets en attente de
(tombstone) et la réplication ne peut pas continuer. réplication (ID
2042)
Réplication AD DS n’a pas pu résoudre le nom d’hôte DNS du Résolution des problèmes
2087 NTDS contrôleur de domaine source en adresse IP et la de recherche DNS de
réplication a échoué. réplication (ID
2088)
Réplication AD DS n’a pas pu résoudre le nom d’hôte DNS du Résolution des problèmes
2088 NTDS contrôleur de domaine source en adresse IP, mais la de recherche DNS de
réplication a réussi. réplication (ID
2088)
d’événement
et source
Connexion Un compte d’ordinateur n’a pas pu s’authentifier, ce Résolution des problèmes

5805 Net qui est généralement dû à plusieurs instances du de sécurité de réplication
même nom d’ordinateur ou au nom d’ordinateur qui
ne se répliquent pas sur chaque contrôleur de
domaine.
Pour plus d’informations sur les concepts de réplication, consultez Technologies de

réplication Active Directory.
Étapes suivantes
Pour plus d’informations, notamment des articles de support spécifiques aux codes
d’erreur, consultez l’article de support : Comment résoudre les erreurs courantes de
réplication Active Directory
Article • 14/04/2023
Pour plus d’informations sur l’utilisation de Repadmin.exe afin de gérer la duplication

d’annuaire Active Directory, consultez la ressource suivante :
Pour plus d’informations, consultez Supervision de la réplication Active Directory et

résolution des problèmes avec Repadmin
Pour plus d’informations sur les événements spécifiques journalisés pour les problèmes
Active Directory, consultez la ressource suivante :
Active Directory
Pour plus d’informations sur les problèmes connus et les bonnes pratiques d’Active
Directory, consultez les ressources suivantes :
Problèmes connus liés à la création d’approbations de domaine et de forêt

Bonnes pratiques pour l’administration des approbations de domaine et de forêt
Problèmes connus liés à la sauvegarde d’Active Directory Domain Services
Problèmes connus liés à la restauration faisant autorité
Bonnes pratiques pour la restauration faisant autorité
Problèmes connus liés à l’ajout de contrôleurs de domaine dans les sites distants
Bonnes pratiques pour l’ajout de contrôleurs de domaine dans les sites distants
Pour obtenir des informations générales sur la gestion et la configuration d’Active

Directory Domain Services (AD DS) et son fonctionnement, consultez les ressources
suivantes :
Administration des opérations Active Directory

Collection Active Directory
Services de fédération Active Directory
(AD FS)

Ce document contient la liste de tous les domaines de documentation concernant AD FS

pour Windows Server 2016, 2012 R2 et 2012. Notamment :
Vue d’ensemble des services AD FS
Conception des services AD FS
Déploiement d’AD FS
Développement des services AD FS
Opérations d’AD FS
Informations techniques de référence sur AD FS
Désactivation d’AD FS
Article • 12/04/2023
） Important
Au lieu de mettre à niveau vers la dernière version d’AD FS, Microsoft recommande

vivement la migration vers Azure AD.
Pour plus d’informations, consultez
Ressources pour la désaffectation d’AD FS
Les services de fédération Active Directory (AD FS) est un composant qui permet

d’activer la gestion des identités et des accès fédérés en partageant les identités
numériques et les droits au-delà des limites de sécurité et d’entreprise. AD FS étend la
possibilité d’utiliser la fonctionnalité d’authentification unique disponible dans une seule
limite de sécurité ou d’entreprise aux applications accessibles sur Internet pour
permettre aux clients, partenaires et fournisseurs une expérience utilisateur simplifiée
tout en accédant aux applications web d’une organisation.
Ce document contient une liste de toutes les présentations de documentation pour AD

FS pour Windows Server. Notamment :
Nouveautés dans AD FS pour Windows Server 2019
Flux OpenID Connect/OAuth avec AD FS et scénarios d’application
Configuration AD FS requise
FAQ AD FS
Nouveautés des services de fédération
Active Directory (AD FS)
Nouveautés des services de fédération Active

Directory (AD FS) pour Windows Server 2019
Connexions protégées
Voici un bref résumé des mises à jour des connexions protégées disponibles dans AD
FS 2019 :
Fournisseurs d’authentification externes en tant que fournisseurs principaux : les

clients peuvent maintenant utiliser des produits d’authentification tiers comme
premier facteur et ne pas exposer de mots de passe comme premier facteur. Dans
les cas où un fournisseur d’authentification externe peut prouver deux facteurs, il
peut revendiquer l’authentification MFA.
Authentification par mot de passe en tant qu’authentification supplémentaire :
les clients disposent d’une option de boîte de réception entièrement prise en
charge afin d’utiliser le mot de passe uniquement pour le facteur supplémentaire
après l’utilisation d’une option sans mot de passe comme premier facteur. Cela
améliore l’expérience client par rapport à AD FS 2016, où les clients devaient
télécharger un adaptateur github qui est à présent pris en charge tel quel.
Module d’évaluation des risques enfichable -Les clients peuvent maintenant créer
leurs propres modules plug-ins pour bloquer certains types de requêtes lors de la
phase de préauthentification. Cela permet aux clients d’utiliser plus facilement
l’intelligence du cloud, par exemple la protection d’identité, afin de bloquer les
connexions pour les utilisateurs à risque ou les transactions risquées. Pour plus
d’informations, consultez Créer des plug-ins avec un modèle d’évaluation des
risques AD FS 2019.
Améliorations apportées à ESL - Amélioration du QFE ESL dans la version 2016
avec l’ajout des fonctionnalités suivantes :
Permet aux clients d’être en mode audit tout en étant protégés par la
fonctionnalité de verrouillage extranet « classique » disponible depuis AD
FS 2012 R2. Actuellement, les clients de la version 2016 ne disposeraient
d’aucune protection en mode audit.
Active le seuil de verrouillage indépendant pour les emplacements familiers.
Cela permet à plusieurs instances d’applications qui s’exécutent avec un compte
de service commun de substituer les mots de passe avec le moins d’impact
possible.
Améliorations de sécurité supplémentaires

Les améliorations de sécurité supplémentaires suivantes sont disponibles dans AD
FS 2019 :
PowerShell (PSH) à distance à l’aide de la connexion par carte à puce - Les clients
peuvent maintenant utiliser des cartes à puce pour se connecter à distance à AD FS
par le biais de PSH, et ainsi gérer toutes les fonctions PSH, notamment les applets
de commande PSH multinœuds.
Personnalisation d’en-tête HTTP - Les clients peuvent maintenant personnaliser
les en-têtes HTTP émis pendant les réponses AD FS. Cela comprend les en-têtes
suivants :
HSTS : indique que les points de terminaison AD FS peuvent seulement être
utilisés sur des points de terminaison HTTPS pour l’application par un
navigateur conforme.
x-frame-options : permet aux administrateurs AD FS d’autoriser des parties de
confiance spécifiques à incorporer des iFrames pour les pages de connexion
interactive AD FS. À utiliser avec précaution et uniquement sur les hôtes HTTPS.
En-tête futur : des en-têtes futurs supplémentaires peuvent également être
configurés.
Pour plus d’informations, consultez Personnaliser des en-têtes de réponse de

sécurité HTTP avec AD FS 2019.
Fonctionnalités d’authentification/de stratégie

Les fonctionnalités d’authentification/de stratégie suivantes sont disponibles dans AD
FS 2019 :
Spécifier la méthode d’authentification pour une authentification

supplémentaire par RP -Les clients peuvent maintenant utiliser des règles de
revendication pour déterminer le fournisseur d’authentification supplémentaire à
appeler. C’est utile pour deux cas d’usage :
Les clients effectuent la transition d’un fournisseur d’authentification
supplémentaire à un autre. De cette façon, quand ils intègrent des utilisateurs à
un fournisseur d’authentification plus récent, ils peuvent utiliser des groupes
pour contrôler quel le fournisseur d’authentification supplémentaire est appelé.
Les clients ont besoin d’un fournisseur d’authentification supplémentaire
spécifique (par exemple, un certificat) pour certaines applications.
Limiter l’authentification des appareils basée sur TLS uniquement aux
applications qui en ont besoin : les clients peuvent maintenant restreindre les
authentifications des appareils basées sur le protocole TLS aux seules applications
qui effectuent un accès conditionnel basé sur l’appareil. Cela empêche toute invite
indésirable pour l’authentification des appareils (ou les échecs si l’application
cliente ne peut pas la gérer) pour les applications qui ne nécessitent pas
l’authentification des appareils basée sur TLS.
Prise en charge de l’actualisation MFA : AD FS prend maintenant en charge la
possibilité de redemander les informations d’identification du deuxième facteur en
fonction de leur actualisation. Cela permet aux clients d’effectuer une transaction
initiale avec deux facteurs et de se voir demander le deuxième facteur de manière
périodique uniquement. Cela est uniquement disponible pour les applications qui
peuvent fournir un paramètre supplémentaire dans la demande, et n’est pas un
paramètre configurable dans AD FS. Ce paramètre est pris en charge par Azure AD
quand l’option « Mémoriser mon authentification multifacteur pour X jours » est
configurée et que l’indicateur « supportsMFA » a la valeur true dans les paramètres
d’approbation de domaine fédéré dans Azure AD.
Améliorations apportées à l’authentification unique pour

la connexion
Les améliorations suivantes ont été apportées à l’authentification unique pour la
connexion dans AD FS 2019 :
Expérience utilisateur paginée avec thème centré - AD FS dispose maintenant d’un

flux d’expérience utilisateur paginé qui lui permet de valider et de fournir une
expérience de connexion plus fluide. AD FS utilise à présent une interface
utilisateur centrée (au lieu du côté droit de l’écran). Vous aurez peut-être besoin
d’images de logo et d’arrière-plan plus récentes adaptées à cette expérience. Cela
reflète également les fonctionnalités proposées dans Azure AD.
Résolutions de bogues État d’authentification unique persistant pour les
appareils Win10 lors de l’authentification PRT Cela résout un problème selon
lequel l’état MFA n’était pas conservé lors de l’utilisation de l’authentification PRT
pour les appareils Windows 10. La conséquence de ce problème était que les
utilisateurs finaux étaient souvent invités à entrer des informations d’identification
de deuxième facteur (MFA). Le correctif rend également l’expérience cohérente
quand l’authentification de l’appareil est effectuée avec succès par le biais du
protocole TLS du client et du mécanisme PRT.
Prise en charge de la création d’applications métier
modernes
La prise en charge suivante pour la création d’applications métier modernes a été
ajoutée à AD FS 2019 :
Profil de flux d’appareil OAuth - AD FS prend maintenant en charge le profil de

flux d’appareil OAuth pour effectuer des connexions sur des appareils qui n’ont
pas de surface d’interface utilisateur, afin de prendre en charge des expériences de
connexion riches. Cela permet à l’utilisateur d’effectuer l’expérience de connexion
sur un autre appareil. Cette fonctionnalité est requise pour l’expérience Azure CLI
dans Azure Stack, et peut être utilisée dans d’autres cas.
Suppression du paramètre « Resource » : AD FS a maintenant supprimé la
nécessité de spécifier un paramètre de ressource, qui est conforme aux
spécifications OAuth actuelles. Les clients peuvent désormais spécifier
l’identificateur d’approbation de la partie de confiance en tant que paramètre
d’étendue, en plus des autorisations demandées.
En-têtes CORS dans les réponses AD FS : les clients peuvent maintenant créer des
applications monopages qui autorisent les bibliothèques JS côté client à valider la
signature de l’id_token en interrogeant les clés de signature à partir du document
de découverte OIDC sur AD FS.
Prise en charge de PKCE - AD FS ajoute la prise en charge de PKCE pour fournir un
workflow de code d’authentification sécurisé dans OAuth. Cela ajoute une couche
supplémentaire de sécurité à ce flux, afin d’empêcher le détournement du code et
sa relecture à partir d’un autre client.
Résolution de bogue : envoi de x5t et revendication kid - il s’agit d’une résolution
de bogue mineur. AD FS envoie maintenant en plus la revendication « kid » afin de
désigner l’indicateur d’ID de clé pour la vérification de la signature. Avant, AD FS
l’envoyait uniquement en tant que revendication « x5t ».
Améliorations de la prise en charge

Les améliorations de prise en charge suivantes font maintenant partie d’AD FS 2019 :
Envoyer les détails de l’erreur aux administrateurs AD FS : permet aux

administrateurs de configurer les utilisateurs finaux pour qu’ils envoient des
journaux de débogage relatifs à un échec de l’authentification de l’utilisateur final,
afin qu’ils soient stockés en tant que fichiers compressés pour une consommation
aisée. Les administrateurs peuvent également configurer une connexion SMTP de
façon à envoyer automatiquement le fichier compressé à un compte e-mail de
triage ou à créer automatiquement un ticket basé sur l’e-mail.
Mises à jour de déploiement
Les mises à jour de déploiement suivantes sont maintenant incluses dans AD FS 2019 :
Niveau de comportement de batterie de serveurs 2019 - Comme avec AD

FS 2016, une nouvelle version du niveau de comportement de batterie de serveurs
est nécessaire pour activer les nouvelles fonctionnalités décrites ci-dessus. Cela
permet de passer de :
2012 R2-> 2019
2016 -> 2019
Mises à jour SAML

La mise à jour SAML suivante se trouve dans AD FS 2019 :
Résolutions de bogues dans la fédération agrégée : de nombreuses résolutions

de bogues ont été appliquées à la prise en charge de la fédération agrégée (par
exemple, InCommon). Les résolutions concernent les aspects suivants :
Amélioration de la mise à l’échelle pour les quantités élevées d’entités dans le
document de métadonnées de fédération agrégée. Auparavant, cela échouait
avec l’erreur « ADMIN0017 ».
Interrogation à l’aide du paramètre « ScopeGroupID » par le biais de l’applet de
commande PowerShell (PSH) AdfsRelyingPartyTrustsGroup.
Gestion des conditions d’erreur liées aux entityID en double
Spécification de ressource de style Azure AD dans le

paramètre d’étendue
Auparavant, AD FS exigeait que la ressource et l’étendue souhaitées se trouvent dans un
paramètre distinct dans toute requête d’authentification. Par exemple, une requête
oauth typique ressemblerait à ce qui suit : 7
https://fs.contoso.com/adfs/oauth2/authorize?
response_type=code&client_id=claimsxrayclient&resource=urn:microsoft:
adfs:claimsxray&scope=oauth&redirect_uri=https://adfshelp.microsoft.com/
ClaimsXray/TokenResponse&prompt=login
Avec AD FS sur Server 2019, vous pouvez désormais transmettre la valeur de ressource

incorporée dans le paramètre d’étendue. C’est cohérent avec la manière dont il est
également possible d’effectuer une authentification auprès d’Azure AD.
Le paramètre d’étendue peut maintenant être organisé sous forme de liste séparée par
des espaces, où chaque entrée est structurée en tant que ressource/étendue.
７ Notes
Une seule ressource peut être spécifiée dans la demande d’authentification. Si

plusieurs ressources sont incluses dans la demande, AD FS retourne une erreur et
l’authentification échoue.
Prise en charge de PKCE (Proof Key for Code Exchange)

pour oAuth
Les clients publics OAuth utilisant l’octroi de code d’autorisation sont exposés à une
attaque par interception du code d’autorisation. L’attaque est bien décrite dans la
RFC 7636. Pour l’atténuer, AD FS dans Server 2019 prend en charge PKCE pour le flux
d’octroi de codes d’autorisation OAuth.
Pour utiliser la prise en charge de PKCE, cette spécification ajoute des paramètres
supplémentaires aux requêtes d’autorisation et de jeton d’accès OAuth 2.0.
R. Le client crée et enregistre un secret nommé « code_verifier », et dérive une version

transformée « t(code_verifier) » (appelée « code_challenge »), qui est envoyée dans la
requête d’autorisation OAuth 2.0 avec la méthode de transformation « t_m ».
B. Le point de terminaison d’autorisation répond comme d’habitude, mais enregistre

« t(code_verifier) » et la méthode de transformation.
C. Le client envoie alors le code d’autorisation dans la requête de jeton d’accès comme
d’habitude, mais il inclut le secret « code_verifier » généré à l’étape A.
D. AD FS transforme « code_verifier » et le compare à « t(code_verifier) » obtenu à

l’étape B. L’accès est refusé s’ils ne sont pas égaux.
Comment choisir des fournisseurs d’authentification
supplémentaires dans 2019
AD FS prend déjà en charge le déclenchement d’une authentification supplémentaire

basée sur la stratégie de règle de revendication. Ces stratégies peuvent être définies sur
un RP particulier ou au niveau global. Une stratégie d’authentification supplémentaire
pour un RP particulier peut être définie à l’aide de l’applet de commande Set-
AdfsRelyingPartyTrust (AD FS) | Microsoft Docs en passant le paramètre
AdditionalAuthenticationRules ou AdditionalAuthenticationRulesFile. Pour la définir
globalement, l’administrateur peut utiliser l’applet de commande Set-
AdfsAdditionalAuthenticationRule (AD FS) | Microsoft Docs.
Par exemple, dans 2012 R2 et ultérieur, l’administrateur peut déjà écrire la règle suivante
pour demander une authentification supplémentaire si la demande provient de
l’extranet.
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type

== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value
== "false"] => issue(type =
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmeth
od", value = "https://schemas.microsoft.com/claims/multipleauthn" );'
Dans 2019, les clients peuvent maintenant utiliser des règles de revendication pour
choisir le fournisseur d’authentification supplémentaire à appeler pour une autre
authentification. C’est utile pour deux scénarios :
Les clients effectuent la transition d’un fournisseur d’authentification supplémentaire à

un autre. De cette façon, quand ils intègrent des utilisateurs à un fournisseur
d’authentification plus récent, ils peuvent utiliser des groupes pour contrôler quel le
fournisseur d’authentification supplémentaire est appelé.
Les clients ont besoin d’un fournisseur d’authentification supplémentaire spécifique (par
exemple, un certificat) pour certaines applications, mais d’une méthode différente
(Azure MFA) pour d’autres applications.
Pour ce faire, il convient d’émettre la revendication

https://schemas.microsoft.com/claims/authnmethodsproviders à partir de stratégies
d’authentification supplémentaires. La valeur de cette revendication doit être le nom du
fournisseur d’authentification.
Désormais, dans 2019, les clients peuvent modifier la règle de revendication ci-dessus

pour choisir des fournisseurs d’authentification en fonction de leurs scénarios.
Passage d’un fournisseur d’authentification supplémentaire à un autre : nous allons
modifier la règle ci-dessus afin de choisir Azure MFA pour les utilisateurs qui se trouvent
dans le groupe SID S-1-5-21-608905689-872870963-3921916988-12345 (par exemple,
un groupe géré par une entreprise, qui effectue le suivi des utilisateurs inscrits à
Azure MFA) et, pour les autres utilisateurs, l’administrateur souhaite utiliser
l’authentification par certificat.
'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value ==
"false"] => issue(type =
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmetho
d", value = "https://schemas.microsoft.com/claims/multipleauthn" );
c:[Type ==
"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value
== "S-1-5-21-608905689-872870963-3921916988-12345"] => issue(Type =
"`https://schemas.microsoft.com/claims/authnmethodsproviders`", Value =
"AzureMfaAuthentication");
not exists([Type ==
"https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
Value=="S-1-5-21-608905689-872870963-3921916988-12345"]) => issue(Type =
"`https://schemas.microsoft.com/claims/authnmethodsproviders`", Value =
"CertificateAuthentication");’
Exemple de définition de deux fournisseurs d’authentification différents pour deux

applications différentes.
Application A pour utiliser Azure MFA comme fournisseur d’authentification

supplémentaire :
Set-AdfsRelyingPartyTrust -TargetName AppA -AdditionalAuthenticationRules

'c:[type ==
"https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value ==
"https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmeth
od", value = "https://schemas.microsoft.com/claims/multipleauthn" );
c:[] => issue(Type =

"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"AzureMfaAuthentication");'
Application B pour utiliser un certificat comme fournisseur d’authentification

supplémentaire :
Set- Set-AdfsRelyingPartyTrust -TargetName AppB -
AdditionalAuthenticationRules 'c:[type ==
"http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value ==
"http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmetho
d", value = "http://schemas.microsoft.com/claims/multipleauthn" );
c:[] => issue(Type =

"http://schemas.microsoft.com/claims/authnmethodsproviders", Value =
"CertificateAuthentication");'
L’administrateur peut également établir des règles pour autoriser plusieurs fournisseurs
d’authentification supplémentaires, auquel cas AD FS affiche tous les fournisseurs de
méthodes d’authentification émis et l’utilisateur peut choisir l’un d’entre eux. Pour
autoriser plusieurs fournisseurs d’authentification supplémentaires, il doit émettre
plusieurs revendications https://schemas.microsoft.com/claims/authnmethodsproviders
Si aucun des fournisseurs d’authentification n’est retourné par l’évaluation de la

revendication, AD FS revient à l’affichage de tous les fournisseurs d’authentification
supplémentaires configurés par l’administrateur sur AD FS et l’utilisateur doit
sélectionner le fournisseur d’authentification approprié.
Pour obtenir tous les fournisseurs d’authentification supplémentaires autorisés,

l’administrateur peut utiliser l’applet de commande (Get-
AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider. La valeur de la
revendication https://schemas.microsoft.com/claims/authnmethodsproviders doit être
l’un des noms de fournisseur retournés par l’applet de commande ci-dessus.
Il n’existe aucune prise en charge pour déclencher un fournisseur d’authentification

supplémentaire particulier si le RP utilise des stratégies de contrôle d’accès dans AD FS
Windows Server 2016 | Microsoft Docs. En dissociant une application de la stratégie de
contrôle d’accès, AD FS copie la stratégie correspondante de la stratégie de contrôle
d’accès vers AdditionalAuthenticationRules et IssuanceAuthorizationRules. Par
conséquent, si un administrateur souhaite utiliser un fournisseur d’authentification
particulier, il peut ne pas utiliser la stratégie de contrôle d’accès, puis modifier
AdditionalAuthenticationRules pour déclencher un fournisseur d’authentification
supplémentaire particulier.
Forum Aux Questions
７ Notes
Vous pouvez rencontrer cette erreur dans les journaux des événements
d’administration AD FS : Requête OAuth non valide reçue. Le client « NOM » n’est
pas autorisé à accéder à la ressource avec l’étendue « ugs ».
Pour corriger cette
erreur :
1. Lancez la console de gestion AD FS. Accédez à « Services > Descriptions

d’étendue ».
2. Cliquez avec le bouton droit sur « Descriptions d’étendue » et sélectionnez
« Ajouter une description d’étendue ».
3. Sous le nom, tapez « ugs » et cliquez sur Appliquer > OK.
4. Lancez PowerShell en tant qu’administrateur.
5. Exécutez la commande « Get-AdfsApplicationPermission ». Recherchez
l’élément ScopeNames :{openid, aza} qui contient le ClientRoleIdentifier.
Notez la valeur de ObjectIdentifier.
6. Exécutez la commande « Set-AdfsApplicationPermission -TargetIdentifier
<ObjectIdentifier de l’étape 5> -AddScope 'ugs'
7. Redémarrez le service AD FS.
8. Sur le client : Redémarrez le client. L’utilisateur est invité à provisionner WHFB.
9. Si la fenêtre de provisionnement ne s’affiche pas, collectez les journaux de
suivi NGC pour un dépannage supplémentaire.
Q. Puis-je transmettre une valeur de ressource dans le cadre de la valeur d’étendue,

comme la façon dont les demandes sont effectuées sur Azure AD ?
A. Avec AD FS sur Server 2019, vous pouvez désormais passer la valeur de ressource
incorporée dans le paramètre d’étendue. Le paramètre d’étendue peut maintenant être
organisé sous forme de liste séparée par des espaces, où chaque entrée est structurée
en tant que ressource/étendue. Par exemple : < créer un exemple de requête valide>
Q. AD FS prend-il en charge l’extension PKCE ?
A. AD FS dans Server 2019 prend en charge PKCE (Proof Key for Code Exchange) pour le
flux d’octroi de codes d’autorisation OAuth.
Nouveautés des services de fédération Active

Directory (AD FS) pour Windows Server 2016
Si vous recherchez des informations sur les versions antérieures d’AD FS, consultez les
articles suivants : AD FS dans Windows Server 2012 ou 2012 R2 et AD FS 2.0
Les services de fédération Active Directory (AD FS) fournissent un contrôle d’accès et
une authentification unique parmi un large éventail d’applications, notamment
Office 365, les applications SaaS basées sur le cloud et les applications sur le réseau
d’entreprise.
Du point de vue de l’organisation informatique, cela vous permet de fournir une

authentification et un contrôle d’accès aux applications modernes et héritées,
localement et dans le cloud, sur la base du même ensemble d’informations
d’identification et de stratégies.
Du point de vue de l’utilisateur, cela offre une authentification fluide à l’aide des
mêmes informations d’identification de compte.
Du point de vue du développeur, cela permet d’authentifier facilement les
utilisateurs dont les identités résident dans l’annuaire de l’organisation, afin que
vous puissiez concentrer vos efforts sur votre application, et non sur
l’authentification ou l’identité.
Cet article décrit les nouveautés d’AD FS dans Windows Server 2016 (AD FS 2016).
Supprimer les mots de passe de l’extranet

AD FS 2016 offre trois nouvelles options de connexion sans mot de passe, ce qui permet
aux organisations d’éviter les risques de compromission du réseau due à
l’hameçonnage, à la fuite ou au vol de mot de passe.
Se connecter avec l’authentification à facteurs

multiples Azure (Azure MFA)
AD FS 2016 s’appuie sur les fonctionnalités d’authentification multifacteur (MFA) d’AD
FS dans Windows Server 2012 R2 en autorisant la connexion à l’aide d’un code Azure
MFA uniquement, sans entrée préalable d’un nom d’utilisateur et d’un mot de passe.
Avec Azure MFA comme méthode d’authentification principale, l’utilisateur est

invité à entrer son nom d’utilisateur et le code secret à usage unique de
l’application Azure Authenticator.
Avec Azure MFA comme méthode d’authentification secondaire ou
supplémentaire, l’utilisateur fournit les informations d’identification
d’authentification principales (à l’aide de l’authentification Windows intégrée, du
nom d’utilisateur et du mot de passe, de la carte à puce ou du certificat
d’utilisateur ou d’appareil), puis reçoit une invite de connexion Azure MFA vocale,
textuelle ou par code secret à usage unique.
Avec le nouvel adaptateur Azure MFA intégré, l’installation et la configuration
d’Azure MFA avec AD FS n’a jamais été aussi simple.
Les organisations peuvent tirer parti d’Azure MFA sans avoir besoin d’un serveur
Azure MFA local.
Azure MFA peut être configuré pour un intranet ou un extranet, ou dans le cadre
d’une stratégie de contrôle d’accès.
Pour plus d’informations sur Azure MFA avec AD FS, consultez :
Configurer AD FS 2016 et Azure MFA
Accès sans mot de passe à partir des appareils conformes

AD FS 2016 s’appuie sur les fonctionnalités d’inscription d’appareils précédentes pour
activer l’authentification et le contrôle d’accès en fonction de l’état de conformité de
l’appareil. Les utilisateurs peuvent se connecter à l’aide des informations d’identification
de l’appareil, et la conformité est réévaluée quand les attributs de l’appareil changent,
afin que vous puissiez toujours garantir l’application des stratégies. Cela permet
d’activer des stratégies telles que :
Activer l’accès uniquement à partir d’appareils managés et/ou conformes

Activer l’accès extranet uniquement à partir d’appareils managés et/ou conformes
Exiger l’authentification multifacteur pour les ordinateurs qui ne sont pas managés
ou sont non conformes
AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario

hybride. Quand vous inscrivez des appareils auprès d’Azure AD pour l’accès conditionnel
aux ressources cloud, l’identité de l’appareil peut également être utilisée pour les
stratégies AD FS.
Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur l’appareil dans
le cloud, consultez :
Accès conditionnel à Azure Active Directory
Pour plus d’informations sur l’utilisation de l’accès conditionnel basé sur l’appareil avec
AD FS, consultez :
Planifier l’accès conditionnel basé sur l’appareil avec AD FS

Stratégies de contrôle d’accès dans AD FS
Se connecter avec Windows Hello Entreprise
７ Notes
Actuellement, Google Chrome et les nouveaux navigateurs de projet open

source Microsoft Edge basé sur Chromium ne sont pas pris en charge pour
l’authentification unique basée sur le navigateur avec Windows Hello Entreprise.
Utilisez Internet Explorer ou une version antérieure de Microsoft Edge.
Les appareils Windows 10 contiennent Windows Hello et Windows Hello Entreprise, qui
remplacent les mots de passe utilisateur par des informations d’identification de
l’utilisateur puissantes, protégées par un mouvement de l’utilisateur (un code
confidentiel, un mouvement biométrique comme une empreinte digitale ou une
reconnaissance faciale). AD FS 2016 prend en charge ces nouvelles fonctionnalités de
Windows 10 afin que les utilisateurs puissent se connecter aux applications AD FS à
partir de l’intranet ou de l’extranet sans avoir besoin de fournir un mot de passe.
Pour plus d’informations sur l’utilisation de Windows Hello Entreprise dans votre
organisation
Activer Windows Hello Entreprise dans votre organisation
Sécuriser l’accès aux applications
Authentification moderne
AD FS 2016 prend en charge les protocoles modernes les plus récents qui offrent une
meilleure expérience utilisateur pour Windows 10, ainsi que pour les appareils et
applications iOS et Android les plus récents.
Pour plus d’informations, consultez Scénarios AD FS pour les développeurs.
Configurer des stratégies de contrôle d’accès sans avoir à

connaître le langage de règles de revendication
Avant, les administrateurs AD FS devaient configurer des stratégies à l’aide du langage
de règles de revendication AD FS, ce qui compliquait la configuration et la maintenance
des stratégies. Avec les stratégies de contrôle d’accès, les administrateurs peuvent
utiliser des modèles intégrés pour appliquer des stratégies courantes telles que :
Autoriser l’accès intranet uniquement

Autoriser tout le monde et exiger l’authentification MFA à partir de l’extranet
Autoriser tout le monde et exiger l’authentification MFA pour un groupe spécifique
Les modèles sont faciles à personnaliser à l’aide d’un processus piloté par un Assistant
qui permet d’ajouter des exceptions ou des règles de stratégie supplémentaires, et ils
peuvent être appliqués à une ou plusieurs applications afin d’appliquer les stratégies de
manière cohérente.
Pour plus d’informations, consultez Stratégies de contrôle d’accès dans AD FS.
Activer l’authentification avec des annuaires LDAP non-

Active Directory
De nombreuses organisations ont une combinaison d’Active Directory et d’annuaires
tiers. Avec l’ajout de la prise en charge dans AD FS de l’authentification des utilisateurs
stockés dans des annuaires compatibles LDAP v3, AD FS peut désormais être utilisé
pour :
Les utilisateurs d’annuaires tiers compatibles LDAP v3.
Les utilisateurs des forêts Active Directory pour lesquelles aucune approbation
bidirectionnelle Active Directory n’est configurée.
Les utilisateurs des services AD LDS (Active Directory Lightweight Directory
Services).
Pour plus d’informations, consultez Configurer AD FS pour authentifier les utilisateurs
stockés dans des répertoires LDAP.
Meilleure expérience de connexion
Personnaliser l’expérience de connexion pour les

applications AD FS
Vous nous avez suggéré que la possibilité de personnaliser l’expérience de connexion
pour chaque application serait une bonne idée en terme de convivialité, en particulier
pour les organisations qui fournissent une authentification pour les applications qui
représentent plusieurs entreprises ou marques différentes.
Avant, AD FS dans Windows Server 2012 R2 offrait une expérience d’authentification

commune pour toutes les applications par partie de confiance, avec la possibilité de
personnaliser un sous-ensemble de contenu textuel par application. Avec Windows
Server 2016, vous pouvez personnaliser non seulement les messages, mais aussi les
images, le logo et le thème web par application. Vous pouvez aussi créer des thèmes
web personnalisés et les appliquer par partie de confiance.
Pour plus d’informations, consultez Personnalisation de la connexion utilisateur AD FS.
Améliorations fonctionnelles et de facilité de

gestion
La section suivante décrit les scénarios fonctionnels améliorés introduits avec les
services AD FS dans Windows Server 2016.
Audit rationalisé pour faciliter la gestion administrative

Dans AD FS pour Windows Server 2012 R2, un grand nombre d’événements d’audit
étaient générés pour une requête unique, et les informations pertinentes sur une activité
de connexion ou d’émission de jetons étaient soit absentes (dans certaines versions
d’AD FS), soit réparties sur plusieurs événements d’audit. Par défaut, les événements
d’audit AD FS sont désactivés en raison de leur nature détaillée.
Avec la publication d’AD
FS 2016, l’audit est plus rationalisé et moins détaillé.
Pour plus d’informations, consultez Améliorations de l’audit apportées à AD FS dans

Amélioration de l’interopérabilité avec SAML 2.0 pour la

participation aux confédérations
AD FS 2016 offre une prise en charge du protocole SAML supplémentaire, notamment la
prise en charge de l’importation des approbations basées sur des métadonnées
contenant plusieurs entités. Cela vous permet de configurer AD FS pour participer à des
confédérations telles que la fédération InCommon et d’autres implémentations
conformes à la norme eGov 2.0.
Pour plus d’informations, consultez Interopérabilité améliorée avec SAML 2.0.
Gestion simplifiée des mots de passe pour les utilisateurs

Office 365 fédérés
Vous pouvez configurer les services AD FS pour envoyer des revendications d’expiration
de mot de passe aux approbations de partie de confiance (applications) protégées par
AD FS. Le mode d’utilisation de ces revendications dépend de l’application. Par exemple,
avec Office 365 comme partie de confiance, des mises à jour ont été implémentées dans
Exchange et Outlook pour informer les utilisateurs fédérés de l’expiration prochaine de
leurs mots de passe.
Pour plus d’informations, consultez Configurer AD FS pour envoyer les revendications
d’expiration de mot de passe.
Simplification du passage d’AD FS dans Windows

Server 2012 R2 à AD FS dans Windows Server 2016
Auparavant, la migration vers une nouvelle version d’AD FS nécessitait l’exportation de
la configuration à partir de l’ancienne batterie de serveurs et l’importation vers une
nouvelle batterie parallèle.
Désormais, le passage d’AD FS sur Windows Server 2012 R2 à AD FS sur Windows

Server 2016 est beaucoup plus facile. Il vous suffit d’ajouter un nouveau serveur
Windows Server 2016 à une batterie de serveurs Windows Server 2012 R2, et la batterie
de serveurs agira au niveau du comportement de batterie Windows Server 2012 R2 ;
ainsi, elle se présentera et se comportera exactement comme une batterie de serveurs
Ensuite, ajoutez de nouveaux serveurs Windows Server 2016 à la batterie, vérifiez la

fonctionnalité et supprimez les anciens serveurs de l’équilibreur de charge. Une fois que
tous les nœuds de la batterie exécutent Windows Server 2016, vous pouvez mettre à
niveau le niveau de comportement de batterie de serveurs vers 2016 et commencer à
utiliser les nouvelles fonctionnalités.
Pour plus d’informations, consultez Mise à niveau vers AD FS dans

Voici les conditions requises pour le déploiement d’AD FS :
Conditions requises pour les certificats
Configuration matérielle requise
Conditions requises pour le proxy
Configuration AD DS requise
Conditions requises pour la base de données de configuration
Conditions requises pour les navigateurs
Configuration requise pour le réseau
Conditions requises pour les autorisations
Configuration requise des certificats
Certificats SSL
Chaque serveur AD FS et Proxy d’application web dispose d’un certificat SSL pour traiter
les requêtes HTTPS destinées au service de fédération. Le proxy d’application web peut
avoir des certificats SSL supplémentaires pour traiter les requêtes destinées aux
applications publiées.
Recommandation : Utilisez le même certificat SSL pour tous les serveurs AD FS de

fédération et proxys d’application web.
Conditions requises :
Les certificats SSL sur les serveurs de fédération doivent satisfaire aux exigences
suivantes :
Le certificat est approuvé publiquement (pour les déploiements de production).

Le certificat contient la valeur d’utilisation améliorée de la clé (EKU)
d’authentification du serveur.
Le certificat contient le nom du service de fédération, par exemple
« fs.contoso.com », dans l’objet ou l’autre nom de l’objet.
Pour l’authentification par certificat utilisateur sur le port 443, le certificat contient
« certauth.<nom_service_fédération> », par exemple « certauth.fs.contoso.com »
dans l’autre nom de l’objet.
Pour l’inscription de l’appareil ou pour l’authentification moderne auprès de
ressources locales à l’aide de clients antérieurs à Windows 10, l’autre nom de
l’objet doit contenir « enterpriseregistration.<suffixe_upn> » pour chaque suffixe
UPN utilisé dans votre organisation.
Les certificats SSL sur le proxy d’application web doivent remplir les conditions
suivantes :
Si le proxy est utilisé pour les requêtes AD FS qui utilisent l’authentification

Windows intégrée, le certificat SSL proxy doit être identique (il doit utiliser la
même clé) au certificat SSL du serveur de fédération.
Si la propriété AD FS « ExtendedProtectionTokenCheck » est activée (paramètre par
défaut dans AD FS), le certificat SSL proxy doit être identique (il doit utiliser la
même clé) au certificat SSL du serveur de fédération.
Dans le cas contraire, les conditions requises pour le certificat SSL proxy sont les
mêmes que celles du certificat SSL du serveur de fédération.
Certificat de communication du service

Ce certificat n’est pas demandé dans la plupart des scénarios AD FS, notamment Azure
AD et Office 365.
Par défaut, AD FS configure le certificat SSL fourni lors de la
configuration initiale en tant que certificat de communication du service.
Recommandation :
Utilisez le même certificat que celui utilisé pour SSL.
Certificat de signature de jetons

Ce certificat est utilisé pour signer les jetons délivrés aux parties de confiance. Par
conséquent, les applications de partie de confiance doivent reconnaître le certificat et sa
clé associée comme connus et approuvés. Quand le certificat de signature de jetons
change, par exemple quand il expire et que vous configurez un nouveau certificat,
toutes les parties de confiance doivent être mises à jour.
Recommandation : Utilisez les certificats de signature de jetons auto-signés par défaut

générés en interne par AD FS.
Si votre organisation exige que les certificats de l’infrastructure à clé publique de
l’entreprise soient utilisés pour la signature des jetons, vous pouvez le faire à l’aide
du paramètre SigningCertificateThumbprint de l’applet de commande Install-
AdfsFarm.
Que vous utilisiez les certificats par défaut générés en interne ou les certificats
inscrits en externe, quand le certificat de signature de jetons est changé, vous
devez vous assurer que toutes les parties de confiance sont mises à jour avec les
nouvelles informations de certificat. Dans le cas contraire, les ouvertures de session
sur les parties de confiance non mises à jour échouent.
Certificat de chiffrement/déchiffrement de jetons

Ce certificat est utilisé par les fournisseurs de revendications qui chiffrent les jetons
délivrés à AD FS.
Recommandation : Utilisez les certificats de déchiffrement de jetons auto-signés par

défaut générés en interne par AD FS.
Si votre organisation demande d’utiliser les certificats de l’infrastructure à clé

publique de l’entreprise pour la signature des jetons, c’est possible avec le
paramètre DecryptingCertificateThumbprint de l’applet de commande Install-
AdfsFarm.
Que vous utilisiez les certificats par défaut générés en interne ou les certificats
inscrits en externe, quand le certificat de déchiffrement de jetons est changé, vous
devez vous assurer que tous les fournisseurs de revendications sont mis à jour avec
les nouvelles informations de certificat. Dans le cas contraire, les ouvertures de
session utilisant des fournisseurs de revendications non mis à jour échouent.
Ｕ Attention
Les certificats utilisés pour la signature de jeton et pour le

déchiffrement/chiffrement de jeton sont essentiels pour la stabilité du service de
fédération. Les clients qui gèrent leurs propres certificats de chiffrement et
déchiffrement de jeton et certificats de signature de jeton doivent s’assurer que ces
certificats sont sauvegardés et disponibles indépendamment pendant un
événement de récupération.
Certificats utilisateur
Lors de l’utilisation de l’authentification par certificat utilisateur x509 avec AD FS,
tous les certificats utilisateur doivent être chaînés à une autorité de certification
racine approuvée par les serveurs Proxy d’application web et AD FS.

La configuration matérielle (physique ou virtuelle) requise pour AD FS et le proxy
d’application web est dictée par le processeur. Vous devez donc dimensionner votre
batterie de serveurs en fonction de la capacité de traitement.
Utilisez la feuille de calcul de planification de capacité AD FS 2016 pour

déterminer le nombre de serveurs AD FS et Proxy d’application web dont vous
aurez besoin.
Les besoins en mémoire et en disques pour AD FS sont relativement statiques.

Consultez le tableau ci-dessous :
Configuration matérielle Configuration minimale Configuration

requise requise recommandée
Mémoire vive (RAM) 2 Go 4 Go
Espace disque 32 Go 100 Go
Configuration matérielle requise pour SQL Server
Si vous utilisez SQL Server pour votre base de données de configuration AD FS,
dimensionnez le serveur SQL Server en fonction des recommandations SQL Server de
base. La base de données AD FS est petite et AD FS n’entraîne pas une charge de
traitement importante sur l’instance de base de données. En revanche, AD FS se
connecte à la base de données plusieurs fois pendant une authentification ; la
connexion réseau doit donc être robuste. Malheureusement, SQL Azure n’est pas pris en
charge pour la base de données de configuration AD FS.
Configuration requise du proxy

Pour l’accès extranet, vous devez déployer le service de rôle Proxy d’application
web, qui fait partie du rôle serveur Accès à distance.
Les proxys tiers doivent prendre en charge le protocole MS-ADFSPIP pour être pris
en charge en tant que proxy AD FS. Pour obtenir la liste des fournisseurs tiers,
consultez les questions fréquentes (FAQ).
AD FS 2016 exige des serveurs proxy d’application web sur Windows Server 2016.
Vous ne pouvez pas configurer un proxy de niveau inférieur pour une batterie de
serveurs AD FS 2016 s’exécutant au niveau du comportement de batterie de
serveurs 2016.
Un serveur de fédération et le service de rôle Proxy d’application web ne peuvent

pas être installés sur le même ordinateur.
Configuration requise par les services de

Conditions requises pour les contrôleurs de domaine
AD FS exige des contrôleurs de domaine exécutant Windows Server 2008 ou

ultérieur.
Au moins un contrôleur de domaine Windows Server 2016 est nécessaire pour

Windows Hello Entreprise.
７ Notes
Toute prise en charge des environnements avec des contrôleurs de domaine

Windows Server 2003 est terminée. Pour plus d’informations sur le cycle de vie
Support Microsoft, consultez cette page .
Exigences au niveau fonctionnel du domaine
Tous les domaines de comptes d’utilisateur et le domaine auquel les serveurs AD

FS sont joints doivent opérer au niveau fonctionnel du domaine Windows
Server 2003 ou supérieur.
Un niveau fonctionnel du domaine Windows Server 2008 ou supérieur est

nécessaire pour l’authentification de certificat client si le certificat est mappé
explicitement au compte d’un utilisateur dans AD DS.
Exigences relatives au schéma
Les nouvelles installations d’AD FS 2016 nécessitent le schéma Active

Directory 2016 (version minimale 85).
L’élévation du niveau de comportement de batterie de serveurs AD FS au niveau

2016 nécessite le schéma Active Directory 2016 (version minimale 85).
Exigences relatives au compte de service
N’importe quel compte de domaine standard peut être utilisé comme compte de
service pour AD FS. Les comptes de service administrés de groupe sont également
pris en charge. Les autorisations requises au moment de l’exécution sont ajoutées
automatiquement quand vous configurez AD FS.
L’attribution des droits utilisateur requise pour le compte de service Active

Directory est « Ouvrir une session en tant que service ».
Les attributions des droits utilisateur requises pour « NT Service\adfssrv » et « NT
Service\drs » sont « Générer des audits de sécurité » et « Ouvrir une session en
tant que service ».
Les comptes de service administrés de groupe nécessitent au moins un contrôleur

de domaine exécutant Windows Server 2012 ou version ultérieure. Le compte de
service administré de groupe doit résider sous le conteneur « CN=Managed
Service Accounts » par défaut.
Pour l’authentification Kerberos, le nom de principal du service

« HOST/<adfs\_service\_name> » doit être inscrit sur le compte de service AD FS.
Par défaut, AD FS configure ce paramètre lors de la création d’une batterie de
serveurs AD FS. En cas d’échec, comme dans le cas d’une collision ou
d’autorisations insuffisantes, un avertissement s’affiche et vous devez l’ajouter
manuellement.
Exigences relatives au domaine
Tous les serveurs AD FS doivent être joints à un domaine AD DS.
Tous les serveurs AD FS au sein d’une batterie de serveurs doivent être déployés
dans le même domaine.
L’installation du premier nœud de la batterie de serveurs AD FS dépend si le

contrôleur de domaine principal est disponible ou pas.
Exigences relatives aux forêts multiples
Le domaine auquel les serveurs AD FS sont joints doit approuver chaque domaine
ou forêt qui contient des utilisateurs s’authentifiant auprès du service AD FS.
La forêt dont le compte de service AD FS est membre doit approuver toutes les
forêts de connexion utilisateur.
Le compte de service AD FS doit avoir les autorisations nécessaires pour lire les
attributs utilisateur dans chaque domaine qui contient des utilisateurs
s’authentifiant auprès du service AD FS.
Conditions requises pour la base de données

de configuration
Cette section décrit les conditions requises et les restrictions pour les batteries de
serveurs AD FS qui utilisent respectivement la base de données interne Windows (WID,
Windows Internal Database) ou SQL Server comme base de données :
Base de données interne Windows
Le profil de résolution d’artefact de SAML 2.0 n’est pas pris en charge dans une
batterie de serveurs WID.
La détection de relecture de jetons n’est pas prise en charge dans une batterie de
serveurs WID. (Cette fonctionnalité n’est utilisée que dans les scénarios où AD FS
agit en tant que fournisseur de fédération et consomme des jetons de sécurité
provenant de fournisseurs de revendications externes.)
Le tableau suivant fournit un récapitulatif du nombre de serveurs AD FS pris en charge

dans une batterie de serveurs WID ou SQL Server.
Approbations de partie de confiance 1-100 Plus de 100 approbations de partie de

confiance
Nœuds AD FS 1-30 : WID pris en charge Nœuds AD FS 1-30 : Non pris en charge avec
WID - SQL Server requis
Plus de 30 nœuds AD FS : Non pris en charge Plus de 30 nœuds AD FS : Non pris en charge
avec WID - SQL Server requis avec WID - SQL Server requis
SQL Server
Pour AD FS dans Windows Server 2016, SQL Server 2008 et versions ultérieures

sont prises en charge.
La résolution d’artefacts SAML et la détection de relecture de jetons sont prises en

charge dans une batterie SQL Server.
Configuration requise des navigateurs

Quand l’authentification AD FS est effectuée par le biais d’un navigateur ou d’un
contrôle de navigateur, votre navigateur doit satisfaire aux exigences suivantes :
JavaScript doit être activé.
Pour l’authentification unique, le navigateur client doit être configuré pour

autoriser les cookies.
L’indication du nom du serveur (SNI) doit être prise en charge.
Pour l’authentification par certificat utilisateur et certificat d’appareil, le navigateur

doit prendre en charge l’authentification par certificat client SSL.
Pour bénéficier d’une connexion fluide à l’aide de l’authentification intégrée de

Windows, le nom du service de fédération (par exemple, https://fs.contoso.com)
doit être configuré dans la zone Intranet locale ou dans la zone Sites de confiance.

Exigences relatives au pare-feu
Le pare-feu situé entre le proxy d’application web et la batterie de serveurs de

fédération ainsi que le pare-feu situé entre les clients et le proxy d’application web
doivent avoir le port TCP 443 activé pour le trafic entrant.
De plus, si l’authentification par certificat utilisateur client (authentification clientTLS à

l’aide de certificats utilisateur X509) est nécessaire et que le point de terminaison
certauth sur le port 443 n’est pas activé, AD FS 2016 exige que le port TCP 49443 soit
activé dans le sens entrant sur le pare-feu entre les clients et le proxy d’application web.
Cela n’est pas obligatoire sur le pare-feu entre le proxy d’application web et les serveurs
de fédération.
Pour plus d’informations sur les exigences relatives aux ports hybrides, consultez Ports
et protocoles nécessaires à l’identité hybride.
Pour plus d’informations, consultez Bonnes pratiques pour la sécurisation des services
de fédération Active Directory (AD FS).
Exigences relatives au système DNS
Pour l’accès intranet, tous les clients qui accèdent au service AD FS au sein du
réseau d’entreprise interne (intranet) doivent être en mesure de résoudre le nom
du service AD FS en équilibreur de charge pour les serveurs AD FS.
Pour l’accès extranet, tous les clients qui accèdent au service AD FS depuis
l’extérieur du réseau d’entreprise (extranet/internet) doivent être en mesure de
résoudre le nom du service AD FS en équilibreur de charge pour les serveurs proxy
d’application web.
Chaque serveur Proxy d’application web de la zone DMZ doit être capable de
résoudre le nom du service AD FS en équilibreur de charge pour le ou les serveurs
AD FS. Cela peut être accompli en faisant appel à un serveur DNS secondaire dans
le réseau DMZ ou en changeant la résolution du serveur local à l’aide du fichier
HOSTS.
Pour l’authentification intégrée de Windows, vous devez utiliser un enregistrement

DNS A (pas un enregistrement CNAME) pour le nom du service de fédération.
Pour l’authentification par certificat utilisateur sur le port 443, « certauth.

<nom_service_fédération> » doit être configuré dans le système DNS pour
correspondre au serveur de fédération ou au proxy d’application web.
Pour l’inscription de l’appareil ou pour l’authentification moderne auprès de

ressources locales à l’aide de clients antérieurs à Windows 10,
« enterpriseregistration.<suffixe_upn> », pour chaque suffixe UPN utilisé dans
votre organisation, doit être configuré pour correspondre au serveur de fédération
ou au proxy d’application web.
Exigences relatives à l’équilibreur de charge
L’équilibreur de charge NE DOIT PAS mettre fin au protocole SSL. AD FS prend en
charge plusieurs cas d’usage avec authentification par certificat qui seront
interrompus lors de l’arrêt du protocole SSL. L’arrêt du protocole SSL sur
l’équilibreur de charge n’est pris en charge pour aucun cas d’usage.
Utilisez un équilibreur de charge qui prend en charge SNI. Dans le cas contraire,
l’utilisation de la liaison de secours 0.0.0.0 sur votre serveur Proxy d’application
web/AD FS doit fournir une solution de contournement.
Utilisez les points de terminaison de sonde d’intégrité HTTP (et non HTTPS) afin
d’effectuer des vérifications de l’intégrité de l’équilibreur de charge pour le routage
du trafic. Cela permet d’éviter tout problème lié à SNI. La réponse à ces points de
terminaison de sonde est HTTP 200 OK. Elle est traitée localement sans
dépendance envers les services back-end. La sonde HTTP est accessible par le biais
du protocole HTTP à l’aide du chemin « /adfs/probe ».
http://<nom_proxy_d’application_web>/adfs/probe
http://<nom du serveur AD FS>/adfs/probe
http://<adrese_IP_proxy_d’application_web>/adfs/probe
http://<adresse IP AD FS>/adfs/probe
Il n’est PAS recommandé d’utiliser le tourniquet (Round Robin) DNS pour équilibrer
la charge. L’utilisation de ce type d’équilibrage de charge ne fournit pas de
méthode automatisée pour supprimer un nœud de l’équilibreur de charge à l’aide
de sondes d’intégrité.
Il n’est PAS recommandé d’utiliser l’affinité de session basée sur IP ni des sessions
rémanentes pour le trafic d’authentification vers AD FS au sein de l’équilibreur de
charge. Cela peut entraîner une surcharge de certains nœuds lors de l’utilisation du
protocole d’authentification hérité pour que les clients d’e-mail se connectent aux
services de messagerie Office 365 (Exchange Online).

L’administrateur qui effectue l’installation et la configuration initiale d’AD FS doit
disposer d’autorisations d’administrateur local sur le serveur AD FS. Si l’administrateur
local ne dispose pas des autorisations nécessaires pour créer des objets dans Active
Directory, il doit d’abord demander à un administrateur de domaine de créer les objets
AD nécessaires, puis configurer la batterie de serveurs AD FS à l’aide du paramètre
AdminConfiguration.
Guide de conception AD FS
Voir aussi
pour la planification de la capacité pour AD FS dans Windows Server 2016 consultez la
feuille de calcul AD FS de la capacité.

Guide de conception ADFS
Article • 11/04/2023
Le guide de conception AD FS est un guide complet pour la conception des

déploiements AD FS. Ce guide se compose des éléments suivants :
Guide de conception AD FS dans Windows Server 2012 R2

Guide de conception AD FS dans Windows Server 2012
Voir aussi
Pour la planification de la capacité pour AD FS dans Windows Server 2016 consultez la
feuille de calcul de planification de la capacité AD FS.

Guide de conception AD FS dans
Windows Server
Les services de fédération Active Directory (AD FS) fournissent des fonctionnalités
simplifiées et sécurisées de fédération des identités et d’authentification unique via le
web pour les utilisateurs finaux qui souhaitent accéder aux applications dans une
entreprise sécurisée via AD FS, dans des organisations partenaires de fédération ou dans
le cloud.
Dans Windows Server® 2012 R2, AD FS inclut un service de rôle de service de

fédération qui agit en tant que fournisseur d’identité (authentifie les utilisateurs pour
fournir des jetons de sécurité aux applications qui approuvent AD FS) ou en tant que
fournisseur de fédération (utilise des jetons d’autres fournisseurs d’identité et fournit
des jetons de sécurité aux applications qui approuvent AD FS).
La fonction consistant à fournir un accès extranet aux applications et services sécurisés

par AD FS dans Windows Server 2012 R2 est désormais effectuée par un nouveau
service de rôle d’accès à distance appelé proxy d’application web. Il s’agit d’une
nouveauté par rapport aux versions antérieures de Windows Server dans lesquelles cette
fonction était traitée par un serveur proxy de fédération AD FS. Le proxy d’application
Web est un rôle serveur conçu pour fournir un accès à des scénarios extranet liés ou non
à AD FS. Pour plus d’informations sur les Proxy d'application web, consultez Guide de
procédure pas à pas Proxy d'application web.
Ce guide fournit des recommandations pour vous aider à planifier un nouveau
déploiement de AD FS en fonction des besoins de votre organisation. Ce guide est
prévu pour une utilisation par un spécialiste d'infrastructure ou un architecte système. Il
met en évidence les principaux points de votre décision à mesure que vous planifiez
votre déploiement de AD FS. Avant de lire ce guide, vous devez avoir une bonne
compréhension du fonctionnement de AD FS au niveau fonctionnel. Pour plus
d'informations, voir Understanding Key AD FS Concepts.
Contenu de ce guide
Identifier vos objectifs de déploiement d’AD FS
Planifier votre topologie de déploiement d’AD FS
Voir aussi
Identifier vos objectifs de déploiement
d’AD FS
L’identification correcte de vos objectifs de déploiement de services de fédération Active

Directory (AD FS) (AD FS) est essentielle pour la réussite de votre projet de conception
de AD FS. Hiérarchisez et, éventuellement, combinez vos objectifs de déploiement afin
de pouvoir concevoir et déployer des AD FS à l’aide d’une approche itérative. Vous
pouvez tirer parti des objectifs de déploiement AD FS existants, documentés et
prédéfinis qui sont pertinents pour les AD FS conceptions et développer une solution de
travail adaptée à votre situation.
Les versions antérieures de AD FS étaient le plus souvent déployées pour obtenir les
éléments suivants :
fournir à vos employés ou clients une expérience d’authentification unique web

(SSO) lors de l’accès aux applications basées sur les revendications au sein de votre
entreprise ;

(SSO) pour accéder aux ressources dans toute organisation partenaire de la
fédération ;

(SSO) lors de l’accès à distance à des services ou sites web hébergés en interne ;

(SSO) lors de l’accès à des ressources ou des services via le cloud.
en outre, AD FS dans Windows Server® 2012 R2 ajoute des fonctionnalités qui peuvent
vous aider à atteindre les objectifs suivants :
Jonction à l’espace de travail des appareils pour SSO et authentification de second

facteur transparente. Cela permet aux organisations d’autoriser l’accès à partir des
appareils personnels de l’utilisateur et de gérer les risques lors de la fourniture de
cet accès.
Gestion des risques avec le contrôle d’accès multifacteur. AD FS fournit un niveau

performant d’autorisation qui contrôle quels utilisateurs ont accès à quelles
applications. Cela peut reposer sur des attributs d’utilisateur (UPN, courrier
électronique, appartenance au groupe de sécurité, force de l’authentification, etc.),
des attributs d’appareil (si l’appareil est rattaché à un espace de travail) ou des
attributs de demande (emplacement réseau, adresse IP ou agent utilisateur).
Gestion des risques avec une authentification multifacteur supplémentaire pour les
applications sensibles. AD FS vous permet de contrôler les stratégies pour
éventuellement exiger l’authentification multifacteur globalement ou sur la base de
chaque application. En outre, AD FS fournit des points d’extensibilité pour
n’importe quel fournisseur multifacteur à intégrer profondément pour une
expérience multifacteur sécurisée et transparente pour les utilisateurs finaux.
Fournir des fonctionnalités d’authentification et d’autorisation pour accéder aux

ressources Web à partir de l’extranet qui sont protégées par le proxy d’application
Web.
pour résumer, AD FS dans Windows Server 2012 R2 peut être déployé pour atteindre les
objectifs suivants dans votre organisation :
Autoriser vos utilisateurs à accéder aux ressources sur

leurs appareils personnels depuis n’importe où
Jonction à l’espace de travail qui permet aux utilisateurs de joindre leurs appareils
personnels à l’application Active Directory de l’entreprise et, par conséquent,
d’accéder aux ressources de cette dernière depuis ces appareils en toute
transparence.
Authentification préalable des ressources au sein du réseau d’entreprise qui sont

protégées par le proxy d’application Web et accessibles depuis Internet.
Modification de mot de passe pour permettre aux utilisateurs de modifier leur mot
de passe à partir de n’importe quel appareil d’un espace de travail rattaché à
l’expiration de leur mot de passe afin qu’ils puissent continuer à accéder aux
ressources.
Améliorez vos outils de gestion des risques de contrôle

d’accès
La gestion des risques est un aspect important de la gouvernance et de la conformité de
chaque organisation informatique. il existe de nombreuses améliorations de la gestion
des risques de contrôle d’accès dans AD FS dans Windows Server® 2012 R2, y compris
les éléments suivants :
Contrôles flexibles basés sur l’emplacement réseau pour déterminer comment un
utilisateur s’authentifie pour accéder à une application sécurisée par AD FS.
Stratégie flexible pour déterminer si un utilisateur doit effectuer une

authentification multifacteur en fonction des données de l’utilisateur, des données
de l’appareil et de l’emplacement réseau.
Contrôle par application pour ignorer l’authentification unique et forcer l’utilisateur

à fournir ses informations d’identification chaque fois qu’il accède à une
application sensible.
Stratégie d’accès par application souple basée sur les données utilisateur, les
données de l’appareil ou l’emplacement réseau.
Le verrouillage extranet AD FS permet aux administrateurs de protéger les

comptes Active Directory contre les attaques en force brute à partir d’Internet.
Révocation d’accès pour n’importe quel appareil membre d’un espace de travail
qui est désactivé ou supprimé dans Active Directory.
Utiliser AD FS pour améliorer l’expérience de connexion

les nouvelles fonctionnalités de AD FS Windows Server® 2012 R2 qui permettent à
l’administrateur de personnaliser et d’améliorer l’expérience de connexion sont les
suivantes :
Personnalisation unifiée du service AD FS, où les modifications sont effectuées une

seule fois et propagées automatiquement au reste des serveurs de fédération AD
FS dans une batterie de serveurs donnée.
Mise à jour des pages de connexion à l’aspect moderne prenant en compte

automatiquement différents facteurs de forme.
Prise en charge du secours automatique de l’authentification par formulaire pour

les appareils qui ne sont pas joints au domaine d’entreprise, mais sont toujours
utilisés pour générer des demandes d’accès à partir du réseau d’entreprise
(intranet).
Contrôles simples pour personnaliser le logo de la société, l’image d’illustration, les

liens standard pour la prise en charge de l’informatique, la page d’accueil, la
confidentialité, etc.
Personnalisation des messages de description dans les pages de connexion.
Personnalisation des thèmes web.

Découverte du domaine d’hébergement (découverte du domaine) en fonction du
suffixe d’organisation de l’utilisateur pour la confidentialité améliorée des
partenaires d’une société.
Filtrage HRD sur chaque application pour choisir automatiquement un domaine

basé sur l’application.
Rapports d’erreurs en un clic pour un dépannage informatique plus rapide.
Personnalisation des messages d’erreur.
Choix de l’authentification utilisateur lorsque plusieurs fournisseurs

d’authentification sont disponibles.
Voir aussi
Planifier votre topologie de
déploiement d’AD FS
La première étape de la planification d’un déploiement des services de fédération Active

Directory (AD FS) consiste à déterminer la topologie de déploiement qui répond aux
besoins de votre organisation.
Avant de lire cet article, passez en revue la façon dont les données AD FS sont stockées
et répliquées sur d’autres serveurs de fédération d’une batterie de fédération, et vérifiez
que vous comprenez bien l’objectif et les méthodes de réplication qui peuvent être
utilisées pour les données sous-jacentes stockées dans la base de données de
configuration AD FS.
Il existe deux types de bases de données que vous pouvez utiliser pour stocker des
données de configuration AD FS : Base de données interne Windows (WID) et Microsoft
SQL Server. Pour plus d’informations, consultez l’article The Role of the AD FS
Configuration Database (Rôle de la base de données de configuration AD FS). Passez en
revue les avantages et les limites de l’utilisation de la base de données interne ou de
SQL Server comme base de données de configuration AD FS, ainsi que les différents
scénarios d’application pris en charge, et effectuez votre sélection.
） Important
Pour implémenter des fonctionnalités de redondance et d’équilibrage de charge de

base, ainsi que la faculté d’étendre le service de fédération (le cas échéant), pensez
à déployer au moins deux serveurs de fédération par batterie de serveurs de
fédération pour tous les environnements de production, quel que soit le type de
base de données que vous envisagez d’utiliser.
Détermination du type de base de données de

configuration AD FS à utiliser
AD FS utilise une base de données pour stocker la configuration et, dans certains cas, les
données transactionnelles liées au service de fédération. Vous pouvez utiliser le logiciel
AD FS pour sélectionner soit la base de données interne Windows intégrée, soit
Microsoft SQL Server version 2008 ou ultérieure, pour stocker les données dans le
service de fédération.
En règle générale, les deux types de base de données sont relativement équivalents.
Toutefois, vous devez prendre connaissance de certaines différences avant de vous
pencher sur les diverses topologies de déploiement que vous pouvez utiliser avec le
service AD FS. Le tableau suivant décrit les fonctionnalités et indique si elles sont prises
en charge dans une base de données interne Windows et dans une base de données
SQL Server.
Description Fonctionnalité Prise en charge par la Prise en

base de données charge
interne Windows ? par SQL
Server ?
Fonctionnalités Déploiement d'une batterie de serveurs Oui. Une batterie WID Oui. Vous
AD FS de fédération a une limite de pouvez
30 serveurs de déployer
fédération si vous avez un
au moins nombre
100 approbations de illimité de
parties de confiance.
serveurs
de
Une batterie de fédération
serveurs WID ne prend dans une
pas en charge la batterie.
détection de relecture
de jetons ou la
résolution d’artefacts
(qui fait partie du
protocole SAML
(Security Assertion
Markup Language).
Fonctionnalités Résolution des artefacts SAML

Non Oui
AD FS
Remarque : Cette fonctionnalité n’est
pas nécessaire pour les scénarios
Microsoft Online Services, Microsoft
Office 365, Microsoft Exchange ou
Microsoft Office SharePoint.
Fonctionnalités Détection de relecture de jetons Non Oui

AD FS SAML/WS-Federation
Description Fonctionnalité Prise en charge par la Prise en
base de données charge
interne Windows ? par SQL
Server ?
Fonctionnalités Redondance de base de données simple Oui Non

de base de avec réplication par réception, dans
données laquelle un ou plusieurs serveurs
hébergeant une copie en lecture seule
de la base de données demandent des
modifications qui sont effectuées sur un
serveur source hébergeant une copie en
lecture/écriture de la base de données
Fonctionnalités Redondance de base de données à l’aide Non Oui

de base de de solutions de haute disponibilité,
données comme le clustering de basculement ou
la mise en miroir (au niveau de la couche
base de données uniquement)
Remarque : Toutes les topologies de
déploiement AD FS prennent en charge
le clustering au niveau de la couche de
service AD FS.
Considérations concernant SQL Server

Vous devez prendre en compte les facteurs suivants si vous choisissez SQL Server
comme base de données de configuration pour le déploiement d'AD FS.
Fonctionnalités SAML et leur impact sur la taille et sur la croissance de la base de

données. Quand la résolution d'artefacts SAML ou la détection de relecture de
jetons SAML est activée, AD FS stocke des informations dans la base de données
de configuration SQL Server pour chaque jeton AD FS émis. La croissance de la
base de données SQL Server qu'entraîne cette activité n'est pas considérée comme
significative et dépend de la période de rétention de la relecture de jetons
configurée. La taille de chaque enregistrement d'artefact est approximativement
de 30 kilo-octets (Ko).
Nombre de serveurs nécessaires pour votre déploiement. Vous devrez ajouter au

moins un serveur supplémentaire (selon le nombre total de serveurs requis pour
déployer votre infrastructure AD FS) qui agira en tant qu’hôte dédié de l’instance
de SQL Server. Si vous envisagez d'utiliser le clustering avec basculement ou la
mise en miroir pour fournir les fonctionnalités de tolérance de panne et
d'extensibilité pour la base de données de configuration SQL Server, au moins
deux serveurs SQL sont nécessaires.
Impact du type de base de données de
configuration sélectionné sur les ressources
matérielles
L'impact sur les ressources matérielles d'un serveur de fédération déployé dans une
batterie utilisant la base de données interne Windows n'est pas significatif par rapport à
un serveur de fédération déployé dans une batterie utilisant la base de données
SQL Server. Toutefois, gardez à l'esprit que quand vous utilisez la base de données
interne Windows pour la batterie, chaque serveur de fédération appartenant à celle-ci
doit stocker et gérer les changements de réplication pour sa copie locale de la base de
données de configuration AD FS tout en effectuant les opérations normales nécessaires
au service de fédération.
À l'opposé, les serveurs de fédération déployés dans une batterie qui utilise la base de
données SQL Server ne contiennent pas nécessairement une instance locale de la base
de données de configuration AD FS. Ils sont donc susceptibles de solliciter un peu moins
les ressources matérielles.
Où placer un serveur de fédération

Il est recommandé de placer des serveurs de fédération AD FS derrière un pare-feu et
de connecter ces services au réseau de l’entreprise pour réduire sa vulnérabilité par
rapport à Internet. Cela est important, car les serveurs de fédération ont toute autorité
pour octroyer des jetons de sécurité. Par conséquent, ils doivent avoir le même niveau
de protection qu’un contrôleur de domaine. Si un serveur de fédération est compromis,
un utilisateur malveillant a la possibilité d’émettre des jetons d’accès complet à toutes
les applications web et à tous les serveurs de fédération qui sont protégés par AD FS.
７ Notes
Pour une sécurité optimale, veillez à ce que vos serveurs de fédération ne soient
pas directement accessibles sur Internet. N’autorisez vos serveurs de fédération à
accéder directement à Internet que lorsque vous configurez un environnement de
test ou que votre organisation ne dispose pas d’un réseau de périmètre.
Pour les réseaux d'entreprise types, un pare-feu avec accès par intranet est établi entre
le réseau de l'entreprise et le réseau de périmètre, et un pare-feu avec accès par Internet
est souvent établi entre le réseau de périmètre et Internet. Dans cette situation, le
serveur de fédération réside à l’intérieur du réseau de l’entreprise et n’est pas
directement accessible par les clients Internet.
７ Notes
Les ordinateurs clients qui sont connectés au réseau de l’entreprise peuvent

communiquer directement avec le serveur de fédération via l’authentification
intégrée Windows.
Un serveur proxy de fédération doit être placé dans le réseau de périmètre avant de
configurer vos serveurs pare-feu pour une utilisation avec AD FS.
Topologies de déploiement prises en charge

Les articles suivants décrivent les différentes topologies de déploiement que vous
pouvez utiliser avec AD FS. Elles expliquent également les avantages et les limites de
chaque topologie de déploiement, ce qui vous permet de choisir la topologie la plus
appropriée pour votre entreprise.
Voir aussi
Batterie de serveurs de fédération utilisant la base de données interne Windows
Batterie de serveurs de fédération utilisant la base de données interne Windows et

des proxys
Batterie de serveurs de fédération utilisant SQL Server

Batterie de serveurs de fédération AD FS
héritée utilisant WID
La topologie par défaut des services de fédération Active Directory (AD FS) est une
batterie de serveurs de fédération, qui utilise la base de données interne Windows
(WID). Dans cette topologie, les services AD FS utilisent la base de données interne
Windows comme magasin pour la base de données de configuration AD FS pour tous
les serveurs de fédération membres de la batterie. La batterie réplique et maintient les
données du service de fédération de la base de données de configuration à travers
chaque serveur de la batterie. AD FS dans Windows Server 2012 R2 permet aux
organisations disposant de 100 approbations de partie de confiance ou moins de
configurer des batteries de serveurs de fédération utilisant WID avec un maximum de
30 serveurs.
La création du premier serveur de fédération d’une batterie consiste aussi à créer un

nouveau service de fédération. Quand vous utilisez la base de données interne Windows
(WID) comme base de données de configuration AD FS, le premier serveur de fédération
que vous créez dans la batterie est appelé serveur de fédération principal. Cela signifie
que cet ordinateur est configuré avec une copie en lecture/écriture de la base de
données de configuration AD FS.
Tous les autres serveurs de fédération que vous configurez pour cette batterie sont
désignés comme serveurs de fédération secondaires, car ils doivent répliquer les
changements apportés sur le serveur de fédération principal dans leurs copies en lecture
seule de la base de données de configuration AD FS qu’ils stockent localement.
） Important
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une

configuration à équilibrage de charge.
Points à prendre en considération pour le

déploiement
Cette section décrit différentes considérations relatives à l’audience visée, aux avantages
et aux limitations associés à cette topologie de déploiement.
À qui s’adresse cette topologie ?
Organisations avec 100 relations d’approbation configurées ou moins qui ont
besoin de fournir à leurs utilisateurs internes (connectés à des ordinateurs
physiquement connectés au réseau d’entreprise) un accès par authentification
unique (SSO) aux applications ou services fédérés
Organisations qui souhaitent fournir à leurs utilisateurs internes un accès SSO à

Microsoft Online Services ou Microsoft Office 365
Plus petites organisations qui ont besoin de services redondants et évolutifs
７ Notes
Les organisations disposant de bases de données plus volumineuses doivent

envisager d’utiliser la topologie de déploiement Batterie de serveurs de fédération
utilisant SQL Server. Les organisations dont les utilisateurs se connectent depuis
l’extérieur du réseau doivent envisager d’utiliser la topologie Batterie de serveurs
de fédération utilisant la base de données interne Windows et des proxys ou la
topologie Batterie de serveurs de fédération utilisant SQL Server.
Quels sont les avantages de l’utilisation de cette

topologie ?
Fourniture d’accès SSO aux utilisateurs internes
Redondance du service de données et de fédération (chaque serveur de fédération

réplique les modifications apportées aux autres serveurs de fédération dans la
même batterie de serveurs)
WID incluse dans Windows, donc aucun besoin d’acheter SQL Server
Quelles sont les limitations de l’utilisation de cette

topologie ?
Une batterie WID est limitée à 30 serveurs de fédération si vous avez
100 approbations de parties de confiance ou moins.
Une batterie WID ne prend pas en charge la détection des relectures de jetons ni la
résolution d’artefacts (qui font partie du protocole SAML (Security Assertion
Markup Language)).
Le tableau suivant résume l’utilisation d’une batterie WID. Utilisez-le pour planifier votre
implémentation.

confiance
Recommandations relatives au positionnement

des serveurs et à la disposition réseau
Lorsque vous êtes prêt à démarrer le déploiement de cette topologie sur votre réseau,
vous devez prévoir de placer tous les serveurs de fédération dans votre réseau
d’entreprise derrière un hôte d’équilibrage de charge réseau (NLB) pouvant être
configuré pour un cluster NLB avec un nom DNS (Domain Name System) de cluster et
une adresse IP de cluster dédiés.
７ Notes
Ce nom DNS de cluster doit correspondre au nom du service de fédération, par

exemple, fs.fabrikam.com.
L’hôte NLB peut utiliser les paramètres définis dans ce cluster NLB pour allouer les
demandes clientes aux serveurs de fédération individuels. L’illustration suivante montre
comment la société fictive Fabrikam, Inc. configure la première phase de son
déploiement à l’aide d’une batterie de serveurs de fédération comprenant deux
ordinateurs (fs1 et fs2) avec la base de données interne Windows (WID), le
positionnement d’un serveur DNS et un hôte NLB unique câblé au réseau d’entreprise.
７ Notes
En cas de défaillance sur cet hôte NLB unique, les utilisateurs ne peuvent pas
accéder aux applications ou services fédérés. Ajoutez de nouveaux hôtes NLB si vos
contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.
Pour plus d’informations sur la manière de configurer votre environnement réseau pour
une utilisation avec des serveurs de fédération, consultez la section Exigences relatives à
la résolution de noms dans Configuration AD FS requise.
Voir aussi
Planification d’une topologie de déploiement AD FSGuide de conception AD FS dans
héritée utilisant la Base de données
interne Windows et des proxys
Cette topologie de déploiement pour les services de fédération Active Directory (AD FS)
est identique à la topologie de batterie de serveurs de fédération avec la Base de
données interne Windows (WID), à ceci près qu’elle ajoute des ordinateurs proxy au
réseau de périmètre pour prendre en charge les utilisateurs externes. Ces proxys
redirigent les demandes d’authentification client extérieures au réseau d’entreprise vers
la batterie de serveurs de fédération. Ils étaient appelés serveurs proxy de fédération
dans les versions précédentes d’AD FS.
） Important
Dans les services de fédération Active Directory (AD FS) de Windows

Server 2012 R2, le rôle d’un serveur proxy de fédération est géré par un nouveau
service de rôle Accès à distance appelé « Proxy d’application web ». L’objectif du
déploiement d’un serveur proxy de fédération dans les versions héritées d’AD FS
(notamment AD FS 2.0 et AD FS dans Windows Server 2012) consistait à rendre
AD FS accessible en dehors du réseau d’entreprise. Pour cela, vous pouvez déployer
un ou plusieurs proxys d’application web pour AD FS dans Windows
Server 2012 R2.
Dans le contexte d’AD FS, le Proxy d’application Web fonctionne comme un serveur
proxy de fédération AD FS. De plus, il fournit une fonctionnalité de proxy inverse
aux applications web de votre réseau d’entreprise, permettant aux utilisateurs de
n’importe quel appareil d’y accéder depuis l’extérieur du réseau d’entreprise. Pour
plus d’informations sur le proxy d’application web, consultez Vue d’ensemble du
proxy d’application web.
Pour planifier le déploiement de proxy d'Application Web, vous pouvez consulter

les informations contenues dans les rubriques suivantes :
Planification de l’infrastructure du Proxy d’application Web (WAP)

planifier le serveur proxy d'application web
déploiement
Public cible de la topologie

Organisations dans lesquelles au maximum 100 relations d’approbation ont été
configurées et qui ont besoin de fournir à leurs utilisateurs internes et externes
(connectés à des ordinateurs situés physiquement en dehors du réseau
d’entreprise) un accès par authentification unique (SSO) aux applications ou
services fédérés
Organisations qui doivent fournir à leurs utilisateurs internes et externes un accès

SSO à Microsoft Office 365
Petites organisations qui disposent d’utilisateurs externes et ont besoin de services

redondants et scalables
Avantages de la topologie
Mêmes avantages que la topologie de batterie de serveurs de fédération utilisant
la Base de données interne Windows, ainsi que l’avantage de fournir un accès
supplémentaire aux utilisateurs externes
Limitations de la topologie
Mêmes limitations que la topologie de batterie de serveurs de fédération utilisant
la Base de données interne Windows
Approbations de partie de confiance 1- Plus de 100 approbations de partie de

100 confiance
Nœuds AD FS 1-30 : WID pris en charge Nœuds AD FS 1-30 : Non pris en charge
avec WID - SQL Server requis
Plus de 30 nœuds AD FS : Non pris en Plus de 30 nœuds AD FS : Non pris en
charge avec WID - SQL Server requis charge avec WID - SQL Server requis
Pour déployer cette topologie, vous devez, en plus d’ajouter deux proxys d’application
web, vous assurer que votre réseau de périmètre peut également fournir l’accès à un
serveur DNS (Domain Name System) et à un deuxième hôte d’équilibrage de charge
réseau (NLB). Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une
adresse IP de cluster accessible par Internet et utiliser le même nom DNS de cluster que
le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise
(fs.fabrikam.com). Les serveurs proxys d’application web doivent aussi être configurés
avec des adresses IP accessibles par Internet.
L’illustration suivante représente la batterie de serveurs de fédération existante avec la

topologie WID décrite précédemment. Elle montre comment la société fictive Fabrikam,
Inc., fournit l’accès à un serveur DNS de périmètre et ajoute un deuxième hôte NLB
portant le même nom DNS de cluster (fs.fabrikam.com) ainsi que deux serveurs proxy
d’application web (wap1 et wap2) au réseau de périmètre.
Pour plus d’informations sur la configuration d’un environnement réseau avec des
serveurs de fédération ou des proxys d’application web, consultez la section « Exigences
de résolution de noms » dans Configuration requise pour AD FS et Planification de
l’infrastructure de Proxy d’application Web (WAP).
Voir aussi
héritée utilisant SQL Server
Article • 11/04/2023
Cette topologie pour Active Directory Federation Services (AD FS) diffère de la batterie
de serveurs de fédération utilisant la topologie de déploiement Base de données interne
Windows (WID) en cela qu’elle ne réplique pas les données sur chaque serveur de
fédération de la batterie. Au lieu de cela, tous les serveurs de fédération de la batterie
de serveurs peuvent lire et écrire des données dans une base de données commune
stockée sur un serveur exécutant Microsoft SQL Server qui se trouve dans le réseau
d’entreprise.
） Important
Si vous voulez créer une batterie AD FS et utiliser SQL Server pour stocker vos
données de configuration, vous pouvez utiliser SQL Server 2008 et versions plus
récentes, notamment SQL Server 2012 et SQL Server 2014.

déploiement

Les grandes organisations avec plus de 100 relations d’approbation qui doivent
fournir à leurs utilisateurs internes et externes un accès à l’authentification unique
(SSO) aux applications ou services fédérés
Les organisations qui utilisent déjà SQL Server et souhaitent tirer parti de leurs
outils et de leur expertise existants

topologie ?
Prise en charge d’un plus grand nombre de relations d’approbation (plus de 100)
Prise en charge de la détection de relecture de jeton (fonctionnalité de sécurité) et
de la résolution d’artefacts (dans le cadre du protocole SAML (Security Assertion
Markup Language) 2,0)
Prise en charge de tous les avantages des SQL Server, comme la mise en miroir de
bases de données, le clustering de basculement et les outils de création de
rapports et de gestion

topologie ?
Cette topologie ne fournit pas de redondance de base de données par défaut. Bien
qu’une batterie de serveurs de fédération avec topologie WID réplique
automatiquement la base de données WID sur chaque serveur de fédération de la
batterie de serveurs, la batterie de serveurs de fédération avec topologie SQL
Server contient une seule copie de la base de données
７ Notes
SQL Server prend en charge de nombreuses options de redondance des

données et des applications, notamment le clustering de basculement, la mise
en miroir de bases de données et plusieurs types de réplication de SQL Server.
Le service informatique de Microsoft utilise la mise en miroir de bases de données SQL

Server en mode de haute sécurité (synchrone) et le clustering de basculement pour
fournir une prise en charge haute disponibilité de l’instance SQL Server. La réplication
transactionnelle SQL Server (pair à pair) et de fusion n’ont pas été testées par l’équipe
produit AD FS de Microsoft. Pour plus d’informations sur SQL Server, consultez Vue
d’ensemble des solutions à haute disponibilité ou Sélection du type de réplication
approprié.
Versions SQL Server prises en charge

Les versions de SQL Server suivantes sont prises en charge avec AD FS dans Windows
Server 2012 R2 :
SQL Server 2008/R2
SQL Server 2012
SQL Server 2014
Recommandations relatives à l’emplacement du
serveur et à la disposition du réseau
À l’instar de la batterie de serveurs de fédération avec topologie WID, tous les serveurs
de fédération de la batterie de serveurs sont configurés pour utiliser un nom DNS de
cluster (qui représente le nom du service de fédération) et une adresse IP de cluster
dans le cadre de la configuration du cluster d’équilibrage de charge réseau (NLB). Cela
permet à l’hôte NLB d’allouer des requêtes client aux serveurs de fédération individuels.
Les proxys de serveur de fédération peuvent être utilisés pour mettre en proxy les
demandes clientes vers la batterie de serveurs de fédération.
L’illustration suivante montre comment la société fictive Contoso Pharmaceuticals a

déployé sa batterie de serveurs de fédération avec la topologie SQL Server dans le
réseau d’entreprise. Elle montre également comment cette entreprise a configuré le
réseau de périmètre avec accès à un serveur DNS, un hôte NLB supplémentaire qui
utilise le même nom DNS de cluster (fs.contoso.com) que celui utilisé sur le cluster
d’équilibrage de charge réseau d’entreprise, et avec deux proxys d’application web
(wap1 et wap2).
Pour plus d’informations sur la configuration d’un environnement réseau avec des
serveurs de fédération ou des proxys d’application web, consultez la section « Exigences
de résolution de noms » dans Configuration requise pour AD FS et Planification de
l’infrastructure de Proxy d’application Web (WAP).
Options de haute disponibilité pour les

batteries de serveurs SQL Server
Pour AD FS dans Windows Server 2012 R2, il existe deux nouvelles options pour prendre
en charge la haute disponibilité dans les batteries de serveurs AD FS à l’aide de SQL
Server.
Prise en charge des groupes de disponibilité SQL Server AlwaysOn
Prise en charge de la haute disponibilité distribuée géographiquement à l’aide de

la réplication de fusion SQL Server
Cette section décrit chacune de ces options, les problèmes qu’elles résolvent
respectivement et certaines considérations clés pour décider des options à déployer.
７ Notes
Les batteries de serveurs AD FS qui utilisent la base de données interne Windows

(WID) fournissent une redondance des données de base avec un accès en lecture/
écriture sur le nœud du serveur de fédération principal et un accès en lecture seule
sur les nœuds secondaires. Cela peut être utilisé dans une topologie
géographiquement locale ou géographiquement distribuée.
L’utilisation de WID présente les limitations suivantes :

Une batterie WID ne prend pas en charge la détection des relectures de jetons
ni la résolution d’artefacts (qui font partie du protocole SAML (Security
Assertion Markup Language)).
Le tableau suivant résume l’utilisation d’une batterie WID :

confiance
Groupes de disponibilité AlwaysOn

Présentation
Les groupes de disponibilité AlwaysOn ont été introduits dans SQL Server 2012 et
offrent un nouveau moyen de créer une instance SQL Server haute disponibilité. Les
groupes de disponibilité AlwaysOn combinent des éléments de clustering et de mise en
miroir de bases de données pour la redondance et le basculement au niveau de la
couche d’instance SQL et de la couche de base de données. Contrairement aux options
de haute disponibilité précédentes, les groupes de disponibilité AlwaysOn ne
nécessitent pas de stockage commun (ou réseau de zone de stockage) au niveau de la
couche de base de données.
Un groupe de disponibilité se compose d’un réplica principal (ensemble de bases de

données primaires en lecture-écriture) et d’un à quatre réplicas de disponibilité
(ensembles de bases de données secondaires correspondantes). Le groupe de
disponibilité prend en charge une copie en lecture-écriture unique (le réplica principal)
et un à quatre réplicas de disponibilité en lecture seule. Chaque réplica de disponibilité
doit résider sur un nœud différent d'un cluster de clustering de basculement Windows
Server (WSFC). Pour plus d’informations sur les groupes de disponibilité AlwaysOn,
consultez Vue d’ensemble des groupes de disponibilité AlwaysOn (SQL Server).
Du point de vue des nœuds d’une batterie AD FS SQL Server, le groupe de disponibilité
AlwaysOn remplace l’instance SQL Server unique en tant que base de données de
stratégie/artefact. L’écouteur de groupe de disponibilité est ce que le client (le service
de jeton de sécurité AD FS) utilise pour se connecter à SQL.
Le diagramme suivant illustre une batterie AD FS SQL Server avec un groupe de

disponibilité AlwaysOn.
７ Notes
Les groupes de disponibilité AlwaysOn nécessitent que les instances SQL Server
résident sur des nœuds WSFC (Windows Server Failover Clustering).
７ Notes
Un seul réplica de disponibilité peut faire office de cible de basculement

automatique ; les trois autres s’appuient sur des basculements manuels.
Considérations clés relatives au déploiement
Si vous envisagez d’utiliser des groupes de disponibilité AlwaysOn en combinaison avec

la réplication de fusion SQL Server, notez les problèmes décrits sous « Considérations
clés en matière de déploiement pour l’utilisation d’AD FS avec la réplication de fusion
SQL Server » ci-dessous. En particulier, lorsqu’un groupe de disponibilité AlwaysOn
contenant une base de données est un abonné de réplication et bascule, l’abonnement
de réplication échoue. Pour reprendre la réplication, un administrateur de réplication
doit reconfigurer l'abonné manuellement. Consultez la description SQL Server d’un
problème spécifique dans Abonnés de réplication et groupes de disponibilité AlwaysOn
(SQL Server) et les instructions de support générales pour les groupes de disponibilité
AlwaysOn avec des options de réplication dans Réplication, suivi des modifications,
capture des données modifiées et groupes de disponibilité AlwaysOn (SQL Server).
Configuration d’AD FS pour utiliser un groupe de disponibilité AlwaysOn
La configuration d’une batterie AD FS avec des groupes de disponibilité AlwaysOn

nécessite une légère modification de la procédure de déploiement d’AD FS :
1. Les bases de données que vous souhaitez sauvegarder doivent être créées avant
que les groupes de disponibilité AlwaysOn puissent être configurés. AD FS crée
ses bases de données dans le cadre de l’installation et de la configuration initiale
du premier nœud de service de fédération d’une nouvelle batterie AD FS SQL
Server. Dans le cadre de la configuration d’AD FS, vous devez spécifier une chaîne
de connexion SQL. Vous devez donc configurer le premier nœud de la batterie AD
FS pour qu’il se connecte directement à une instance SQL (ce n’est que
temporaire). Pour obtenir des conseils spécifiques sur la configuration d’une
batterie AD FS, notamment la configuration d’un nœud de batterie AD FS avec une
chaîne de connexion SQL Server, consultez Configurer un serveur de fédération.
2. Une fois les bases de données AD FS créées, affectez-les aux groupes de

disponibilité AlwaysOn et créez l’écouteur TCPIP commun à l’aide d’outils et de
processus SQL Server dans Création et configuration des groupes de disponibilité
Always On (SQL Server).
3. Enfin, utilisez PowerShell pour modifier les propriétés d’AD FS afin de mettre à jour
la chaîne de connexion SQL afin d’utiliser l’adresse DNS de l’écouteur du groupe
de disponibilité AlwaysOn.
Exemples de commandes PSH pour mettre à jour la chaîne de connexion SQL pour
la base de données de configuration AD FS :
PS:\>$temp= Get-WmiObject -namespace root/ADFS -class

SecurityTokenService
PS:\>$temp.ConfigurationdatabaseConnectionstring="data source=
<SQLCluster\SQLInstance>; initial catalog=adfsconfiguration;integrated
security=true"
PS:\>$temp.put()
4. Exemples de commandes PSH pour mettre à jour la chaîne de connexion SQL pour
la base de données du service de résolution d’artefacts AD FS :
PS:\> Set-AdfsProperties –artifactdbconnection "Data source=

<SQLCluster\SQLInstance >;Initial Catalog=AdfsArtifactStore;Integrated
Security=True"
Réplication de fusion SQL Server

Également introduite dans SQL Server 2012, la réplication de fusion permet la
redondance des données de stratégie AD FS avec les caractéristiques suivantes :
Capacité de lecture et d’écriture sur tous les nœuds (et pas seulement sur le
serveur principal)
De plus petites quantités de données répliquées de manière asynchrone pour

éviter d’introduire une latence dans le système
Le diagramme suivant montre une batterie AD FS SQL Server géographiquement

redondante avec réplication de fusion (1 éditeur, 2 abonnés) :
Considérations clés relatives au déploiement pour l’utilisation d’AD FS avec la
réplication de fusion SQL Server (notez les numéros dans le diagramme ci-dessus)
La base de données du serveur de distribution n’est pas prise en charge en vue

d’une utilisation avec les groupes de disponibilité AlwaysOn ou la mise en miroir
de bases de données. Consultez les instructions de support de SQL Server pour les
groupes de disponibilité AlwaysOn avec des options de réplication dans
Réplication, suivi des modifications, capture des données modifiées et groupes de
disponibilité AlwaysOn (SQL Server).
Lorsqu'un groupe de disponibilité AlwaysOn contenant une base de données est

un abonné de réplication et bascule, l'abonnement de réplication échoue. Pour
reprendre la réplication, un administrateur de réplication doit reconfigurer
l'abonné manuellement. Consultez la description SQL Server d’un problème
spécifique dans Abonnés de réplication et groupes de disponibilité AlwaysOn (SQL
Server) et les instructions de support générales pour les groupes de disponibilité
AlwaysOn avec des options de réplication dans Réplication, suivi des modifications,
capture des données modifiées et groupes de disponibilité AlwaysOn (SQL Server).
Pour obtenir des instructions plus détaillées sur la configuration d’AD FS pour utiliser
une réplication de fusion SQL Server, consultez Configurer une redondance
géographique avec la réplication SQL Server.
Voir aussi
Configuration requise pour AD FS dans
Windows Server
Voici les différentes exigences auxquelles vous devez vous conformer lors du déploiement
d’AD FS :
Conditions requises pour les certificats
Configuration logicielle requise
Configuration AD DS requise
Conditions requises pour la base de données de configuration
Conditions requises pour les navigateurs
Exigences d’extranet
Configuration requise pour les magasins d'attributs
Exigences des applications
Exigences relatives à l’authentification
Exigences de jointure de l’espace de travail
Exigences en matière de chiffrement

Les certificats jouent le rôle le plus important dans la sécurisation des communications
entre les serveurs de fédération, les proxys d’application web, les applications prenant en
charge les revendications et les clients web. La configuration requise pour les certificats
varie selon que vous configurez un serveur de fédération ou un ordinateur proxy, comme
décrit dans cette section.
Certificats des serveurs de fédération

Type de certificat Conditions requises, support et informations à savoir
Certificat SSL (Secure - Le certificat doit être un certificat X509 v3 approuvé* publiquement.
Sockets Layer) : Un - Tous les clients qui accèdent à un point de terminaison AD FS doivent
certificat SSL (Secure approuver ce certificat. Il est fortement recommandé d’utiliser des
Sockets Layer) standard qui certificats émis par une autorité de certification publique (tierce). Vous
permet de sécuriser les pouvez utiliser un certificat SSL auto-signé avec succès sur les serveurs
communications entre les de fédération dans un environnement de laboratoire de test. Toutefois,
serveurs de fédération et pour un environnement de production, nous vous recommandons
les clients. d'obtenir le certificat auprès d'une autorité de certification publique.
- Prise en charge de toutes les tailles de clé prises en charge par

Windows Server 2012 R2 pour les certificats SSL.
- Ne prend pas en charge des certificats qui utilisent des clés CNG.
- Lorsqu’il est utilisé conjointement avec le service de jonction d’espace

de travail/d’inscription d’appareil, l’autre nom d’objet du certificat SSL
pour le service AD FS doit contenir la valeur inscriptionentreprise qui
est suivie du suffixe Nom d’utilisateur principal (UPN) de votre
organisation, par exemple, inscriptionentreprise.contoso.com.
- Les certificats utilisant des caractères génériques sont pris en charge.

Lorsque vous créez votre batterie de serveurs AD FS, vous êtes invité à
fournir le nom du service AD FS (par exemple, adfs.contoso.com.
- Il est fortement recommandé d’utiliser le même certificat SSL pour le

Proxy d’application Web. Toutefois, il doit être identique lors de la prise
en charge des points de terminaison d’authentification intégrée
Windows via le Proxy d’application web et lorsque l’authentification de
protection étendue est activée (paramètre par défaut).
- Le nom de sujet de ce certificat permet de représenter le nom du

service de fédération pour chaque instance d’AD FS que vous déployez.
Vous pouvez donc choisir pour tout nouveau certificat émis par une
autorité de certification un nom de sujet qui reflète le nom de votre
entreprise ou organisation auprès des partenaires.
L’identité du certificat doit correspondre au nom du service de

fédération (par exemple, fs.contoso.com). L’identité est soit une
extension de nom de remplacement de l’objet de type DnsName, soit,
s’il n’existe aucune entrée de nom de l’objet, le nom de l’objet spécifié
comme nom commun. Le certificat peut contenir plusieurs
entrées d’autre nom de l’objet, pour autant que l’une d’elles
corresponde au nom des services de fédération.
- Important : il est fortement recommandé d’utiliser le même certificat

SSL sur tous les nœuds de votre batterie de serveurs AD FS, ainsi que
sur tous les proxys d’application de votre batterie AD FS.
Certificat de - Par défaut, le certificat SSL est utilisé en tant que certificat de
communication du communication du service. Mais vous avez également la possibilité de
service : Ce certificat active configurer un autre certificat en tant que certificat de communication
la sécurité de message WCF de service.
pour sécuriser les - Important : si vous utilisez le certificat SSL comme certificat de

communications entre les communication de service, lorsque le certificat SSL expire, veillez à
serveurs de fédération. configurer le certificat SSL renouvelé en tant que certificat de
communication de service. Cela ne se produit pas automatiquement.
- Ce certificat doit être approuvé par les clients d’AD FS qui utilisent
WCF Message Security.
- Nous vous recommandons d’utiliser un certificat d’authentification de

serveur émis par une autorité de certification publique (tierce).
- Le certificat de communication de service ne peut pas être un

certificat qui utilise des clés CNG.
- Vous pouvez gérer ce certificat à l’aide de la console Gestion AD FS.

Certificat de signature de - Par défaut, AD FS crée un certificat auto-signé avec des clés de
jetons : Certificat X509 2 048 bits.
standard qui permet de - Les certificats émis par l’autorité de certification sont également pris
signer de manière sécurisée en charge et peuvent être modifiés à l’aide du composant logiciel
tous les jetons émis par le enfichable Gestion AD FS
serveur de fédération. - Les certificats émis par l’autorité de certification doivent être stockés
et récupérés via un fournisseur de chiffrement CSP.
- Le certificat de signature de jetons ne peut pas être un certificat qui

utilise des clés CNG.
- AD FS ne nécessite pas de certificats inscrits en externe pour la
signature de jetons.
AD FS renouvelle automatiquement ces certificats auto-signés avant

leur expiration, en configurant d’abord les nouveaux certificats en tant
que certificats secondaires pour permettre aux partenaires de les
utiliser, puis en retournant vers le principal lors d’un processus appelé
substitution automatique de certificats. Nous vous recommandons
d’utiliser les certificats générés automatiquement par défaut pour la
signature de jeton.
Si votre organisation a des stratégies qui nécessitent la configuration

de différents certificats pour la signature de jetons, vous pouvez
spécifier les certificats au moment de l’installation à l’aide de
PowerShell (utilisez le paramètre –SigningCertificateThumbprint du
cmdlet Install-AdfsFarm). Après l’installation, vous pouvez afficher et
gérer les certificats de signature de jetons à l’aide de la console de
gestion AD FS ou des cmdlets PowerShell Set-AdfsCertificate et Get-
AdfsCertificate.
Lorsque des certificats inscrits en externe sont utilisés pour la signature

de jetons, AD FS n’effectue pas de renouvellement ou de substitution
automatique des certificats. Ce processus doit être effectué par un
administrateur.
Pour autoriser la substitution de certificat lorsqu’un certificat est sur le

point d’expirer, un certificat de signature de jeton secondaire peut être
configuré dans AD FS. Par défaut, tous les certificats de signature de
jetons sont publiés dans les services de fédération, mais seul le
certificat de signature de jetons principal est utilisé par AD FS pour la
signature des jetons.
Certificat de - Par défaut, AD FS crée un certificat auto-signé avec des clés de

chiffrement/déchiffrement 2 048 bits.
de jeton : Il s’agit d’un - Les certificats émis par l’autorité de certification sont également pris
certificat X509 standard en charge et peuvent être modifiés à l’aide du composant logiciel
utilisé pour enfichable Gestion AD FS
déchiffrer/chiffrer tous les - Les certificats émis par l’autorité de certification doivent être stockés
jetons entrants. Il est et récupérés via un fournisseur de chiffrement CSP.
également publié dans les - Le certificat de chiffrement/déchiffrement de jetons ne peut pas être
métadonnées de un certificat qui utilise des clés CNG.
fédération. - Par défaut, AD FS génère et utilise ses propres certificats, générés en

interne et auto-signés pour le déchiffrement des jetons. AD FS ne
nécessite pas de certificats inscrits en externe à cet effet.
En outre, AD FS renouvelle automatiquement ces certificats auto-signés

avant leur expiration.
Nous vous recommandons d’utiliser les certificats générés

automatiquement par défaut pour le déchiffrement de jeton.
Si votre organisation a des stratégies qui nécessitent la configuration

de différents certificats pour le déchiffrement de jetons, vous pouvez
spécifier les certificats au moment de l’installation à l’aide de
PowerShell (utilisez le paramètre –DecryptionCertificateThumbprint du
cmdlet Install-AdfsFarm). Après l’installation, vous pouvez afficher et
gérer les certificats de déchiffrement de jetons à l’aide de la console de
gestion AD FS ou des cmdlets PowerShell Set-AdfsCertificate et Get-
AdfsCertificate.
Lorsque des certificats inscrits en externe sont utilisés pour le

déchiffrement de jetons, AD FS n’effectue pas de renouvellement
automatique des certificats. Ce processus doit être effectué par un
administrateur..
- Le compte de service AD FS doit avoir accès à la clé privée du

certificat de signature de jeton dans le magasin personnel de
l’ordinateur local. Cette opération est prise en charge par l’installation.
Vous pouvez également utiliser le composant logiciel enfichable
Gestion d’AD FS pour garantir cet accès si vous modifiez par la suite le
certificat de signature de jeton.
Ｕ Attention
Les certificats utilisés pour la signature de jeton et pour le déchiffrement/chiffrement

de jeton sont essentiels pour la stabilité du service de fédération. Les clients qui gèrent
leurs propres certificats de chiffrement et déchiffrement de jetons et certificats de
signature de jetons doivent s’assurer que ces certificats sont sauvegardés et
disponibles indépendamment pendant un événement de récupération.
７ Notes
Dans AD FS, vous pouvez modifier le niveau de l’algorithme de hachage sécurisé utilisé
pour les signatures numériques sur SHA-1 ou SHA-256 (plus sécurisé). AD FS ne prend
pas en charge l’utilisation de certificats avec d’autres méthodes de hachage, telles que
MD5 (algorithme de hachage par défaut utilisé avec l’outil en ligne de
commande Makecert.exe). En guise de meilleure pratique pour la sécurité, nous vous
recommandons d'utiliser SHA-256 (défini par défaut) pour toutes les signatures. Le
niveau SHA-1 n’est recommandé que dans les scénarios où vous devez interagir avec
un produit qui ne prend pas en charge les communications utilisant SHA-256, comme
un produit non Microsoft ou les versions héritées d’AD FS.
７ Notes
Après avoir reçu un certificat d'une autorité de certification, assurez-vous que tous les
certificats sont importés dans le magasin de certificats personnels de l'ordinateur local.
Vous pouvez importer des certificats dans le magasin personnel à l'aide du composant
logiciel enfichable Certificats de la console MMC.

La configuration matérielle minimale et recommandée suivante s’applique aux serveurs de
fédération AD FS dans Windows Server 2012 R2 :
Configuration matérielle requise Configuration minimale requise Configuration recommandée
Vitesse du processeur Processeur 1,4 GHz 64 bits quadruple cœur, 2 GHz
Mémoire vive (RAM) 512 Mo 4 Go
Espace disque 32 Go 100 Go

Les exigences AD FS suivantes concernent les fonctionnalités de serveur intégrées au
système d’exploitation Windows Server® 2012 R2 :
Pour l’accès extranet, vous devez déployer le service de rôle Proxy d’application web,
qui fait partie du rôle serveur Accès à distance Windows Server® 2012 R2. Les versions
antérieures d’un proxy de serveur de fédération ne sont pas prises en charge avec AD
FS dans Windows Server® 2012 R2.
Un serveur de fédération et le service de rôle Proxy d’application Web ne peuvent pas

être installés sur le même ordinateur.
Configuration requise par les services de
Conditions requises pour les contrôleurs de domaine
Les contrôleurs de domaine dans tous les domaines utilisateur et le domaine auquel les
serveurs AD FS sont joints doivent exécuter Windows Server 2008 ou une version ultérieure.
７ Notes
Toute prise en charge des environnements avec des contrôleurs de domaine Windows
Server 2003 prendra fin après la date de fin du support étendu pour Windows
Server 2003. Il est vivement recommandé aux clients de mettre à niveau leurs
contrôleurs de domaine dès que possible. Pour plus d’informations sur le cycle de vie
Support Microsoft, consultez cette page . Pour les problèmes détectés qui sont
spécifiques aux environnements de contrôleur de domaine Windows Server 2003, les
correctifs seront émis uniquement pour les problèmes de sécurité et si un correctif
peut être émis avant l’expiration du support étendu pour Windows Server 2003.
７ Notes
AD FS nécessite un contrôleur de domaine accessible en écriture complète pour

fonctionner par opposition à un contrôleur de domaine en lecture seule. Si une
topologie planifiée inclut un contrôleur de domaine en lecture seule, le contrôleur de
domaine en lecture seule peut être utilisé pour l’authentification, mais le traitement
des revendications LDAP nécessite une connexion au contrôleur de domaine accessible
en écriture.
Configuration requise pour le niveau fonctionnel du domaine
Tous les domaines de comptes d’utilisateur et le domaine auquel les serveurs AD FS sont
joints doivent opérer au niveau fonctionnel du domaine Windows Server 2003 ou supérieur.
La plupart des fonctionnalités d'AD FS ne nécessitent aucune modification du niveau

fonctionnel dans AD DS. Toutefois, le niveau fonctionnel de domaine Windows Server 2008
ou supérieur est nécessaire au bon fonctionnement de l'authentification de certificat client
si le certificat est mappé explicitement sur le compte d'un utilisateur dans AD DS.
Exigences relatives au schéma
AD FS n’impose aucune modification de schéma ou du niveau fonctionnel dans les

services AD DS.
Pour utiliser la fonctionnalité de jointure d’espace de travail, le schéma de la forêt à
laquelle les serveurs AD FS sont joints doit être défini sur Windows Server 2012 R2.
Exigences relatives au compte de service
N’importe quel compte de service standard peut être utilisé comme compte de service
pour AD FS. Les comptes de service administrés de groupe sont également pris en
charge. Cela nécessite au moins un contrôleur de domaine (il est recommandé d’en
déployer deux ou plus) qui exécute Windows Server 2012 ou une version ultérieure.
Pour que l’authentification Kerberos fonctionne entre les clients joints à un domaine et
AD FS, « HOST/<nom_service_adfs> » doit être inscrit en tant que SPN sur le compte
de service. Par défaut, AD FS le configure lors de la création d’une batterie de serveurs
AD FS s’il dispose des autorisations suffisantes pour effectuer cette opération.
Le compte de service AD FS doit avoir la confiance dans chaque domaine qui contient
des utilisateurs s’authentifiant auprès du service AD FS.
Exigences relatives au domaine
Tous les serveurs AD FS doivent être joints à un domaine AD DS.
Tous les serveurs AD FS au sein d’une batterie de serveurs doivent être déployés dans
un même domaine.
Le domaine auquel les serveurs AD FS sont joints doit approuver chaque domaine de
comptes d’utilisateur qui contient des utilisateurs s’authentifiant auprès du service AD
FS.
Exigences relatives aux forêts multiples
Le domaine auquel les serveurs AD FS sont joints doit approuver chaque domaine ou
forêt de comptes d’utilisateur qui contient des utilisateurs s’authentifiant auprès du
service AD FS.
Le compte de service AD FS doit avoir la confiance dans chaque domaine qui contient
des utilisateurs s’authentifiant auprès du service AD FS.
Conditions requises pour la base de données de

configuration
Voici les exigences et les restrictions qui s’appliquent en fonction du type de magasin de
configuration :
Base de données interne Windows

Le profil de résolution d’artefacts dans SAML 2.0 n’est pas pris en charge dans la base
de données de configuration WID. La détection de relecture de jetons n’est pas prise
en charge dans la base de données de configuration WID. Cette fonctionnalité n’est
utilisée que dans les scénarios où AD FS agit en tant que fournisseur de fédération et
consomme des jetons de sécurité provenant de fournisseurs de revendications
externes.
Le déploiement de serveurs AD FS dans des centres de données distincts pour le

basculement ou l’équilibrage de charge géographique est pris en charge tant que le
nombre de serveurs ne dépasse pas 30.
Le tableau suivant résume l’utilisation d’une batterie WID. Utilisez-le pour planifier votre
implémentation.

confiance
SQL Server
Pour AD FS dans Windows Server 2012 R2, vous pouvez utiliser SQL Server 2008 et versions
ultérieures

Quand l’authentification AD FS est effectuée par le biais d’un navigateur ou d’un contrôle
de navigateur, votre navigateur doit remplir les conditions suivantes :
JavaScript doit être activé.
Les cookies doivent être activés
L’indication du nom du serveur (SNI) doit être prise en charge.
Pour le certificat utilisateur et l’authentification par certificat d’appareil (fonctionnalité

de rattachement à l’espace de travail), le navigateur doit prendre en charge
l’authentification par certificat client SSL.
Plusieurs navigateurs et plateformes clés ont été validés pour le rendu et les
fonctionnalités ; les détails sont répertoriés ci-dessous. Les navigateurs et les appareils qui
ne sont pas couverts dans ce tableau sont tout de même pris en charge s’ils répondent aux
exigences répertoriées ci-dessus :
Navigateurs Plateformes
IE 10,0 Windows 7, Windows 8.1, Windows Server 2008 R2, Windows

Server 2012, Windows Server 2012 R2
IE 11.0 Windows 7, Windows 8.1, Windows Server 2008 R2, Windows

Server 2012, Windows Server 2012 R2
Service Broker Windows 8.1

d’authentification web
Windows
Firefox [v21] Windows 7, Windows 8.1
Safari [v7] iOS 6, Mac OS-X 10.7
Chrome [v27] Windows 7, Windows 8.1, Windows Server 2012, Windows

Server 2012 R2, Mac OS-X 10.7
） Important
Problème connu - Firefox : la fonctionnalité Workplace Join qui identifie l’appareil à

l’aide du certificat d’appareil n’est pas fonctionnelle sur les plateformes Windows.
Firefox ne prend actuellement pas en charge l’authentification par certificat client SSL à
l’aide de certificats provisionnés dans le magasin de certificats utilisateur sur les
clients Windows.
Cookies
AD FS crée des cookies persistants et de session qui doivent être stockés sur les ordinateurs
clients pour fournir des fonctionnalités telles que la connexion, la déconnexion et
l'authentification unique. Le navigateur client doit donc être configuré de manière à
accepter les cookies. Les cookies utilisés pour l'authentification sont toujours des cookies de
session HTTPS (Secure Hypertext Transfer Protocol) écrits pour le serveur d'origine. Si le
navigateur client n’est pas configuré de manière à autoriser ces cookies, AD FS ne peut pas
fonctionner correctement. Les cookies persistants permettent de conserver le fournisseur de
revendications choisi par l'utilisateur. Vous pouvez les désactiver à l'aide d'un paramètre de
configuration dans le fichier de configuration des pages de connexion AD FS. Pour des
raisons de sécurité, la prise en charge de TLS/SSL est nécessaire.
Exigences d’extranet
Pour fournir un accès extranet au service AD FS, vous devez déployer le service de rôle web
Proxy d’application en tant que rôle extranet qui envoie par proxy les demandes
d’authentification de manière sécurisée au service AD FS. Cela permet d’isoler les points de
terminaison de service AD FS, ainsi que d’isoler toutes les clés de sécurité (comme les
certificats de signature de jetons) des requêtes provenant d’Internet. En outre, des
fonctionnalités comme le verrouillage de compte extranet logiciel nécessitent l’utilisation du
Proxy d’application web. Pour obtenir des informations générales sur le proxy d’application
web, consultez Proxy d’application web.
`

La configuration appropriée des services réseau suivants est essentielle au succès du
déploiement d’AD FS dans votre organisation :
Configuration du pare-feu d’entreprise
Le pare-feu situé entre le proxy d’application web et la batterie de serveurs de fédération

ainsi que le pare-feu situé entre les clients et le proxy d’application web doivent avoir le
port TCP 443 activé pour le trafic entrant.
De plus, si l’authentification par certificat utilisateur client authentification clientTLS à l’aide

de certificats utilisateur x509 est requise, AD FS dans Windows Server 2012 R2 exige que le
port TCP 49 443 soit activé dans le sens entrant sur le pare-feu entre les clients et le proxy
d’application web. Cela n’est pas obligatoire sur le pare-feu entre le proxy
d’application Web et les serveurs de fédération).
７ Notes
Assurez-vous également que le port 49443 n’est pas utilisé par d’autres services sur le
serveur AD FS et le Proxy d’application Web.
Configuration du système DNS
Pour l’accès intranet, tous les clients qui accèdent au service AD FS au sein du réseau
d’entreprise interne intranet doivent être en mesure de résoudre le nom du service AD
FS (fourni par le certificat SSL) en équilibreur de charge pour le ou les serveurs AD FS.
Pour l’accès extranet, tous les clients qui accèdent au service AD FS à partir de
l’extérieur du réseau d’entreprise extranet/internet doivent être en mesure de
résoudre le nom du service AD FS (fourni par le certificat SSL) en équilibreur de charge
pour le ou les serveurs Proxy d’application web.
Pour que l’accès extranet fonctionne correctement, chaque serveur Proxy d’application
web de la zone DMZ doit être capable de résoudre le nom du service AD FS (fourni
par le certificat SSL) en équilibreur de charge pour le ou les serveurs AD FS. Cela peut
être accompli en faisant appel à un serveur DNS secondaire dans le réseau DMZ ou en
changeant la résolution du serveur local à l’aide du fichier HOSTS.
Pour que l’authentification intégrée Windows fonctionne à l’intérieur du réseau et à

l’extérieur du réseau pour un sous-ensemble de points de terminaison exposés via le
Proxy d’application web, vous devez utiliser un enregistrement A (et non CNAME) pour
pointer vers les équilibreurs de charge.
Pour plus d’informations sur la configuration du DNS d’entreprise pour le service de

fédération et le service d’inscription des appareils, consultez Configurer le système DNS
d’entreprise pour le service de fédération et DRS.
Pour plus d’informations sur la configuration du DNS d’entreprise pour les proxys
d’application web, consultez la section « Configurer DNS » dans Étape 1 : configurer
l’infrastructure du proxy d’application Web.
Pour plus d’informations sur la configuration d’un nom de domaine complet de cluster ou
d’une adresse IP de cluster à l’aide de l’équilibrage de la charge réseau Microsoft, voir
Définition des paramètres de cluster sur http://go.microsoft.com/fwlink/?LinkId=75282.
Configuration requise pour les magasins

d'attributs
AD FS nécessite qu’au moins un magasin d’attributs soit utilisé pour l’authentification des
utilisateurs et l’extraction des revendications de sécurité pour ces utilisateurs. Pour obtenir
une liste des magasins d’attributs pris en charge par les services AD FS, consultez The Role
of Attribute Stores.
７ Notes
Par défaut, AD FS crée automatiquement un magasin d’attributs Active Directory. La

configuration requise pour les magasins d'attributs varie selon que votre organisation
fait office de partenaire de compte (hébergeant les utilisateurs fédérés) ou de
partenaire de ressource (hébergeant l'application fédérée).
Magasins d’attributs LDAP
Quand vous utilisez d'autres magasins d'attributs LDAP (Lightweight Directory Access
Protocol), vous devez vous connecter à un serveur LDAP qui prend en charge
l'authentification intégrée de Windows. En outre, la chaîne de connexion LDAP doit être
écrite sous la forme d'une URL LDAP, comme indiqué dans le document RFC 2255.
Il est également nécessaire que le compte de service pour le service AD FS ait le droit de
récupérer les informations utilisateur dans le magasin d’attributs LDAP.
Magasins d’attributs SQL Server
Pour qu’AD FS dans Windows Server 2012 R2 fonctionne correctement, les ordinateurs qui
hébergent le magasin d’attributs SQL Server doivent exécuter Microsoft SQL Server 2008 ou
une version ultérieure. Quand vous utilisez des magasins d'attributs SQL, vous devez
également configurer une chaîne de connexion.
Magasins d’attributs personnalisés
Vous pouvez développer des magasins d'attributs personnalisés dans le cadre de scénarios
avancés.
Le langage de stratégie intégré à AD FS peut référencer des magasins d'attributs

personnalisés de manière à perfectionner les scénarios suivants :
Créer des revendications pour un utilisateur authentifié localement
Compléter les revendications pour un utilisateur authentifié de manière externe
Autoriser un utilisateur à obtenir un jeton
Autoriser un service à obtenir un jeton au nom d'un utilisateur
Émission de données supplémentaires dans des jetons de sécurité émis par AD FS à

des parties de confiance.
Tous les magasins d’attributs personnalisés doivent être créés sur .NET 4.0 ou version
ultérieure.
Quand vous utilisez un magasin d’attributs personnalisé, vous pouvez également être
amené à configurer une chaîne de connexion. Dans ce cas, vous pouvez entrer un code
personnalisé de votre choix qui permet une connexion à votre magasin d’attributs
personnalisé. Dans ce cas, la chaîne de connexion est un ensemble de paires nom/valeur qui
sont interprétées comme implémentées par le développeur du magasin d’attributs
personnalisé. Pour plus d’informations sur le développement et l’utilisation de magasins
d’attributs personnalisés, consultez Vue d’ensemble des magasins d’attributs.

AD FS prend en charge les applications prenant en charge les revendications qui utilisent
les protocoles suivants :
Un certificat de fournisseur d'identité WS-Federation
WS-Trust
Protocole SAML 2.0 utilisant des profils IDPLite et SPLite et eGov1.5.
Profil d’octroi d’autorisation OAuth 2.0
AD FS prend également en charge l’authentification et l’autorisation pour toutes les

applications qui ne prennent pas en charge les revendications et qui sont prises en charge
par le Proxy d’application web.

Authentification AD DS (authentification principale)
Pour l’accès intranet, les mécanismes d’authentification standard suivants pour AD DS sont
pris en charge :
Authentification intégrée Windows avec Negotiate pour Kerberos et NTLM
Authentification par formulaire à l’aide d’un nom d’utilisateur/mot de passe
Authentification par certificat avec des certificats mappés à des comptes d’utilisateur
dans AD DS
Pour l’accès extranet, les mécanismes d’authentification suivants sont pris en charge :
Authentification par formulaire à l’aide d’un nom d’utilisateur/mot de passe
Authentification par certificat avec des certificats mappés à des comptes d’utilisateur
dans AD DS
Authentification intégrée Windows utilisant Negotiate (NTLM uniquement) pour les

points de terminaison WS-Trust qui acceptent l’authentification intégrée Windows.
Pour l’authentification par certificat :
S’étend aux cartes à puce qui peuvent être protégées par code confidentiel.
L’interface graphique utilisateur permettant à l’utilisateur d’entrer son code

confidentiel n’est pas fournie par AD FS et doit faire partie du système d’exploitation
client qui s’affiche lors de l’utilisation du protocole TLS client.
Le lecteur et le fournisseur de services de chiffrement pour la carte à puce doivent
fonctionner sur l'ordinateur où se trouve le navigateur.
Le certificat de carte à puce doit être chaîné à une racine approuvée sur tous les
serveurs AD FS et serveurs de Proxy d’application web.
Le certificat doit être mappé au compte d'utilisateur dans AD DS à l'aide de l'une des
méthodes suivantes :
Le nom du sujet du certificat correspond au nom unique LDAP d'un compte

d'utilisateur dans AD DS.
L'extension de l'autre nom de l'objet du certificat possède le nom d'utilisateur

principal d'un compte d'utilisateur dans AD DS.
Pour une authentification intégrée Windows transparente à l’aide de Kerberos dans

l’intranet,
Le nom du service doit faire partie des sites de confiance ou des sites intranet locaux.
En outre, le SPN HOST/<nom_service_adfs> doit être défini sur le compte de service

sur lequel la batterie de serveurs AD FS s’exécute.
Azure Multi-Factor Authentication
AD FS prend en charge une authentification supplémentaire (au-delà de l’authentification

principale prise en charge par AD DS) à l’aide d’un modèle de fournisseur dans lequel les
fournisseurs/clients peuvent créer leur propre adaptateur d’authentification multifacteur
qu’un administrateur peut inscrire et utiliser lors de la connexion.
Chaque adaptateur MFA doit être généré sur .NET 4.5.
Pour plus d’informations sur l’authentification multifacteur, voir Gérer les risques avec une
authentification multifacteur supplémentaire pour les applications sensibles.
Authentification d’appareil
AD FS prend en charge l’authentification des appareils à l’aide de certificats provisionnés

par le service d’inscription d’appareil pendant l’action d’un utilisateur final qui joint son
appareil.
Exigences de jointure de l’espace de travail

Les utilisateurs finaux peuvent joindre leurs appareils à une organisation à l’aide d’AD FS.
Cela est pris en charge par le service d’inscription des appareils dans AD FS. Par conséquent,
les utilisateurs finaux bénéficient de l’avantage supplémentaire de l’authentification unique
dans les applications prises en charge par AD FS. En outre, les administrateurs peuvent
gérer les risques en limitant l’accès aux applications uniquement aux appareils qui ont été
joints à l’organisation. Vous trouverez ci-dessous les conditions requises suivantes pour
permettre ce scénario.
AD FS prend en charge la jonction d’espace de travail pour les appareils Windows 8.1

et iOS 5+
Pour utiliser la fonctionnalité de jointure d’espace de travail, le schéma de la forêt à

laquelle les serveurs AD FS sont joints doit être défini sur Windows Server 2012 R2.
L’autre nom de l’objet du certificat SSL pour le service AD FS doit contenir la valeur
inscriptionentreprise, suivie du suffixe UPN de votre organisation, par exemple
inscriptionentreprise.corp.contoso.com.
Exigences en matière de chiffrement

Le tableau suivant fournit des informations supplémentaires sur la prise en charge du
chiffrement sur la signature de jeton AD FS et la fonctionnalité de
chiffrement/déchiffrement de jeton :
Algorithme Longueurs Protocoles/applications/commentaires

de clé
TripleDES – Par défaut 192 (plage prise en charge : >= 192 Algorithme pris en charge pour
192 – 256) - déchiffrer le jeton de sécurité. Le
http://www.w3.org/2001/04/xmlenc#tripledes-cbc chiffrement du jeton de sécurité avec
cet algorithme n’est pas pris en charge.
AES128 - 128 Algorithme pris en charge pour

http://www.w3.org/2001/04/xmlenc#aes128-cbc déchiffrer le jeton de sécurité. Le
chiffrement du jeton de sécurité avec
AES192 - 192 Algorithme pris en charge pour

http://www.w3.org/2001/04/xmlenc#aes192-cbc déchiffrer le jeton de sécurité. Le
chiffrement du jeton de sécurité avec
AES256 - 256 Par défaut. Algorithme pris en charge

http://www.w3.org/2001/04/xmlenc#aes256-cbc pour le chiffrement du jeton de
sécurité.
de clé
TripleDESKeyWrap - Toutes les Algorithme pris en charge pour le

http://www.w3.org/2001/04/xmlenc#kw-tripledes tailles de chiffrement de la clé symétrique qui
clé prises chiffre un jeton de sécurité.
en charge
par
.NET 4.0+
AES128KeyWrap - 128 Algorithme pris en charge pour le

http://www.w3.org/2001/04/xmlenc#kw-aes128 chiffrement de la clé symétrique qui
chiffre le jeton de sécurité.


RsaV15KeyWrap - 1 024 Algorithme pris en charge pour le

http://www.w3.org/2001/04/xmlenc#rsa-1_5 chiffrement de la clé symétrique qui
RsaOaepKeyWrap - 1 024 Par défaut. Algorithme pris en charge

http://www.w3.org/2001/04/xmlenc#rsa-oaep- pour le chiffrement de la clé symétrique
mgf1p qui chiffre le jeton de sécurité.
SHA1-http://www.w3.org/PICS/DSig/SHA1_1_0.html N/A Utilisé par le serveur AD FS dans la

génération de SourceId d’artefact :
dans ce scénario, le STS utilise SHA1
(conformément à la recommandation
de la norme SAML 2.0) pour créer une
courte valeur de 160 bits pour le
SourceId de l’artefact.
Également utilisé par l’agent web AD FS
(composant hérité de WS2003) pour
identifier les modifications apportées à
une valeur de temps « dernière mise à
jour » afin qu’il sache quand mettre à
jour les informations à partir du STS.
de clé
SHA1withRSA- N/A Utilisé dans les cas où le serveur AD FS

http://www.w3.org/PICS/DSig/RSA-SHA1_1_0.html valide la signature SAML
AuthenticationRequest ; signe la
demande ou la réponse de résolution
d’artefact, crée un certificat de
signature de jeton.
Dans ce cas, SHA256 est la valeur par
défaut et SHA1 est utilisé uniquement
si le partenaire (partie de confiance) ne
peut pas prendre en charge SHA256 et
doit utiliser SHA1.

L’administrateur qui effectue l’installation et la configuration initiale d’AD FS doit disposer
des autorisations d’administrateur de domaine dans le domaine local (en d’autres termes, le
domaine auquel le serveur de fédération est joint).
Voir aussi
AD FS Guide de conception héritée dans
Windows Server
７ Notes
pour plus d’informations sur le déploiement de AD FS dans Windows Server 2012

r2, consultez le Guide de déploiement de Windows Server 2012 r2 AD FS.
vous pouvez utiliser Active Directory® Federation services (AD FS) avec le système
d’exploitation Windows Server® 2012 dans un rôle de fournisseur de Services de
fédération pour authentifier en toute transparence vos utilisateurs sur des applications
ou Services Web qui résident dans une organisation partenaire de ressource, sans que
les administrateurs aient besoin de créer ou de gérer des approbations externes ou des
approbations de forêt entre les réseaux des deux organisations et sans que les
utilisateurs aient besoin de se connecter une deuxième fois. Le processus qui permet à
l'utilisateur de s'authentifier auprès d'un réseau tout en accédant aux ressources situées
dans un autre réseau, sans avoir à se connecter plusieurs fois, a pour nom
« authentification unique » (SSO, Single Sign-On).
Ce guide fournit des recommandations pour vous aider à planifier un nouveau
déploiement de AD FS, en fonction des exigences de votre organisation (également
appelé « objectifs de déploiement ») et de la conception que vous souhaitez créer. Ce
guide est prévu pour une utilisation par un spécialiste d'infrastructure ou un architecte
système. Il met en évidence vos principaux points de décision lors de la planification de
votre déploiement AD FS. Avant de lire ce guide, vous devez avoir une bonne
compréhension de la façon dont AD FS fonctionne sur un niveau fonctionnel. Vous
devez également avoir une bonne compréhension des exigences de l’organisation qui
seront reflétées dans votre conception de AD FS.
Ce guide décrit un ensemble d’objectifs de déploiement basés sur trois AD FS

principales conceptions et vous aide à choisir la conception la plus appropriée pour
votre environnement. Vous pouvez utiliser ces objectifs de déploiement pour former
l’une des conceptions de AD FS complètes suivantes ou une conception personnalisée
qui répond aux besoins de votre environnement :
SSO de web fédéré pour la prise en charge des scénarios interentreprises (B2B) et
de la collaboration entre des divisions avec des forêts indépendantes
SSO de web pour la prise en charge de l'accès client aux applications dans les
scénarios entreprise-client (B2C)
Pour chaque conception, vous trouverez des indications pour rassembler les données
nécessaires à votre environnement, Vous pouvez ensuite utiliser ces instructions pour
planifier et concevoir votre déploiement AD FS. après avoir lu ce guide et terminé la
collecte, la documentation et le mappage des exigences de votre organisation, vous
disposerez des informations nécessaires pour commencer à déployer AD FS à l’aide des
conseils de la Windows Server 2012 AD FS guide de déploiement.
Contenu de ce guide
Identification de vos objectifs de déploiement d’AD FS
Mappage de vos objectifs de déploiement sur une conception AD FS
Déterminer votre topologie de déploiement d’AD FS
Planification de votre déploiement
Planification de la sélection élective du serveur de fédération
Planification de la sélection élective du serveur proxy de fédération
Planification de la capacité des serveurs AD FS
Annexe A : examen de la configuration requise pour AD FS

Identification de vos objectifs de
déploiement d’AD FS
L’identification correcte de vos objectifs de déploiement des services de fédération

Active Directory (AD FS) est essentielle pour la réussite de votre projet de conception
AD FS. Suivant la taille de votre organisation et le niveau d'implication à fournir pour le
personnel de la technologie de l'information dans toutes les organisations partenaires,
constituez une équipe de projet à même d'articuler clairement des questions de
déploiement concrètes dans un énoncé de vision. Vérifiez que les membres de cette
équipe comprennent l’orientation que votre projet de déploiement doit prendre afin
d’atteindre vos objectifs de déploiement AD FS.
Quand vous rédigez votre énoncé de vision, identifiez, clarifiez et affinez vos objectifs de
déploiement. Hiérarchisez et, éventuellement, combinez vos objectifs de déploiement
pour pouvoir concevoir et déployer AD FS en suivant une approche itérative. Vous
pouvez exploiter les objectifs de déploiement AD FS existants, documentés et prédéfinis
qui conviennent aux conceptions AD FS afin de développer une solution adaptée à votre
situation.
Le tableau suivant liste les tâches à effectuer pour articuler, affiner et documenter vos
objectifs de déploiement AD FS.
Tâche Liens des références
Évaluez les objectifs de déploiement AD FS prédéfinis - Fournir à vos utilisateurs Active
qui sont fournis dans cette section du guide et combinez Directory un accès à vos applications
un ou plusieurs objectifs afin d’atteindre vos objectifs et services prenant en charge les
organisationnels. revendications
- Fournir à vos utilisateurs Active

Directory un accès aux applications et
services d’autres organisations
- Fournir aux utilisateurs d’une autre
organisation un accès à vos
applications et services prenant en
charge les revendications
Faire correspondre un objectif ou une combinaison - Mise en correspondance de vos

d’objectifs de déploiement AD FS prédéfinis à une objectifs de déploiement avec une
conception AD FS existante conception AD FS
Voir aussi
Fournir à vos utilisateurs Active
Directory un accès à vos applications et
services prenant en charge les
revendications
Lorsque vous êtes administrateur de l’organisation du partenaire de compte dans un

déploiement Services AD FS et que vous avez l’objectif de proposer un accès
d’authentification unique à vos ressources hébergées pour les employés sur le réseau
d’entreprise :
Les employés qui sont connectés à une forêt Active Directory dans le réseau
d’entreprise peuvent utiliser l’authentification unique pour accéder à plusieurs
applications ou services dans le réseau de périmètre de votre propre organisation.
Ces applications et services sont sécurisés par AD FS.
Par exemple, Fabrikam souhaite que les employés du réseau d’entreprise aient un
accès fédéré aux applications web qui sont hébergées sur le réseau de périmètre
pour Fabrikam.
Les employés distants qui sont connectés à un domaine Active Directory peuvent
obtenir des jetons AD FS à partir du serveur de fédération de votre organisation
pour obtenir l’accès fédéré aux applications ou services web sécurisés par AD FS
qui se trouvent également dans votre organisation.
Les informations contenues dans le magasin d’attributs Active Directory peuvent

être remplies dans les jetons AD FS des employés.
Les composants suivants sont requis pour cet objectif de déploiement :
Services de domaine Active Directory (AD DS) : les services AD DS contiennent les
comptes d’utilisateur des employés utilisés pour générer des jetons AD FS. Les
informations, telles que les appartenances aux groupes et les attributs, sont
remplies dans les jetons AD FS en tant que revendications de groupe et
revendications personnalisées.
７ Notes
Vous pouvez également utiliser le protocole LDAP (Lightweight Directory

Access Protocol) ou le langage SQL (Structured Query Language) pour
contenir les identités nécessaires à la génération de jetons AD FS.
DNS d’entreprise : cette implémentation du système DNS (Domain Name System)

contient un enregistrement de ressource d’hôte simple (A) pour que les clients
intranet puissent localiser le serveur de fédération du compte. Cette
implémentation de système DNS peut également héberger d’autres
enregistrements DNS requis dans le réseau d’entreprise. Pour plus d'informations,
consultez Configuration de la résolution de noms pour les serveurs de fédération.
Serveur de fédération partenaire du compte : ce serveur de fédération est joint à

un domaine dans la forêt de partenaires du compte. Il authentifie les comptes
d’utilisateur des employés et génère des jetons AD FS. L’ordinateur client de
l’employé procède à l’authentification intégrée de Windows sur ce serveur de
fédération pour générer un jeton AD FS. Pour plus d'informations, voir Review the
Role of the Federation Server in the Account Partner.
Le serveur de fédération partenaire du compte peut authentifier les utilisateurs

suivants :
Les employés disposant de comptes d’utilisateurs dans ce domaine
Les employés disposant de comptes d’utilisateurs dans cette forêt
Les employés disposant de comptes d’utilisateurs dans des forêts approuvées

par cette forêt (via une approbation bidirectionnelle de Windows)
Employé : un(e) employé(e) accède à un service web (via une application) ou à une
application web (via un navigateur web pris en charge) quand il ou elle est
connecté(e) au réseau d’entreprise. L’ordinateur client de l’employé sur le réseau
d’entreprise communique directement avec le serveur de fédération pour
Après avoir vérifié les informations contenues dans les rubriques associées, vous pouvez
commencer à déployer cet objectif en suivant les étapes de Checklist: Implementing a
Federated Web SSO Design.
L’illustration suivante montre chacun des composants requis pour cet objectif de
déploiement AD FS.
Voir aussi
Fournir à vos utilisateurs Active
Directory un accès aux applications et
services d'autres organisations
Cet objectif de déploiement Services ADFS s’appuie sur l’objectif de Fournir à vos
utilisateurs Active Directory un accès à vos applications et services prenant en charge les
revendications.
Lorsque vous êtes un administrateur dans l’organisation partenaire de compte et que

votre objectif de déploiement consiste à fournir aux employés un accès fédéré aux
ressources hébergées d'une autre organisation :
Les employés qui sont connectés à un domaine Active Directory du réseau

d'entreprise peuvent utiliser la fonctionnalité d’authentification unique (SSO) pour
accéder à plusieurs applications ou services web qui sont sécurisés par AD FS,
lorsque ces applications ou services se trouvent dans une autre organisation. Pour
plus d'informations, voir Federated Web SSO Design.
Par exemple, Fabrikam souhaite que les employés du réseau d'entreprise aient un
accès fédéré aux services web hébergés dans Contoso.
Les employés distants qui sont connectés à un domaine Active Directory peuvent
obtenir des jetons AD FS à partir du serveur de fédération de votre organisation
pour obtenir l’accès fédéré aux applications ou services web sécurisés par AD FS
qui sont hébergés également dans votre organisation.
Par exemple, Fabrikam peut offrir à ses employés distants un accès fédéré à des
services sécurisés par AD FS et hébergés dans Contoso, sans que les employés de
Fabrikam fassent partie du réseau d’entreprise Fabrikam.
Outre les composants essentiels décrits dans Provide Your Active Directory Users Access
to Your Claims-Aware Applications and Services et ombrés dans la figure ci-dessous, les
composants suivants sont obligatoires pour cet objectif de déploiement :
Serveur proxy de fédération de partenaire de compte : les employés qui accèdent

à l’application ou au service fédéré à partir d’Internet peuvent utiliser ce
composant AD FS pour effectuer l’authentification. Par défaut, ce composant
effectue une authentification basée sur les formulaires, mais il peut également
effectuer une authentification de base. Vous pouvez également configurer ce
composant pour authentifier le client SSL (Secure Sockets Layer), si les employés
de votre organisation ont des certificats à présenter. Pour plus d’informations,
consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur
proxy de fédération).
DNS de périmètre : cette implémentation du système DNS (Domain Name System)

fournit les noms d’hôte du réseau de périmètre. Pour plus d’informations sur la
configuration du DNS de périmètre pour un serveur proxy de fédération, consultez
Exigences relatives à la résolution de noms pour les serveurs proxy de fédération.
Employé distant : l’employé distant accède à une application web (via un

navigateur web pris en charge) ou à un service web (via une application), à l’aide
d’informations d’identification valides du réseau d’entreprise, tandis que l’employé
navigue sur Internet à distance. L’ordinateur client de l'employé dans
l'emplacement distant communique directement avec le serveur proxy de
fédération pour générer un jeton et s'authentifier auprès de l'application ou du
service.
Après avoir vérifié les informations contenues dans les rubriques associées, vous pouvez
commencer à déployer cet objectif en suivant les étapes de Checklist: Implementing a
Federated Web SSO Design.
déploiement AD FS.
Voir aussi
Fournir aux utilisateurs d’une autre
organisation un accès à vos applications
et services prenant en charge les
revendications
Si vous êtes administrateur de l’organisation partenaire de ressource dans Services ADFS

et que vous avez pour objectif de déploiement de fournir aux utilisateurs d’une autre
organisation (l’organisation partenaire de compte) un accès fédéré à une application
prenant en charge les revendications ou un service web qui se trouve dans votre
organisation (l’organisation partenaire de ressource) :
Les utilisateurs fédérés de votre organisation et des organisations qui ont

configuré une approbation de fédération avec votre organisation (organisations
partenaires de compte) peuvent accéder à l’application ou le service sécurisé par
AD FS hébergé par votre organisation. Pour plus d'informations, voir Federated
Web SSO Design.
Par exemple, Fabrikam souhaite que les employés du réseau d’entreprise aient un
accès fédéré aux services web hébergés par Contoso.
Les utilisateurs fédérés qui ne disposent d’aucune association directe avec une
organisation approuvée (par exemple, des clients individuels) et qui sont connectés
à un magasin d’attributs hébergé sur votre réseau de périmètre peuvent accéder à
plusieurs applications sécurisées par AD FS, qui sont aussi hébergées sur votre
réseau de périmètre, en se connectant une seule fois à partir d’ordinateurs clients
qui se trouvent sur Internet. En d’autres termes, lorsque vous hébergez des
comptes client pour permettre l’accès aux applications ou services de votre réseau
de périmètre, les clients que vous hébergez dans un magasin d’attributs peuvent
accéder à un ou plusieurs services ou applications du réseau de périmètre en se
connectant une seule fois. Pour plus d'informations, voir Web SSO Design.
Par exemple, Fabrikam peut souhaiter que ses clients accèdent à plusieurs
applications ou services hébergés sur son réseau de périmètre par authentification
unique (SSO).
Les composants suivants sont requis pour cet objectif de déploiement :
Active Directory Domain Services (AD DS): le partenaire de ressource du serveur

de fédération doit être lié à un domaine Active Directory.
DNS de périmètre : le système de nom de domaine (DNS, Domain Name System)
doit contenir un enregistrement de ressource hôte simple (A) pour que les
ordinateurs clients puissent localiser le serveur de fédération de partenaire de
ressource et le serveur web. Le serveur DNS peut héberger d’autres
enregistrements DNS également requis dans le réseau de périmètre. Pour plus
d'informations, consultez Configuration de la résolution de noms pour les serveurs
de fédération.
Serveur de fédération de partenaire de ressource : Le serveur de fédération de

partenaire de ressources valide les jetons AD FS que les partenaires du compte
envoient. La découverte du partenaire de compte est effectuée via ce serveur de
fédération. Pour plus d'informations, voir Review the Role of the Federation Server
in the Resource Partner.
Serveur web : le serveur web peut héberger une application ou un service web. Le
serveur web confirme qu’il reçoit les jetons AD FS valides des utilisateurs fédérés
avant d’autoriser l’accès à l’application ou au service web protégé.
À l’aide de Windows Identity Foundation, vous pouvez développer votre

application ou service web afin qu’il accepte les demandes d’ouverture de session
des utilisateurs fédérés effectuées avec une méthode d’ouverture de session
standard, par exemple avec un nom d’utilisateur et un mot de passe.
Après avoir vérifié les informations fournies dans les rubriques associées, vous pouvez
commencer à déployer cet objectif en suivant les étapes dans Liste de vérification :
Implémentation d’une conception SSO de web fédéré et Liste de vérification :
Implémentation d’une conception SSO de web.
déploiement AD FS.
Voir aussi
Mappage de vos objectifs de
déploiement sur une conception AD FS
Après avoir examiné les objectifs de déploiement de services de fédération Active

Directory (AD FS) existants et déterminé ceux liés à votre déploiement, vous pouvez
mettre ces objectifs en correspondance avec une conception AD FS spécifique. Pour plus
d’informations sur les objectifs de déploiement prédéfinis AD FS, consultez Identifier vos
objectifs de déploiement AD FS.
Utilisez le tableau suivant pour déterminer quelle conception AD FS correspond à la

combinaison adaptée d’objectifs de déploiement AD FS pour votre organisation. Ce
tableau fait uniquement référence aux deux principales conceptions AD FS, comme
décrit dans ce guide. Toutefois, vous pouvez créer une conception AD FS hybride ou
personnalisée à l’aide de n’importe quelle combinaison d’objectifs de déploiement AD
FS pour répondre aux besoins de votre organisation.
Guide de déploiement AD FS Conception Conception SSO

SSO web de web fédéré
Fournir à vos utilisateurs Active Directory un accès à vos Non Oui, dans le
applications et services prenant en charge les revendications partenaire de
compte
Fournir à vos utilisateurs Active Directory un accès aux Non Oui, facultatif dans
applications et services d’autres organisations le partenaire de
compte
Fournir aux utilisateurs d’une autre organisation un accès à Oui Oui

vos applications et services prenant en charge les
revendications
Voir aussi
Conception de SSO de web
Dans la conception de SSO de web dans Services ADFS, les utilisateurs doivent
s’authentifier une seule fois pour accéder à plusieurs applications ou services sécurisés
par AD FS. Dans cette conception, tous les utilisateurs sont externes et en l’absence
d’organisation partenaire, il n’existe aucune approbation de fédération. En général, vous
déployez cette conception lorsque vous souhaitez fournir un accès individuel au
consommateur ou au client à un ou plusieurs services ou applications sécurisés par AD
FS sur Internet, comme indiqué dans l’illustration suivante.
Grâce à la conception de SSO de web, une organisation qui héberge généralement un

service ou une application sécurisée par ADFS dans un réseau de périmètre, peut
maintenir un magasin distinct de comptes clients dans le réseau de périmètre, ce qui
permet de séparer facilement les comptes clients des comptes des employés.
Vous pouvez gérer les comptes locaux pour les clients du réseau de périmètre à l’aide
des services de domaine Active Directory (AD DS), de SQL Server ou d’un magasin
d’attributs personnalisés.
Cette conception correspond à l’objectif de déploiement de Provide Your Active

Directory Users Access to Your Claims-Aware Applications and Services.
Pour obtenir une liste détaillée des tâches que vous pouvez utiliser pour planifier et
déployer la conception de SSO de web, voir Checklist: Implementing a Web SSO Design.
Voir aussi
Conception de SSO de web fédéré
La conception de SSO de web fédéré dans les services de fédération Active Directory
(AD FS) implique des communications sécurisées qui s’étendent sur plusieurs pare-feu,
réseaux de périmètre et serveurs de résolution de noms, et sur l’ensemble de
l’infrastructure de routage Internet.
En règle générale, cette conception est utilisée lorsque deux organisations conviennent
de créer une relation d’approbation de fédération pour permettre aux utilisateurs d’une
organisation (l’organisation partenaire de compte) d’accéder aux applications ou
services web sécurisés par les services AD FS de l’autre organisation (l’organisation
partenaire de ressource).
En d’autres termes, une relation d’approbation de fédération est l’incarnation d’un

accord au niveau de l’entreprise ou d’un partenariat entre deux organisations. Comme
indiqué dans l’illustration suivante, vous pouvez établir une relation d’approbation de
fédération entre deux entreprises pour aboutir à un scénario de fédération de bout en
bout.
La flèche à sens unique de l’illustration indique le sens de l’approbation de fédération,

qui, comme pour le sens des approbations Windows, pointe toujours vers le côté
compte de la forêt. Cela signifie que le cheminement de l’authentification s’effectue de
l’organisation partenaire de compte vers l’organisation partenaire de ressource.
Dans cette conception de SSO de web fédéré, deux serveurs de fédération (un dans
Fabrikam et l’autre dans Contoso) acheminent les demandes d’authentification depuis
les comptes d’utilisateurs de Fabrikam vers les applications ou services web de Contoso.
７ Notes
Pour renforcer la sécurité, vous pouvez utiliser un serveur de fédération pour

relayer les demandes vers les serveurs de fédération qui ne sont pas directement
accessibles depuis Internet.
Dans cet exemple, Fabrikam est le fournisseur d’identité ou de compte. La partie

consacrée à Fabrikam de la conception de SSO de web fédéré utilise l’objectif de
déploiement AD FS suivant :
Fournir à vos utilisateurs Active Directory un accès aux applications et services

d’autres organisations
Contoso est le fournisseur de ressources. La partie consacrée à Contoso de la

conception de SSO de web fédéré utilise les objectifs de déploiement d’AD FS suivants :
Fournir aux utilisateurs d’une autre organisation un accès à vos applications et

services prenant en charge les revendications
Fournir à vos utilisateurs Active Directory un accès à vos applications et services

prenant en charge les revendications
Pour obtenir une liste détaillée des tâches que vous pouvez utiliser pour planifier et
déployer la conception de SSO de web fédéré, voir Checklist: Implementing a Federated
Web SSO Design.
Voir aussi
Déterminer votre topologie de
déploiement d'AD FS
La première étape de la planification d’un déploiement des services de fédération Active

Directory (AD FS) consiste à déterminer la topologie de déploiement qui répond aux
besoins d’authentification unique (SSO) de l’organisation. Les rubriques de cette section
décrivent les différentes topologies de déploiement utilisables avec AD FS. Elles
expliquent également les avantages et les limites de chaque topologie de déploiement,
ce qui vous permet de choisir la topologie la plus appropriée pour votre entreprise.
Avant de lire ces rubriques, prenez le temps d'effectuer les tâches mentionnées dans le
tableau suivant, dans l'ordre indiqué.
Tâche recommandée Description Informations

de référence
Examiner la façon dont Assimilez la finalité de la base de données de Rôle de la

les données d’AD FS configuration AD FS, ainsi que les méthodes de base de
sont stockées et réplication utilisables pour les données sous-jacentes données de
répliquées sur d’autres qui y sont stockées. Cette rubrique présente les configuration
serveurs de fédération concepts de la base de données de configuration et AD FS
dans une batterie de décrit les deux types de bases de données : Base de
serveurs de fédération. données interne Windows (WID) et Microsoft SQL
Server.
Sélectionner le type de Passez en revue les avantages et les limites de Considérations

base de données de l'utilisation de la base de données interne ou de SQL sur la
configuration AD FS à Server comme base de données de configuration topologie du
déployer dans votre AD FS, ainsi que les différents scénarios d'application déploiement
organisation. pris en charge. d’AD FS
７ Notes
Pour implémenter des fonctionnalités de redondance et d’équilibrage de charge de

base ainsi que, le cas échéant, la faculté d’étendre le service FS (Federation Service),
nous vous recommandons de déployer au moins deux serveurs de fédération par
batterie de serveurs de fédération pour tous les environnements de production,
quel que soit le type de base de données que vous envisagez d’utiliser.
Après avoir consulté le tableau précédent, passez aux rubriques suivantes de cette
section :
Serveur de fédération autonome utilisant la base de données interne Windows
Batterie de serveurs de fédération utilisant la base de données interne Windows
Batterie de serveurs de fédération utilisant la base de données interne Windows et

des proxys
Batterie de serveurs de fédération utilisant SQL Server
Une fois que vous avez choisi une topologie de déploiement d’AD FS, nous vous
recommandons de consulter la rubrique Planification de la capacité des serveurs AD FS
pour déterminer le nombre de serveurs à déployer dans le cadre de cette topologie.
Voir aussi
Considérations sur la topologie du
Cette rubrique décrit des considérations importantes relatives à la planification et à la

conception de la topologie de déploiement de services de fédération Active Directory
(AD FS) appropriée à votre environnement de production. Elle constitue une base pour
examiner et évaluer les considérations qui influent sur la disponibilité des fonctionnalités
ou capacités après le déploiement AD FS. Par exemple, le type de base de données que
vous choisissez pour stocker la base de données de configuration AD FS détermine si
vous pouvez implémenter certaines fonctionnalités SAML (Security Assertion Markup
Language) qui nécessitent SQL Server.
Détermination du type de base de données de

configuration AD FS à utiliser
Le service AD FS utilise une base de données pour stocker la configuration et, dans
certains cas, les données transactionnelles liées au service de fédération. Vous pouvez
utiliser le logiciel AD FS pour sélectionner soit la base de données interne Windows
(WID) intégrée, soit Microsoft SQL Server 2005 ou une version ultérieure, pour stocker
les données dans le service de fédération.
En règle générale, les deux types de base de données sont relativement équivalents.
Toutefois, vous devez prendre connaissance de certaines différences avant de vous
pencher sur les diverses topologies de déploiement que vous pouvez utiliser avec le
service AD FS. Le tableau suivant décrit les fonctionnalités et indique si elles sont prises
en charge dans une base de données interne Windows et dans une base de données
SQL Server.
Fonctionnalités AD FS
Fonctionnalité Prise en Prise en charge Pour en savoir

charge par par SQL Server ? plus sur cette
la base de fonctionnalité
données
interne
Windows ?
Fonctionnalité Prise en Prise en charge Pour en savoir
charge par par SQL Server ? plus sur cette
la base de fonctionnalité
données
interne
Windows ?
Déploiement d'une batterie de serveurs Oui, dans la Oui. Vous pouvez Déterminer
de fédération limite de déployer un votre topologie
30 serveurs nombre illimité de de déploiement
de serveurs de d’AD FS
fédération fédération dans
par pool une batterie.
Résolution des artefacts SAML Non Oui Rôle de la base

Remarque : cette fonctionnalité n’est pas de données de
requise pour Microsoft Online Services, configuration
Microsoft Office 365, Microsoft Exchange AD FS
ou Microsoft Office SharePoint.
Meilleures
pratiques pour
sécuriser la
planification et
le déploiement
d’AD FS
Détection de relecture de jetons Non Oui Rôle de la base

SAML/WS-Federation de données de
configuration
AD FS
Meilleures
pratiques pour
sécuriser la
planification et
le déploiement
d’AD FS
Fonctionnalités de base de données
Fonctionnalité Prise en Prise en Pour en

charge par charge savoir plus
la base de par SQL sur cette
données Server ? fonctionnalité
interne
Windows ?
Fonctionnalité Prise en Prise en Pour en
charge par charge savoir plus
la base de par SQL sur cette
données Server ? fonctionnalité
interne
Windows ?
Redondance de base de données simple avec Oui Non Rôle de la

réplication par réception, dans laquelle un ou plusieurs base de
serveurs hébergeant une copie en lecture seule de la données de
base de données demandent des modifications qui configuration
sont effectuées sur un serveur source hébergeant une AD FS
copie en lecture/écriture de la base de données
Redondance des bases de données à l’aide de Non Oui Rôle de la

solutions de haute disponibilité, telles que le clustering base de
de basculement ou la mise en miroir (au niveau de la données de
couche base de données uniquement) Remarque : configuration
toutes les topologies de déploiement AD FS prennent AD FS
en charge le clustering au niveau de la couche service
AD FS. Vue
d'ensemble
des solutions à
haute
disponibilité
Considérations concernant SQL Server

Vous devez prendre en compte les facteurs suivants si vous choisissez SQL Server
comme base de données de configuration pour le déploiement d'AD FS.
Fonctionnalités SAML et leur impact sur la taille et sur la croissance de la base de

données. Quand la résolution d'artefacts SAML ou la détection de relecture de
jetons SAML est activée, AD FS stocke des informations dans la base de données
de configuration SQL Server pour chaque jeton AD FS émis. La croissance de la
base de données SQL Server qu'entraîne cette activité n'est pas considérée comme
significative et dépend de la période de rétention de la relecture de jetons
configurée. La taille de chaque enregistrement d'artefact est approximativement
de 30 kilo-octets (Ko).
Nombre de serveurs nécessaires pour votre déploiement. Vous devrez ajouter au

moins un serveur supplémentaire (selon le nombre total de serveurs requis pour
déployer votre infrastructure AD FS) qui agira en tant qu’hôte dédié de l’instance
de SQL Server. Si vous envisagez d'utiliser le clustering avec basculement ou la
mise en miroir pour fournir les fonctionnalités de tolérance de panne et
d'extensibilité pour la base de données de configuration SQL Server, au moins
deux serveurs SQL sont nécessaires.
Impact du type de base de données de configuration

sélectionné sur les ressources matérielles
L'impact sur les ressources matérielles d'un serveur de fédération déployé dans une
batterie utilisant la base de données interne Windows n'est pas significatif par rapport à
un serveur de fédération déployé dans une batterie utilisant la base de données
SQL Server. Toutefois, gardez à l'esprit que quand vous utilisez la base de données
interne Windows pour la batterie, chaque serveur de fédération appartenant à celle-ci
doit stocker et gérer les changements de réplication pour sa copie locale de la base de
données de configuration AD FS tout en effectuant les opérations normales nécessaires
au service de fédération.
À l'opposé, les serveurs de fédération déployés dans une batterie qui utilise la base de
données SQL Server ne contiennent pas nécessairement une instance locale de la base
de données de configuration AD FS. Ils sont donc susceptibles de solliciter un peu moins
les ressources matérielles.
Vérification que votre environnement de

production peut prendre en charge un
Outre les serveurs de fédération que vous déploierez, et selon la configuration de votre
environnement de production existant, les serveurs supplémentaires suivants peuvent
être requis pour permettre à l’infrastructure nécessaire de prendre en charge votre
nouveau déploiement AD FS :
Contrôleur de domaine Active Directory
Autorité de certification
Serveur web destiné à héberger les métadonnées de fédération
Équilibrage de la charge réseau
Voir aussi
Serveur de fédération autonome
utilisant la base de données interne
Windows
Un serveur de fédération autonome dans Services ADFS (AD FS) se compose d’un
serveur unique qui héberge un service de fédération configuré pour utiliser la Base de
données interne Windows (WID). Cette topologie AD FS est destinée aux laboratoires de
test. Nous ne le recommandons pas pour les environnements de production, car il a une
limite d’un seul serveur de fédération et ne peut pas être utilisé pour effectuer un scale-
up sur plusieurs serveurs.
Si vous souhaitez ajouter des serveurs de fédération supplémentaires à votre laboratoire

de test, vous devez reconstruire le service de fédération à partir de zéro en déployant
l’une des autres topologies mentionnées plus loin dans cette section. Par conséquent,
nous vous recommandons d’utiliser cette topologie pour un laboratoire de test ou un
environnement de preuve de concept dans votre réseau de test privé dans lequel un
serveur de fédération unique est adéquat, comme illustré dans l’illustration suivante.
Considérations relatives au laboratoire de test

Cette section décrit différentes considérations relatives à l’audience, aux avantages et
aux limitations prévus associés à cette topologie pour les environnements de laboratoire
de test.

Professionnels des technologies de l’information (TI) ou architectes informatiques
qui souhaitent évaluer ou développer une preuve de concept pour cette
technologie
topologie ?
Facile à configurer dans un environnement de laboratoire de test

topologie ?
Un seul serveur de fédération par service de fédération (aucune possibilité de
scale-up vers une batterie de serveurs)
Non redondant (il n’existe qu’une seule instance de la base de données de

configuration AD FS)
Voir aussi
Batterie de serveurs de fédération
Windows
La topologie par défaut pour Services ADFS (AD FS) est une batterie de serveurs de
fédération, utilisant le Base de données interne Windows (WID), qui se compose de cinq
serveurs de fédération maximum hébergeant le service de fédération de votre
organisation. Dans cette topologie, les services AD FS utilisent la base de données
interne Windows comme magasin pour la base de données de configuration AD FS pour
tous les serveurs de fédération membres de la batterie. La batterie réplique et maintient
les données du service de fédération de la base de données de configuration à travers
chaque serveur de la batterie.
La création du premier serveur de fédération d’une batterie consiste aussi à créer un

nouveau service de fédération. Quand vous utilisez la base de données interne Windows
(WID) comme base de données de configuration AD FS, le premier serveur de fédération
que vous créez dans la batterie est appelé serveur de fédération principal. Cela signifie
que cet ordinateur est configuré avec une copie en lecture/écriture de la base de
Tous les autres serveurs de fédération que vous configurez pour cette batterie sont
désignés comme serveurs de fédération secondaires, car ils doivent répliquer les
changements apportés sur le serveur de fédération principal dans leurs copies en lecture
seule de la base de données de configuration AD FS qu’ils stockent localement.
７ Notes
Il est recommandé d’utiliser au moins deux serveurs de fédération dans une

configuration à équilibrage de charge.

déploiement
Organisations avec 100 relations d’approbation configurées ou moins qui ont
besoin de fournir à leurs utilisateurs internes (connectés à des ordinateurs
physiquement connectés au réseau d’entreprise) un accès par authentification
unique (SSO) aux applications ou services fédérés
Organisations qui souhaitent fournir à leurs utilisateurs internes un accès SSO à

Microsoft Online Services ou Microsoft Office 365
Plus petites organisations qui ont besoin de services redondants et évolutifs
７ Notes
Les organisations avec des bases de données plus volumineuses doivent envisager
d’utiliser la batterie de serveurs de fédération à l’aide de la topologie de
déploiement SQL Server, qui est décrite plus loin dans cette section. Les
organisations dont les utilisateurs se connectent depuis l’extérieur du réseau
doivent envisager d’utiliser la topologie Batterie de serveurs de fédération
utilisant la base de données interne Windows et des proxys ou la topologie
Batterie de serveurs de fédération utilisant SQL Server.

topologie ?
Fourniture d’accès SSO aux utilisateurs internes
Redondance du service de données et de fédération (chaque serveur de fédération

réplique les modifications apportées aux autres serveurs de fédération dans la
même batterie de serveurs)
La batterie de serveurs peut être mise à l’échelle en ajoutant jusqu’à cinq serveurs
de fédération
WID incluse dans Windows, donc aucun besoin d’acheter SQL Server

topologie ?
Une batterie de serveurs WID a une limite de 30 serveurs de fédération. Pour plus
d'informations, consultez Considérations sur la topologie du déploiement d'AD FS.
Une batterie WID ne prend pas en charge la détection des relectures de jetons ni la
résolution d’artefacts (qui font partie du protocole SAML (Security Assertion
Markup Language)).

Lorsque vous êtes prêt à démarrer le déploiement de cette topologie sur votre réseau,
vous devez prévoir de placer tous les serveurs de fédération dans votre réseau
d’entreprise derrière un hôte d’équilibrage de charge réseau (NLB) pouvant être
configuré pour un cluster NLB avec un nom DNS (Domain Name System) de cluster et
une adresse IP de cluster dédiés.
７ Notes
Ce nom DNS de cluster doit correspondre au nom du service de fédération, par

exemple, fs.fabrikam.com.
L’hôte NLB peut utiliser les paramètres définis dans ce cluster NLB pour allouer les
demandes clientes aux serveurs de fédération individuels. L’illustration suivante montre
comment la société fictive Fabrikam, Inc. configure la première phase de son
déploiement à l’aide d’une batterie de serveurs de fédération comprenant deux
ordinateurs (fs1 et fs2) avec la base de données interne Windows (WID), le
positionnement d’un serveur DNS et un hôte NLB unique câblé au réseau d’entreprise.
７ Notes
En cas de défaillance sur cet hôte NLB unique, les utilisateurs ne peuvent pas
accéder aux applications ou services fédérés. Ajoutez de nouveaux hôtes NLB si vos
contraintes d’entreprise ne vous autorisent pas à avoir un seul point de défaillance.
Pour plus d’informations sur la configuration de votre environnement de mise en réseau
à utiliser avec des serveurs de fédération, consultez Configuration requise pour la
résolution des noms pour les serveurs de fédération dans le Guide de conception AD FS.
Voir aussi
Windows et des proxys
Cette topologie de déploiement pour Active Directory Federation Services (AD FS) est
identique à la batterie de serveurs de fédération avec topologie de base de données
interne Windows (WID), mais elle ajoute des proxys de serveur de fédération au réseau
de périmètre pour prendre en charge les utilisateurs externes. Les serveurs proxys de
fédération redirigent les demandes d’authentification client extérieures à votre réseau
d’entreprise vers la batterie de serveurs de fédération.

déploiement
Public cible de la topologie

Organisations dans lesquelles au maximum 100 relations d’approbation ont été
configurées et qui ont besoin de fournir à leurs utilisateurs internes et externes
(connectés à des ordinateurs situés physiquement en dehors du réseau
d’entreprise) un accès par authentification unique (SSO) aux applications ou
services fédérés
Organisations qui doivent fournir à leurs utilisateurs internes et externes un accès

SSO à Microsoft Office 365
Petites organisations qui disposent d’utilisateurs externes et ont besoin de services

redondants et scalables
Avantages de la topologie
Mêmes avantages que la topologie de batterie de serveurs de fédération utilisant
la Base de données interne Windows, ainsi que l’avantage de fournir un accès
supplémentaire aux utilisateurs externes
Limitations de la topologie
Les mêmes limitations que celles répertoriées pour la topologie Batterie de
serveurs de fédération utilisant la base de données interne Windows

Pour déployer cette topologie, en plus d’ajouter deux serveurs proxy de fédération, vous
devez vous assurer que votre réseau de périmètre peut également fournir l’accès à un
serveur DNS (Domain Name System) et à un deuxième hôte d’équilibrage de charge
réseau (NLB). Le second hôte NLB doit être configuré avec un cluster NLB qui utilise une
adresse IP de cluster accessible par Internet et doit utiliser le même nom DNS de cluster
que le précédent cluster NLB que vous avez configuré sur le réseau d’entreprise
(fs.fabrikam.com). Les serveurs proxys de fédération devraient aussi être configurés avec
des adresses IP accessibles par Internet.
L’illustration suivante montre la batterie de serveurs de fédération existante avec la

topologie WID décrite précédemment et comment la société fictive Fabrikam, Inc.,
fournit l’accès à un serveur DNS de périmètre, ajoute un deuxième hôte NLB avec le
même nom DNS de cluster (fs.fabrikam.com) et ajoute deux serveurs proxy de
fédération (fsp1 et fsp2) au réseau de périmètre.
Pour plus d’informations sur la configuration de votre environnement réseau à utiliser

avec des serveurs de fédération ou des proxys de serveur de fédération, consultez
Exigences relatives à la résolution de noms pour les serveurs de fédération ou Exigences
relatives à la résolution de noms pour les serveurs proxy de fédération.
Voir aussi
utilisant SQL Server
Cette topologie pour Active Directory Federation Services (AD FS) diffère de la batterie
de serveurs de fédération utilisant la topologie de déploiement Base de données interne
Windows (WID) en cela qu’elle ne réplique pas les données sur chaque serveur de
fédération de la batterie. Au lieu de cela, tous les serveurs de fédération de la batterie
de serveurs peuvent lire et écrire des données dans une base de données commune
stockée sur un serveur exécutant Microsoft SQL Server qui se trouve dans le réseau
d’entreprise.

déploiement

Les grandes organisations avec plus de 100 relations d’approbation qui doivent
fournir à leurs utilisateurs internes et externes un accès à l’authentification unique
(SSO) aux applications ou services fédérés
Les organisations qui utilisent déjà SQL Server et souhaitent tirer parti de leurs
outils et de leur expertise existants

topologie ?
Prise en charge d’un plus grand nombre de relations d’approbation (plus de 100)
Prise en charge de la détection de relecture de jeton (fonctionnalité de sécurité) et

de la résolution d’artefacts (dans le cadre du protocole SAML (Security Assertion
Markup Language) 2,0)
Prise en charge de tous les avantages des SQL Server, comme la mise en miroir de
bases de données, le clustering de basculement et les outils de création de
rapports et de gestion
topologie ?
Cette topologie ne fournit pas de redondance de base de données par défaut. Bien
qu’une batterie de serveurs de fédération avec topologie WID réplique
automatiquement la base de données WID sur chaque serveur de fédération de la
batterie de serveurs, la batterie de serveurs de fédération avec topologie SQL
Server contient une seule copie de la base de données
７ Notes
SQL Server prend en charge de nombreuses options de redondance des données

et des applications, notamment le clustering de basculement, la mise en miroir de
bases de données et plusieurs types de réplication de SQL Server.
Le service informatique de Microsoft utilise la mise en miroir de bases de données SQL

Server en mode de haute sécurité (synchrone) et le clustering de basculement pour
fournir une prise en charge haute disponibilité de l’instance SQL Server. La réplication
transactionnelle SQL Server (pair à pair) et de fusion n’ont pas été testées par l’équipe
produit AD FS de Microsoft. Pour plus d’informations sur SQL Server, consultez Vue
d’ensemble des solutions à haute disponibilité ou Sélection du type de réplication
approprié.
Versions SQL Server prises en charge

Les versions de SQL Server suivantes sont prises en charge avec AD FS installé avec
Windows Server 2012 :
SQL Server 2008/R2
SQL Server 2012

À l’instar de la batterie de serveurs de fédération avec topologie WID, tous les serveurs
de fédération de la batterie de serveurs sont configurés pour utiliser un nom DNS de
cluster (qui représente le nom du service de fédération) et une adresse IP de cluster
dans le cadre de la configuration du cluster d’équilibrage de charge réseau (NLB). Cela
permet à l’hôte NLB d’allouer des requêtes client aux serveurs de fédération individuels.
Les proxys de serveur de fédération peuvent être utilisés pour mettre en proxy les
demandes clientes vers la batterie de serveurs de fédération.
L’illustration suivante montre comment la société fictive Contoso Pharmaceuticals a

déployé sa batterie de serveurs de fédération avec la topologie SQL Server dans le
réseau d’entreprise. Elle montre également comment cette entreprise a configuré le
réseau de périmètre avec accès à un serveur DNS, un hôte NLB supplémentaire qui
utilise le même nom DNS de cluster (fs.contoso.com) que celui utilisé sur le cluster
d’équilibrage de charge réseau d’entreprise, et avec deux proxys de serveur de
fédération (fsp1 et fsp2).
Pour plus d’informations sur la configuration de votre environnement réseau à utiliser

avec des serveurs de fédération ou des proxys de serveur de fédération, consultez
Exigences relatives à la résolution de noms pour les serveurs de fédération ou Exigences
relatives à la résolution de noms pour les serveurs proxy de fédération.
Voir aussi
Planification de votre déploiement
Lorsque vous planifiez la collaboration entre organisations (basée sur une fédération) à
l’aide d’Active Directory Federation Services (AD FS), commencez par déterminer si votre
organisation hébergera une ressource web accessible par d’autres organisations via
Internet ou si vous fournirez l’accès à la ressource web pour les employés de votre
organisation. Ce choix affecte la façon dont vous déployez AD FS, et est fondamental
dans la planification de votre infrastructure AD FS.
７ Notes
Assurez-vous que le rôle que joue l’organisation dans l’accord de fédération est
clairement compris par toutes les parties.
Pour la conception de SSO de web fédéré, AD FS utilise des termes tels que partenaire
de compte (également appelé fournisseur d’identité dans le composant logiciel
enfichable Gestion AD FR) et partenaire de ressource (également appelé partie de
confiance dans le composant logiciel enfichable Gestion AD FS) pour différencier
l’organisation qui héberge les comptes (le partenaire de compte) de l’organisation qui
héberge les ressources web (le partenaire de ressource).
Dans la Web SSO Design, l’entreprise intervient dans les rôles de compte partenaire et
de ressource partenaire, car elle fournit à ses utilisateurs l’accès aux applications.
Les rubriques suivantes expliquent certains concepts de l’organisation partenaire AD FS.

Elles comprennent également des liens vers des rubriques du Guide de déploiement
AD FS qui contiennent des informations sur la définition et la configuration des
organisations partenaires de compte et des organisations partenaires de ressource en
fonction de vos objectifs de déploiement AD FS.

Meilleures pratiques pour sécuriser la planification et le déploiement d’AD FS
Planification de l’interopérabilité avec AD FS 1.x
Quand utiliser la délégation d’identité
Déploiement des services AD FS dans l’organisation du partenaire de compte

Déploiement des services de fédération Active Directory (AD FS) dans
l’organisation partenaire de ressource
Voir aussi
Utilisation de revendications AD DS avec
les services AD FS
Vous pouvez bénéficier d’un contrôle d’accès plus approfondi pour les applications
fédérées à l’aide de revendications d’utilisateur et d’appareil émises par Active Directory
Domain Services (AD DS) grâce à Active Directory Domain Services (AD FS).
À propos du contrôle d’accès dynamique

Dans Windows Server® 2012, la fonctionnalité de contrôle d’accès dynamique permet
aux organisations d’accorder l’accès aux fichiers en fonction des revendications de
l’utilisateur (générées par les attributs du compte d’utilisateur) et des revendications de
l’appareil (générées par les attributs du compte d’ordinateur) émises par Active
Directory Domain Services (AD DS). Les revendications émises par AD DS sont intégrées
à l’authentification intégrée Windows via le protocole d’authentification Kerberos.
Pour plus d'informations sur le contrôle d'accès dynamique, voir Feuille de route du
contenu du contrôle d’accès dynamique.
Nouveautés d’AD FS
En tant qu’extension au scénario de contrôle d’accès dynamique, AD FS dans Windows
Server 2012 peut désormais :
Accéder aux attributs de compte d’ordinateur en plus des attributs de compte

d’utilisateur depuis AD DS. Dans les versions précédentes d’AD FS, le service de
fédération ne pouvait pas accéder aux attributs de compte d’ordinateur depuis
AD DS.
Consommer les revendications d’utilisateur ou d’appareil émises par AD DS qui

résident dans un ticket d’authentification Kerberos. Dans les versions précédentes
d’AD FS, le moteur de revendications pouvait lire les ID de sécurité des utilisateurs
et des groupes (SID) à partir de Kerberos, mais pas les informations sur les
revendications contenues dans un ticket Kerberos.
Transformer les revendications d’utilisateur ou d’appareil émises par AD DS en

jetons SAML que les applications de confiance peuvent utiliser pour effectuer un
contrôle d’accès plus approfondi.
Avantages de l’utilisation de revendications
AD DS avec les services AD FS
Ces revendications émises par AD DS peuvent être insérées dans des tickets
d’authentification Kerberos et utilisées avec AD FS pour offrir les avantages suivants :
Les organisations qui nécessitent des stratégies de contrôle d’accès plus

approfondies peuvent activer l’accès basé sur les revendications aux applications et
aux ressources à l’aide de revendications émises par AD DS basées sur les valeurs
d’attribut stockées dans AD DS pour un compte d’utilisateur ou d’ordinateur
donné. Les administrateurs peuvent ainsi réduire la surcharge supplémentaire
associée à la création et à la gestion :
Groupes de sécurité AD DS qui seraient autrement utilisés pour contrôler l’accès
aux applications et aux ressources accessibles via l’authentification intégrée
Windows.
Les approbations de forêt qui seraient autrement utilisées pour contrôler l’accès
aux applications et ressources accessibles à l’entreprise (B2B) / Internet.
Les organisations peuvent désormais empêcher l’accès non autorisé aux ressources
réseau des ordinateurs clients selon qu’une valeur d’attribut de compte
d’ordinateur spécifique stockée dans AD DS (par exemple, le nom DNS d’un
ordinateur) correspond à la stratégie de contrôle d’accès de la ressource (par
exemple, un serveur de fichiers comportant des revendications) ou la stratégie de
partie de confiance (par exemple, une application web prenant en compte les
revendications). Les administrateurs peuvent ainsi définir des stratégies de contrôle
d’accès plus précises pour les ressources ou les applications qui sont :
Accessibles uniquement via l’authentification intégrée Windows.
Accessibles sur Internet via des mécanismes d’authentification AD FS. AD FS

peut être utilisé pour transformer les revendications d’appareil émises par
AD DS en revendications AD FS encapsulables dans des jetons SAML qui
peuvent être consommés par une ressource accessible par Internet ou une
application de partie de confiance.
Différences entre les revendications émises par

AD DS et par AD FS
Il existe deux facteurs de différenciation importants pour comprendre les revendications
émises par AD DS et par AD FS. Ces différences incluent :
AD DS ne peut émettre que des revendications encapsulées dans des tickets
Kerberos, et non des jetons SAML. Pour plus d’informations sur la façon dont
AD DS émet des revendications, consultez Feuille de route du contenu du contrôle
d’accès dynamique.
AD FS ne peut émettre que des revendications encapsulées dans des jetons SAML,
et non des tickets Kerberos. Pour plus d’informations sur la façon dont AD FS traite
les revendications, consultez Rôle du moteur de revendications.
Fonctionnement des revendications émises par

les services AD DS avec les services AD FS
Les revendications émises par AD DS peuvent être utilisées avec AD FS pour accéder
directement aux revendications d’utilisateur et d’appareil à partir du contexte
d’authentification de l’utilisateur, plutôt qu’en passant un appel LDAP distinct à Active
Directory. L’illustration suivante et les étapes correspondantes expliquent plus en détail
comment ce processus fonctionne pour activer le contrôle d’accès basé sur les
revendications pour le scénario de contrôle d’accès dynamique.
1. Un administrateur AD DS utilise la console du Centre d’administration Active

Directory ou les applets de commande PowerShell pour activer des objets de type
revendication spécifiques dans le schéma AD DS.
2. Un administrateur AD FS utilise la console de gestion AD FS pour créer et
configurer le fournisseur de revendications et les approbations de la partie de
confiance avec des règles de revendication directes ou de transformation.
3. Un client Windows tente d’accéder au réseau. Dans le cadre du processus

d’authentification Kerberos, le client présente son ticket d’octroi de ticket
d’utilisateur et d’ordinateur (TGT) qui ne contient pas encore de revendications, au
contrôleur de domaine. Le contrôleur de domaine recherche ensuite AD DS pour
les types de revendications activés et inclut toutes les revendications résultantes
dans le ticket Kerberos retourné.
4. Lorsque l’utilisateur/client tente d’accéder à une ressource de fichier autorisée

pour exiger les revendications, il peut accéder à la ressource car l’ID composé qui a
été exposé à partir de Kerberos comporte ces revendications.
5. Lorsque ce même client tente d’accéder à un site web ou à une application web
configurée pour l’authentification AD FS, il est redirigé vers un serveur de
fédération AD FS configuré pour l’authentification intégrée Windows. Le client
envoie une demande au contrôleur de domaine à l’aide de Kerberos. Le contrôleur
de domaine émet un ticket Kerberos contenant les revendications demandées que
le client peut ensuite présenter au serveur de fédération.
6. Selon la façon dont les règles de revendications ont été configurées sur le
fournisseur de revendications et les approbations de la partie de confiance que
l’administrateur a configuré précédemment, AD FS lit les revendications du ticket
Kerberos et les inclut dans un jeton SAML qu’il émet pour le client.
7. Le client reçoit le jeton SAML contenant les revendications correctes, puis est
redirigé vers le site web.
Pour plus d’informations sur la création des règles de revendication requises pour que
les revendications AD DS émises fonctionnent avec AD FS, consultez Créer une règle
pour transformer une revendication entrante.
Voir aussi
Meilleures pratiques pour sécuriser la
planification et le déploiement d'AD FS
Cette rubrique fournit des informations sur les meilleures pratiques qui vous aideront à
planifier et à évaluer la sécurité dans la conception de votre déploiement des services de
fédération Active Directory (AD FS). Elle constitue un point de départ pour examiner et
étudier les aspects qui influent sur la sécurité globale de l’utilisation d’AD FS. Les
informations qu’elle contient sont destinées à compléter et à étendre vos meilleures
pratiques en matière de planification de la sécurité et de conception.
Meilleures pratiques principales en matière de

sécurité pour AD FS
Les meilleures pratiques de base suivantes concernent toutes les installations d’AD FS
dont la sécurité de la conception ou du déploiement doit être améliorée ou étendue :
Sécurisation d’AD FS en tant que système de « niveau 0 » :
En raison de sa nature de système d’authentification, AD FS doit être traité comme

un système de « niveau 0 », comme les autres systèmes d’identité de votre réseau.
Pour plus d’informations, consultez Modèle de niveau d’administration
Active Directory.
Utilisez l'Assistant Configuration de la sécurité pour appliquer les meilleures

pratiques de sécurité propres à AD FS aux serveurs de fédération et aux
ordinateurs serveurs proxy de fédération.
L’outil Assistant Configuration de la sécurité est préinstallé sur tous les ordinateurs
Windows Server 2008, Windows Server 2008 R2 et Windows Server 2012. Vous
pouvez l'utiliser pour appliquer des meilleures pratiques de sécurité qui
permettent de réduire la surface d'attaque d'un serveur, en fonction des rôles
serveurs que vous installez.
Quand vous installez AD FS, le programme d'installation crée des fichiers

d'extension de rôle, que vous pouvez utiliser avec l'Assistant Configuration de la
sécurité pour créer une stratégie de sécurité à appliquer au rôle serveur AD FS
(serveur de fédération ou serveur proxy de fédération) que vous choisissez
pendant l'installation.
Chaque fichier d'extension de rôle installé représente le type de rôle et de sous-
rôle pour lequel chaque ordinateur est configuré. Les fichiers d’extension de rôle
suivants sont installés dans le répertoire C:WindowsADFSScw :
Farm.xml
SQLFarm.xml
StandAlone.xml
Proxy.xml (ce fichier n'est présent que si vous avez configuré l'ordinateur dans le
rôle de serveur proxy de fédération.)
Pour appliquer les extensions de rôle AD FS dans l'Assistant Configuration de la

sécurité, effectuez les étapes suivantes dans l'ordre indiqué :
1. Installez AD FS et choisissez le rôle serveur approprié pour cet ordinateur.

Pour plus d’informations, consultez Installation du service de rôle proxy FSP
(Federation Service Proxy) dans le guide de déploiement d’AD FS.
2. Inscrivez le fichier d'extension de rôle approprié à l'aide de l'outil en ligne de

commande Scwcmd. Consultez le tableau suivant pour plus d'informations
sur l'utilisation de cet outil dans le rôle pour lequel votre ordinateur est
configuré.
3. Vérifiez que la commande s’est exécutée correctement en examinant le fichier

SCWRegister_log.xml, situé dans le répertoire WindowssecurityMsscwLogs.
Vous devez effectuer toutes ces étapes sur chaque ordinateur serveur de
fédération ou serveur proxy de fédération auquel vous souhaitez appliquer des
stratégies de sécurité AD FS dans l'Assistant Configuration de la sécurité.
Le tableau suivant explique comment inscrire l'extension de rôle appropriée dans

l'Assistant Configuration de la sécurité, en fonction du rôle serveur AD FS que vous
avez choisi sur l'ordinateur sur lequel vous avez installé AD FS.
Rôle serveur AD FS Base de données de Tapez la commande suivante depuis

configuration AD FS une invite de commandes :
utilisée
Serveur de fédération Base de données scwcmd register

autonome interne Windows /kbname:ADFS2Standalone
/kbfile:"WindowsADFSscwStandAlone.xml"
Rôle serveur AD FS Base de données de Tapez la commande suivante depuis
configuration AD FS une invite de commandes :
utilisée
Serveur de fédération Base de données scwcmd register

appartenant à une interne Windows /kbname:ADFS2Standalone
batterie /kbfile:"WindowsADFSscwFarm.xml"
Serveur de fédération SQL Server scwcmd register

appartenant à une /kbname:ADFS2Standalone
batterie /kbfile:"WindowsADFSscwSQLFarm.xml"
Serveur proxy de N/A scwcmd register

fédération /kbname:ADFS2Standalone
/kbfile:"WindowsADFSscwProxy.xml"
Pour plus d'informations sur les bases de données que vous pouvez utiliser avec
AD FS, consultez Rôle de la base de données de configuration AD FS.
Utilisez la détection de réexécution de jeton dans les situations où la sécurité

constitue un problème très important, par exemple en cas de recours à des
bornes.
La détection de réexécution de jeton constitue une fonctionnalité d’AD FS
grâce à laquelle toute tentative de réexécution d’une demande de jeton effectuée
auprès du service FS (Federation Service) est détectée et se solde par l’abandon de
la demande. La détection des relectures de jetons est activée par défaut. Elle
fonctionne à la fois pour le profil passif WS-Federation et pour le profil WebSSO
SAML (Security Assertion Markup Language) et s'assure qu'un même jeton n'est
jamais réutilisé.
Quand le service de fédération démarre, il commence par créer un cache de toutes

les demandes de jeton qu'il traite. À mesure que des demandes de jeton sont
ajoutées au cache, la possibilité de détecter des tentatives de relecture d'une
demande de jeton augmente pour le service de fédération. Si vous désactivez la
détection de relectures de jetons, puis que vous décidez de la réactiver, gardez à
l'esprit que le service de fédération acceptera toujours des jetons qui ont peut-être
déjà été utilisés, ce jusqu'à ce que le système alloue au cache de relectures
suffisamment de temps pour qu'il régénère son contenu. Pour plus d’informations,
consultez l’article The Role of the AD FS Configuration Database (Rôle de la base
de données de configuration AD FS).
Utilisez le chiffrement de jetons, notamment si vous prenez en charge la

résolution d'artefacts SAML.
Le chiffrement de jetons est vivement conseillé pour accroître la sécurité et la

protection contre les attaques de l’intercepteur susceptibles de viser votre
déploiement d’AD FS. L'utilisation du chiffrement peut avoir une légère incidence
sur le débit, mais en général, elle s'effectue de manière transparente et, dans de
nombreux déploiements, les avantages procurés par une sécurité renforcée
compensent largement les pertes de performances éventuellement accusées par
les serveurs.
Pour activer le chiffrement de jetons, définissez d'abord un certificat de chiffrement

pour vos approbations de partie de confiance. Vous pouvez configurer un certificat
de chiffrement quand vous créez une approbation de partie de confiance ou
ultérieurement. Si vous souhaitez ajouter par la suite un certificat de chiffrement à
l’approbation d’une partie de confiance existante, vous pouvez définir le certificat
dans l’onglet Chiffrement des propriétés d’approbation à l’aide du composant
logiciel enfichable AD FS. Pour spécifier un certificat pour une approbation
existante à l’aide des cmdlets AD FS, utilisez le paramètre EncryptionCertificate de
la cmdlet Set-ClaimsProviderTrust ou de la cmdlet Set-RelyingPartyTrust. Pour
définir le certificat dont le service FS devra se servir pendant le déchiffrement des
jetons, employez la cmdlet Set-ADFSCertificate en spécifiant « Token-Encryption »
pour le paramètre CertificateType. Vous pouvez activer et désactiver le chiffrement
pour une approbation de partie de confiance spécifique à l'aide du paramètre
EncryptClaims de l'applet de commande Set-RelyingPartyTrust.
Utilisation de la protection étendue pour l’authentification :
Pour sécuriser vos déploiements, vous pouvez définir et utiliser la fonctionnalité de

protection étendue de l’authentification avec AD FS. Ce paramètre spécifie le
niveau de protection étendue de l’authentification pris en charge par un serveur de
fédération.
La protection étendue de l'authentification assure une protection contre les

attaques de l'intercepteur, dans lesquelles une personne malveillante intercepte les
informations d'identification d'un client et les transmet à un serveur. La protection
contre les attaques de ce type s'effectue par le biais d'un jeton de liaison de canal
qui peut être autorisé, imposé ou non imposé par le serveur quand il établit des
communications avec des clients.
Pour activer la protection étendue, utilisez le paramètre

ExtendedProtectionTokenCheck de l'applet de commande Set-ADFSProperties.
Les valeurs possibles de ce paramètre et le niveau de sécurité qu'elles fournissent
sont décrits dans le tableau suivant.
Valeur du Niveau de Paramétrage de la protection

paramètre sécurité
Valeur du Niveau de Paramétrage de la protection
paramètre sécurité
Exiger Le serveur est La protection étendue est appliquée et toujours obligatoire.

entièrement
sécurisé.
Autoriser Le serveur est La protection étendue est appliquée sur les systèmes
partiellement concernés qui ont fait l'objet d'un correctif pour prendre en
sécurisé. charge cette fonctionnalité.
Aucun Le serveur est La protection étendue n'est pas appliquée.

vulnérable.
Si vous utilisez la journalisation et le suivi, protégez la confidentialité des

informations sensibles.
Par défaut, AD FS n’expose pas d’informations d’identification personnelle, ni n’en

effectue le suivi, que ce soit directement dans le cadre du service FS ou en
fonctionnement normal. Toutefois, quand la journalisation des événements et de la
trace de débogage est activée dans AD FS, certains types de revendications et les
valeurs associées peuvent, suivant la stratégie de revendications configurée,
contenir des informations d’identification personnelle susceptibles d’être
consignées dans les journaux d’événements ou de traçage d’AD FS.
Nous vous recommandons donc vivement d’appliquer le contrôle d’accès à la

configuration d’AD FS et à ses fichiers journaux. Si vous souhaitez que ce type
d’informations demeure invisible, vous devez désactiver la journalisation ou retirer
toutes les informations d’identification personnelle et données sensibles des
journaux avant de les partager.
Les conseils suivants vous permettent d'éviter l'exposition involontaire du contenu

d'un fichier journal :
Vérifiez que les fichiers journaux d’événements et de trace d’AD FS sont

protégés par des listes de contrôle d’accès qui limitent l’accès aux seuls
administrateurs approuvés ayant besoin d’utiliser ces fichiers.
Ne copiez pas ou n'archivez pas les fichiers journaux en utilisant des extensions
de fichier ou des chemins d'accès qui peuvent être facilement fournis à l'aide
d'une demande web. Par exemple, l'extension de nom de fichier .xml n'est pas
un choix judicieux. Consultez le guide d'administration IIS (Internet Information
Services) pour obtenir la liste des extensions qui peuvent être fournies.
Si vous modifiez le chemin d'accès du fichier journal, veillez à spécifier un
chemin d'accès absolu pour l'emplacement de ce fichier, qui doit se trouver en
dehors du répertoire public de la racine virtuelle de l'hôte web afin d'empêcher
tout intervenant externe d'y accéder à l'aide d'un navigateur web.
Verrouillage logiciel de l’extranet AD FS et protection intelligente contre le

verrouillage de l’extranet AD FS :
En cas d’attaque qui se présente sous la forme de demandes d’authentification

effectuées avec des mots de passe non valides (incorrects) et transitant par le
Proxy d’application Web, le verrouillage de l’extranet AD FS vous permet de
protéger vos utilisateurs contre un verrouillage de compte AD FS. Il vous préserve
également des attaques par force brute tentant de deviner le mot de passe.
Pour plus d’informations sur le verrouillage logiciel de l’extranet pour AD FS sur

Windows Server 2012 R2, consultez Protection contre le verrouillage logiciel de
l’extranet AD FS.
Pour plus d’informations sur le verrouillage intelligent de l’extranet pour AD FS sur

Windows Server 2016, consultez Protection intelligente contre le verrouillage de
l’extranet AD FS.
Meilleures pratiques propres à SQL Server en

matière de sécurité pour AD FS
Les meilleures pratiques suivantes en matière de sécurité concernent Microsoft
SQL Server® ou la Base de données interne Windows quand ces technologies sont
utilisées pour gérer des données pendant la conception et le déploiement d’AD FS.
７ Notes
Ces recommandations étendent, mais ne remplacent pas, les conseils de sécurité

pour SQL Server. Pour plus d’informations sur la planification d’une installation
SQL Server sécurisée, consultez Considérations sur la sécurité d’une installation
SQL Server (https://go.microsoft.com/fwlink/?LinkID=139831 ).
Déployez toujours SQL Server derrière un pare-feu dans un environnement

réseau physiquement sécurisé.
Une installation SQL Server ne doit jamais être directement exposée à Internet.

Seuls les ordinateurs qui se trouvent dans votre centre de données doivent pouvoir
accéder à votre installation SQL Server prenant en charge AD FS. Pour plus
d’informations, consultez Liste de contrôle des meilleures pratiques de sécurité
(https://go.microsoft.com/fwlink/?LinkID=189229 ).
Exécutez SQL Server sous un compte de service au lieu d'utiliser les comptes de

service système par défaut intégrés.
Par défaut, SQL Server est souvent installé et configuré pour utiliser l'un des
comptes système intégrés pris en charge, tels que les comptes LocalSystem ou
NetworkService. Dans le but de renforcer la sécurité de votre installation
SQL Server pour AD FS, utilisez dans la mesure du possible un compte de service
distinct pour accéder à votre service SQL Server et activez l’authentification
Kerberos en inscrivant le nom de principal de sécurité de ce compte dans votre
déploiement Active Directory. Cela permet une authentification mutuelle entre le
client et le serveur. Si vous n'inscrivez pas le nom de principal de sécurité d'un
compte de service distinct, seul le client est authentifié, car SQL Server utilise alors
l'authentification NTLM ou Windows.
Réduisez au minimum l'exposition de SQL Server.
Activez uniquement les points de terminaison SQL Server qui sont nécessaires. Par
défaut, SQL Server fournit un point de terminaison TCP intégré unique qui ne peut
pas être supprimé. Dans le cas d’AD FS, activez ce point de terminaison TCP pour
l’authentification Kerberos. Pour passer en revue les points de terminaison TCP
actuels afin de déterminer si des ports TCP définis par l'utilisateur sont ajoutés à
une installation SQL, vous pouvez utiliser l'instruction de requête « SELECT * FROM
sys.tcp_endpoints » dans une session Transact-SQL (T-SQL). Pour plus
d’informations sur la configuration du point de terminaison SQL Server, consultez
Guide pratique : Configuration du Moteur de base de données pour écouter sur
plusieurs ports TCP (https://go.microsoft.com/fwlink/?LinkID=189231 ).
Évitez d'utiliser l'authentification SQL.
Pour que les mots de passe ne circulent pas sur votre réseau sous la forme de texte
en clair ou qu'ils ne soient pas stockés dans les paramètres de configuration,
n'utilisez l'authentification Windows qu'avec votre installation SQL Server.
L'authentification SQL Server est un mode d'authentification hérité. Nous vous
déconseillons de stocker les informations d'identification SQL (noms d'utilisateur et
mots de passe SQL) quand vous utilisez l'authentification SQL Server. Pour plus
d’informations, consultez Modes d’authentification
(https://go.microsoft.com/fwlink/?LinkID=189232 ).
Déterminez attentivement si vous devez renforcer la sécurité des canaux dans
votre installation SQL.
Même si l'authentification Kerberos est appliquée, l'interface SQL Server SSPI

(Security Support Provider Interface) ne fournit pas de sécurité de niveau canal.
Toutefois, pour les installations dans lesquelles les serveurs sont reliés de manière
sécurisée à un réseau protégé par un pare-feu, le chiffrement des communications
SQL n'est pas forcément nécessaire.
Bien que le chiffrement soit un outil précieux qui aide à garantir la sécurité, il ne
doit pas être envisagé pour toutes les données et connexions. Lorsque vous
décidez de mettre en œuvre ou non le chiffrement, tenez compte de la manière
dont les utilisateurs accèderont aux données. Si les utilisateurs accèdent aux
données via un réseau public, le chiffrement des données peut être requis pour
augmenter la sécurité. Toutefois, si l’accès aux données SQL par AD FS fait
systématiquement appel à une configuration intranet sécurisée, le chiffrement ne
s’impose peut-être pas. Toute utilisation du chiffrement doit également inclure une
stratégie de maintenance pour les mots de passe, les clés et les certificats.
Si vous pensez que des données SQL risquent d'être exposées ou altérées via votre
réseau, utilisez la sécurité du protocole Internet (IPsec) ou SSL (Secure Sockets
Layer) pour sécuriser vos connexions SQL. Toutefois, cela pourrait nuire aux
performances SQL Server et donc, dans certaines situations, à celles d’AD FS.
Concernant l’émission de jetons par exemple, les performances d’AD FS peuvent se
dégrader si cette fonctionnalité doit faire appel à des recherches d’attribut dans un
magasin d’attributs SQL. Pour éliminer le risque d'altération des données SQL, vous
pouvez privilégier une configuration dans laquelle la sécurité est concentrée sur un
périmètre clairement défini. Par exemple, une meilleure solution pour sécuriser
votre installation SQL Server consiste à la rendre inaccessible aux utilisateurs et
ordinateurs Internet, de manière à ce que seuls les utilisateurs ou les ordinateurs
appartenant à l'environnement de votre centre de données puissent y accéder.
Pour plus d’informations, consultez Chiffrement des connexions à SQL Server ou

Chiffrement SQL Server.
Configuration d’un accès sécurisé pour que toutes les recherches SQL de
données stockées SQL effectuées par AD FS passent par des procédures stockées
:
Pour améliorer l'isolation des services et des données, vous pouvez créer des
procédures stockées pour toutes les commandes de recherche dans le magasin
d'attributs. Vous pouvez créer un rôle de base de données auquel vous accordez
ensuite l'autorisation d'exécuter les procédures stockées. Attribuez à l’identité du
service Windows AD FS ce rôle de base de données. Le service Windows AD FS ne
doit pouvoir exécuter aucune instruction SQL autre que les procédures stockées
utilisées pour la recherche d’attribut. Le verrouillage de l'accès à la base de
données SQL Server de cette manière réduit le risque d'une attaque par élévation
de privilège.
Voir aussi
Planification de l’interopérabilité avec
AD FS 1.x
Les serveurs de fédération des services de fédération Active Directory (AD FS) exécutant
Windows Server® 2012 peuvent interagir avec un service de fédération AD FS 1.0
(installé avec Windows Server 2003 R2) et un service de fédération AD FS 1.1 (installé
avec Windows Server 2008 ou Windows Server 2008 R2). Toutes les combinaisons
d’interopérabilité suivantes sont pris en charge :
Tout service de fédération AD FS 1.x peut envoyer une revendication consommable

par un service de fédération AD FS dans Windows Server 2012. Pour plus
d’informations, consultez Check-list : Configuration des services AD FS pour
consommer les revendications d’AD FS 1.x.
Tout service de fédération AD FS dans Windows Server 2012 peut envoyer une
revendication compatible avec AD FS 1.x consommable par un service de
fédération AD FS 1.x. Pour plus d'informations, voir Checklist: Configuring AD FS to
Send Claims to an AD FS 1.x Federation Service.
Tout service de fédération AD FS dans Windows Server 2012 peut envoyer une
revendication compatible avec AD FS 1.x consommable par un ou plusieurs
serveurs web exécutant l’agent web prenant en charge les revendications
AD FS 1.x. Pour plus d'informations, voir Checklist: Configuring AD FS to Send
Claims to an AD FS 1.x Claims-Aware Web Agent.
７ Notes
AD FS ne prend pas en charge ni n’interagit avec l’agent web basé sur les jetons
Windows NT d’AD FS 1.x.
Une revendication compatible avec AD FS 1.x est une revendication qui peut être
envoyée par un service de fédération AD FS dans Windows Server 2012 et comprise par
un service de fédération AD FS 1.x. Afin qu’un service de fédération AD FS 1.x puisse
consommer les revendications envoyées par un service de fédération AD FS, une
revendication d’identificateur de nom (ID) doit être envoyée.
Comprendre le type de revendication

d’identificateur de nom
Le type de revendication d’identificateur de nom correspond au type de revendication
d’identité utilisé par AD FS 1.x. Il doit être utilisé lorsque vous souhaitez interagir avec
AD FS 1.x. Le type de revendication ID de nom permet à un service de fédération
AD FS 1.x ou à un agent web prenant en charge les revendications AD FS 1.x de
consommer les revendications qu’AD FS envoie dans Windows Server 2012, du moment
que ces revendications sont envoyées dans l’un des formats d’ID de nom figurant dans
le tableau suivant.
Format d’identificateur de nom URI correspondant
Adresse de messagerie AD FS 1.x http://schemas.xmlsoap.org/claims/EmailAddress
UPN de messagerie AD FS 1.x http://schemas.xmlsoap.org/claims/UPN
Nom commun http://schemas.xmlsoap.org/claims/CommonName
Groupe http://schemas.xmlsoap.org/claims/Group
Une seule revendication d’identificateur de nom ID dans le format approprié doit être
envoyée. Lorsque ce critère est rempli, plusieurs autres revendications peuvent être
envoyées, en supposant qu’elles sont conformes aux restrictions décrites dans le
tableau.
７ Notes
Un service de fédération AD FS 1.x peut uniquement interpréter les types de

revendications entrantes qui commencent par l’URI (Uniform Resource Identifier)
http://schemas.xmlsoap.org/claims/ .
Voir aussi
Quand utiliser la délégation d’identité
Qu’est-ce que la délégation d’identité ?

La délégation d’identité est une fonctionnalité des Services ADFS, qui permet à des
comptes spécifiés par l’administrateur d’emprunter l’identité des utilisateurs. Le compte
qui emprunte l’identité de l’utilisateur est appelé le délégué. Cette fonctionnalité de
délégation est essentielle pour de nombreuses applications distribuées pour lesquelles
une série de vérifications de contrôle d’accès doit être effectuée de façon séquentielle
pour chaque application, base de données ou service qui se trouve dans la chaîne
d’autorisation de la demande d’origine. Dans de nombreux scénarios réels, le « front-
end » d’une application web doit récupérer des données à partir d’un système «
principal » plus sécurisé, tel qu’un service web connecté à une base de données
Microsoft SQL Server.
Par exemple, un site web de commande de pièces existant peut être amélioré par
programme afin d’autoriser les organisations partenaires à consulter leur historique
d’achat et l’état de leur compte. Pour des raisons de sécurité, toutes les données
financières des partenaires sont stockées dans une base de données sécurisée sur un
serveur SQL (Structured Query Language) dédié. Dans ce cas, le code de l’application
frontale ne sait rien sur les données financières de l’organisation partenaire. Par
conséquent, il doit récupérer ces données à partir d’un autre ordinateur situé à un autre
emplacement du réseau, qui héberge (dans ce cas) le service web pour la base de
données de pièces (principale).
Pour que ce processus de récupération de données réussisse, une série de négociations

d’autorisation doit avoir lieu entre l’application web et le service web pour la base de
données de pièces, comme indiqué dans l’illustration suivante.
Étant donné que la demande d’origine a été effectuée sur le serveur web lui-même, qui
est probablement situé dans une organisation complètement différente de celle de
l’utilisateur qui tente d’accéder au serveur web, le jeton de sécurité qui est envoyé avec
la demande ne répond pas aux critères d’autorisation requis pour accéder à un
ordinateur, au-delà du serveur web. Par conséquent, la demande d’origine de
l’utilisateur peut être satisfaite uniquement en plaçant un serveur de fédération
intermédiaire dans l’organisation partenaire de ressource pour aider à émettre à
nouveau un jeton de sécurité qui dispose des privilèges d’accès appropriés.
Fonctionnement de la délégation d’identité

Les applications web des architectures d’application intermédiaires appellent souvent
des services web pour accéder à des données ou des fonctionnalités communes. Il est
important pour ces services web de connaître l’identité de l’utilisateur d’origine afin que
le service puisse prendre des décisions d’autorisation et faciliter les audits. Dans ce cas,
l’application web frontale représente l’utilisateur en tant que délégué auprès du service
web. AD FS facilite ce scénario en permettant aux comptes Active Directory d’agir en
tant qu’utilisateur auprès d’une autre partie de confiance. Un scénario de délégation
d’identité est illustré ci-après.
1. Frank tente d’accéder à l’historique de commande de pièces à partir d’une

application web d’une autre organisation. Son ordinateur client demande et reçoit
un jeton AD FS pour l’application web de commande de pièces frontale.
2. L’ordinateur client envoie une demande à l’application web, incluant le jeton

obtenu à l’étape 1, pour prouver l’identité du client.
3. L’application web doit communiquer avec le service web pour terminer sa
transaction pour le client. L’application web contacte AD FS afin d’obtenir un jeton
de délégation pour interagir avec le service web. Les jetons de délégation sont des
jetons de sécurité émis à un délégué de sorte que ce dernier puisse agir en tant
qu’utilisateur. AD FS retourne un jeton de délégation avec des revendications
relatives au client, ciblé pour le service web.
4. L’application web utilise le jeton obtenu à partir de AD FS à l’étape 3 pour accéder

au service web qui agit en tant que client. En examinant le jeton de délégation, le
service web peut déterminer que l’application web agit en tant que client. Le
service web exécute sa stratégie d’autorisation, enregistre la demande et fournit
les données d’historique de pièces requises, initialement demandées par Frank à
l’application web, donc à Frank.
Pour un délégué particulier, AD FS peut limiter les services web pour lesquels
l’application web peut demander un jeton de délégation. L’ordinateur client ne doit pas
nécessairement posséder un compte Active Directory pour que cette opération
réussisse. Enfin, comme indiqué précédemment, le service web peut déterminer
facilement l’identité du délégué qui agit en tant qu’utilisateur. Cela permet aux services
web de présenter un comportement différent selon qu’ils s’adressent à l’ordinateur
client directement ou via un délégué.
Configuration d’AD FS pour la délégation

d’identité
Vous pouvez utiliser le composant logiciel enfichable Gestion AD FS pour configurer AD
FS pour la délégation d’identité à chaque fois que vous avez besoin de faciliter le
processus de récupération de données. Une fois configuré, AD FS peut générer de
nouveaux jetons de sécurité qui incluent le contexte d’autorisation que le service
principal peut exiger avant de fournir l’accès aux données protégées.
AD FS ne limite pas les utilisateurs dont l’identité peut être empruntée. Une fois
configuré pour la délégation d’identité, AD FS effectue les opérations suivantes :
Il détermine à quels serveurs l’autorité de demande de jetons peut être déléguée

pour emprunter l’identité d’un utilisateur.
Il établit et garde séparés le contexte d’identité pour le compte du client délégué

et le serveur qui agit en tant que délégué.
Vous pouvez configurer la délégation d’identité en ajoutant des règles d’autorisation de

délégation à l’approbation de partie de confiance dans le composant logiciel enfichable
Gestion AD FS. Pour plus d’informations sur la procédure à suivre, consultez Checklist:
Creating Claim Rules for a Relying Party Trust.
Configuration de l’application web frontale

pour la délégation d’identité
Les développeurs disposent de plusieurs options pour programmer correctement
l’application web ou le service frontal pour rediriger les demandes de délégation à un
ordinateur AD FS. Pour plus d’informations sur la personnalisation d’une application web
de sorte qu’elle fonctionne avec la délégation d’identité, consultez Kit de
développement logiciel (SDK) de Windows Identity Foundation .
Voir aussi
Déploiement des services AD FS dans
l’organisation du partenaire de compte
Un partenaire de compte dans services de fédération Active Directory (AD FS) (AD FS)
représente l’organisation dans la relation d’approbation de Fédération qui stocke
physiquement les comptes d’utilisateur dans un magasin d’attributs pris en charge. Pour
plus d’informations sur les magasins d’attributs pris en charge, consultez rôle des
magasins d’attributs.
Le serveur de Fédération dans l’organisation partenaire de compte authentifie les

utilisateurs locaux et crée des jetons de sécurité qui sont utilisés par le partenaire de
ressource pour prendre des décisions d’autorisation. Les parties de confiance, telles que
les sites Web et les services Web, sont ensuite en mesure de s’inscrire facilement auprès
du serveur de Fédération et de consommer des jetons émis pour l’authentification et le
contrôle d’accès.
Dans les scénarios dans lesquels vous devez fournir à vos utilisateurs l’accès à plusieurs
applications ou services fédérés, lorsque chaque application ou service est hébergé par
une autre organisation, vous pouvez configurer le serveur de Fédération du partenaire
de compte afin de pouvoir déployer plusieurs parties de confiance.
Pour plus d’informations sur l’installation et la configuration d’une organisation

partenaire de compte, voir Checklist: Configuring the Account Partner Organization.
Dans cette section

Passer en revue le rôle du serveur de fédération du partenaire de compte
Passer en revue le rôle du serveur proxy de fédération du partenaire de compte
Préparer les ordinateurs clients dans le partenaire de compte
Voir aussi
Revue du rôle du serveur de fédération
du partenaire de compte
Un serveur de fédération dans Services ADFS fonctionne comme un émetteur de jeton

de sécurité. Un serveur de fédération génère des revendications basées sur les valeurs
de compte qui se trouvent dans un magasin d’attributs local et les empaquette dans des
jetons de sécurité afin que les utilisateurs puissent accéder en toute transparence aux
applications basées sur un navigateur web (en utilisant l’authentification unique) qui
sont hébergées dans une organisation partenaire de ressource.
７ Notes
Lorsque des utilisateurs accèdent à des applications fédérées à l’aide d’un

navigateur web, un serveur de fédération émet automatiquement des cookies à
l’attention des utilisateurs afin de conserver leur état d’ouverture de session pour
l’application concernée. Ces cookies incluent les revendications des utilisateurs. Les
cookies activent les capacités SSO de sorte que les utilisateurs n’aient pas à entrer
des informations d’identification chaque fois qu’ils accèdent à différentes
applications basées sur un navigateur web du partenaire de ressource.
Dans la conception SSO de web, les organisations disposant d’un réseau de périmètre,
souhaitant que les utilisateurs Internet puissent accéder aux applications, doivent
installer un serveur proxy de fédération dans le réseau de périmètre. Dans une
conception SSO de web fédéré, au moins un serveur de fédération doit être installé sur
le réseau d’entreprise de l’organisation partenaire de compte et au moins un serveur de
fédération sur le réseau d’entreprise de l’organisation partenaire de ressource.
７ Notes
Avant de pouvoir configurer un ordinateur de serveur de fédération dans

l’organisation partenaire de compte, vous devez joindre l’ordinateur à un domaine
quelconque de la forêt Active Directory où le serveur de fédération sera utilisé pour
authentifier les utilisateurs de cette forêt. Pour plus d'informations, voir Checklist:
Setting Up a Federation Server.
Voir aussi
Revue du rôle du serveur proxy de
fédération du partenaire de compte
Le rôle principal du serveur proxy de fédération dans le réseau de périmètre de

l’organisation partenaire de compte dans les services de fédération Active Directory
(AD FS) consiste à collecter des informations d’identification d’authentification auprès
d’un ordinateur client qui se connecte par Internet et à passer ces informations
d’identification au serveur de fédération, qui se trouve à l’intérieur du réseau
d’entreprise de l’organisation partenaire de compte. Le compte de l’ordinateur client est
stocké dans le magasin d’attributs du partenaire de compte.
Un serveur proxy de fédération peut également fonctionner dans un ou plusieurs des

rôles suivants, selon la configuration permettant de répondre aux besoins de
l’organisation partenaire de compte :
Transmettre les jetons de sécurité : Le serveur de fédération émet un jeton de

sécurité pour le serveur proxy de fédération, qui transmet alors le jeton à
l’ordinateur client. Le jeton de sécurité est utilisé pour fournir l’accès à une partie
de confiance spécifique pour cet ordinateur client.
Collecter les informations d’identification : Le serveur proxy de fédération utilise un

formulaire web d’ouverture de session client par défaut (clientlogon.aspx) pour
collecter des informations d’identification par mot de passe par le biais d’une
authentification basée sur les formulaires. Toutefois, vous pouvez personnaliser ce
formulaire pour accepter d’autres types d’authentification pris en charge, comme
l’authentification du client Secure Sockets Layer (SSL). Pour plus d’informations sur
la manière de personnaliser cette page, consultez les pages Personnalisation de
l’ouverture de session client et Découverte de domaine d’accueil
(http://go.microsoft.com/fwlink/?LinkId=104275). Un serveur proxy de fédération
n’accepte pas des informations d’identification par le biais de l’authentification
intégrée de Windows.
En résumé, un serveur proxy de fédération dans le partenaire de compte joue le rôle de

proxy pour les ouvertures de session client sur un serveur de fédération situé dans le
réseau d’entreprise. Le serveur proxy de fédération facilite également la distribution des
jetons de sécurité aux clients Internet qui sont destinés aux parties de confiance.
Ｕ Attention
L’exposition d’un serveur proxy de fédération sur l’extranet du partenaire de
compte rendra le formulaire web d’ouverture de session client accessible à toute
personne disposant d’un accès Internet. Cela peut potentiellement exposer votre
organisation à certaines attaques de mot de passe, tels que les attaques de
dictionnaire ou les attaques en force brute qui peuvent déclencher des
verrouillages de compte pour les comptes d’utilisateur stockés dans les services AD
DS de l’entreprise.
Voir aussi
Préparer les ordinateurs clients dans le
partenaire de compte
Le moyen le plus simple pour un administrateur dans une organisation partenaire de

compte de préparer les ordinateurs clients à accéder aux applications fédérées services
de fédération Active Directory (AD FS) (AD FS) consiste à utiliser stratégie de groupe. La
stratégie de groupe permet de distribuer les certificats et les paramètres requis pour la
fédération sur tous les ordinateurs clients qui seront utilisés pour accéder aux
applications fédérées.
Afin que vos ordinateurs clients puissent accéder en toute transparence aux applications
fédérées sans invite de certificat ni invites de site de confiance, nous vous
recommandons de préparer tout d’abord chaque ordinateur client avant de déployer AD
FS de manière large dans votre organisation. Utilisez la stratégie de groupe pour
automatiquement :
Configurez Internet Explorer sur chaque ordinateur client pour faire confiance au
serveur de Fédération de comptes.
Pour plus d'informations, voir Configure Client Computers to Trust the Account
Federation Server.
Installez les certificats du serveur de Fédération de compte, du serveur de

Fédération de ressources et du serveur Web SSL (Secure Sockets Layer) (SSL)
appropriés (ou des certificats équivalents qui sont chaînés à une racine approuvée)
sur chaque ordinateur client.
Pour plus d’informations, consultez distribuer des certificats aux ordinateurs clients
à l’aide de stratégie de groupe.
Voir aussi
Déploiement des services ADFS (Active
Directory Federation Services) dans
L’organisation partenaire de ressource de services de fédération Active Directory (AD FS)

(AD FS) représente l’organisation dont les serveurs Web peuvent être protégés par un
serveur de Fédération côté ressource. Le serveur de Fédération du partenaire de
ressource utilise les jetons de sécurité produits par le partenaire de compte pour fournir
des revendications aux serveurs Web qui se trouvent dans le partenaire de ressource.
Dans les scénarios où vous devez fournir un accès à des services ou des applications
fédérés à de nombreux utilisateurs différents, lorsque certains utilisateurs résident dans
des organisations différentes, vous pouvez configurer le serveur de Fédération de
ressources afin de pouvoir déployer plusieurs partenaires de compte.
Pour plus d’informations sur l’installation et la configuration d’une organisation

partenaire de ressource, voir Checklist: Configuring the Resource Partner Organization.
Dans cette section

Passer en revue le rôle du serveur de fédération du partenaire de ressource
Passer en revue le rôle du serveur proxy de fédération du partenaire de ressource
Déterminer votre stratégie d’application fédérée dans le partenaire de ressource
Voir aussi
Revue du rôle du serveur de fédération
du partenaire de ressource
Le serveur de fédération de l’organisation du partenaire de ressource intercepte les

jetons de sécurité entrants qui sont envoyés par un serveur de fédération de compte, les
valide et les signe, puis émet ses propres jetons de sécurité destinés à l’application web.
７ Notes
Lorsque les utilisateurs fédérés utilisent leurs navigateurs web pour accéder aux
applications basées sur le web, le serveur de fédération de l’organisation partenaire
de ressource génère un nouveau cookie d’authentification et l’écrit sur le
navigateur. Ce cookie active les fonctionnalités d’authentification unique (SSO) afin
que les utilisateurs n’aient pas à se reconnecter au serveur de fédération du
partenaire de compte lorsqu’ils tentent d’accéder aux différentes applications web
du partenaire de ressource.
Dans une conception d’authentification unique web, au moins un serveur de fédération

doit être installé dans le réseau de périmètre. Dans une conception d’authentification
unique web fédérée, au moins un serveur de fédération doit être installé sur le réseau
d’entreprise de l’organisation partenaire de compte et au moins un serveur de
fédération doit être installé sur le réseau d’entreprise de l’organisation partenaire de
ressource.
７ Notes
Avant de pouvoir configurer un ordinateur serveur de fédération dans

l’organisation partenaire de ressource, vous devez d’abord joindre l’ordinateur à un
domaine Active Directory de l’organisation partenaire de ressource. Pour plus
d'informations, voir Checklist: Setting Up a Federation Server.
Voir aussi
Examiner le rôle du serveur proxy de
fédération du partenaire de ressource
Article • 11/04/2023
Un serveur proxy de fédération dans Services ADFS peut fonctionner dans un ou

plusieurs des rôles suivants, selon la manière dont vous configurez le serveur pour
répondre aux besoins de l’organisation partenaire de ressource :
Découverte du partenaire de compte : un ordinateur client Internet doit identifier

le partenaire de compte chargé de son authentification. Le client trouve le
partenaire de compte à l’aide d’un formulaire web de découverte de partenaire de
compte (discoverclientrealm.aspx), qui est stocké sur le serveur proxy de fédération
du partenaire de ressource. Si plusieurs partenaires de compte sont configurés
dans le composant logiciel enfichable de gestion AD FS, un menu déroulant
répertoriant tous les partenaires de compte disponibles visibles sur les ordinateurs
clients Internet qui accèdent au formulaire web de découverte de partenaire de
compte, s’affiche sur le client. Vous pouvez modifier la manière dont le formulaire
web de découverte de partenaire de compte est présenté aux ordinateurs clients
en personnalisant le fichier discoverclientrealm.aspx.
Redirection du jeton de sécurité : le serveur proxy de fédération du partenaire de

compte envoie les jetons de sécurité au partenaire de ressource. Le serveur proxy
de fédération de ressources accepte ces jetons et les transmet au serveur de
fédération du partenaire de ressource. Le serveur de fédération de ressources émet
ensuite un jeton de sécurité qui est lié pour un serveur web de ressources
spécifique. Le serveur proxy de fédération de ressources redirige ensuite le jeton
vers le client.
Pour résumer, un serveur proxy de fédération de ressources facilite le processus de

connexion fédérée par la redirection des ordinateurs clients vers un serveur de
fédération qui peut authentifier les clients. Un serveur proxy de fédération de ressources
sert également de proxy pour les jetons de sécurité client vers les serveurs de fédération
de ressources.
７ Notes
Lorsqu’il est nécessaire de réduire la quantité de matériel et le nombre de certificats

requis, le serveur proxy de fédération peut se trouver sur le même ordinateur que
le serveur web.
Voir aussi
Déterminez votre stratégie d’application
fédérée dans le partenaire de ressource
Une partie importante de la conception d’une nouvelle infrastructure des services de

fédération Active Directory (AD FS) dans l’organisation partenaire de ressource consiste
à déterminer l’ensemble complet des applications et services qui seront utilisés pour
participer à la fédération et les partenaires de compte qui seront les destinataires de ces
ressources. Avant de concevoir une application fédérée et une stratégie de services,
posez-vous les questions suivantes :
Envisagez-vous d’activer et de déployer une application ASP.NET ou un service

Windows Communication Foundation (WCF) pour la fédération ?
Les utilisateurs de votre réseau d’entreprise auront-ils besoin d’accéder à

l’application fédérée ou au service via l’authentification intégrée de Windows ?
Les utilisateurs de votre réseau de périmètre devront-ils utiliser l’application

fédérée ou le service ? Dans ce cas, l’authentification intégrée de Windows sera-t-
elle nécessaire ?
Tous les serveurs web hébergeant les applications hôtes fédérées exécutent-ils un
système d’exploitation Windows Server et des services Internet (IIS) ?
Qui sera le destinataire des ressources fournies par l’application fédérée ou le

service ?
La réponse à ces questions vous aidera à planifier une conception AD FS solide. Cela
vous permettra également de créer une application fédérée et une stratégie de services
rentables et efficaces en matière d’utilisation des ressources. Pour plus d’informations
sur la conception de l’application fédérée et de la stratégie de services les plus
appropriées pour votre organisation, consultez les rubriques suivantes de ce guide :
Fournir à vos utilisateurs Active Directory un accès à vos applications et services

Fournir à vos utilisateurs Active Directory un accès aux applications et services

d’autres organisations
Fournir aux utilisateurs d’une autre organisation un accès à vos applications et

services prenant en charge les revendications
Pour plus d’informations sur la création d’un service WCF et d’une application ASP.NET
prenant en charge les revendications, voir Kit de développement logiciel (SDK) de
Windows Identity Foundation .
Voir aussi
Planification de la sélection élective du
serveur de fédération
Le composant le plus critique d’un déploiement Services ADFS est le serveur de

fédération. Par conséquent, il est important de planifier votre stratégie de sélection
élective du serveur de fédération avec soin, notamment quand et où déployer les
serveurs de fédération. Les informations contenues dans les rubriques suivantes peuvent
vous aider à déterminer quand et où créer un serveur de fédération ou une batterie de
serveurs de fédération et si vous souhaitez utiliser ce serveur de fédération dans le rôle
de partenaire de compte, le rôle du partenaire de ressource ou les deux :
Passer en revue le rôle du serveur de fédération du partenaire de ressource
Quand créer un serveur de fédération
Quand créer une batterie de serveurs de fédération
Certificats requis pour les serveurs de fédération
Exigences relatives à la résolution de noms pour les serveurs de fédération
７ Notes
Bien que ces informations puissent faciliter la planification du placement des

serveurs de fédération, elles n’expliquent pas comment déterminer le nombre
approprié de serveurs de fédération et la configuration matérielle requise pour
chaque conception de AD FS.
Pour obtenir des exemples de la façon dont un serveur de fédération peut être placé
dans l’un des deux scénarios de conception AD FS principaux, consultez Mappage de
vos objectifs de déploiement à une conception AD FS.
Voir aussi
Quand créer un serveur de fédération
Lorsque vous créez un serveur de Fédération services de fédération Active Directory (AD
FS) (AD FS), vous fournissez un moyen par lequel votre organisation peut :
Impliquer une communication Web d’authentification unique (SSO) avec une autre
organisation (qui possède également au moins un serveur de Fédération) et, si
nécessaire, avec les employés de votre organisation (qui ont besoin d’un accès via
Internet).
Permettre aux services frontaux d’emprunter l’identité des utilisateurs dans les
services d’infrastructure à l’aide de la délégation d’identité. Pour plus
d'informations, voir When to Use Identity Delegation.
Les sections suivantes décrivent certaines des décisions clés permettant de déterminer
quand et où créer un ou plusieurs serveurs de Fédération.
Déterminer le rôle organisationnel du serveur

de fédération
Pour prendre une décision informée concernant le moment de la création d’un serveur
de Fédération, vous devez d’abord déterminer l’organisation dans laquelle le serveur
résidera. Le rôle joué par un serveur de Fédération dans une organisation varie selon
que vous placez le serveur de Fédération dans l’organisation partenaire de compte ou
dans l’organisation partenaire de ressource.
Lorsqu’un serveur de Fédération est placé dans le réseau d’entreprise du partenaire de

compte, son rôle consiste à authentifier les informations d’identification de l’utilisateur
des clients du navigateur, du service Web ou du sélecteur d’identité et à envoyer des
jetons de sécurité aux clients. Pour plus d'informations, voir Review the Role of the
Federation Server in the Account Partner.
Lorsqu’un serveur de Fédération est placé dans le réseau d’entreprise du partenaire de

ressource, son rôle consiste à authentifier les utilisateurs, en fonction d’un jeton de
sécurité émis par un serveur de Fédération dans l’organisation partenaire de ressource,
ou son rôle à rediriger les demandes de jeton à partir d’applications Web ou de services
Web configurés vers l’organisation partenaire de compte à laquelle le client appartient.
Pour plus d'informations, voir Review the Role of the Federation Server in the Resource
Partner.
Déterminer la conception AD FS à déployer
Vous créez des serveurs de Fédération dans votre organisation chaque fois que vous
souhaitez déployer l’une des conceptions de AD FS suivantes :
Conception SSO web
Conception SSO de web fédéré
Si nécessaire, une organisation qui déploie une conception SSO de Web fédéré peut
configurer un serveur de Fédération unique pour qu’il agisse à la fois dans le rôle de
partenaire de compte et dans le rôle de partenaire de ressource. Dans ce cas, le serveur
de Fédération peut produire des jetons Security Assertion Markup Language (SAML), en
fonction des comptes d’utilisateur de sa propre organisation, ou rediriger les demandes
de jeton vers l’organisation, en fonction de l’endroit où résident les comptes des
utilisateurs.
７ Notes
Pour la conception SSO de Web fédéré, il doit y avoir au moins un serveur de

Fédération dans le partenaire de compte et au moins un serveur de Fédération
dans le partenaire de ressource.
Différences entre un serveur de fédération et

un serveur proxy de fédération
Un serveur de Fédération peut traiter des pages Web pour la connexion, la stratégie,
l’authentification et la découverte de la même façon qu’un serveur proxy de Fédération.
Les principales différences entre un serveur de Fédération et un serveur proxy de
Fédération sont liées aux opérations qu’un serveur de Fédération peut effectuer qu’un
serveur proxy de Fédération ne peut pas exécuter.
Voici les opérations que seul un serveur de Fédération peut effectuer :
Le serveur de Fédération effectue les opérations de chiffrement qui produisent le

jeton. Bien que les serveurs proxys de Fédération ne puissent pas produire de
jetons, ils peuvent être utilisés pour acheminer ou rediriger les jetons vers les
clients et, le cas échéant, vers le serveur de Fédération. Pour plus d’informations
sur l’utilisation des serveurs de Fédération, consultez quand créer un serveur proxy
de Fédération.
les serveurs de fédération prennent en charge l’utilisation de l’authentification
Windows intégrée pour les clients sur le réseau d’entreprise ; les serveurs proxys
de fédération ne le sont pas. pour plus d’informations sur l’utilisation de Windows
l’authentification intégrée avec le serveur de fédération, consultez quand créer une
batterie de serveurs de fédération.
Ｕ Attention
L’intégrité et la confidentialité de la communication entre les serveurs de fédération

et les bases de données de configuration SQL Server, les magasins d’attributs SQL
Server, les contrôleurs de domaine et les instances AD LDS ne sont pas protégées
par défaut. Pour atténuer le risque, envisagez de protéger le canal de
communication entre ces serveurs à l’aide d’IPsec ou en utilisant une connexion
sécurisée physiquement entre tous ces serveurs. Pour la communication entre les
serveurs de fédération et SQL Server, envisagez d’utiliser la protection SSL dans la
chaîne de connexion. Pour les connexions entre les serveurs de fédération et les
contrôleurs de domaine, envisagez d’activer la signature et le chiffrement
Kerberos. Pour LDAP, LDAP/S n’est pas pris en charge pour AD LDS/AD DS.
Comment créer un serveur de fédération

Vous pouvez créer un serveur de Fédération à l’aide de l’Assistant Configuration du
serveur de fédération AD FS ou de l’outil de ligne de commande Fsconfig.exe. Quand
vous utilisez l’un de ces outils, vous pouvez choisir l’une des options suivantes pour
créer un serveur de fédération.
Créer un serveur de fédération autonome
Pour plus d’informations sur la façon de configurer un serveur de fédération

autonome, consultez Create a Stand-Alone Federation Server.
Créer le premier serveur de fédération dans une batterie de serveurs de fédération
Pour plus d’informations sur la façon de configurer le premier serveur de

fédération ou d’ajouter un serveur de fédération à une batterie de serveurs,
consultez Create the First Federation Server in a Federation Server Farm.
Ajouter un serveur de fédération à une batterie de serveurs de fédération
Pour plus d’informations sur la façon d’ajouter un serveur de fédération à une

batterie de serveurs, consultez Add a Federation Server to a Federation Server
Farm.
Pour obtenir des informations plus détaillées sur le fonctionnement de chacune de ces
options, consultez The Role of the AD FS Configuration Database.
Pour plus d’informations sur la configuration générale requise pour déployer un serveur
de fédération, consultez Checklist: Setting Up a Federation Server.
Voir aussi
La méthode de sécurité conseillée consiste à placer les serveurs de fédération des

services ADFS derrière un pare-feu et à les connecter à votre réseau d'entreprise pour
empêcher l'exposition depuis Internet. Cela est important, car les serveurs de fédération
ont toute autorité pour octroyer des jetons de sécurité. Par conséquent, ils doivent avoir
le même niveau de protection qu’un contrôleur de domaine. Si un serveur de fédération
est compromis, un utilisateur malveillant a la possibilité d’émettre des jetons d’accès
complet à toutes les applications web et à tous les serveurs de fédération qui sont
protégés par Services AD FS dans toutes les organisations partenaires de ressource.
７ Notes
Pour une sécurité optimale, veillez à ce que vos serveurs de fédération ne soient
pas directement accessibles sur Internet. N’autorisez vos serveurs de fédération à
accéder directement à Internet que lorsque vous configurez un environnement de
test ou que votre organisation ne dispose pas d’un réseau de périmètre.
Pour les réseaux d'entreprise types, un pare-feu avec accès par intranet est établi entre
le réseau de l'entreprise et le réseau de périmètre, et un pare-feu avec accès par Internet
est souvent établi entre le réseau de périmètre et Internet. Dans cette situation, le
serveur de fédération réside à l’intérieur du réseau de l’entreprise et n’est pas
directement accessible par les clients Internet.
７ Notes
Les ordinateurs clients qui sont connectés au réseau de l’entreprise peuvent

communiquer directement avec le serveur de fédération via l’authentification
intégrée Windows.
Un serveur proxy de fédération doit être placé dans le réseau de périmètre avant de
configurer vos serveurs pare-feu pour une utilisation avec AD FS. Pour plus
d’informations, consultez l’article Where to Place a Federation Server Proxy (Où placer
un serveur proxy de fédération).
Configuration de vos serveurs pare-feu pour un

Pour que les serveurs de fédération puissent communiquer directement avec les
serveurs proxy de fédération, le serveur de pare-feu intranet doit être configuré pour
autoriser le trafic HTTPS (Secure Hypertext Transfer Protocol) entre le serveur proxy de
fédération et le serveur de fédération. Cette opération est nécessaire, car le serveur
pare-feu d’intranet doit publier le serveur de fédération via le port 443 afin que le
serveur proxy de fédération de réseau de périmètre puisse accéder au serveur de
fédération.
En outre, le serveur pare-feu d’intranet (par exemple, un serveur exécutant Internet

Security and Acceleration Server) utilise un processus appelé publication de serveur,
pour distribuer des demandes du client Internet aux serveurs de fédération d’entreprise
appropriés. Cela signifie que vous devez créer manuellement sur le serveur intranet
exécutant Internet Security and Acceleration Server, une règle qui publie l’URL du
serveur de fédération en cluster, par exemple, http://fs.fabrikam.com.
Pour plus d'informations sur la configuration de la publication de serveur dans un

réseau de périmètre, consultez Where to Place a Federation Server Proxy. Pour plus
d'informations sur la configuration d’Internet Security and Acceleration Server pour
publier un serveur, consultez Create a secure Web publishing rule.
Voir aussi
Création d’une batterie de serveurs de
fédération
Envisagez de créer une batterie de serveurs de fédération dans Services ADFS en cas de
déploiement plus important AD FS et si vous souhaitez offrir au service de fédération de
votre organisation une tolérance, un équilibrage de charge ou une évolutivité par
défaut. Le fait de créer deux ou plusieurs serveurs de fédération dans le même réseau,
de configurer chacun d’eux afin qu’ils utilisent le même service de fédération et
d’ajouter la clé publique de chaque certificat de signature de jetons au composant
logiciel enfichable de gestion AD FS, a pour effet de créer une batterie de serveurs de
fédération.
Vous pouvez créer une batterie de serveurs de fédération ou installer des serveurs de
fédération supplémentaires dans une batterie existante à l’aide de l’Assistant
Configuration du serveur de fédération AD FS. Pour plus d'informations, voir When to
Create a Federation Server.
７ Notes
Lorsque vous choisissez de créer une nouvelle batterie de serveurs de fédération à

l’aide de l’Assistant Configuration du serveur de fédération AD FS, ce dernier tente
de créer un objet conteneur (pour le partage de certificats) dans Active Directory.
Par conséquent, il est important de commencer par se connecter à l’ordinateur lors
de la configuration du rôle de serveur de fédération à l’aide d’un compte disposant
des autorisations suffisantes dans Active Directory pour créer cet objet conteneur.
Avant que les serveurs de fédération puissent être regroupés comme une batterie de
serveurs, ils doivent tout d’abord être mis en cluster afin que les demandes arrivant à un
nom de domaine complet unique (FQDN) soient acheminées vers les différents serveurs
de fédération de la batterie de serveurs. Vous pouvez créer le cluster de serveurs en
déployant l’équilibrage de la charge réseau (NLB) à l’intérieur du réseau d’entreprise. Ce
guide suppose que l’équilibrage de la charge réseau ait été correctement configuré pour
mettre en cluster chaque serveur de fédération de la batterie de serveurs.
Pour plus d’informations sur la configuration d’un FQDN du cluster à l’aide de la

technologie Microsoft NLB, voir Specifying the Cluster Parameters.
Meilleures pratiques pour le déploiement d’une
batterie de serveurs de fédération
Nous recommandons les meilleures pratiques suivantes pour déployer un serveur de
fédération dans un environnement de production :
Si vous déployez plusieurs serveurs de fédération simultanément ou si vous savez

que vous allez ajouter des serveurs à la batterie de serveurs au fil du temps,
envisagez de créer une image serveur d’un serveur de fédération existant de la
batterie de serveurs, puis de l’installer à partir de cette image lorsque vous avez
besoin de créer rapidement d’autres serveurs de fédération.
７ Notes
Si vous décidez d’utiliser la méthode d’image serveur pour déployer des

serveurs de fédération supplémentaires, vous n’êtes pas contraint d’effectuer
les tâches dans Liste de vérification : Configuration d’un serveur de
fédération chaque fois que vous souhaitez ajouter un nouveau serveur à la
batterie de serveurs.
Utilisez l’équilibrage de la charge réseau ou une autre forme de clustering pour

allouer une adresse IP unique à plusieurs ordinateurs de serveur de fédération.
Réservez une adresse IP statique pour chaque serveur de fédération de la batterie

de serveurs et, selon votre configuration DNS (Domain Name System), insérez une
exclusion pour chaque adresse IP dans Dynamic Host Configuration Protocol
(DHCP). La technologie d’équilibrage de la charge réseau Microsoft nécessite que
chaque serveur participant au cluster NLB soit affecté une adresse IP statique.
Si la base de données de configuration AD FS est stockée dans une base de

données SQL, évitez de modifier cette dernière à partir de plusieurs serveurs de
fédération simultanément.
Configuration de serveurs de fédération d’une

batterie de serveurs
Le tableau suivant décrit les tâches qui doivent être effectuées pour que chaque serveur
de fédération puisse participer à un environnement de batterie de serveurs.
Tâche Description
Tâche Description
Si vous Une batterie de serveurs de fédération est composée de deux ou plusieurs

utilisez SQL serveurs de fédération qui partagent la même configuration base de données de
Server pour configuration AD FS et les mêmes certificats de signature de jetons. La base de
stocker la données de configuration peut être stockée dans une base de données interne
base de Windows ou une base de données SQL Server. Si vous envisagez de stocker la
données de base de données de configuration dans une base de données SQL, assurez-vous
configuration que la base de données de configuration est accessible à tous les nouveaux
AD FS serveurs de fédération participant à la batterie de serveurs. Note : Pour les
scénarios de batterie de serveurs, il est important que la base de données de
configuration se trouve sur un ordinateur qui ne participe pas comme serveur de
fédération à cette batterie de serveurs. L’équilibrage de la charge réseau
Microsoft n’autorise pas les ordinateurs participant à une batterie de serveurs à
communiquer entre eux. Note : Vérifiez que l’identité du pool d’applications AD
FS dans IIS sur chaque serveur de fédération participant à la batterie de serveurs
dispose d’un accès en lecture à la base de données de configuration.
Obtenir et Vous pouvez obtenir un seul serveur de certificat d’authentification de serveur

partager des auprès d’une autorité de certification publique (CA), par exemple, VeriSign. Vous
certificats pouvez ensuite configurer le certificat afin que tous les serveurs de fédération
partagent la même partie de clé privée du certificat. Pour plus d’informations sur
le partage du même certificat, voir Checklist: Setting Up a Federation Server.
Note :Le composant logiciel enfichable Gestion AD FS fait référence aux certificats
d'authentification serveur pour les serveurs de fédération en tant que certificats
de communication du service.
Pour plus d'informations, voir Certificate Requirements for Federation Servers.
Pointer vers Si la base de données de configuration AD FS est stockée dans une base de
la même données SQL, le nouveau serveur de fédération doit pointer vers la même
instance de instance SQL Server utilisée par d’autres serveurs de fédération de la batterie de
SQL Server serveurs afin que le nouveau serveur puisse intégrer cette dernière.
Voir aussi
Certificats requis pour les serveurs de
fédération
Dans toute conception de Services ADFS, différents certificats pour sécuriser les
communications et faciliter les authentifications de l’utilisateur entre les clients Internet
et les serveurs de fédération doivent être utilisés. Chaque serveur de fédération doit
avoir un certificat de communication du service et un certificat de signature de jetons
pour participer aux communications AD FS. Le tableau suivant décrit les types de
certificat associé au serveur de fédération.
Type de Description
certificat
Certificat de Un certificat de signature de jetons est un certificat X509. Les serveurs de

signature de fédération utilisent des paires de clés publique et privée pour signer
jetons numériquement tous les jetons de sécurité qu'ils génèrent. Cela inclut la
signature des demandes de métadonnées de fédération et de résolution
d'artefacts publiées.
Vous pouvez configurer plusieurs certificats de signature de jetons dans le
composant logiciel enfichable de gestion AD FS pour autoriser la substitution
de certificat quand un certificat est sur le point d'expirer. Par défaut, tous les
certificats répertoriés sont publiés, mais seul le certificat de signature de jetons
principal est utilisé par AD FS pour la signature des jetons. À chaque certificat
que vous sélectionnez doit correspondre une clé privée.
Pour plus d'informations, consultez Certificat de signature de jetons et Ajouter

un certificat de signature de jetons.
Certificat de Les serveurs de fédération utilisent un certificat d'authentification serveur,

communication également appelé communication du service pour la sécurité de message
du service Windows Communication Foundation (WCF). Par défaut, il s'agit du même
certificat que celui utilisé par un serveur de fédération en tant que certificat SSL
(Secure Sockets Layer) dans Internet Information Services (IIS). Note :Le
composant logiciel enfichable Gestion AD FS fait référence aux certificats
d'authentification serveur pour les serveurs de fédération en tant que certificats
de communication du service.
Pour plus d'informations, consultez Certificats de communication du service et

Définir un certificat de communication du service.
Comme le certificat de communication du service doit être approuvé par les

ordinateurs clients, nous vous recommandons d'utiliser un certificat signé par
une autorité de certification de confiance. À chaque certificat que vous
sélectionnez doit correspondre une clé privée.
Type de Description
certificat
Certificat SSL Les serveurs de fédération utilisent un certificat SSL pour sécuriser le trafic des
(Secure services web pour la communication SSL avec les clients web et avec les
Sockets Layer) serveurs proxy de fédération.
Comme le certificat SSL doit être approuvé par les ordinateurs clients, nous
vous recommandons d'utiliser un certificat signé par une autorité de
certification de confiance. À chaque certificat que vous sélectionnez doit
correspondre une clé privée.
Certificat de Ce certificat permet de déchiffrer les jetons reçus par ce serveur de fédération.
déchiffrement Vous pouvez avoir plusieurs certificats de déchiffrement. Ainsi, une fois qu'un
de jeton nouveau certificat est défini en tant que certificat de déchiffrement principal, un
serveur de fédération de ressources peut déchiffrer les jetons émis avec un
ancien certificat. Tous les certificats peuvent être utilisés pour le déchiffrement,
mais seul le certificat de déchiffrement de jeton principal est publié dans les
métadonnées de fédération. À chaque certificat que vous sélectionnez doit
correspondre une clé privée.
Pour plus d'informations, consultez Ajouter un certificat de déchiffrement de

jeton.
Vous pouvez demander et installer un certificat SSL ou un certificat de communication

du service en demandant un certificat de communication du service par le biais du
composant logiciel enfichable Microsoft Management Console (MMC) pour IIS. Pour
plus d'informations sur l’utilisation des certificat SSL, consultez IIS 7.0: Configuring
Secure Sockets Layer in IIS 7.0 et IIS 7.0: Configuring Server Certificates in IIS 7.0.
７ Notes
Dans AD FS, vous pouvez modifier le niveau de l’algorithme de hachage sécurisé

utilisé pour les signatures numériques sur SHA-1 ou SHA-256 (plus sécurisé). AD FS
ne prend pas en charge l’utilisation de certificats avec d’autres méthodes de
hachage, telles que MD5 (algorithme de hachage par défaut utilisé avec l’outil en
ligne de commande Makecert.exe). En guise de meilleure pratique pour la sécurité,
nous vous recommandons d'utiliser SHA-256 (défini par défaut) pour toutes les
signatures. Le niveau SHA-1 n'est recommandé que dans les scénarios où vous
devez interagir avec un produit qui ne prend pas en charge les communications
utilisant SHA-256, comme un produit non-Microsoft ou AD FS 1. x.
Détermination de votre stratégie d'autorité de

certification
AD FS ne nécessite pas qu'une autorité de certification émette des certificats. Toutefois,
le certificat SSL (également utilisé par défaut en tant que certificat de communication du
service) doit être approuvé par les clients AD FS. Nous vous déconseillons d'utiliser des
certificats auto-signés pour ces types de certificat.
） Important
Si des certificats SSL auto-signés sont utilisés dans un environnement de

production, un utilisateur malveillant dans l'organisation partenaire de compte peut
prendre le contrôle de chaque serveur de fédération dans l'organisation partenaire
de ressource. En effet, les certificats auto-signés sont des certificats racines. Ils
doivent être ajoutés au magasin racine de confiance d'un autre serveur de
fédération (par exemple, le serveur de fédération de ressources), ce qui rend ce
serveur vulnérable aux attaques.
Après avoir reçu un certificat d'une autorité de certification, assurez-vous que tous les
certificats sont importés dans le magasin de certificats personnels de l'ordinateur local.
Vous pouvez importer des certificats dans le magasin personnel à l'aide du composant
logiciel enfichable Certificats de la console MMC.
Au lieu d'utiliser ce composant logiciel enfichable, vous pouvez importer le certificat SSL
à l'aide du composant logiciel enfichable Gestionnaire des services Internet quand vous
affectez le certificat SSL au site web par défaut. Pour plus d'informations, consultez
Importer un certificat d'authentification serveur vers le site web par défaut.
７ Notes
Avant d'installer le logiciel AD FS sur l'ordinateur à utiliser comme serveur de

fédération, assurez-vous que les deux certificats se trouvent dans le magasin de
certificats personnels de l'ordinateur local et que le certificat SSL est affecté au site
web par défaut. Pour plus d’informations sur l’ordre des tâches requises pour
configurer un serveur de fédération, consultez Liste de vérification : Configuration
d’un serveur de fédération.
Suivant vos contraintes en termes de sécurité et de budget, déterminez attentivement,

parmi vos certificats, ceux qui seront obtenus par une autorité de certification publique
ou par une autorité de certification d'entreprise. La figure suivante montre les autorités
de certification émettrices recommandées pour un type de certificat donné. Cette
recommandation reflète une meilleure pratique en termes de sécurité et de coût.
Listes de révocation de certificats
Si des listes de révocation de certificats sont associées à l'un des certificats que vous
utilisez, le serveur détenant le certificat configuré doit pouvoir contacter le serveur qui
distribue les listes de révocation de certificats.
Voir aussi
Certificat de signature de jetons
Les serveurs de fédération nécessitent des certificats de signature de jetons pour

empêcher des personnes malveillantes de modifier ou de falsifier les jetons de sécurité
dans le but d’obtenir un accès non autorisé aux ressources fédérées. Le jumelage de clés
privées/publiques utilisé avec les certificats de signature de jeton est le mécanisme de
validation le plus important de tout partenariat fédéré, car ces clés vérifient qu’un jeton
de sécurité a été émis par un serveur de fédération partenaire valide et que le jeton n’a
pas été modifié pendant le transit.
Conditions requises pour les certificats de

signature de jetons
Un certificat de signature de jeton doit répondre aux exigences suivantes pour
fonctionner avec AD FS :
Pour qu’un certificat de signature de jeton signe avec succès un jeton de sécurité,
le certificat de signature de jeton doit contenir une clé privée.
Le compte de service AD FS doit avoir accès à la clé privée du certificat de

signature de jeton dans le magasin personnel de l’ordinateur local. Cette opération
est prise en charge par le programme d’installation. Vous pouvez également
utiliser le composant logiciel enfichable Gestion AD FS pour garantir cet accès si
vous modifiez par la suite le certificat de signature de jeton.
７ Notes
Il s’agit d’une meilleure pratique d’infrastructure de clé publique de ne pas partager

la clé privée à plusieurs fins. Par conséquent, n’utilisez pas le certificat de
communication de service que vous avez installé sur le serveur de fédération
comme certificat de signature de jeton.
Comment les certificats de signature de jeton

sont utilisés entre les partenaires
Chaque certificat de signature de jeton contient des clés privées et des clés publiques de
chiffrement utilisées pour signer numériquement (au moyen de la clé privée) un jeton de
sécurité. Plus tard, après leur réception par un serveur de fédération partenaire, ces clés
valident l’authenticité (au moyen de la clé publique) du jeton de sécurité chiffré.
Étant donné que chaque jeton de sécurité est signé numériquement par le partenaire de
compte, le partenaire de ressource peut vérifier que le jeton de sécurité a bien été émis
par le partenaire de compte et qu’il n’a pas été modifié. Les signatures numériques sont
vérifiées par la partie clé publique du certificat de signature de jeton du partenaire. Une
fois la signature vérifiée, le serveur de fédération de ressources génère son propre jeton
de sécurité pour son organisation et signe le jeton de sécurité avec son propre certificat
de signature de jeton.
Pour les environnements partenaires de fédération, lorsque le certificat de signature de

jeton a été émis par une autorité de certification, vérifiez que :
1. Les listes de révocation de certificats (CRL) du certificat sont accessibles aux parties
de confiance et aux serveurs web qui approuvent le serveur de fédération.
2. Le certificat d’autorité de certification racine est approuvé par les parties de

confiance et les serveurs web qui approuvent le serveur de fédération.
Le serveur web dans le partenaire de ressource utilise la clé publique du certificat de

signature de jeton pour vérifier que le jeton de sécurité est signé par le serveur de
fédération de ressources. Le serveur web autorise ensuite l’accès approprié au client.
Considérations relatives au déploiement des

certificats de signature de jetons
Lorsque vous déployez le premier serveur de fédération dans une nouvelle installation
AD FS, vous devez obtenir un certificat de signature de jeton et l’installer dans le
magasin de certificats personnel de l’ordinateur local sur ce serveur de fédération. Vous
pouvez obtenir un certificat de signature de jeton en demandant un certificat auprès
d’une autorité de certification d’entreprise ou d’une autorité de certification publique ou
en créant un certificat auto-signé.
Une clé privée d’un certificat de signature de jeton est partagée entre tous les
serveurs de fédération d’une batterie de serveurs.
Dans un environnement de batterie de serveurs de fédération, nous

recommandons que tous les serveurs de fédération partagent (ou réutilisent) le
même certificat de signature de jeton. Vous pouvez installer un certificat de
signature de jeton unique à partir d’une autorité de certification sur un serveur de
fédération, puis exporter la clé privée, tant que le certificat émis est marqué
comme exportable.
Comme le montre l’illustration suivante, la clé privée d’un certificat de signature de

jeton unique peut être partagée avec tous les serveurs de fédération d’une batterie
de serveurs. Cette option, par rapport à l’option « certificat de signature de jeton
unique », réduit les coûts si vous envisagez d’obtenir un certificat de signature de
jeton auprès d’une autorité de certification publique.
Pour plus d’informations sur l’installation d’un certificat lorsque vous utilisez Microsoft
Certificate Services comme autorité de certification d’entreprise, consultez IIS 7.0 :Create
a Domain Server Certificate in IIS 7.
Pour plus d’informations sur l’installation d’un certificat à partir d’une autorité de
certification publique, consultez IIS 7.0: Request an Internet Server Certificate.
Pour plus d’informations sur l’installation d’un certificat auto-signé, consultez IIS 7.0:
Create a Self-Signed Server Certificate in IIS 7.0.
Voir aussi
Certificats de communication du service
Un serveur de fédération nécessite l’utilisation de certificats de communication du

service pour les scénarios dans lesquels la sécurité des messages WCF est utilisée.
Conditions requises du certificat de

communication du service
Les certificats de communication du service doivent répondre aux exigences suivantes
pour fonctionner avec AD FS :
Le certificat de communication du service doit inclure l’extension d’utilisation

améliorée de la clé (EKU) de l’authentification du serveur.
Les listes de révocation de certificats doivent être accessibles pour tous les
certificats de la chaîne, du certificat de communication du service au certificat
d’autorité de certification racine. L’autorité de certification racine doit également
être approuvée par tous les serveurs proxy de fédération et serveurs Web qui
approuvent ce serveur de fédération.
Le nom de l’objet utilisé dans le certificat de communication du service doit

correspondre au nom du service FS (Federation Service) dans les propriétés du
service FS.
Considérations relatives au déploiement pour

les certificats de communication du service
Configurez les certificats de communication du service afin que tous les serveurs de
fédération utilisent le même certificat. Si vous déployez la conception Federated Web
Single-Sign-On (SSO), nous vous recommandons d’émettre votre certificat de
communication du service par une autorité de certification publique. Vous pouvez
demander et installer ces certificats par le biais du composant logiciel enfichable
Gestionnaire des services Internet (IIS).
Vous pouvez utiliser des certificats de communication du service auto-signés avec

succès sur les serveurs de fédération dans un environnement de laboratoire de test.
Toutefois, pour un environnement de production, nous vous recommandons d'obtenir
les certificats de communication du service auprès d'une autorité de certification
publique. Voici les raisons pour lesquelles vous ne devez pas utiliser des certificats de
communication du service auto-signés pour un déploiement en direct :
Un certificat SSL auto-signé doit être ajouté au magasin racine approuvé sur
chacun des serveurs de fédération de l’organisation partenaire de ressource. Bien
que cela ne permette pas à une personne malveillante de compromettre un
serveur de fédération de ressources, l’approbation de certificats auto-signés
augmente la surface d’attaque d’un ordinateur et peut entraîner des failles de
sécurité si le signataire du certificat n’est pas fiable.
Cela crée une mauvaise expérience utilisateur. Les clients recevront des invites
d’alerte de sécurité lorsqu’ils essaient d’accéder aux ressources fédérées qui
affichent le message suivant : « Le certificat de sécurité a été délivré par une
société à laquelle vous n’avez pas accordé votre confiance». Ce comportement est
attendu, car le certificat auto-signé n’est pas approuvé.
７ Notes
Si nécessaire, vous pouvez contourner cette condition en utilisant une

stratégie de groupe pour envoyer manuellement le certificat auto-signé au
magasin racine approuvé sur chaque ordinateur client qui tentera d’accéder à
un site AD FS.
Les autorités de certification fournissent des fonctionnalités supplémentaires

fondées sur des certificats, telles que l’archive de clé privée, le renouvellement et la
révocation, qui ne sont pas fournies par les certificats auto-signés.
Exigences relatives à la résolution de
noms pour les serveurs de fédération
Lorsque des ordinateurs clients sur le réseau d’entreprise tentent d’accéder à une
application ou un service web protégé par les services de fédération Active Directory
(AD FS), ils doivent tout d’abord s’authentifier auprès d’un serveur de fédération. Une
méthode d’authentification consiste à faire en sorte que les clients du réseau
d’entreprise accèdent à un serveur de fédération local par le biais d’une authentification
intégrée de Windows.
Configurer le système DNS d’entreprise

Pour la réussite de la résolution des noms via l’authentification intégrée de Windows sur
les serveurs de fédération locaux, le système DNS (Domain Name System) du réseau
d’entreprise du partenaire de compte doit être configuré pour un nouvel enregistrement
de ressource hôte (A) qui résout le nom d’hôte du nom de domaine complet (FQDN) du
serveur de fédération à l’adresse IP du cluster de serveurs de fédération.
L’illustration suivante présente l’accomplissement de cette tâche pour un scénario

donné. Dans ce scénario, l’équilibrage de la charge réseau Microsoft (NLB) fournit un
nom de domaine complet de cluster unique et une adresse IP de cluster unique pour
une batterie de serveurs de fédération existante.
Pour plus d’informations sur la configuration d’un nom de domaine complet de cluster
ou d’une adresse IP de cluster à l’aide de l’équilibrage de la charge réseau Microsoft,
voir Définition des paramètres de cluster.
Pour plus d’informations sur la configuration du DNS d’entreprise pour un serveur de

fédération, consultez Ajouter un enregistrement de ressource hôte (A) au DNS
d’entreprise d’un serveur de fédération.
Pour plus d’informations sur la configuration des proxys de serveur de fédération dans
le réseau de périmètre, consultez Exigences relatives à la résolution de noms pour les
serveurs proxy de fédération.
Voir aussi
Planification de la sélection élective du
serveur proxy de fédération
Après avoir réuni toutes les informations nécessaires pour concevoir votre infrastructure
AD FS et planifié votre stratégie de serveur de fédération et de serveur web, vous
pouvez planifier où et quand placer les serveurs proxys de fédération dans votre
nouvelle conception. Les informations fournies dans les rubriques suivantes peuvent
vous aider à déterminer quand et où placer un serveur proxy de fédération et s’il faut le
configurer pour le rôle de partenaire du compte ou de partenaire de ressource :
Passer en revue le rôle du serveur proxy de fédération du partenaire de ressource
Quand créer un serveur proxy de fédération
Où installer un serveur proxy de fédération
Quand créer une batterie de serveurs proxy de fédération
Certificats requis pour les serveurs proxy de fédération
Exigences relatives à la résolution de noms pour les serveurs proxy de fédération
７ Notes
Bien que ces informations puissent faciliter la planification du placement des

serveurs proxys de fédération, elles n’expliquent pas comment déterminer le
nombre approprié de serveurs proxy et la configuration matérielle requise pour
chaque conception de AD FS.
Pour obtenir des exemples de la façon dont vous pouvez placer un serveur proxy de
fédération dans l’un des deux scénarios de conception AD FS principaux, consultez
Mappage de vos objectifs de déploiement à une conception AD FS.
Voir aussi
Création d’un serveur proxy de
fédération
La création d’un serveur proxy de fédération dans votre organisation ajoute des couches
de sécurité supplémentaires à votre déploiement de Services ADFS. Envisagez de
déployer un serveur proxy de fédération dans le réseau de périmètre de votre
organisation lorsque vous souhaitez :
Empêcher les ordinateurs clients externes d’accéder directement à vos serveurs de

fédération. En déployant un serveur proxy de fédération dans votre réseau de
périmètre, vous isolez efficacement vos serveurs de fédération afin qu’ils soient
accessibles uniquement par les ordinateurs clients connectés au réseau de
l’entreprise par le biais de serveurs proxy de fédération, qui agissent au nom des
ordinateurs clients externes. Les proxies de serveurs de fédération n’ont pas accès
aux clés privées utilisées pour produire des jetons. Pour plus d’informations,
consultez l’article Where to Place a Federation Server Proxy (Où placer un serveur
proxy de fédération).
Fournir un moyen pratique pour différencier la connexion pour les utilisateurs

provenant d’Internet par opposition aux utilisateurs issus de votre réseau
d’entreprise à l’aide de l’authentification intégrée Windows. Un serveur proxy de
fédération recueille les informations d’identification ou les informations relatives à
l’accueil de domaine issues des ordinateurs clients provenant d’Internet en utilisant
les pages de connexion, de déconnexion et de découverte des fournisseurs
d’identité (homerealmdiscovery.aspx) stockées sur le serveur proxy de fédération.
En revanche, les ordinateurs clients qui proviennent du réseau d’entreprise

profitent d’une expérience différente reposant sur la configuration du serveur de
fédération. Le serveur de fédération du réseau d’entreprise est souvent configuré
pour l’authentification Windows intégrée, qui fournit une expérience de connexion
transparente pour les utilisateurs se trouvant sur le réseau d’entreprise.
Le rôle joué par un serveur proxy de fédération dans votre organisation varie selon que
vous placez le serveur proxy de fédération dans l’organisation partenaire de compte ou
l’organisation partenaire de ressource. Par exemple, lorsqu’un serveur proxy de
fédération est placé dans le réseau de périmètre du partenaire de compte, son rôle
consiste à collecter les informations d’identification utilisateur issues des clients
navigateurs. Lorsqu’un serveur proxy de fédération est placé dans le réseau de
périmètre du partenaire de ressource, il relaie les demandes de jeton de sécurité à un
serveur de fédération de ressource et génère les jetons de sécurité de l’organisation en
réponse aux jetons de sécurité qui sont fournis par ses partenaires de compte.
Pour plus d’informations, voir Review the Role of the Federation Server Proxy in the
Account Partner et Review the Role of the Federation Server Proxy in the Resource
Partner.
Comment créer un serveur proxy de

fédération ?
Vous pouvez créer un serveur proxy de fédération à l’aide de l’Assistant Configuration
de serveur proxy de fédération AD FS ou l’outil de ligne de commande Fsconfig.exe.
Pour savoir comment procéder, voir Configure a Computer for the Federation Server
Proxy Role.
Pour obtenir des informations générales sur la façon de configurer les conditions
préalables nécessaires au déploiement d’un serveur proxy de fédération, voir Checklist:
Setting Up a Federation Server Proxy.
Voir aussi
Installation d’un serveur proxy de
fédération
Vous pouvez des serveurs proxy de fédération de services de fédération Active Directory
(AD FS) dans un réseau de périmètre pour fournir une couche de protection contre les
utilisateurs malveillants pouvant provenir d’Internet. Les serveurs proxy de fédération
sont parfaits pour l’environnement de réseau de périmètre, car ils n’ont pas accès aux
clés privées utilisées pour créer des jetons. Toutefois, les serveurs proxy de fédération
peuvent acheminer de manière efficace les demandes entrantes vers les serveurs de
fédération autorisés à produire ces jetons.
Il n’est pas nécessaire de placer un serveur proxy de fédération à l’intérieur du réseau

d’entreprise pour le partenaire de compte ou de ressource car les ordinateurs clients
connectés au réseau d’entreprise peuvent communiquer directement avec le serveur de
fédération. Dans ce scénario, le serveur de fédération propose également la
fonctionnalité serveur proxy de fédération pour les ordinateurs clients provenant du
réseau d’entreprise.
Comme cela est courant avec les réseaux de périmètre, un pare-feu intranet est installé
entre le réseau de périmètre et le réseau d’entreprise, et un pare-feu Internet est
souvent mis en place entre le réseau de périmètre et Internet. Dans ce scénario, le
serveur proxy de fédération se situe entre ces deux pare-feu sur le réseau de périmètre.
Configuration de vos serveurs de pare-feu pour

un serveur proxy de fédération
Pour que le processus de redirection de serveur proxy de fédération aboutisse, tous les
serveurs de pare-feu doivent être configurés pour autoriser le trafic HTTPS (Secure
Hypertext Transfer Protocol). L'utilisation de HTTPS est nécessaire parce que les serveurs
du pare-feu doivent publier le proxy du serveur de fédération, en utilisant le port 443,
afin que le proxy du serveur de fédération dans le réseau périphérique puisse accéder
au serveur de fédération dans le réseau d'entreprise.
７ Notes
Toutes les communications vers et à partir des ordinateurs clients se produisent

également via HTTPS.
En outre, le serveur de pare-feu Internet, comme un ordinateur exécutant Microsoft
Internet Security and Acceleration (ISA) Server, utilise un processus appelé « publication
de serveur » pour distribuer les demandes de clients Internet vers les serveurs de réseau
d’entreprise et de périmètre appropriés, tels que les serveurs proxy de fédération ou les
serveurs de fédération.
Les règles de publication de serveur déterminent le fonctionnement de la publication de

serveur, qui consiste essentiellement dans le filtrage de toutes les demandes entrantes
et sortantes via l’ordinateur ISA Server. Les règles de publication serveur mettent en
correspondance les demandes clients avec les serveurs appropriés derrière l’ordinateur
ISA Server. Pour plus d'informations sur la configuration d’ISA Server pour publier un
serveur, consultez Créer une règle de publication Web sécurisée.
Dans le monde fédéré de AD FS, ces demandes clients sont généralement effectuées
auprès d’une URL spécifique, par exemple, une URL d’identificateur de serveur de
fédération telle que http://fs.fabrikam.com. Dans la mesure où les demandes client
proviennent d’Internet le serveur de pare-feu Internet doit être configuré pour publier
l’URL d’identificateur de serveur de fédération pour chaque serveur proxy de fédération
déployé dans le réseau de périmètre.
Configuration d’ISA Server pour autoriser SSL

Pour faciliter des communications AD FS sécurisées, vous devez configurer ISA Server de
manière à autoriser les communications SSL (Secure Sockets Layer) entre les éléments
suivants :
Serveurs de fédération et proxys de serveur de fédération. Un canal SSL est

requis pour toutes les communications entre les serveurs de fédération et les
proxys de serveur de fédération. Par conséquent, vous devez configurer ISA Server
de manière à autoriser une connexion SSL entre le réseau d’entreprise et le réseau
de périmètre.
Ordinateurs clients, serveurs de fédération et proxys de serveur de fédération.

Pour permettre les communications entre les ou les ordinateurs clients et les
serveurs de fédération ou entre les ordinateurs clients et les serveurs proxy de
fédération, vous pouvez placer un ordinateur exécutant ISA Server devant le
serveur de fédération ou le serveur proxy de fédération.
Si votre organisation effectue l’authentification du client SSL sur le serveur de

fédération ou le proxy du serveur de fédération, lorsque vous placez un ordinateur
exécutant ISA Server devant le serveur de fédération ou le proxy du serveur de
fédération, le serveur doit être configuré pour le passage de la connexion SSL, car
la connexion SSL doit se terminer au niveau du serveur de fédération ou du proxy
du serveur de fédération.
Si votre organisation n’effectue pas d’authentification client SSL sur le serveur de

fédération ou le serveur proxy de fédération, une autre option consiste à mettre fin
à la connexion SSL sur l’ordinateur exécutant ISA Server et à rétablir une connexion
SSL avec le serveur de fédération ou le serveur proxy de fédération.
７ Notes
Le serveur de fédération ou le serveur proxy de fédération requiert une connexion

sécurisée par SSL pour protéger le contenu du jeton de sécurité.
Voir aussi
Quand créer une batterie de serveurs
proxy de fédération
Envisagez l’installation d’autres serveurs proxy de fédération lorsque vous avez un

déploiement Services ADFS de grande taille et que vous souhaitez fournir la tolérance
aux pannes, l’équilibrage de charge et l’évolutivité à votre déploiement de proxy.
L’opération de création de deux ou plusieurs serveurs proxy de fédération dans le même
réseau de périmètre et la configuration de chacun d’eux pour protéger le même Service
de fédération AD FS crée une batterie de serveurs proxy de fédération.
Vous pouvez créer une batterie de serveurs proxy de fédération ou installer des serveurs
proxy de fédération supplémentaires dans une batterie existante à l’aide de l’Assistant
de configuration de serveur proxy de fédération AD FS. Pour plus d'informations, voir
When to Create a Federation Server Proxy.
Avant que la totalité des serveurs proxy de fédération puissent fonctionner ensemble
comme une batterie de serveurs, vous devez tout d’abord les mettre en cluster sous une
seule adresse IP et un seul nom de domaine complet DNS. Vous pouvez mettre en
cluster les serveurs en déployant l’équilibrage de charge réseau Microsoft (NLB) à
l’intérieur du réseau de périmètre. Les tâches dans le tableau suivant nécessitent NLB
pour être correctement configurées et mettre en cluster les serveurs proxy de fédération
dans la batterie de serveurs.
Pour plus d’informations sur la configuration d’un FQDN pour un cluster à l’aide de la
technologie Microsoft NLB, voir Specifying the Cluster Parameters.
Configuration des serveurs proxy de fédération

pour une batterie de serveurs
Le tableau suivant décrit les tâches qui doivent être effectuées pour que chaque serveur
proxy de fédération puisse participer à une batterie de serveurs.
Tâche Description
Tâche Description
Pointez Lorsque vous créez les serveurs proxy de fédération, vous devez taper le même nom
tous les de service de fédération dans l’Assistant de configuration de serveur proxy de
proxys de fédération AD FS pour tous les serveurs proxy de fédération qui participeront à la
la batterie batterie de serveurs. Le serveur proxy de fédération utilise l’URL qui constitue ce
de serveurs nom d’hôte DNS pour déterminer quelle instance de service de fédération AD FS
sur le contacter.
même nom Pour plus d'informations, voir Configure a Computer for the Federation Server Proxy
de service Role.
de
fédération
AD FS
Obtenir et Vous pouvez obtenir un certificat d’authentification serveur auprès d’une autorité
partager de certification publique (CA), par exemple, VeriSign, puis configurer le certificat afin
des que tous les serveurs proxy de fédération partagent la même partie de clé privée du
certificats même certificat sur le site web par défaut pour chaque serveur proxy de fédération.
Pour partager le certificat, vous devez installer le même certificat d’authentification
serveur sur le site web par défaut pour chaque serveur proxy de fédération. Pour
plus d'informations, consultez Importer un certificat d'authentification serveur vers
le site web par défaut.
Pour plus d'informations, voir Certificate Requirements for Federation Server

Proxies.
Pour plus d’informations sur l’ajout de nouveaux serveurs proxy de fédération pour créer
une batterie de serveurs proxy de fédération, consultez Liste de vérification :
Configuration d’un serveur proxy de fédération.
Voir aussi
Certificats requis pour les serveurs
Les serveurs qui s’exécutent dans le rôle de serveur proxy de fédération dans Services
ADFS doivent utiliser des certificats d’authentification de serveur SSL (Secure Sockets
Layer). Les serveurs proxy de fédération utilisent les certificats d’authentification serveur
SSL pour sécuriser les communications du trafic sur le serveur Web avec les clients web.
Les serveurs proxy de fédération sont généralement exposés à des ordinateurs sur
Internet qui ne sont pas inclus dans votre infrastructure à clé publique d’entreprise. Par
conséquent, utilisez un certificat d’authentification serveur émis par une autorité de
certification publique (tierce), comme VeriSign.
Lorsque vous disposez d’une batterie de serveurs proxy de fédération, tous les
ordinateurs de serveur proxy de fédération doivent utiliser le même certificat
d’authentification de serveur. Pour plus d'informations, voir When to Create a Federation
Server Proxy Farm.
Il est important de vérifier que le nom du sujet du certificat d’authentification serveur

correspond à la valeur de nom du Service de fédération qui est spécifiée dans le
composant logiciel enfichable de gestion AD FS. Pour rechercher cette valeur, ouvrez le
composant logiciel enfichable, cliquez avec le bouton droit sur Service, cliquez sur
Modifier les propriétés du service de fédération, et recherchez la valeur dans la zone
de texte Nom du service de fédération.
Pour plus d'informations sur l’utilisation des certificat SSL, consultez Configuring Secure
Sockets Layer in IIS 7, (http://go.microsoft.com/fwlink/?LinkID=108544)et Configuring
Server Certificates in IIS 7 (http://go.microsoft.com/fwlink/?LinkID=108545).
７ Notes
Les certificats d’authentification client ne sont pas requis pour les serveurs proxy de
fédération AD FS.
Si un certificat que vous utilisez a une liste de révocation de certificats (CRL), le serveur
avec le certificat configuré doit être en mesure de contacter le serveur qui distribue les
CRL. Le type de CRL détermine les ports qui sont utilisés.
Voir aussi
Exigences relatives à la résolution de
noms pour les serveurs proxy de
fédération
Article • 14/04/2023
Lorsque des ordinateurs clients sur Internet tentent d’accéder à une application
sécurisée par les services de fédération Active Directory (AD FS), ils doivent tout d’abord
s’authentifier auprès du serveur de fédération. Dans la plupart des cas, le serveur de
fédération n’est généralement pas accessible directement depuis Internet. Par
conséquent, les ordinateurs clients Internet doivent être redirigés de préférence vers le
serveur proxy de fédération. Vous pouvez procéder à une redirection en ajoutant les
enregistrements du système DNS (Domain Name) appropriés à la zone DNS ou aux
zones accessibles sur Internet.
La méthode que vous utilisez pour rediriger les clients Internet vers le serveur proxy de
fédération dépend de la configuration de la zone DNS de votre réseau de périmètre ou
de celle d’une zone DNS que vous contrôlez sur Internet. Les serveurs proxy de
fédération sont destinés à être utilisés dans un réseau de périmètre. Les demandes des
clients Internet sont redirigées vers les serveurs de fédération uniquement lorsque le
système DNS a été configuré correctement dans toutes les zones accessibles sur
Internet que vous contrôlez. Par conséquent, la configuration des zones accessibles sur
Internet est importante, que vous disposiez d’une zone DNS desservant uniquement le
réseau de périmètre ou d’une zone DNS desservant le réseau de périmètre et les clients
Internet.
Cette rubrique décrit les étapes que vous pouvez effectuer pour configurer la résolution
de noms lorsque vous placez un serveur proxy de fédération dans votre réseau de
périmètre. Pour déterminer les étapes à suivre, vous devez d’abord déterminer lequel
des scénarios DNS suivants correspond le mieux à l’infrastructure DNS du réseau de
périmètre de votre organisation. Ensuite, suivez les étapes de ce scénario.
Zone DNS desservant uniquement le réseau de

périmètre
Dans ce scénario, votre organisation possède une ou deux zones DNS dans le réseau de
périmètre et votre organisation ne contrôle aucune zone DNS sur Internet. La réussite
d’une résolution de noms pour un serveur proxy de fédération dans la zone DNS
desservant uniquement le scénario du réseau de périmètre repose sur le respect des
conditions suivantes :
Le serveur proxy de fédération doit avoir un paramètre dans le fichier d’hôtes, afin
de résoudre le nom de domaine complet (FQDN) de l’URL du point de terminaison
du serveur de fédération en adresse IP du serveur de fédération ou du cluster de
serveurs de fédération.
Le système DNS du réseau de périmètre du partenaire de compte doit être

configuré afin que le FQDN de l’URL du point de terminaison du serveur de
fédération soit résolu en adresse IP du serveur proxy de fédération.
L’illustration suivante et les étapes correspondantes montrent la réalisation de chacune

de ces conditions pour un exemple donné. Dans cette illustration, la technologie
d’équilibrage de la charge réseau Microsoft (NLB) fournit un FQDN unique de cluster, et
une adresse IP unique de cluster pour une batterie de serveurs de fédération existante.
Pour plus d’informations sur la configuration d’un FQDN de cluster ou d’une adresse IP
de cluster avec l’équilibrage de la charge réseau, voir Définition des paramètres de
cluster.
1. Configurer le fichier hôtes sur le serveur proxy de

fédération
Le DNS du réseau de périmètre est configuré pour faire correspondre toutes les
demandes de fs.fabrikam.com au serveur proxy de fédération de comptes, c’est
pourquoi le serveur de fédération de partenaires de comptes comporte une entrée dans
son fichier hôtes local pour faire correspondre fs.fabrikam.com à l’adresse IP du serveur
de fédération de comptes réel (ou au nom DNS de cluster pour la batterie de serveurs
de fédération) qui est connectée au réseau d’entreprise. Cela permet au serveur proxy
de fédération de comptes de résoudre le nom d’hôte fs.fabrikam.com en serveur de
fédération de comptes plutôt qu’en lui-même (comme cela aurait été le cas s’il avait
tenté de rechercher fs.fabrikam.com à l’aide du DNS de périmètre), afin que le serveur
proxy de fédération puisse communiquer avec le serveur de fédération.
2. Configurer le DNS de périmètre

Étant donné que les ordinateurs clients sont redirigés uniquement vers un nom d’hôte
AD FS unique, qu’ils se trouvent sur un Intranet ou sur Internet, les ordinateurs clients
sur Internet utilisant le serveur DNS de périmètre doivent résoudre le FQDN du serveur
de fédération de comptes (fs.fabrikam.com) en adresse IP du serveur proxy de
fédération de comptes sur le réseau de périmètre. Afin de pouvoir transférer les clients
vers le serveur proxy de fédération de comptes lorsqu’ils tentent de résoudre
fs.fabrikam.com, le DNS de périmètre contient une zone DNS corp.fabrikam.com limitée
avec un enregistrement de ressource hôte unique (A) pour fs (fs.fabrikam.com) et
l’adresse IP du serveur proxy de fédération de comptes sur le réseau de périmètre.
Pour plus d’informations sur la modification du fichier hosts du serveur proxy de

fédération et la configuration du DNS dans le réseau de périmètre, consultez Configurer
la résolution de noms pour un serveur proxy de fédération dans une zone DNS qui sert
uniquement le réseau de périmètre.
Zone DNS desservant le réseau de périmètre et

les clients Internet
Dans ce scénario, votre entreprise contrôle la zone DNS du réseau de périmètre et au
moins une zone DNS sur Internet. La réussite de la résolution de noms d’un serveur
proxy de fédération dans ce scénario repose sur le respect des conditions suivantes :
Le système DNS de la zone Internet du partenaire de compte doit être configuré

afin que le FQDN du nom d’hôte du serveur de fédération soit résolu en adresse IP
du serveur proxy de fédération dans le réseau de périmètre.
Le système DNS du réseau de périmètre du partenaire de compte doit être

configuré afin que le FQDN du nom d’hôte du serveur de fédération soit résolu en
adresse IP du serveur de fédération dans le réseau d’entreprise.
L’illustration suivante et les étapes correspondantes montrent la réalisation de chacune

de ces conditions pour un exemple donné.
1. Configurer le DNS de périmètre

Pour ce scénario, dans la mesure où l’on suppose que vous allez configurer la zone DNS
Internet que vous contrôlez pour résoudre les demandes effectuées pour une URL de
point de terminaison spécifique (c’est-à-dire, fs.fabrikam.com) en serveur proxy de
fédération du réseau de périmètre, vous devez également configurer la zone du DNS de
périmètre pour transférer ces demandes vers le serveur de fédération du réseau
d’entreprise.
Afin de pouvoir transférer les clients vers le serveur de fédération de comptes lorsqu’ils
tentent de résoudre fs.fabrikam.com, le DNS de périmètre est configuré avec un
enregistrement de ressource hôte unique (A) pour fs (fs.fabrikam.com) et l’adresse IP du
serveur de fédération de comptes sur le réseau d’entreprise. Cela permet au serveur
proxy de fédération de comptes de résoudre le nom d’hôte fs.fabrikam.com en serveur
de fédération de comptes plutôt qu’en lui-même (comme cela aurait été le cas s’il avait
tenté de rechercher fs.fabrikam.com à l’aide du DNS Internet), afin que le serveur proxy
de fédération puisse communiquer avec le serveur de fédération.
2. Configurer le DNS Internet

Pour réussir la résolution de noms dans ce scénario, toutes les demandes des
ordinateurs clients sur Internet pour fs.fabrikam.com doivent être résolues par la zone
DNS Internet que vous contrôlez. Par conséquent, vous devez configurer votre zone
DNS Internet pour transmettre les demandes des clients pour fs.fabrikam.com à
l’adresse IP du serveur proxy de fédération de comptes dans le réseau de périmètre.
Pour plus d’informations sur la modification du réseau de périmètre et des zones DNS
Internet, consultez Configurer la résolution de noms pour un serveur proxy de
fédération dans une zone DNS qui sert à la fois le réseau de périmètre et les clients
Internet.
Voir aussi
Planification de la capacité des serveurs
AD FS
７ Notes
Le contenu de cette rubrique ne reflète pas des tests réels effectués sur des
serveurs exécutant Windows Server 2012. Cette rubrique sera mise à jour une fois
les tests nécessaires effectués.
La planification de la capacité pour les services de fédération Active Directory (AD FS)
consiste à prévoir les pics d'utilisation de votre service de fédération et à planifier le
déploiement de votre serveur hébergeant les AD FS ou à le faire évoluer en fonction de
ces contraintes de charge.
Cette section fournit des directives de déploiement pour les rôles serveur de fédération
et serveur proxy de fédération, et s'appuie sur des tests de laboratoire effectués par
l'équipe de produit responsable des AD FS au sein de Microsoft. Ce contenu a pour but
de vous aider à :
Estimer de près les besoins matériels liés au déploiement des AD FS pour votre
organisation, comme le nombre de serveurs hébergeant les AD FS.
Prévoir avec précision les pics de demandes de connexion attendus, planifier les
hausses et prendre les mesures nécessaires pour que votre déploiement des AD FS
puisse gérer ces pics.
Avant de poursuivre la lecture de ce contenu consacré à la planification de la capacité,

prenez le temps d'effectuer les tâches mentionnées dans les deux tableaux suivants,
dans l'ordre indiqué. Le premier tableau répertorie des tâches recommandées pour la
planification de la capacité, ainsi que des liens vers des sources d'information
complémentaires.

de référence
de référence
Présentation des Passez en revue les configurations matérielles et Annexe A :

exigences relatives au logicielles requises qui ont leur importance pour le examen de la
déploiement de déploiement d'un serveur de fédération et de serveurs configuration
serveurs proxy de proxy de fédération. requise pour
fédération et de AD FS
serveurs de fédération
hébergeant les AD FS
Sélectionner le type Avant d'utiliser les données de planification de la The Role of the
de base de données capacité fournies dans cette section, vous devez AD FS
de configuration d'abord déterminer le type de base de données de Configuration
AD FS à déployer configuration des AD FS à déployer (base de données Database;
dans votre interne Windows ou base de données SQL).
organisation Considérations
sur la
topologie du
déploiement
d’AD FS
Déterminer le type de Après avoir choisi le type de base de données de Déterminer

topologie à utiliser en configuration AD FS à utiliser dans votre déploiement, votre topologie
fonction de la base de vous devez déterminer la topologie de déploiement de
données de qui convient le mieux là où vous devrez placer des déploiement
configuration AD FS serveurs de fédération et des serveurs proxy de d’AD FS
sélectionnée fédération au sein de votre environnement de
production.
Présentation des Passez en revue les définitions des termes de Consultez la

principaux termes planification de capacité courants qui sont utilisés dans section
relatifs à la la présentation de la planification de la capacité des intitulée
planification de AD FS. Termes de la
capacité des AD FS planification de
la capacité
AD FS dans
cette rubrique.
Après avoir consulté le contenu du tableau précédent, vous pouvez effectuer les tâches
préalables indiquées dans le tableau ci-après.
Tâche préalable Description Informations

de référence
Tâche préalable Description Informations
de référence
Télécharger la feuille de calcul La feuille de calcul sur la planification de la Feuille de

sur la planification de la capacité des AD FS vous permet de déterminer calcul de la
capacité des AD FS le nombre de serveurs de fédération planification
nécessaires pour le déploiement d'une batterie de la capacité
de serveurs de fédération AD FS. Les AD FS
instructions d'utilisation de cette feuille de
calcul sont disponibles en cliquant sur le lien
fourni ci-après pour la tâche suivante.
Collecter des données sur le Ces données utilisateur permettront d'alimenter Estimer le
nombre d'utilisateurs qui la feuille de calcul sur la planification de la nombre de
auront besoin d'un accès avec capacité AD FS. serveurs de
authentification unique à fédération
l'application cible prenant en pour votre
charge les revendications et organisation
sur les pics d'utilisation
attendus qui en découleront
Feuille de calcul de Feuille de calcul de planification mise à jour Planification

planification de la capacité AD pour Windows Server 2016 de la capacité
FS pour Windows Server 2016 Windows
Server 2016
AD FS
Termes de la planification de la capacité AD FS

Le tableau suivant dresse la liste des termes importants couramment utilisés dans cette
section du Guide de conception des AD FS consacrée à la planification de la capacité.
Pour obtenir une liste plus complète des termes AD FS, consultez Présentation des
concepts AD FS clés.
Terme Définition
Utilisateurs Nombre estimé d'utilisateurs censés envoyer des demandes au service pendant une
simultanés période donnée, généralement un pic d'activité.
Utilisateurs Nombre moyen approximatif d'utilisateurs qui sont actifs sur un système, mais qui
actifs n'envoient pas nécessairement de demandes, pendant une période donnée.
Utilisateurs Nombre d'utilisateurs maximal théorique, généralement basé sur le nombre

définis d'utilisateurs pour lesquels des comptes sont définis sur le système.
Terme Définition
Demandes Nombre de demandes par seconde envoyées par les clients (dans le cas de la
par charge d'un système) ou traitées par les serveurs (dans le cas du débit d'un serveur).
seconde Cette mesure permet de planifier la capacité en processeurs et en mémoire des
serveurs.
Réactivité Mesures qui délimitent la plage de performances acceptable pour les serveurs. En
et règle générale, si la réactivité est trop basse, ou l'utilisation trop élevée, par rapport
utilisation aux valeurs cibles correspondantes, le système est considéré comme étant
cibles des surchargé et la capacité doit être renforcée.
serveurs
Base de La base de données de configuration des AD FS par défaut peut être utilisée à la
données place de SQL Server dans certains déploiements des AD FS.
interne
Windows
Environnement de configuration utilisé

pendant les tests d'AD FS
Cette section décrit l'environnement de configuration utilisé par l'équipe de produit
responsable des AD FS pour les différents tests. L'équipe a utilisé la configuration
matérielle, logicielle et réseau suivante pour recueillir les données de performance et
d'extensibilité au cours des tests du serveur de fédération :
Biprocesseur quadruple cœur 2,27 gigahertz (GHz) (8 cœurs)
16 Go de RAM
Windows Server 2008 R2 Édition Entreprise
Réseau Gigabit
７ Notes
Bien que 16 Go de RAM aient été utilisés sur le serveur de fédération pendant les
tests, une quantité de mémoire moindre, par exemple 4 Go de RAM par serveur de
fédération, peut être utilisée pour la plupart des déploiements des AD FS. Les
recommandations indiquées dans ce contenu consacré à la planification de la
capacité des AD FS, ainsi que les résultats fournis par la feuille de calcul sur la
planification de la capacité des AD FS, partent du principe que chaque serveur de
fédération utilise approximativement 4 Go de RAM pour la plupart des
environnements de production utilisant les AD FS.
L'équipe de produit a utilisé la configuration suivante pour recueillir les données de
performance et d'extensibilité relatives aux tests du serveur proxy de fédération :
Biprocesseur quadruple cœur 2,24 GHz (4 cœurs)
4 Go de RAM
Windows Server 2008 R2 Édition Entreprise
Réseau Gigabit
７ Notes
Les recommandations en termes de capacité pour les serveurs hébergeant les AD

FS peuvent varier considérablement, suivant les spécifications que vous choisissez
pour les configurations matérielle et réseau à utiliser dans un environnement
donné. À titre de référence, la configuration indiquée dans ce contenu correspond
à une valeur d'utilisation cible de 80 % sur les ordinateurs mentionnés
précédemment.
Mesurer la capacité des serveurs AD FS

En règle générale, les composants matériels qui influent sur les performances et
l'extensibilité des serveurs sont le processeur, la mémoire, le disque et les cartes réseau.
Heureusement, chacun des composants des AD FS nécessite très peu de mémoire et
d'espace disque. La connectivité réseau est une contrainte évidente. Ainsi, les tests de
charge effectués pour mesurer la capacité des serveurs de fédération et des serveurs
proxy de fédération portent sur deux aspects principaux :
Nombre de demandes AD FS maximales par seconde : nombre de demandes de

connexion traitées par seconde sur les serveurs de fédération. Cette mesure vous
permet de déterminer combien d'utilisateurs peuvent se connecter simultanément
à un serveur donné. Cette mesure, associée à la mesure de consommation du
processeur, vous donne une idée de l'impact sur les performances.
Consommation du processeur : mesure, en pourcentage, de la capacité du

processeur. Cette mesure vous permet de déterminer la charge processeur globale
en fonction du nombre de demandes de connexion entrantes par seconde.
Sources d'informations supplémentaires sur la
planification de la capacité AD FS
Une fois que vous avez effectué les tâches préalables et que vous vous êtes familiarisé
avec la terminologie et les configurations matérielles requises, vous pouvez vous
appuyer sur les sources suivantes traitant de la planification de la capacité pour
déterminer le nombre de serveurs hébergeant les AD FS à prévoir pour votre
déploiement :
Planification de la capacité des serveurs de fédération
Planification de la capacité des serveurs proxy de fédération
Voir aussi
de fédération
La planification de la capacité pour les serveurs de Fédération vous aide à estimer :
Les facteurs qui augmentent la taille de la base de données de configuration AD

FS.
La configuration matérielle requise pour chaque serveur de Fédération.
Nombre de serveurs de Fédération à placer dans chaque organisation.
Les serveurs de Fédération émettent des jetons de sécurité pour les utilisateurs. Ces
jetons sont présentés à une partie de confiance à des fins de consommation. Les
serveurs de Fédération émettent des jetons de sécurité après l’authentification d’un
utilisateur ou après la réception d’un jeton de sécurité précédemment émis par un
partenaire service FS (Federation Service). Un jeton de sécurité est demandé à un service
FS (Federation Service) lorsque les utilisateurs se connectent initialement à des
applications fédérées ou lorsque leurs jetons de sécurité expirent alors qu’ils accèdent à
des applications fédérées.
Les serveurs de Fédération sont conçus pour prendre en charge les configurations de
batterie de serveurs à haute disponibilité qui utilisent la technologie d’équilibrage de
charge réseau (NLB) Microsoft. Les serveurs de Fédération dans une configuration de
batterie de serveurs peuvent traiter les demandes indépendamment, sans accéder aux
composants de la batterie de serveurs courants pour chaque demande. Par conséquent,
il y a peu de surcharge impliquée dans la montée en charge d’un déploiement de
serveur de Fédération.
Recommandations :
Pour les déploiements stratégiques ou à haute disponibilité, nous vous

recommandons de créer une batterie de serveurs de Fédération de petite taille
dans chaque organisation partenaire, avec au moins deux serveurs de Fédération
par batterie pour fournir une tolérance de panne.
Avec la nécessité d’une haute disponibilité et la facilité de mise à l’échelle des

serveurs de Fédération, la montée en charge est la méthode recommandée pour
gérer un grand nombre de demandes par seconde pour une service FS (Federation
Service) particulière. Il est peu probable que la mise à l’échelle supérieure à la
configuration de base de ce guide produise des gains significatifs en matière de
gestion de la capacité.
Taille et croissance de la base de données de

configuration AD FS
La taille de la base de données de configuration AD FS est généralement considérée
comme petite, et la taille de la base de données n’est pas considérée comme une
préoccupation majeure dans les déploiements AD FS. La taille exacte de la base de
données de configuration AD FS peut dépendre en grande partie du nombre de
relations d’approbation et des métadonnées associées liées à l’approbation, telles que
les revendications, les règles de revendication et les paramètres de surveillance
configurés pour chaque approbation. À mesure que le nombre d’entrées d’approbations
dans la base de données de configuration augmente, le besoin d’espace disque est plus
grand.
Pour plus d’informations sur le déploiement de la base de données de configuration de

AD FS, consultez Considérations sur la topologie de déploiement AD FS.
Mémoire, UC et espace disque requis

Heureusement, la mémoire, l’UC et l’espace disque requis pour les serveurs de
Fédération sont modestes, et ils ne sont pas susceptibles d’être un facteur déterminant
en matière de prise de décision matérielle. Pour plus d’informations sur la configuration
matérielle requise, consultez l' annexe A : examen de la configuration requise pour AD
FS.
７ Notes
dans les tests qui ont été effectués par l’équipe de produit AD FS à l’aide d’une
batterie de serveurs de fédération configurée avec un SQL Server dédié pour
stocker la base de données de configuration AD FS, la charge globale sur le SQL
Server a tendance à être faible. dans un test utilisant une batterie de serveurs à
quatre fédérations qui a été configurée pour utiliser une seule SQL Server,
l’utilisation du processeur ne dépassait pas 10% en dépit du test de l’utilisation des
serveurs de fédération pour cibler l’utilisation.
Estimer le nombre de serveurs de fédération
pour votre organisation
Dans le but de rationaliser le processus de planification matérielle pour les serveurs de
Fédération, l’équipe de produit AD FS a développé le AD FS feuille de calcul de
dimensionnement de la capacité de planification. cette Excel feuille de calcul comprend
des fonctionnalités de calculatrice qui prennent en compte les données d’utilisation
attendues que vous fournissez sur les utilisateurs de votre organisation et retournent un
nombre optimal de serveurs de fédération recommandés pour votre environnement de
production AD FS.
７ Notes
Le nombre de serveurs de Fédération que cette feuille de calcul recommande est

basé sur les spécifications matérielles et réseau utilisées par l’équipe de produit AD
FS lors des tests. Par conséquent, le nombre de serveurs de Fédération
recommandés par la feuille de calcul doit être compris dans ce contexte. Pour plus
d’informations sur les spécifications utilisées pendant le test, consultez la rubrique
planification de la capacité de AD FS Server.
Utilisation de la feuille de calcul de dimensionnement de

la planification de la capacité AD FS
Lorsque vous utilisez cette feuille de calcul, vous devez sélectionner une valeur ( 40%,
60%ou 80%) qui correspond au mieux au pourcentage du nombre total d’utilisateurs
que vous prévoyez d’envoyer des demandes d’authentification à vos serveurs de
Fédération pendant les périodes d’utilisation maximale.
Ensuite, vous devez sélectionner une valeur ( 1 minute, 15 minutesou 1 heure) qui
correspond le mieux à la durée de la période d’utilisation maximale. Par exemple, vous
pouvez estimer 40% comme valeur du nombre total d’utilisateurs qui se connecteront
dans un délai de 15 minutes, ou que 60% des utilisateurs se connecteront dans une
période de 1 heure. Ensemble, ces valeurs définissent le profil de charge de pointe par
lequel vos recommandations de dimensionnement seront calculées.
Ensuite, vous devez spécifier le nombre total d’utilisateurs qui auront besoin d’un accès
à l’authentification unique à l’application cible prenant en charge les revendications,
selon que les utilisateurs sont :
connexion à Active Directory à partir d’un ordinateur local connecté physiquement
à votre réseau d’entreprise (via l’authentification intégrée Windows)
connexion à Active Directory à distance à partir d’un ordinateur qui n’est pas
physiquement connecté à votre réseau d’entreprise (par le biais d’une
authentification intégrée Windows ou d’un nom d’utilisateur et d’un mot de passe)
À partir d’une autre organisation et tente d’accéder à l’application cible prenant en

charge les revendications à partir d’un partenaire approuvé
À partir d’un fournisseur d’identité SAML 2,0 et tente d’accéder à l’application cible
Utilisation de cette feuille de calcul
Vous pouvez utiliser les étapes suivantes pour chaque instance de batterie de serveurs
de Fédération que vous prévoyez de déployer pour déterminer le nombre recommandé
de serveurs de Fédération.
1. téléchargez, puis ouvrez la feuille de calcul de dimensionnement de la planification

de la capacité de AD FS pour Windows Server 2012 R2 ou la feuille de calcul de
dimensionnement de capacité AD FS pour Windows Server 2016 .
2. Dans la cellule située à droite du au cours de la période de pic d’utilisation du

système, je m’attend à ce que ce pourcentage de mes utilisateurs authentifient la
cellule, clique sur la cellule, puis utilise les flèches de la liste déroulante pour
sélectionner le niveau d’utilisation estimé du système, soit 40%, soit 60% ou 80%
pour le déploiement.
3. Dans la cellule située à droite de la cellule dans la période de temps suivante ,

cliquez sur la cellule, puis utilisez les flèches de liste déroulante pour sélectionner
une minute, 15 minutesou 1 heure pour sélectionner la durée de la charge
maximale.
4. dans la cellule située à droite de la cellule entrer le nombre estimé d’applications

internes (telles que SharePoint (2007 ou 2010) ou applications web prenant en
charge les revendications) , tapez le nombre d’applications internes que vous allez
utiliser dans votre organisation.
5. dans la cellule située à droite de la cellule entrer le nombre estimé d’applications

en ligne (par exemple Office 365 Exchange Online, SharePoint online ou Lync
online) , tapez le nombre d’applications ou de services en ligne que vous allez
utiliser dans votre organisation.
6. Dans la cellule intitulée nombre d’utilisateurs, tapez un nombre sur chaque ligne
qui s’applique à un exemple de scénario d’application pour lequel vos utilisateurs
auront besoin d’un accès par authentification unique. Cette colonne doit contenir
le nombre d’utilisateurs définis, et non le nombre maximal d’utilisateurs par
seconde. Si les tentatives d’accès à l’application doivent d’abord passer par la page
de découverte de domaine d’hébergement, tapez Y. Si vous n’êtes pas sûr de cette
sélection, tapez o.
7. Passez en revue les valeurs recommandées suivantes qui sont fournies :
a. Pour connaître le nombre total de serveurs de Fédération recommandés,

consultez la cellule inférieure droite mise en surbrillance en gris.
b. Pour le nombre de serveurs recommandés pour chaque exemple de scénario

d’application, consultez la cellule sur la ligne mise en surbrillance en gris.
７ Notes
La valeur qui sera automatiquement calculée dans la cellule à droite de la cellule

intitulée nombre total de serveurs de Fédération recommandés au bas de la
feuille de calcul contient une formule qui ajoute une mémoire tampon
supplémentaire de 20% à la somme totale de toutes les valeurs de chacune des
lignes précédentes. La formule ajoutée à la cellule nombre total de serveurs de
Fédération recommandé est générée dans ce tampon sur le nombre total
recommandé de serveurs de Fédération déployés, afin de rendre très peu probable
que la charge globale sur la batterie de serveurs atteigne le point de saturation.
Voir aussi
La planification de la capacité pour les proxys de serveur de fédération vous aide à

estimer :
La configuration matérielle requise pour chaque proxy de serveur de fédération.
Le nombre de serveurs de fédération et de proxys de serveur de fédération à

placer dans chaque organisation.
Les proxys de serveur de fédération redirigent les jetons de sécurité d’un serveur de
fédération protégé dans le réseau d’entreprise vers des utilisateurs fédérés. L’objectif du
déploiement d’un proxy de serveur de fédération est de permettre aux utilisateurs
externes de se connecter à un serveur de fédération. Il ne signe pas de jetons ou n’écrit
pas dans les données de la base de données de configuration AD FS. Par conséquent, la
configuration matérielle requise pour le proxy du serveur de fédération est
généralement inférieure à la configuration matérielle requise pour un serveur de
fédération.
Étant donné que chaque requête adressée à un proxy de serveur de fédération génère
une demande à un serveur de fédération ou à une batterie de serveurs de fédération, la
planification de la capacité des serveurs de fédération et des proxys de serveur de
fédération doit être effectuée en parallèle.
L’estimation des connexions de pointe par seconde pour le proxy du serveur de

fédération nécessite une compréhension des modèles d’utilisation des utilisateurs
fédérés qui se connecteront via le proxy du serveur de fédération. Dans de nombreux
déploiements, les utilisateurs fédérés qui se connectent à l’aide du proxy du serveur de
fédération se trouvent sur Internet. Vous pouvez estimer les pics de connexion par
seconde en examinant les modèles d’utilisation de ces utilisateurs fédérés sur les
applications web existantes qui seront protégées par AD FS.
７ Notes
Pour les déploiements de production, nous vous recommandons d’utiliser au moins

deux proxys de serveur de fédération pour chaque instance de batterie de serveurs
de fédération que vous déployez.
Estimer le nombre de proxys de serveur de
fédération pour votre organisation
Avant de pouvoir estimer le nombre de machines proxy de serveur de fédération AD FS
requises, vous devez déterminer le nombre total de serveurs de fédération que vous
allez déployer dans votre organisation. Pour plus d’informations sur la procédure à
suivre, consultez Planification de la capacité du serveur de fédération.
Une fois que vous avez décidé du nombre de serveurs de fédération, multipliez ce
nombre de serveurs par le pourcentage de demandes d’authentification fédérées
entrantes qui seront effectuées à partir d’utilisateurs externes (situés en dehors du
réseau d’entreprise). La valeur de ce calcul vous fournit le nombre estimé de proxys de
serveur de fédération qui géreront les demandes d’authentification entrantes pour vos
utilisateurs externes.
Par exemple, si le nombre de serveurs de fédération recommandés est de 3 et que vous

vous attendez à ce que le nombre total de demandes d’authentification qui seront
effectuées à partir d’utilisateurs externes corresponde à environ 60 % du total des
demandes d’authentification fédérées, votre calcul équivaut à 1,8 (3 x 0,60), que vous
pouvez arrondir à 2. Par conséquent, dans ce cas, vous devez déployer deux machines
proxy de serveur de fédération pour prendre en charge la charge des demandes
d’authentification des utilisateurs externes pour les trois serveurs de fédération.
Dans les tests effectués par l’équipe produit AD FS, l’utilisation globale de l’UC sur
chaque proxy de serveur de fédération était significativement inférieure à l’utilisation du
processeur qui a été observée sur les serveurs de fédération pour la même batterie.
Dans un test, alors qu’un processeur de serveur de fédération indiquait qu’il était
complètement saturé, le processeur d’un proxy de serveur de fédération fournissant des
services proxy pour cette même batterie a été observé à seulement 20 % d’utilisation.
Par conséquent, nos tests ont révélé que la charge sur le processeur d’un proxy de
serveur de fédération, qui utilise des spécifications matérielles similaires comme indiqué
plus haut dans cette section, pouvait raisonnablement gérer la charge de traitement
pour environ trois serveurs de fédération.
Toutefois, à des fins de tolérance aux pannes, nous vous recommandons d’utiliser au
moins deux proxys de serveur de fédération pour chaque batterie de fédération que
vous déployez.
Voir aussi
Annexe A : examen de la configuration
requise pour AD FS
Pour que les partenaires organisationnels dans votre déploiement AD FS puissent
collaborer efficacement, vous devez vous assurer que l’infrastructure de votre réseau
d’entreprise prend en charge les exigences AD FS en termes de comptes, de résolution
de noms et de certificats. AD FS présente les conditions requises suivantes :
 Conseil
Vous trouverez d’autres liens vers des ressources AD FS dans Comprendre les
concepts AD FS clés.

La configuration matérielle minimale et recommandée suivante s’applique aux
ordinateurs du serveur de fédération et du serveur proxy de fédération.
Configuration matérielle Configuration minimale Configuration recommandée
Vitesse du processeur Cœur unique, 1 gigahertz (GHz) quadruple cœur, 2 GHz
Mémoire vive (RAM) 1 Go 4 Go
Espace disque 50 Mo 100 Mo

AD FS repose sur les fonctionnalités serveur intégrées au système d’exploitation
Windows Server® 2012.
７ Notes
Les services de rôle Service de fédération et Proxy du service de fédération ne

peuvent pas coexister sur le même ordinateur.

Les certificats jouent le rôle le plus important dans la sécurisation des communications
entre les serveurs de fédération, les serveurs proxy de fédération, les applications
prenant en charge les revendications et les clients web. La configuration requise pour les
certificats varie selon que vous configurez un ordinateur serveur de fédération ou un
ordinateur serveur proxy de fédération, comme décrit dans cette section.
Certificats des serveurs de fédération

Les serveurs de fédération ont besoin des certificats indiqués dans le tableau suivant.
Type de Description Ce que vous devez savoir avant d'effectuer le

certificat déploiement
Certificat SSL Certificat SSL Ce certificat doit être lié au site web par défaut dans
(Secure (Secure Sockets Internet Information Services (IIS) pour un serveur de
Sockets Layer) Layer) standard fédération ou un serveur proxy de fédération. Dans le cas
qui permet de d'un Serveur proxy de fédération, vous devez configurer la
sécuriser les liaison dans IIS avant d'exécuter l'Assistant Configuration
communications du serveur proxy de fédération.
entre les serveurs Recommandation : ce certificat devant être approuvé par
de fédération et les clients d'AD FS, utilisez un certificat d'authentification
les clients. serveur émis par une autorité de certification publique
(tierce), comme VeriSign. Astuce : Le nom de sujet de ce
certificat permet de représenter le nom du service de
fédération pour chaque instance d'AD FS que vous
déployez. Vous pouvez donc choisir pour tout nouveau
certificat émis par une autorité de certification un nom de
sujet qui reflète le nom de votre entreprise ou organisation
auprès des partenaires.
Certificat de Ce certificat Par défaut, le certificat SSL est utilisé en tant que certificat
communication active la sécurité de communication du service. Vous pouvez modifier ce
du service de message WCF paramétrage à l'aide de la console Gestion AD FS.
pour sécuriser les
communications
entre les serveurs
de fédération.
Certificat de Certificat X509 Le certificat de signature de jetons doit contenir une clé
signature de standard qui privée et être lié à une source digne de confiance dans le
jetons permet de signer service de fédération. Par défaut, AD FS crée un certificat
de manière auto-signé. Toutefois, vous pouvez modifier ce
sécurisée tous les paramétrage à tout moment au profit d'un certificat émis
jetons émis par le par une autorité de certification à l'aide du composant
serveur de logiciel enfichable Gestion AD FS, suivant les besoins de
fédération. votre organisation.
Type de Description Ce que vous devez savoir avant d'effectuer le
certificat déploiement
Certificat de Certificat SSL Par défaut, AD FS crée un certificat auto-signé. Toutefois,

déchiffrement standard qui vous pouvez modifier ce paramétrage à tout moment au
de jeton permet de profit d'un certificat émis par une autorité de certification à
déchiffrer les l'aide du composant logiciel enfichable Gestion AD FS,
jetons entrants suivant les besoins de votre organisation.
chiffrés par un
serveur de
fédération
partenaire. Il est
également publié
dans les
métadonnées de
fédération.
Ｕ Attention
Les certificats utilisés pour la signature de jeton et pour le déchiffrement de jeton

sont essentiels pour la stabilité du service de fédération. Comme la perte ou la
suppression non planifiée d'un certificat configuré à cette fin peut perturber le
service, vous devez sauvegarder tous les certificats de ce type.
Pour plus d'informations sur les certificats utilisés par les serveurs de fédération,
consultez Certificats requis pour les serveurs de fédération.
Certificats des serveurs proxy de fédération

Les serveurs proxy de fédération ont besoin des certificats indiqués dans le tableau
suivant.
Type de Description Ce que vous devez savoir avant d'effectuer

certificat le déploiement
Type de Description Ce que vous devez savoir avant d'effectuer
certificat le déploiement
Certificat Certificat SSL (Secure Vous devez lier ce certificat au site web par
d'authentification Sockets Layer) standard qui défaut dans Internet Information Services (IIS)
serveur permet de sécuriser les avant d'exécuter l'Assistant Configuration du
communications entre un serveur proxy de fédération AD FS.
serveur proxy de fédération Recommandation : ce certificat devant être
et les ordinateurs client approuvé par les clients d'AD FS, utilisez un
Internet. certificat d'authentification serveur émis par
une autorité de certification publique (tierce),
comme VeriSign.
Astuce : Le nom de sujet de ce certificat

permet de représenter le nom du service de
fédération pour chaque instance d'AD FS que
vous déployez. Vous pouvez donc choisir un
nom de sujet qui reflète le nom de votre
entreprise ou organisation auprès des
partenaires.
Pour plus d'informations sur les certificats utilisés par les serveurs proxy de fédération,
consultez Exigences de certificat pour les serveurs proxy de fédération.

Bien que tout navigateur web actuel doté de la fonctionnalité JavaScript puisse être
configuré en tant que client AD FS, les pages web fournies par défaut n'ont été testées
que par rapport à Internet Explorer versions 7.0, 8.0 et 9.0, Mozilla Firefox 3.0 et Safari
3.1 sur Windows. JavaScript doit être activé, et les cookies doivent être autorisés pour
que la connexion et la déconnexion via un navigateur fonctionnent correctement.
L’équipe produit AD FS chez Microsoft a testé avec succès les configurations de
navigateur et de système d’exploitation indiquées dans le tableau suivant.
Browser Windows 7 Windows Vista
Internet Explorer 7.0 X X
Internet Explorer 8.0 X X
Internet Explorer 9.0 X Non testé
FireFox 3.0 X X
Safari 3.1 X X
７ Notes
AD FS prend en charge les versions 32 bits et 64 bits de tous les navigateurs

indiqués dans le tableau ci-dessus.
Cookies
AD FS crée des cookies persistants et de session qui doivent être stockés sur les
ordinateurs clients pour fournir des fonctionnalités telles que la connexion, la
déconnexion et l'authentification unique. Le navigateur client doit donc être configuré
de manière à accepter les cookies. Les cookies utilisés pour l'authentification sont
toujours des cookies de session HTTPS (Secure Hypertext Transfer Protocol) écrits pour
le serveur d'origine. Si le navigateur client n'est pas configuré de manière à autoriser ces
cookies, AD FS ne peut pas fonctionner correctement. Les cookies persistants
permettent de conserver le fournisseur de revendications choisi par l'utilisateur. Vous
pouvez les désactiver à l'aide d'un paramètre de configuration dans le fichier de
configuration des pages de connexion AD FS.
Pour des raisons de sécurité, la prise en charge de TLS/SSL est nécessaire.

La configuration appropriée des services réseau suivants est essentielle au succès du
déploiement d'AD FS dans votre organisation.
Connectivité réseau TCP/IP

Pour que AD FS fonctionne, une connectivité réseau TCP/IP doit relier le client, un
contrôleur de domaine et les ordinateurs qui hébergent le service de fédération, le
proxy du service de fédération (quand celui-ci est utilisé) et l’Agent web AD FS.
DNS
Outre les services AD DS, le service réseau principal essentiel au fonctionnement
d’AD FS est le service DNS. Quand DNS est déployé, les utilisateurs peuvent se
connecter aux ordinateurs et autres ressources sur les réseaux IP à l'aide de noms
d'ordinateur conviviaux faciles à retenir.
Windows Server 2008 utilise DNS pour la résolution de noms plutôt que la résolution de

noms Windows Internet Name Service (WINS) NetBIOS employée dans les réseaux
Windows NT 4.0. Vous pouvez toujours utiliser WINS pour les applications qui le
nécessitent. Toutefois, AD DS et AD FS nécessitent la résolution de noms DNS.
La façon de configurer DNS pour prendre en charge AD FS varie en fonction des cas de
figure suivants :
Votre organisation possède déjà une infrastructure DNS. Dans la plupart des
scénarios, la configuration DNS existante permet aux clients de navigateur web
reliés à votre réseau d'entreprise d'accéder à Internet. L’accès à Internet et la
résolution de noms étant indispensables pour AD FS, cette infrastructure est
supposée être en place en vue de votre déploiement AD FS.
Vous envisagez d'ajouter un serveur fédéré à votre réseau d'entreprise. Pour

l'authentification des utilisateurs sur le réseau d'entreprise, les serveurs DNS
internes dans la forêt du réseau d'entreprise doivent être configurés de manière à
retourner le nom CNAME du serveur interne qui exécute le service de fédération.
Pour plus d'informations, consultez Configuration de la résolution de noms pour
les serveurs de fédération.
Vous envisagez d'ajouter un serveur proxy fédéré à votre réseau de périmètre.

Quand vous souhaitez authentifier des comptes d’utilisateur situés dans le réseau
d’entreprise de votre organisation partenaire d’identité, les serveurs DNS internes
dans la forêt du réseau d’entreprise doivent être configurés pour retourner le nom
CNAME du serveur proxy de fédération interne. Pour plus d’informations sur la
façon de configurer DNS pour permettre l’ajout de serveurs proxys de fédération,
consultez Configuration de la résolution de noms pour les serveurs proxys de
fédération.
Vous configurez DNS pour un environnement lab de test. Si vous envisagez

d’utiliser AD FS dans un environnement de laboratoire de test où aucun serveur
DNS racine ne fait autorité, vous devrez probablement configurer des redirecteurs
DNS pour que les requêtes de noms entre plusieurs forêts soient correctement
redirigées. Pour plus d’informations sur la façon de configurer un environnement
de laboratoire de test pour AD FS, consultez Guides de procédures étape par étape
pour AD FS.
Configuration requise pour les magasins

d'attributs
AD FS nécessite qu’au moins un magasin d’attributs soit utilisé pour l’authentification
des utilisateurs et l’extraction des revendications de sécurité pour ces utilisateurs. Pour
obtenir la liste des magasins d'attributs pris en charge par AD FS, consultez Rôle des
magasins d'attributs dans le Guide de conception AD FS.
７ Notes
Par défaut, AD FS crée automatiquement un magasin d'attributs Active Directory.
La configuration requise pour les magasins d'attributs varie selon que votre organisation
fait office de partenaire de compte (hébergeant les utilisateurs fédérés) ou de partenaire
de ressource (hébergeant l'application fédérée).
AD DS
Pour qu’AD FS fonctionne correctement, des contrôleurs de domaine dans l’organisation
partenaire du compte ou dans l’organisation partenaire de ressource doivent exécuter
Windows Server 2003 SP1, Windows Server 2003 R2, Windows Server 2008 ou
Quand AD FS est installé et configuré sur un ordinateur appartenant à un domaine, le

magasin de comptes d'utilisateur Active Directory pour ce domaine peut être
sélectionné en guise de magasin d'attributs.
） Important
Comme AD FS nécessite l’installation d’Internet Information Services (IIS), nous

vous déconseillons d’installer le logiciel AD FS sur un contrôleur de domaine dans
un environnement de production pour des raisons de sécurité. Toutefois, cette
configuration est prise en charge par le service clientèle de Microsoft.
Configuration requise pour le schéma
AD FS n’impose aucune modification de schéma ou du niveau fonctionnel dans les

services AD DS.
Configuration requise pour le niveau fonctionnel

La plupart des fonctionnalités d'AD FS ne nécessitent aucune modification du niveau
fonctionnel dans AD DS. Toutefois, le niveau fonctionnel de domaine Windows Server
2008 ou supérieur est nécessaire au bon fonctionnement de l'authentification de
certificat client si le certificat est mappé explicitement sur le compte d'un utilisateur
dans AD DS.
Configuration requise pour les comptes de service
Si vous créez une batterie de serveurs de fédération, vous devez d'abord créer dans AD
DS un compte de service de domaine dédié utilisable par le service de fédération.
Ensuite, vous configurez chaque serveur de fédération au sein de la batterie de manière
à utiliser ce compte. Pour plus d'informations sur la façon d'effectuer cette opération,
consultez Configurer manuellement un compte de service pour une batterie de serveurs
de fédération dans le Guide de déploiement d'AD FS.
LDAP
Quand vous utilisez d'autres magasins d'attributs LDAP (Lightweight Directory Access
Protocol), vous devez vous connecter à un serveur LDAP qui prend en charge
l'authentification intégrée de Windows. En outre, la chaîne de connexion LDAP doit être
écrite sous la forme d'une URL LDAP, comme indiqué dans le document RFC 2255.
SQL Server
Pour qu’AD FS fonctionne correctement, les ordinateurs qui hébergent le magasin
d’attributs SQL (Structured Query Language) Server doivent exécuter
Microsoft SQL Server 2005 ou SQL Server 2008. Quand vous utilisez des magasins
d'attributs SQL, vous devez également configurer une chaîne de connexion.
Magasins d'attributs personnalisés

Vous pouvez développer des magasins d'attributs personnalisés dans le cadre de
scénarios avancés. Le langage de stratégie intégré à AD FS peut référencer des magasins
d'attributs personnalisés de manière à perfectionner les scénarios suivants :
Créer des revendications pour un utilisateur authentifié localement
Compléter les revendications pour un utilisateur authentifié de manière externe
Autoriser un utilisateur à obtenir un jeton
Autoriser un service à obtenir un jeton au nom d'un utilisateur
Quand vous utilisez un magasin d'attributs personnalisé, vous pouvez également être
amené à configurer une chaîne de connexion. Dans cette situation, vous pouvez entrer
n'importe quel code personnalisé permettant d'établir une connexion à votre magasin
d'attributs personnalisé. La chaîne de connexion ainsi créée est un ensemble de paires
nom/valeur interprétées comme étant implémentées par le développeur du magasin
d'attributs personnalisé.
Pour plus d’informations sur le développement et sur l’utilisation des magasins

d’attributs personnalisés, consultez Vue d’ensemble des magasins d’attributs.

Les serveurs de fédération peuvent communiquer avec les applications de fédération,
telles que les applications prenant en charge les revendications, et protéger ces
applications.

AD FS s’intègre naturellement à l’authentification Windows existante, par exemple
l’authentification Kerberos, NTLM, cartes à puce et certificats côté client X.509 v3. Les
serveurs de fédération utilisent l'authentification Kerberos standard pour authentifier un
utilisateur par rapport à un domaine. Les clients peuvent s'authentifier à l'aide de
l'authentification basée sur les formulaires, de l'authentification par carte à puce et de
l'authentification intégrée de Windows, suivant la façon dont vous configurez
l'authentification.
Grâce au rôle de serveur proxy de fédération AD FS, l'utilisateur peut s'authentifier de

manière externe à l'aide de l'authentification de client SSL. Vous pouvez également
configurer le rôle de serveur de fédération de manière à imposer l'authentification de
client SSL, bien que la meilleure façon de rendre l'expérience utilisateur la plus
transparente possible consiste généralement à configurer le serveur de fédération de
comptes pour utiliser l'authentification intégrée de Windows. Dans cette situation, AD
FS n'exerce aucun contrôle sur les informations d'identification dont se sert l'utilisateur
pour ouvrir une session de bureau Windows.
Ouverture de session par carte à puce

Bien que les services AD FS puissent appliquer le type d’informations d’identification
qu’ils utilisent pour l’authentification (mots de passe, authentification de client SSL ou
authentification Windows intégrée), ils n’appliquent pas directement l’authentification
avec des cartes à puce. Ainsi, AD FS ne propose pas d’interface utilisateur côté client
permettant d’obtenir des informations d’identification de code confidentiel sur carte à
puce. En effet, les clients basés sur Windows ne sont pas conçus pour fournir des détails
sur les informations d’identification des utilisateurs à chaque serveur de fédération ou
serveur web.
Authentification par carte à puce

L’authentification par carte à puce utilise le protocole Kerberos et s’effectue auprès d’un
serveur de fédération de compte. AD FS ne peut pas être étendu pour ajouter de
nouvelles méthodes d’authentification. Le certificat dans la carte à puce n'est pas obligé
d'être lié à une source digne de confiance sur l'ordinateur client. Un certificat sur carte à
puce ne peut être utilisé avec AD FS que dans les conditions suivantes :
Le lecteur et le fournisseur de services de chiffrement pour la carte à puce doivent

fonctionner sur l'ordinateur où se trouve le navigateur.
Le certificat sur carte à puce doit être lié à une source digne de confiance sur le
serveur de fédération de compte et sur le serveur proxy de fédération de compte.
Le certificat doit être mappé au compte d'utilisateur dans AD DS à l'aide de l'une

des méthodes suivantes :
Le nom du sujet du certificat correspond au nom unique LDAP d'un compte

d'utilisateur dans AD DS.
L'extension de l'autre nom de l'objet du certificat possède le nom d'utilisateur

principal d'un compte d'utilisateur dans AD DS.
Si la procédure d'authentification le nécessite, vous pouvez également configurer AD FS

de manière à créer une revendication qui indique la façon dont l'utilisateur a été
authentifié. Une partie de confiance peut ensuite utiliser cette revendication pour
prendre une décision d'autorisation.
Voir aussi
Déploiement d'AD FS
Article • 14/04/2023
） Important
Au lieu d’effectuer la mise à niveau vers la dernière version d’AD FS, Microsoft

recommande vivement d’effectuer la migration vers Azure AD.
Pour plus
d’informations, consultez Ressources pour la désactivation d’AD FS
Ce document contient une liste de toute la documentation relative au déploiement

d'AD FS pour Windows Server 2016.
Bonnes pratiques pour la sécurisation des services AD FS
Déployer Azure AD Connect Health pour analyser votre infrastructure d’identité

locale dans le cloud
Planifier l’accès conditionnel local basé sur un appareil
Mises à jour requises pour AD FS et WAP
Configurer une redondance géographique avec la réplication SQL Server
Configurer l’environnement lab pour AD FS dans Windows Server 2012 R2
Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de

données WID
Mise à niveau vers AD FS dans Windows Server 2016 à l’aide d’une base de

données SQL
Déploiement d’AD FS dans Azure
AD FS dans Azure avec Azure Traffic Manager
Guide de déploiement de Windows Server 2016 et 2012 R2
Guide de déploiement Windows Server 2012

Guide de déploiement d’AD FS 2016
Article • 11/04/2023
Le guide de déploiement d’AD FS est un guide complet pour le déploiement d’AD FS. Ce
guide se compose des éléments suivants :
Mise à niveau vers AD FS dans Windows Server 2016
Guide de déploiement de Windows Server 2016 et 2012 R2
Guide de déploiement Windows Server 2012
Surveillez votre infrastructure d’identité locale et vos services de synchronisation

dans le cloud
Meilleures pratiques en matière de
services de fédération Active Directory
(AD FS)
Le présent document décrit les bonnes pratiques pour sécuriser la planification et le

déploiement des services de fédération Active Directory (AD FS) et du proxy
d’application web. Il contient des recommandations à propos de configurations de
sécurité supplémentaires, de cas d’usage spécifiques et d’autres exigences de sécurité.
Ce document s’applique à AD FS et au proxy d’application web dans Windows

Server 2012 R2, 2016 et 2019. Ces recommandations peuvent être utilisées sur un réseau
local ou dans un environnement hébergé dans le cloud comme Microsoft Azure.
Topologie de déploiement standard

Pour un déploiement dans des environnements locaux, nous recommandons d’utiliser
une topologie de déploiement standard composée des éléments suivants :
Un ou plusieurs serveurs AD FS sur le réseau d’entreprise interne.

Un ou plusieurs serveurs de proxy d’application web dans une zone démilitarisée
(DMZ) ou un réseau extranet.
Au niveau de chaque couche, AD FS et proxy d’application web, un équilibreur de

charge matérielle ou logicielle est placé devant la batterie de serveurs et gère le routage
du trafic. Des pare-feu sont placés devant l’adresse IP externe de l’équilibreur de charge
selon les besoins.
７ Notes
AD FS nécessite un contrôleur de domaine accessible en écriture complète pour

fonctionner par opposition à un contrôleur de domaine en lecture seule. Si une
topologie planifiée inclut un contrôleur de domaine en lecture seule, le contrôleur
de domaine en lecture seule peut être utilisé pour l’authentification, mais le
traitement des revendications LDAP nécessite une connexion au contrôleur de
domaine accessible en écriture.
Renforcement de vos serveurs AD FS

Voici la liste des bonnes pratiques et recommandations pour renforcer et sécuriser votre
déploiement AD FS :
Vérifiez que seuls les administrateurs Active Directory et les administrateurs AD FS
disposent de droits d’administrateur sur le système AD FS.
Réduisez l’appartenance au groupe Administrateurs local sur tous les serveurs
AD FS.
Exigez que tous les administrateurs cloud utilisent une authentification
multifacteur (MFA).
Limitez au minimum les capacités d’administration par le biais d’agents.
Limitez l’accès au réseau par le biais d’un pare-feu hôte.
Vérifiez que les administrateurs AD FS utilisent des stations de travail dédiées à
l’administration pour protéger leurs informations d’identification.
Placez les objets ordinateur des serveurs AD FS dans une unité d’organisation de
niveau supérieur qui n’héberge pas aussi d’autres serveurs.
Tous les GPO applicables aux serveurs AD FS ne doivent s’appliquer qu’à eux, et
pas à d’autres serveurs également. Ainsi, toute réaffectation potentielle de
privilèges par le biais d’une modification des GPO se retrouve limitée.
Vérifiez que les certificats installés sont protégés contre le vol (ne les stockez pas
dans un partage sur le réseau) et définissez un rappel dans le calendrier pour vous
assurer de leur renouvellement avant leur expiration (un certificat qui a expiré
interrompt l’authentification de fédération). En outre, nous vous recommandons de
protéger les clés/certificats de signature dans un module de sécurité matériel
(HSM) attaché à AD FS.
Définissez la journalisation au niveau le plus élevé et envoyez les journaux AD FS
(et de sécurité) à un SIEM pour les mettre en corrélation avec l’authentification AD
et AzureAD (ou similaire).
Supprimez les protocoles et fonctionnalités Windows inutiles.
Utilisez un mot de passe long (> 25 caractères) et complexe pour le compte de
service AD FS. Nous vous recommandons d’utiliser un compte de service
administré de groupe (GMSA) comme compte de service, car vous n’aurez plus
besoin de gérer le mot de passe de ce compte de service puisqu’il se gérera
automatiquement.
Effectuez une mise à jour vers la dernière version d’AD FS pour améliorer la
sécurité et la journalisation (comme toujours, testez-la au préalable).
Ports nécessaires
Le diagramme ci-dessous illustre les ports de pare-feu à activer entre et parmi les
composants du déploiement d’AD FS et du proxy d’application web. Si le déploiement
n’inclut pas Azure AD/Office 365, les exigences de synchronisation peuvent être
ignorées.
７ Notes
Le port 49443 est uniquement nécessaire si l’authentification par certificat

utilisateur est utilisée, ce qui est facultatif pour Azure AD et Office 365.
７ Notes
Le port 808 (Windows Server 2012 R2) ou le port 1501 (Windows Server 2016+)

correspond au port TCP Net. qu’AD FS utilise pour le point de terminaison WCF
local afin de transférer les données de configuration vers le processus de service et
PowerShell. Ce port peut être vu en exécutant Get-AdfsProperties | select
NetTcpPort. Il s’agit d’un port local qui n’a pas besoin d’être ouvert dans le pare-
feu, mais qui s’affichera dans une analyse de port.
Communication entre les serveurs de fédération
Les serveurs de fédération sur une batterie de serveurs AD FS communiquent avec
d’autres serveurs de la batterie et avec les serveurs du proxy d’application web par le
biais du port HTTP 80 pour la synchronisation de la configuration. Vérifiez que seuls ces
serveurs peuvent communiquer entre eux et qu’aucun autre n’est une mesure de
défense en profondeur.
Les organisations peuvent atteindre cet état en configurant des règles de pare-feu sur
chaque serveur. Les règles doivent autoriser uniquement les communications entrantes
à partir des adresses IP des serveurs de la batterie et des serveurs du proxy d’application
web. Certains équilibreurs de charge réseau (NLB) utilisent le port HTTP 80 pour sonder
l’intégrité sur des serveurs de fédération individuels. Veillez à inclure les adresses IP de
l’équilibreur de charge réseau dans les règles de pare-feu configurées.
Azure AD Connect et serveurs de fédération/le proxy

d’application web
Ce tableau décrit les ports et les protocoles nécessaires à la communication entre le
serveur Azure AD Connect et les serveurs de fédération/WAP.
Protocol Ports Description
HTTP 80 (TCP/UDP) Utilisé pour télécharger des listes de révocation de certificats en vue
de vérifier les certificats SSL.
HTTPS 443(TCP/UDP) Utilisé pour établir une synchronisation avec Azure AD.
WinRM 5985 Écouteur WinRM.
Proxy d’application web et serveurs de fédération

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les
serveurs de fédération et les serveurs WAP.
HTTPS 443(TCP/UDP) Utilisé pour l’authentification.
Proxy d’application web et utilisateurs

Ce tableau décrit les ports et les protocoles nécessaires à la communication entre les
utilisateurs et les serveurs WAP.
HTTPS 443(TCP/UDP) Utilisé pour l’authentification des appareils.
TCP 49443 (TCP) Utilisé pour l’authentification par certificat.
Pour plus d’informations sur les ports et protocoles nécessaires pour des déploiements
hybrides, consultez Ports de connexion de référence hybride.
Pour plus d’informations sur les ports et les protocoles nécessaires pour un déploiement
Azure AD et Office 365, consultez le document URL et plages d’adresses IP Office 365 .
Points de terminaison activés

Quand AD FS et le proxy d’application web sont installés, un ensemble par défaut de
points de terminaison AD FS est activé sur le service de fédération et sur le proxy. Ces
points de terminaison par défaut ont été choisis en fonction des scénarios les plus
couramment exigés et utilisés. Il n’est pas nécessaire de les modifier.
Ensemble minimal de points de terminaison activés pour

Azure AD/Office 365 (facultatif)
Les organisations déployant AD FS et le proxy d’application web uniquement pour des
scénarios Azure AD et Office 365 peuvent même limiter davantage le nombre de points
de terminaison AD FS activés sur le proxy pour obtenir une surface d’attaque encore
plus réduite. Voici la liste des points de terminaison à activer sur le proxy dans ces
scénarios :
Point de terminaison Objectif
/adfs/ls/ Les flux d’authentification basés sur un navigateur et

les versions actuelles de Microsoft Office utilisent ce
point de terminaison pour l’authentification d’Azure
AD et d’Office 365.
/adfs/services/trust/2005/usernamemixed Utilisé pour Exchange Online avec les clients Office

antérieurs à la mise à jour de mai 2015 d’Office 2013.
Les clients ultérieurs utilisent le point de terminaison
\adfs\ls passif.
Point de terminaison Objectif
/adfs/services/trust/13/usernamemixed Utilisé pour Exchange Online avec les clients Office

\adfs\ls passif.
/adfs/oauth2/ Utilisé pour toutes les applications modernes (locales

ou dans le cloud) que vous avez configurées pour
vous authentifier directement auprès d’AD FS
(autrement dit, pas par le biais d’Azure AD).
/adfs/services/trust/mex Utilisé pour Exchange Online avec les clients Office

\adfs\ls passif.
/federationmetadata/2007- Exigé pour tous les flux passifs et utilisé par

06/federationmetadata.xml Office 365/Azure AD pour vérifier les certificats
AD FS.
Les points de terminaison AD FS peuvent être désactivés sur le proxy à l’aide de l’applet
de commande PowerShell suivante :
PowerShell
Set-AdfsEndpoint -TargetAddressPath <address path> -Proxy $false
PowerShell
Set-AdfsEndpoint -TargetAddressPath /adfs/services/trust/13/certificatemixed

-Proxy $false
Protection étendue de l'authentification

La protection étendue de l’authentification est une fonctionnalité qui atténue les
attaques de l’intercepteur (Man-In-The-Middle). Elle est activée par défaut avec AD FS.
Le paramètre peut être vérifié à l’aide de l’applet de commande PowerShell ci-dessous :
PowerShell
Get-ADFSProperties
La propriété est ExtendedProtectionTokenCheck . Le paramètre par défaut est Autoriser,

afin que les avantages en matière de sécurité puissent être obtenus sans problèmes de
compatibilité avec les navigateurs qui ne prennent pas en charge cette fonctionnalité.
Contrôle de congestion pour protéger le service de

fédération
Le proxy du service de fédération (qui fait partie du proxy d’application web) assure un
contrôle de congestion pour protéger le service AD FS contre toute inondation de
requêtes. Le proxy d’application web rejette les requêtes d’authentification de clients
externes si le serveur de fédération est surchargé ; l’état de surcharge est déterminé par
la latence entre le proxy d’application web et le serveur de fédération. Cette
fonctionnalité est configurée par défaut avec un niveau de seuil de latence
recommandé. Pour vérifier les paramètres, vous pouvez effectuer les opérations
suivantes :
1. Sur l'ordinateur proxy d'application web, lancez une fenêtre de commande avec
des privilèges élevés.
2. Accédez au répertoire AD FS situé à l’emplacement %WINDIR%\adfs\config.
3. Remplacez les valeurs par défaut des paramètres de contrôle de congestion par
<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64"
enabled="true" /> .
4. Enregistrez et fermez le fichier.

5. Redémarrez les services AD FS en exécutant successivement net stop adfssrv et
net start adfssrv .
Pour obtenir des instructions sur cette fonctionnalité, consultez Configurer l’accès
extranet pour les services AD FS sur Windows Server 2012 R2.
Vérifications des requêtes HTTP standard sur le proxy

Le proxy effectue également les vérifications standard suivantes sur tout le trafic :
Le FS-P s’authentifie lui-même auprès d’AD FS par le biais d’un certificat de courte
durée. Dans un scénario de suspicion de compromission des serveurs DMZ, AD FS
peut « révoquer l’approbation du proxy » afin qu’il n’approuve plus aucune
requête entrante provenant de proxys potentiellement compromis. La révocation
de l’approbation du proxy permet de révoquer le certificat de chaque proxy afin
qu’il ne puisse pas s’authentifier correctement auprès du serveur AD FS, quel que
soit son but.
Le FS-P arrête toutes les connexions et crée une connexion HTTP au service AD FS
sur le réseau interne. Un tampon est ainsi fourni au niveau de la session entre les
appareils externes et le service AD FS. L’appareil externe ne se connecte jamais
directement au service AD FS.
Le FS-P effectue la validation des requêtes HTTP qui filtre précisément les en-têtes
HTTP qui ne sont pas exigés par le service AD FS.
Configurations de sécurité recommandées

Vérifiez que tous les serveurs AD FS et du proxy d’application web reçoivent les mises à
jour les plus récentes. La recommandation de sécurité la plus importante pour votre
infrastructure AD FS consiste à vérifier que vous disposez d’un moyen en place pour
tenir à jour vos serveurs AD FS et vos serveurs de proxy d’application web avec toutes
les mises à jour de sécurité, ainsi que les mises à jour facultatives spécifiées comme
étant importantes pour AD FS dans cette page.
La méthode recommandée aux clients Azure AD pour superviser et tenir à jour leur
infrastructure consiste à utiliser Azure AD Connect Health pour AD FS, une
fonctionnalité d’Azure AD Premium. Azure AD Connect Health inclut des moniteurs et
des alertes qui se déclenchent si une machine AD FS ou une machine de proxy
d’application web ne disposent pas de l’une des mises à jour importantes pour AD FS et
le proxy d’application web.
Pour en savoir plus sur le monitoring de l’intégrité pour AD FS, consultez Installation de
l’agent Azure AD Connect Health.
Meilleures pratiques pour la sécurisation et la

supervision de l’approbation AD FS avec Azure
AD
Lorsque vous fédérez votre AD FS avec Azure AD, il est essentiel que la configuration de
la fédération (relation d’approbation configurée entre AD FS et Azure AD) soit
supervisée de près et que toute activité inhabituelle ou suspecte soit capturée. Pour ce
faire, nous vous recommandons de configurer des alertes et de recevoir une notification
chaque fois que des modifications sont apportées à la configuration de la fédération.
Pour découvrir comment configurer des alertes, consultez Superviser les modifications
apportées à la configuration de la fédération.
Autres configurations de sécurité

Les fonctionnalités supplémentaires suivantes peuvent être configurées pour renforcer
la protection.
Protection par verrouillage « logiciel » extranet pour les

comptes
Avec la fonctionnalité de verrouillage extranet dans Windows Server 2012 R2, un
administrateur AD FS peut définir un nombre maximal autorisé de requêtes
d’authentification ayant échoué (ExtranetLockoutThreshold) et une période observation
window (ExtranetObservationWindow). Lorsque ce nombre maximal
(ExtranetLockoutThreshold) de requêtes d’authentification est atteint, AD FS arrête
d’essayer d’authentifier les informations d’identification de compte fournies auprès d’AD
FS pendant la période définie (ExtranetObservationWindow). Cette action protège ce
compte contre un verrouillage de compte AD, en d’autres termes, elle le protège contre
la perte d’accès aux ressources d’entreprise qui s’appuient sur AD FS pour authentifier
l’utilisateur. Ces paramètres s’appliquent à tous les domaines que le service AD FS peut
authentifier.
Vous pouvez utiliser la commande Windows PowerShell suivante pour définir le

verrouillage extranet AD FS (exemple) :
PowerShell
Set-AdfsProperties -EnableExtranetLockout $true -ExtranetLockoutThreshold 15

-ExtranetObservationWindow ( new-timespan -Minutes 30 )
À titre de référence, consultez Configuration du verrouillage extranet AD FS pour en

savoir plus sur cette fonctionnalité.
Désactiver les points de terminaison Windows WS-Trust

sur le proxy à partir de l’extranet
Les points de terminaison Windows WS-Trust
(/adfs/services/trust/2005/windowstransport et /adfs/services/trust/13/windowstransport)
sont destinés uniquement à être des points de terminaison intranet qui utilisent une
liaison WIA sur HTTPS. Les exposer à un extranet peut permettre aux requêtes
effectuées sur ces points de terminaison de contourner les protections par verrouillage.
Ces points de terminaison doivent être désactivés sur le proxy (c’est-à-dire, désactivés à
partir de l’extranet) à des fins de protection contre un verrouillage de compte AD à
l’aide des commandes PowerShell suivantes. La désactivation de ces points de
terminaison sur le proxy n’a aucun impact connu sur l’utilisateur final.
PowerShell
Set-AdfsEndpoint -TargetAddressPath
/adfs/services/trust/2005/windowstransport -Proxy $false
PowerShell
Set-AdfsEndpoint -TargetAddressPath /adfs/services/trust/13/windowstransport

-Proxy $false
７ Notes
Si votre batterie de serveurs AD FS s’exécute sur des bases de données internes
Windows (WID) et dispose d’un serveur AD FS secondaire, après avoir désactivé les
points de terminaison sur le serveur principal, attendez que la synchronisation se
produise sur les nœuds secondaires avant de redémarrer le service AD FS sur ceux-
ci. Utilisez la commande PowerShell Get-AdfsSyncProperties sur le nœud
secondaire pour suivre le dernier processus de synchronisation.
Différencier les stratégies d’accès pour l’accès intranet et

extranet
Les services AD FS ont la capacité de différencier les stratégies d’accès pour les requêtes
qui proviennent du réseau local d’entreprise et celles qui proviennent d’Internet par le
biais du proxy. Cette différenciation peut être effectuée par application ou globalement.
Pour les applications à forte valeur métier ou les applications contenant des
informations sensibles, envisagez d’exiger une authentification multifacteur.
L’authentification multifacteur est configurable par le biais du composant logiciel
enfichable de gestion AD FS.
Exiger une authentification multifacteur (MFA)

Les services AD FS peuvent être configurés pour exiger une authentification forte
(comme l’authentification multifacteur) particulièrement pour des requêtes qui entrent
par le biais du proxy, pour des applications individuelles et pour un accès conditionnel
aux ressources Azure AD/Office 365 et locales. Les méthodes d’authentification
multifacteur prises en charge incluent à la fois Microsoft Azure MF et des fournisseurs
tiers. L’utilisateur est invité à fournir des informations supplémentaires (comme un code
unique fourni dans un SMS) et AD FS fonctionne avec le plug-in propre au fournisseur
pour autoriser l’accès.
Les fournisseurs MFA externes pris en charge incluent ceux listés dans la page
Configurer des méthodes d’authentification supplémentaires pour AD FS.
Activer une protection pour empêcher le contournement

de l’authentification multifacteur Azure AD cloud dans le
cadre d’une fédération avec Azure AD
Activez une protection pour empêcher le contournement de l’authentification
multifacteur Azure AD cloud lorsqu’elle est fédérée avec Azure AD et l’utilisation de
l’authentification multifacteur Azure AD comme authentification multifacteur pour vos
utilisateurs fédérés.
L’activation de la protection de domaine fédéré dans votre locataire Azure AD garantit

que l’authentification multifacteur Azure AD est toujours exécutée lorsqu’un utilisateur
fédéré accède à une application régie par une stratégie d’accès conditionnel exigeant
une authentification multifacteur. Cette protection inclut une exécution de
l’authentification multifacteur Azure AD même lorsque le fournisseur d’identité fédérée
a indiqué (par le biais de revendications de jeton fédéré) que l’authentification
multifacteur locale a été effectuée. L’application de l’authentification multifacteur Azure
AD à chaque fois garantit qu’aucun compte local compromis ne peut la contourner en
imitant une authentification multifacteur déjà effectuée par le fournisseur d’identité.
Cette pratique est fortement recommandée, sauf si vous effectuez une authentification
multifacteur pour vos utilisateurs fédérés à l’aide d’un fournisseur d’authentification
multifacteur tiers.
La protection peut être activée à l’aide d’un nouveau paramètre de sécurité,

federatedIdpMfaBehavior, exposé dans le cadre de l’API MS Graph de fédération interne
ou des applets de commande PowerShell MS Graph. Le paramètre
federatedIdpMfaBehavior détermine si Azure AD accepte l’authentification multifacteur
effectuée par le fournisseur d’identité fédérée lorsqu’un utilisateur fédéré accède à une
application régie par une stratégie d’accès conditionnel qui exige une authentification
multifacteur.
Les administrateurs peuvent choisir l’une des valeurs suivantes :
Propriété Description
acceptIfMfaDoneByFederatedIdp Azure AD accepte l’authentification multifacteur si elle est

effectuée par un fournisseur d’identité. Dans le cas contraire,
l’authentification multifacteur Azure AD est effectuée.
Propriété Description
enforceMfaByFederatedIdp Azure AD accepte l’authentification multifacteur si elle est

effectuée par un fournisseur d’identité. Dans le cas contraire,
une requête est redirigée vers le fournisseur d’identité pour
que l’authentification multifacteur soit effectuée.
rejectMfaByFederatedIdp Azure AD effectue toujours l’authentification multifacteur

Azure AD et rejette l’authentification multifacteur si elle est
effectuée par un fournisseur d’identité.
Vous pouvez activer la protection en définissant federatedIdpMfaBehavior sur

rejectMfaByFederatedIdp à l’aide de la commande suivante.
API MS GRAPH
PATCH
/domains/{domainsId}/federationConfiguration/{internalDomainFederationId}
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
Exemple :
PATCH /domains/contoso.com/federationConfiguration/2a8ce608-bb34-473f-9e0f-
f373ee4cbc5a
"federatedIdpMfaBehavior": "rejectMfaByFederatedIdp"
Exemple :
PowerShell
Update-MgDomainFederationConfiguration -DomainId <domainsId> -

InternalDomainFederationId <internalDomainFederationId>
federatedIdpMfaBehavior "rejectMfaByFederatedIdp"
Exemple :
PowerShell
Update-MgDomainFederationConfiguration -DomainId “contoso.com” -

InternalDomainFederationId “2a8ce608-bb34-473f-9e0f-f373ee4cbc5a”
federatedIdpMfaBehavior "rejectMfaByFederatedIdp"
Module de sécurité matériel (HSM)

Dans sa configuration par défaut, les clés utilisées par AD FS pour signer les jetons ne
quittent jamais les serveurs de fédération sur l’intranet. Elles ne sont jamais présentes
dans la zone démilitarisée ni sur les machines proxy. Pour éventuellement renforcer la
protection, nous vous recommandons de protéger ces clés dans un module de sécurité
matériel (HSM) attaché à AD FS. Microsoft ne produit pas de modules de sécurité
matériels, mais il en existe plusieurs sur le marché qui prennent en charge AD FS. Pour
implémenter cette recommandation, suivez les instructions du fournisseur pour créer les
certificats X509 nécessaires à la signature et au chiffrement, puis utilisez les applets de
commande PowerShell d’installation d’AD FS, en spécifiant vos certificats personnalisés
comme suit :
PowerShell
Install-AdfsFarm -CertificateThumbprint <String> -

DecryptionCertificateThumbprint <String> -FederationServiceName <String> -
ServiceAccountCredential <PSCredential> -SigningCertificateThumbprint
<String>
où :
CertificateThumbprint correspond à votre certificat SSL.

SigningCertificateThumbprint correspond à votre certificat de signature (avec une
clé protégée par HSM).

DecryptionCertificateThumbprint correspond à votre certificat de chiffrement
(avec une clé protégée par HSM).
Planifier l’accès conditionnel local basé
sur un périphérique
Ce document décrit les stratégies d’accès conditionnel basées sur des appareils dans un
scénario hybride où les répertoires locaux sont connectés à Azure AD à l’aide d’Azure
AD Connect.
Accès conditionnel AD FS et hybride

AD FS fournit le composant local des stratégies d’accès conditionnel dans un scénario
hybride. Lorsque vous inscrivez des appareils auprès d’Azure AD pour l’accès
conditionnel aux ressources cloud, la fonctionnalité d’écriture différée des appareils
Azure AD Connect rend les informations d’inscription des appareils disponibles
localement pour que les stratégies AD FS consomment et appliquent. De cette façon,
vous avez une approche cohérente des stratégies de contrôle d’accès pour les
ressources locales et cloud.
Types d’appareils inscrits

Il existe trois types d’appareils inscrits, qui sont tous représentés en tant qu’objets
d’appareil dans Azure AD et peuvent également être utilisés pour l’accès conditionnel
avec AD FS en local.
Description Ajouter un compte professionnel ou Azure AD Join Jonction de
scolaire domaine
Windows 10
Description Les utilisateurs ajoutent leur compte Les utilisateurs Les appareils
professionnel ou scolaire à leur appareil joignent leur joints à un
BYOD de manière interactive. Note: appareil domaine
Ajouter un compte professionnel ou professionnel Windows 10
scolaire est le remplacement de la Windows 10 à s’inscrivent
jonction d’espace de travail dans Azure AD. automatiquement
Windows 8/8.1 auprès d’Azure
AD.
Connexion Aucune connexion à Windows en tant Connectez-vous Connectez-vous à

des que compte professionnel ou scolaire. à Windows en l’aide d’un
utilisateurs à Connectez-vous à l’aide d’un compte tant que compte compte AD.
l’appareil Microsoft. (professionnel
ou scolaire) qui
a inscrit
l’appareil.
Gestion des Stratégies MDM (avec inscription Intune Stratégies MDM Stratégie de
appareils supplémentaire) (avec inscription groupe,
Intune Configuration
supplémentaire) Manager
Type Joint à l’espace de travail Appareil joints Client

d’approbation Azure AD appartenant à un
Azure AD domaine
Emplacement Comptes de > paramètres > Votre Système de Paramètres >

des compte > Ajouter un compte paramètres > à système > à
paramètres professionnel ou scolaire propos de la propos de la
W10 jonction d’Azure jonction d’un >
> AD > domaine
Également Oui Non Non

disponible
pour les
appareils iOS
et Android ?
Pour plus d’informations sur les différentes façons d’inscrire des appareils, consultez
également :
Utilisation d’appareils Windows dans votre espace de travail

Appareils inscrits sur Azure AD
Appareils joints Azure AD
Comment l’authentification utilisateur et appareil
Windows 10 diffère des versions précédentes
Pour Windows 10 et AD FS 2016, il existe de nouveaux aspects de l’inscription et de
l’authentification des appareils que vous devez connaître (en particulier si vous êtes
familiarisé avec l’inscription des appareils et la « jonction d’espace de travail » dans les
versions précédentes).
Tout d’abord, dans Windows 10 et AD FS dans Windows Server 2016, l’inscription et

l’authentification des appareils ne sont plus basées uniquement sur un certificat
utilisateur X509. Il existe un protocole nouveau et plus robuste qui offre une meilleure
sécurité et une expérience utilisateur plus transparente. Les principales différences sont
que, pour Windows 10 Domain Join et Azure AD Join, il existe un certificat d’ordinateur
X509 et une nouvelle information d’identification appelée PRT. Vous pouvez tout lire
ici et ici .
Deuxièmement, Windows 10 et AD FS 2016 prennent en charge l’authentification

utilisateur à l’aide de Windows Hello Entreprise, que vous pouvez lire ici et ici.
AD FS 2016 fournit une authentification unique d’appareil et d’utilisateur transparente

basée à la fois sur les informations d’identification PRT et Passport. À l’aide des étapes
décrites dans ce document, vous pouvez activer ces fonctionnalités et les voir
fonctionner.
Stratégies de contrôle d’accès aux appareils

Les appareils peuvent être utilisés dans des règles de contrôle d’accès AD FS simples
telles que :
Autoriser l’accès uniquement à partir d’un appareil inscrit

Exiger l’authentification multifacteur lorsqu’un appareil n’est pas inscrit
Ces règles peuvent ensuite être combinées avec d’autres facteurs tels que
l’emplacement d’accès réseau et l’authentification multifacteur, en créant des stratégies
d’accès conditionnel enrichies telles que :
Exiger l’authentification multifacteur pour les appareils non inscrits accédant à

partir de l’extérieur du réseau d’entreprise, à l’exception des membres d’un groupe
ou d’un groupe particulier
Avec AD FS 2016, ces stratégies peuvent être configurées spécifiquement pour exiger un
niveau de confiance d’appareil particulier : authentifié, géré ou conforme.
Pour plus d’informations sur la configuration des stratégies de contrôle d’accès AD FS,
consultez Stratégies de contrôle d’accès dans AD FS.
Appareils authentifiés
Les appareils authentifiés sont des appareils inscrits qui ne sont pas inscrits dans mdm
(Intune et des MDM tiers pour Windows 10, Intune uniquement pour iOS et Android).
Les appareils authentifiés auront la revendication AD FS isManaged avec la valeur

FALSE. (Alors que les appareils qui ne sont pas enregistrés du tout n’auront pas cette
revendication.) Les appareils authentifiés (et tous les appareils inscrits) ont la
revendication isKnown AD FS avec la valeur TRUE.
Appareils gérés :
Les appareils gérés sont des appareils inscrits inscrits auprès de MDM.
Les appareils gérés auront la revendication AD FS isManaged avec la valeur TRUE.
Appareils conformes (avec GPM ou stratégies de groupe)

Les appareils conformes sont des appareils inscrits qui ne sont pas seulement inscrits
auprès de GPM, mais conformes aux stratégies MDM. (Les informations de conformité
proviennent de la GPM et sont écrites dans Azure AD.)
Les appareils conformes auront la revendication ISCompliant AD FS avec la valeur TRUE.
Pour obtenir la liste complète des revendications d’accès conditionnel et d’appareil AD

FS 2016, consultez Référence.
Référence
Mises à jour et changements cassants - Plateforme d’identités

Microsoft | Microsoft Docs
Liste complète des nouvelles revendications AD FS 2016 et des

appareils
https://schemas.microsoft.com/ws/2014/01/identity/claims/anchorclaimtype
https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperabi
lity_Profile_V1.5.pdf
https://schemas.microsoft.com/2014/03/psso
https://schemas.microsoft.com/2015/09/prt
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn
https://schemas.microsoft.com/ws/2008/06/identity/claims/primarygroupsid
https://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid
https://schemas.xmlsoap.org/ws/2005/05/identity/Identity_Selector_Interoperabi
lity_Profile_V1.5_Web_Guide.pdf
https://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname
https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid
https://schemas.microsoft.com/2012/01/devicecontext/claims/registrationid
/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
https://schemas.microsoft.com/2012/01/devicecontext/claims/identifier
https://schemas.microsoft.com/2012/01/devicecontext/claims/ostype
https://schemas.microsoft.com/2012/01/devicecontext/claims/osversion
https://schemas.microsoft.com/2012/01/devicecontext/claims/ismanaged
https://schemas.microsoft.com/2012/01/devicecontext/claims/isregistereduser
/dotnet/api/system.security.claims.claimtypes.windowsdeviceclaim
https://schemas.microsoft.com/2014/02/deviceusagetime
https://schemas.microsoft.com/2014/09/devicecontext/claims/iscompliant
https://schemas.microsoft.com/2014/09/devicecontext/claims/trusttype
https://schemas.microsoft.com/claims/authnmethodsreferences
https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-
agent
https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-
absolute-path
https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork
https://schemas.microsoft.com/2012/01/requestcontext/claims/client-request-id
https://schemas.microsoft.com/2012/01/requestcontext/claims/relyingpartytrust
id
https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-ip
https://schemas.microsoft.com/2014/09/requestcontext/claims/userip
https://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod
Mises à jour obligatoire pour Services ADFS (AD
FS) et Proxy d'application web (WAP)
Article • 14/04/2023
Depuis octobre 2016, toutes les mises à jour de tous les composants de Windows Server sont publiées
uniquement via Windows Update (WU). Il n’y a plus de correctifs logiciels ou de téléchargements individuels.
Cela s'applique à Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 et Windows Server
2008 R2 SP1.
Cette page répertorie les packages cumulatifs d’un intérêt particulier pour AD FS et WAP, ainsi que la liste
historique des mises à jour de correctifs logiciels recommandées pour AD FS et WAP.
Mises à jour pour AD FS et WAP dans Windows Server

2016
Les Mises à jour pour Windows Server 2016 sont fournies mensuellement via Windows Update et sont
cumulatives. Le package de mise à jour répertorié ci-dessous est recommandé pour tous les serveurs AD FS
et WAP 2016 et inclut toutes les mises à jour précédemment requises ainsi que les derniers correctifs.
Ko # Description Date de
publication
4534271 Corrige un échec potentiel de chrome AD FS en raison de la prise en charge des nouvelles Janvier 2020
stratégies de cookies SameSite par défaut pour la version 80 de Google Chrome. Pour plus
d’informations, reportez-vous ici.
CVE-2019- Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD FS) qui pourrait Juillet 2019
1126 permettre à un attaquant de contourner la stratégie de verrouillage extranet.
4489889 Résolution d’un problème dans Services ADFS (AD FS) qui provoque l’affichage d’une Mars 2019
(build du approbation de partie de confiance en double dans la console de gestion AD FS. Cela se
système produit lorsque vous créez ou affichez des approbations de partie de confiance à l’aide de la
d’exploitation console de gestion AD FS.
14393.2879)
Résout un problème de latence de Services ADFS (AD FS) élevé (AD FS) Proxy d'application
(WAP) (plus de 10 000 ms) qui se produit alors que le verrouillage intelligent extranet (ESL)
est activé sur AD FS 2016. Cette mise à jour de sécurité corrige la vulnérabilité décrite dans
CVE-2018-16794 .
4487006 Résolution d’un problème qui provoque l’échec des mises à jour d’une approbation de partie Février 2019
(build du de confiance lors de l’utilisation de PowerShell ou de la console de gestion Services ADFS (AD
système FS). Ce problème se produit si vous configurez une approbation de partie de confiance pour
d’exploitation utiliser une URL de métadonnées en ligne qui publie plusieurs PassiveRequestorEndpoint.
14393.2828) L’erreur est « MSIS7615 : Les points de terminaison approuvés spécifiés dans une
approbation de partie de confiance doivent être uniques pour cette approbation de partie de
confiance ».
Résolution d’un problème qui affiche un message d’erreur spécifique pour les modifications
de mot de passe de complexité externe en raison des stratégies de protection par mot de
passe Azure.
publication
4462928 Résout les problèmes d’interopérabilité entre Services ADFS (AD FS) Extranet Smart Lockout Octobre 2018
(build du (ESL) et l’ID de connexion secondaire. Lorsque l’ID de connexion secondaire est activé, les
système appels aux applets de commande PowerShell AD FS, Get-AdfsAccountActivity et Reset-
d’exploitation AdfsAccountLockout, retournent les erreurs « Compte introuvable ». Lorsque Set-
14393.2580) AdfsAccountActivity est appelé, une nouvelle entrée est ajoutée au lieu d’en modifier une
existante.
4343884 Résout un problème de Services ADFS (AD FS) où l’authentification multifacteur ne Août 2018
(build du fonctionne pas correctement avec les appareils mobiles qui utilisent des définitions de
système culture personnalisée.
d’exploitation
14393.2457) Résout un problème dans Windows Hello Entreprise qui provoque un retard significatif (15
secondes) dans la nouvelle inscription utilisateur. Ce problème se produit lorsqu’un module
de sécurité matériel est utilisé pour stocker un certificat d’autorité d’inscription AD FS.
4338822 Résolution d’un problème dans AD FS qui montre une approbation de partie de confiance en Juillet 2018
(build du double dans la console de gestion AD FS lors de la création ou de l’affichage des
système approbations de partie de confiance à partir de la console.
d’exploitation
14393.2395) Résolution d’un problème dans AD FS qui provoque l’échec de Windows Hello Entreprise. Le
problème se produit lorsqu’il existe deux fournisseurs de revendications. L’inscription du
code confidentiel échoue avec : « Erreur du serveur interne 400 : Impossible d’obtenir
l’identificateur de l’appareil ».
Résout un problème WAP lié aux connexions inactives qui ne se terminent jamais. Cela
entraîne des fuites de ressources système (par exemple, une fuite de mémoire) et un service
WAP qui ne répond plus. Résolution d’un problème AD FS qui empêche les utilisateurs de
sélectionner une autre option de connexion. Cela se produit lorsque les utilisateurs
choisissent de se connecter à l’aide de l’authentification basée sur les certificats, mais qu’elle
n’a pas été configurée. Cela se produit également si les utilisateurs sélectionnent
Authentification basée sur les certificats, puis essaient de sélectionner une autre option de
connexion. Si cela se produit, les utilisateurs sont redirigés vers la page Authentification
basée sur les certificats jusqu’à ce qu’ils ferment le navigateur.
4103720 Résolution d’un problème avec AD FS qui provoque l’échec d’une connexion initiée par le Mai 2018
(build du fournisseur d’identité à une partie de confiance SAML lorsque PreventTokenReplays est
système activé.
d’exploitation
14393.2273) Résout un problème AD FS qui se produit quand OAUTH s’authentifie à partir d’un appareil
ou d’une application de navigateur. Une modification de mot de passe utilisateur génère un
échec et oblige l’utilisateur à quitter l’application ou le navigateur pour se connecter.
Résolution d’un problème où l’activation du verrouillage intelligent Extranet au format UTC

+1 et ultérieur (Europe et Asie) ne fonctionnait pas. En outre, cela entraîne l’échec du
verrouillage extranet normal avec l’erreur suivante : Get-AdfsAccountActivity : Les valeurs
DateTime supérieures à DateTime.MaxValue ou inférieures à DateTime.MinValue lorsqu’elles
sont converties en UTC ne peuvent pas être sérialisées au format JSON.
Résolution d’un problème d’Windows Hello AD FS pour les entreprises dans lequel les
nouveaux utilisateurs ne sont pas en mesure de provisionner leur code confidentiel. Cela se
produit lorsqu’aucun fournisseur MFA n’est configuré.
4093120 Résout un problème de validation de jeton d’actualisation non géré. Il génère l’erreur Avril 2018
(build du suivante : «
système Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException
d’exploitation : MSIS9312 : Reçu un jeton d’actualisation OAuth non valide. Le jeton d’actualisation a été
14393.2214) reçu avant la durée autorisée dans le jeton. »
publication
4077525 Résolution d’un problème où une erreur HTTP 500 se produit lorsqu’une batterie de serveurs Février 2018
(build du AD FS a au moins deux serveurs utilisant Base de données interne Windows (WID). Dans ce
système scénario, la pré-authentification HTTP de base sur le serveur Web Proxy d'application (WAP)
d’exploitation ne parvient pas à authentifier certains utilisateurs. Lorsque l’erreur se produit, vous pouvez
14393.2097) également voir l’ID d’événement d’avertissement Microsoft Windows Web Proxy
d'application 13039 dans le journal des événements WAP. La description indique : « Web
Proxy d'application n’a pas réussi à authentifier l’utilisateur. La pré-authentification est « AD
FS for Rich Clients ». L’utilisateur donné n’est pas autorisé à accéder à la partie de confiance
donnée. Les règles d’autorisation de la partie de confiance cible ou de la partie de confiance
WAP doivent être modifiées. »
Résolution d’un problème dans lequel AD FS ne peut plus ignorer prompt=login pendant
l’authentification. Une option Désactivé a été ajoutée pour prendre en charge les scénarios
dans lesquels l’authentification par mot de passe n’est pas utilisée. Pour plus d’informations,
consultez AD FS ignore le paramètre « prompt=login » lors d’une authentification dans
Windows Server 2016 RTM.
Résolution d’un problème dans AD FS où les clients autorisés (et les parties de confiance) qui
sélectionnent Certificat comme option d’authentification ne peuvent pas se connecter.
L’échec se produit lors de l’utilisation de prompt=login si l’authentification intégrée Windows
(WIA) est activée et que la demande peut effectuer WIA.
Résolution du problème où AD FS affiche incorrectement la page De découverte du domaine

d’accueil (HRD) lorsqu’un fournisseur d’identité (IDP) est associé à une partie de confiance
dans un groupe OAuth. Sauf si plusieurs fournisseurs d’identité sont associés au RP dans le
groupe OAuth, la page HRD ne s’affiche pas à l’utilisateur. Au lieu de cela, l’utilisateur accède
directement au fournisseur d’identité associé pour l’authentification.
4041688 Ce correctif résout un problème qui par intermittence mal dirigé les demandes d’autorité AD Octobre 2017
(build du vers le mauvais fournisseur d’identité en raison d’un comportement de mise en cache
système incorrect. Cela peut affecter des fonctionnalités d’authentification telles que l’authentification
d’exploitation multifacteur.
14393.1794)
Ajout de la possibilité pour Azure AD Connect Health de signaler l’intégrité du serveur AD FS
avec une fidélité correcte (à l’aide de l’audit détaillé) sur les batteries de serveurs AD FS
mixtes WS2012R2 et WS2016.
Correction d’un problème où lors de la mise à niveau de la batterie de serveurs AD FS 2012

R2 vers AD FS 2016, l’applet de commande PowerShell pour augmenter le niveau de
comportement de la batterie de serveurs échoue avec un délai d’expiration lorsqu’il existe de
nombreuses approbations de partie de confiance.
Nous avons résolu un problème où AD FS provoque des échecs d’authentification en

modifiant la valeur du paramètre wct lors de la fédération des demandes à d’autres serveurs
de jetons de sécurité (STS).
publication
4038801 Ajout de la prise en charge de la déconnexion OIDC à l’aide de LDPs fédérés. Cela autorise les Septembre 2017
(build du « scénarios kiosque » dans lesquels plusieurs utilisateurs peuvent être connectés en série à
système un seul appareil où il existe une fédération avec un fournisseur de services cloud.
d’exploitation
14393.1737) Correction d’un problème WinHello où les certificats CEP/CES ne fonctionnent pas avec les
comptes gMSA.
Résout un problème où le Base de données interne Windows (WID) sur les serveurs Windows
Server 2016 AD FS ne parvient pas à synchroniser certains paramètres, tels que les colonnes
ApplicationGroupId des tables IdentityServerPolicy.Scopes et IdentityServerPolicy.Clients) en
raison d’une contrainte de clé étrangère. De tels échecs de synchronisation peuvent entraîner
des expériences de revendication, de fournisseur de revendications et d’application
différentes entre les serveurs AD FS principaux et secondaires. En outre, si le rôle principal
WID est déplacé vers un nœud secondaire, les groupes d’applications ne sont plus gérables
dans l’expérience utilisateur de gestion AD FS.
Cette mise à jour corrige un problème où l’authentification multifacteur ne fonctionne pas

correctement avec les appareils mobiles qui utilisent des définitions de culture personnalisées
4034661 Résout un problème où l’adresse IP de l’appelant est journalisée par les événements 411 dans Août 2017
(build du le journal des événements de sécurité des serveurs AD FS 4.0 \ Windows Server 2016 RS1 AD
système FS, même après avoir activé les « audits de réussite » et les « audits d’échec ».
d’exploitation
14393.1613) Ce correctif résout un problème avec Azure Multi Factor Authentication (MFA) lorsqu’un
serveur ADFX est configuré pour utiliser un proxy HTTP.
» Résolution d’un problème où la présentation d’un certificat expiré ou révoqué au serveur

proxy AD FS ne renvoie pas d’erreur à l’utilisateur. »
4034658 Correctif pour le serveur AD FS 2016 afin de prendre en charge l’inscription de certificat MFA Août 2017
(build du pour Windows Hello Entreprise pour les déploiements locaux
système
d’exploitation
14393.1593)
4025334 Résolution d’un problème où le gestionnaire de jeton PkeyAuth pouvait échouer une Juillet 2017
(build du authentification si la requête pkeyauth contient des données incorrectes. L’authentification
système doit continuer sans effectuer l’authentification de l’appareil
d’exploitation
14393.1532)
4022723 [Web Proxy d'application] La valeur de la propriété de configuration Juin 2017

(build du DisableHttpOnlyCookieProtection n’est pas récupérée par WAP 2016 dans le déploiement
système
d’exploitation mixte 2012R2/2016 [Web Proxy d'application] Impossible d’obtenir un jeton d’accès
14393.1378) utilisateur à partir d’AD FS dans les scénarios de pré-authentification EAS.
AD FS 2016 : la déconnexion WSFED entraîne une exception
3213986 Mise à jour cumulative 2016 de Windows Server 2016 pour systèmes x64 (KB3213986) Janvier 2017
Mises à jour pour AD FS et WAP dans Windows Server

2012 R2
Vous trouverez ci-dessous la liste des correctifs logiciels et des correctifs cumulatifs qui ont été publiés pour
Services ADFS (AD FS) dans Windows Server 2012 R2.
publication
4534309 Corrige un échec potentiel de chrome AD FS en raison de la prise en charge des nouvelles Janvier 2020
stratégies de cookies SameSite par défaut pour la version 80 de Google Chrome. Pour
plus d’informations, reportez-vous ici.
4507448 Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD FS) qui Juillet 2019
pourrait permettre à un attaquant de contourner la stratégie de verrouillage extranet.
4041685 Résolution d’un problème AD FS dans lequel les cookies MSISConext dans les en-têtes de Aperçu de la
requête peuvent éventuellement dépasser la limite de taille des en-têtes et entraîner mise à jour
l’échec de l’authentification avec le code d’état HTTP 400 « Demande incorrecte - En-tête cumulative
trop long ».
d'octobre 2017
Correction d’un problème où AD FS ne peut plus ignorer « prompt=login » pendant

l’authentification. Une option « Désactivé » a été ajoutée pour restaurer les scénarios où
l’authentification sans mot de passe est utilisée.
4019217 Les clients dossiers de travail utilisant le répartiteur de jetons ne fonctionnent pas lors de Mise à jour
l’utilisation d’un serveur AD FS Server 2012 R2 cumulative de
la préversion
de mai 2017
4015550 Correction d’un problème lié à l’échec de l’authentification des utilisateurs externes AD FS Mise à jour
et à l’échec aléatoire du transfert de la demande par AD FS cumulative
d’avril 2017
4015547 Correction d’un problème lié à l’échec de l’authentification des utilisateurs externes AD FS Mise à jour de
et à l’échec aléatoire du transfert de la demande par AD FS sécurité avril
2017
4012216 MS17-019 Cette mise à jour de sécurité résout une vulnérabilité dans Services ADFS (AD Mise à jour
FS). La vulnérabilité peut autoriser la divulgation d’informations si un attaquant envoie cumulative de
une requête spécialement conçue à un serveur AD FS, ce qui lui permet de lire des mars 2017
informations sensibles sur le système cible.
3179574 Résolution d’un problème lié à la mise à jour de mot de passe extranet AD FS. Mise à jour
cumulative
d’août 2016
3172614 Introduction de la prise en charge de prompt=login, résolution d’un problème avec la Mise à jour
console de gestion AD FS et le paramètre AlwaysRequireAuthentication. cumulative de
juillet 2016
Services ADFS (AD FS) 3.0 ne peut pas se connecter aux magasins d’attributs LDAP Mise à jour
(Lightweight Directory Access Protocol) configurés pour utiliser le port SSL (Secure cumulative de
Sockets Layer) 636 ou 3269 dans la chaîne de connexion. juin 2016
3148533 L’authentification de secours MFA échoue via le proxy AD FS dans Windows Server 2012 Mai 2016
R2
3134787 Les journaux AD FS ne contiennent pas d’adresse IP du client pour les scénarios de Février 2016
verrouillage de compte dans Windows Server 2012 R2
3134222 MS16-020 : Mise à jour de sécurité pour Services ADFS pour résoudre le déni de service : Février 2016
9 février 2016
publication
3105881 Impossible d’accéder aux applications lorsque l’authentification des appareils est activée Octobre 2015
dans Windows Server 2012 serveur AD FS basé sur R2
3092003 Les pages se chargent à plusieurs reprises et l’authentification échoue lorsque les Août 2015
utilisateurs utilisent l’authentification multifacteur dans Windows Server 2012 R2 AD FS
3080778 AD FS n’appelle pas OnError lorsque l’adaptateur MFA lève une exception dans Windows Juillet 2015
Server 2012 R2
3075610 Les relations d’approbation sont perdues sur le serveur AD FS secondaire après l’ajout ou Juillet 2015
la suppression d’un fournisseur de revendications dans Windows Server 2012 R2
3070080 Accueil La découverte du domaine ne fonctionne pas correctement pour l’approbation de Juin 2015
partie de confiance qui ne prend pas en charge les revendications
3052122 La mise à jour ajoute la prise en charge des revendications d’ID composés dans les jetons Mai 2015
AD FS dans Windows Server 2012 R2
3045711 MS15-040 : Une vulnérabilité dans Services ADFS pourrait permettre la divulgation Avril 2015
d’informations
3042127 Erreur « HTTP 400 - Requête incorrecte » lorsque vous ouvrez une boîte aux lettres Mars 2015
partagée via WAP dans Windows Server 2012 R2
3042121 Protection contre la relecture de jeton AD FS pour les jetons d’authentification web Proxy Mars 2015
d'application dans Windows Server 2012 R2
3035025 Correctif logiciel pour la fonctionnalité de mise à jour du mot de passe afin que les Janvier 2015
utilisateurs ne soient pas tenus d’utiliser l’appareil inscrit dans Windows Server 2012 R2
3033917 AD FS ne peut pas traiter la réponse SAML dans Windows Server 2012 R2 Janvier 2015
3025080 L’opération échoue lorsque vous essayez d’enregistrer un fichier Office via web Proxy Janvier 2015
d'application dans Windows Server 2012 R2
3025078 Vous n’êtes pas invité à entrer à nouveau le nom d’utilisateur lorsque vous utilisez un Janvier 2015
nom d’utilisateur incorrect pour vous connecter à Windows Server 2012 R2
3020813 Vous êtes invité à effectuer l’authentification lorsque vous exécutez une application web Janvier 2015
dans Windows Server 2012 R2 AD FS
3020773 Échecs de délai d’attente après le déploiement initial du service d’inscription des appareils Janvier 2015
dans Windows Server 2012 R2
3018886 Vous êtes invité à entrer un nom d’utilisateur et un mot de passe deux fois lorsque vous Janvier 2015
accédez Windows Server 2012 serveur AD FS R2 à partir de l’intranet
3013769 Mise à jour cumulative Windows Server 2012 R2 Décembre 2014
3000850 Mise à jour cumulative Windows Server 2012 R2 novembre 2014
2975719 Mise à jour cumulative Windows Server 2012 R2 Août 2014
2967917 Mise à jour cumulative Windows Server 2012 R2 Juillet 2014
2962409 Mise à jour cumulative Windows Server 2012 R2 Juin 2014
2955164 Mise à jour cumulative Windows Server 2012 R2 May 2014
2919355 Mise à jour cumulative Windows Server 2012 R2 Avril 2014

Mises à jour pour AD FS dans Windows Server 2012 (AD FS
2.1) et AD FS 2.0
Vous trouverez ci-dessous la liste des correctifs logiciels et des correctifs cumulatifs qui ont été publiés pour
AD FS 2.0 et 2.1.
Ko # Description Date de S’applique

publication à:
3197878 L’authentification via le proxy échoue dans Windows Server 2012 (il s’agit Correctif AD FS 2.1
de la version générale du correctif logiciel 3094446) cumulatif de
qualité de
novembre 2016
3197869 L’authentification via le proxy échoue dans Windows Server 2008 R2 SP1 (il Correctif AD FS 2.0
s’agit de la version générale du correctif logiciel 3094446) cumulatif de
qualité de
novembre 2016
3094446 Échec de l’authentification par proxy dans Windows Server 2008 R2 SP1 ou Septembre 2015 AD FS 2.0
dans Windows Server 2012 et 2.1
3070078 AD FS 2.1 lève une exception lorsque vous vous authentifiez auprès d’un Juillet 2015 AD FS 2.1
certificat de chiffrement dans Windows Server 2012
3062577 MS15-062 : Une vulnérabilité dans les services de fédération Active Juin 2015 AD FS 2.0 /
Directory peut permettre une élévation de privilèges 2.1
3003381 MS14-077 : Une vulnérabilité dans Services ADFS pourrait autoriser la novembre 2014 AD FS 2.0 /
divulgation d’informations : 14 avril 2015 2.1
2987843 L’utilisation de la mémoire du serveur de fédération AD FS continue Juillet 2014 AD FS 2.1

d’augmenter lorsque de nombreux utilisateurs se connectent à une
application web dans Windows Server 2012
2957619 L’approbation de la partie de confiance dans AD FS est arrêtée lorsqu’une May 2014 AD FS 2.1
demande est adressée à AD FS pour un jeton délégué
2926658 Le déploiement de la batterie de serveurs SQL AD FS échoue si vous ne Octobre 2014 AD FS 2.1

disposez pas d’autorisations SQL
2896713 La mise à jour est disponible pour résoudre plusieurs problèmes après Novembre 2013
AD FS 2.0 /
ou l’installation des 2843638 de mise à jour de sécurité sur un serveur AD FS 2.1
2989956 Septembre 2014
2877424 La mise à jour vous permet d’utiliser un certificat pour plusieurs Octobre 2013 AD FS 2.1
approbations de partie de confiance dans une batterie de serveurs AD FS
2.1
2873168 CORRECTIF : une erreur se produit lorsque vous utilisez un fournisseur de Septembre 2013 AD FS 2.0
solutions cloud et un HSM tiers, puis que vous configurez une approbation
de fournisseur de revendications dans le correctif cumulatif 3 pour AD FS
2.0 sur Windows Server 2008 R2 Service Pack 1
Une virgule dans le nom d’objet d’un certificat de chiffrement provoque août 2013 AD FS 2.0
une exception dans Windows Server 2008 R2 SP1
2843639 [Sécurité] Une vulnérabilité dans Services ADFS pourrait permettre la novembre 2013 AD FS 2.1
divulgation d’informations
Ko # Description Date de S’applique
publication à:
2843638 MS13-066 : Description de la mise à jour de sécurité pour Services ADFS août 2013 AD FS 2.0
2.0 : 13 août 2013
2827748 Federationmetadata.xml fichier ne contient pas les informations de point Mai 2013 AD FS 2.1
de terminaison MEX pour les points de terminaison WS-Trust et WS-
Federation dans Windows Server 2012
2790338 Description du correctif cumulatif 3 pour les services ADFS (Active Directory Mars 2013 AD FS 2.0
Federation Services) 2.0
Création d’une batterie de serveurs
AD FS sans privilèges d’administrateur
de domaine
S’applique à : Windows Server 2022, Windows Server 2019 et 2016
Vue d’ensemble
À compter d’AD FS dans Windows Server 2016, vous pouvez exécuter l’applet de
commande Install-AdfsFarm en tant qu’administrateur local sur votre serveur de
fédération, à condition que votre administrateur de domaine ait préparé Active
Directory. Vous pouvez utiliser le script indiqué ci-dessous dans cet article pour préparer
AD. La procédure comporte trois étapes :
1. En tant qu’administrateur de domaine, exécutez le script (ou créez les objets et

autorisations Active Directory manuellement).
2. Le script retourne un objet AdminConfiguration contenant le nom de domaine de
l’objet AD nouvellement créé.
3. Sur le serveur de fédération, exécutez l’applet de commande Install-AdfsFarm en
étant connecté en tant qu’administrateur local et en passant l’objet issu de l’étape
n° 2 ci-dessus en tant que paramètre AdminConfiguration.
Hypothèses
Contoso\localadmin est un administrateur intégré non joint à un domaine sur le
serveur de fédération.
Contoso\FsSvcAcct est un compte de domaine qui va être le compte de service
AD FS.
Contoso\FsGmsaAcct$ est un compte de service administré de groupe (GMSA) qui
va être le compte de service AD FS.
$svcCred correspond aux informations d’identification du compte de service
AD FS.
$localAdminCred correspond aux informations d’identification du compte
d’administrateur local (non joint à un domaine) sur le serveur de fédération.
Utilisation d’un compte de domaine en tant
que compte de service AD FS
Préparer AD
Exécutez la commande suivante en tant qu’administrateur de domaine :
PS:\>$adminConfig=(.\New-AdfsDkmContainer.ps1 -ServiceAccount
contoso\fssvcacct -AdfsAdministratorAccount contoso\localadmin)
Exemple de sortie
$adminconfig.DkmContainerDN
CN=9530440c-bc84-4fe6-a3f9-8d60162a7bcf,CN=ADFS,CN=Microsoft,CN=Program
Data,DC=contoso,DC=com
Créer la batterie de serveurs AD FS

Sur le serveur de fédération, exécutez, en tant qu’administrateur local, la commande
suivante dans une fenêtre de commande PowerShell avec élévation de privilèges.
Tout d’abord, si l’administrateur du serveur de fédération n’utilise pas la même session

PowerShell que l’administrateur de domaine ci-dessus, recréez l’objet adminConfig à
l’aide de la sortie de la commande ci-dessus.
PS:\>$adminConfig = @{"DKMContainerDn"="CN=9530440c-bc84-4fe6-a3f9-
8d60162a7bcf,CN=ADFS,CN=Microsoft,CN=Program Data,DC=contoso,DC=com"}
Ensuite, créez la batterie de serveurs :
PS:\>$svcCred = (get-credential)
PS:\>$localAdminCred = (get-credential)
PS:\>Install-AdfsFarm -CertificateThumbprint
270D041785C579D75C1C981DA0F9C36ECFDB65E0 -FederationServiceName
"fs.contoso.com" -ServiceAccountCredential $svcCred -Credential
$localAdminCred -OverwriteConfiguration -AdminConfiguration $adminConfig -
Verbose
Utilisation d’un compte de service administré

de groupe (GMSA) comme compte de service
AD FS
Préparer AD
PS:\>$adminConfig=(.\New-AdfsDkmContainer.ps1 -ServiceAccount
contoso\FsGmsaAcct$ -AdfsAdministratorAccount contoso\localadmin)
Exemple de sortie
$adminconfig.DkmContainerDN
CN=8065f653-af9d-42ff-aec8-56e02be4d5f3,CN=ADFS,CN=Microsoft,CN=Program
Data,DC=contoso,DC=com
Créer la batterie de serveurs AD FS

Sur le serveur de fédération, exécutez, en tant qu’administrateur local, la commande
suivante dans une fenêtre de commande PowerShell avec élévation de privilèges.
Tout d’abord, si l’administrateur du serveur de fédération n’utilise pas la même session

PowerShell que l’administrateur de domaine ci-dessus, recréez l’objet adminConfig à
l’aide de la sortie de la commande ci-dessus.
PS:\>$adminConfig = @{"DKMContainerDn"="CN=8065f653-af9d-42ff-aec8-
56e02be4d5f3,CN=ADFS,CN=Microsoft,CN=Program Data,DC=contoso,DC=com"}
Ensuite, créez la batterie de serveurs. Notez que le compte d’ordinateur local et le

compte d’administrateur AD FS doivent être autorisés à récupérer le mot de passe et à
déléguer au compte des droits sur le compte de service administré de groupe (GMSA).
PS:\>$localadminobj = get-aduser "localadmin"
PS:\>$adfsnodecomputeracct = get-adcomputer "contoso_adfs_node"
PS:\>Set-ADServiceAccount -Identity fsgmsaacct -

PrincipalsAllowedToRetrieveManagedPassword @( add=$localadmin.sid.value,
$computeracct.sid.value) -PrincipalsAllowedToDelegateToAccount @(
add=$localadmin.sid.value, $computeracct.sid.value)
PS:\>$localAdminCred = (get-credential)
PS:\>Install-AdfsFarm -CertificateThumbprint
270D041785C579D75C1C981DA0F9C36ECFDB65E0 -FederationServiceName
"fs.contoso.com" -Credential $localAdminCred -GroupServiceAccountIdentifier
"contoso\fsgmsaacct$" -OverwriteConfiguration -AdminConfiguration
$adminConfig
Script pour la préparation d’AD

Le script PowerShell suivant peut être utilisé pour exécuter les exemples ci-dessus.
[CmdletBinding(SupportsShouldProcess=$true)]
param (
[Parameter(Mandatory=$True)]
[string]$ServiceAccount,
[Parameter(Mandatory=$True)]
[string]$AdfsAdministratorAccount
$ServiceAccountSplit = $ServiceAccount.Split("\");
if ($ServiceAccountSplit.Length -ne 2)
Write-error "Specify the ServiceAccount identifier in 'domain\username'

format"
exit 1
$AdfsAdministratorAccountSplit = $AdfsAdministratorAccount.Split("\");
if ($AdfsAdministratorAccountSplit.Length -ne 2)
Write-error "Specify the AdfsAdministratorAccount identifier in

'domain\username' format"
exit 1
#######################################
## Verify AD module is installed
#######################################
$m = "ActiveDirectory"
if (Get-Module | Where-Object {$_.Name -eq $m})
write-verbose "Module $m is already imported."
else
if (Get-Module -ListAvailable | Where-Object {$_.Name -eq $m})
Import-Module $m -Verbose
}
else
write-error "Module $m was not imported, install the Active

Directory RSAT package and retry."
exit 1
push-location ad:
#######################################
## Generate random DKM container name
## The OU Name is a randomly generated Guid
#######################################
[string]$guid = [Guid]::NewGuid()
write-verbose ("OU Name" + $guid)
$ouName = $guid
$initialPath = "CN=Microsoft,CN=Program Data," + (Get-

ADDomain).DistinguishedName
$ouPath = "CN=ADFS," + $initialPath
$ou = "CN=" + $ouName + "," + $ouPath
#######################################
## Create DKM container and assign default ACE which allows AD FS admin read
access
#######################################
if ($pscmdlet.ShouldProcess("$ou", "Creating DKM container and assigning

access"))
Write-Verbose ("Creating organizational unit with DN: " + $ou)
if ($AdfsAdministratorAccount.EndsWith("$"))
write-verbose "AD FS administrator account passed with $ suffix

indicating a computer account"
$userNameSplit = $AdfsAdministratorAccount.Split("\");
$strSID = (Get-ADServiceAccount -Identity $userNameSplit[1]).SID
else
write-verbose "AD FS administrator account is a standard AD user"
$objUser = New-Object
System.Security.Principal.NTAccount($AdfsAdministratorAccount)
$strSID =
$objUser.Translate([System.Security.Principal.SecurityIdentifier])
if ($null -eq (Get-ADObject -Filter {distinguishedName -eq $ouPath}))
Write-Verbose ("First creating initial path " + $ouPath)
New-ADObject -Name "ADFS" -Type Container -Path $initialPath
$acl = get-acl -Path $ouPath
[System.DirectoryServices.ActiveDirectorySecurityInheritance]$adSecInEnum =
[System.DirectoryServices.ActiveDirectorySecurityInheritance]::All
$ace1 = New-Object System.DirectoryServices.ActiveDirectoryAccessRule

$strSID,"GenericRead","Allow",$adSecInEnum
set-acl -Path $ouPath -AclObject $acl
New-ADObject -Name $ouName -Type Container -Path $ouPath
#######################################
## Grant the following permission to the service account
# Read
# Create Child
# Write Owner
# Delete Tree
# Write DACL
# Write Property
#######################################
if ($ServiceAccount.EndsWith("$"))
write-verbose "service account passed with $ suffix indicating a gMSA"
$userNameSplit = $ServiceAccount.Split("\");
else
write-verbose "service account is a standard AD user"
System.Security.Principal.NTAccount($ServiceAccount)
$strSID =
if ($pscmdlet.ShouldProcess("$strSID", "Granting GenericRead, CreateChild,

WriteOwner, DeleteTree, WriteDacl and WriteProperty"))


$strSID,"CreateChild","Allow",$adSecInEnum

$strSID,"WriteOwner","Allow",$adSecInEnum

$strSID,"DeleteTree","Allow",$adSecInEnum

$strSID,"WriteDacl","Allow",$adSecInEnum

$strSID,"WriteProperty","Allow",$adSecInEnum
$acl = get-acl -Path $ou
$acl.SetOwner($strSID)
set-acl -Path $ou -AclObject $acl
#######################################
## Grant the following permission to the adfs admin account
# Read
# Create Child
# Write Owner
# Delete Tree
# Write DACL
# Write Property
#######################################
if ($AdfsAdministratorAccount.EndsWith("$"))
write-verbose "AD FS administrator account passed with $ suffix

indicating a gMSA"
$userNameSplit = $AdfsAdministratorAccount.Split("\");
else
write-verbose "AD FS administrator account is a standard AD user"
System.Security.Principal.NTAccount($AdfsAdministratorAccount)
$strSID =
if ($pscmdlet.ShouldProcess("$strSID", "Granting GenericRead, CreateChild,

WriteOwner, DeleteTree, WriteDacl and WriteProperty"))


$strSID,"CreateChild","Allow",$adSecInEnum

$strSID,"WriteOwner","Allow",$adSecInEnum

$strSID,"DeleteTree","Allow",$adSecInEnum

$strSID,"WriteDacl","Allow",$adSecInEnum

$strSID,"WriteProperty","Allow",$adSecInEnum
$acl = get-acl -Path $ou
$acl.SetOwner($strSID)
set-acl -Path $ou -AclObject $acl
$adminConfig = @{"DKMContainerDn"=$ou}
Write-Output $adminConfig
pop-location
Configurer une redondance

géographique avec la réplication SQL
Server
） Important
données de configuration, vous pouvez utiliser SQL Server 2008 ou des versions
ultérieures.
Si vous utilisez SQL Server comme base de données de configuration AD FS, vous
pouvez configurer la géo-redondance pour votre batterie de serveurs AD FS à l’aide de
la réplication SQL Server. La géo-redondance réplique les données entre deux sites
géographiquement distants, afin que les applications puissent basculer d’un site à un
autre. Ainsi, en cas de défaillance d’un site, vous pouvez toujours disposer de toutes les
données de configuration sur le deuxième site. Pour plus d’informations, consultez la
section « Redondance géographique de SQL Server » dans Batterie de serveurs de
fédération à l’aide de SQL Server.
Prérequis
Installez et configurez une batterie de serveurs SQL Server. Pour plus d’informations,
consultez https://technet.microsoft.com/evalcenter/hh225126.aspx . Sur le SQL Server
initial, assurez-vous que le service SQL Server Agent est en cours d’exécution et défini
sur le démarrage automatique.
Créer le deuxième SQL Server (réplica) pour la

géo-redondance
1. Installez SQL Server (pour plus d'informations, voir
https://technet.microsoft.com/evalcenter/hh225126.aspx .) Copiez les fichiers de
script CreateDB.sql et SetPermissions.sql obtenus sur le serveur SQL réplica.
2. Vérifiez que le service SQL Server Agent est en cours d'exécution et défini sur
démarrage automatique
3. Exécutez Export-AdfsDeploymentSQLScript sur le nœud AD FS principal pour
créer des fichiers CreateDB.sql et SetPermissions.sql. Par exemple, PS:\>Export-
AdfsDeploymentSQLScript -DestinationFolder . –ServiceAccountName
CONTOSO\gmsa1$ .
4. Copiez les scripts sur votre serveur secondaire. Ouvrez le script CreateDB.sql dans
SQL Management Studio et cliquez sur Exécuter.
5. Ouvrez le script SetPermissions.sql dans SQL Management Studio et cliquez sur

Exécuter.
７ Notes
Vous pouvez également utiliser ce qui suit à partir de la ligne de commande.
c:\>sqlcmd –i CreateDB.sql
c:\>sqlcmd –i SetPermissions.sql
Créer des paramètres d’éditeur sur le SQL

Server initial
1. Dans SQL Server Management Studio, sous Réplication, cliquez avec le bouton
droit sur Publications locales et choisissez Nouvelle publication...
2. Dans l’écran Assistant Nouvelle publication, cliquez sur Suivant.
3. Sur la page Distributeur, choisissez serveur local comme distributeur, puis cliquez
sur Suivant.
4. Dans la page du dossier Clichés instantanés, entrez \\SQL1\repldata à la place du

dossier par défaut. (REMARQUE : vous devrez peut-être créer ce partage vous-
même).
5. Choisissez AdfsConfigurationV3 comme base de données de publication, puis

6. Dans Type de publication, sélectionnez Fusionner publication et cliquez sur

Suivant.
7. Dans Types d’abonnés, choisissez SQL Server 2008 ou version ultérieure, puis
8. Dans la page Articles, sélectionnez le nœud Tableaux pour sélectionner tous les
tableaux, puis décochez le tableau SyncProperties (celui-ci ne doit pas être
répliquée)
9. Dans la page Articles, sélectionnez le nœud Fonctions définies par l’utilisateur

pour sélectionner toutes les fonctions définies par l’utilisateur, puis cliquez sur
Suivant.
10. Sur la page Problèmes d’article, cliquez sur Suivant.
11. Dans la page Filtrer les lignes de la table, cliquez sur Suivant.
12. Sur la page Agent d'instantané, choisissez les valeurs par défaut Immédiat et 14
jours, cliquez sur Suivant.
Vous devrez peut-être créer un compte de domaine pour l’agent SQL. Suivez les
étapes décrites dans Configurer la connexion SQL pour le compte de domaine
CONTOSO\sqlagent pour créer une connexion SQL pour ce nouvel utilisateur AD et
attribuer des autorisations spécifiques.
13. Dans la page Sécurité de l’agent, cliquez sur Paramètres de sécurité et entrez le
nom d’utilisateur/mot de passe d’un compte de domaine (et non un compte
GMSA) créé pour l’agent SQL, puis cliquez sur OK. Cliquez sur Suivant.
14. Sur la page Actions de l’Assistant, cliquez sur Suivant.
15. Sur la page Terminer l’Assistant, entrez un nom pour votre publication, puis
cliquez sur Terminer.
16. Une fois la publication créée, vous devez voir l’état de réussite. Cliquez sur Fermer.
17. De retour dans SQL Server Management Studio, cliquez avec le bouton droit sur la
nouvelle publication, puis cliquez sur Lancer le moniteur de réplication.
Créer des paramètres d’abonnement sur le SQL

Server réplica
Vérifiez que vous avez créé les paramètres d’éditeur sur le SQL Server initial, comme
décrit ci-dessus, puis effectuez la procédure suivante :
1. Dans SQL Server réplica, depuis SQL Server Management Studio, sous Réplication,
cliquez avec le bouton droit sur Abonnements locaux et choisissez Nouvel
abonnement....
2. Dans la page Assistant de nouvel abonnement, cliquez sur Suivant.
3. Sur la page Publication, sélectionnez l’éditeur dans la liste déroulante. Développez

AdfsConfigurationV3 , sélectionnez le nom de la publication créée ci-dessus, puis
4. Sur la page Emplacement de l'Agent de fusion, sélectionnez Exécuter chaque

agent sur son Abonné (abonnements par extraction de données), puis cliquez sur
Suivant.
Ceci, ainsi que le type d’abonnement ci-dessous, détermine la logique de

résolution des conflits. Pour plus d’informations, consulter Détecter et résoudre
des conflits de réplication de fusion.
5. Sur la page Abonnés, sélectionnez AdfsConfigurationV3 comme base de données

des abonnés, puis cliquez sur Suivant.
6. Sur la page Sécurité d’agent de fusion, cliquez sur ... et entrez le nom d’utilisateur
et le mot de passe d’un compte de domaine (et non un GMSA) créé pour l’agent
SQL à l’aide de la zone de points de suspension, puis cliquez sur Suivant.
7. Dans Planification de synchronisation, choisissez Exécuter en continu et cliquez

sur Suivant.
8. Dans Initialiser les abonnements, cliquez sur Suivant.
9. Dans Type d’abonnement, choisissez Client et cliquez sur Suivant.

Les implications de ceci sont documentées ici et ici. Essentiellement, nous prenons
la résolution des conflits simple « le premier à l’éditeur gagne » et nous n’avons
pas besoin de republier vers d’autres abonnés.
10. Dans la page Actions de l’Assistant, vérifiez que Créer l’abonnement est cochée,
11. Sur la page Terminer l'Assistant, cliquez sur Terminer.
12. Une fois que le processus de création de l’abonnement est bien terminé, vous
devriez voir l’état de réussite. Cliquez sur Fermer.
Vérifier le processus d’initialisation et de

réplication
1. Sur le serveur SQL principal, cliquez avec le bouton droit sur le nœud Réplication
et cliquez sur Lancer le moniteur de réplication.
2. Dans Moniteur de réplication, cliquez sur la publication.
3. Sous l’onglet Tous les abonnements, cliquez avec le bouton droit pour Afficher les
détails.
Vous devez être en mesure de voir de nombreuses entrées sous Actions pour la
réplication initiale.
4. En outre, vous pouvez regarder sous le nœud SQL Server Agent\Jobs pour voir la
ou les tâches planifiées, afin d’exécuter les opérations de la publication/de
l’abonnement. Seuls les tâches locales sont affichées. Veillez donc à vérifier la
résolution des problèmes de l’éditeur et de l’abonné. Cliquez avec le bouton droit
sur une tâche et sélectionnez Afficher l’historique pour afficher l’historique
d’exécution et les résultats.
Configurer la connexion SQL pour le compte de
domaine CONTOSO\sqlagent
1. Créez une nouvelle connexion sur le SQL Server principal et réplica appelée
CONTOSO\sqlagent (le nom du nouvel utilisateur de domaine créé et configuré sur
la page Sécurité de l’agent dans les procédures ci-dessus.)
2. Dans SQL Server, cliquez avec le bouton droit sur la connexion que vous avez créée
et sélectionnez Propriétés, puis, sous l’onglet Mappage des utilisateurs, mappez
cette connexion aux bases de données AdfsConfiguration et AdfsArtifact avec des
rôles publics et db_genevaservice. Mappez également cette connexion à la base de
données de distribution et ajoutez db_owner rôle pour les tableaux de distribution
et adfsconfiguration. Procédez selon le cas sur le serveur SQL principal et le serveur
SQL réplica. Pour plus d’informations, voir Replication Agent Security Model.
3. Accordez au compte de domaine correspondant des autorisations de lecture et

d’écriture sur le partage configuré en tant que distributeur. Veillez à définir des
autorisations de lecture et d’écriture sur les autorisations de partage et les
autorisations de fichier local.
Configurer le ou les nœuds AD FS pour qu’ils

pointent vers la batterie de serveurs SQL Server
réplicas
Maintenant que vous avez configuré la redondance géographique, les nœuds de
batterie de serveurs AD FS peuvent être configurés pour pointer vers votre batterie de
serveurs SQL Server réplicas à l’aide des fonctionnalités de « jointure » AD FS standard,
soit à partir de l’interface utilisateur de l’Assistant de configuration AD FS, soit à l’aide de
Windows PowerShell.
Si vous utilisez l’interface utilisateur de l’Assistant de configuration AD FS, sélectionnez

Ajouter un serveur de fédération à une batterie de serveurs de fédération. NE
sélectionnez PAS Créer le premier serveur de fédération dans une batterie de serveurs
de fédération.
Si vous utilisez Windows PowerShell, exécutez Add-AdfsFarmNode. N’exécutez PAS

Install-AdfsFarm.
Lorsque vous y êtes invité, indiquez l’hôte et le nom de l’instance de SQL Server réplica,
PAS le serveur SQL initial.
Configurer l’environnement lab pour AD
FS dans Windows Server 2012 R2
Article • 12/04/2023
Cette rubrique indique les étapes de la configuration d'un environnement de test que
vous pouvez utiliser pour effectuer les procédures des guides pas à pas suivants :
Procédure pas à pas : Joindre un espace de travail avec un appareil iOS
Procédure pas à pas : Joindre un espace de travail avec un appareil Windows
Guide pas à pas : Gérer les risques avec le contrôle d’accès conditionnel
Guide pas à pas : gérer les risques avec une authentification multifacteur
supplémentaire pour les applications sensibles
７ Notes
Nous vous déconseillons d'installer le serveur web et le serveur de fédération sur le

même ordinateur.
Pour configurer cet environnement de test, effectuez les étapes suivantes :
1. Étape 1 : Configurer le contrôleur de domaine (DC1)
2. Étape 2 : configurer le serveur de fédération (ADFS1) avec Device Registration

Service
3. Étape 3 : Configurer le serveur web (WebServ1) et un exemple d’application basée

sur les revendications
4. Étape 4 : Configurer l’ordinateur client (Client1)
Étape 1 : Configurer le contrôleur de domaine

(DC1)
Dans le cadre de cet environnement de test, vous pouvez appeler votre domaine Active
Directory racine contoso.com et spécifier pass@word1 comme mot de passe
administrateur.
Installez le service de rôle AD DS et installez les services de domaine Active
Directory (AD DS) pour que votre ordinateur fasse office de contrôleur de domaine
dans Windows Server 2012 R2. Cette opération met à niveau votre schéma AD DS
dans le cadre de la création du contrôleur de domaine. Pour plus d’informations et
pour obtenir des instructions détaillées, voir
https://technet.microsoft.com/library/hh472162.aspx.
Créer les comptes Active Directory de test

Une fois que votre contrôleur de domaine est opérationnel, vous pouvez créer un
groupe de test, tester des comptes d'utilisateur dans ce domaine et ajouter le compte
d'utilisateur au compte de groupe. Vous utilisez ces comptes pour effectuer les
procédures des guides pas à pas mentionnés plus haut dans cette rubrique.
Créez les comptes ci-après :
Utilisateur : Robert Hatley avec les informations d’identification suivantes : Nom

d’utilisateur : RobertH Mot de passe : P@ssword
Groupe : Finance
Pour plus d’informations sur la création de comptes d’utilisateurs et de groupes dans

Active Directory (AD), voir https://technet.microsoft.com/library/cc783323%28v.aspx.
Ajoutez le compte Robert Hatley au groupe Finance. Pour plus d’informations sur
l’ajout d’un utilisateur à un groupe dans Active Directory, consultez
https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.
Créer un compte de service géré de groupe

Le compte de service géré de groupe est nécessaire pendant l’installation et la
configuration des Active Directory Federation Services (AD FS).
Pour créer un compte de service géré de groupe
1. Ouvrez une fenêtre de commande Windows PowerShell et tapez les commandes

suivantes :
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -

ServicePrincipalNames http/adfs1.contoso.com
Étape 2 : Configurer le serveur de fédération

(ADFS1) avec Device Registration Service
Pour configurer un autre ordinateur virtuel, installez Windows Server 2012 R2 et
connectez-le au domaine contoso.com. Configurez l’ordinateur après l’avoir joint au
domaine, puis procédez à l’installation et à la configuration du rôle AD FS.
Regardez la vidéo Active Directory Federation Services How-To Video Series: Installing
an AD FS Server Farm (Série de vidéos de procédure sur les services AD FS : Installation
d’une batterie de serveurs AD FS).
Installer un certificat SSL de serveur

Vous devez installer un certificat SSL (Secure Socket Layer) de serveur sur le serveur
ADFS1 dans le magasin de l'ordinateur local. Le certificat DOIT posséder les attributs
suivants :
Nom du sujet (nom commun) : adfs1.contoso.com
Autre nom de l'objet (DNS) : adfs1.contoso.com
Autre nom de l'objet (DNS) : enterpriseregistration.contoso.com
Pour plus d’informations sur la configuration des certificats SSL, voir Configurer SSL/TLS
sur un site web dans le domaine avec une autorité de certification d’entreprise.
Active Directory Federation Services How-To Video Series: Updating Certificates (Série
de vidéos de procédure sur les services AD FS : Mise à jour des certificats).
Installer le rôle serveur AD FS
Pour installer le service de rôle de service de fédération
1. Connectez-vous au serveur à l'aide du compte d'administrateur de domaine

administrator@contoso.com.
2. Démarrez le Gestionnaire de serveur. Pour démarrer le Gestionnaire de serveur,

cliquez sur Gestionnaire de serveur dans l'écran d'accueil Windows, ou cliquez sur
Gestionnaire de serveur dans la barre des tâches Windows sur le Bureau Windows.
Sous l'onglet Démarrage rapide de la vignette Bienvenue sur la page Tableau de
bord, cliquez sur Ajouter des rôles et des fonctionnalités. Vous pouvez également
cliquer sur Ajouter des rôles et fonctionnalités dans le menu Gérer.
4. Dans la page Sélectionner le type d’installation, cliquez sur Installation basée sur
un rôle ou une fonctionnalité, puis sur Suivant.
5. Dans la page Sélectionner le serveur de destination, cliquez sur Sélectionner un

serveur du pool de serveurs, vérifiez que l'ordinateur cible est sélectionné, puis
6. Dans la page Sélectionner des rôles de serveurs, cliquez sur Services AD FS
(Active Directory Federation Services), puis cliquez sur Suivant.
8. Dans la page Services AD FS (Active Directory Federation Services), cliquez sur
Suivant.
9. Après avoir vérifié les informations de la page Confirmer les sélections

d'installation, cochez la case Redémarrer le serveur de destination
automatiquement si nécessaire, puis cliquez sur Installer.
10. Dans la page Progression de l'installation, vérifiez que tout a été correctement
installé, puis cliquez sur Fermer.
Configurer le serveur de fédération

L'étape suivante consiste à configurer le serveur de fédération.
Pour configurer le serveur de fédération
1. Dans la page Tableau de bord du Gestionnaire de serveur, cliquez sur le drapeau

Notifications, puis sur Configurer le service FS (Federation Service) sur le serveur.
L'Assistant Configuration des services AD FS (Active Directory Federation

Services) s'ouvre.
2. Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération

dans une batterie de serveurs de fédération, puis cliquez sur Suivant.
3. Dans la page Connexion à AD DS, spécifiez un compte doté de droits

d'administrateur de domaine pour le domaine Active Directory contoso.com
auquel cet ordinateur est joint, puis cliquez sur Suivant.
4. Dans la page Spécifier les propriétés de service, effectuez la procédure suivante,
puis cliquez sur Suivant :
Importez le certificat SSL que vous avez obtenu précédemment. Ce certificat

est le certificat d'authentification de service requis. Accédez à l'emplacement
de votre certificat SSL.
Comme nom de service de fédération, tapez adfs1.contoso.com. Cette valeur

est celle que vous avez fournie quand vous avez inscrit un certificat SSL dans
les services de certificats Active Directory (AD CS).
Comme nom complet pour le service de fédération, tapez Contoso

Corporation.
5. Dans la page Spécifier un compte de service, sélectionnez Utiliser un compte

d'utilisateur de domaine ou de service administré de type groupe existant, puis
spécifiez le compte de service géré de groupe fsgmsa que vous avez créé en
même temps que le contrôleur de domaine.
6. Dans la page Spécifier une base de données de configuration, sélectionnez Créer

une base de données sur ce serveur à l'aide de la base de données interne
Windows, puis cliquez sur Suivant.
7. Dans la page Examiner les options, vérifiez les choix que vous avez effectués pour
la configuration, puis cliquez sur Suivant.
8. Dans la page Vérifications des conditions préalables, assurez-vous que toutes les
vérifications des conditions préalables ont été correctement effectuées, puis
cliquez sur Configurer.
9. Dans la page Résultats, passez en revue les résultats, vérifiez si la configuration

s'est déroulée correctement, puis cliquez sur Étapes ultérieures requises pour le
déploiement de votre service FS (Federation Service).
Configurer Device Registration Service

L'étape suivante consiste à configurer Device Registration Service sur le serveur ADFS1.
Regardez la vidéo Active Directory Federation Services How-To Video Series: Enabling
the Device Registration Service(Série de vidéos de procédure sur les services AD FS :
Activation du service DRS)
Pour configurer Device Registration Service pour Windows Server

2012 RTM
1. ） Important
L'étape suivante s'applique à la version Windows Server 2012 R2 RTM.
Ouvrez une fenêtre de commande Windows PowerShell et tapez les commandes

suivantes :
Initialize-ADDeviceRegistration
Quand vous êtes invité à indiquer un compte de service, tapez contoso\fsgmsa$.
Maintenant exécutez l’applet de commande Windows PowerShell .
Enable-AdfsDeviceRegistration
2. Sur le serveur ADFS1, dans la console Gestion AD FS, accédez à Stratégies

d'authentification. Sélectionnez Modifier l'authentification principale globale.
Cochez la case Activer l'authentification des appareils, puis cliquez sur OK.
Ajouter les enregistrements de ressource d'hôte (A) et

d'alias (CNAME) à DNS
Sur le contrôleur de domaine DC1, vous devez vous assurer que les enregistrements
DNS (Domain Name System) suivants sont créés pour Device Registration Service.
Entrée Type Adresse
adfs1 Hôte (A) Adresse IP du serveur AD FS
enterpriseregistration Alias (CNAME) adfs1.contoso.com
Vous pouvez utiliser la procédure suivante pour ajouter un enregistrement de ressource

d'hôte (A) aux serveurs de noms DNS d'entreprise pour le serveur de fédération et
Device Registration Service.
Vous devez au minimum être membre du groupe des administrateurs ou d'un groupe
équivalent pour effectuer cette procédure. Passez en revue les informations relatives à
l’utilisation des comptes et des appartenances au groupe appropriés sous le lien
HYPERTEXTE « https://go.microsoft.com/fwlink/?LinkId=83477 » Groupes locaux et de
domaine par défaut (https://go.microsoft.com/fwlink/p/?LinkId=83477 ).
Pour ajouter des enregistrements de ressource d'hôte (A) et

d'alias (CNAME) à DNS pour votre serveur de fédération
1. Sur le contrôleur de domaine (DC1), à partir du Gestionnaire de serveur, dans le

menu Outils, cliquez sur DNS pour ouvrir le composant logiciel enfichable DNS.
2. Dans l'arborescence de la console, développez DC1, développez Zones de

recherche directes, cliquez avec le bouton droit sur contoso.com, puis cliquez sur
Nouvel hôte (A ou AAAA).
3. Dans Nom, tapez le nom à utiliser pour votre batterie AD FS. Pour cette procédure
pas à pas, tapez adfs1.
4. Dans Adresse IP, tapez l'adresse IP du serveur ADFS1. Cliquez sur Ajouter un hôte.
5. Cliquez avec le bouton droit sur contoso.com, puis cliquez sur Nouvel alias
(CNAME).
6. Dans la boîte de dialogue Nouvel enregistrement de ressource, tapez

enterpriseregistration dans la zone Nom de l'alias.
7. Dans la zone Nom de domaine pleinement qualifié (FQDN) pour l'hôte de

destination, tapez adfs1.contoso.com, puis cliquez sur OK.
） Important
Dans un déploiement réel, si votre entreprise possède plusieurs suffixes de

nom d'utilisateur principal (UPN), vous devez créer un enregistrement CNAME
par suffixe UPN dans DNS.
Étape 3 : Configurer le serveur web (WebServ1)

et un exemple d’application basée sur les
revendications
Configurez un ordinateur virtuel (WebServ1) en installant le système d'exploitation
Windows Server 2012 R2 et connectez-le au domaine contoso.com. Après l'avoir joint
au domaine, vous pouvez passer à l'installation et à la configuration du rôle de serveur
web.
Pour effectuer les procédures pas à pas mentionnées plus haut dans cette rubrique,
vous devez posséder un exemple d'application sécurisé par votre serveur de fédération
(ADFS1).
Vous devez effectuer les étapes suivantes pour configurer un serveur web avec cet
exemple d'application basée sur des revendications.
７ Notes
Ces étapes ont été testées sur un serveur web exécutant le système d'exploitation
1. Installer le rôle de serveur web et Windows Identity Foundation
2. Installer le Kit de développement logiciel (SDK) de Windows Identity Foundation
3. Configurer l'exemple d'application basée sur des revendications dans IIS
4. Créer une approbation de partie de confiance sur votre serveur de fédération
Installer le rôle de serveur web et Windows Identity

Foundation
1. ７ Notes
Vous devez avoir accès au support d’installation Windows Server 2012 R2.
Connectez-vous à WebServ1 en utilisant administrator@contoso.com et le mot de

passe pass@word1.
2. Depuis le Gestionnaire de serveur, sous l'onglet Démarrage rapide de la vignette

Bienvenue sur la page Tableau de bord, cliquez sur Ajouter des rôles et des
fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et
fonctionnalités dans le menu Gérer.

6. Dans la page Sélectionner des rôles de serveurs, cochez la case Serveur Web (IIS),
cliquez sur Ajouter des fonctionnalités, puis cliquez sur Suivant.
7. Dans la page Sélectionner des fonctionnalités, sélectionnez Windows Identity

Foundation 3.5, puis cliquez sur Suivant.
8. Dans la page Rôle de serveur web (IIS), cliquez sur Suivant.
9. Dans la page Sélectionner les services de rôle, sélectionnez et développez

Développement d'applications. Sélectionnez ASP.NET 3.5, cliquez sur Ajouter des
fonctionnalités, puis cliquez sur Suivant.
10. Dans la page Confirmer les sélections d'installation, cliquez sur Spécifier un autre
chemin d'accès source. Entrez le chemin d'accès du répertoire Sxs sur le support
d'installation de Windows Server 2012 R2. Par exemple, D:\Sources\Sxs. Cliquez sur
OK, puis sur Installer.
Installer le Kit de développement logiciel (SDK) de

Windows Identity Foundation
1. Exécutez WindowsIdentityFoundation-SDK-3.5.msi pour installer le Kit de
développement logiciel (SDK) de Windows Identity Foundation version 3.5.
Choisissez toutes les options par défaut.
Configurer l'exemple d'application basée sur des

revendications dans IIS
1. Installez un certificat SSL valide dans le magasin de certificats de l'ordinateur. Le
certificat doit contenir le nom de votre serveur web, webserv1.contoso.com.
2. Copiez le contenu de C:\Program Files (x86)\Windows Identity Foundation

SDK\v3.5\Samples\Quick Start\Web
Application\PassiveRedirectBasedClaimsAwareWebApp vers C:\Inetpub\Claimapp.
3. Modifiez le fichier Default.aspx.cs de manière à éviter tout filtrage de

revendications. Ainsi, l'exemple d'application affiche toutes les revendications
émises par le serveur de fédération. Effectuez les actions suivantes :
a. Ouvrez Default.aspx.cs dans un éditeur de texte.
b. Dans le fichier, recherchez la seconde occurrence d’ ExpectedClaims .

c. Commentez la totalité de l’instruction IF ainsi que ses accolades. Indiquez les
commentaires en tapant « // » (sans les guillemets) au début des lignes
concernées.
d. L’instruction FOREACH doit maintenant ressembler à l’exemple de code suivant.
Foreach (claim claim in claimsIdentity.Claims)
//Before showing the claims validate that this is an expected

claim
//If it is not in the expected claims list then don't show it
//if (ExpectedClaims.Contains( claim.ClaimType ) )
// {
writeClaim( claim, table );

//}
e. Enregistrez et fermez le fichier Default.aspx.cs.
f. Ouvrez web.config dans un éditeur de texte.
g. Supprimez la totalité de la section <microsoft.identityModel> . Supprimez tout

le code depuis including <microsoft.identityModel> jusqu’à
</microsoft.identityModel> (compris).
h. Enregistrez et fermez web.config.
4. Configurer le Gestionnaire des services Internet
a. Ouvrez Gestionnaire des services Internet (IIS) .
b. Accédez à Pools d'applications, cliquez avec le bouton droit sur

DefaultAppPool, puis sélectionnez Paramètres avancés. Définissez Charger le
profil utilisateur sur True, puis cliquez sur OK.
c. Cliquez avec le bouton droit sur DefaultAppPool, puis sélectionnez Paramètres

de base. Définissez Version CLR .NET sur Version CLR .NET v2.0.50727.
d. Cliquez avec le bouton droit sur Site Web par défaut, puis sélectionnez
Modifier les liaisons.
e. Ajoutez une liaison HTTPS au port 443 avec le certificat SSL que vous avez
installé.
f. Cliquez avec le bouton droit sur Site Web par défaut, puis sélectionnez Ajouter
une application.
g. Définissez l'alias sur claimapp et le chemin d'accès physique sur

c:\inetpub\claimapp.
5. Pour que claimapp fonctionne avec votre serveur de fédération, procédez comme
suit :
a. Exécutez FedUtil.exe, qui se trouve dans C:\Program Files (x86)\Windows

Identity Foundation SDK\v3.5.
b. Définissez l’emplacement de configuration de l’application sur

C:\inetput\claimapp\web.config puis définissez l’URI de l’application sur l’URL
de votre site, https://webserv1.contoso.com /claimapp/. Cliquez sur Suivant.
c. Sélectionnez Utiliser un STS existant, puis accédez à l’URL des métadonnées de

votre serveur AD FS https://adfs1.contoso.com/federationmetadata/2007-
06/federationmetadata.xml . Cliquez sur Suivant.
d. Sélectionnez Désactiver la validation de la chaîne de certificats, puis cliquez

sur Suivant.
e. Sélectionnez Aucun chiffrement, puis cliquez sur Suivant. Dans la page

Revendications proposées, cliquez sur Suivant.
f. Cochez la case Planifier une tâche pour effectuer des mises à jour
quotidiennes des métadonnées WS-Federation. Cliquez sur Terminer.
g. Votre exemple d'application est maintenant configuré. Si vous testez l’URL

d’application https://webserv1.contoso.com/claimapp , elle doit vous
rediriger vers votre serveur de fédération. Le serveur de fédération doit afficher
une page d'erreur, car vous n'avez pas encore configuré l'approbation de partie
de confiance. En d’autres termes, vous n’avez pas sécurisé cette application test
avec AD FS.
Vous devez à présent sécuriser votre exemple d’application qui s’exécute sur votre
serveur web avec AD FS. Pour ce faire, vous pouvez ajouter une approbation de partie
de confiance à votre serveur de fédération (ADFS1). Regardez la vidéo Active Directory
Federation Services How-To Video Series: Add a Relying Party Trust (Série de vidéos de
procédure sur les services AD FS : Ajout d’une approbation de partie de confiance)
Créer une approbation de partie de confiance sur votre

1. Sur votre serveur de fédération (ADFS1), dans la console Gestion AD FS, accédez à
Approbations de partie de confiance, puis cliquez sur Ajouter une approbation
de partie de confiance.
2. Dans la page Sélectionner une source de données, sélectionnez Importer les

données, publiées en ligne ou sur un réseau local, concernant la partie de
confiance, entrez l'URL des métadonnées de claimapp, puis cliquez sur Suivant.
Grâce à l'outil FedUtil.exe, vous avez créé un fichier .xml de métadonnées. Ce
fichier se trouve à l’emplacement suivant :
https://webserv1.contoso.com/claimapp/federationmetadata/2007-
06/federationmetadata.xml .
3. Dans la page Entrer le nom complet, spécifiez le nom complet de votre

approbation de partie de confiance, claimapp, puis cliquez sur Suivant.
4. Dans la page Configurer l'authentification multifacteur maintenant ?,

sélectionnez Ne pas configurer les paramètres d'authentification multifacteur
pour cette approbation de partie de confiance, puis cliquez sur Suivant.
5. Dans la page Choisir les règles d'autorisation d'émission, sélectionnez Autoriser

l'accès de tous les utilisateurs à cette partie de confiance, puis cliquez sur
Suivant.
6. Dans la page Prêt à ajouter l'approbation, cliquez sur Suivant.
7. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur Ajouter
une règle.
8. Dans la page Choisir le type de règle, sélectionnez Envoyer les revendications en

utilisant une règle personnalisée, puis cliquez sur Suivant.
9. Dans la page Configurer la règle de revendication, dans la zone Nom de la règle

de revendication, tapez All Claims. Dans la zone Règle personnalisée, tapez la
règle de revendication suivante.
c:[ ]
=> issue(claim = c);
10. Cliquez sur Terminer, puis sur OK.
Étape 4 : Configurer l’ordinateur client (Client1)

Configurez une autre machine virtuelle et installez Windows 8.1. Cette machine virtuelle
doit se trouver sur le même réseau virtuel que les autres machines. Cette machine NE
DOIT PAS être jointe au domaine Contoso.
Le client DOIT approuver le certificat SSL utilisé pour le serveur de fédération (ADFS1),
que vous avez configuré dans Step 2: Configure the federation server (ADFS1) with
Device Registration Service. Il doit aussi pouvoir valider les informations sur la
révocation du certificat.
Vous devez également configurer un compte Microsoft et l'utiliser pour vous connecter
à Client1.
Voir aussi
Active Directory Federation Services How-To Video Series: Installing an AD FS
Server Farm
Active Directory Federation Services How-To Video Series: Updating Certificates
Active Directory Federation Services How-To Video Series: Add a Relying Party
Trust
Active Directory Federation Services How-To Video Series: Enabling the Device
Registration Service
Active Directory Federation Services How-To Video Series: Enabling the Device
Registration Service (Série de vidéos de procédure sur les services AD FS :
Installation du proxy d’application web)
Mettre à niveau une batterie de serveurs
AD FS existante à l’aide de la base de
données interne Windows
Article • 14/04/2023
） Important
Plutôt que d’effectuer une mise à niveau vers la dernière version des services AD FS,
Microsoft recommande vivement la migration vers Azure AD.
Pour plus
d’informations, consultez Ressources pour la désactivation des services AD FS
Dans cet article, vous apprenez à mettre à niveau le niveau de comportement de la

batterie de serveurs pour les services de fédération Active Directory (AD FS) lors de
l’utilisation de la base de données interne Windows (WID). À compter de Windows
Server 2016, le niveau de comportement de la batterie de serveurs (FBL) a été introduit
dans AD FS. Le FBL est un paramètre à l’échelle de la batterie de serveurs qui détermine
les fonctionnalités que la batterie AD FS peut utiliser.
Les administrateurs peuvent ajouter de nouveaux serveurs de fédération à une batterie

Windows Server en « mode mixte ».
Le mode mixte fonctionne au même niveau de
comportement de la batterie de serveurs que celui de la batterie de serveurs d’origine,
afin de garantir un comportement homogène. Les fonctionnalités des versions Windows
Server AD FS plus récentes ne sont pas configurables ni utilisables.
Prérequis
Avant de pouvoir mettre à niveau le niveau de comportement de la batterie de serveurs,
vous devez remplir les conditions préalables suivantes :
Déterminez la version de Windows Server vers laquelle effectuer la mise à niveau.
Déployez la version cible de Windows Server sur un nouvel ordinateur, appliquez

toutes les mises à jour Windows et installez le rôle serveur Active Directory
Federation Service. Pour plus d’informations, voir Ajouter un serveur de fédération
à une batterie de serveurs de fédération existante.
Si vous utilisez également le proxy d’application web de Windows Server, déployez

la version cible de Windows Server sur un nouvel ordinateur, appliquez tous les
mises à jour Windows, installez le rôle serveur d’accès à distance et le service de
rôle Proxy d’application web. Pour plus d’informations, voir Utilisation du proxy
Si vous effectuez une mise à niveau vers AD FS dans Windows Server 2016 ou une
version ultérieure, la mise à niveau de la batterie de serveurs nécessite que le
schéma AD soit au moins de niveau 85. Si vous effectuez une mise à niveau vers
AD FS dans Windows Server 2019 ou une version ultérieure, le schéma AD doit être
au moins de 88. Pour plus d’informations sur la mise à niveau de votre domaine,
consultez Mettre à niveau des contrôleurs de domaine vers une version plus
récente de Windows Server.
Fixez un laps de temps défini pour l’achèvement. Il est déconseillé d’utiliser un état
en mode mixte sur une longue période. Le fait de laisser AD FS en mode mixte
peut entraîner des problèmes avec la batterie de serveurs.
Sauvegardez votre configuration AD FS et vos serveurs de fédération.
Niveaux de comportement de la batterie de

serveurs
Par défaut, le niveau de comportement de la batterie de serveurs (FBL) dans une
nouvelle batterie AD FS correspond à la valeur pour la version Windows Server du
premier nœud de batterie de serveurs installé.
Un serveur AD FS d’une version ultérieure peut être joint à une batterie de serveurs avec
un FBL inférieur. La batterie de serveurs fonctionne au même FBL que le ou les nœuds
existants. Lorsque plusieurs versions de Windows Server fonctionnent dans la même
batterie de serveurs à la valeur FBL de la version la plus basse, votre batterie de serveurs
est dite « mixte ». Toutefois, vous ne pouvez pas tirer parti des fonctionnalités des
versions plus récentes tant que le niveau FBL n’est pas relevé. Si votre organisation
cherche à tester les nouvelles fonctionnalités avant d’élever le FBL, vous devez déployer
une batterie de serveurs distincte.
Le tableau suivant répertorie les valeurs FBL possibles et les noms de base de données
de configuration par version de Windows Server.
Version de Windows Server FBL Nom de base de données de configuration AD FS
2012 R2 1 AdfsConfiguration
2016 3 AdfsConfigurationV3
2019 et 2022 4 AdfsConfigurationV4

７ Notes
La mise à niveau du FBL crée une base de données de configuration AD FS.
Maintenant que vous comprenez la finalité du FBL et que vous avez satisfait aux
conditions préalables, vous êtes prêt à examiner de plus près votre FBL actif.
Pour trouver votre FBL actif :
1. Connectez-vous à votre serveur de fédération et ouvrez une session PowerShell

avec élévation de privilèges.
2. Exécutez la commande PowerShell suivante pour retourner les informations

actuelles sur le FBL et les nœuds de la batterie de serveurs.
PowerShell
Get-AdfsFarmInformation
3. Regardez CurrentFarmBehavior et FarmNodes .
Migration des serveurs de fédération

Une fois que vous avez collecté les informations actuelles de la batterie de serveurs de
fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer
la mise à niveau :
1. Ajoutez le ou les nouveaux serveurs de fédération à votre batterie de serveurs

existante. Pour plus d’informations, voir Ajouter un serveur de fédération à une
batterie de serveurs de fédération existante.
2. Connectez-vous à votre nouveau serveur de fédération, puis ouvrez une session

PowerShell avec élévation de privilèges. Si vous avez plusieurs serveurs, exécutez
cette commande sur un seul serveur.
3. Définissez la propriété de synchronisation du serveur de fédération pour qu’il

prenne le rôle d’ordinateur principal en exécutant la commande suivante. Pour en
savoir plus, consultez les informations de référence sur la commande Set-
AdfsSyncProperties.
PowerShell
Set-AdfsSyncProperties -Role PrimaryComputer
4. Connectez-vous aux autres serveurs de fédération de la batterie de serveurs,

ouvrez une session PowerShell avec élévation de privilèges.
5. Définissez le rôle d’ordinateur secondaire en exécutant la commande suivante.
PowerShell
Set-AdfsSyncProperties -Role SecondaryComputer -PrimaryComputerName "

<primary-server-FQDN>"
6. Mettez à jour l’équilibreur de charge, le DNS ou les configurations réseau pour

utiliser les nouveaux serveurs de fédération, en vérifiant que le serveur est
opérationnel. Pour plus d’informations, voir Vérifier que votre serveur de fédération
Windows Server 2012 R2 est opérationnel.
7. Désinstallez le rôle serveur Active Directory Federation Service des précédents

serveurs, puis exécutez la commande suivante pour supprimer les entrées
obsolètes.
PowerShell
Set-AdfsFarmInformation -RemoveNode "<old-server-FQDN>"
Maintenant que vous disposez d’un serveur de fédération dans votre batterie de
serveurs, et que vous avez supprimé les serveurs précédents, vous êtes prêt à mettre à
niveau le FBL. Pour en savoir plus sur la désactivation, consultez Étapes de désactivation
de vos serveurs AD FS.
Mettre à niveau le comportement de la batterie

de serveurs
Une fois que vous avez collecté les informations actuelles de la batterie de serveurs de
fédération, vous êtes prêt à commencer le processus de mise à niveau. Pour commencer
la mise à niveau :
1. Connectez-vous à votre serveur de fédération principal, puis ouvrez une session

PowerShell avec élévation de privilèges.
2. Exécutez la commande suivante pour tester si vous pouvez élever le niveau de

comportement d’une batterie de serveurs.
PowerShell
Test-AdfsFarmBehaviorLevelRaise
3. Lorsque vous avez vérifié les résultats, mettez à niveau le niveau de comportement
de la batterie de serveurs en exécutant la commande suivante.
Vous êtes invité à
continuer.
PowerShell
Invoke-AdfsFarmBehaviorLevelRaise
4. Contrôlez la sortie de la commande pour vérifier que l’opération a réussi. Pour

vérifier le nouveau niveau de comportement de la batterie de serveurs, exécutez la
commande PowerShell suivante qui retourne les informations actuelles sur le FBL
et le nœud de la batterie de serveurs.
PowerShell
Get-AdfsFarmInformation
Vous venez de mettre à niveau votre FBL pour qu’il corresponde à votre version cible de
Windows Server. Si vous utilisez également le service de rôle Proxy d’application web de
Windows Server, passez à la section suivante.
Mettre à niveau le proxy d’application web

À présent que vous avez mis à jour votre FBL, vous devez mettre à niveau le proxy
d’application web (WAP) au niveau le plus récent.
1. Connectez-vous à votre serveur Proxy d’application web récemment déployé et

ouvrez une session PowerShell avec élévation de privilèges.
2. Importez le certificat utilisé par le certificat de fédération, notez l’empreinte du

certificat.
3. Pour configurer WAP, exécutez la commande PowerShell suivante, en remplaçant

l’espace réservé <value> par vos propres valeurs. Répétez cette étape pour les
autres serveurs Proxy d’application web.
Powershell
$trustcred = Get-Credential -Message "<Enter Domain Administrator
credentials>"
Install-WebApplicationProxy -CertificateThumbprint "

<SSLCertThumbprint>" -FederationServiceName "<FScomputername>" -
FederationServiceTrustCredential $trustcred
4. Pour connaître les serveurs Proxy d’application web connectés en cours, exécutez
la commande suivante et regardez les valeurs ConnectedServerName et
ConfigurationVersion .
PowerShell
Get-WebApplicationProxyConfiguration
７ Notes
Ignorez l’étape suivante si ConfigurationVersion est Windows Server 2016 . Il

s’agit de la valeur correcte du Proxy d’application web sur Windows
Server 2016 et versions ultérieures.
5. Supprimez les anciens serveurs Proxy d’application web et conservez uniquement

les nouveaux serveurs configurés dans les étapes précédentes en exécutant
l’applet de commande PowerShell suivante :
Powershell
Set-WebApplicationProxyConfiguration -ConnectedServersName
"WAPServerName1, WAPServerName2"
6. Pour mettre à niveau ConfigurationVersion des serveurs WAP, exécutez la

commande PowerShell suivante :
Powershell
Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
Vous venez de terminer la mise à niveau du Proxy d’application web.
Modèle d’approbation de certificat avec

Windows Hello Entreprise
Si vous utilisez les services AD FS sur Windows Server 2019 ou une version ultérieure, et
Windows Hello Entreprise dans un modèle d’approbation de certificat, vous pouvez
rencontrer le message d’erreur du journal des événements suivant.
Received invalid Oauth request. The client 'NAME' is forbidden to access the
resource with scope 'ugs'.
Pour corriger cette erreur :
1. Ouvrez la console de gestion AD FS. Accédez à Services > Descriptions d’étendue.
2. Cliquez avec le bouton droit sur Descriptions d’étendue et sélectionnez Ajouter

une description d’étendue.
3. Sous nom, tapez ugs, puis sélectionnez Appliquer > OK.
4. Lancez Windows PowerShell en tant qu’administrateur, puis exécutez les

commandes ci-après.
PowerShell
$id = (Get-AdfsApplicationPermission -ServerRoleIdentifiers

'http://schemas.microsoft.com/ws/2009/12/identityserver/selfscope' | ?{
$_.ClientRoleIdentifier -eq '38aa3b87-a06d-4817-b275-7a316988d93b'
}).ObjectIdentifier
Set-AdfsApplicationPermission -TargetIdentifier $id -AddScope 'ugs'
5. Redémarrez le service AD FS.
6. Redémarrez le client. L’utilisateur doit être invité à provisionner Windows Hello

Entreprise.
Étapes suivantes
Maintenant que vous venez de mettre à niveau votre déploiement AD FS, voici quelques
articles qui peuvent vous être utiles.
Vérifier qu’un serveur de fédération est opérationnel

Vérifier qu’un serveur proxy de fédération est opérationnel
Déploiement d’Active Directory
Federation Services dans Azure
AD FS simplifie et sécurise la fédération des identités et l’authentification unique (SSO)

sur le web. La fédération avec AD Azure ou O365 permet aux utilisateurs de
s’authentifier à l’aide de leurs informations d’identification locales et d’accéder à toutes
les ressources du cloud. Par conséquent, il est important de disposer d’une
infrastructure AD FS hautement disponible pour garantir l’accès aux ressources locales
et dans le cloud. Le déploiement d’AD FS dans Azure peut contribuer à bénéficier d’une
haute disponibilité avec un minimum d’efforts.
Le déploiement d’AD FS dans Azure
présente toute une série d’avantages, notamment :
Haute disponibilité : la puissance des groupes à haute disponibilité Azure vous

garantit une infrastructure hautement disponible.
Simplicité de mise à l’échelle : besoin de meilleures performances ? Migrez
facilement vers des ordinateurs plus puissants en seulement quelques clics dans
Azure
Géo-redondance inter-région : la redondance géographique Azure garantit une
haute disponibilité de votre infrastructure dans le monde entier
Facilité de gestion : le portail Azure propose des options de gestion extrêmement
simplifiées, conçues pour faciliter et automatiser la gestion de votre infrastructure
Principes de conception
Le schéma ci-dessus présente la topologie de base recommandée pour amorcer le
déploiement de votre infrastructure AD FS dans Azure. Vous trouverez ci-dessous les
principes qui sous-tendent les différents composants de cette topologie :
Contrôleur de domaine / serveurs AD FS: si votre environnement compte moins

de 1 000 utilisateurs, vous pouvez installer simplement le rôle AD FS sur vos
contrôleurs de domaine. Si vous ne souhaitez aucun impact sur les performances
de vos contrôleurs de domaine ou si vous gérez plus de 1 000 utilisateurs, vous
pouvez déployer AD FS sur des serveurs distincts.
Serveur WAP : il est nécessaire de déployer des serveurs Web Application Proxy
afin que les utilisateurs puissent également accéder à AD FS lorsqu’ils se trouvent
en dehors du réseau d’entreprise.
DMZ: les serveurs Web Application Proxy seront placés dans la zone DMZ et SEUL
un accès TCP/443 sera autorisé entre la zone DMZ et le sous-réseau interne.
Équilibreurs de charge: pour garantir une haute disponibilité du serveur AD FS et
des serveurs Web Application Proxy, nous vous recommandons d’utiliser un
équilibreur de charge interne pour les serveurs AD FS et de préférer l’utilisation
d’Azure Load Balancer pour les serveurs Web Application Proxy.
Groupes à haute disponibilité: pour apporter une redondance à votre
déploiement AD FS, nous vous recommandons de regrouper plusieurs machines
virtuelles dans un groupe à haute disponibilité pour des charges de travail
similaires. Dans une telle configuration, vous avez la garantie qu’au moins une des
machines virtuelles sera disponible pendant un événement de maintenance
planifié ou non planifié.
Comptes de stockage: il est recommandé de disposer de deux comptes de
stockage. L’utilisation d’un seul compte de stockage peut entraîner la création d’un
point de défaillance unique et provoquer une indisponibilité du déploiement dans
l’éventualité (peu probable) où le compte de stockage serait inutilisable. Le choix
de deux comptes de stockage permet d’associer un compte de stockage pour
chaque ligne d’erreur.
Séparation des réseaux : les serveurs Web Application Proxy doivent être déployés
sur un réseau DMZ distinct. Vous pouvez diviser un réseau virtuel en deux sous-
réseaux, puis déployer le ou les serveurs Web Application Proxy dans un sous-
réseau isolé. Vous pouvez simplement configurer les paramètres du groupe de
sécurité réseau pour chaque sous-réseau et autoriser uniquement les
communications requises entre les deux sous-réseaux. Voir les détails ci-dessous
en fonction du scénario de déploiement
Procédure de déploiement d’AD FS dans Azure

Les étapes indiquées dans cette section expliquent comment déployer dans Azure
l’infrastructure AD FS représentée ci-dessous.
1. Déployer le réseau
Comme indiqué ci-dessus, vous pouvez soit créer deux sous-réseaux dans un même
réseau virtuel, soit créer deux réseaux virtuels totalement différents. Cet article se
concentre sur le déploiement d’un seul réseau virtuel subdivisé en deux sous-réseaux.
Cette approche est actuellement plus abordable dans la mesure où l’utilisation de deux
réseaux virtuels distincts nécessiterait une passerelle de réseau virtuel à réseau virtuel
pour l’établissement des communications.
1.1 Création d’un réseau virtuel
Dans le portail Azure, sélectionnez le réseau virtuel de votre choix. D’un simple clic, vous
pouvez dès lors déployer immédiatement le réseau virtuel et un sous-réseau. Un sous-
réseau INT est également défini et prêt à recevoir des machines virtuelles.
L’étape
suivante consiste à ajouter un autre sous-réseau au réseau, c’est-à-dire le sous-réseau
DMZ. Pour créer le sous-réseau DMZ, procédez simplement comme suit :
Sélectionnez le réseau que vous venez de créer

Dans les propriétés, sélectionnez le sous-réseau
Dans le panneau Sous-réseau, cliquez sur le bouton Ajouter
Indiquez le nom du sous-réseau et les informations relatives à l’espace d’adresse
pour créer le sous-réseau
1.2. Création des groupes de sécurité réseau
Un groupe de sécurité réseau (NSG) contient une liste des règles de liste de contrôle
d’accès (ACL) qui autorise ou rejette les instances de machine virtuelle dans un réseau
virtuel. Des groupes de sécurité réseau peuvent être associés à des sous-réseaux ou à
des instances de machine virtuelle au sein de ce sous-réseau. Lorsqu’un groupe de
sécurité réseau est associé à un sous-réseau, les règles ACL s’appliquent à toutes les
instances de machine virtuelle présentes dans ce sous-réseau.
Dans cet article, nous
allons créer deux groupes de sécurité réseau : un pour un réseau interne, l’autre pour la
zone DMZ. Ces groupes seront respectivement nommés NSG_INT et NSG_DMZ.
Une fois le groupe de sécurité réseau créé, il n’y a aucune règle de trafic entrant ni
aucune règle de trafic sortant. Une fois que les rôles sont installés et opérationnels sur
les serveurs concernés, les règles de trafics entrant et sortant peuvent être modulées
selon le niveau de sécurité souhaité.
Une fois les groupes de sécurité réseau créés, associez NSG_INT au sous-réseau INT et
NSG_DMZ à la zone DMZ du sous-réseau. Exemple de capture d’écran :
Cliquez sur Sous-réseaux pour ouvrir le panneau correspondant

Sélectionnez le sous-réseau à associer au groupe de sécurité réseau
Après la configuration, le panneau Sous-réseaux doit se présenter comme suit :

1.3. Création d’une connexion en local
Nous avons besoin d’une connexion en local afin de déployer le contrôleur de domaine
(DC) dans Azure. Azure propose différentes options de connectivité permettant de
connecter votre infrastructure locale à votre infrastructure Azure.
Point à site
Réseau virtuel de site à site
ExpressRoute
Nous vous recommandons d’utiliser ExpressRoute. ExpressRoute vous permet de créer

des connexions privées entre les centres de données Azure et une infrastructure locale
ou dans un environnement de colocalisation. Les connexions ExpressRoute ne sont pas
établies par le biais de l'Internet public. Elles offrent davantage de fiabilité, des vitesses
supérieures, des latences inférieures et une sécurité renforcée par rapport aux
connexions classiques sur Internet.
Bien qu’il soit recommandé d’utiliser ExpressRoute,
vous pouvez choisir n’importe quelle méthode de connexion qui vous semble la plus
adaptée à votre organisation. Pour en savoir plus sur ExpressRoute et sur les différentes
options de connectivité basées sur ExpressRoute, consultez l’article Présentation
technique d’ExpressRoute.
2. Créer des comptes de stockage

Pour maintenir une haute disponibilité et éviter toute dépendance à un seul compte de
stockage, vous pouvez créer deux comptes de stockage. Répartissez en deux groupes
les machines virtuelles de chaque groupe à haute disponibilité, puis affectez chaque
groupe à un compte de stockage distinct.
3. Créer des groupes à haute disponibilité
Pour chaque rôle (contrôleur de domaine/AD FS et WAP), créez des groupes à haute
disponibilité qui contiendront au minimum deux machines virtuelles, ce afin de garantir
une meilleure disponibilité pour chaque rôle.
Lorsque vous créez des groupes à haute
disponibilité, vous devez impérativement étudier les aspects suivants :
Domaines d’erreur: les machines virtuelles du même domaine d’erreur partagent la

même source d’alimentation et le même commutateur réseau physique. Il est
recommandé d’utiliser au moins 2 domaines d’erreur. Vous pouvez utiliser la valeur
par défaut (3) pour les besoins de ce déploiement
Domaines de mise à jour: les machines attachées au même domaine de mise à
jour seront redémarrées simultanément pendant une mise à jour. Vous devez
disposer d’au moins 2 domaines de mise à jour. Vous pouvez utiliser la valeur par
défaut (5) pour les besoins de ce déploiement
Créez les groupes à haute disponibilité suivants :
Groupe à haute disponibilité Rôle Domaines d’erreur Domaines de mise à jour
contosodcset DC/AD FS 3 5
contosowapset WAP 3 5
4. Déployer des machines virtuelles
L’étape suivante consiste à déployer les machines virtuelles qui hébergeront les
différents rôles de votre infrastructure. Nous vous recommandons d’affecter au moins
deux machines virtuelles à chaque groupe à haute disponibilité. Créez quatre machines
virtuelles dans le cadre du déploiement de base.
Machine Rôle Subnet Groupe à haute Compte de Adresse IP

disponibilité stockage
contosodc1 DC/AD FS INT contosodcset contososac1 statique
contosodc2 DC/AD FS INT contosodcset contososac2 statique
contosowap1 WAP DMZ contosowapset contososac1 statique
contosowap2 WAP DMZ contosowapset contososac2 statique
Comme vous l’avez peut-être remarqué, aucun groupe de sécurité réseau n’a été
spécifié, car Azure vous autorise à utiliser un groupe de sécurité réseau au niveau du
sous-réseau. Vous pouvez dès lors contrôler le trafic réseau de la machine à l’aide du
groupe de sécurité réseau précisément associé au sous-réseau ou à l’objet de carte
réseau. Pour en savoir plus, consultez l’article Présentation du groupe de sécurité réseau.
Nous vous recommandons d’utiliser une adresse IP statique si vous gérez le serveur
DNS. Vous pouvez aussi utiliser Azure DNS et, au lieu des enregistrements DNS de votre
domaine, référencer les nouvelles machines virtuelles par leurs noms de domaine
complets Azure.
Une fois le déploiement terminé, le volet de votre machine virtuelle
devrait ressembler à ce qui suit :
5. Configurer le contrôleur de domaine / les serveurs AD

FS
Afin d’authentifier les demandes entrantes, AD FS doit pouvoir contacter le contrôleur
de domaine. Pour éviter un transfert coûteux entre Azure et le contrôleur de domaine
local dans le cadre de l’authentification, il est recommandé de déployer un réplica du
contrôleur de domaine dans Azure. Pour bénéficier d’une haute disponibilité, il est
recommandé de créer un groupe à haute disponibilité comprenant au moins 2
Contrôleur de domaine Rôle Compte de stockage
contosodc1 Réplica contososac1
contosodc2 Réplica contososac2
Déployez les deux serveurs en tant que réplicas de contrôleurs de domaine avec
DNS
Configurez les serveurs AD FS en installant le rôle AD FS à l’aide du gestionnaire de
serveurs.
6. Déployer l’équilibreur de charge interne (ILB)

6.1. Création de l’équilibreur de charge interne
Pour déployer un équilibreur de charge interne, sélectionnez Équilibreurs de charge

dans le portail Azure, puis cliquez sur Ajouter (+).
７ Notes
Si vous ne voyez pas l’option de menu Équilibreurs de charge, cliquez sur Parcourir
en bas à gauche du portail, puis faites défiler jusqu’à Équilibreurs de charge.
Cliquez ensuite sur l’étoile jaune pour ajouter l’option à votre menu. Sélectionnez
maintenant la nouvelle icône d’équilibreur de charge pour ouvrir le panneau qui
vous permettra de configurer l’équilibreur de charge.
Nom: attribuez un nom approprié à l’équilibreur de charge
Schéma: dans la mesure où cet équilibreur de charge sera placé devant les
serveurs AD FS et où il a été conçu EXCLUSIVEMENT pour des connexions réseau
internes, vous devez sélectionner l’option « Interne »
Réseau virtuel: choisissez le réseau virtuel dans lequel vous allez déployer vos
services AD FS
Sous-réseau: sélectionnez ici votre sous-réseau interne
Attribution d'adresse IP : statique
Cliquez sur Créer pour déployer l’équilibreur de charge interne ; celui-ci doit
normalement apparaître dans la liste des équilibreurs de charge :
L’étape suivante consiste à configurer le pool principal et la sonde principale.
6.2. Configuration du pool principal de l’équilibreur de charge interne
Dans le panneau Équilibreurs de charge, sélectionnez l’équilibreur de charge interne que

vous venez de créer. Vous accédez au panneau Paramètres.
1. Sélectionnez les pools principaux à partir du panneau Paramètres

2. Dans le panneau Ajouter un pool principal, cliquez sur Ajouter une machine
virtuelle
3. Dans le panneau qui s’affiche, vous pouvez choisir votre groupe à haute
disponibilité
4. Choisissez le groupe à haute disponibilité AD FS
6.3. Configuration de la sonde
Dans le panneau Équilibreurs de charge internes, sélectionnez Sondes d’intégrité.
1. Cliquez sur Ajouter

2. Indiquez les détails de la sonde a. Nom : nom de la sonde b. Protocole : HTTP c.
Port : 80 (HTTP) d. Chemin d’accès : /adfs/probe e. Intervalle : 5 (valeur par défaut)
: il s’agit de l’intervalle auquel l’équilibreur de charge interne interrogera les
machines virtuelles du pool principal f. Seuil de défaillance d’intégrité : 2 (valeur
par défaut) : il s’agit du seuil limite de défaillances consécutives de la sonde au-
delà duquel l’équilibreur de charge interne considérera une machine du pool
principal comme non réactive et cessera de lui envoyer du trafic.
Nous utilisons le point de terminaison /adfs/probe qui a été créé explicitement pour les
contrôles d’intégrité dans un environnement AD FS où il est impossible de vérifier
l’intégralité du chemin d’accès HTTPS. Cette méthode est de meilleure qualité qu’une
vérification de base du port 443, qui ne reflète pas exactement l’état d’un déploiement
AD FS moderne. Des informations supplémentaires sur ce point sont disponibles ici :
https://blogs.technet.microsoft.com/applicationproxyblog/2014/10/17/hardware-load-
balancer-health-checks-and-web-application-proxy-ad-fs-2012-r2/ .
6.4. Créer des règles d’équilibrage de charge
Pour équilibrer au mieux le trafic, l’équilibreur de charge interne doit être configuré avec
des règles d’équilibrage de charge. Pour créer une règle d’équilibrage de charge,
1. Dans le panneau Paramètres de l’équilibreur de charge interne, sélectionnez Règle

d’équilibrage de charge
2. Cliquez sur Ajouter dans le panneau Règle d’équilibrage de charge
3. Dans le panneau Ajouter une règle d’équilibrage de charge, renseignez les champs
suivants : a. Nom : indiquez le nom de la règle b. Protocole : sélectionnez TCP c.
Port : 443 d. Port principal : 443 e. Pool principal : sélectionnez le pool que vous
avez précédemment créé pour le cluster AD FS f. Sonde: sélectionnez la sonde que
vous avez précédemment créée pour les serveurs AD FS
6.5. Mise à jour du serveur DNS avec l’équilibreur de charge interne
À l'aide de votre serveur DNS interne, créez un enregistrement A pour l’équilibreur de

charge interne. L’enregistrement A doit correspondre au service de fédération avec une
adresse IP pointant vers l’adresse IP de l’équilibreur de charge interne. Par exemple, si
l’adresse IP de l’équilibreur de charge interne est 10.3.0.8 et si le service de fédération
installé est fs.contoso.com, créez un enregistrement A pour fs.contoso.com pointant vers
10.3.0.8.
De cette manière, toutes les données transmises à fs.contoso.com pointeront
vers l’équilibreur de charge interne et seront routées de façon appropriée.
２ Avertissement
Si vous utilisez la base de données WID (Windows Internal Database) pour votre
base de données AD FS, cette valeur doit être temporairement définie pour pointer
vers votre serveur AD FS primaire, sinon l'inscription du proxy d'application Web
échouera. Après avoir inscrit avec succès tous les serveurs proxy d'application Web,
modifiez cette entrée DNS pour qu'elle pointe vers l'équilibreur de charge.
７ Notes
Si votre déploiement utilise également IPv6, veillez à créer un enregistrement AAAA

correspondant.
7. Configurer le serveur Web Application Proxy

7.1. Configuration des serveurs Web Application Proxy pour atteindre les serveurs AD
FS
Pour faire en sorte que les serveurs Web Application Proxy soient en mesure d’atteindre
les serveurs AD FS situés derrière l’équilibreur de charge interne, créez un
enregistrement dans le répertoire %systemroot%\system32\drivers\etc\hosts de
l’équilibreur de charge interne. Notez que le nom unique (DN) doit être le nom du
service de fédération (par exemple fs.contoso.com). L’entrée IP doit être celle de
l’adresse IP de l’équilibreur de charge interne (10.3.0.8, dans notre exemple).
２ Avertissement
Si vous utilisez la base de données WID (Windows Internal Database) pour votre
base de données AD FS, cette valeur doit être temporairement définie pour pointer
vers votre serveur AD FS primaire, sinon l'inscription du proxy d'application Web
échouera. Après avoir inscrit avec succès tous les serveurs proxy d'application Web,
modifiez cette entrée DNS pour qu'elle pointe vers l'équilibreur de charge.
7.2. Installation du rôle Web Application Proxy
Après avoir vérifié que les serveurs Web Application Proxy sont bien en mesure
d’atteindre les serveurs AD FS situés derrière l’équilibreur de charge interne, vous
pouvez installer les serveurs Web Application Proxy.
Les serveurs Web Application Proxy
n’ont pas besoin d’être joints au domaine. Installez les rôles Web Application Proxy sur
les deux serveurs Web Application Proxy en sélectionnant le rôle Accès à distance. Le
gestionnaire de serveurs vous guide dans l’installation du serveur WAP.
Pour plus
d’informations sur le déploiement de WAP, consultez la page Installer et configurer le
serveur proxy d’application web.
8. Déployer l’équilibreur de charge (public) accessible sur

Internet
8.1. Création d’un équilibreur de charge (public) accessible sur Internet
Dans le portail Azure, sélectionnez Équilibreurs de charge, puis cliquez sur Ajouter. Dans
le panneau Créer un équilibreur de charge, entrez les informations suivantes :
1. Nom: nom de l’équilibreur de charge

2. Schéma: Public ; cette option indique à Azure que cet équilibreur de charge aura
besoin d’une adresse publique.
3. Adresse IP: créez une nouvelle adresse IP (dynamique)
Après le déploiement, l’équilibreur de charge s’affiche dans la liste des équilibreurs de
charge.
8.2. Attribution d’un nom DNS à l’adresse IP publique
Dans le panneau Équilibreurs de charge, cliquez sur la nouvelle entrée d’équilibreur de

charge pour afficher le panneau de configuration. Suivez les étapes ci-dessous pour
configurer le nom DNS pour l’adresse IP publique :
1. Cliquez sur l’adresse IP publique. Vous accédez au panneau correspondant à

l’adresse IP publique et à ses paramètres
2. Cliquez sur Configuration
3. Indiquez un nom DNS. Ce nom deviendra ensuite le nom DNS public auquel vous
pouvez accéder depuis n’importe quel emplacement, par exemple
contosofs.westus.cloudapp.azure.com. Vous pouvez ajouter une entrée dans le
DNS externe pour le service de fédération (par exemple, fs.contoso.com) qui résout
le nom DNS de l’équilibreur de charge externe
(contosofs.westus.cloudapp.azure.com).
8.3. Configuration d’un pool principal pour l’équilibreur de charge (public) accessible
sur Internet
Suivez les mêmes étapes que pour la création de l’équilibreur de charge interne afin de
configurer le pool principal de l’équilibreur de charge (public) accessible sur Internet en
tant que groupe à haute disponibilité pour les serveurs WAP. Par exemple,
contosowapset.
8.4. Configurer une analyse
Suivez les mêmes étapes que pour la configuration de l’équilibreur de charge interne
afin de configurer la sonde pour le pool principal de serveurs WAP.
8.5. Création de(s) règle(s) d’équilibrage de charge
Suivez les mêmes étapes que pour l’équilibreur de charge interne afin de configurer la
règle d’équilibrage de charge pour le port TCP 443.
9. Sécurisation du réseau
9.1. Sécurisation du sous-réseau interne
En général, vous devez appliquer les règles suivantes pour sécuriser efficacement votre
sous-réseau interne (dans l’ordre indiqué ci-dessous)
Règle Description Flux
AllowHTTPSFromDMZ Autoriser la communication HTTPS à partir de la Trafic entrant

zone DMZ
DenyInternetOutbound Aucun accès à Internet Règle de trafic

sortant
9.2. Sécurisation du sous-réseau DMZ
Règle Description Flux
AllowHTTPSFromInternet Autoriser le trafic HTTPS entre Internet et la zone Trafic entrant

DMZ
DenyInternetOutbound Tout trafic est bloqué, à l’exception du trafic Règle de trafic

HTTPS vers Internet sortant
７ Notes
Si l’authentification du certificat utilisateur client (authentification clientTLS à l’aide

de certificats utilisateur X.509) est requise, AD FS nécessite l’activation du port TCP
49443 pour l’accès entrant.
10. Tester l’authentification dans AD FS

Le moyen le plus simple consiste à tester AD FS à l’aide de la page
IdpInitiatedSignon.aspx. Pour cela, vous devez activer l’authentification
IdpInitiatedSignOn sur les propriétés AD FS. Suivez les étapes ci-dessous pour vérifier
votre configuration AD FS
1. À l’aide de PowerShell, exécutez l’applet de commande ci-dessous sur le serveur

AD FS pour l’activer.
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
2. À partir d’une machine externe, accédez à https://adfs-
server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx.
3. Vous devriez accéder à la page AD FS ci-dessous :
Si l’authentification aboutit, vous obtenez le message de confirmation ci-dessous :
Modèle de déploiement d’AD FS dans Azure

Le modèle déploie une installation à 6 machines, 2 par contrôleur de domaine, AD FS et
WAP.
Modèle de déploiement d’AD FS dans Azure
Vous pouvez utiliser un réseau virtuel existant ou créer un nouveau réseau virtuel lors du
déploiement de ce modèle. Les différents paramètres disponibles pour la
personnalisation du déploiement sont répertoriés ci-dessous avec la description de
l’utilisation du paramètre dans le processus de déploiement.
Paramètre Description
Emplacement Région dans laquelle déployer les ressources, par exemple,

USA Est.
StorageAccountType Type de compte de stockage créé
VirtualNetworkUsage Indique si un réseau virtuel sera créé ou si un compte

existant est utilisé
VirtualNetworkName Nom du réseau virtuel à créer, obligatoire lors de

l’utilisation du réseau virtuel nouveau ou existant
VirtualNetworkResourceGroupName Spécifie le nom du groupe de ressources dans lequel

réside le réseau virtuel existant. Lorsque vous utilisez un
réseau virtuel existant, ce paramètre est obligatoire pour
que le déploiement puisse trouver l’ID de réseau virtuel
existant
VirtualNetworkAddressRange Plage d’adresses du nouveau réseau virtuel, obligatoire si

vous créez un nouveau réseau virtuel
InternalSubnetName Nom du sous-réseau interne, obligatoire dans les deux

options d’utilisation de réseau virtuel (nouveau ou existant)
InternalSubnetAddressRange Plage d’adresses du sous-réseau interne, qui contient les

contrôleurs de domaine et les serveurs AD FS, obligatoire
si vous créez un nouveau réseau virtuel.
DMZSubnetAddressRange Plage d’adresses du sous-réseau dmz, qui contient les

serveurs proxy d’application Windows, obligatoire si vous
créez un nouveau réseau virtuel.
DMZSubnetName Nom du sous-réseau interne, obligatoire dans les deux

options d’utilisation de réseau virtuel (nouveau ou
existant).
ADDC01NICIPAddress Adresse IP interne du premier contrôleur de domaine,

cette adresse IP est affectée de manière statique au
contrôleur de domaine et doit être une adresse IP valide
au sein du sous-réseau interne
Paramètre Description
ADDC02NICIPAddress Adresse IP interne du second contrôleur de domaine, cette

adresse IP est affectée de manière statique au contrôleur
de domaine et doit être une adresse IP valide au sein du
sous-réseau interne
ADFS01NICIPAddress Adresse IP interne du premier serveur AD FS, cette adresse

IP est affectée de manière statique au serveur AD FS et
doit être une adresse IP valide au sein du sous-réseau
interne
ADFS02NICIPAddress Adresse IP interne du second serveur AD FS, cette adresse

IP est affectée de manière statique au serveur AD FS et
doit être une adresse IP valide au sein du sous-réseau
interne
WAP01NICIPAddress Adresse IP interne du premier serveur WAP, cette adresse

IP est affectée de manière statique au serveur WAP et doit
être une adresse IP valide au sein du sous-réseau DMZ
WAP02NICIPAddress Adresse IP interne du second serveur WAP, cette adresse IP

est affectée de manière statique au serveur WAP et doit
être une adresse IP valide au sein du sous-réseau DMZ
ADFSLoadBalancerPrivateIPAddress Adresse IP interne de l’équilibrage de charge AD FS, cette

adresse IP est affectée de manière statique à l’équilibrage
de charge et doit être une adresse IP valide au sein du
sous-réseau interne
ADDCVMNamePrefix Préfixe du nom de machine virtuelle pour les contrôleurs

de domaine
ADFSVMNamePrefix Préfixe du nom de machine virtuelle pour les serveurs

AD FS
WAPVMNamePrefix Préfixe du nom de machine virtuelle pour les serveurs WAP
ADDCVMSize Taille de la machine virtuelle des contrôleurs de domaine
ADFSVMSize Taille de la machine virtuelle des serveurs AD FS
WAPVMSize Taille de la machine virtuelle des serveurs WAP
AdminUserName Nom de l’administrateur local des machines virtuelles
AdminPassword Mot de passe du compte administrateur local des

machines virtuelles
Groupes à haute disponibilité
Équilibrage de charge Azure
Équilibreur de charge interne
Équilibreur de charge accessible sur Internet
Comptes de stockage
Réseaux virtuels Azure
Liens AD FS et Web Application Proxy
Étapes suivantes
Intégration des identités locales dans Azure Active Directory
Configuration et gestion de vos services AD FS avec Azure AD Connect
Déploiement des services AD FS haute disponibilité par-delà les frontières dans
Azure avec Azure Traffic Manager
Déploiement des services AD FS haute
disponibilité par-delà les frontières dans
Azure avec Azure Traffic Manager
Déploiement des services AD FS dans Azure fournit des instructions détaillées sur la
façon dont vous pouvez déployer une infrastructure AD FS simple pour votre
organisation dans Azure. Cet article indique les étapes suivantes permettant de créer un
déploiement par-delà les frontières des services AD FS dans Azure à l’aide d’Azure
Traffic Manager. Azure Traffic Manager permet de créer une infrastructure AD FS à haute
disponibilité et haute performance, répartie géographiquement pour votre organisation
en utilisant les différentes méthodes de routage disponibles en fonction des besoins de
l’infrastructure.
Une infrastructure AD FS hautement disponible et par-delà les frontières permet

d’obtenir ce qui suit :
Élimination du point de défaillance unique : les fonctionnalités de basculement

d’Azure Traffic Manager vous permettent d’obtenir une infrastructure AD FS
hautement disponible même en cas de panne de l’un des centres de données
mondiaux.
Performances améliorées : vous pouvez utiliser le déploiement suggéré dans cet
article pour fournir une infrastructure AD FS haute performance qui peut aider les
utilisateurs à s’authentifier plus rapidement.
Principes de conception
Les principes de conception de base sont identiques à ceux qui sont indiqués dans la
section Principes de conception de l’article relatif au déploiement des services AD FS
dans Azure. Le diagramme ci-dessus présente une extension simple du déploiement de
base vers une autre région géographique. Voici quelques points à prendre en compte
lors de l’extension de votre déploiement vers une nouvelle région géographique :
Réseau virtuel : vous devez créer un réseau virtuel dans la région géographique où
vous souhaitez déployer une infrastructure AD FS supplémentaire. Dans le
diagramme ci-dessus, vous pouvez observer les deux réseaux virtuels Geo1 VNET
et Geo2 VNET dans chaque région géographique.
Contrôleurs de domaine et serveurs AD FS dans le réseau virtuel de la nouvelle
région géographique : il est recommandé de déployer des contrôleurs de
domaine dans la nouvelle région géographique afin que les serveurs AD FS de
cette nouvelle région n’aient pas à contacter un contrôleur de domaine d’un autre
réseau éloigné pour effectuer une authentification, ce qui améliore ainsi les
performances.
Comptes de stockage : les comptes de stockage sont associés à une région. Étant
donné que vous déployez des machines dans une nouvelle région géographique,
vous devez créer des comptes de stockage à utiliser dans la région.
Groupes de sécurité réseau : comme les comptes de stockage, les groupes de
sécurité réseau créés dans une région ne peuvent pas être utilisés dans une autre
région géographique. Vous devez donc créer des groupes de sécurité réseau
semblables à ceux de la première région géographique pour les sous-réseaux INT
et DMZ dans la nouvelle zone géographique.
Noms DNS des adresses IP publiques : Azure Traffic Manager peut désigner des
points de terminaison UNIQUEMENT via des noms DNS. Par conséquent, vous
devez créer des étiquettes DNS pour les adresses IP publiques des équilibreurs de
charge externes.
Azure Traffic Manager : Microsoft Azure Traffic Manager vous permet de contrôler
la distribution du trafic utilisateur vers vos points de terminaison de service
exécutés dans différents centres de données du monde entier. Azure Traffic
Manager fonctionne au niveau du DNS. Il utilise les réponses DNS pour diriger le
trafic de l’utilisateur final vers les points de terminaison globalement distribués. Les
clients se connectent ensuite à ces points de terminaison directement. Avec
différentes options de routage performances, pondérations et priorité, vous
pouvez facilement choisir l’option de routage la mieux adaptée aux besoins de
votre organisation.
Connectivité réseau virtuel à réseau virtuel entre deux régions : il est inutile de
disposer d’une connectivité entre les réseaux virtuels proprement dits. Comme
chaque réseau virtuel a accès aux contrôleurs de domaine et possède des serveurs
AD FS et WAP, il peut fonctionner sans aucune connectivité entre les réseaux
virtuels des différentes régions.
Procédure d’intégration d’Azure Traffic

Manager
Déployer les services AD FS dans la nouvelle région

géographique
Suivez les étapes et les instructions décrites dans l’article Déploiement des services AD
FS dans Azure pour déployer la même topologie dans la nouvelle région géographique.
Noms DNS des adresses IP publiques des équilibreurs de

charge accessibles sur Internet (publics)
Comme mentionné ci-dessus, Azure Traffic Manager ne peut faire référence aux
étiquettes DNS qu’en tant que points de terminaison et il est donc important de créer
des étiquettes DNS pour les adresses IP publiques des équilibreurs de charge externes.
La capture d’écran affichée ci-dessous vous indique comment configurer votre nom
DNS pour l’adresse IP publique.
Déploiement d’Azure Traffic Manager
Suivez les étapes ci-dessous pour créer un profil Traffic Manager. Pour plus
d’informations, vous pouvez également vous reporter à l’article Gestion d’un profil
Azure Traffic Manager.
1. Créez un profil Traffic Manager : donnez un nom unique à votre profil Traffic
Manager. Ce nom de profil fait partie du nom DNS et sert de préfixe pour
l’étiquette du nom de domaine Traffic Manager. Le nom/préfixe est ajouté à
.trafficmanager.net pour créer le nom DNS de votre gestionnaire de trafic. La
capture d’écran affichée ci-dessous illustre la définition du préfixe DNS du
gestionnaire de trafic, mysts, et la création du nom DNS obtenu,
mysts.trafficmanager.net.
2. Méthode de routage du trafic : trois options de routage sont disponibles dans
Traffic Manager :
Priorité
Performances
Pondéré
Performancess est recommandée pour obtenir une infrastructure AD FS

hautement réactive. Toutefois, vous pouvez choisir une méthode de routage
qui convient mieux à vos besoins de déploiement. L’option de routage
sélectionnée n’a pas d’incidence sur les fonctionnalités des services AD FS.
Pour plus d’informations, consultez l’article Méthodes de routage du trafic de
Traffic Manager . Dans l’exemple de capture d’écran ci-dessus, vous pouvez
voir la méthode Performances sélectionnée.
3. Configurez des points de terminaison : dans la page Traffic Manager, cliquez sur
des points de terminaison et sélectionnez Ajouter. Cette action permet d’ouvrir la
page Ajouter un point de terminaison semblable à la capture d’écran ci-dessous.
Pour les différentes entrées, suivez les recommandations ci-dessous :
Type : sélectionnez Point de terminaison Azure, car nous allons pointer vers une
adresse IP publique Azure.
Nom : créez le nom que vous souhaitez associer au point de terminaison. Il ne

s’agit pas du nom DNS et il n’a aucune incidence sur les enregistrements DNS.
Type de ressource cible : sélectionnez Adresse IP publique comme valeur de cette

propriété.
Ressource cible : vous pouvez choisir parmi les différents noms DNS dont vous
disposez dans votre abonnement. Choisissez le nom DNS correspondant au point
de terminaison configuré.
Ajoutez un point de terminaison pour chaque région géographique vers laquelle

vous souhaitez qu’Azure Traffic Manager achemine le trafic.
Pour plus
d’informations et pour connaître les instructions détaillées pour ajouter/configurer
des points de terminaison dans Traffic Manager, reportez-vous à l’article Ajouter,
désactiver, activer ou supprimer des points de terminaison
4. Configure probe (Configurer une analyse) : dans la page Traffic Manager, cliquez
sur Configuration. Dans la page de configuration, vous devez modifier les
paramètres d’analyse pour analyser le port HTTP 80 et le chemin d’accès relatif
/adfs/probe.
７ Notes
Une fois la configuration terminée, assurez-vous que les points de

terminaison ont bien l’état EN LIGNE. Si tous les points de terminaison sont à
l’état « dégradé », Azure Traffic Manager fera une meilleure tentative pour
acheminer le trafic en supposant que les diagnostics sont incorrects et que
tous les points de terminaison sont accessibles.
5. Modification des enregistrements DNS pour Azure Traffic Manager : votre service
de fédération doit être un enregistrement CNAME pour le nom DNS d’Azure Traffic
Manager. Créez un enregistrement CNAME dans les enregistrements DNS publics
afin que toute personne qui tente de contacter le service de fédération accède en
fait à Azure Traffic Manager.
Par exemple, pour pointer le service de fédération fs.fabidentity.com vers Traffic

Manager, vous devez mettre à jour votre enregistrement de ressource DNS comme
suit :
fs.fabidentity.com IN CNAME mysts.trafficmanager.net

Tester le routage et la connexion des services
AD FS
Test de routage
Un test très basique du routage consiste à effectuer un test Ping sur le nom DNS du
service de fédération à partir d’une machine de chaque région géographique. Selon la
méthode de routage choisie, le point de terminaison soumis réellement au test Ping est
reflété dans l’affichage Ping. Par exemple, si vous avez sélectionné le routage de type
Performances, le point de terminaison le plus proche de la région du client est atteint.
L’instantané indiqué ci-dessous présente deux tests Ping à partir de deux machines
clientes de différentes régions, l’une dans la région Asie Est et l’autre dans la région USA
Ouest.
Test de connexion des services AD FS

Le moyen le plus simple de tester AD FS est d’utiliser la page IdpInitiatedSignon.aspx.
Pour cela, vous devez activer l’authentification IdpInitiatedSignOn sur les propriétés AD
FS. Suivez les étapes ci-dessous pour vérifier votre configuration AD FS
1. À l’aide de PowerShell, exécutez l’applet de commande ci-dessous sur le serveur
AD FS pour l’activer.
Set-AdfsProperties -EnableIdPInitiatedSignonPage $true
2. À partir d’une machine externe, accédez à

https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx
3. Vous devriez accéder à la page AD FS ci-dessous :
En cas de connexion réussie, vous obtenez un message de réussite semblable à

celui qui suit :
Liens connexes
Déploiement des services AD FS dans Azure
Qu’est-ce que Traffic Manager ?
Méthodes de routage du trafic de Traffic Manager
Étapes suivantes
Gérer un profil Azure Traffic Manager
Ajouter, désactiver, activer ou supprimer des points de terminaison
Mise à niveau vers AD FS dans Windows
Server 2016 avec SQL Server
Article • 14/04/2023
） Important
Au lieu de mettre à niveau vers la dernière version d’AD FS, Microsoft recommande

vivement la migration vers Azure AD.
Pour plus d’informations, consultez
Ressources pour la désactivation des services AD FS
７ Notes
Commencez uniquement une mise à niveau avec un délai d’exécution définitif

prévu pour l’achèvement. Il n’est pas recommandé de conserver AD FS en mode
mixte pendant une période prolongée, car le fait de laisser AD FS en mode mixte
peut entraîner des problèmes avec la batterie de serveurs.
Passage d’une batterie de serveurs AD FS

Windows Server 2012 R2 à une batterie de
serveurs AD FS Windows Server 2016
Le document suivant décrit comment mettre à niveau votre batterie de serveurs AD FS
Windows Server 2012 R2 vers AD FS dans Windows Server 2016 lorsque vous utilisez un
SQL Server pour la base de données AD FS.
Mise à niveau d'AD FS vers le FBL de

Windows Server 2016
La nouveauté d’AD FS pour Windows Server 2016 est la fonctionnalité de niveau de
comportement de la batterie de serveurs (FBL). Cette fonctionnalité est sont à l’échelle
de la batterie de serveurs et détermine les fonctionnalités que la batterie de serveurs AD
FS peut utiliser. Par défaut, le FBL d’une batterie de serveurs AD FS Windows Server 2012
R2 se trouve au FBL de Windows Server 2012 R2.
Un serveur AD FS Windows Server 2016 peut être ajouté à une batterie de serveurs

Windows Server 2012 R2 et il fonctionnera au même FBL que Windows Server 2012 R2.
Quand un serveur AD FS Windows Server 2016 fonctionne de cette façon, votre batterie
de serveurs est dite « mixte ». Toutefois, vous ne pourrez pas tirer parti des nouvelles
fonctionnalités de Windows Server 2016 tant que le FBL n’est pas élevé à Windows
Server 2016. Avec une batterie de serveurs mixtes :
Les administrateurs peuvent ajouter de nouveaux serveurs de fédération Windows

Server 2016 à une batterie de serveurs Windows Server 2012 R2 existante. Par
conséquent, la batterie de serveurs est en « mode mixte » et fonctionne au niveau
de comportement de la batterie de serveurs de Windows Server 2012 R2. Pour
garantir un comportement cohérent au sein de la batterie de serveurs, les
nouvelles fonctionnalités de Windows Server 2016 ne peuvent pas être configurées
ou utilisées dans ce mode.
Une fois que tous les serveurs de fédération Windows Server 2012 R2 ont été
supprimés de la batterie de serveurs en mode mixte, l’un des nouveaux serveurs de
fédération Windows Serve 2016 a été promu au rôle de nœud principal,
l’administrateur peut alors élever le FBL de Windows Server 2012 R2 à Windows
Server 2016. Par conséquent, toutes les nouvelles fonctionnalités d’AD FS Windows
Server 2016 peuvent ensuite être configurées et utilisées.
En raison de la fonctionnalité de batterie de serveurs mixtes, les organisations AD

FS Windows Server 2012 R2 qui cherchent à effectuer une mise à niveau vers
Windows Server 2016 n’auront pas besoin de déployer une toute nouvelle batterie
de serveurs, d’exporter et d’importer des données de configuration. Au lieu de
cela, elles peuvent ajouter des nœuds Windows Server 2016 à une batterie de
serveurs existante pendant qu’elle est en ligne et n’encourir que le temps d’arrêt
relativement bref impliqué dans l’augmentation de FBL.
En mode batterie de serveurs mixtes, la batterie de serveurs AD FS n’est pas capable de

nouvelles fonctionnalités introduites dans AD FS dans Windows Server 2016. Les
organisations qui souhaitent essayer de nouvelles fonctionnalités ne peuvent pas le faire
tant que le FBL n’est pas élevé. Par conséquent, si votre organisation cherche à tester les
nouvelles fonctionnalités avant d’élever le FBL, vous devez déployer une batterie de
serveurs distincte.
Le reste du document fournit les étapes pour ajouter un serveur de fédération Windows
Server 2016 à un environnement Windows Server 2012 R2. Ces étapes ont été effectuées
dans un environnement de test décrit par le diagramme architectural ci-dessous.
７ Notes
Avant de pouvoir passer à AD FS dans le FBL de Windows Server 2016, vous devez
supprimer tous les nœuds Windows 2012 R2. Vous ne pouvez pas simplement
mettre à niveau un système d’exploitation Windows Server 2012 R2 vers Windows
Server 2016 et le faire devenir un nœud 2016. Vous devez le supprimer et le
remplacer par un nouveau nœud 2016.
７ Notes
Si les groupes AlwaysOnAvailability ou la réplication de fusion sont configurés dans

AD FS, supprimez toute la réplication des bases de données AD FS avant la mise à
niveau et pointez tous les nœuds vers la base de données SQL principale. Après
avoir effectué cette opération, effectuez la mise à niveau de la batterie de serveurs
comme indiqué. Après la mise à niveau, ajoutez des groupes AlwaysOnAvailability
ou fusionnez la réplication vers les nouvelles bases de données.
Le diagramme d’architecture suivant montre la configuration utilisée pour valider et

enregistrer les étapes ci-dessous.
Joindre le serveur AD FS Windows 2016 à la batterie de serveurs AD

FS
1. À l’aide de Gestionnaire de serveur installez le rôle Services ADFS sur Windows
Server 2016
2. À l’aide de l’Assistant Configuration AD FS, joignez le nouveau serveur Windows

Server 2016 à la batterie de serveurs AD FS existante. Dans l’écran Bienvenue,
3. Dans l’écran Se connecter aux services de domaine Active Directory,spécifiez un

compte d’administrateur avec les autorisations nécessaires pour effectuer la
configuration des services de fédération, puis cliquez sur Suivant.
4. Dans l’écran Spécifier la batterie de serveurs, entrez le nom du serveur SQL et de

l’instance, puis cliquez sur Suivant.
5. Dans l’écran Spécifier un certificat SSL, spécifiez le certificat, puis cliquez sur
Suivant.
6. Dans l’écran Spécifier le compte de service, spécifiez le compte de service, puis

7. Dans l’écran Examiner les options, passez en revue les options, puis cliquez sur
Suivant.
8. Dans l’écran Vérifications préalables, vérifiez que toutes les vérifications préalables
ont été effectuées, puis cliquez sur Configurer.
9. Dans l’écran Résultats, vérifiez que le serveur a été configuré avec succès et cliquez
sur Fermer.
Supprimer le serveur AD FS Windows Server 2012 R2
７ Notes
Vous n’avez pas besoin de définir le serveur AD FS principal à l’aide de Set-

AdfsSyncProperties -Role lors de l’utilisation de SQL comme base de données. En
effet, tous les nœuds sont considérés comme principaux dans cette configuration.
1. Sur le serveur AD FS Windows Server 2012 R2 dans Gestionnaire de serveur utilisez

Supprimer des rôles et des fonctionnalités sous Gérer.
2. Dans l'écran Avant de commencer, cliquez sur Suivant.

3. Dans l’écran Sélection du serveur, cliquez sur Suivant.
4. Dans l’écran Roles du serveur, enlevez la coche à côté de Services ADFS et cliquez
sur Suivant.
5. Dans l’écran Fonctionnalités, cliquez sur Suivant.

6. Dans l'écran Confirmation, cliquez sur Supprimer.
7. Une fois la suppression de la fonctionnalité terminée, redémarrez le serveur.
Augmenter le niveau de comportement de la batterie de serveurs

(FBL)
Avant cette étape, vous devez vous assurer que forestprep et domainprep ont été
exécutées sur votre environnement Active Directory et qu’Active Directory dispose du
schéma Windows Server 2016. Ce document a démarré avec un contrôleur de domaine
Windows 2016 et n’a pas besoin de les exécuter, car ils ont été exécutés lors de
l’installation d’AD.
７ Notes
Avant de commencer le processus ci-dessous, vérifiez que Windows Server 2016 est

à jour en exécutant Windows Update à partir de Paramètres. Poursuivez ce
processus jusqu’à ce qu’aucune autre mise à jour ne soit nécessaire. En outre,
vérifiez que le compte de service AD FS dispose des autorisations d’administration
sur le serveur SQL et sur chaque serveur de la batterie de serveurs ADFS.
1. Maintenant, sur le serveur Windows Server 2016, ouvrez PowerShell et exécutez la

commande suivante : $cred = Get-Credential et appuyez sur Entrée.
2. Entrez les identifiants qui disposent des privilèges d’administrateur sur le serveur
SQL.
3. Maintenant, dans PowerShell, entrez les éléments suivants : Invoke-
AdfsFarmBehaviorLevelRaise -Credential $cred
4. Lorsque vous y êtes invité, tapez Y. Cela va permettre de commencer à élever le
niveau. Une fois cette opération terminée, vous avez réussi à élever le FBL.
5. Maintenant, si vous allez dans AD FS Management, vous verrez les nouveaux

nœuds.
6. De même, vous pouvez utiliser l’applet de commande PowerShell : Get-
AdfsFarmInformation pour afficher le FBL actuel.
Mettre à niveau la version de configuration des serveurs WAP

existants
1. Sur chaque Proxy d'application web, reconfigurez le WAP en exécutant la
commande PowerShell suivante dans une fenêtre avec élévation de privilèges :
$trustcred = Get-Credential -Message "Enter Domain Administrator

credentials"
Install-WebApplicationProxy -CertificateThumbprint {SSLCert} -fsname

fsname -FederationServiceTrustCredential $trustcred
2. Supprimez les anciens serveurs du cluster et conservez uniquement les serveurs

WAP exécutant la dernière version du serveur, qui ont été reconfigurés ci-dessus,
en exécutant la commande PowerShell suivante.
Set-WebApplicationProxyConfiguration -ConnectedServersName
WAPServerName1, WAPServerName2
3. Vérifiez la configuration WAP en exécutant la commande Get-

WebApplicationProxyConfiguration. ConnectedServersName reflète l’exécution du
serveur à partir de la commande précédente.
Get-WebApplicationProxyConfiguration
4. Pour mettre à niveau ConfigurationVersion des serveurs WAP, exécutez la

commande PowerShell suivante.
Set-WebApplicationProxyConfiguration -UpgradeConfigurationVersion
5. Vérifiez que ConfigurationVersion a été mis à niveau avec la commande PowerShell

Get-WebApplicationProxyConfiguration.
Présentation de l’identité hybride avec
Azure Active Directory
Les entreprises et les organisations utilisent aujourd’hui de plus en plus souvent une
combinaison d’applications locales et cloud. Les utilisateurs doivent avoir accès à ces
applications en local et dans le cloud, Les scénarios de gestion des utilisateurs en local
et dans le cloud constituent un défi.
Les solutions d'identité de Microsoft regroupent des fonctionnalités, locales et cloud.

Ces solutions créent une identité d'utilisateur unique commune pour l'authentification
et l'autorisation d'accès à toutes les ressources, indépendamment de leur
l'emplacement. Nous appelons cette identité identité hybride.
Avec l’identité hybride pour Azure AD et la gestion de l’identité hybride, ces scénarios
deviennent possibles.
Pour obtenir l’identité hybride avec Azure AD, l'une des trois méthodes
d’authentification peut être utilisée, selon vos scénarios. Ces trois méthodes sont les
suivantes :
Synchronisation de hachage de mot de passe (PHS)

Authentification directe (PTA)
Fédération (AD FS)
Ces méthodes d’authentification s'accompagnent également de fonctionnalités

d'authentification unique. L’authentification unique connecte automatiquement les
utilisateurs lorsque leurs appareils d’entreprise sont connectés au réseau de l’entreprise.
Pour plus d'informations, consultez Choisir la méthode d’authentification adaptée à

votre solution d’identité hybride Azure Active Directory.
Scénarios et recommandations courants

Voici quelques scénarios courants de gestion des identités hybrides et des accès avec
des recommandations concernant l’option (ou les options) d’identité hybride la ou les
mieux appropriées dans chaque cas.
J’ai besoin de : PHS PTA AD

et et FS3
SSO1 SSO2
J’ai besoin de : PHS PTA AD
et et FS3
SSO1 SSO2
Synchroniser de nouveaux comptes d’utilisateurs, de contacts et de

groupes créés automatiquement dans mon Active Directory local vers le
cloud.
Configurer mon locataire pour des scénarios hybrides Microsoft 365.
Permettre à mes utilisateurs de se connecter et d’accéder aux services

cloud à l’aide de leur mot de passe local.
Implémenter l’authentification unique à l’aide des informations

d’identification d’entreprise.
M’assurer qu’aucun hachage du mot de passe n’est stocké dans le cloud.
Activer des solutions d’authentification multifacteur cloud.
Activer des solutions d’authentification multifacteur locales.
Prendre en charge l’authentification par carte à puce pour mes

utilisateurs.4
1 Synchronisation de hachage de mot de passe avec authentification unique (SSO).
2 Authentification directe et authentification unique.
3 Authentification unique fédérée avec AD FS.
4 AD FS peut être intégré à l’infrastructure de clé publique (PKI) de votre entreprise

pour permettre l’authentification à l’aide de certificats. Ces certificats peuvent être
des certificats logiciels déployés via des canaux d’approvisionnement approuvés tels
que les certificats de gestion des périphériques mobiles (GPM), d’objet de stratégie
de groupe (GPO), de carte à puce (y compris les cartes PIV/CAC) ou Hello for
Business (approbation de certificat). Pour plus d’informations sur la prise en charge
de l’authentification par carte à puce, consultez ce blog.
Licences requises pour Azure AD Connect

L'utilisation de cette fonctionnalité est gratuite et incluse dans votre abonnement Azure.
Étapes suivantes
Présentation d’Azure AD Connect et Connect Health
Qu’est-ce que la synchronisation de hachage de mot de passe (PHS) ?
Qu’est-ce que l’authentification directe (PTA) ?
Qu’est-ce que la fédération ?
Qu’est-ce que l’authentification unique ?
Commentaires
Was this page helpful? ﾂ Yes ﾄ No
Indiquer des commentaires sur le produit

| Obtenir de l’aide sur Microsoft Q&A
Guide de déploiement Windows Server
AD FS
Article • 12/04/2023
Utilisez les services de fédération Active Directory (AD FS) avec Windows Server pour
créer une solution de gestion des identités fédérée. Avec AD FS, vous pouvez étendre
les services d’identification, d’authentification et d’autorisation distribués aux
applications web au-delà des limites de l’organisation et de la plateforme. En déployant
les services AD FS, vous pouvez étendre les fonctionnalités de gestion d'identités
existantes de votre organisation au-delà de votre réseau.
Déploiement d’une batterie de serveurs de fédération

Déploiement de serveurs proxy de fédération
Voir aussi
Intégration des identités locales dans Azure Active Directory
Déploiement d’une batterie de serveurs
de fédération
Article • 14/04/2023
Pour déployer une batterie de serveurs de fédération, effectuez les tâches de cette liste
de vérification dans l’ordre. Quand un lien de référence vous mène à une rubrique
conceptuelle, passez en revue cette dernière et revenez à cette liste de vérification pour
effectuer les tâches restantes.
Liste de contrôle : Déployer une batterie de serveurs de fédération
Tâche Informations de référence
Passez en revue les concepts et Guide de conception AD FS dans Windows Server 2012 R2
considérations importants
lorsque vous vous préparez à Comprendre les concepts AD FS clés
déployer les Services ADFS (AD
FS).
Remarque : si vous décidez d’utiliser Microsoft SQL Server

pour votre magasin de configuration AD FS, prenez soin de
déployer une instance fonctionnelle de SQL Server
Avertissement : dans Windows Server 2012 R2, si vous voulez

créer une batterie AD FS et utiliser SQL Server pour stocker
vos données de configuration, vous pouvez utiliser SQL
Server 2008 et ses versions plus récentes, notamment SQL
Server 2012.
Joignez votre ordinateur à un Joindre un ordinateur à un domaine

domaine Active Directory.
Inscrivez un certificat Secure Inscrire un certificat SSL pour AD FS

Socket Layer (SSL) pour AD FS.
Installez le service de rôle AD FS. Installer le service de rôle AD FS
Configurez un serveur de Configurer un serveur de fédération

fédération.
Étape facultative : configurer un Configurer un serveur de fédération avec le service

serveur de fédération avec d’inscription des appareils
Device Registration Service
Tâche Informations de référence
Ajoutez un enregistrement de Configurer le DNS d’entreprise pour le service de

ressource d’hôte (A) et d’alias fédération et DRS
(CNAME) au DNS (Domain Name
System) pour le service de
fédération et DRS.
Vérifiez qu’un serveur de Vérifier qu’un serveur de fédération est opérationnel

fédération est opérationnel.
Voir aussi
Guide de déploiement des services AD FS Windows Server 2012 R2

Joindre un ordinateur à un domaine
Pour que les services AD FS fonctionnent, chaque ordinateur agissant en tant que
serveur de fédération doit être joint à un domaine. Les serveurs proxy de fédération
doivent être joints à un domaine, mais ce n’est pas une condition requise.
Vous n’avez pas besoin de joindre un serveur web à un domaine si le serveur web
héberge uniquement des applications prenant en charge les revendications.
Pour effectuer cette procédure, vous devez au minimum être membre du groupe
Administrateurs ou d'un groupe équivalent sur l'ordinateur local. Examinez les
informations relatives à l’utilisation des comptes et des appartenances de groupe
appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
Joindre un ordinateur à un domaine

1. Sur le Bureau, cliquez sur le bouton Démarrer, tapez Panneau de configuration,
puis appuyez sur Entrée.
2. Accédez à Système et sécurité, puis cliquez sur Système.
3. Sous Paramètres de nom d'ordinateur, de domaine et de groupe de travail,

cliquez sur Modifier les paramètres.
4. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.
5. Sous Membre de, cliquez surDomaine, tapez le nom du domaine auquel vous
voulez joindre cet ordinateur, puis cliquez sur OK.
6. Cliquez sur OK dans la boîte de dialogue Modification du nom ou du domaine de

l’ordinateur, puis redémarrez l’ordinateur.
Joindre un serveur à un domaine

1. Sur le Bureau, cliquez sur le bouton Démarrer, tapez Panneau de configuration,
puis appuyez sur Entrée.
2. Accédez à Système et sécurité, puis cliquez sur Système.
3. Sous Paramètres associés, cliquez sur Renommer ce PC (avancé).
4. Sous l’onglet Nom de l’ordinateur, cliquez sur Modifier.

5. Sous Membre de, cliquez surDomaine, tapez le nom du domaine auquel vous
voulez joindre ce serveur, puis cliquez sur OK.
6. Cliquez sur OK dans la boîte de dialogue Modifications de nom/domaine de

l’ordinateur, puis redémarrez le serveur.
Références supplémentaires
Check-list : Configuration d’un serveur de fédération
Check-list : configuration d’un serveur de fédération proxy

Inscrire un certificat SSL pour AD FS
Active Directory Federation Services (AD FS) nécessite un certificat pour

l’authentification du serveur SSL (Secure Socket Layer) sur chaque serveur de fédération
de votre batterie de serveurs de fédération. Le même certificat peut être utilisé sur
chaque serveur de fédération d’une batterie. Le certificat et sa clé privée doivent être
disponibles. Par exemple, si le certificat et sa clé privée se trouvent dans un fichier .pfx,
vous pouvez importer le fichier directement dans l'Assistant Configuration des services
AD FS (Active Directory Federation Services). Ce certificat SSL doit contenir les éléments
suivants :
1. Le nom de l’objet et l’autre nom de l’objet doivent contenir le nom de votre service
de fédération, tel que fs.contoso.com
2. L’autre nom de l’objet doit contenir la valeur inscriptionentreprise suivie du suffixe

UPN de votre organisation, comme par exemple
inscriptionentreprise.corp.contoso.com.
２ Avertissement
Spécifiez l’autre nom de l’objet si vous envisagez d’activer le service

d’inscription d’appareil (DRS) pour la jonction d’espace de travail.
） Important
Si votre organisation utilise plusieurs suffixes UPN et que vous prévoyez d’activer le
DRS, le certificat SSL doit contenir une entrée d’autre nom d’objet pour chaque
suffixe.
Voir aussi

Installer le service de rôle AD FS
Vous pouvez utiliser la procédure suivante pour installer le service de rôle AD FS sur un
ordinateur qui exécute Windows Server 2012 R2 afin de devenir le premier serveur de
fédération dans une batterie de serveurs de fédération ou dans un serveur de fédération
d’une batterie de serveurs de fédération existante.
L’appartenance au groupe Administrateursou à un groupe équivalent sur l'ordinateur

local est la condition requise minimale pour effectuer cette procédure. Examinez les
Pour installer le rôle serveur AD FS via l'Assistant Ajout de

rôles et de fonctionnalités
1. Ouvrez le Gestionnaire de serveurs. Pour ouvrir le Gestionnaire de serveur, cliquez
sur Gestionnaire de serveur dans l’écran d’ accueil ou sur Gestionnaire de serveur
dans la barre des tâches sur le Bureau. Sous l’onglet Démarrage rapide de la
vignette Bienvenue dans la page Tableau de bord, cliquez sur Ajouter des rôles et
des fonctionnalités. Vous pouvez également cliquer sur Ajouter des rôles et
fonctionnalités dans le menu Gérer.

5. Dans la page Sélectionner des rôles de serveurs, cliquez sur Services AD FS
(Active Directory Federation Services), puis cliquez sur Suivant.
6. Dans la page Sélectionner les composants, cliquez sur Suivant. Les conditions
préalables sont présélectionnées pour vous. Vous n'avez pas besoin de
sélectionner d'autres composants.
7. Dans la page Services AD FS (Active Directory Federation Services), cliquez sur
Suivant.
8. Après avoir vérifié les informations contenues dans la page Confirmer les
sélections d'installation, cliquez sur Installer.
9. Dans la page Progression de l'installation, vérifiez que tout a été correctement

installé, puis cliquez sur Fermer.
Pour installer le rôle serveur AD FS via Windows

PowerShell
1. Sur l’ordinateur que vous souhaitez configurer comme serveur de fédération,
ouvrez la fenêtre de commande Windows PowerShell, puis exécutez la commande
suivante : Install-windowsfeature adfs-federation –IncludeManagementTools .
Voir aussi

Configurer un serveur de fédération
Après avoir installé le service de rôle services de fédération Active Directory (AD FS) (AD
FS) sur votre ordinateur, vous êtes prêt à configurer cet ordinateur pour qu’il devienne
un serveur de Fédération. Vous pouvez effectuer l’une des actions suivantes :
Configurer le premier serveur de fédération dans une nouvelle batterie de serveurs

de fédération
Ajouter un serveur de fédération à une batterie de serveurs de fédération existante
Configurer le premier serveur de fédération

dans une nouvelle batterie de serveurs de
fédération
Pour configurer le premier serveur de Fédération dans

une nouvelle batterie de serveurs de Fédération à l’aide
de l’Assistant Configuration de service FS (Federation
Service) Active Directory
７ Notes
Avant d’effectuer cette procédure, assurez-vous que vous disposez des

autorisations d’administrateur de domaine ou que vous disposez des informations
d’identification d’administrateur de domaine.


Services) s'ouvre.
2. Dans la page Bienvenue, sélectionnez Créer le premier serveur de fédération

dans une batterie de serveurs de fédération, puis cliquez sur Suivant.
3. sur la page Connecter à AD DS , spécifiez un compte à l’aide des autorisations

d’administrateur de domaine pour le domaine Active Directory (AD) auquel cet
ordinateur est joint, puis cliquez sur suivant.
4. Dans la page Spécifier les propriétés de service, effectuez la procédure suivante,

puis cliquez sur Suivant :
Importez le fichier. pfx qui contient le certificat SSL (Secure Socket Layer) et la
clé que vous avez obtenus précédemment. À l' étape 2 : inscrire un certificat
SSL pour AD FS, vous avez obtenu ce certificat et vous l’avez copié sur
l’ordinateur que vous souhaitez configurer en tant que serveur de Fédération.
Pour importer le fichier. pfx à l’aide de l’Assistant, cliquez sur Importer, puis
accédez à l’emplacement du fichier. Lorsque vous y êtes invité, entrez le mot
de passe du fichier. pfx.
Indiquez le nom de votre service FS (Federation Service). Exemple :

fs.contoso.com. Ce nom doit correspondre à l'un des noms d'objets ou
autres noms d'objets du certificat.
Indiquez le nom d'affichage de votre service FS (Federation Service).

Exemple : Contoso Corporation. Les utilisateurs voient ce nom sur la page de
connexion services de fédération Active Directory (AD FS) (AD FS).
5. Dans la page Spécifier un compte de service, indiquez un compte de service. Vous

pouvez soit créer ou utiliser un compte de service administré de groupe (gMSA)
existant, soit utiliser un compte d'utilisateur de domaine existant. Si vous
sélectionnez l’option de création d’un nouveau compte gMSA, spécifiez un nom
pour le nouveau compte. Si vous sélectionnez l’option permettant d’utiliser un
compte de domaine ou un gMSA existant, cliquez sur Sélectionner pour
sélectionner un compte.
７ Notes
L’avantage de l’utilisation d’un compte gMSA est sa fonctionnalité de mise à

jour de mot de passe négociée automatiquement.
２ Avertissement
si vous souhaitez utiliser un compte gMSA, vous devez disposer d’au moins
un contrôleur de domaine dans votre environnement qui exécute le système
d’exploitation Windows Server 2012.
si l’option gMSA est désactivée et que vous voyez un message d’erreur, tel
que les comptes de Service administrés de groupe ne sont pas disponibles,
car la clé racine KDS n’a pas été définie, vous pouvez activer gMSA dans
votre domaine en exécutant la commande Windows PowerShell suivante sur
un contrôleur de domaine, qui exécute Windows Server 2012 ou version
ultérieure, dans votre domaine Active Directory : . Ensuite, revenez à
l’Assistant, cliquez sur précédent, puis cliquez sur suivant pour entrer à
nouveau la page spécifier le compte de service . L’option gMSA doit
maintenant être activée. Vous pouvez le sélectionner et entrer le nom du
compte gMSA que vous souhaitez utiliser.
6. Dans la page spécifier la base de données de configuration , spécifiez une base

de données de configuration AD FS, puis cliquez sur suivant. vous pouvez créer
une base de données sur cet ordinateur à l’aide de Base de données interne
Windows (WID), ou spécifier l’emplacement et le nom de l’instance de Microsoft
SQL Server.
Pour plus d’informations, consultez l’article The Role of the AD FS Configuration

Database (Rôle de la base de données de configuration AD FS).
） Important
si vous souhaitez créer une batterie de AD FS et utiliser SQL Server pour

stocker vos données de configuration, vous pouvez utiliser SQL Server 2008 et
versions plus récentes, y compris SQL Server 2012 et SQL Server 2014.
8. Sur la page vérifications des conditions préalables, vérifiez que toutes les
vérifications de la configuration requise sont correctement effectuées, puis cliquez
sur configurer.
9. Sur la page résultats , passez en revue les résultats et vérifiez si la configuration est
terminée, puis cliquez sur étapes suivantes requises pour effectuer votre
déploiement du service de Fédération. Pour plus d’informations, consultez étapes
suivantes pour terminer l’installation de votre AD FS. Cliquez sur Fermer pour
quitter l’Assistant.
Pour configurer le premier serveur de fédération dans

une nouvelle batterie de serveurs de fédération via
Windows PowerShell
Vous pouvez créer une nouvelle batterie de serveurs de Fédération à l’aide d’un compte
gMSA nouveau ou existant ou d’un compte d’utilisateur de domaine existant.
Si vous souhaitez créer un nouveau serveur de Fédération à l’aide d’un nouveau

compte gMSA, procédez comme suit :
） Important
Vous devez avoir des autorisations d'administrateur de domaine pour créer le

premier serveur de fédération dans une nouvelle batterie de serveurs de
fédération.
1. Sur l’ordinateur que vous souhaitez configurer en tant que serveur de

Fédération, vérifiez que le certificat SSL requis a été importé dans le
répertoire local du magasin local\mon . vous pouvez vérifier si le certificat
SSL a été importé en exécutant la commande suivante dans la fenêtre de
commande Windows PowerShell : dir Cert:\LocalMachine\My . Le certificat
est listé par son empreinte numérique dans le répertoire local du magasin
local\mon .
2. sur votre contrôleur de domaine, ouvrez la fenêtre de commande Windows

PowerShell et exécutez la commande suivante pour vérifier si la clé racine
KDS a été créée dans votre domaine : Get-KdsRootKey –EffectiveTime (Get-
Date).AddHours(-10) . S’il n’a pas été créé afin que la sortie n’affiche pas
d’informations, exécutez la commande suivante pour créer la clé : Add-
KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) .
3. Sur l'ordinateur à configurer en tant que serveur de fédération, ouvrez la

fenêtre de commande Windows PowerShell et exécutez la commande
suivante :
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -

FederationServiceName <federation_service_name> -
GroupServiceAccountIdentifier <domain>\<GMSA_Name>$
２ Avertissement
Le $ signe à la fin de la commande précédente est requis.

Pour obtenir la valeur pour <certificate_thumbprint> , exécutez dir
Cert:\LocalMachine\My , puis sélectionnez l’empreinte numérique de votre
certificat SSL. La valeur de <federation_service_name> est le nom de votre
service de Fédération, par exemple, <federation_service_name> .
７ Notes
Si ce n’est pas la première fois que vous exécutez cette commande,

ajoutez le OverwriteConfiguration paramètre.
７ Notes
La commande précédente crée une batterie de serveurs WID. si vous

souhaitez créer une batterie de serveurs SQL Server, vous devez disposer
d’une instance de SQL Server déjà installée et opérationnelle.
vous pouvez utiliser la commande suivante pour créer le premier serveur

de fédération dans une nouvelle batterie de serveurs qui utilise une
instance de SQL Server : Install-AdfsFarm -CertificateThumbprint
<certificate_thumbprint> -FederationServiceName
<federation_service_name> -GroupServiceAccountIdentifier <domain>\
<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\

<SQL_instance_ name>;Integrated Security=True" où Install-AdfsFarm -
CertificateThumbprint <certificate_thumbprint> -
GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -
SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_
name>;Integrated Security=True" est le nom du serveur sur lequel SQL
Server s’exécute, et < est le nom de l’instance de SQL Server. si vous

utilisez l’instance par défaut de SQL Server, utilisez la valeur
SQLConnectionString «Data Source = SQL_Host_Name ; Integrated
Security = True».
） Important
Si vous voulez créer une batterie AD FS et utiliser SQL Server pour

stocker vos données de configuration, vous pouvez utiliser SQL
Server 2008 et versions plus récentes, notamment SQL Server 2012.
Si vous souhaitez créer un nouveau serveur de Fédération à l’aide d’un compte
d’utilisateur de domaine existant, procédez comme suit :

local\mon .
2. sur l’ordinateur que vous souhaitez configurer en tant que serveur de

fédération, ouvrez la fenêtre de commande Windows PowerShell, puis
exécutez la commande suivante : $fscred = Get-Credential . Entrez les
informations d’identification du compte d’utilisateur de domaine que vous
souhaitez utiliser pour le compte de service de Fédération au format
DOMAINE\nom d’utilisateur.
3. Dans la même fenêtre de commande Windows PowerShell, exécutez la

commande suivante :
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -

ServiceAccountCredential $fscred
Pour obtenir la valeur de certificate_thumbprint >, exécutez dir

Cert:\LocalMachine\My , puis sélectionnez l’empreinte numérique de votre
certificat SSL. La valeur de federation_service_name > est le nom de votre
service de Fédération, par exemple, FS.contoso.com.
７ Notes

７ Notes
La commande précédente crée une batterie de serveurs WID. si vous

souhaitez créer une batterie de serveurs SQL Server, vous devez disposer
de l’instance de SQL Server déjà installée et opérationnelle.
vous pouvez utiliser la commande suivante pour créer le premier serveur
de fédération dans une nouvelle batterie de serveurs qui utilise une
instance de SQL Server : Install-AdfsFarm -CertificateThumbprint
<certificate_thumbprint> -FederationServiceName
<federation_service_name> -ServiceAccountCredential $fscredential -
SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_
name>;Integrated Security=True" où Install-AdfsFarm -

CertificateThumbprint <certificate_thumbprint> -
ServiceAccountCredential $fscredential -SQLConnectionString "Data
Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated
Security=True" est le nom du serveur sur lequel SQL Server s’exécute, et

SQL_instance_name est le nom de l’instance de SQL Server. si vous
utilisez l’instance par défaut de SQL Server, utilisez la valeur
SQLConnectionString «Data Source = SQL_Host_Name ; Integrated
Security = True».
） Important

stocker vos données de configuration, vous pouvez utiliser SQL Server
2008 et versions plus récentes, y compris SQL Server 2012 et SQL Server
2014.
Ajouter un serveur de fédération à une batterie

de serveurs de fédération existante
） Important
Vérifiez que vous avez terminé l’étape 3 : installer le service de rôle AD FS, avant
de commencer l’une des procédures décrites dans cette section.
） Important
Avant d’effectuer cette procédure, assurez-vous que vous avez obtenu un certificat
d’authentification de serveur SSL valide.
Pour ajouter un serveur de fédération à une batterie de
serveurs de fédération existante via l'Assistant
Configuration des services AD FS (Active Directory
Federation Services)

Services) s'ouvre.
2. Sur la page Bienvenue , sélectionnez Ajouter un serveur de Fédération à une

batterie de serveurs de Fédération, puis cliquez sur suivant.
3. sur la page Connecter à AD DS , spécifiez un compte en utilisant des autorisations

d’administrateur de domaine pour le domaine active directory auquel cet
ordinateur est joint, puis cliquez sur suivant.
4. Dans la page spécifier une batterie de serveurs, indiquez le nom du serveur de

Fédération principal dans une batterie de serveurs qui utilise wid ou spécifiez le
nom d’hôte de la base de données et le nom de l’instance de base de données
d’une batterie de serveurs de fédération existante qui utilise SQL Server.
２ Avertissement
dans Windows Server® 2012 R2, il existe une solution de contournement

pour spécifier l’instance par défaut de SQL Server. Elle consiste à ne pas
utiliser l'interface utilisateur. Au lieu de cela, suivez les étapes de la section
pour configurer le premier serveur de Fédération dans une nouvelle
batterie de serveurs de Fédération via Windows PowerShell.
） Important
données de configuration, vous pouvez utiliser SQL Server 2008 et versions
plus récentes, notamment SQL Server 2012.
5. Dans la page spécifier le certificat SSL , importez le fichier. pfx qui contient le
certificat et la clé SSL que vous avez obtenus précédemment. Ce certificat est le
certificat d'authentification de service requis. À l' étape 2 : inscrire un certificat SSL
pour AD FS, vous avez obtenu ce certificat et vous l’avez copié sur l’ordinateur que
vous souhaitez configurer en tant que serveur de Fédération. Pour importer le
fichier. pfx à l’aide de l’Assistant, cliquez sur Importer et accédez à l’emplacement
du fichier. Lorsque vous y êtes invité, entrez le mot de passe du fichier. pfx.
6. Sur la page spécifier un compte de service , spécifiez le même compte de service

que celui que vous avez configuré lors de la création du premier serveur de
Fédération de la batterie de serveurs. Vous pouvez soit utiliser un compte de
service administré de groupe existant, soit utiliser un compte d'utilisateur de
domaine existant.
） Important
Le compte que vous spécifiez doit être le même que le compte utilisé sur le
serveur de Fédération principal dans cette batterie de serveurs.
8. Sur la page vérifications des conditions préalables, vérifiez que toutes les
vérifications de la configuration requise sont correctement effectuées, puis cliquez
sur configurer.
9. Sur la page résultats , passez en revue les résultats et vérifiez si la configuration est
terminée, puis cliquez sur étapes suivantes requises pour effectuer votre
déploiement du service de Fédération. Pour plus d’informations, consultez étapes
suivantes pour terminer l’installation de votre AD FS. Cliquez sur Fermer pour
quitter l’Assistant.
Pour ajouter un serveur de fédération à une batterie de

serveurs de fédération existante via Windows PowerShell
Vous pouvez ajouter un serveur de Fédération à une batterie de serveurs existante à
l’aide d’un compte gMSA existant ou d’un compte d’utilisateur de domaine existant.
Si vous souhaitez joindre un serveur de Fédération à une batterie de serveurs à

l’aide d’un compte gMSA existant, procédez comme suit :

local\mon .

fédération, ouvrez la fenêtre de commande Windows PowerShell, puis
exécutez la commande suivante.
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\

<GMSA_name>$ -PrimaryComputerName
<first_federation_server_hostname> -CertificateThumbprint
<certificate_thumbprint>
<domain>\<GMSA_name> est votre domaine Active Directory et le nom de votre
compte gMSA dans ce domaine. <first_federation_server_hostname> nom

d’hôte du serveur de Fédération principal dans cette batterie de serveurs
existante.
Vous pouvez obtenir la valeur de <certificate_thumbprint> en exécutant dir

Cert:\LocalMachine\My à l’étape précédente.
７ Notes

７ Notes
La commande précédente crée un nœud de batterie de serveurs WID. si

vous souhaitez créer un nœud de batterie de serveurs d’ordinateurs
exécutant SQL Server, vous devez disposer de l’instance de SQL Server
déjà installée et opérationnelle.
vous pouvez utiliser la commande suivante pour ajouter un serveur de

fédération à une batterie de serveurs existante qui utilise une instance
de SQL Server : Add-AdfsFarmNode -GroupServiceAccountIdentifier
<domain>\<GMSA_name>$ -SQLConnectionString "Data Source=
<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" où

Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\
<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\

<SQL_instance_ name>;Integrated Security=True" est le nom du serveur
sur lequel SQL Server s’exécute, et SQL_instance_name est le nom de
l’instance de SQL Server. si vous utilisez l’instance par défaut de SQL
Server, utilisez la valeur SQLConnectionString «Data Source =
SQL_Host_Name ; Integrated Security = True».
） Important

2014.
Si vous souhaitez joindre un serveur de Fédération à une batterie de serveurs à

l’aide d’un compte d’utilisateur de domaine existant, procédez comme suit :

fédération, ouvrez la fenêtre Windows PowerShellcommand, puis exécutez la
commande suivante : $fscred = get-credential . Entrez les informations
d’identification du compte d’utilisateur de domaine que vous souhaitez
utiliser pour le compte de service de Fédération au format DOMAINE\nom
d’utilisateur.

SSL a été importé en exécutant la commande suivante dans la fenêtre
Windows PowerShellcommand : dir Cert:\LocalMachine\My . Le certificat est
listé par son empreinte numérique dans le répertoire local du magasin
local\mon .
3. dans la même fenêtre de commande Windows PowerShell, exécutez la

commande suivante.
Add-AdfsFarmNode -ServiceAccountCredential $fscred -

PrimaryComputerName <first_federation_server_hostname> -
CertificateThumbprint <certificate_thumbprint>
７ Notes
７ Notes
La commande précédente crée un nœud de batterie de serveurs WID. si

vous souhaitez créer un nœud de batterie de serveurs d’ordinateurs
exécutant SQL Server, vous devez disposer de l’instance de SQL Server
déjà installée et opérationnelle. vous pouvez utiliser la commande
suivante pour ajouter un serveur de fédération à une batterie de
serveurs existante à l’aide d’une instance de SQL Server : Add-
AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString
"Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated
Security=True" où Add-AdfsFarmNode -ServiceAccountCredential $fscred

-SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_
name>;Integrated Security=True" est le nom du serveur sur lequel

l’instance de SQL Server s’exécute, et SQL_instance_name est le nom de
l’instance de SQL Server. si vous utilisez l’instance par défaut de SQL
Server, utilisez la valeur SQLConnectionString «Data Source =
SQL_Host_Name ; Integrated Security = True».
） Important

2014.
Voir aussi

Configurer un serveur de fédération
avec Device Registration Service
Vous pouvez activer le service DRS (Device Registration Service) sur votre serveur de
fédération après avoir effectué les procédures décrites à l’étape 4 : Configurer un
serveur de fédération. Le service DRS fournit un mécanisme d’intégration pour une
authentification transparente à deux facteurs, l’authentification unique permanente et
l’accès conditionnel aux consommateurs qui nécessitent l’accès aux ressources de
l’entreprise. Pour plus d'informations sur DRS, consultez Joindre un espace de travail à
partir d'un appareil pour l'authentification unique et l'authentification à deux facteurs
transparente pour accéder aux applications de l'entreprise
Préparer votre forêt Active Directory à la prise

en charge d’appareils
７ Notes
Il s’agit d’une opération ponctuelle que vous devez effectuer pour préparer votre
forêt Active Directory à la prise en charge d’appareils. Pour accomplir cette
procédure, vous devez être connecté avec les autorisations d’administrateur
d’entreprise et votre forêt Active Directory doit avoir le schéma Windows
Server 2012 R2.
En outre, DRS nécessite d’avoir au moins un serveur de catalogue global dans votre
domaine racine de forêt. Le serveur de catalogue global est requis pour exécuter
Initialize-ADDeviceRegistration et pendant l’authentification AD FS. AD FS initialise
une représentation en mémoire de l’objet de configuration DRS sur chaque
demande d’authentification, et si l’objet de configuration DRS est introuvable sur
un contrôleur de domaine dans le domaine actuel, la demande est tentée sur le GC
sur lequel les objets DRS ont été provisionnés pendant Initialize-
ADDeviceRegistration.
Pour préparer la forêt Active Directory

1. Sur votre serveur de fédération, ouvrez une fenêtre de commande Windows
PowerShell et tapez :
Initialize-ADDeviceRegistration
2. Lorsque vous êtes invité à renseigner le ServiceAccountName, entrez le nom du

compte de service que vous avez sélectionné pour AD FS. S'il s'agit d'un compte
de service administré de groupe, entrez le nom au format
domaine\nom_compte$. Pour un compte de domaine, utilisez le format
domaine\nom_compte.
Activer le service DRS sur un nœud de batterie

de serveurs de fédération
７ Notes
Vous devez être connecté avec des autorisations d'administrateur de domaine pour
accomplir cette procédure.
Pour activer le service DRS
1. Sur votre serveur de fédération, ouvrez une fenêtre de commande Windows

PowerShell et tapez :
Enable-AdfsDeviceRegistration
2. Répétez cette étape sur chaque nœud de batterie de serveurs de fédération dans
votre batterie AD FS.
Activer l’authentification transparente à deux

facteurs
L’authentification transparente à deux facteurs est une amélioration d’AD FS qui fournit
un niveau supplémentaire de protection d’accès aux ressources d’entreprise et aux
applications provenant d’appareils externes qui tentent d’y accéder. Lorsqu’un appareil
personnel est joint à l’espace de travail, il devient un appareil « connu » et les
administrateurs peuvent utiliser ces informations pour définir l’accès conditionnel et la
porte d’accès aux ressources.
Activer l’authentification transparente à deux facteurs,

l’authentification unique permanente et l’accès conditionnel pour
les appareils joints à l’espace de travail
1. Dans la console de gestion AD FS, accédez à Stratégies d’authentification.

Sélectionnez Modifier l'authentification principale globale. Cochez la case Activer
l'authentification des appareils, puis cliquez sur OK.
Mettre à jour la configuration du proxy

d'application Web
） Important
Vous n’avez pas besoin de publier le service RDS sur le proxy d'application Web. Le
service DRS sera disponible via le proxy d’application Web une fois qu’il est activé
sur un serveur de fédération. Vous devrez peut-être effectuer cette procédure pour
mettre à jour la configuration du proxy d’application Web s’il a été déployé avant
d’activer le service RDS.
Pour mettre à jour la configuration du proxy d’application Web

1. Sur votre proxy d’application Web, ouvrez une fenêtre de commande Windows
PowerShell et tapez
Update-WebApplicationProxyDeviceRegistration
2. Lorsque vous y êtes invité, entrez les informations d’identification d’un compte
disposant de droits d’administration sur vos serveurs de fédération.
Voir aussi

Configurer le système DNS d’entreprise
pour le service de fédération et DRS
Étape 6 : Ajoutez un enregistrement de

ressource d’hôte (A) et d’alias (CNAME) au DNS
d’entreprise pour le service de fédération et
DRS
Vous devez ajouter les enregistrements de ressources suivants au système DNS (Domain
Name System) d’entreprise pour votre service de fédération et le service d’inscription
d’appareil que vous avez configurés aux étapes précédentes.
Entrée Type Adresse
federation_service_name Hôte (A) Adresse IP du serveur AD FS ou adresse IP de l’équilibreur

de charge, qui est configuré devant votre batterie de
serveurs AD FS
enterpriseregistration Alias federation_server_name.contoso.com

(CNAME)
Vous pouvez utiliser la procédure suivante pour ajouter des enregistrements de

ressource d'hôte (A) et d’alias (CNAME) au DNS d'entreprise pour le serveur de
fédération et le service d’inscription d’appareil.
Pour mener à bien cette procédure, il faut appartenir au groupe Administrateurs ou à

un groupe équivalent. Examinez les informations relatives à l’utilisation des comptes et
des appartenances de groupe appropriés dans la page consacrée aux Groupes de
domaine et locaux par défaut.
Pour ajouter des enregistrements de ressource d'hôte (A) et d'alias

(CNAME) à DNS pour votre serveur de fédération
1. Sur votre contrôleur de domaine, dans le Gestionnaire de serveur, dans le menu

Outils, cliquez sur DNS pour ouvrir le composant logiciel enfichable DNS.
2. Dans l'arborescence de la console, développez le nœud domain_controller_name,

développez Zones de recherche directe, cliquez avec le bouton droit sur
domain_name, puis cliquez sur Nouvel hôte (A ou AAAA).
3. Dans la zone Nom, tapez le nom à utiliser pour votre batterie AD FS.
4. Dans la zone Adresse IP, tapez l’adresse IP de votre serveur de fédération. Cliquez
sur Ajouter un hôte.
5. Cliquez avec le bouton droit sur le nœud domain_name, puis cliquez sur Nouvel
alias (CNAME).
6. Dans la boîte de dialogue Nouvel enregistrement de ressource, tapez

enterpriseregistration dans la zone Nom de l'alias.
7. Dans le nom de domaine complet (FQDN) de la zone hôte cible, tapez

federation_service_farm_name.domain_name.com, puis cliquez sur OK.
） Important
Dans un déploiement réel, si votre entreprise possède plusieurs suffixes de

nom d'utilisateur principal (UPN), vous devez créer un enregistrement CNAME
pour chaque suffixe UPN dans DNS.
Voir aussi

Vérifier que votre serveur de fédération
Windows Server 2012 R2 est
opérationnel
Vous pouvez utiliser les procédures suivantes pour vérifier qu’un serveur de fédération
est opérationnel ; à savoir, qu’un client du même réseau peut atteindre un nouveau
serveur de fédération.
Vous devez au minimum appartenir au groupe Utilisateurs, Opérateurs de sauvegarde,

Utilisateurs avec pouvoir, Administrateurs ou à un groupe équivalent sur l’ordinateur
local pour pouvoir suivre cette procédure. Examinez les informations relatives à
l’utilisation des comptes et des appartenances de groupe appropriés dans la page
consacrée aux Groupes de domaine et locaux par défaut.
Procédure 1 : vérifier qu’un serveur de fédération est

opérationnel
1. Pour vérifier que les services IIS (Internet Information Services) sont correctement
configurés sur le serveur de fédération, connectez-vous à l'ordinateur client situé
dans la même forêt que le serveur de fédération.
2. Ouvrez une fenêtre du navigateur et, dans la barre d’adresse, tapez le nom
d’hôte DNS du serveur de fédération, puis ajoutez-lui
/adfs/fs/federationserverservice.asmx pour le nouveau serveur de fédération. Par
exemple :
https://fs1.fabrikam.com/adfs/fs/federationserverservice.asmx
3. Appuyez sur Entrée, puis exécutez la procédure suivante sur l’ordinateur du serveur
de fédération. Si le message Le certificat de sécurité de ce site Web présente un
problème s’affiche, cliquez sur Poursuivre sur ce site Web.
La sortie attendue est l’affichage de code XML avec le document de description du

service. Si cette page apparaît, IIS sur le serveur de fédération est opérationnel et le
traitement des pages s’effectue avec succès.
Procédure 2 : vérifier qu’un serveur de fédération est

opérationnel
1. Ouvrez une session sur le nouveau serveur de fédération en tant qu'administrateur.
2. Sur l’écran Démarrer, tapez Observateur d’événements, puis appuyez sur ENTRÉE.
3. Dans le volet d'information, double-cliquez sur Journaux des applications et des

services, double-cliquez sur Événements AD FS, puis cliquez sur Administrateur.
4. Dans la colonne ID de l’événement, recherchez l’ID d’événement 100. Si le serveur

de fédération est correctement configuré, un nouvel événement, doté de l’ID
d’événement 100, apparaît dans le journal des applications de l’observateur
d’événements. Cet événement vérifie que le serveur de fédération était en mesure
de communiquer avec le service de fédération.
Voir aussi

Déploiement de serveurs proxy de
fédération
Dans les services de fédération Active Directory (AD FS) dans Windows Server 2012 R2,
le rôle d’un serveur proxy de fédération est géré par un nouveau service de rôle Accès à
distance appelé « Proxy d’application web ». L’objectif du déploiement d’un serveur
proxy de fédération dans les versions héritées d’AD FS (notamment AD FS 2.0 et AD FS
dans Windows Server 2012) consistait à rendre AD FS accessible en dehors du réseau
d’entreprise. Pour cela, vous pouvez déployer un ou plusieurs proxys d’application web
pour AD FS dans Windows Server 2012 R2.
Dans le contexte d’AD FS, le Proxy d’application Web fonctionne comme un serveur
proxy de fédération AD FS. De plus, il fournit une fonctionnalité de proxy inverse aux
applications web de votre réseau d’entreprise, permettant aux utilisateurs de n’importe
quel appareil d’y accéder depuis l’extérieur du réseau d’entreprise. Pour plus
d’informations sur le proxy d’application web, consultez Vue d’ensemble du proxy
Pour planifier le déploiement de proxy d'Application Web, vous pouvez consulter les
informations contenues dans les rubriques suivantes :
Planification de l’infrastructure du Proxy d’application Web (WAP)
planifier le serveur proxy d'application web
Pour déployer le proxy d’application Web, vous pouvez suivre les procédures des
rubriques suivantes :
configurer l'infrastructure du proxy d'application web
installer et configurer le serveur proxy d'application web
Voir aussi

Guide de déploiement des services
AD FS Windows Server 2012
Vous pouvez utiliser les services AD FS (Active Directory® Federation Services) avec le
système d’exploitation Windows Server® 2012 pour créer une solution de gestion des
identités fédérée qui étend les services d’identification, d’authentification et
d’autorisation distribués aux applications web en s’affranchissant des limites des
plateformes et de l’organisation. En déployant les services AD FS, vous pouvez étendre
les fonctionnalités de gestion d'identités existantes de votre organisation à Internet.
Vous pouvez déployer les services AD FS pour :
fournir à vos employés ou clients une expérience d’authentification unique via le

web lorsqu’ils ont besoin d’un accès à distance à des services ou sites web
hébergés en interne ;
fournir à vos employés ou clients une expérience d’authentification unique via le

Web lorsqu’ils accèdent à des services ou sites Web de plusieurs organisations
depuis les pare-feu de votre réseau.
fournir à vos employés ou clients un accès transparent aux ressources Web de

toute organisation partenaire de fédération sur Internet sans demander aux
employés ou clients de se connecter plusieurs fois ;
garder un contrôle total sur les identités de vos employés ou clients sans utiliser
d’autres fournisseurs d’authentification (Windows Live ID, Liberty Alliance, entre
autres) ;
Ce guide est conçu pour les administrateurs système et les ingénieurs système. Il fournit
des instructions détaillées pour le déploiement d’une conception AD FS que vous avez
présélectionnée ou sélectionnée par un spécialiste d’infrastructure ou un architecte
système dans votre organisation.
Si une conception n’a pas encore été sélectionnée, nous vous recommandons
d’attendre, pour suivre les instructions de ce guide, d’avoir examiné les options de
conception dans le Guide de conception AD FS dans Windows Server 2012 et d’avoir
sélectionné la conception la plus appropriée pour votre organisation. Pour plus
d’informations sur l’utilisation de ce guide avec une conception déjà sélectionnée, voir
Implémentation de votre plan de conception AD FS.
Une fois que vous avez sélectionné votre conception dans le guide de conception et que
vous avez rassemblé les informations requises sur les revendications, les types de jeton,
les magasins d’attributs et les autres éléments, vous pouvez utiliser ce guide pour
déployer votre conception AD FS dans votre environnement de production. Ce guide
fournit les étapes pour le déploiement des principales méthodes d’accès AD FS
suivantes :
SSO de web
SSO de web fédéré
Utilisez les listes de contrôle de Implémentation de votre plan de conception AD FS

pour déterminer comment utiliser au mieux les instructions de ce guide pour déployer
votre conception. Pour plus d’informations sur la configuration matérielle et logicielle
requise pour le déploiement d’AD FS, consultez Annexe A : Examen des exigences d’AD
FS dans le Guide de conception AD FS.
Ce que ce guide ne contient pas

Ce guide ne contient pas :
Des conseils en matière de quand et où placer les serveurs de fédération, les

proxys de fédération ou les serveurs web dans votre infrastructure réseau
existante. Pour ces informations, consultez Planifier le placement de serveurs de
fédération et Planifier le placement de serveurs proxy de fédération dans le Guide
de conception AD FS.
Conseils pour l’utilisation des autorités de certification (CA) pour configurer AD FS
Conseils pour la configuration des applications web spécifiques
Instructions spécifiques à la configuration d’un environnement de laboratoire de

test.
Informations sur la personnalisation des écrans d’ouverture de session fédérée, les

fichiers web.config ou la base de données de configuration.
Contenu de ce guide
Planification du déploiement d’AD FS
Implémentation de votre plan de conception AD FS
Check-list : implémentation d’une conception SSO de web
Check-list : implémentation d’une conception SSO de web fédéré
Configuration des organisations partenaires
Configuration de règles de revendication
Déploiement de serveurs de fédération
Déploiement de serveurs proxy de fédération
Interaction avec AD FS 1.x

Planification du déploiement d'AD FS
Après avoir collecté les informations relatives à votre environnement et décidé d'une
conception Services ADFS en vous aidant du Guide de conception AD FS dans Windows
Server 2012, vous pouvez commencer à planifier le déploiement de la conception AD FS
de votre organisation. Une fois la conception terminée, lisez les informations de cette
rubrique pour déterminer quelles tâches exécuter pour déployer AD FS dans votre
organisation.
Examen de votre conception AD FS

Si l'équipe de conception qui a élaboré la conception initiale AD FS pour votre
organisation n'est pas celle qui implémentera le déploiement, assurez-vous que l'équipe
de déploiement examine la conception finale avec l'équipe de conception. Passez en
revue les points suivants relatifs à la conception :
La stratégie de l'équipe de conception pour déterminer la meilleure topologie

physique pour la sélection élective des serveurs de fédération dans votre réseau
d'entreprise ou de périmètre. L'équipe de déploiement trouvera des informations à
ce sujet dans les rubriques suivantes du Guide de conception AD FS :
Rôle de la base de données de configuration AD FS
Planification de la sélection élective du serveur de fédération
Planification de la sélection élective du serveur proxy de fédération
L'équipe de conception peut déléguer les tâches de sélection élective du serveur

de fédération ou du serveur proxy de fédération à l'équipe de déploiement.
L'équipe de déploiement est ensuite chargée de la documentation et de
l'implémentation de la topologie physique des serveurs.
Les raisons professionnelles motivant la désignation de votre organisation en tant

que fournisseur de revendications ou partie de confiance, ou les deux à la fois,
dans le cadre de la conception AD FS documentée. Assurez-vous que les membres
de l'équipe de déploiement comprennent les raisons du déploiement AD FS et
qu'ils savent quelles autres entreprises ou organisations sont partenaires de la
fédération. Assurez-vous aussi qu'ils comprennent les contraintes de ces sociétés
ou organisations (matériel limité, absence d'extranet, etc.) qui sont susceptibles de
limiter l'étendue de la conception d'une façon ou d'une autre. Pour plus
d'informations sur les organisations partenaires, voir Planification de votre
déploiement.
Une fois que les équipes de conception et les équipes de déploiement se sont mises
d'accord sur ces problèmes, elles peuvent lancer le déploiement de la conception AD FS.
Pour plus d'informations, voir Implémentation de votre plan de conception AD FS.
Implémentation de votre plan de
conception AD FS
Les conditions environnementales et exigences suivantes sont des facteurs importants

dans l’implémentation de votre plan de conception Active Directory Federation Services
(AD FS) :
Partenaires pris en charge : vous utilisez généralement AD FS pour collaborer avec
des organisations partenaires. Pour établir une fédération d’identité, identifiez les
organisations avec lesquelles vous souhaitez former un partenariat. Une fois qu’un
déploiement AD FS de base est en place, collaborer avec des partenaires implique
d’ajouter des partenaires, de supprimer des partenaires et de mettre à jour les
informations des partenaires. Les changements apportés aux partenariats peuvent
se produire pour diverses raisons. Par exemple, votre déploiement AD FS peut
nécessiter des mises à jour de partenariat si votre partenaire modifie
considérablement son activité, si votre organisation fait partie d’une plus grande
organisation ou d’une fédération d’organisations, ou si votre organisation est
acquise par une autre entreprise. Dans tout scénario dans lequel vous fédérez des
identités à partir de plusieurs domaines, vous devez connaître les domaines
(partenaires) pris en charge et tous les domaines supplémentaires qui représentent
des partenaires potentiels.
Types d’applications et de services pris en charge : certaines applications et

certains services nécessitent l’accès aux ressources du système d’exploitation,
tandis que d’autres « prennent en charge les revendications ». Il est important de
comprendre les types d’applications et de services pris en charge par AD FS afin de
pouvoir formuler des exigences d’administration.
Diagrammes d’architecture logique et physique ou topologie de déploiement :

Informations à connaître :
Si les serveurs de fédération fonctionnent dans un ensemble de serveurs en

batterie ou sur un seul serveur.
Où votre réseau déploie des pare-feu et des proxys.
Emplacement des ressources et accès des utilisateurs à partir de votre

organisation, en dehors de l’organisation, ou les deux.
Comment implémenter votre conception AD FS
à l'aide de ce guide
L'étape suivante de l'implémentation de votre conception consiste à déterminer dans
quel ordre chaque tâche de déploiement doit être exécutée. Ce guide utilise les listes de
vérification pour vous guider à travers les différentes tâches de déploiement du serveur
et de l’application requises pour l’implémentation de votre plan de conception. Les listes
de contrôle parent et enfant sont nécessaires pour représenter l’ordre dans lequel les
tâches pour une conception AD FS spécifique doivent être effectuées.
Utilisez les listes de contrôle parentes suivantes dans cette section du guide pour vous
familiariser avec les tâches de déploiement et implémenter la conception AD FS préférée
de votre organisation :
Check-list : implémentation d’une conception SSO de web
Check-list : implémentation d’une conception SSO de web fédéré

Liste de vérification : implémentation
d'une conception SSO de web
Cette liste de vérification principale inclut des références croisées sous forme de liens
vers des concepts importants relatifs à la conception d’une solution à authentification
unique (SSO) de web pour les services de fédération Active Directory (AD FS). Elle
comprend également des liens vers des listes de vérification subordonnées qui vous
aideront à exécuter les tâches requises pour implémenter cette conception.
７ Notes
Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification.
Lorsqu'un lien de référence vous redirige vers une rubrique conceptuelle ou une
liste de vérification subordonnée, revenez à la présente rubrique après avoir
consulté la rubrique conceptuelle ou effectué les tâches de la liste de vérification
subordonnée, afin de pouvoir effectuer les tâches restantes décrites dans cette liste
de vérification principale.
Liste de vérification : Implémentation d’une conception d’authentification unique

web
Tâche Informations
de référence
Prenez connaissance des concepts importants relatifs à la conception SSO de Conception

web et déterminez quels objectifs de déploiement d’AD FS vous pouvez de
utiliser pour personnaliser cette conception en fonction des besoins propres à l’authentification
votre organisation. Remarque : unique web
Identification
de vos objectifs
de déploiement
AD FS
Examinez la configuration requise pour déployer AD FS dans votre Annexe A :
organisation, notamment en ce qui concerne le matériel, les logiciels, les Examen des
certificats, le DNS, le magasin d'attributs et les clients. exigences AD FS
Tâche Informations
de référence
En fonction de votre plan de conception, installez un serveur de fédération, ou Liste de

plusieurs, dans le réseau d’entreprise ou de périmètre. Remarque : La contrôle :
conception SSO de web ne nécessite qu’un seul serveur de fédération pour Configuration
fonctionner. Un serveur de fédération peut jouer à la fois le rôle de fournisseur d’un serveur de
de revendications et le rôle de partie de confiance. fédération
(Facultatif) Déterminez si votre organisation a besoin ou non d’un serveur de Liste de

fédération proxy dans le réseau de périmètre. vérification :
Configuration
d’un proxy de
serveur de
fédération
En fonction de votre plan de conception SSO de web et de la manière dont Liste de

vous prévoyez de l'utiliser, ajoutez au service de fédération le magasin vérification :
d'attributs, les approbations de partie de confiance, les revendications et les Configuration
règles de revendication appropriés. de l’organisation
partenaire de
compte
Si vous êtes administrateur dans l’organisation du partenaire de ressource, Windows

activez les revendications pour votre application de navigateur web, Identity
application de service web ou application Microsoft® Office SharePoint® Foundation
Server à l’aide de WIF et du Kit de développement logiciel (SDK) WIF.
Remarque : SDK Windows
Identity
Foundation
Liste de vérification : Implémentation
d’une conception SSO de web fédéré
Cette liste de vérification principale inclut des références croisées sous forme de liens
vers des concepts importants relatifs à la conception d’une solution à authentification
unique (SSO) de web fédéré pour Active Directory Federation Services (AD FS). Elle
comprend également des liens vers des listes de vérification subordonnées qui vous
aideront à exécuter les tâches requises pour implémenter cette conception.
７ Notes
Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification.
Lorsqu'un lien de référence vous redirige vers une rubrique conceptuelle ou une
liste de vérification subordonnée, revenez à la présente rubrique après avoir
consulté la rubrique conceptuelle ou effectué les tâches de la liste de vérification
subordonnée, afin de pouvoir effectuer les tâches restantes décrites dans cette liste
de vérification principale.
Liste de vérification : Implémentation d’une conception d’authentification unique

de web fédéré
Tâche Informations
de référence
Prenez connaissance des concepts importants relatifs à la conception d'une Federated

solution d'authentification unique de web fédérée et déterminez quels Web SSO
objectifs de déploiement AD FS vous pouvez utiliser pour personnaliser cette Design
conception en fonction des besoins de votre organisation.
dentification
de vos objectifs
de déploiement
AD FS
Planification
de votre
déploiement
Examinez la configuration requise pour déployer AD FS dans votre Appendix A:

organisation, notamment en ce qui concerne le matériel, les logiciels, les Reviewing AD
certificats, le DNS, le magasin d'attributs et les clients. FS
Requirements
Tâche Informations
de référence
Prenez connaissance des concepts importants relatifs aux revendications et aux Présentation
règles associées, aux magasins d'attributs et à la configuration de la base de des concepts
données AD FS avant de déployer AD FS dans les deux organisations AD FS clés
partenaires.
En fonction de votre plan de conception, installez un ou plusieurs serveurs de Liste de

fédération dans chaque organisation partenaire. Note : Pour la conception SSO vérification :
de web fédéré, vous devez installer au moins un serveur de fédération dans Configuration
l’organisation partenaire de compte et au moins un serveur de fédération dans d’un serveur de
l’organisation partenaire de ressource. fédération
(Facultatif) Déterminez si votre organisation a besoin ou non d’un serveur Liste de

proxy de fédération. Si votre plan de conception fait appel à un serveur proxy, vérification :
vous pouvez installer un serveur proxy de fédération, voire plusieurs, dans Configuration
chaque organisation partenaire. d’un serveur
proxy de
fédération
En fonction de votre plan de conception, partagez les certificats, configurez les Liste de
clients, et configurez les relations d'approbation dans les deux organisations vérification :
partenaires afin qu'elles puissent communiquer entre elles via une approbation Configuration
de fédération. de
l’organisation
partenaire de
compte
Liste de
vérification :
Configuration
de
l’organisation
partenaire de
ressource
Si vous êtes administrateur dans l’organisation partenaire de ressource, activez Windows

les revendications pour votre application de navigateur web, application de Identity
service web ou application Microsoft® Office SharePoint® Server à l’aide de Foundation
WIF et du Kit de développement logiciel (SDK) WIF.
SDK
Windows
Identity
Foundation
Configuration des organisations
partenaires
Pour déployer une nouvelle organisation partenaire dans services de fédération Active
Directory (AD FS) (AD FS), effectuez les tâches décrites dans l’une des listes de
vérification : configuration de l’organisation du partenaire de ressource ou liste de
vérification : configuration de l’organisation partenaire de compte, en fonction de la
conception de votre AD FS.
７ Notes
lorsque vous utilisez l’une de ces listes de vérification, nous vous recommandons
vivement de lire au préalable les références à l’aide du partenaire de compte ou de
la planification des partenaires de ressources dans le guide de conception de AD
FS dans Windows Server 2012 avant de passer aux procédures de configuration de
la nouvelle organisation partenaire. Le fait de suivre la liste de contrôle de cette
façon permet de mieux comprendre la conception complète de AD FS et le
déploiement pour le partenaire de compte ou l’organisation partenaire de
ressource.
À propos des organisations partenaires de

compte
Un partenaire de compte est l’organisation dans la relation d’approbation de Fédération
qui stocke physiquement les comptes d’utilisateur dans un magasin d’attributs pris en
charge par AD FS. Le partenaire de compte est chargé de collecter et d’authentifier les
informations d’identification d’un utilisateur, de créer des revendications pour cet
utilisateur et d’empaqueter les revendications dans des jetons de sécurité. Ces jetons
peuvent ensuite être présentés dans une approbation de Fédération pour permettre
l’accès aux ressources Web qui se trouvent dans l’organisation du partenaire de
ressource.
En d’autres termes, un partenaire de compte représente l’organisation dont les

utilisateurs du serveur de Fédération côté compte émet des jetons de sécurité. Le
serveur de Fédération dans l’organisation partenaire de compte authentifie les
utilisateurs locaux et crée des jetons de sécurité utilisés par le partenaire de ressource
pour prendre des décisions d’autorisation.
En ce qui concerne les magasins d’attributs, le partenaire de compte dans AD FS est
conceptuellement équivalent à une seule forêt Active Directory dont les comptes ont
besoin d’accéder aux ressources qui se trouvent physiquement dans une autre forêt. Les
comptes de cette forêt peuvent accéder aux ressources de la forêt de ressources
uniquement lorsqu’une relation d’approbation externe ou de forêt existe entre les deux
forêts et que les ressources auxquelles les utilisateurs essaient d’accéder ont été définies
avec les autorisations d’autorisation appropriées.
À propos des organisations partenaires de

ressources
Le partenaire de ressource est l’organisation dans un déploiement AD FS où se trouvent
les serveurs Web. Le partenaire de ressource approuve le partenaire de compte pour
authentifier les utilisateurs. Par conséquent, pour prendre des décisions d’autorisation, le
partenaire de ressource consomme les revendications qui sont empaquetées dans des
jetons de sécurité provenant d’utilisateurs du partenaire de compte.
En d’autres termes, un partenaire de ressource représente l’organisation dont les

serveurs Web sont protégés par le serveur de Fédération côté ressource. Le serveur de
Fédération du partenaire de ressource utilise les jetons de sécurité produits par le
partenaire de compte pour prendre des décisions d’autorisation pour les serveurs Web
du partenaire de ressource.
pour fonctionner en tant que ressource AD FS, les serveurs web de l’organisation
partenaire de ressource doivent avoir Windows identity Foundation (WIF) installé ou
disposer des Services de rôle Agent Web prenant en charge les revendications services
de fédération Active Directory (AD FS) (AD FS) 1. x. Les serveurs Web qui fonctionnent
en tant que ressources de AD FS peuvent héberger des applications Web ou basées sur
un service Web.
Check-list : Configuration de
l’organisation partenaire de compte
L'organisation partenaire de compte contient les utilisateurs qui accèdent aux

applications web dans le partenaire de ressource. Les administrateurs de cette
organisation doivent utiliser le composant logiciel enfichable Gestion AD FS pour créer
des approbations de partie de confiance afin de représenter leurs relations
d’approbation avec les organisations partenaires de ressource. À son tour,
l’administrateur partenaire de ressource doit créer des approbations de fournisseur de
revendications pour chaque organisation partenaire de compte qu’il souhaite
approuver.
Cette check-list comprend des tâches de déploiement des services de fédération Active
Directory (AD FS) dans l’organisation partenaire de compte. Elle comprend également
des tâches de configuration des composants nécessaires pour établir la moitié d’un
partenariat de fédération.
Si vous déployez une conception d’authentification unique web, vous n’avez pas besoin
de suivre cette liste de vérification. Toutefois, vous devez effectuer les tâches de cette
liste de vérification pour déployer correctement une conception d’authentification
unique web fédérée.
） Important
Vérifiez que l’administrateur de l’organisation partenaire de ressource suit les

instructions fournies dans Check-list : Configuration de l’organisation partenaire
de ressource pour veiller à ce que toutes les tâches de déploiement nécessaires
soient effectuées en vue de créer correctement la seconde moitié du partenariat de
fédération.
７ Notes
Effectuez dans l’ordre les tâches répertoriées dans cette liste de vérification. Quand
un lien de référence vous conduit à une procédure, revenez dans cet article, une
fois les étapes de la procédure effectuées, afin de pouvoir accomplir les tâches
restantes de la liste.
Check-list : Configuration de l’organisation partenaire de compte

Tâche Informations
de référence
Si vous disposez déjà d’un déploiement d’AD FS 1.0 ou 1.1 dans votre Planification
environnement de production, consultez le lien à droite pour obtenir plus d’une migration
d’informations sur la migration des paramètres de votre service de fédération vers AD FS 2.0
actuel vers un nouveau service de fédération AD FS. Si vous déployez AD FS
pour la première fois dans votre organisation, vous pouvez ignorer cette étape
et passer à la tâche suivante de cette check-list pour obtenir plus
d’informations sur la configuration d’une nouvelle organisation partenaire de
compte.
En fonction de vos objectifs de déploiement, passez en revue les informations Fournir à vos
sur les composants nécessaires pour fournir aux utilisateurs l’accès aux utilisateurs
applications fédérées. Active Directory
l’accès à vos
applications et
services prenant
en charge les
revendications
Fournir à vos
utilisateurs
Active Directory
un accès aux
applications et
services d’autres
organisations
Fournir aux
utilisateurs
d’une autre
organisation un
accès à vos
applications et
services prenant
en charge les
revendications
Déterminez à quelle conception AD FS cette organisation partenaire de Conception

compte sera associée. SSO web
Conception
SSO web
fédérée
Tâche Informations
de référence
Avant de commencer à déployer vos serveurs AD FS, passez en revue : 1.) les Déterminer
avantages et les inconvénients du choix de WID (Base de données interne votre topologie
Windows) ou de SQL Server pour stocker la base de données de configuration de déploiement
AD FS et 2.) les types de topologie de déploiement AD FS et leurs AD FS
recommandations de positionnement de serveur et de disposition réseau
associées.
Considérations
relatives à la
topologie de
déploiement
AD FS
Passez en revue les conseils de planification de la capacité AD FS pour Planification

déterminer le nombre approprié de serveurs de fédération et de serveurs de la capacité
proxy de fédération que vous devez utiliser dans votre environnement de du serveur
production. AD FS
Pour planifier et implémenter efficacement la topologie physique pour le Check-list :

déploiement du partenaire de compte, déterminez si votre conception AD FS Configuration
nécessite un ou plusieurs serveurs de fédération ou serveurs proxy de d’un serveur de
fédération. fédération
Check-list :
Configuration
d’un serveur
proxy de
fédération
Déterminez le type de magasin d’attributs que vous souhaitez ajouter à AD FS. Le rôle des
Ensuite, ajoutez le magasin d’attributs à l’aide du composant logiciel magasins
enfichable Gestion AD FS. d’attributs
Ajouter un
magasin
d’attributs
Si vous devez envoyer des revendications à un partenaire de ressource ou Planification

consommer des revendications à partir d’un partenaire de ressource qui utilise de
un service de fédération AD FS 1.0 ou 1.1, consultez le lien à droite pour l’interopérabilité
obtenir plus d’informations sur la façon de configurer AD FS pour interagir avec AD FS 1.x
avec les versions précédentes d’AD FS. Si l’organisation partenaire de
ressource utilise également AD FS pour envoyer ou consommer des
revendications à votre organisation, vous pouvez ignorer cette étape et passer
à la tâche suivante dans cette check-list.
Tâche Informations
de référence
Après avoir déployé le premier serveur de fédération dans l’organisation du Créer

partenaire de compte, créez une relation d’approbation de partie de confiance manuellement
à l’aide du composant logiciel enfichable Gestion AD FS. Vous pouvez créer une
une approbation de partie de confiance en entrant des données sur un approbation de
partenaire de ressource manuellement ou en utilisant une URL de partie de
métadonnées de fédération que l’administrateur de l’organisation du confiance
partenaire de ressource vous fournit. Vous pouvez utiliser les métadonnées de
fédération pour récupérer des données du partenaire de ressource Créer une
automatiquement. Remarque : Si le partenaire de ressource publie ses approbation de
métadonnées de fédération ou peut fournir une copie de fichier que vous partie de
pouvez utiliser, nous recommandons de récupérer les données confiance à
automatiquement car vous gagnerez du temps. l’aide des
métadonnées
de fédération
En fonction des besoins de votre organisation, créez un ou plusieurs Check-list :

ensembles de règles de revendication pour chaque approbation de partie de Création de
confiance spécifiée dans le composant logiciel enfichable Gestion AD FS afin règles de
que les revendications soient émises de manière appropriée. revendication
pour une
approbation de
partie de
confiance
Une description de la revendication doit être créée si celle-ci n’existe pas déjà Ajouter une
pour répondre aux besoins de votre organisation. AD FS inclut un ensemble description de
par défaut de descriptions de revendications qui sont exposées dans le revendication
composant logiciel enfichable Gestion AD FS.
Déterminez si votre organisation doit utiliser la délégation d’identité pour Quand

autoriser ou contraindre un compte spécifié à « agir au nom » d’autres utiliser la
utilisateurs ou à emprunter leur identité. Il s’agit souvent d’une obligation délégation
quand des applications web front-end doivent interagir avec des services web d’identité
back-end.
Tâche Informations
de référence
Préparez les ordinateurs clients à la fédération en effectuant les opérations Préparer les
suivantes : ordinateurs
- Ajoutez l’URL du serveur de fédération du partenaire de compte à la liste des clients dans le
sites approuvés du navigateur client.
partenaire de
- Utilisez une stratégie de groupe pour envoyer (push) les certificats SSL compte
(Secure Sockets Layer) appropriés aux ordinateurs clients.
Configurer
des ordinateurs
clients pour
approuver le
serveur de
fédération de
compte
Distribuer des
certificats aux
ordinateurs
clients à l’aide
d’une stratégie
de groupe
Liste de vérification : Configuration de
L’organisation partenaire de ressource contient les serveurs web hébergeant les

applications web auxquelles les utilisateurs du partenaire du compte auront accès. Les
administrateurs de cette organisation doivent utiliser le composant logiciel enfichable
Gestion AD FS pour créer des approbations de fournisseur de revendications afin de
représenter leurs relations d’approbation avec les organisations partenaires du compte.
À son tour, l’administrateur partenaire du compte doit créer des approbations de partie
de confiance pour chaque organisation partenaire du compte qu’il souhaite approuver.
Cette liste de vérification inclut les tâches nécessaires au déploiement des Services de
fédération Active Directory (AD FS) dans l’organisation partenaire de ressource. Elle
comprend également des tâches de configuration des composants qui sont nécessaires
pour établir la moitié d’un partenariat de fédération.
Si vous déployez une conception d’authentification unique web, vous n’avez pas besoin
de suivre cette liste de vérification. Toutefois, vous devez effectuer les tâches de cette
liste de vérification pour déployer correctement une conception d’authentification
unique web fédérée.
） Important
Assurez-vous que l’administrateur de l’organisation partenaire du compte suit les

instructions fournies dans Liste de vérification : Configuration de l’organisation
partenaire du compte pour faire en sorte que toutes les tâches de déploiement
nécessaires seront effectuées en vue de créer correctement la deuxième moitié du
partenariat de fédération
７ Notes
Liste de vérification : Configuration de l’organisation partenaire de ressource

Tâche Informations
de référence
Si vous disposez déjà d’un déploiement AD FS 1.0 ou 1.1 dans votre Planification
environnement de production, consultez le lien à droite pour obtenir plus d’une migration
d’informations sur la migration des paramètres de votre service de fédération vers AD FS
actuel vers un nouveau service de fédération AD FS. Si vous déployez AD FS
pour la première fois dans votre organisation à l’aide d’AD FS, vous pouvez
ignorer cette étape et passer à la tâche suivante dans cette liste de vérification
pour obtenir plus d’informations sur la configuration d’une nouvelle
organisation partenaire de ressource.
En fonction de vos objectifs de déploiement, passez en revue les informations Fournir à vos
sur les composants nécessaires pour fournir aux utilisateurs l’accès aux utilisateurs
applications fédérées. Active Directory
l’accès à vos
applications et
services prenant
en charge les
revendications
Fournir à vos
utilisateurs
Active Directory
l’accès aux
applications et
services d’autres
organisations
Fournir aux
utilisateurs
d’une autre
organisation
l’accès à vos
applications et
services prenant
en charge les
revendications
Déterminez à quelle conception AD FS cette organisation partenaire de Conception

ressource sera associée. de
unique web
Conception
de
unique web
fédérée
Tâche Informations
de référence
Passez en revue les différents types d’applications et choisissez l’application à Déterminer

déployer. votre stratégie
d’application
fédérée dans le
partenaire de
ressource
Avant de commencer à déployer vos serveurs AD FS, passez en revue : 1.) les Déterminer
avantages et les inconvénients du choix de WID (Base de données interne votre topologie
Windows) ou de SQL Server pour stocker la base de données de configuration de déploiement
AD FS et 2.) les types de topologie de déploiement AD FS et leurs AD FS
recommandations de positionnement de serveur et de disposition réseau
associées.
Considérations
relatives à la
topologie de
déploiement AD
FS
Passez en revue les conseils de planification de la capacité AD FS pour Planification

déterminer le nombre approprié de serveurs de fédération et de serveurs de la capacité
proxy de fédération que vous devez utiliser dans votre environnement de du serveur AD
production. FS
Pour planifier et implémenter efficacement la topologie physique pour le Liste de

déploiement du partenaire du compte, déterminez si votre conception AD FS vérification :
nécessite un ou plusieurs serveurs de fédération ou proxys de serveur de Configuration
fédération. d’un serveur de
fédération
Liste de
vérification :
Configuration
d’un proxy de
serveur de
fédération
Déterminez le type de magasin d’attributs que vous souhaitez ajouter à AD FS. Le rôle des
Ensuite, ajoutez le magasin d’attributs à l’aide du composant logiciel magasins
enfichable Gestion AD FS. d’attributs
Ajouter un
magasin
d’attributs
Tâche Informations
de référence
Si vous devez envoyer des revendications à un partenaire du compte ou Planifier

consommer des revendications à partir d’un partenaire du compte qui utilise l’interopérabilité
un service de fédération AD FS 1.0 ou 1.1, consultez le lien à droite pour avec AD FS 1.x
obtenir plus d’informations sur la façon de configurer AD FS pour interagir
avec les versions précédentes d’AD FS. Si l’organisation partenaire du compte
utilise également AD FS pour envoyer ou consommer des revendications à
votre organisation, vous pouvez ignorer cette étape et passer à la tâche
suivante dans cette liste de vérification.
Après avoir déployé le premier serveur de fédération dans l’organisation Créer une
partenaire de ressource, créez une relation d’approbation du fournisseur de approbation du
revendications à l’aide du composant logiciel enfichable Gestion AD FS. Vous fournisseur de
pouvez créer une approbation du fournisseur de revendications en entrant des revendications
données sur un partenaire du compte manuellement ou en utilisant une URL manuellement
de métadonnées de fédération que l’administrateur de l’organisation
partenaire du compte vous fournit. Vous pouvez utiliser les métadonnées de Créer une
fédération pour récupérer des données du partenaire de ressource approbation du
automatiquement. Remarque : si le partenaire du compte publie ses fournisseur de
métadonnées de fédération ou peut fournir une copie que vous pouvez revendications à
utiliser, nous vous recommandons de récupérer les données automatiquement l’aide des
car vous gagnerez du temps. métadonnées de
fédération
En fonction des besoins de votre organisation, créez un ou plusieurs Liste de

ensembles de règles de revendication pour chaque approbation du vérification :
fournisseur de revendications spécifiée dans le composant logiciel enfichable Création de
Gestion AD FS afin que les revendications entrantes soient transmises, règles de
transformées ou mappées de manière appropriée aux revendications revendication
correspondantes dans le partenaire de ressource. pour une
approbation du
fournisseur de
revendications
(Facultatif) Il peut être nécessaire de créer une description de la revendication Ajouter une
si celle-ci n’existe pas déjà pour répondre aux besoins de votre organisation. description de
AD FS inclut un ensemble par défaut de descriptions de revendications qui revendication
sont exposées dans le composant logiciel enfichable Gestion AD FS.
Ajouter un magasin d'attributs
Les comptes d’utilisateur et les comptes d’ordinateur qui nécessitent l’accès à une
ressource protégée par les Active Directory Federation Services (AD FS) sont stockés
dans un magasin d’attributs, par exemple services de domaine Active Directory (AD DS).
Le moteur d’émission de revendications utilise des magasins d’attributs pour collecter
des données nécessaires pour émettre des revendications. Les données des magasins
d’attributs sont ensuite projetées en tant que revendications.
Vous pouvez utiliser la procédure suivante pour ajouter un magasin d’attributs au

service de fédération.
Ajouter un magasin d’attributs

1. Ouvrez Gestion AD FS.
2. Sous Actions, cliquez sur Ajouter un magasin d’attributs.

3. Dans la boîte de dialogue Ajouter un magasin d’attributs, configurez les
propriétés suivantes pour le magasin d’attributs que vous souhaitez ajouter :
Dans Nom d’affichage, tapez le nom que vous souhaitez utiliser pour
identifier le magasin d’attributs.
Dans Type de magasin d’attributs, sélectionnez un type de magasin

d’attributs pris en charge, Active Directory, LDAP ou SQL.
Dans Chaîne de connexion, si vous avez sélectionné un magasin LDAP

(Lightweight Directory Access Protocol) ou un magasin langage SQL (SQL),
entrez la chaîne que vous avez utilisée pour établir une connexion au
magasin d’attributs. Pour les magasins d’attributs Active Directory, aucune
chaîne de connexion n’est nécessaire ; par conséquent, ce champ est
désactivé.
７ Notes
Par défaut, AD FS crée automatiquement un magasin d'attributs Active

Directory.
4. Cliquez sur OK.

Rôle des magasins d’attributs

Créer une approbation de fournisseur
de revendications
Pour ajouter une nouvelle approbation de fournisseur de revendications à l’aide du

composant logiciel enfichable Gestion AD FS et configurer manuellement les
paramètres, procédez comme suit sur un serveur de fédération partenaire de ressources
dans l’organisation partenaire de ressource.
L’appartenance aux administrateurs, ou équivalent, sur l’ordinateur local est la condition

minimale requise pour effectuer cette procédure. Examinez les informations relatives à
l’utilisation des comptes et des appartenances de groupe appropriés dans la page
consacrée aux Groupes de domaine et locaux par défaut.
Pour créer une approbation de fournisseur de

revendications manuellement
1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD FS.
2. Sous Actions, cliquez sur Ajouter une approbation de fournisseur de

revendications.
3. Dans la page Bienvenue, cliquez sur Démarrer.
4. Dans la page Sélectionner une source de données, cliquez sur Entrer les données
d’approbation de fournisseur de revendications manuellement, puis sur Suivant.
5. Dans la page Entrer le nom complet, tapez un Nom complet, sous Remarques,
tapez une description pour cette approbation de fournisseur de revendications,
6. Dans la page Configurer l’URL , spécifiez l’URL passive WS-Federation , le cas

échéant, puis cliquez sur Suivant.
7. Dans la page Configurer l’identificateur, sous Identificateur d’approbation de

fournisseur de revendications, tapez l’identificateur approprié, puis cliquez sur
Suivant.
8. Dans la page Configurer les certificats, cliquez sur Ajouter pour rechercher un
fichier de certificat et l’ajouter à la liste des certificats, puis cliquez sur Suivant.
9. Dans la page Prêt à ajouter l’approbation, cliquez sur Suivant pour enregistrer les
informations de votre approbation de fournisseur de revendications.
10. Dans la page Terminer, cliquez sur Fermer. Cette action affiche automatiquement
la boîte de dialogue Modifier les règles de revendication. Pour plus d’informations
sur l’ajout de règles de revendication pour cette approbation de fournisseur de
revendications, consultez les références supplémentaires suivantes.
Pour créer une approbation de fournisseur de

revendications à l’aide de métadonnées de
fédération
Pour ajouter une nouvelle approbation de fournisseur de revendications, à l’aide du
composant logiciel enfichable Gestion AD FS, en important automatiquement les
données de configuration relatives au partenaire à partir des métadonnées de
fédération publiées par le partenaire sur un réseau local ou sur Internet, effectuez la
procédure suivante sur un serveur de fédération dans l’organisation partenaire de
ressources.
７ Notes
Bien qu’il ait longtemps été une pratique courante d’utiliser des certificats avec des
noms d’hôte non qualifiés tels que https://myserver, ces certificats n’ont aucune
valeur de sécurité et peuvent permettre à un attaquant d’emprunter l’identité d’un
service de fédération qui publie des métadonnées de fédération. Par conséquent,
lors de l’interrogation des métadonnées de fédération, vous ne devez utiliser qu’un
nom de domaine complet tel que https://myserver.contoso.com .
2. Sous Actions, cliquez sur Ajouter une approbation de fournisseur de

revendications.
3. Dans la page Bienvenue, cliquez sur Démarrer.
4. Dans la page Sélectionner une source de données, cliquez sur Importer les
données publiées en ligne ou sur un réseau local concernant le fournisseur de
revendications. Dans l’adresse des métadonnées de fédération (nom d’hôte ou
URL), tapez l’URL des métadonnées de fédération ou le nom d’hôte du partenaire,
5. Dans la page Spécifier un nom complet, sous Notes, tapez une description pour
cette approbation de fournisseur de revendications, puis cliquez sur Suivant.
6. Dans la page Prêt à ajouter l’approbation, cliquez sur Suivant pour enregistrer les
informations de votre approbation de fournisseur de revendications.
7. Dans la page Terminer , cliquez sur Fermer. Cette opération affiche

automatiquement la boîte de dialogue Modifier les règles de revendication. Pour
plus d’informations sur l’ajout de règles de revendication pour cette approbation
de fournisseur de revendications, consultez la section Références supplémentaires
ci-dessous.
Liste de contrôle : Configuration de l’organisation partenaire de ressources
Check-list : création de règles de revendication pour une approbation de fournisseur de

revendications
Voir aussi
Créer une partie de confiance
Le document suivant fournit des informations sur la création manuelle d’une

approbation de partie de confiance et l’utilisation des métadonnées de fédération.
Pour créer manuellement une approbation de

partie de confiance prenant en charge les
revendications
Pour ajouter une nouvelle approbation de partie de confiance en utilisant le composant
logiciel enfichable de gestion ADFS et configurer manuellement les paramètres,
effectuez la procédure suivante sur un serveur de fédération.
2. Sous Actions, cliquez sur Ajouter une approbation de partie de confiance.
3. Sur la page Bienvenue, choisissez Prise en charge des revendications et cliquez

sur Démarrer.
4. Dans la page Sélectionner une source de données, cliquez sur Entrer
manuellement les données concernant la partie de confiance, puis sur Suivant.
5. Sur la page Spécifier le nom d’affichage, saisissez un nom dans Nom d’affichage.
Sous Notes, saisissez une description pour cette partie de confiance, puis cliquez
sur Suivant.
6. Dans la page Configurer le certificat, si vous disposez d’un certificat de
chiffrement de jeton facultatif, cliquez sur Parcourir pour localiser votre fichier de
certificat, puis cliquez sur Suivant.
7. Dans la page Configurer l’URL, effectuez l’une et/ou l’autre des opérations ci-
dessous, cliquez sur Suivant, puis passez à l’étape 8 :
Cochez la case Activer la prise en charge du protocole WS-Federation

passif. Sous URL du protocole WS-Federation passif de la partie de
confiance, tapez l'URL pour cette approbation de partie de confiance, puis
Activez la case à cocher Activer la prise en charge du protocole WebSSO

SAML 2.0 . Sous URL du service SSO SAML 2.0 de la partie de confiance,
saisissez l’URL du point de terminaison de service Security Assertion Markup
Language (SAML) pour cette partie de confiance, puis cliquez sur Suivant.
8. Dans la page Configurer les identificateurs, spécifiez un ou plusieurs
identificateurs pour cette partie de confiance, cliquez sur Ajouter pour les ajouter à
la liste, puis cliquez sur Suivant.
9. Dans la page Choisir la stratégie de contrôle d’accès, sélectionnez une stratégie
puis cliquez sur Suivant. Pour plus d’informations sur les stratégies de contrôle
d’accès AD FS, consultez Stratégies de contrôle d’accès dans AD FS.
10. Dans la page Prêt à ajouter l'approbation, vérifiez les paramètres, puis cliquez sur
Suivant pour enregistrer les informations de la nouvelle approbation de partie de
confiance.
11. Dans la page Terminer, cliquez sur Fermer. Cette action affiche automatiquement
la boîte de dialogue Modifier les règles de revendication.
Pour créer une approbation de partie de
confiance prenant en charge les revendications
à l’aide des métadonnées de fédération
Pour ajouter une nouvelle approbation de partie de confiance à l’aide du composant
logiciel enfichable Gestion AD FS, en important automatiquement les données de
configuration relatives au partenaire à partir des métadonnées de fédération que le
partenaire a publiées sur un réseau local ou sur Internet, effectuez la procédure suivante
sur un serveur de fédération dans l’organisation partenaire du compte.
７ Notes
L’utilisation de certificats avec des noms d’hôte non qualifiés, comme

https://myserver, a longtemps été une pratique courante. Or ces certificats n’offrent
aucune garantie de sécurité et peuvent permettre à une personne malveillante
d’emprunter l’identité d’un service de fédération qui publie des métadonnées de
fédération. Par conséquent, lors de la demande de métadonnées de fédération,
utilisez uniquement un nom de domaine complet comme
https://myserver.contoso.com .
2. Sous Actions, cliquez sur Ajouter une approbation de partie de confiance.
3. Sur la page Bienvenue, choisissez Prise en charge des revendications et cliquez

sur Démarrer.
4. Dans la page Sélectionner une source de données, cliquez sur Importer les
données, publiées en ligne ou sur un réseau local, concernant la partie de
confiance. Dans Adresse des métadonnées de fédération (nom d’hôte ou URL),
tapez l’URL de métadonnées de fédération ou le nom d’hôte du partenaire, puis
5. Dans la page Entrer le nom complet, tapez un nom dans Nom d’affichage. Sous
Remarques, tapez une description pour cette approbation de partie de confiance,
6. Dans la page Choisir les règles d'autorisation d'émission , sélectionnez Autoriser

l'accès de tous les utilisateurs à cette partie de confiance ou Refuser l'accès de
tous les utilisateurs à cette partie de confiance, puis cliquez sur Suivant.
7. Dans la page Prêt à ajouter l'approbation, vérifiez les paramètres, puis cliquez sur
Suivant pour enregistrer les informations de la nouvelle approbation de partie de
confiance.
8. Dans la page Terminer , cliquez sur Fermer. Cette action affiche automatiquement
la boîte de dialogue Modifier les règles de revendication. Pour plus d'informations
sur l'ajout de règles de revendication pour cette approbation de partie de
confiance, voir Références supplémentaires.
Voir aussi
Ajouter une description de
revendication
Dans une organisation partenaire de compte, les administrateurs créent des

revendications pour représenter l’appartenance d’un utilisateur dans un groupe ou un
rôle ou pour représenter des données sur un utilisateur, par exemple, un numéro
d’identification des employés d’un utilisateur.
Dans une organisation partenaire de ressources, les administrateurs créent des

revendications correspondantes pour représenter des groupes et des utilisateurs qui
peuvent être reconnus en tant qu’utilisateurs de ressources. Étant donné que les
revendications sortantes de l’organisation partenaire de compte sont mappées aux
revendications entrantes dans l’organisation partenaire de ressource, le partenaire de
ressource peut accepter les informations d’identification que le partenaire de compte
fournit.
Vous pouvez utiliser la procédure suivante pour ajouter une revendication.
Pour ajouter une description de revendication

2. Développez le service et cliquez avec le bouton droit sur Ajouter une description
de revendication.
3. Dans la boîte de dialogue Ajouter une description de revendication, dans nom

complet, tapez un nom unique qui identifie le groupe ou le rôle de cette
revendication.
4. Ajoutez un nom court.
5. Dans l’identificateur de revendication, tapez un URI associé au groupe ou au rôle

de la revendication que vous utiliserez.
6. Sous Description, tapez du texte qui décrit le mieux l’objectif de cette

revendication.
7. Selon les besoins de votre organisation, activez l’une des cases à cocher suivantes,
selon les besoins, pour publier cette revendication dans les métadonnées de
fédération :
- To publish this claim to make partners aware that this server can accept
this claim, click **Publish this claim in federation metadata as a claim
type that this Federation Service can accept**.
- To publish this claim to make partners aware that this server can issue
this claim, click **Publish this claim in federation metadata as a claim
type that this Federation Service can send**.
8. Cliquez sur OK.

Voir aussi
Configurer des ordinateurs clients pour
approuver le serveur de fédération de
comptes
Pour que les ordinateurs clients puissent accéder correctement aux applications
fédérées à l’aide d’Active Directory Federation Services (AD FS), vous devez d’abord
configurer les paramètres d’Internet Explorer sur chaque ordinateur client afin que le
navigateur approuve le serveur de fédération du compte. Vous pouvez le faire
manuellement ou via une stratégie de groupe, selon vos préférences administratives, en
effectuant l’une des procédures suivantes.
Configuration manuelle des paramètres

d’Internet Explorer
Vous pouvez utiliser la procédure suivante pour configurer manuellement les
paramètres d’Internet Explorer de chaque utilisateur afin de prendre en charge la
fédération via AD FS. Si plusieurs utilisateurs utilisent un même ordinateur, effectuez
cette procédure plusieurs fois, une par profil utilisateur.
Pour effectuer cette procédure, connectez-vous en tant qu’utilisateur qui accédera aux
applications fédérées. Il s’agit d’un paramètre spécifique au profil. Par conséquent, vous
devez ajouter manuellement ce paramètre pour chaque profil qui existe sur un
ordinateur spécifique.
Pour configurer manuellement les ordinateurs clients pour

approuver le serveur de fédération de compte
1. Sur l’ordinateur client, lancez Internet Explorer.
2. Dans le menu Outils, cliquez sur Options Internet.
3. Sur l’onglet Sécurité, cliquez sur l’icône Intranet local, puis sur Sites.
4. Cliquez sur Avancé, puis, dans Ajouter ce site web à la zone, tapez le nom DNS
complet du serveur de fédération de compte (par exemple,
https://fs1.fabrikam.com), puis cliquez sur Ajouter.
5. Cliquez sur OK à trois reprises.

Configuration des paramètres Internet Explorer
à l’aide d’une stratégie de groupe
Pour la plupart des déploiements, nous vous recommandons d’utiliser une stratégie de
groupe pour envoyer (push) les paramètres Internet Explorer appropriés à chaque
ordinateur client.
Pour suivre cette procédure, vous devez au moins appartenir au groupe Administrateurs
du domaine, Administrateurs de l’entreprise dans Active Directory Domain Services (AD
DS) ou à un groupe équivalent. Examinez les informations relatives à l’utilisation des
comptes et des appartenances au groupe appropriés dans la rubrique Groupes locaux et
de domaine par défaut (http://go.microsoft.com/fwlink/?LinkId=83477).
Pour configurer les ordinateurs clients pour qu’ils approuvent le

serveur de fédération de compte à l’aide de la stratégie de groupe
1. Sur un contrôleur de domaine dans la forêt de l’organisation partenaire de

compte, démarrez le composant logiciel enfichable Gestion des stratégie de
groupe.
2. Recherchez l’objet de stratégie de groupe approprié, cliquez dessus avec le bouton

droit, puis cliquez sur Modifier.
3. Dans l’arborescence de la console, ouvrez User

Configuration\Preferences\Windows Settings\Internet Explorer Maintenance,
puis cliquez sur Sécurité.
4. Dans le volet d’informations, double-cliquez sur Zones de sécurité et contrôle

d’accès au contenu.
5. Sous Zones de sécurité et confidentialité, cliquez sur Importer les paramètres

actuels de zones de sécurité et de confidentialité, puis sur Modifier les
paramètres.
6. Cliquez sur Intranet local, puis sur Sites.
7. Dans Ajouter ce site web à la zone, tapez le nom DNS complet du serveur de
fédération de compte (par exemple, https://fs1.fabrikam.com), cliquez sur Ajouter,
puis sur Fermer.
8. Cliquez deux fois sur OK pour appliquer ces modifications à la stratégie de groupe.
Distribuer des certificats aux ordinateurs
clients à l’aide d’une stratégie de
groupe
Vous pouvez utiliser la procédure suivante pour envoyer (push) les certificats SSL (Secure
Sockets Layer) appropriés (ou des certificats équivalents qui sont liés à une racine
approuvée) pour les serveurs de fédération de comptes, les serveurs de fédération de
ressources et les serveurs web vers chaque ordinateur client de la forêt partenaire de
compte à l’aide d’une stratégie de groupe.
Pour suivre cette procédure, vous devez au moins appartenir au groupe Administrateurs
du domaine, Administrateurs de l’entreprise dans Active Directory Domain Services (AD
DS) ou à un groupe équivalent. Examinez les informations relatives à l’utilisation des
comptes et des appartenances au groupe appropriés dans la rubrique Groupes locaux et
de domaine par défaut (http://go.microsoft.com/fwlink/?LinkId=83477).
Pour distribuer des certificats aux ordinateurs clients à

l’aide d’une stratégie de groupe
1. Sur un contrôleur de domaine dans la forêt de l’organisation partenaire de
compte, démarrez le composant logiciel enfichable Gestion des stratégies de
groupe.
2. Recherchez un objet de stratégie de groupe (GPO) existant ou créez un nouvel

objet de stratégie de groupe pour contenir les paramètres de certificat. Vérifiez
que l’objet de stratégie de groupe est associé au domaine, au site ou à l’unité
d’organisation où résident les comptes d’utilisateur et d’ordinateur appropriés.
3. Cliquez avec le bouton droit sur l'objet de stratégie de groupe, puis cliquez sur
Modifier.
4. Dans l’arborescence de la console, ouvrez Computer

Configuration\Policies\Windows Settings\Security Settings\Public Key Policies,
cliquez avec le bouton droit sur Autorités de certification racines approuvées,
puis cliquez sur Importer.
5. Dans la page Bienvenue de l'Assistant Importation de certificat, cliquez sur

Suivant.
6. Dans la page Fichier à importer, tapez le chemin d’accès aux fichiers de certificat
appropriés (par exemple, \\fs1\c$\fs1.cer), puis cliquez sur Suivant.
7. Sur la page Magasin de certificats, cliquez sur Placer tous les certificats dans le
magasin suivant, puis cliquez sur Suivant.
8. Dans la page Fin de l’Assistant Importation du certificat, vérifiez que les

informations fournies sont correctes, puis cliquez sur Terminer.
9. Répétez les étapes 2 à 6 pour ajouter des certificats supplémentaires pour chacun
des serveurs de fédération de la batterie.
Configuration de règles de
revendication
Dans un modèle d’identité basé sur les revendications, la fonction de Services de

fédération Active Directory (AD FS) en tant que services de fédération est d’émettre un
jeton qui contient un ensemble de revendications. Les règles de revendication régissent
la décision concernant les revendications émises par AD FS. Les règles de revendication
et toutes les données de configuration du serveur sont stockées dans la base de
AD FS prend des décisions d’émission basées sur les informations d’identité qui lui sont
fournies sous la forme de revendications et d’autres informations contextuelles. À un
niveau élevé, AD FS fonctionne comme un processeur de règles. Il prend un ensemble
de revendications comme entrée, effectue un certain nombre de transformations, puis
retourne un autre ensemble de revendications en tant que sortie.
Créer une règle pour passer ou filtrer une revendication entrante
Créer une règle pour autoriser tous les utilisateurs
Créer une règle pour envoyer une revendication compatible avec AD FS 1.x
Créer une règle pour autoriser ou refuser des utilisateurs en fonction d’une
demande entrante
Créer une règle pour envoyer des attributs LDAP en tant que revendications
Créer une règle pour envoyer l’appartenance à un groupe en tant que

revendication
Créer une règle pour transformer une revendication entrante
Créer une règle pour envoyer une revendication de méthode d’authentification
Créer une règle pour envoyer des revendications à l’aide d’une règle personnalisée
Liste de vérification : Création de règles
de revendication pour une approbation
de fournisseur de revendications
Cette liste de vérification contient les tâches de planification, de conception et de

déploiement de règles de revendication associées à une approbation de fournisseur de
revendications dans Services ADFS.
７ Notes
Liste de vérification : Création d’un ensemble de règles de revendication pour une

approbation de fournisseur de revendications
Tâche Informations de
référence
Passez en revue les concepts relatifs aux revendications, aux règles de Rôle des
revendication, aux ensembles de règles de revendication et aux modèles de revendications
règle de revendication et la façon dont ils sont associés aux approbations
fédérées. Rôle des règles
de revendications
Passez en revue les concepts relatifs à la façon dont une revendication passe Rôle du pipeline
par toutes les étapes du pipeline d’émission de revendications et la façon de revendications
dont les règles sont traitées par le moteur d’émission de revendications.
Rôle du moteur
de revendications
Pour planifier et implémenter efficacement les revendications de sortie qui Déterminer le

seront émises sur cette approbation de fournisseur de revendications, type de modèle de
déterminez si une ou plusieurs règles de revendication sont nécessaires et règle de
quelles règles de revendication vous devez utiliser avec cette approbation revendication à
de fournisseur de revendications. utiliser
référence
Passez en revue les concepts relatifs à la création d’une règle de Quand utiliser
revendication par rapport à une autre et à la manière d’utiliser le langage de un transfert direct
règle de revendication pour fournir une logique plus complexe que les ou filtrer la règle
règles standard afin de fournir un résultat souhaité dans l’ensemble de de revendication
revendications de sortie idéal.
Quand utiliser
une règle de
revendication de
transformation
Quand utiliser
une règle Envoyer
les attributs LDAP
en tant que
revendications
Quand utiliser la
règle Envoyer
l’appartenance à
un groupe en tant
que revendication
Quand utiliser
une règle de
revendication
personnalisée
Rôle du langage
de règle de
revendication
Une description de la revendication doit être créée si celle-ci n’existe pas Ajouter une
déjà pour répondre aux besoins de votre organisation. AD FS contient un description de
ensemble par défaut de descriptions de revendications qui sont exposées revendication
dans le composant logiciel enfichable Gestion AD FS.
référence
En fonction des besoins de votre organisation, créez une ou plusieurs règles Créer une règle
de revendication pour l’ensemble de règles de transformation d’acceptation pour transmettre
qui est associé à cette approbation de fournisseur de revendications afin ou filtrer une
que les revendications soient émises de manière appropriée. revendication
entrante
Créer une règle

pour envoyer des
attributs LDAP en
tant que
revendications
Créer une règle

pour envoyer
l’appartenance au
groupe en tant
que revendication
Créer une règle

pour transformer
une revendication
entrante
Créer une règle

pour envoyer une
revendication de
méthode
Créer une règle

pour envoyer une
revendication
compatible AD FS
1.x
Créer une règle

pour envoyer des
revendications à
l’aide d’une règle
personnalisée
Liste de vérification : Création de règles
de revendication pour une approbation
de fournisseur de revendications
Cette liste de contrôle inclut les tâches nécessaires à la planification, à la conception et

au déploiement de règles de revendication associées à une approbation de partie de
confiance dans Services ADFS (AD FS).
７ Notes
Liste de contrôle : Création d’un ensemble de règles de revendication pour une

approbation de partie de confiance
référence
Passez en revue les concepts relatifs aux revendications, aux règles de Rôle des
revendication, aux ensembles de règles de revendication et aux modèles revendications
de règle de revendication et la façon dont ils sont associés aux
approbations fédérées. Rôle des règles de
revendications
Passez en revue les concepts relatifs à la façon dont une revendication Rôle du pipeline
passe par toutes les étapes du pipeline d’émission de revendications et la de revendications
façon dont les règles sont traitées par le moteur d’émission de
revendications. Rôle du moteur
de revendications
Pour planifier et implémenter efficacement les revendications de sortie qui Déterminer le

seront émises sur cette approbation de partie de confiance, déterminez si type de modèle de
une ou plusieurs règles de revendication sont nécessaires et quelles règles règle de
de revendication vous devez utiliser avec cette approbation de partie de revendication à
confiance. utiliser
référence
Passez en revue les concepts relatifs à la création d’une règle de Quand utiliser
revendication par rapport à une autre et à la manière d’utiliser le langage une règle de
de règle de revendication pour fournir une logique plus complexe que les revendication
règles standard afin de fournir un résultat souhaité dans l’ensemble de directe ou de filtrage
revendications de sortie idéal.
Quand utiliser
une règle de
revendication de
transformation
Quand utiliser
une règle d’envoi
d’attributs LDAP en
tant que règle de
revendications
Quand utiliser
une règle d’envoi
d’appartenance à un
groupe en tant que
règle de
revendication
Quand utiliser
une règle de
revendication
d’autorisation
Quand utiliser
une règle de
revendication de
personnalisation
Rôle du langage
de règle de
revendications
Une description de la revendication doit être créée si celle-ci n’existe pas Ajouter une
déjà pour répondre aux besoins de votre organisation. AD FS contient un description de
ensemble par défaut de descriptions de revendications qui sont exposées revendication
dans le composant logiciel enfichable Gestion AD FS.
référence
En fonction des besoins de votre organisation, créez une ou plusieurs Créer une règle
règles de revendication pour les ensembles de règles associés à cette pour passer ou
approbation de partie de confiance afin que les revendications soient filtrer une
émises de manière appropriée. revendication
entrante
Créer une règle

d’envoi d’attributs
LDAP en tant que
revendication
Créer une règle

pour envoyer
l’appartenance à un
groupe en tant que
revendication
Créer une règle

pour transformer
une revendication
entrante
Créer une règle

pour envoyer une
revendication de
méthode
Créer une règle

pour envoyer une
revendication
compatible avec
AD FS 1.x
Créer une règle

pour envoyer des
revendications à
l’aide d’une règle
personnalisée
référence
En fonction des besoins de votre organisation, créez une ou plusieurs Créer une règle
règles de revendication pour l’ensemble de règles d’autorisation pour autoriser ou
d’émission ou l’ensemble de règles d’autorisation de délégation qui est refuser des
associé à cette approbation de partie de confiance afin que les utilisateurs utilisateurs en
soient autorisés à accéder à la partie de confiance. fonction d’une
demande entrante
Créer une règle

pour autoriser ou
refuser des
utilisateurs en
fonction d’une
demande entrante
Créer une règle pour passer ou filtrer
une revendication entrante
Article • 11/04/2023
En utilisant le modèle de règle Passer ou filtrer une revendication entrante dans Active
Directory Federation Services (AD FS), vous pouvez passer toutes les revendications
entrantes avec un type de revendication sélectionné. Il permet également de filtrer les
valeurs de revendications entrantes d'un type déterminé. Par exemple, vous pouvez
utiliser ce modèle de règle pour créer une règle qui envoie toutes les revendications de
groupe entrantes. Vous pouvez également utiliser cette règle pour envoyer uniquement
les revendications de nom d’utilisateur principal (UPN) qui se terminent par @fabrikam.
Vous pouvez utiliser la procédure suivante pour créer une règle de revendication avec le
composant logiciel enfichable Gestion AD FS.
Créer une règle à transmettre ou filtrer une

revendication entrante sur une approbation de
partie de confiance dans Windows Server 2016
2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie

de confiance.
3. Cliquez avec le bouton droit sur l’approbation sélectionnée, puis sélectionnez

Modifier la stratégie d’émission de revendications.
4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications,

sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour
démarrer l’Assistant Règle.
5. Sur la page Sélectionner un modèle de règle, dans Modèle de règle de

revendication, sélectionnez Passer par ou Filtrer une revendication entrante dans
6. Dans la page Configurer la règle dans Nom de la règle de revendication, tapez le

nom d’affichage de cette règle, dans Type de revendication entrante, sélectionnez
un type de revendication dans la liste, puis sélectionnez l’une des options
suivantes, en fonction des besoins de votre organisation :
Passer toutes les valeurs de revendication
Transmettre uniquement une valeur de revendication spécifique
Ne passer que les valeurs de réclamation qui correspondent à une valeur

de suffixe d’e-mail spécifique
Passez uniquement les valeurs de revendication qui commencent par une

valeur spécifique
7. Cliquez le bouton Terminer.
8. Dans la boîte de dialogue Modifier les règles de revendication, cliquez sur OK

pour enregistrer la règle.
Créer une règle à transmettre ou filtrer une

fournisseur de revendications dans Windows
Server 2016
2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de

fournisseur de revendications.

Modifier les règles de revendication.
4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de

transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer
l’Assistant Règle.




valeur spécifique

Pour créer une règle afin de passer ou de filtrer

une revendication entrante dans Windows
Server 2012 R2
2. Dans l’arborescence de la console, sous AD FSAD FS\Relations d’approbation,

cliquez sur Approbations de fournisseur de revendications ou Approbations de
parties de confiance, puis cliquez sur une approbation spécifique dans la liste dans
laquelle vous souhaitez créer cette règle.

4. Dans la boîte de dialogue Modifier les règles de revendication, sélectionnez l’un

des onglets suivants, en fonction de l’approbation que vous modifiez et de
l’ensemble de règles dans lequel vous souhaitez créer cette règle, puis Ajouter une
règle pour démarrer l’Assistant Règle associé à cet ensemble de règles :
Règles de transformation d’acceptation
Règles de transformation d’émission
Règles d’autorisation d’émission

Règles d’autorisation de délégation



Ne passer que les valeurs de revendication qui commencent par une valeur
spécifique

Configurer les règles de revendication
Quand utiliser un transfert direct ou filtrer la règle de revendication
Rôle des revendications
Rôle des règles de revendication

Créer une règle pour envoyer une
revendication compatible avec AD FS 1.x
Article • 12/04/2023
Dans les situations où vous utilisez les Services ADFS (AD FS) pour émettre des
revendications qui seront reçues par les serveurs de fédération exécutant AD FS 1.0
(Windows Server 2003 R2) ou AD FS 1.1 (Windows Server 2008 ou Windows Server 2008
R2), vous devez effectuer les opérations suivantes :
Créez une règle qui enverra un type de revendication d’ID de nom avec un format
UPN, Email ou Common Name.
Toutes les autres revendications envoyées doivent avoir l’un des types de
revendications suivants :
Adresse de messagerie AD FS 1.x
AD FS 1.x UPN
Nom commun
Groupe
Tout autre type de revendication commençant par

https://schemas.xmlsoap.org/claims/ , tel que
https://schemas.xmlsoap.org/claims/EmployeeID
Selon les besoins de votre organisation, utilisez l’une des procédures suivantes pour
créer une revendication d’ID de nom AD FS 1.x compatible :
Créez cette règle pour émettre une revendication d’ID de nom AD FS 1.x à l’aide
du modèle de règle Passer ou filtrer une revendication entrante
Créez cette règle pour émettre une revendication d’ID de nom AD FS 1.x à l’aide
du modèle de règle Transformer une revendication entrante. Vous pouvez utiliser
ce modèle de règle dans les situations dans lesquelles vous souhaitez modifier le
type de revendication existant en un nouveau type de revendication qui
fonctionnera avec les revendications AD FS 1. x.
７ Notes
Pour que cette règle fonctionne comme prévu, assurez-vous que l’approbation de
la partie de confiance ou le fournisseur de revendications où vous créez cette règle
a été configurée pour utiliser le profil AD FS 1.0 et 1.1.
Créer une règle pour émettre une

revendication d’ID de nom AD FS 1.x utilisant le
modèle de règle Passer ou filtrer une
2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de partie

de confiance.

Modifier la stratégie d’émission de revendications.
4. Dans la boîte de dialogue Modifier la stratégie d’émission de revendications,

sous Règles de transformation d’émission, cliquez sur Ajouter une règle pour
démarrer l’Assistant Règle.
5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de

revendication, sélectionnez Passer ou filtrer une revendication entrante dans la
liste, puis cliquez sur Suivant.
6. Dans la page Configurer la règle, tapez un nom de règle de revendication.
7. Dans Type de revendication entrante, sélectionnez ID de nom dans la liste.
8. Dans Format d’ID de nom entrant, sélectionnez l’un des formats de revendication
compatibles AD FS 1x dans la liste :
UPN
E-mail
Nom commun
9. Sélectionnez l’une des options suivantes, en fonction des besoins de votre

organisation :

Transmettre uniquement les valeurs de revendication qui correspondent à
une valeur de suffixe de messagerie spécifique

valeur spécifique
10. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.
Créer une règle pour émettre une

revendication d’ID de nom AD FS 1.x utilisant le
modèle de règle Passer ou filtrer une
revendication entrante sur une approbation du
fournisseur de revendications dans Windows
Server 2016
2. Dans l’arborescence de la console, sous AD FS, cliquez sur Approbations de

fournisseur de revendications.

4. Dans la boîte de dialogue Modifier les règles de revendication, sous Règles de

transformation d’acceptation, cliquez sur Ajouter une règle pour démarrer
l’Assistant Règle.
5. Sur la page Sélectionner un modèle de règle, sous Modèle de règle de

revendication, sélectionnez Passer ou filtrer une revendication entrante dans la
liste, puis cliquez sur Suivant.
6. Dans la page Configurer la règle, tapez un nom de règle de revendication.
7. Dans Type de revendication entrante, sélectionnez ID de nom dans la liste.
8. Dans Format d’ID de nom entrant, sélectionnez l’un des formats de revendication
compatibles AD FS 1x dans la liste :
UPN
E-mail
Nom commun
9. Sélectionnez l’une des options suivantes, en fonction des besoins de votre

organisation :
Transmettre uniquement les valeurs de revendication qui correspondent à

une valeur de suffixe de messagerie spécifique
valeur spécifique
10. Cliquez sur Terminer, puis sur OK pour enregistrer la règle.
Créer une règle pour transformer une

1. Dans Gestionnaire de serveur, cliquez sur Outils, puis sélectionnez Gestion AD

À Propos Des Technologies Identité Et Accès

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

À Propos Des Technologies Identité Et Accès

Transféré par

Droits d'auteur :

Formats disponibles

Parlez-nous de l’expérience de téléchargement de PDF.

Documentation Identité et accès

À propos des technologies Identité et accès

Windows 10 pour l’entreprise : utiliser les appareils pour le travail

Services de domaine Active Directory

Services de fédération Active Directory (AD FS)

Solution de mot de passe d’administrateur local (LAPS) Windows

Guides de solutions et de scénarios

joindre un espace de travail à partir de n'importe quel appareil en utilisant l'authentification

Gérer les risques avec le contrôle d’accès conditionnel

Versions antérieures de Windows Server

Documentation des versions précédentes de Windows

Rechercher des informations spécifiques

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016,

Protection de l'accès et des informations

Guide En quoi ce guide peut-il vous aider ?

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016,

Identifier des données grâce à une classification automatique et manuelle des

Appliquez la technologie de protection RMS (Rights Management Services) avec

Un nouveau moteur d’autorisation et d’audit pour Windows capable de traiter des

Prise en charge de l’authentification Kerberos pour les revendications d’utilisateur

Prise en charge de l’extensibilité RMS pour permettre aux partenaires d’élaborer

Feuille de route du contenu du contrôle d’accès

Scénario : Stratégie Contrôle d’accès Planifier : un Déployer une - Modélisation

gestion et leur - Choisir la

gérer sa sécurité. La - Surveiller les

Sarbanes Oxley, - Surveiller les

un ensemble strict de - Surveiller les

confidentialité des - Surveiller les

conformité ou le - Surveiller les

comportement - Surveiller les

stratégie de sécurité, - Surveiller

Scénario : assistance Scénario : Planifier Déployer

est refusé. Ceci - Déterminer

ont du mal à recueillir - Planifier les

contexte exactes - Déterminer le

Dans Windows Server

Scénario : chiffrement Scénario : Planifier le Déployer le

Scénario : Scénario : Planifier la Déployer la

Scénario : Scénario : Planifier la Déployer

Évaluation du produit - Guide des réviseurs de Access Control dynamiques

- Aide pour les développeurs dynamiques Access Control

Planification - Planification d’un déploiement de stratégie d’accès central

- Planifier l’audit de l’accès aux fichiers

Déploiement - Déploiement Active Directory

- Déploiement des services de fichiers et de stockage

Opérations Référence Windows PowerShell du contrôle d’accès dynamique

|Ressources |de la communautéForum des services d’annuaire|

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016,

Les stratégies d’accès de l’organisation visent le respect d’exigences réglementaires et

identifier et marquer les fichiers contenant des informations d’identification

identifier le groupe d’employés du service des ressources humaines habilités à

La décision de déployer et de mettre en application une stratégie d’autorisation peut

Stratégie d’autorisation au niveau de l’organisation : ayant le plus souvent pour

Stratégie d’autorisation de service : chaque service d’une organisation a des

Stratégie basée sur le besoin de connaître. Ce type de stratégie d’autorisation est

Les environnements réels nous enseignent également que chaque stratégie

Les stratégies d’accès centralisées agissent comme un processus de sécurité « parapluie

Applicabilité. Condition qui définit les données auxquelles la stratégie s’applique,

Les exceptions. liste supplémentaire d’une ou plusieurs entrées de contrôle

Figure 1 Concepts des stratégies d’audit et d’accès centralisées

Figure 2 Flux de travail de la stratégie d’accès centralisée

La stratégie d’autorisation centralisée combine les composants suivants :