Académique Documents
Professionnel Documents
Culture Documents
Il insiste sur les points suivants : 1Avec son organisation, AD peut se calquer sur lorganisation de lentreprise. Dans lordre, fort Domaine OU 2La mise en place de AD requiert implicitement un serveur DNS avec une dnomination DNS. 3Conception dun ou plusieurs domaines. Essayez de garder un seul domaine. Seuls des entits administratives indpendantes justifient plusieurs domaines. 4Mise en place dune topologie de site lie la topologie physique de lentreprise. 5Mise en place de plusieurs stratgies de groupe diffrentes, chacune sur une OU spare. Une OU regroupe des utilisateurs ou des ordinateurs. Chapitre 2 Ce chapitre rappelle que : 1Une Active Directory requiert un serveur DNS 2Ce serveur DNS doit supporter les enregistrements SRV de AD compatible avec la version BIND 4.9.7, conseill de prendre la BIND 8.2.1 Prconis de prendre celui de Microsoft Windows 2000. 3Dtermination du nom DNS pour le premier domaine inchangeable par la suite. 3 possibilits pour nommer le domaine aAD est un sous domaine du nom DNS de lentreprise inscrit lextrieur pas conseill bUtilisation dun seul et mme nom de domaine DNS pour les rseaux public et priv. cUtilisation de noms de domaine diffrents pour les rseaux public et priv. Chapitre 3 Ce chapitre rappelle comment Vous pouvez concevoir votre hirarchie AD avec des OU ou des domaines qui suivent : 1Lorganisation des emplacements 2Lorganisation de lentreprise. Cest la plus employe. Sur chaque unit organisationnelle ou OU, vous pouvez dfinir une stratgie. Chapitre 5 Vous pouvez dfinir des stratgie de groupe au niveau du site, du domaine, dune OU. Crez aussi peu dobjets GPO que possible.
Chapitre 6 Le premier domaine cre dans Active Directory reprsente le domaine racine de lensemble de la fort. Celui-ci doit identifier votre entreprise. Conception un seul domaine est la plus conseille pour une facilit de gestion. Chapitre 7 La cration de plusieurs domaines est justifie par 1Une administration de domaine indpendante des autres. 2Des stratgies distinctes au niveau de chaque domaine. Toujours prfrer un seul domaine si vous ne retrouvez pas ces arguments ci-dessus. Chapitre 8 Vous devrez mettre en place une topologie de site Active Directory si votre fort ou domaine couvre plusieurs sites gographiques. Et si entre ces sites, vous devez contrler les trafics douverture de session et de duplication.
Vue densemble
. Rle d'Active Directory dans une entreprise . Analyse de l'entreprise . Composants architecturaux d'Active Directory
Analyse de lentreprise
. Identification des besoins de l'entreprise . Choix de conception . Consignes de planification Les architectes rseau doivent concevoir le service d'annuaire Active Directory de manire ce qu'il rponde aux besoins du client. Pour atteindre cet objectif,
la premire tape consiste analyser l'entreprise afin de dterminer ses besoins tant en ce qui concerne son activit que sa structure informatique.
Consignes de planification
. N'oubliez jamais les besoins de l'entreprise . Gardez une vision claire . Trouvez des compromis judicieux . Crez une structure simple . Testez la structure Lorsque vous concevez une structure pour le service d'annuaire Active Directory, assurez-vous qu'elle repose sur les besoins de l'entreprise et non sur la technologie. Ne laissez la technologie influencer votre conception que si elle peut constituer pour l'entreprise un moyen plus efficace d'exercer son activit. Tout au long de votre travail, gardez une vision claire de votre structure d'ensemble. Envisagez attentivement chaque dcision de compromis lorsque plusieurs possibilits se prsentent. La meilleure stratgie consiste concevoir la structure la plus simple possible. Enfin, assurez-vous que la structure a t teste de faon approprie avant de la remettre l'quipe charge de la mise en uvre d'Active Directory.
telles qu'Internet. La prsence relle et planifie d'une socit sur Internet aide dterminer les stratgies de dnomination pour Active Directory. Il est capital de choisir judicieusement le nom DNS global pour le domaine racine car il doit faciliter l'accs au rseau pour les utilisateurs passant par Internet. Le nom du domaine racine apparatra galement dans tous les domaines enfants crs dans le domaine racine.
. Les objets stratgie de groupe appliquent des configurations aux sites,aux domaines et aux units d'organisation . La stratgie de groupe se reflte dans toute la hirarchie d'Active Directory La console Stratgie de groupe sert grer les configurations logicielles et rglementer la scurit pour les ordinateurs et les utilisateurs Active Directory. Un objet stratgie de groupe (GPO, Group Policy object) sert appliquer une stratgie de groupe des utilisateurs et des ordinateurs Active Directory au niveau du site, du domaine ou de l'unit d'organisation. Vous pouvez concevoir Active Directory de faon ce qu'il gre l'application d'une stratgie de groupe par dlgation et en crant un niveau infrieur des units d'organisation comportant les utilisateurs et les ordinateurs soumis des objets GPO particuliers. La stratgie de groupe se reflte dans toute la structure du site, du domaine et de l'unit d'organisation. En laborant soigneusement l'infrastructure d'Active Directory, vous pouvez appliquer des objets GPO des utilisateurs et des ordinateurs particuliers dans des domaines ou des units d'organisation de niveau suprieur de manire ce que ces objets GPO se rpercutent dans les domaines et les units d'organisation des niveaux infrieurs.
sein d'Active Directory. Avant de prendre cette dcision, vous devrez vrifier si l'entreprise a rellement besoin d'une structure plusieurs domaines ainsi que les consquences de la complexit ainsi accrue de la structure Active Directory. Les domaines peuvent tre organiss en arborescences plusieurs domaines, en forts plusieurs arborescences et en plusieurs forts. Les motivations lies l'activit de l'entreprise qui ncessitent une conception plusieurs domaines affectent galement le type de conception que vous allez crer.
Vue densemble
. Identification des besoins de l'entreprise . Systme DNS et Active Directory . Choix de noms pour les domaines Active Directory . laboration d'une stratgie de dnomination DNS pour Active Directory
pour la rsolution des noms des ressources intranet (internes) et Internet (externes) dans votre entreprise. Vous devrez prendre certains points en considration si votre entreprise utilise un serveur DNS BIND (Berkeley Internet Name Domain) et si elle tient absolument le conserver.
internes. Si un serveur BIND est utilis pour les ressources externes et un serveur DNS de Windows 2000 pour Active Directory, vous devez dlguer les sous-domaines Active Directory au serveur DNS de Windows 2000. Ces sous-domaines permettent aux ordinateurs clients d'accder aux services d'Active Directory. Bien que certaines versions antrieures de BIND puissent fonctionner avec Active Directory, BIND 8.2.1 constitue la version minimale recommande. BIND 8.2.1 prend en charge les enregistrements de ressources SRV (service), les mises jour dynamiques, la mise en antmmoire ngative et les transferts de zones incrmentiels. Le tableau suivant compare les fonctionnalits prises en charge par le systme DNS de Windows 2000 et par BIND : Fonctionnalit Windows 2000 BIND 8.2.1 BIND 4.9.7 Enregistrements SRV Oui Oui Oui Mise jour dynamique Oui Oui Non Mise jour dynamique Scurise Oui Non Non Enregistrements WINS et WINS-R Oui Non Non Transfert de zones rapide Oui Oui Oui Transfert de zones Incrmentiel Oui Oui Non Codage UTF-8 Oui Non Non
. Possibilit d'utiliser le nom Active Directory comme nom Internet Inscrivez le nom auprs de l'ICANN Lorsque vous dterminez l'tendue d'Active Directory, choisissez-la aussi vaste que possible pour viter toute restructuration ultrieure. Lorsque vous prenez en compte l'tendue pour la dnomination, vous ne devez pas considrer uniquement l'entreprise dans sa structure interne, mais galement sa prsence ou non sur Internet. Reprsentation de toute lentreprise par le nom DNS tant donn qu'Active Directory ne prend en charge qu'un seul nom racine DNS, vous devez choisir un nom qui reprsente toute l'entreprise. Tous les utilisateurs de l'entreprise pourront ainsi accder l'ensemble de ses informations et ressources. Il se peut cependant que l'entreprise ait besoin de plusieurs noms racines. Par exemple, si l'entreprise a acquis une socit qui disposait dj d'une identit connue sur Internet, vous souhaiterez peut-tre conserver le nom DNS de cette socit nouvellement acquise. Possibilit dutiliser le nom Active Directory comme nom internet Active Directory peut exister dans l'tendue de la structure DNS Internet. Le cas chant, vous devez inscrire le nom racine DNS auprs de l'ICANN (Internet Corporation for Assigned Names and Numbers). Cette inscription garantit l'unicit de tous les noms DNS. Vous disposerez de l'autorit ncessaire pour grer votre hirarchie de domaines enfants, de zones et d'htes dans le domaine racine.
domaine peut porter le nom de ce domaine unique contoso.msft. Si, pour des raisons professionnelles, vous devez diviser le rseau en trois domaines, Namerica, Europe et Africa, les noms de domaine peuvent tre namerica.contoso.msft, europe.contoso.msft et africa.contoso.msft. Chaque nom de domaine est distinct, mais appartient la mme arborescence Active Directory.
. Utilisation de noms de domaine DNS diffrents pour les rseaux public et priv . Conception d'une solution DNS pour l'intgration de BIND . Instructions de conception Plusieurs mthodes permettent de concevoir une stratgie de dnomination DNS pour le domaine racine d'Active Directory. La plupart de ces choix refltent si l'entreprise est prsente sur Internet ou si elle envisage de l'tre. Si l'entreprise choisit d'tre prsente sur Internet, vous devez dcider de sparer ou non les ressources disponibles en interne de celles accessibles en externe. Selon votre stratgie Internet et vos implmentations DNS existantes, vous pouvez suivre une ou plusieurs des instructions suivantes : .# utiliser un sous-domaine du nom de domaine DNS inscrit comme racine d'Active Directory ; .# utiliser le mme nom de domaine racine DNS pour votre structure Active Directory et sur Internet ; .# utiliser un nom de domaine DNS diffrent comme racine d'Active Directory pour maintenir une sparation entre votre prsence sur Internet et la structure Active Directory.
Si votre entreprise est prsente sur Internet, la scurisation des ressources internes constitue une priorit. La manire dont vous choisissez de sparer les ressources accessibles de faon interne de celles accessibles de faon externe influe sur la conception.
DNS. Le domaine enfant existe dans une zone distincte et il est dsign comme domaine racine d'Active Directory. Il vous suffit d'exposer sur Internet la zone contenant le domaine racine de DNS. Par exemple, la socit appele Contoso, Ltd. dcide d'utiliser le domaine ad.contoso.msft comme domaine racine d'Active Directory. L'quipe informatique de Contoso, Ltd. doit commencer par effectuer les tches suivantes : .# crer une zone DNS sur un serveur DNS distinct comprenant le domaine ad.contoso.msft ; .# configurer le serveur DNS qui fait autorit pour contoso.msft avec un enregistrement de dlgation l'intention de l'autre serveur DNS pour le domaine ad.contoso.msft ; .# crer la racine de la fort Active Directory dans le domaine ad.contoso.msft. Le nom du domaine racine d'Active Directory sera ad.contoso.msft. Utiliser un nom de sous-domaine dlgu pour le rseau interne entrane les implications ci-dessous. .# Cette solution permet d'isoler toutes les donnes Active Directory dans leur domaine ou arborescence de domaines. .# Cette solution fournit un espace de noms contigu, ce qui cre moins de confusion pour le personnel administratif et les clients. .# Le domaine racine d'Active Directory dlgu requiert son propre serveur DNS. Toutefois, il ne ncessite pas de mise niveau des serveurs DNS qui servent actuellement le domaine DNS inscrit. .# La structure des noms Active Directory est plus longue, car la dnomination commence dans un domaine de troisime niveau.
Utilisation dun seul nom de domaine DNS pour le rseaux public et priv
Il se peut que vous souhaitiez utiliser un mme nom de domaine DNS pour les accs internes et externes. Nanmoins, vous voulez vous assurer que le rseau interne est maintenu spar d'Internet.
aux ressources partir du rseau interne ou partir d'Internet. .# Les administrateurs DNS sont tenus d'effectuer des tches administratives supplmentaires pour s'assurer que les enregistrements appropris se trouvent sur les serveurs DNS internes et externes. .# La configuration d'un pare-feu peut s'avrer plus complexe lorsqu'il s'agit de protger le rseau interne vis--vis d'Internet. .# Il n'est pas ncessaire d'inscrire des noms supplmentaires auprs de l'ICANN. .# Si des ressources externes sont mises en miroir sur le rseau interne, la synchronisation des donnes risque d'tre difficile.
Utilisation de nom de domaine DNS diffrents pour les rseaux public et priv
Au lieu de crer des vues distinctes d'un mme domaine pour les clients publics et les clients internes, vous pouvez utiliser des noms de domaine diffrents pour les rseaux public et priv. Par exemple, Contoso, Ltd. peut utiliser contoso.msft sur le rseau public, et contosoltd.msft sur le rseau priv. Cette solution simplifie considrablement la sparation des ressources prives et des ressources publiques. Toutes les ressources publiques utilisent un nom de domaine, et toutes les ressources internes du rseau priv utilisent un autre nom de domaine. Rsolution des noms dordinateurs clients N'oubliez pas que vous pouvez permettre aux ordinateurs clients de rsoudre des noms externes pour votre entreprise et d'autres htes Internet en configurant le serveur DNS interne afin qu'il transmette toutes les demandes qu'il ne peut rsoudre au serveur DNS externe. Pour les clients proxy, crez une liste d'exclusion. Pour que le pare-feu filtre exactement les types de trafics autoriss entre les ordinateurs clients internes et le rseau externe par l'intermdiaire du pare-feu, il convient de procder une importante planification. Pour ce faire, un pare-feu ou une combinaison d'un pare-feu et d'un serveur proxy peuvent tre utiliss. Utiliser des noms de domaine DNS diffrents pour les rseaux public et priv entrane les implications ci-dessous. .# Les ressources sont plus faciles grer et plus scurises, car une distinction nette est tablie entre les ressources publiques et les ressources prives. .# La hirarchie de dnomination interne n'est pas expose sur Internet. .# Il est impossible d'accder aux ressources internes partir d'Internet l'aide du nom de domaine externe. .# Il n'est plus ncessaire de dupliquer le contenu des serveurs externes sur des serveurs internes. .# En accdant aux ressources d'une entreprise partir d'Internet, certains utilisateurs peuvent tre dconcerts par l'utilisation de noms diffrents. .# Il n'est pas ncessaire d'inscrire des noms supplmentaires auprs de l'ICANN. .# Vous pouvez souhaiter mettre niveau les serveurs DNS pour prendre en charge les enregistrements de ressources SRV.
.# L'infrastructure DNS et les noms d'htes existants peuvent rester tels quels, et correspondront au nom du domaine Active Directory. .# Les zones DNS et la topologie DNS existantes peuvent rester telles quelles.
Vue densemble
. Identification . Dfinition
des besoins de l'entreprise de l'organisation informatique . Dveloppement d'une stratgie de modle d'administration . Dveloppement d'une stratgie de dlgation Le service d'annuaire Microsoft Active Directory de Microsoft Windows 2000 permet aux architectes rseau de contrler l'accs aux informations contenues dans Active Directory. En structurant la hirarchie Active Directory et en grant les autorisations sur les objets et proprits d'annuaire, vous pouvez prcisment spcifier les comptes qui peuvent accder l'annuaire et le niveau d'accs qui leur est accord. Par exemple, vous pouvez dlguer une personne l'autorit sur les mots de passe utilisateur d'une unit d'organisation spcifique, sans donner cette personne le moindre contrle sur les autres objets ou attributs Active Directory. Cette capacit de spcification prcise permet aux administrateurs de dlguer, certains groupes d'utilisateurs, une autorit particulire sur certaines parties de l'annuaire, sans pour autant rendre les informations de l'annuaire vulnrables un accs non autoris.
objet Active Directory, un administrateur, ou le propritaire de l'objet, doit au pralable leur accorder des droits d'accs cet objet. .# Prvoyez un modle de dlgation souple. Vous pouvez accorder un administrateur des droits de gestion d'un petit groupe d'utilisateurs ou de groupes appartenant son secteur de responsabilit et, en mme temps, lui refuser les droits de gestion des comptes d'autres secteurs de l'entreprise. Par exemple, vous pouvez accorder les droits de contrle des imprimantes un petit groupe d'utilisateurs. Vous avez la possibilit d'accorder le contrle total sur des units et des objets spcifiques certains administrateurs d'units d'organisation. Vous pouvez galement restreindre le contrle d'autres administrateurs, de sorte qu'ils ne puissent pas visualiser l'unit d'organisation.
emplacement dispose d'administrateurs. Si des administrateurs de plusieurs services ou divisions se trouvent au mme emplacement, ils peuvent cooprer pour effectuer certaines tches d'administration.
du modle commercial aux rorganisations . Maintien de l'autonomie des services et des divisions . Adaptation aux fusions et extensions . Risque d'impact sur la duplication
. Vulnrabilit
Une entreprise qui spare l'administration informatique par service ou division peut choisir de concevoir une hirarchie Active Directory en fonction de sa structure. Dans ce cas, l'architecte doit tre trs attentif au respect de la structure d'administration, plutt que de l'organigramme. En effet, ce dernier peut ne pas reflter les besoins administratifs de l'entreprise. Si vous concevez la structure Active Directory de manire reflter l'organigramme, il peut tre difficile de dlguer l'autorit d'administration, car les objets Active Directory, tels que les imprimantes et les partages de fichiers, peuvent ne pas tre regroups de faon faciliter la dlgation de cette autorit. tant donn que la structure Active Directory est transparente pour les utilisateurs, la conception doit se plier aux exigences de l'administrateur plutt qu' celles des utilisateurs.
Une entreprise dote d'une administration dcentralise peut choisir de concevoir la structure Active Directory en fonction des postes qui la composent. Une hirarchie dfinie en fonction des postes est un choix particulirement adapt aux petites entreprises dont les postes couvrent plusieurs services. Par exemple, cette structure peut tre intressante pour un cabinet-conseil qui dispose d'une quipe inter-services ddie un client particulier. Une hirarchie dfinie en fonction des postes ne tient compte que des fonctions commerciales de l'entreprise, et ignore l'emplacement gographique ou les barrires existant entre les services ou les divisions. Choisissez cette approche uniquement si la fonction informatique n'est pas dfinie en fonction de l'emplacement gographique ou de l'organisation.
Conception dune hirarchie hybride dfinie en fonction des emplacements puis de lorganisation
de croissance de scurit . Utilisation optimale du rseau . Possibilit de modification du niveau infrieur aprs rorganisation
. Limites . Possibilit
Certaines entreprises trouvent avantageux de combiner plusieurs stratgies pour laborer la structure d'administration la plus approprie. La conception d'une hirarchie hybride permet de combiner les forces de plusieurs services afin de rpondre aux besoins de l'entreprise. La conception des units d'organisation ou des domaines de niveau suprieur en fonction des emplacements, et des units d'organisation ou des domaines de niveau infrieur en fonction de l'organisation de l'entreprise convient aux entreprises extrmement distribues possdant une fonction informatique centralise et un fort cloisonnement entre les services ou les divisions. tant donn que les niveaux suprieurs sont dfinis en fonction des emplacements, cette structure est moins susceptible de changer, et par consquent d'engendrer une restructuration de grande envergure en cas de rorganisation.
Si vous concevez une hirarchie hybride dfinie en fonction des emplacements, puis en fonction de l'organisation de l'entreprise, tenez compte des caractristiques ci-dessous. .# Ce type de conception permet la croissance ultrieure des emplacements gographiques, des services ou des divisions. .# Ce type de conception permet de placer des limites de scurit distinctes par service ou par division. .# Ce type de conception peut ncessiter un nouveau modle pour les domaines ou units d'organisation de niveau infrieur en cas de rorganisation de la fonction informatique. .# Ce type de conception peut impliquer la coopration des administrateurs pour la ralisation de certaines tches d'administration s'ils se trouvent au mme emplacement mais dans diffrents services ou divisions.
Conception dune hirarchie hybride dfinie en fonction de lorganisation de lentreprise puis des emplacements
La conception d'un modle dans lequel les domaines ou units d'organisation de niveau suprieur sont dfinis en fonction de l'organisation de l'entreprise et les domaines ou units d'organisation de niveau infrieur sont dfinis en fonction des emplacements convient aux grandes entreprises extrmement distribues, organises en divisions physiquement distribues et ncessitant des stratgies de scurit distinctes pour chaque division. La hirarchie dfinie en fonction de l'organisation de l'entreprise (niveau suprieur)/des emplacements (niveau infrieur) s'adapte l'organisation de l'entreprise tout en facilitant la distribution gographique de la fonction informatique. Pour dterminer si vous devez choisir une hirarchie hybride dfinie en fonction de l'organisation de l'entreprise, puis en fonction des emplacements, tenez compte des caractristiques ci-dessous. .# Ce type de conception permet un fort cloisonnement de la fonction d'administration entre services ou divisions, tout en autorisant la dlgation de l'administration en fonction de l'emplacement gographique. .# Toute rorganisation modifie le modle hirarchique des domaines ou des units d'organisation et engendre des travaux de reconstruction de grande envergure pour le service informatique. .# Si cette mthode est utilise pour la cration de domaines, elle ne fera pas obligatoirement un usage optimal du rseau physique, car il est probable que les domaines seront rpartis entre plusieurs sites. Quel que soit le type de hirarchie hybride utilis, les entreprises peuvent ajouter des units d'organisation pour faciliter l'administration en fonction des postes. Par exemple, vous pouvez crer des units d'organisation pour sparer en groupes distincts des utilisateurs, serveurs de messagerie, contrleurs de domaines et serveurs d'impression grs par un groupe particulier.
Vue densemble
des besoins de l'entreprise d'une stratgie de groupe dans Active Directory . Planification d'une stratgie de groupe Les stratgies de groupe sont utilises dans le service d'annuaire Active Directory de Microsoft Windows 2000 pour administrer divers aspects de la configuration des ordinateurs clients, de l'installation de logiciels la gestion de l'environnement utilisateur. Les objets stratgie de groupe (GPO, Group Policy Objects) permettent l'application de stratgies de groupe aux utilisateurs et aux ordinateurs qui figurent dans le service d'annuaire Active Directory au niveau du site, du domaine et de l'unit d'organisation. La faon dont une entreprise utilisera la stratgie de groupe dpend du niveau souhait de gestion des clients. L'utilisation d'une stratgie de groupe peut entraner la cration d'units d'organisation de niveau infrieur lors de la conception de la structure Active Directory.
. Application . Identification
stratgie de groupe est applique : Frquemment dans les rseaux niveau de gestion lev z Peu frquemment dans les rseaux niveau de gestion minimal . Une stratgie de groupe est utilise pour : z Imposer la scurit z Crer des configurations communes z Simplifier le processus d'installation des ordinateurs z Limiter la distribution d'applications Pour dterminer la faon dont la stratgie de groupe sera implmente dans une entreprise, il faut commencer par identifier les secteurs de l'entreprise qui ncessitent un niveau de gestion lev, et les secteurs qui ncessitent un niveau de gestion moins lev. Il faut ensuite dterminer comment les objets GPO seront utiliss pour satisfaire les besoins de gestion.
Niveau de gestion
L'importance de l'utilisation d'une stratgie de groupe pour la gestion des postes clients est dtermine par le niveau de service que le service informatique offre aux utilisateurs. L'administration du rseau pouvant tre dlgue, il est possible d'utiliser divers niveaux de gestion informatique dans diffrents secteurs de l'entreprise. Les deux types d'environnements de gestion sont dcrits ci-dessous. .# Gestion leve. Dans les environnements gestion leve, les administrateurs du domaine ou de l'unit d'organisation peuvent utiliser une stratgie de groupe pour configurer les environnements utilisateur et ordinateur. Ce type de stratgie de groupe peut inclure la distribution et la maintenance des logiciels, la scurit des ordinateurs, la gestion des dossiers dconnects, ainsi que les scripts d'ouverture et fermeture de sessions, de dmarrage et d'arrt. .# Gestion minimale. Les environnements pour lesquels un niveau de gestion lev n'est pas ncessaire peuvent effectuer, des degrs divers, leurs propres oprations de dpannage, d'installation de logiciels et mme de remplacement de composants matriels. Les administrateurs de ce type d'environnement utilisent peu les stratgies de groupe.
groupe par une entreprise, il faut d'abord connatre les fonctions susceptibles d'tre prises en charge par une stratgie de groupe. Une stratgie de groupe permet d'implmenter les tches ci-dessous. .# Application des standards de scurit communs. Les objets GPO permettent de dfinir des paramtres de scurit cohrents pour tous les ordinateurs d'une classe particulire. Par exemple, il est recommand que les contrleurs de domaine disposent tous de paramtres de scurit communs, restreignant l'accs local l'ordinateur et l'accs distance au contrleur de domaine. Les stratgies de scurit sont le plus souvent appliques aux domaines, aux contrleurs de domaine et aux serveurs. .# Application de la configuration des ordinateurs et des utilisateurs. Il est courant que des groupes d'ordinateurs et d'utilisateurs requirent des configurations communes. Par exemple, certains utilisateurs sont susceptibles d'ouvrir une session sur plusieurs stations de travail dans le cadre de leurs fonctions et peuvent avoir besoin de disposer d'une configuration identique sur ces stations de travail. .# Simplification du processus de configuration des ordinateurs. Une stratgie de groupe permet de distribuer les applications, ce qui peut simplifier la configuration des ordinateurs. La stratgie de groupe permet l'administrateur d'envoyer facilement un ensemble d'applications vers un utilisateur ou une station de travail. Cette fonction de distribution d'applications est particulirement utile dans les environnements niveau de gestion lev, dans lesquels le service informatique est charg de la distribution et de la gestion de toutes les applications de l'entreprise. .# Limitation de la distribution des applications. Une stratgie de groupe peut simplifier le contrle de la conformit des ordinateurs et des utilisateurs en permettant l'administrateur rseau de restreindre la distribution des applications pour lesquelles le nombre de licences est limit.
objets GPO d'un site unique affectent tous les domaines au sein du site objets GPO au niveau du site peuvent sortir des limites des domaines Dans un rseau, les objets GPO peuvent tre appliqus un site ou un ensemble de sous rseaux. Les objets GPO appliqus au niveau du site sont pris en compte sur tous les ordinateurs et les utilisateurs qui sont physiquement situs sur ce site. Une stratgie dfinie au niveau du site n'affectera pas les utilisateurs mobiles rattachs ce site s'ils accdent au rseau partir d'un autre
. Les
site. Il n'est conseill d'appliquer un objet GPO au niveau du site que lorsque les paramtres stratgiques ne sont ncessaires que sur ce site. Les objets GPO spcifiques un site permettent de grer le trafic sur des liaisons faible dbit. Par exemple, pour viter l'installation de logiciels sur ce type de liaison, il est possible de dcider que les lots ne seront transmis qu'au sein d'un site unique. Les logiciels peuvent ensuite tre publis l'aide d'un objet GPO appliqu au site, de faon que les installations ne soient effectues que sur les ordinateurs du site.
Site unique
Dans un environnement compos d'un seul site et d'un seul domaine, l'application d'un objet GPO au niveau du site a le mme effet que l'application d'un objet GPO au niveau du domaine. Pour simplifier l'administration, les objets GPO ne sont appliqus dans cet exemple qu'au niveau du domaine et non pas au niveau du site. Dans un site unique ayant plusieurs domaines, tous les domaines sont affects par l'objet GPO appliqu au site.
Sites multiples
Dans une structure plusieurs sites, une stratgie de groupe applique au niveau du site peut sortir des limites des domaines et s'appliquer des utilisateurs et ordinateurs de plusieurs domaines. Par consquent, seul un membre du groupe Administrateurs de l'entreprise est autoris appliquer une stratgie de groupe au niveau du site.
un domaine unique, les objets GPO affectent tout le domaine et ne peuvent tre dlgus . Dans plusieurs domaines, les objets GPO au niveau du domaine n'affectent pas les autres domaines, sauf en cas de liaisons Les objets GPO dfinis au niveau du domaine s'appliquent tous les ordinateurs et utilisateurs au sein du domaine.
Domaine unique
Vous pouvez crer tous vos objets GPO au niveau du domaine pour liminer tout conflit susceptible de survenir lorsqu'il existe aussi des objets GPO au niveau du site ou de l'unit d'organisation. Toutefois, si vous n'appliquez les objets GPO qu'au niveau du domaine, il ne vous sera pas possible de dlguer l'administration aux administrateurs des autres services de l'entreprise. Tous les objets GPO devront tre administrs au niveau du domaine.
Domaines multiples
Les objets GPO crs dans un domaine parent ne peuvent pas crer de conflits avec les objets GPO d'un domaine enfant. En effet, les domaines dfinissent une limite administrative dans Active Directory et sont administrs indpendamment. C'est pourquoi une stratgie de groupe cre au niveau d'un domaine n'affecte que les utilisateurs et ordinateurs de ce domaine. Vous pouvez appliquer les paramtres de la stratgie de groupe d'un premier domaine aux utilisateurs et ordinateurs d'un autre domaine en liant l'objet GPO existant ce second domaine. Toutefois, cette mthode engendre du trafic supplmentaire sur le rseau. Pour viter cet inconvnient, vous pouvez crer au sein du second domaine un nouvel objet GPO contenant les mmes paramtres de stratgie de groupe que celui du premier domaine. Il est impossible de copier les objets GPO.
Consignes de conception
aussi peu d'objets GPO que possible chaque objet GPO sur un seul conteneur de site, domaine ou unit d'organisation . vitez de lier des objets GPO entre plusieurs domaines . Rduisez le nombre d'objets GPO appliqus un utilisateur ou un ordinateur Vous trouverez ci-dessous des consignes d'ordre gnral relatives l'application d'une stratgie de groupe des objets Active Directory pour la prise en charge des besoins de l'entreprise. .# Crez une conception de domaine ou d'unit d'organisation utilisant le plus petit nombre possible d'objets GPO. Plus vous associez d'objets GPO un objet, plus le trafic gnr est important et plus le temps d'ouverture de session sur le rseau est long pour les utilisateurs. Crez des units d'organisation de niveau infrieur en fonction des besoins en objets GPO. .# Faites correspondre chaque objet GPO un seul conteneur de site, de domaine ou d'unit d'organisation. Cette stratgie rduit la confusion engendre par les rgles d'hritage et facilite la rsolution des conflits.
. Mappez . Crez
.# vitez de lier des objets GPO entre plusieurs domaines, afin de rduire le dlai d'ouverture de session des utilisateurs. .# Rduisez le nombre d'objets GPO appliqus un utilisateur ou un ordinateur. Il est prfrable d'inclure plusieurs paramtres de stratgie dans un seul objet GPO plutt que de crer plusieurs objets GPO. Un objet GPO comportant 100 paramtres de stratgie de groupe est plus rapide appliquer que 100 objets GPO dots chacun d'un paramtre de stratgie de groupe.
Vue densemble
des besoins de l'entreprise du premier domaine Active Directory . Planification des groupes de scurit . Planification des units d'organisation Les tches d'administration courantes d'une entreprise peuvent tre simplifies en planifiant l'avance l'organisation des objets du domaine. l'intrieur d'un domaine Active Directory, vous pouvez crer une structure hirarchique d'units administratives, dites units d'organisation (UO) et regrouper ensuite des objets dans ces units. Une bonne comprhension des domaines et units d'organisation et de la manire de contrler les objets qui s'y trouvent vous aidera planifier un modle convenant votre structure administrative.
. Conception . Identification
Dnomination du problme
tant donn que des approbations transitives sont tablies entre la racine de la fort et les domaines racines des autres domaines de la fort, il est important de choisir pour la racine de la fort un nom la fois simple et reprsentatif. Le nom du premier domaine ne peut plus tre modifi une fois cr. Le nom du premier domaine doit identifier votre entreprise dans sa globalit, car si vous crez par la suite des domaines supplmentaires, les noms des domaines enfants crs partir du domaine racine seront drivs de ce nom. Par exemple, si vous crez un domaine racine nomm contoso.msft et que vous lui subordonnez par la suite un domaine appel Marketing, ce dernier aura pour nouveau nom marketing.contoso.msft. N'oubliez pas que les units d'organisation doivent reflter la structure administrative et non l'organigramme de l'entreprise, ce dernier n'tant d'aucune utilit aux administrateurs utilisant la structure d'units d'organisation.
du groupe de scurit utiliser des groupes imbriqus . Consignes de conception . Discussion : Conception des groupes de scurit Les groupes de scurit organisent les objets ordinateurs ou utilisateurs en fonction des besoins de scurit. L'tendue d'un groupe dtermine qui peut appartenir au groupe et quelles permissions peuvent lui tre attribues. Lors de la conception d'une structure d'units d'organisation, vous devez prendre en compte l'emplacement des ressources au sein des units et la cration ainsi que la localisation des groupes de scurit gardant l'accs ces ressources.
. Planification
imprimantes, au sein d'un domaine unique. Les groupes de scurit sont utiliss pour scuriser les ressources. L'utilisation de groupes de scurit permet d'attribuer les mmes autorisations un grand nombre d'utilisateurs en une seule opration, ce qui garantit la cohrence des autorisations entre tous les membres d'un groupe. Un aspect important du travail de planification de la scurit des ressources et de l'administration consiste dcider dans quel contexte utiliser chaque type de groupe de scurit.
L'imbrication des groupes globaux n'est disponible que dans les domaines convertis en mode natif.
de l'imbrication, vous devez : Minimiser les niveaux d'imbrication Documenter les membres des groupes
L'imbrication peut rduire le nombre de fois o les autorisations doivent tre attribues. Vous pouvez crer une hirarchie de groupes imbriqus rpondant aux besoins de l'entreprise. Imbriquer des groupes dans un environnement domaines multiples peut rduire le trafic rseau entre les domaines et simplifier l'administration. Par exemple, des groupes globaux rgionaux peuvent contenir des responsables spcifiques chaque rgion. Tous les groupes rgionaux peuvent ensuite tre ajouts un groupe global de responsables internationaux. L o tous les responsables ont des besoins d'accs identiques, les autorisations n'ont besoin d'tre attribues qu'une seule fois au groupe de responsables internationaux. Les consignes pour l'imbrication des groupes sont rpertories ci-dessous. .# Minimisez les niveaux d'imbrication pour simplifier le suivi des autorisations. Un seul niveau d'imbrication est plus efficace parce qu'il rduit le nombre des affectations d'autorisation et simplifie donc leur suivi. .# Documentez les adhsions aux groupes afin de mieux suivre le cheminement des autorisations. Par exemple, un groupe englobant des employs intrimaires peut tre cr pour un projet particulier l'intrieur d'un groupe. Si le groupe du projet est ensuite ajout un groupe qui a accs aux informations confidentielles de l'entreprise, les employs intrimaires auront galement accs ces informations. En documentant le contenu des groupes, les consquences indsirables ventuelles d'une imbrication apparaissent clairement et peuvent tre empches. L'imbrication des groupes n'est prise en charge que dans le cadre d'un domaine en mode natif.
Consignes de conception
Lors de la conception des groupes de scurit, n'oubliez pas les consignes ci-dessous. .# Ajoutez les comptes d'utilisateur aux groupes globaux plutt qu'aux groupes universels ou de domaine local. Essayez de crer un groupe global dans chaque domaine pour chaque description de tche. Crez de nouveaux groupements en imbriquant les groupes globaux dans d'autres groupes
globaux. Ces imbrications minimiseront le temps de duplication, car seuls les membres des groupes globaux de base doivent tre modifis rgulirement. .# Ajoutez des groupes globaux aux groupes universels. Modifiez le moins possible les membres des groupes universels, car les adhsions ces groupes sont dupliques vers tous les serveurs de catalogue global chaque modification d'un membre. Chaque fois que possible, imbriquez les groupes au lieu de crer des groupes universels redondants. .# Ajoutez des groupes globaux et universels aux groupes de domaine local au fur et mesure des besoins. Habituellement, vous n'avez besoin d'ajouter que des groupes globaux aux groupes de domaine local. L'ajout de groupes globaux un groupe universel puis l'ajout du groupe universel un groupe de domaine local est possible. Cependant, la cration d'un groupe universel uniquement dans ce but n'est pas recommande, car les besoins en scurit de chaque groupe global sont sujets modification. .# Attribuez des droits et des autorisations aux groupes locaux de domaine plutt qu'aux groupes globaux ou universels, pour une administration plus souple et plus simple. .# Dlguez l'autorisation de grer les adhsions aux groupes. Cela permet aux propritaires des ressources de grer l'accs leurs ressources dans les groupes locaux de domaine, et aux assistants administrateurs de grer les membres des groupes globaux. Cependant, seul les administrateurs de l'entreprise peuvent grer les membres des groupes universels.
un groupe de domaine local de Paris possdant des autorisations de lecture seule sur la base de donnes des employs de Paris. _____________________________________________________________ _____________________________________________________________ 3. Comment utiliser les groupes de scurit en vue d'accorder aux utilisateurs RH des deux domaines des autorisations de modification sur la base de donnes de la mutuelle ? Ajoutez le groupe global de Paris et celui de Chicago un groupe universel. Ajoutez le groupe universel un groupe du domaine local de Chicago possdant des autorisations de modification sur la base de donnes de la mutuelle. _____________________________________________________________ _____________________________________________________________
.# Pensez
standardiser les units d'organisation travers l'entreprise. Bien que les units d'organisation puissent diffrer au sein de chaque domaine, vous devez envisager un premier niveau standard pour tous les domaines, que ce soit ncessaire ou non. Par exemple, vous pouvez crer au sein de chaque domaine un premier niveau d'units d'organisation englobant les groupes, les imprimantes et les applications. La cration d'units d'organisation n'entranant ni duplication ni cot, une telle structure de premier niveau garantit la cohrence de l'administration des domaines travers la fort, ce qui assure la cohrence de la prise en charge dans toute l'entreprise.
Consignes de conception
. Lors
d'organisation Choisissez des noms d'units d'organisation stables et significatifs pour les administrateurs Crez des units d'organisation de niveau infrieur pour prendre en charge la stratgie de groupe Testez la structure des units d'organisation et effectuez des changements aprs valuation
Vue densemble
. Identification . Accs
des besoins de l'entreprise aux ressources entre domaines . Planification d'arborescences plusieurs domaines . Planification de forts plusieurs arborescences . Planification de plusieurs forts Les domaines, les arborescences et les forts sont des units dlimites dans le service d'annuaire Microsoft Active Directory de Microsoft Windows 2000. Ces units peuvent partager des ressources ou tre administres sparment. Elles diffrent par la manire dont elles communiquent et dont le trafic de duplication s'tablit entre elles. Vous devez comprendre comment l'information circule entre ces units si votre entreprise ncessite la mise en place de plusieurs domaines, arborescences ou forts. Le flux d'information entre ces units vous aidera dcider si vous avez besoin d'une structure plus complexe qu'un domaine unique et, le cas chant, planifier le modle d'administration le plus efficace.
La plus petite arborescence d'Active Directory est un domaine unique. Il s'agit de la structure Active Directory la plus simple, mais il arrive que des entreprises aient besoin que des domaines enfants soient ajouts dans l'arborescence. Certains besoins paraissant ncessiter plusieurs domaines peuvent tre satisfaits par une structure domaine unique. Avant de concevoir une structure plusieurs domaines, vous devez d'abord vous assurer que le modle ne peut pas fonctionner avec un domaine unique. Cette section traite des raisons justifiant le maintien d'un domaine unique et vous aident identifier celles ncessitant l'emploi de plusieurs domaines.
La structure Active Directory par dfaut consiste en un domaine unique. Si possible, utilisez cette structure simple. Les domaines uniques offrent les avantages ci-dessous par rapport aux structures plusieurs domaines. .# Facilit de gestion. Les domaines uniques sont moins gourmands en matriel et en maintenance, requirent moins d'approbations et ncessitent la cration et la maintenance de moins de groupes administratifs. .# Facilit de dlgation des responsabilits administratives. Dans une structure domaine unique, vous pouvez crer toutes les units d'organisation (UO) dont vous avez besoin pour dlguer les responsabilits portant sur les ressources et les objets Active Directory. La dlgation des responsabilits administratives est plus complique dans une structure plusieurs domaines. .# Nombre rduit de membres dans le groupe Administrateurs du domaine.
Dans un domaine unique, vous pouvez rduire au maximum le nombre de membres du puissant groupe Admins du domaine et utiliser la dlgation pour permettre un contrle dtaill des objets d'annuaire dans Active Directory. .# Capacit identique celle d'une structure plusieurs domaines. Vous pouvez thoriquement crer plus de quatre milliards d'objets dans le catalogue global. Le catalogue global comprend tous les objets de tous les domaines dans une fort, quel que soit le nombre de domaines prsents. Ainsi, si le nombre d'objets dont vous avez besoin dpasse la capacit d'un domaine unique, il dpassera galement celle d'une fort plusieurs domaines.
Le domaine unique est la structure d'annuaire Active Directory la plus souple, la moins coteuse en ressources et la plus facile administrer. Cependant, lors de la planification du modle Active Directory, vous pouvez envisager d'ajouter des domaines supplmentaires si l'entreprise a besoin d'un des lments ci-dessous. .# Stratgies distinctes au niveau du domaine. Les stratgies de compte et de mot de passe tant appliques au niveau du domaine, vous pouvez tre amen crer des domaines spars dots de stratgies distinctes s'appliquant aux utilisateurs de chaque domaine. .# Contrle d'administration plus strict. Un domaine est une limite scurise. Sans permission explicite, les administrateurs de domaine ne peuvent pas franchir les limites de leur domaine pour administrer d'autres domaines. .# Administration dcentralise. Dans certaines entreprises, les divisions ayant investi dans leur propre matriel informatique (contrleurs de domaine, etc.) veulent le plus souvent en conserver le contrle administratif. .# Sparation et contrle des relations affilies. Les grandes entreprises tablissent souvent des relations avec des partenaires dans le cadre de socits conjointes ou associes. L'utilisation de plusieurs domaines permet d'isoler le contrle de l'administration et de la scurit sur les ressources partages et les utilisateurs externes. .# Trafic de duplication rduit. Au sein d'un domaine, tous les objets et les attributs sont dupliqus vers tous les contrleurs de domaine. Si, au sein d'un domaine, un rseau tendu (WAN, Wide Area Network) lent ou satur empche la duplication Active Directory de se faire dans le temps ncessaire, vous pouvez envisager la cration de plusieurs domaines pour rduire le trafic de duplication. Les seules donnes dupliques entre les diffrents domaines sont les modifications apportes au serveur de catalogue global, aux informations de configuration et au schma.
La manire de placer et de grer les ressources et les informations et d'y accder est diffrente selon que la structure est domaine unique ou plusieurs domaines. Les protocoles de scurit contrlent l'authentification entre les domaines d'une fort. La gestion de l'authentification entre les domaines d'une
fort se fait par l'intermdiaire des approbations. La comprhension des diffrences entre ces processus permet de dcider si un modle d'arborescence plusieurs domaines rpond vritablement aux besoins d'administration de votre entreprise.
Type dapprobations
Windows 2000 utilise les approbations pour permettre aux utilisateurs d'accder aux ressources dans diffrents domaines. Windows 2000 utilise trois types d'approbations : transitive, raccourcie et externe. Chaque type d'approbation suit un certain chemin entre les contrleurs des domaines source et cible. Ce chemin consiste en une srie de relations d'approbation entre domaines que la scurit Windows 2000 doit parcourir pour transmettre les demandes d'authentification et de requtes entre deux domaines.
Approbations transitives
Une approbation transitive est une relation scurise rciproque tablie entre chaque domaine enfant et son parent ou entre un domaine et le domaine racine de la fort. Les approbations transitives sont cres automatiquement entre les domaines parents et enfants, ainsi qu'entre les arborescences d'une fort. Comme tous les domaines enfants d'une arborescence proviennent d'un domaine parent commun, chaque domaine approuve tous les autres domaines faisant partie de la mme arborescence. Lorsque vous crez une nouvelle arborescence suite la promotion d'un serveur en contrleur de domaine, vous devez spcifier le domaine racine de l'arborescence initiale dans la fort. Une relation d'approbation est ainsi tablie entre le domaine racine de la nouvelle arborescence et celui de l'arborescence
initiale. Si vous crez un domaine enfant, une relation d'approbation est tablie entre l'enfant et le parent. Cette approbation tant transitive et bidirectionnelle, les ressources peuvent tre partages entre les trois arborescences sans modification de la configuration d'approbation. Les approbations transitives rendent l'information accessible tous les domaines de la fort. Une fois l'utilisateur identifi, les donnes de la liste de contrle d'accs discrtionnaire (DACL, Discretionary Access Control List) grent les privilges d'accs aux ressources des utilisateurs ou des groupes.
Approbations raccourcies
Vous pouvez rduire les chemins d'approbation en crant spcifiquement, ou explicitement, des approbations raccourcies entre deux domaines d'une fort. Une approbation raccourcie est une approbation transitive cre intentionnellement entre deux domaines distants d'une mme fort. En crant une telle approbation, vous raccourcissez le chemin d'approbation et optimisez ainsi la procdure d'authentification.
Approbations externes
Les domaines de diffrentes forts ne sont pas automatiquement lis par des relations d'approbation. Pour permettre l'accs entre diffrentes forts, vous devez crer explicitement une approbation externe entre deux domaines. Contrairement aux approbations transitives et raccourcies, les approbations externes sont des approbations unidirectionnelles qui n'accordent un domaine donn que l'accs vers le domaine metteur de l'approbation externe. Pour qu'une approbation rciproque existe entre deux domaines, chacun des deux domaines doit crer une approbation externe vers l'autre. De plus, les approbations externes ne s'appliquent qu'aux domaines spcifis, toute autre approbation transitive associe aux domaines restant distincte de l'approbation externe. Bien que les approbations externes doivent tre cres et gres de faon explicite, elles permettent de personnaliser les privilges d'accs des individus d'autres forts, de contrler les activits la fois au sein des domaines et entre eux et de limiter au domaine explicitement approuv l'tendue de l'accs authentifi. Les caractristiques des approbations externes tant importantes pour la communication entre forts, vous devez les planifier avec soin pour optimiser la gestion des ressources, le placement des approbations et leur maintenance.
des arborescences plusieurs domaines d'un domaine racine vide . Consignes de conception Par dfaut, une arborescence domaine unique est cre lorsque le premier serveur d'un rseau est promu contrleur de domaine. Cependant, vous pouvez construire une arborescence plus vaste en y ajoutant des domaines supplmentaires. Avant de crer une arborescence plusieurs domaines, vous devez en comprendre la structure et les caractristiques, et savoir discerner les situations o ce type d'arborescence est ncessaire l'entreprise.
Les domaines dune mme arborescence partagent linformation au moyen dapprobations automatiques
Tous les domaines faisant partie d'une arborescence Active Directory partagent un schma d'annuaire, des informations de configuration et un catalogue global. De plus, ils possdent automatiquement des relations d'approbation transitive qui permettent aux utilisateurs de chaque domaine d'accder aux ressources disponibles dans tous les autres domaines de l'arborescence.
Consignes de conception
Consignes de conception : scurises distinctes . Contraintes de bande passante sur des liaisons WAN . Motifs juridiques de sparation des domaines . Paramtres de stratgie de groupe distincts au niveau des domaines
. Limites
Les critres de conception pouvant justifier une arborescence plusieurs domaines figurent ci-dessous. .# Vous avez besoin de limites scurises distinctes. Si votre entreprise utilise une administration dcentralise ou si certains services doivent tre spars pour raisons de scurit, la cration de plusieurs domaines permet chaque domaine de s'administrer lui-mme. Un autre motif pouvant justifier la cration de domaines spars est la rduction de l'influence du groupe des administrateurs de l'entreprise sur tous les objets d'un domaine. .# Vous jugez que le trafic de duplication pourrait saturer les liaisons du rseau tendu (WAN). Au sein d'un domaine, chaque attribut de chaque objet est dupliqu entre les contrleurs du domaine. Si une liaison de rseau tendu au sein du domaine est trs lente ou sature, cela peut saturer la liaison, mme si diffrents sites sont crs. Dans une structure plusieurs domaines, seuls le schma, la configuration et le catalogue global sont dupliqus, rduisant ainsi le trafic rseau. .# Vous avez des motifs juridiques de sparer les domaines ; par exemple, certaines entreprises implantes l'tranger peuvent vouloir conserver des domaines spars pour les comptes d'utilisateur trangers. .# Vous avez des paramtres de stratgie de groupe diffrents, par exemple des restrictions de mot de passe pour diffrents groupes, qui ne peuvent tre dfinies qu'au niveau du domaine.
Vue densemble
. Utilisation
des sites dans Active Directory des besoins en sites Active Directory . Utilisation des liens de site sur un rseau . Planification de la topologie de duplication intersite . Planification de l'emplacement des serveurs sur les sites
. valuation
Les sites permettent de rpartir des ordinateurs parfaitement connects au sein d'une entreprise de sorte optimiser la bande passante du rseau. L'change frquent d'importants volumes de donnes et d'informations d'annuaire peut perturber le trafic rseau entre des emplacements distants. La conception d'une topologie de site approprie dans un service d'annuaire Active Directory de Microsoft Windows 2000 vous permet de mieux organiser votre rseau Windows 2000 et d'optimiser l'change de donnes et d'informations d'annuaire.
systme DFS et le service FRS dirigent d'abord les clients vers des serveurs de leur site, puis vers des serveurs qui se trouvent sur d'autres sites. Active Directory utilise les informations sur les sites de la faon indique ci-dessous. .# Le vrificateur de cohrence (KCC, Knowledge Consistency Checker) gnre une topologie de duplication principalement utilise au sein des sites plutt qu'entre les sites. Cette topologie intrasite risque d'augmenter le trafic rseau, mais elle permet de rduire la latence de duplication. .# Les ordinateurs clients Windows 2000 utilisent les informations sur les sites afin de rechercher les contrleurs de domaine les plus proches pour mener bien les oprations de requte et d'ouverture de session.
Avant de planifier la topologie de site d'un rseau, vous devez valuer les besoins en sites de ce rseau. La cration de sites inutiles dans un rseau risque de ralentir la duplication et de dboucher sur une utilisation inefficace de la
bande passante. Les facteurs suivants dterminent les besoins en sites : .# bande passante disponible ; .# trafic de duplication anticip ; .# emplacement des contrleurs de domaine. La premire tape du processus de conception d'un site consiste obtenir des informations sur l'infrastructure actuelle du rseau. Renseignez-vous sur les types de liens entre les emplacements physiques, la quantit de bande passante disponible, et le nombre d'utilisateurs et d'ordinateurs chaque emplacement.