Vous êtes sur la page 1sur 87

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Service d'annuiare Active Directory

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC

Service d'annuiare Active Directory

Sommaire
1. Description dun service dannuaire.........................................................4 1.1. Rle dActive Directory.....................................................................4 1.2. Fonctionnement dActive Directory.....................................................5 1.2.1. Dfinition dun service dannuaire.................................................5 1.2.2. Dfinition dun schma...............................................................7 1.2.3. Dfinition dun catalogue global...................................................8 1.3. Processus de conception, de planification et dimplmentation dActive Directory.............................................................................................9 1.3.1. Processus de conception dActive Directory....................................9 1.3.2. Rsultat du processus de conception dActive Directory..................10 1.3.3. Processus de planification dActive Directory.................................11 1.3.4. Processus dimplmentation dActive Directory..............................12 1.4. Structure logique dActive Directory..................................................12 1.5. Structure physique dActive Directory...............................................13 2. Implmentation dune structure de fort et de domaine Active Directory......14 2.1. Cration dune structure de fort et de domaine.................................14 2.1.1. Conditions requises pour installer Active Directory.........................14 2.1.2. Processus dinstallation dActive Directory....................................15 2.1.3. Comment crer une structure de fort et de domaine....................18 2.1.4. Comment ajouter un contrleur de domaine rpliqu.....................20 2.2. Analyse du systme DNS intgr Active Directory............................21 2.2.1. Espaces de noms DNS et Active Directory....................................21 2.2.2. Zones intgres Active Directory..............................................22 2.2.3. Enregistrements de ressources SRV............................................23 2.3. Niveaux fonctionnels de la fort et du domaine...................................25 2.3.1. Conditions requises pour activer les nouvelles fonctionnalits de Windows Server 2003........................................................................26 2.3.2. Procdure daugmentation du niveau fonctionnel du domaine..........26 2.3.3. Procdure daugmentation du niveau fonctionnel de la fort............27 2.4. Relations dapprobation..................................................................28 2.4.1. Types dapprobations...............................................................28 3. Implmentation de la structure dune unit dorganisation.........................29 3.1. Cration et gestion dunits dorganisation.........................................29 3.1.1. Prsentation de la gestion des units dorganisation......................29 3.1.2. Mthodes de cration et de gestion des units dorganisation..........30 3.1.3. Procdure de cration dune unit dorganisation laide de la ligne de commande Dsadd.............................................................................31 3.1.4. Procdure de modification dune unit dorganisation.....................32 3.1.5. Procdure de suppression dune unit dorganisation......................32 3.1.6. Comment crer et grer des units dorganisation laide de loutil Ldifde 32 3.1.7. Comment crer des units dorganisation laide de lenvironnement dexcution de scripts Windows...........................................................33 3.2. Dlgation du contrle administratif des units dorganisation...............34 Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 1 - 87

Service d'annuiare Active Directory 3.2.1. Dlgation de privilges administratifs........................................34 3.2.2. Comment dlguer le contrle administratif.................................35 3.3. Planification dune stratgie dunit dorganisation..............................36 3.3.1. Processus de planification dunit dorganisation...........................36 4. Implmentation de comptes dutilisateurs, de groupes et dordinateurs........37 4.1. Prsentation des comptes...............................................................37 4.1.1. Types de comptes....................................................................37 4.1.2. Types de groupes....................................................................38 4.1.3. Etendue de groupes.................................................................39 4.2. Cration et gestion de comptes........................................................40 4.2.1. Outils permettant de crer et grer des comptes...........................40 4.3. Dplacement dobjets dans Active Directory.......................................44 4.3.1. Dfinition de lhistorique SID.....................................................44 4.3.2. Dplacement dobjets...............................................................44 5. Implmentation dune stratgie de groupe..............................................46 5.1. Composants dun objet Stratgie de groupe.......................................46 5.2. Configuration des frquences dactualisation et des paramtres de stratgie de groupe..............................................................................47 5.2.1. quel moment la stratgie de groupe est-elle applique................47 5.3. Gestion des objets Stratgie de groupe.............................................48 5.3.1. Dfinition dune opration de copie.............................................48 5.3.2. Dfinition dune opration de sauvegarde.....................................49 5.3.3. Dfinition dune opration de restauration....................................51 5.3.4. Dfinition dune opration dimportation......................................52 5.4. Vrification et rsolution des problmes lis la stratgie de groupe. . . . .53 5.4.1. Problmes courants lis limplmentation de la stratgie de groupe 53 5.4.2. Comment vrifier les paramtres de stratgie de groupe laide de lAssistant Modlisation de stratgie de groupe......................................54 5.4.3. Comment vrifier les paramtres de stratgie de groupe laide des Rsultats de stratgie de groupe.........................................................55 5.5. Dlgation du contrle administratif de la stratgie de groupe..............55 5.5.1. Dlgation des objets Stratgie de groupe...................................55 5.5.2. Dlgation de la stratgie de groupe pour un site, un domaine ou une unit dorganisation..........................................................................57 5.6. Planification dune stratgie de groupe pour lentreprise.......................58 5.6.1. Instructions de planification des objets Stratgie de groupe............58 5.6.2. Instructions pour dterminer lhritage des objets Stratgie de groupe 59 5.6.3. Instructions pour dterminer une stratgie de groupe pour les sites. 59 5.6.4. Instructions de planification de ladministration des objets Stratgie de groupe 59 5.6.5. Instructions de dploiement des objets Stratgie de groupe............60 6. Dploiement et gestion des logiciels laide dune stratgie de groupe........61 6.1. Dploiement de logiciels.................................................................61 6.1.1. Affectation de logiciels et publication de logiciels...........................62 6.1.2. Cration dun point de distribution de logiciels..............................62 6.1.3. Utilisation dun objet Stratgie de groupe pour le dploiement de

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 2 - 87

Service d'annuiare Active Directory logiciels 62 6.1.4. Options par dfaut pour installation logicielle................................63 6.2. Configuration du dploiement des logiciels.........................................63 6.2.1. Dfinition des catgories de logiciels...........................................64 6.2.2. Cration de catgories de logiciels..............................................64 7. Implmentation de sites pour grer la rplication Active Directory .............65 7.1. Prsentation de la rplication Active Directory ...................................65 7.1.1. Rplication dattributs valeurs multiples lis...............................66 7.1.2. Dfinition des partitions dannuaire.............................................66 7.1.3. Dfinition de la topologie de rplication.......................................68 7.1.4. Gnration automatique de la topologie de rplication...................69 7.1.5. Catalogue global et rplication de partitions.................................70 7.2. Cration et configuration de sites.....................................................70 7.2.1. Dfinition des sites et des objets sous-rseau...............................71 7.2.2. Liens de sites..........................................................................71 7.2.3. Rplication lintrieur des sites et rplication entre les sites..........73 7.3. Gestion de la topologie de site.........................................................75 7.3.1. Serveur de tte de pont............................................................75 7.3.2. Gnrateur de topologie inter-sites.............................................76 8. Implmentation du placement des contrleurs de domaine........................76 8.1. Implmentation du catalogue global dans Active Directory...................77 8.2. Dtermination du placement de contrleurs de domaine dans Active Directory............................................................................................78 8.2.1. Active Directory Sizer...............................................................78 9. Planification du placement des contrleurs de domaine.............................79 10. Maintenance d'Active Directory ..........................................................80 10.1. Base de donnes Active Directory et fichiers journaux........................80 10.2. Dplacement et dfragmentation de la base de donnes Active Directory ........................................................................................................81 10.3. Sauvegarde dActive Directory.......................................................82 10.4. Restauration dActive Directory......................................................83

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 3 - 87

Service d'annuiare Active Directory

1.Description dun service dannuaire


Un service dannuaire est un service rseau qui identifie toutes les ressources dun rseau et met ces informations la disposition des utilisateurs ainsi que des applications. Les services dannuaires sont importants, car ils fournissent un moyen cohrent de nommer, dcrire, localiser, administrer et scuriser les informations relatives ces ressources et dy accder. Lorsquun utilisateur recherche un dossier partag sur le rseau, le service dannuaire identifie la ressource et fournit linformation lutilisateur.

1.1.

Rle dActive Directory

Active Directory est le service dannuaire de la famille Windows Server 2003. Il tend la fonctionnalit de base dun service dannuaire et fournit les avantages suivants : Intgration DNS Active Directory utilise les conventions dattribution de noms DNS pour crer une structure hirarchique qui fournit une vue familire, ordonne et volutive des connexions rseau. DNS sert galement faire correspondre les noms dhtes, tels que microsoft.com, des adresses numriques TCP/IP, telles que 192.168.19.2. volutivit Active Directory est organis en sections qui permettent de stocker un trs grand nombre dobjets. Active Directory peut de ce fait voluer en fonction des besoins de lentreprise. Une organisation qui dispose dun seul serveur avec quelques centaines dobjets peut voluer vers des milliers de serveurs et des millions dobjets. Administration centralise Active Directory permet aux administrateurs dadministrer les ordinateurs distribus, les services rseau et les applications partir dun emplacement central tout en utilisant une interface dadministration cohrente. Active Directory fournit galement un contrle centralis de laccs aux ressources rseau en permettant aux utilisateurs douvrir une fois une session et dobtenir un accs complet aux ressources dActive Directory. Administration dlgue La structure hirarchique dActive Directory permet de dlguer le contrle dadministration sur des parties spcifiques de la hirarchie. Un utilisateur autoris par une autorit administrative plus leve peut effectuer des tches dadministration dans la partie de la structure qui lui a t affecte.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 4 - 87

Service d'annuiare Active Directory

1.2.

Fonctionnement dActive Directory


Dfinition dun service dannuaire

1.2.1.

Dans de grands rseaux, les ressources sont partages par de nombreux utilisateurs et applications. Pour permettre aux utilisateurs et aux applications daccder ces ressources et aux informations les concernant, une mthode cohrente est ncessaire pour nommer, dcrire, localiser, accder, grer et scuriser les informations concernant ces ressources. Un service dannuaire remplit cette fonction. Un service dannuaire est un rfrentiel dinformations structur concernant les personnes et les ressources dune organisation. Dans un rseau Windows Server 2003, le service dannuaire sappelle Active Directory. Active Directory dispose des fonctionnalits suivantes : Accs pour les utilisateurs et les applications aux informations concernant des objets. Ces informations sont stockes sous forme de valeurs dattributs. Vous pouvez rechercher des objets selon leur classe dobjet, leurs attributs, leurs valeurs dattributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs. Transparence des protocoles et de la topologie physique du rseau. Un utilisateur sur un rseau peut accder toute ressource, une imprimante par exemple, sans savoir o celle-ci se trouve ou comment elle est connecte physiquement au rseau.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 5 - 87

Service d'annuiare Active Directory Possibilit de stockage dun trs grand nombre dobjets. Comme il est organis en partitions, Active Directory peut rpondre aux besoins issus de la croissance dune organisation. Par exemple, un annuaire peut ainsi passer dun serveur unique contenant quelques centaines dobjets des milliers de serveurs contenant des millions dobjets. Possibilit dexcution en tant que service indpendant du systme dexploitation. AD/AM (Active Directory in Application Mode) est une nouvelle fonctionnalit de Microsoft Active Directory permettant de rsoudre certains scnarios de dploiement lis des applications utilisant un annuaire. AD/AM sexcute comme un service indpendant du systme dexploitation qui, en tant que tel, ne ncessite pas de dploiement sur un contrleur de domaine. Lexcution en tant que service indpendant du systme dexploitation signifie que plusieurs instances AD/AM peuvent sexcuter simultanment sur un serveur unique, chaque instance tant configurable de manire indpendante.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 6 - 87

Service d'annuiare Active Directory

1.2.2.

Dfinition dun schma

Le schma Active Directory contient les dfinitions de tous les objets, comme les utilisateurs, les ordinateurs et les imprimantes stocks dans Active Directory. Les contrleurs de domaine excutant Windows Server 2003 ne comportent quun seul schma pour toute une fort. Ainsi, tous les objets crs dans Active Directory se conforment aux mmes rgles. Le schma possde deux types de dfinitions : les classes dobjets et les attributs. Les classes dobjets comme utilisateur, ordinateur et imprimante dcrivent les objets dannuaire possibles que vous pouvez crer. Chaque classe dobjet est un ensemble dattributs. Les attributs sont dfinis sparment des classes dobjets. Chaque attribut nest dfini quune seule fois et peut tre utilis dans plusieurs classes dobjets. Par exemple, lattribut Description est utilis dans de nombreuses classes dobjets, mais il nest dfini quune seule fois dans le schma afin de prserver la cohrence.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 7 - 87

Service d'annuiare Active Directory

1.2.3.

Dfinition dun catalogue global

Dans Active Directory, les ressources peuvent tre partages parmi des domaines et des forts. Le catalogue global dActive Directory permet de rechercher des ressources parmi des domaines et des forts de manire transparente pour lutilisateur. Par exemple, si vous recherchez toutes les imprimantes prsentes dans une fort, un serveur de catalogue global traite la requte dans le catalogue global, puis renvoie les rsultats. En labsence de serveur de catalogue global, cette requte exigerait une recherche dans chaque domaine de la fort. Le catalogue global est un rfrentiel dinformations qui contient un sousensemble des attributs de tous les objets dActive Directory. Les membres du groupe Administrateurs du schma peuvent modifier les attributs stocks dans le catalogue global, en fonction des impratifs dune organisation. Le catalogue global contient : les attributs les plus frquemment utiliss dans les requtes, comme les nom et prnom dun utilisateur, et son nom douverture de session ; les informations requises pour dterminer lemplacement de tout objet dans lannuaire ; un sous-ensemble dattributs par dfaut pour chaque type dobjet ; les autorisations daccs pour chaque objet et attribut stock dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possdez pas les autorisations de visualisation requises, cet objet napparatra pas dans les rsultats de la recherche. Les autorisations daccs garantissent que les utilisateurs ne puissent trouver que les objets pour lesquels ils possdent un droit daccs.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 8 - 87

Service d'annuiare Active Directory Un serveur de catalogue global est un contrleur de domaine qui traite efficacement les requtes intraforts dans le catalogue global. Le premier contrleur de domaine que vous crez dans Active Directory devient automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplmentaires pour quilibrer le trafic li aux authentifications de connexion et aux requtes. Le catalogue global permet aux utilisateurs dexcuter deux fonctions importantes : trouver les informations Active Directory en tout point de la fort, indpendamment de lemplacement des donnes ; utiliser les informations dappartenance au groupe universel pour se connecter au rseau. Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des objets dans une base de donnes Active Directory. Le protocole LDAP est un sous-ensemble de la norme ISO X.500 relative aux services dannuaire. Il utilise les informations portant sur la structure dun annuaire pour trouver des objets individuels possdant chacun un nom unique. Le protocole LDAP utilise un nom reprsentant un objet Active Directory par une srie de composants concernant la structure logique. Cette reprsentation, appele nom unique de lobjet, identifie le domaine dans lequel se trouve lobjet ainsi que le chemin complet permettant daccder celui-ci. Un nom de ce type ne peut tre quunique dans une fort Active Directory. Le nom unique relatif dun objet identifie lobjet de manire unique dans son conteneur. Deux objets situs dans un mme conteneur ne peuvent porter le mme nom. Le nom unique relatif est toujours le premier composant du nom unique, mais il nest pas toujours un nom usuel. CN=Benharraf Mohammed,OU=Formation,DC=Gsimaroc,DC=com

1.3. Processus de conception, de planification et dimplmentation dActive Directory


1.3.1. Processus de conception dActive Directory

Une conception dActive Directory inclut plusieurs tches. Chacune dfinit les besoins fonctionnels pour un composant de limplmentation dActive Directory. Le processus de conception dActive Directory inclut les tches suivantes : Collecte dinformations sur lorganisation. Cette premire tche dfinit les besoins en service dannuaire et les besoins de lentreprise concernant le projet. Les informations sur lorganisation incluent notamment un profil organisationnel de haut niveau, les implantations gographiques de lorganisation, linfrastructure technique et du rseau, et les plans lis aux modifications apporter dans lorganisation. Analyse des informations sur lorganisation. Vous devez analyser les informations collectes pour valuer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite dterminer quelles sont les informations les plus importantes et quels composants de la conception dActive Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 9 - 87

Service d'annuiare Active Directory Directory ces informations affecteront. Soyez prt appliquer ces informations dans lensemble du processus de conception. Analyse des options de conception. Lorsque vous analysez des besoins dentreprise spcifiques, plusieurs options de conception peuvent y rpondre. Par exemple, un besoin administratif peut tre rsolu par le biais dune conception de domaine ou dune structure dunit dorganisation. Comme chaque choix que vous faites affecte les autres composants de la conception, restez flexible dans votre approche de la conception durant tout le processus. Slection dune conception. Dveloppez plusieurs conceptions dActive Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous slectionnez une conception, analysez les besoins dentreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut quaucune des conceptions soumises ne fasse lunanimit. Choisissez la conception qui rpond le mieux vos besoins dentreprise et qui reprsente globalement le meilleur choix. Affinage de la conception. La premire version de votre plan de conception est susceptible dtre modifie avant la phase pilote de limplmentation. Le processus de conception est itratif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. Rvisez et affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins dentreprise.

1.3.2. Rsultat du processus de conception dActive Directory


Le rsultat de la phase de conception dActive Directory inclut les lments ci dessous. La conception du domaine et de la fort. La conception de la fort inclut des informations comme le nombre de forts requis, les consignes de cration des approbations et le nom de domaine pleinement qualifi (FQDN, Fully Qualified Domain Name) pour le domaine racine de chaque fort. La conception inclut galement la stratgie de contrle des modifications de la fort, qui identifie les processus de proprit et dapprobation pour les modifications de la configuration prsentant un impact sur toute la fort.Identifiez la personne charge de dterminer la stratgie de contrle des modifications de chaque fort dans lorganisation. Si votre plan de conception comporte plusieurs forts, vous pouvez valuer si des approbations de forts sont requises pour rpartir les ressources du rseau parmi les forts.La conception du domaine indique le nombre de domaines requis dans chaque fort, le domaine qui sera le domaine racine pour chaque fort et la hirarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut galement le nom DNS pour chaque domaine et les relations dapprobation entre domaines. La conception de lunit dorganisation. Elle indique comment

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 10 - 87

Service d'annuiare Active Directory vous crerez les units dorganisation pour chaque domaine dans la fort. Incluez une description de lautorit dadministration qui sera applique chaque unit dorganisation, et qui cette mme autorit sera dlgue. Pour finir, incluez la stratgie utilise pour appliquer la stratgie de groupe la structure de lunit dorganisation. La conception du site. Elle spcifie le nombre et lemplacement des sites dans lorganisation, les liens requis pour relier les sites et le cot de ces liens.

1.3.3.

Processus de planification dActive Directory

Le rsultat du processus de planification est le plan dimplmentation dActive Directory. Ce plan se compose lui-mme de plusieurs plans qui dfinissent les besoins fonctionnels pour un composant spcifique de limplmentation dActive Directory. Un plan Active Directory inclut les composants suivants : Stratgie de compte. Elle inclut des informations comme les consignes dattribution de nom aux comptes et la stratgie de verrouillage, la stratgie en matire de mots de passe et les consignes portant sur la scurit des objets. Stratgie daudit. Elle dtermine comment suivre les modifications apportes aux objets Active Directory. Plan dimplmentation dunit dorganisation. Il dfinit quelles units dorganisation crer et comment. Par exemple, si la conception dunit dorganisation spcifie que ces units seront cres gographiquement et organises par division lintrieur de chaque zone gographique, le plan dimplmentation des units dorganisation dfinit les units implmenter, telles que celles des ventes, des ressources humaines et de production. Le plan fournit galement des consignes portant sur la dlgation dautorit. Plan de stratgie de groupe. Il dtermine qui cre, relie et gre les objets de stratgie de groupe, et comment cette stratgie sera implmente. Plan dimplmentation du site. Il spcifie les sites, les liens qui les relient, et les liaisons de sites planifies. Il spcifie galement la planification et lintervalle de rplication ainsi que les consignes en matire de scurisation et de configuration de la rplication entre sites. Plan de dploiement de logiciels. Il spcifie comment vous utiliserez la stratgie de groupe pour dployer de nouveaux logiciels et des mises niveau de logiciels. Il peut, par exemple, spcifier si les mises niveau de logiciels sont obligatoires ou facultatives. Plan de placement des serveurs. Il spcifie le placement des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS intgrs Active Directory et des matres doprations. Il spcifie galement si vous activerez la mise en Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 11 - 87

Service d'annuiare Active Directory cache des appartenances un groupe universel pour les sites ne possdant pas de serveur de catalogue global.

1.3.4.

Processus dimplmentation dActive Directory

Une fois le plan dimplmentation dActive Directory en place, vous pouvez commencer implmenter Active Directory conformment votre plan de conception. Vous devez excuter les tches ci-dessous pour implmenter Active Directory. Implmentation de la fort, du domaine et de la structure DNS. Crez le domaine racine de la fort, les arborescences de domaines et tout autre domaine enfant constituant la fort et la hirarchie des domaines. Cration des units dorganisation et des groupes de scurit. Crez la structure dunit dorganisation pour chaque domaine dans chaque fort, crez des groupes de scurit et dlguez lautorit administrative des groupes administratifs dans chaque unit dorganisation. Cration des comptes dutilisateur et dordinateur. Importez les comptes dutilisateur dans Active Directory. Cration des objets Stratgie de groupe. Crez des objets Stratgie de groupe bass sur la stratgie de groupe, puis reliezles des sites, des domaines ou des units dorganisation. Implmentation des sites. Crez des sites en fonction du plan des sites, crez des liens reliant ces sites, dfinissez les liaisons de sites planifies et dployez sur les sites des contrleurs de domaine, des serveurs de catalogue global, des serveurs DNS et des matres doprations.

1.4.

Structure logique dActive Directory

Active Directory offre un stockage scuris pour les informations concernant les objets dans sa structure logique hirarchique. Les objets Active Directory reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des imprimantes. Certains objets en contiennent dautres. Lorsque vous aurez compris le rle et la fonction de ces objets, vous pourrez effectuer des tches diverses, comme linstallation, la configuration, la gestion et le dpannage dActive Directory. La structure logique dActive Directory inclut les composants suivants : Les objets. Il sagit des composants les plus lmentaires de la structure logique. Les classes dobjets sont des modles pour les types dobjets que vous pouvez crer dans Active Directory. Chaque classe dobjet est dfinie par une liste dattributs, qui dfinit les valeurs possibles que vous pouvez associer un objet. Chaque objet possde une combinaison unique de valeurs dattributs.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 12 - 87

Service d'annuiare Active Directory Les units dorganisation (OU, Organizational Unit). Vous utilisez ces objets conteneurs pour organiser dautres objets de telle manire quils prennent en compte vos objectifs administratifs. La disposition de ces objets par unit dorganisation simplifie la recherche et la gestion des objets. Vous pouvez galement dlguer lautorit de gestion dune unit dorganisation. Les units dorganisation peuvent tre imbriques les unes dans les autres, ce qui simplifie dautant la gestion dobjets. Les domaines. Units fonctionnelles centrales dans la structure logique dActive Directory, les domaines sont un ensemble dobjets dfinis administrativement qui partagent une base de donnes dannuaire commune, des stratgies de scurit et des relations dapprobation avec dautres domaines. Les domaines disposent des trois fonctions suivantes : Une limite dadministration pour objets Une mthode de gestion de la scurit pour les ressources partages Une unit de rplication pour les objets Les arborescences de domaines. Les domaines regroups en structures hirarchiques sont appels arborescences de domaines. Lorsque vous ajoutez un second domaine une arborescence, il devient enfant du domaine racine de larborescence. Le domaine auquel un domaine enfant est attach est appel domaine parent. Un domaine enfant peut son tour avoir son propre domaine enfant. Le nom dun domaine enfant est associ celui de son domaine parent pour former son nom DNS (Domain Name System) unique, par exemple corp.nwtraders.msft. De cette manire, une arborescence a un espace de noms contigu. Les forts. Une fort est une instance complte dActive Directory. Elle consiste en une ou plusieurs arborescences. Dans une arborescence unique deux niveaux, qui est recommande pour la plupart des organisations, tous les domaines enfants sont des enfants du domaine racine de la fort afin de former une arborescence contigu. Le premier domaine de la fort est appel le domaine racine de la fort. Le nom de ce domaine fait rfrence la fort, par exemple nwtraders.msft. Par dfaut, les informations dans Active Directory ne sont partages qu lintrieur de la fort. Ainsi, la fort est une limite de scurit pour les informations contenues dans linstance dActive Directory.

1.5.

Structure physique dActive Directory

Contrairement la structure logique, qui modlise des exigencesadministratives, la structure physique dActive Directory optimise le trafic rseau en dterminant o et quand se produit un trafic de connexions et de rplications. Pour optimiser lutilisation par Active Directory de la bande passante du rseau, vous devez en comprendre la structure physique. Les lments de la structure physique dActive Directory sont : Les contrleurs de domaine.

Ces ordinateurs excutent Microsoft Windows Server. 2003 ou Windows 2000

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 13 - 87

Service d'annuiare Active Directory Server et Active Directory. Chaque contrleur de domaine excute des fonctions de stockage et de rplication. Un contrleur de domaine ne peut grer quun seul domaine. Pour assurer une disponibilit permanente dActive Directory, chaque domaine doit disposer de plusieurs contrleurs de domaine.

Les sites Active Directory.

Ces sites sont des groupes dordinateurs connects par des liaisons rapides. Lorsque vous crez des sites, les contrleurs de domaine au sein dun mme site communiquent frquemment. Ces communications rduisent le dlai de latence de rplication lintrieur du site ; autrement dit, le temps requis pour quune modification effectue sur un contrleur de domaine soit rplique sur dautres contrleurs de domaine. Vous pouvez donc crer des sites pour optimiser lutilisation de la bande passante entre des contrleurs de domaines situs des emplacements diffrents. Partitions Active Directory.

Chaque contrleur de domaine contient les partitions Active Directory suivantes : 1. La partition de domaine contient les rplicas de tous les objets de ce domaine. La partition de domaine nest rplique que dans dautres contrleurs appartenant au mme domaine. 2. La partition de configuration contient la topologie de la fort. La topologie est un enregistrement de tous les contrleurs de domaine et des connexions entre eux dans une fort. 3. La partition de schma contient le schma tendu au niveau de la fort. Chaque fort comporte un schma de sorte que la dfinition de chaque classe dobjet est cohrente. Les partitions de configuration et de schma sont rpliques dans chaque contrleur de domaine dans la fort. 4. Les partitions dapplications facultatives contiennent des objets non lis la scurit et utiliss par une ou plusieurs applications. Les partitions dapplications sont rpliques dans des contrleurs de domaine spcifis dans la fort.

2.Implmentation dune structure de fort et de domaine Active Directory


2.1. Cration dune structure de fort et de domaine
Conditions requises pour installer Active Directory 2.1.1.

Avant dinstaller Active Directory, vous devez vous assurer que lordinateur devant tre configur comme contrleur de domaine satisfait certaines conditions de configuration relatives au matriel et au systme dexploitation.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 14 - 87

Service d'annuiare Active Directory De plus, le contrleur de domaine doit tre en mesure daccder un serveur DNS satisfaisant certaines conditions de configuration pour prendre en charge lintgration Active Directory. La liste ci-dessous identifie la configuration requise pour une installation dActive Directory. Un ordinateur quip de Microsoft Windows Server. 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003, Web Edition, ne prend pas en charge Active Directory. 250 mgaoctets (Mo) despace disque disponible au minimum. 200 Mo pour la base de donnes Active Directory et 50 Mo pour les fichiers journaux des transactions de la base de donnes Active Directory. La taille des fichiers journaux et des fichiers de la base de donnes Active Directory dpend du nombre dobjets dans le domaine et de leur type ; un espace disque supplmentaire est ncessaire si le contrleur de domaine est galement un serveur de catalogue global. Une partition ou un volume format avec le systme de fichiers NTFS. La partition NTFS est ncessaire pour le dossier SYSVOL. Les privilges administratifs ncessaires pour la cration, le cas chant, dun domaine dans un rseau Windows Server 2003 existant. Protocole TCP/IP install et configur pour utiliser le systme DNS. Un serveur DNS qui fait autorit pour le domaine DNS et prend en charge les conditions requises rpertories dans le tableau cidessous.

2.1.2.

Processus dinstallation dActive Directory

Pour dmarrer le processus dinstallation dActive Directory, lancez lAssistant Installation dActive Directory. Lors de linstallation, un certain nombre de modifications sont apportes au serveur Windows Server 2003 sur lequel est install Active Directory. La connaissance de ces modifications va vous permettre de rsoudre les problmes susceptibles de survenir aprs linstallation. Le processus dinstallation excute les tches suivantes : Dmarrage du protocole dauthentification Kerberos version 5 Dfinition de la stratgie de lautorit de scurit locale (LSA, Local Security Authority). Le paramtre indique que ce serveur est un contrleur de domaine. Cration de partitions Active Directory. Une partition de rpertoire est une partie de lespace de noms du rpertoire. Chaque partition du rpertoire contient une hirarchie, ou une sous-arborescence, des objets dannuaire de larborescence de rpertoire. Lors de linstallation, les partitions ci-dessous sont cres sur le premier contrleur de domaine dune fort : partition dannuaire de schma partition dannuaire de configuration partition dannuaire de domaine zone DNS de la fort partition de la zone DNS du domaine Les partitions sont alors mises jour par lintermdiaire de la rplication sur chaque contrleur de domaine subsquent cr dans la fort.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 15 - 87

Service d'annuiare Active Directory ! Cration de la base de donnes Active Directory et des fichiers journaux. Lemplacement par dfaut de la base de donnes et des fichiers journaux est systemroot\Ntds.

Pour amliorer les performances, placez la base de donnes et les fichiers journaux sur des disques durs distincts. De cette manire, les oprations de lecture et dcriture ralises dans la base de donnes et dans les fichiers journaux nentrent pas en concurrence pour les ressources en entre et en sortie.

Cration du domaine racine de la fort. Si le serveur est le premier contrleur de domaine du rseau, le processus dinstallation cre le domaine racine de la fort, puis attribue les rles de matre doprations au contrleur de domaine, notamment : lmulateur de contrleur principal de domaine (PDC, Primary Domain Controller) le matre doprations des identificateurs relatifs (RID, Relative IDentifier) le matre de nommage de domaine le contrleur de schma le matre dinfrastructure

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 16 - 87

Service d'annuiare Active Directory Vous pouvez attribuer les rles de matre doprations un autre contrleur de domaine lorsque vous ajoutez des contrleurs de domaine rpliqus au domaine. Cration du dossier volume systme partag. Cette structure de dossiers est hberge sur tous les contrleurs de domaine Windows Server 2003 et contient les dossiers suivants : le dossier partag SYSVOL, qui contient des informations relatives la stratgie de groupe ; le dossier partag Net Logon, qui contient les scripts de connexion des ordinateurs qui ne sont pas quips de Windows Server 2003. Configuration de lappartenance du contrleur de domaine sur un site appropri. Si ladresse IP du serveur que vous souhaitez promouvoir contrleur de domaine se trouve dans la plage dadresses dun sous-rseau donn dfini dans Active Directory, lAssistant configure lappartenance du contrleur de domaine dans le site associ au sous-rseau. Si aucun objet de sous-rseau nest dfini ou si ladresse IP du serveur ne se trouve pas dans la plage des objets de sous-rseau prsents dans Active Directory, le serveur est plac sur le site Premier-Site-par-Dfaut (premier site configur automatiquement lorsque vous crez le premier contrleur de domaine dans une fort). LAssistant Installation de Active Directory cre un objet serveur pour le contrleur de domaine dans le site appropri. Lobjet serveur contient les informations ncessaires pour la rplication. Cet objet serveur contient une rfrence lobjet ordinateur de lunit dorganisation Domain Controllers qui reprsente le contrleur de domaine en cours de cration. Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichier. Ceci vous permet de contrler laccs des utilisateurs aux objets Active Directory. Application du mot de passe fournit par lutilisateur au compte administrateur. Vous utilisez ce compte pour lancer le contrleur de domaine en mode Restauration des services dannuaire.

Si un objet serveur pour ce domaine existe dj dans le conteneur Servers du site dans lequel vous ajoutez le contrleur de domaine, lAssistant le supprime, puis le cre nouveau car il suppose que vous rinstallez Active Directory.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 17 - 87

Service d'annuiare Active Directory

2.1.3. Comment crer une structure de fort et de domaine


Vous utilisez lAssistant Installation de Active Directory pour crer une structure de fort et de domaine. Lorsque vous installez Active Directory dans un rseau pour la premire fois, vous devez crer un domaine racine de la fort. Aprs avoir cr le domaine racine de la fort, utilisez lAssistant pour crer une arborescence et des domaines enfants supplmentaires. LAssistant Installation de Active Directory vous accompagne tout au long du processus dinstallation et vous donne des informations, qui diffrent en fonction des options que vous slectionnez.
Procdure de cration du domaine racine de la fort

Pour crer un domaine racine de la fort, procdez comme suit : 1. Cliquez sur Dmarrer, sur Excuter, puis tapez dcpromo en tant que nom du programme. LAssistant vrifie les points suivants : lutilisateur actuellement connect est un membre du groupe local Administrateurs ; lordinateur est quip dun systme dexploitation prenant en charge Active Directory ; une installation prcdente ou une suppression dActive Directory na pas eu lieu sans un redmarrage de lordinateur ; une installation ou une suppression dActive Directory nest pas en cours. Si lun des ces quatre points ne se vrifie pas, un message derreur saffiche et vous quittez lAssistant. 2. Dans la page Assistant Installation de Active Directory, cliquez sur Suivant. 3. Dans la page Compatibilit du systme dexploitation, cliquez sur Suivant. 4. Sur la page Type de contrleur de domaine, cliquez sur Contrleur de domaine pour un nouveau domaine, puis cliquez sur Suivant. 5. Dans la page Crer un nouveau domaine, cliquez sur Domaine dans une nouvelle fort, puis sur Suivant. 6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du nouveau domaine, puis cliquez sur Suivant. 7. Dans la page Nom de domaine NetBIOS, vrifiez le nom NetBIOS, puis cliquez sur Suivant. Le nom NetBIOS permet didentifier le domaine sur les ordinateurs clients quips de versions antrieures de Windows et Windows NT. LAssistant identifie que le nom de domaine NetBIOS est unique. Si ce nest pas le cas, il vous invite modifier le nom. 8. Dans la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, puis cliquez sur Suivant. 9. Dans la page Volume systme partag, tapez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement. Cliquez ensuite sur Suivant. 10. Dans la page Diagnostics des inscriptions DNS, assurez-vous quun serveur DNS existant va faire autorit pour cette fort ou, le cas chant, cliquez sur

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 18 - 87

Service d'annuiare Active Directory Installer et configurer le serveur DNS sur cet ordinateur et dfinir cet ordinateur pour utiliser ce serveur DNS comme serveur DNS de prfrence. Cliquez ensuite sur Suivant. 11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les autorisations par dfaut des objets utilisateur et groupe compatibles avec des serveurs quips de versions antrieures de Windows ou Windows NT, ou seulement avec des serveurs quips de Windows Server 2003. 12. A linvite, indiquez le mot de passe pour le mode Restauration des services dannuaire. Les contrleurs de domaine Windows Server 2003 grent une petite version de la base de donnes des comptes de Microsoft Windows NT 4.0. Le seul compte de cette base de donnes est le compte Administrateur. Il est requis pour lauthentification au dmarrage de lordinateur en mode Restauration des services dannuaire, tant donn quActive Directory nest pas dmarr dans ce mode. 13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 14. A linvite, redmarrez lordinateur.
Procdure de cration dun domaine enfant

La procdure de cration dun domaine enfant laide de lAssistant Installation de Active Directory est similaire celle permettant de crer un domaine racine de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors de linstallation. Page de lAssistant Installation de Active Directory Crer un nouveau domaine Cliquez sur Domaine enfant dans une arborescence de domaine existante. Tapez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Administrateurs de lentreprise. Vrifiez le domaine parent, puis tapez le nom du nouveau domaine enfant. Nouvelle tape raliser

Informations didentification rseau

Installation dun domaine enfant

Lorsque vous utilisez lAssistant Installation de Active Directory pour crer ou supprimer un domaine enfant, il contacte le matre de nommage de domaine pour demander lajout ou la suppression. Le matre de nommage de domaine doit imprativement sassurer que les noms de domaine sont uniques. Si le matre de

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 19 - 87

Service d'annuiare Active Directory nommage de domaine est indisponible, vous navez pas la possibilit dajouter ni de supprimer des domaines.

2.1.4. Comment rpliqu

ajouter

un

contrleur

de

domaine

Pour activer la tolrance de pannes au cas o le contrleur de domaine se dconnecte de manire inattendue, vous devez disposer dau moins deux contrleurs de domaine dans un seul domaine. Etant donn que tous les contrleurs de domaine dun domaine rpliquent les donnes spcifiques au domaine de lun vers un autre, linstallation de plusieurs contrleurs de domaine dans le domaine active automatiquement la tolrance de pannes pour les donnes enregistres dans Active Directory. Si un contrleur de domaine tombe en panne, les contrleurs de domaine restants fournissent les services dauthentification et assurent laccs aux objets dActive Directory, de telle sorte que le domaine, puisse continuer fonctionner. Avant de commencer linstallation, dterminez si vous allez effectuer la rplication initiale dActive Directory par le biais du rseau partir dun contrleur de domaine proximit ou dun support sauvegard. Choisissez de rpliquer Active Directory par le biais du rseau si le contrleur de domaine rpliqu va tre install : sur un site sur lequel un autre contrleur de domaine existe ; sur un nouveau site connect un site existant par un rseau grande

vitesse. Choisissez de rpliquer Active Directory partir dun support de sauvegarde si vous souhaitez installer le premier contrleur de domaine sur un site distant pour un domaine existant. Lorsque vous copiez des informations relatives au domaine partir de fichiers de sauvegarde restaurs, vous devez pralablement sauvegarder les donnes sur ltat du systme dun contrleur de domaine excutant Windows Server 2003 partir du domaine dans lequel ce serveur membre va devenir un contrleur de domaine supplmentaire. Ensuite, vous devez restaurer la sauvegarde de ltat du systme sur le serveur sur lequel vous installez Active Directory. Pour installer un contrleur de domaine rpliqu, procdez comme suit : 1. Excutez dcpromo. Pour installer un contrleur de domaine supplmentaire partir des fichiers de sauvegarde, excutez dcpromo avec loption /adv. 2. Sur la page Type de contrleur de domaine, cochez la case Contrleur de domaine supplmentaire pour un domaine existant. Sinon, si vous lancez lAssistant Installation de Active Directory avec loption /adv, choisissez lune des options suivantes sur la page Copie des informations du domaine en cours : Via le rseau. partir des fichiers de restauration de cette sauvegarde, puis indiquez lemplacement des fichiers de sauvegarde restaurs. 3. Sur la page Informations didentification rseau, tapez le nom dutilisateur, le mot de passe et le domaine utilisateur du compte dutilisateur que vous souhaitez utiliser pour cette opration. Le compte dutilisateur doit tre un membre du groupe Admins du domaine pour le domaine cible.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 20 - 87

Service d'annuiare Active Directory 4. Dans la page Contrleur de domaine supplmentaire, spcifiez le nom de domaine pour lequel ce serveur deviendra un contrleur de domaine supplmentaire. 5. Dans la page Dossiers de la base de donnes et du journal, indiquez lemplacement dans lequel vous souhaitez installer les dossiers de la base de donnes et du journal, ou cliquez sur Parcourir pour choisir un emplacement. 6. Dans la page Volume systme partag, tapez lemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir un emplacement. 7. Sur la page Mot de passe administrateur de restauration des services dannuaire, tapez et confirmez le mot de passe du mode de restauration des services dannuaire, puis cliquez sur Suivant. 8. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer linstallation. 9. Lorsque le systme vous y invite, redmarrez lordinateur.

2.2. Analyse du Directory


2.2.1.

systme DNS intgr

Active

Espaces de noms DNS et Active Directory

Les domaines DNS et Active Directory utilisent des noms de domaine identiques pour diffrents espaces de noms. En utilisant des noms de domaine identiques, les ordinateurs dun rseau Windows Server 2003 peuvent utiliser le systme DNS pour rechercher des contrleurs de domaine et dautres ordinateurs qui fournissent des services Active Directory. Les domaines et les ordinateurs sont reprsents par des enregistrements de ressources dans lespace de noms DNS et par des objets Active Directory dans lespace de noms Active Directory. Le nom dhte DNS dun ordinateur est identique celui du compte dordinateur stock dans Active Directory. Le nom de domaine DNS (galement appel suffixe DNS principal) et le domaine Active Directory auquel appartient lordinateur ont le mme nom. Par exemple, un ordinateur appel Computer1 appartenant au domaine Active Directory appel training.microsoft.msft ont le nom FQDN suivant : computer1.training.microsoft.msft

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 21 - 87

Service d'annuiare Active Directory

Lintgration du systme DNS et dActive Directory est essentielle car un ordinateur client dun rseau Windows Server 2003 doit pouvoir rechercher un contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session sur un domaine ou utiliser les services proposs par Active Directory. Les clients recherchent les contrleurs de domaine et les services grce aux enregistrements de ressources A et aux enregistrements SRV. Lenregistrement de ressources A contient le nom FQDN et ladresse IP du contrleur de domaine. Lenregistrement SRV contient le nom FQDN du contrleur de domaine et le nom du service que fournit le contrleur de domaine.

2.2.2.

Zones intgres Active Directory

Lintgration DNS et Active Directory offre la possibilit dintgrer des zones DNS dans une base de donnes Active Directory. Une zone est une partie de lespace de noms de domaine possdant un groupement logique denregistrements de ressources, qui permet de transfrer des zones de ces enregistrements pour fonctionner en tant quunit unique. Les serveurs DNS Microsoft stockent des informations utilises pour rsoudre des noms dhte en adresses IP, et inversement, dans un fichier de base de donnes suivi de lextension .dns pour chaque zone. Les zones intgres Active Directory sont des zones DNS principales et de stub stockes en tant quobjets dans la base de donnes Active Directory. Vous pouvez stocker des objets de zone dans une partition dapplication Active Directory ou dans une partition de domaine Active Directory. Si les objets de zone sont stocks dans une partition dapplication Active Directory, seuls les contrleurs de domaine qui souscrivent la partition dapplication participent

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 22 - 87

Service d'annuiare Active Directory sa rplication. Toutefois, si les objets de zone sont stocks dans une partition de domaine Active Directory, ils sont rpliqus sur tous les contrleurs de domaine du domaine. Les zones intgres Active Directory offrent les avantages suivants : Rplication multimatre. Lorsque vous configurez les zones intgres Ative Directory, des mises jour dynamiques du systme sur le systme DNS sont menes en fonction dun modle de mise jour multimatre. Dans ce modle, les serveurs DNS qui font autorit (un contrleur de domaine excutant un serveur DNS, par exemple) sont conus en tant que source principale pour la zone. Etant donn que la copie principale de la zone est gre dans la base de donnes Active Directory, qui est intgralement rplique sur tous les contrleurs de domaine, la zone peut tre mise jour par les serveurs DNS fonctionnant sur un contrleur de domaine pour le domaine. Dans le modle de mise jour multimatre dActive Directory, tout serveur principal de la zone intgre dannuaire peut traiter des requtes mises par les clients DNS pour mettre jour la zone, aussi longtemps quun contrleur de domaine est disponible sur le rseau. Mises jour dynamiques scurises. Etant donn que les zones DNS sont des objets Active Directory des zones intgres Active Directory, vous pouvez dfinir des autorisations daccs aux enregistrements au sein de ces zones afin de contrler les ordinateurs qui peuvent mettre jour leurs enregistrements. De cette manire, les mises jour qui utilisent le protocole e mise jour dynamique ne peuvent provenir que des ordinateurs autoriss. Transferts de zone standard vers dautres serveurs DNS. Effectue des transferts de zone standard vers des serveurs DNS qui ne sont pas configurs en tant que contrleur de domaine. Cela permet galement effectuer des transferts de zone standard vers des serveurs DNS qui se trouvent dans dautres domaines. Il sagit de la mthode requise pour rpliquer des zones vers des serveurs DNS dans dautres domaines.

2.2.3.

Enregistrements de ressources SRV

Pour quActive Directory fonctionne correctement, les ordinateurs clients doivent tre en mesure de localiser les serveurs qui fournissent des services spcifiques tels que lauthentification des demandes douverture de session et la recherche dinformations dans Active Directory. Active Directory stocke les informations relatives lemplacement des ordinateurs qui fournissent ces services dans des enregistrements DNS connus sous le nom denregistrements de ressources SRV. Les enregistrements de ressources SRV tablissent un lien entre un service et le nom dordinateur DNS de lordinateur qui offre le service. Par exemple, un enregistrement SRV peut contenir des informations permettant aux clients de localiser un contrleur de domaine dans un domaine ou une fort spcifique. Lorsquun contrleur de domaine dmarre, il enregistre les enregistrements SRV et un enregistrement de ressources A, qui contiennent son nom dordinateur DNS et son adresse IP. Un ordinateur client DNS utilise ultrieurement ces

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 23 - 87

Service d'annuiare Active Directory informations combines afin de localiser le service requis sur le contrleur de domaine appropri. Tous les enregistrements SRV utilisent un format standard compos de champs contenant les informations quActive Directory utilise afin de mapper un service lordinateur qui fournit le service. Les enregistrements SRV utilisent le format suivant : _ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible Exemple: _ldap._tcp.gsimaroc.com 600 IN SRV 0 100 389 Casablanca.gsimaroc.com Le tableau ci-dessous prsente chaque champ dun enregistrement SRV. Champ _Service Description Spcifie le nom du service, (LDAP [Lightweight Directory Access Protocol] ou Kerberos, par exemple) fourni par le serveur qui enregistre cet enregistrement SRV. Spcifie le type de protocole de transport, tel que TCP ou UDP (User Datagram Protocol). Spcifie le nom de domaine auquel fait rfrence lenregistrement de ressources. Ttl Spcifie la dure de vie (TTL, Time To Live) en secondes. Cest un champ standard des enregistrements de ressources DNS prcisant la dure pendant laquelle lenregistrement est considr valide. Spcifie la valeur de la classe de lenregistrement de ressources DNS, qui est presque toujours IN pour le systme Internet. Il sagit de la seule classe prise en charge par le systme DNS de Windows Server 2003. Spcifie la priorit du serveur. Les clients tentent de contacter lhte dont Document
96253431.doc

_Protocole

Nom

Classe

Priorit

OFPPT @

Millsime
novembre 08

Page 24 - 87

Service d'annuiare Active Directory la priorit est la plus faible. Poids Indique un mcanisme dquilibre de charge que les clients utilisent lors de la slection dun hte cible. Lorsque le champ de priorit est identique pour deux ou trois enregistrements dun mme domaine, les clients choisissent de manire alatoire des enregistrements SRV dont le poids est suprieur. Spcifie le port sur lequel le serveur coute ce service. Spcifie le nom FQDN, galement appel nom de domaine complet, de lordinateur qui fournit le service.

Port

Cible

2.3.

Niveaux fonctionnels de la fort et du domaine

Sous Windows Server 2003, les fonctionnalits des forts et des domaines offrent un moyen dactiver les fonctionnalits Active Directory tendues lchelle de la fort ou du domaine dans votre environnement rseau. Selon votre environnement, diffrents niveaux de fonctionnalit de fort et de fonctionnalit de domaine sont disponibles. La fonctionnalit de domaine active des fonctionnalits qui auront un impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels de domaine sont disponibles : Windows 2000 mixte. Il sagit du niveau fonctionnel par dfaut. Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 mode natif ou Windows Server 2003. Les domaines en mode mixte peuvent contenir des contrleurs secondaires de domaine Windows NT 4.0 mais ne peuvent pas utiliser les fonctionnalits de groupes de scurit universels, dimbrication de groupes ni dhistorique SID (Security IDentifier). Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si le domaine contient uniquement des contrleurs de domaine Windows 2000 et Windows Server 2003. Bien que les contrleurs de domaine excutant Windows 2000 Server ne connaissent pas la fonctionnalit de domaine, les fonctionnalits Active Directory (groupes de scurit universels, imbrication des groupes et dhistorique SID, par exemple) sont disponibles. Windows 2003 Server. Il sagit du niveau fonctionnel le plus lev pour un domaine. Vous pouvez lutiliser uniquement si tous les contrleurs de domaine du domaine excutent Windows Server 2003. Toutes les fonctionnalits Active Directory pour le domaine sont disponibles. Windows 2003 version prliminaire. Il sagit dun niveau

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 25 - 87

Service d'annuiare Active Directory fonctionnel particulier qui prend en charge les contrleurs de domaine Windows NT 4.0 et Windows 2003 Server.
Vous ne pouvez pas rduire le niveau fonctionnel du domaine ou de la fort aprs lavoir augment.

2.3.1. Conditions requises pour activer les nouvelles fonctionnalits de Windows Server 2003

Outre les fonctionnalits de base dActive Directory sur les contrleurs de domaine individuels, de nouvelles fonctionnalits Active Directory tendues la fort et au domaine sont disponibles lorsque certaines conditions sont satisfaites. Pour activer les nouvelles fonctionnalits tendues au domaine, tous les contrleurs de domaine du domaine doivent excuter Windows Server 2003, et le niveau fonctionnel du domaine doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur de domaine. Pour activer les nouvelles fonctionnalits tendues la fort, tous les contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003. Pour ce faire, vous devez tre un administrateur dentreprise.

2.3.2. Procdure daugmentation du niveau fonctionnel du domaine


Pour augmenter le niveau fonctionnel du domaine, procdez comme suit : Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 26 - 87

Service d'annuiare Active Directory 1. Ouvrez Domaines et approbations Active Directory. 2. Dans larborescence de la console, cliquez avec le bouton droit sur le noeud du domaine dont vous souhaitez augmenter le niveau fonctionnel, puis cliquez sur Augmenter le niveau fonctionnel du domaine. 3. Dans la bote de dialogue Slectionner un niveau fonctionnel du domaine disponible, slectionnez le niveau fonctionnel, puis cliquez sur Augmenter.

2.3.3. Procdure daugmentation du niveau fonctionnel de la fort


Pour augmenter le niveau fonctionnel de la fort, procdez comme suit : 1. Dans Domaines et approbations Active Directory, dans larborescence de la console, cliquez avec le bouton droit sur Domaine et approbations Active Directory, puis cliquez sur Augmenter le niveau fonctionnel de la fort. 2. Dans la bote de dialogue Slectionner un niveau fonctionnel de la fort disponible, slectionnez Windows Server 2003, puis cliquez sur Augmenter.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 27 - 87

Service d'annuiare Active Directory

2.4.

Relations dapprobation
Types dapprobations

2.4.1.

Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans son propre domaine daccder aux ressources de tous les domaines approuvs. Dans Windows Server 2003, il existe deux types dapprobations : transitives et non transitives. Dans une approbation transitive, la relation dapprobation tendue un domaine est automatiquement tendue tous les autres domaines qui approuvent ce domaine. Par exemple, le domaine D approuve directement le domaine E, qui approuve directement le domaine F. Etant donn que les deux approbations sont transitives, le domaine D approuve indirectement le domaine F et inversement. Les approbations transitives sont automatiques. Une approbation parent/enfant est un bon exemple dapprobation. Les approbations non transitives ne sont pas automatiques et peuvent tre configures. Par exemple, une approbation non transitive peut tre externe, comme lapprobation entre deux domaines de deux forts distinctes. Dans Windows Server 2003, il existe trois directions dapprobation : unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un domaine B, vous avez configur une approbation unidirectionnelle entrante entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent tre authentifis dans le domaine Q. Si vous avez configur une approbation unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs du domaine Q peuvent tre authentifis dans le domaine B. Dans une approbation bidirectionnelle, les deux domaines peuvent authentifier les utilisateurs de lautre

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 28 - 87

Service d'annuiare Active Directory domaine. Windows Server 2003 prend en charge les types dapprobation suivants, dans les catgories transitives et non transitives. Transitivit A utiliser souhaitez si vous

Type Raccourcie

Partiellement transitive

Rduire les sauts lauthentification Kerberos.

de

Fort

Partiellement transitive Non transitive

Activer lauthentification entre les forts. Configurer une relation dapprobation entre un domaine dune fort et un domaine dune autre fort.

Externe

Domaine

Transitive ou non Approuver un domaine transitive, au choix de Kerberos externe. lutilisateur

3.Implmentation de la structure dune unit dorganisation


3.1. Cration et gestion dunits dorganisation
de la gestion des units 3.1.1. Prsentation dorganisation

Les units dorganisation sont les conteneurs du service dannuaire Active Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et dautres units dorganisation. Lutilisation dunits dorganisation vous permet de crer des conteneurs dans un domaine reprsentant les structures hirarchique et logique de votre organisation. Vous pouvez ensuite grer la configuration et lutilisation de comptes et de ressources en fonction de votre modle dorganisation. Vous pouvez, par exemple, utiliser les units dorganisation pour appliquer automatiquement des stratgies de groupe dfinissant des paramtres par dfaut pour les comptes dordinateurs et dutilisateurs dans Active Directory. Le cycle de vie des units dorganisation inclut quatre phases : Planification. Vous planifiez au cours de cette phase la structure des units Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 29 - 87

Service d'annuiare Active Directory dorganisation. Vous dterminez quelles units dorganisation vous allez crer et comment vous en dlguerez le contrle administratif. Dploiement. Vous crez au cours de cette phase la structure des units dorganisation en fonction de leur plan. Maintenance. Aprs avoir cr la structure des units dorganisation dans Active Directory, vous pouvez renommer, dplacer ou modifier les units cres en fonction des besoins permanents de lorganisation. Suppression. Dans Active Directory, tous les objets, y compris les units dorganisation, occupent de lespace dans le contrleur de domaine qui hberge Active Directory. Lorsque des units dorganisation ne sont plus requises, vous devez les supprimer.

3.1.2. Mthodes de cration et de gestion des units dorganisation

Microsoft Windows Server. 2003 fournit plusieurs composants logiciels enfichables et outils de ligne de commande vous permettant de crer des units dorganisation et de grer la configuration et lutilisation de comptes et de ressources dans le modle de votre organisation. Vous pouvez galement utiliser lenvironnement dexcution de scripts pour les plates-formes Microsoft Windows, afin de grer des units dorganisation. La liste suivante dcrit quelques composants logiciels enfichables et outils de ligne de commande vous permettant de crer et de grer des units dorganisation :

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 30 - 87

Service d'annuiare Active Directory Utilisateurs et ordinateurs Active Directory. Ce composant logiciel enfichable MMC permet de crer, modifier et supprimer des units dorganisation. Utilisez ce composant logiciel enfichable lorsque vous navez que quelques units dorganisation grer, ou lorsque vous souhaitez grer des units de manire interactive. Outils de service dannuaire. Cet ensemble doutils de ligne de commande permet de grer des objets et deffectuer des requtes dinformations dans Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod et Dsrm. Lutilisation de ces outils avec le paramtre ou vous permet dajouter, de modifier et de supprimer des units dorganisation dans Active Directory. Vous pouvez galement utiliser des scripts et des fichiers de commandes avec ces outils pour grer des services dannuaire. Ldifde (Lightweight Directory Access Protocol Data Interchange Format Directory Exchange). Cet outil de ligne de commande permet de crer des units dorganisation et dautres objets Active Directory. Ldifde utilise un fichier dentre contenant des informations sur les objets ajouter, modifier ou supprimer. Ces informations sont stockes sous la forme dune srie denregistrements, spars par une ligne vide dans un fichier dentre. Environnement dexcution de scripts Windows. Vous pouvez crer des units dorganisation laide dapplications Windows, ou laide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces). Lutilisation de scripts vous permet de crer des units dorganisation dans le cadre dune configuration dapplication, le cas chant.

3.1.3. Procdure de cration dune unit dorganisation laide de la ligne de commande Dsadd
Pour crer une unit dorganisation, excutez la commande Dsadd suivante partir de linvite de commande : dsadd ou NU_Unit_Organisation -desc Description -d Domaine u Nom_Utilisateur -p Mot_de_passe O : NU_Unit_Organisation spcifie le nom unique de lunit dorganisation que vous dsirez ajouter. Par exemple, pour le nom ajouter unique lunit serait poleformation au domaine gsimaroc.com,

ou=poleformation,dc=gsimaroc,dc=com. Description spcifie la description de lunit dorganisation que vous dsirez ajouter. Domaine spcifie le domaine auquel se connecter. Par dfaut, lordinateur est connect au contrleur de domaine du domaine sur lequel il a ouvert

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 31 - 87

Service d'annuiare Active Directory une session. Nom_Utilisateur spcifie le nom dutilisateur permettant de se connecter un serveur distant. Par dfaut, le nom de lutilisateur connect est utilis. Vous pouvez spcifier un nom dutilisateur selon lun des formats suivants : nom dutilisateur (par exemple, Benharraf) domaine\nom dutilisateur (par exemple, gsimaroc\Benharraf) nom dutilisateur principal (UPN, User Principal Name) (par exemple, Benharraf@gsimaroc.com) Mot_de_Passe est le mot de passe utiliser pour ouvrir une session sur un serveur distant. Si vous tapez * (astrisque), un mot de passe vous sera demand.

3.1.4. Procdure dorganisation

de

modification

dune

unit

Pour modifier la description dune unit dorganisation, excutez la commande suivante : dsmod ou NU_Unit_Organisation -desc Description -d Domaine u Nom_Utilisateur -p Mot_de_passe Les paramtres qui sont transmis la commande dsmod sont les mmes que ceux de la commande dsadd. La nouvelle description doit tre transmise comme paramtre desc.

3.1.5. Procdure dorganisation

de

suppression

dune

unit

Vous devez supprimer dActive Directory les units dorganisation qui ne sont plus utilises. Pour supprimer une unit dorganisation, excutez la commande suivante : dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur p Mot_de_passe Les paramtres qui sont transmis la commande dsrm sont les mmes que ceux de la commande dsadd. Vous pouvez utiliser les paramtres supplmentaires suivants avec dsrm : subtree. Spcifie de supprimer lobjet ainsi que tous les objets contenus dans la sous-arborescence situe sous cet objet. Exclude. Spcifie de ne pas supprimer lobjet de base fourni par NU_Unit_Organisation lorsque vous supprimez la sous-arborescence situe au-dessous. Par dfaut, seul lobjet de base spcifi est supprim. Le paramtre Exclude ne peut tre spcifi quavec le paramtre subtree.

3.1.6. Comment crer et grer des units dorganisation laide de loutil Ldifde OFPPT @
Document
96253431.doc

Millsime
novembre 08

Page 32 - 87

Service d'annuiare Active Directory Loutil de ligne de commande Ldifde vous permet de crer des units dorganisation en mode Batch et de dfinir des hirarchies dunits dorganisation. Vous pouvez galement utiliser Ldifde pour modifier et supprimer des units dorganisation. La premire tape excuter pour utiliser cet outil consiste crer le fichier dentre utiliser avec Ldifde. Aprs avoir cr ce fichier, vous excuterez la commande Ldifde. Procdez comme suit pour crer des units dorganisation laide de loutil de ligne de commande Ldifde : 1. Crez un fichier dentre. Lexemple suivant montre le format du fichier : dn: OU=formationOu,DC=gsimaroc,DC=com changetype: add objectClass: organizationalUnit Changetype dtermine le type dopration effectue sur lobjet Active Directory. ObjectClass spcifie la classe de lobjet Active Directory. Dans lexemple prcdent, Ldifde ajoute un objet dunit dorganisation appel ExempleOU au domaine nwtraders.msft. Vous pouvez ajouter plusieurs units dorganisation en ajoutant dautres entres comme celle ci-dessus. Chaque entre dn doit tre prcde dune ligne vide, sauf la premire. 2. Excutez Ldifde pour crer, modifier ou supprimer des units dorganisation en entrant la commande suivante : C:\>ldifde -i .k -f OUList.ldf -b Nom_Utilisateur Domaine Mot_de_Passe O : -i spcifie le mode dimportation. Si celui-ci nest pas spcifi, le mode par dfaut est exportation. -k permet de ne pas tenir compte des erreurs durant une opration dimportation et de poursuivre le traitement. -f spcifie le nom du fichier dimportation ou dexportation. OUList.ldf est le fichier dentre. -b spcifie le nom dutilisateur, le nom de domaine et le mot de passe associs au compte dutilisateur qui sera utilis pour excuter lopration dimportation ou dexportation.

3.1.7. Comment crer des units dorganisation laide de lenvironnement dexcution de scripts Windows
Procdez comme suit pour crer une unit dorganisation laide de lenvironnement dexcution de scripts Windows : 1. laide du Bloc-notes, crez un fichier texte portant lextension .vbs. Insrez dans ce fichier les commandes figurant ci-aprs sous les points a, b et c, puis enregistrez le fichier. a. Commencez par vous connecter au domaine dans lequel vous souhaitez crer lunit dorganisation, comme indiqu dans lexemple suivant : Set objDom = GetObject("LDAP://dc=gsimaroc,dc=com") b. Crez ensuite lunit dorganisation en spcifiant OrganizationalUnit comme

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 33 - 87

Service d'annuiare Active Directory type dobjet Active Directory crer et le nom de lunit dorganisation, comme indiqu dans lexemple suivant : Set objOU = objDom.Create("OrganizationalUnit", "ou=formationOu") Dans cet exemple, FormationOu est le nom de lunit dorganisation que vous crez. c. Pour terminer, enregistrez ces informations dans la base de donnes Active Directory, comme indiqu dans lexemple suivant : objOU.SetInfo 2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant linvite de commande : wscript nom_fichier_script.vbs

3.2. Dlgation du contrle administratif des units dorganisation


3.2.1. Dlgation de privilges administratifs

La dlgation de ladministration est le processus de dcentralisation de la responsabilit de la gestion dunits dorganisation dun administrateur central vers dautres administrateurs. La capacit tablir laccs des units dorganisation individuelles est une fonctionnalit de scurit importante dans Active Directory ; vous pouvez contrler laccs jusquau niveau le plus bas dune organisation sans devoir crer de nombreux domaines Active Directory. Lautorit dlgue au niveau du site couvrira probablement plusieurs domaines ou, linverse, peut ne pas inclure de cibles dans le domaine. Lautorit dlgue au niveau du domaine affectera tous les objets qui sy trouvent. Lautorit dlgue au niveau de lunit dorganisation peut affecter cet objet et tous ses objets enfants, ou uniquement lobjet lui-mme. Vous dlguez le contrle administratif afin de permettre lautonomie administrative des organisations au niveau des services et des donnes ou, au contraire, pour isoler les services ou les donnes dans une organisation. Vous pouvez liminer le besoin de disposer de plusieurs comptes administrateur ayant une autorit tendue, sur un domaine entier par exemple, mais nanmoins utiliser le groupe prdfini Admins du domaine pour grer tout le domaine Lautonomie correspond la possibilit quont les administrateurs dune organisation de prendre en charge de manire indpendante : tout ou partie de la gestion des services (autonomie de la gestion des services) ; tout ou partie de la gestion des donnes de la base de donnes Active Directory ou des ordinateurs membres rattachs lannuaire (autonomie de la gestion des donnes). Lautonomie administrative : minimise le nombre dadministrateurs devant possder des droits daccs de haut niveau ;

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 34 - 87

Service d'annuiare Active Directory limite limpact dune erreur administrative une zone dadministration plus administrateurs dune rduite. Lisolation correspond la possibilit quont les organisation dempcher les autres administrateurs de : gestion des services) ; contrler ou visualiser un sous-ensemble de donnes dans lannuaire ou sur les ordinateurs membres rattachs lannuaire (isolation de la gestion des donnes). Windows Server 2003 comporte des autorisations et des droits utilisateur spcifiques qui vous permettent de dlguer le contrle administratif. En utilisant une combinaison dunits dorganisation, de groupes et dautorisations, vous pouvez confrer des droits dadministration un utilisateur particulier de telle sorte que celui-ci dispose dun niveau appropri dadministration sur tout un domaine, sur toutes les units dorganisation dans un domaine ou sur une seule unit dorganisation.

contrler ou dinterfrer avec la gestion des services (isolation de la

3.2.2.

Comment dlguer le contrle administratif

Vous pouvez utiliser lAssistant Dlgation de Contrle pour dlguer le contrle administratif des objets Active Directory, comme les units dorganisation. Lutilisation de lAssistant vous permet de dlguer des tches dadministration courantes, telles que la cration, la suppression et la gestion des comptes dutilisateurs. Excutez la procdure ci-dessous pour dlguer des tches dadministration courantes pour une unit dorganisation. 1. Procdez comme suit pour dmarrer lAssistant Dlgation de contrle : a. Ouvrez la console Utilisateurs et ordinateurs Active Directory. b. Dans larborescence de la console, double-cliquez sur le n.ud du domaine. c. Dans le volet de dtails, cliquez avec le bouton droit sur lunit dorganisation, cliquez ensuite sur Dlguer le contrle, puis sur Suivant. 2. Slectionnez les utilisateurs ou les groupes auxquels vous souhaitez dlguer des tches dadministration courantes. Pour ce faire, procdez comme suit : a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter. b. Dans la bote de dialogue Slectionner des utilisateurs, des ordinateurs ou des groupes, tapez les noms des utilisateurs et des groupes auxquels vous souhaitez dlguer le contrle de lunit dorganisation, cliquez ensuite sur OK, puis sur Suivant. 3. Affectez des tches courantes dlguer. Pour ce faire, procdez comme suit : a. Dans la page Tches dlguer, cliquez sur Dlguer les tches courantes suivantes. b. Dans la page Tches dlguer, slectionnez les tches que vous souhaitez dlguer, puis cliquez sur Suivant. 4. Cliquez sur Terminer. Lorsque vous dlguez le contrle de la cration dobjets dans Active Directory un utilisateur ou un groupe, ces derniers peuvent crer un nombre dobjets illimit. Dans Windows Server 2003, vous pouvez limiter le nombre dobjets

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 35 - 87

Service d'annuiare Active Directory quune entit de scurit peut possder dans une partition dannuaire, en implmentant un quota pour cette entit.

3.3.

Planification dune stratgie dunit dorganisation


Processus de planification dunit dorganisation

3.3.1.

La structure des units dorganisation dans Active Directory est base sur la structure administrative de lorganisation. La premire tape de planification dune structure dunit dorganisation consiste documenter la structure de lorganisation. Procdez comme suit pour planifier la stratgie dunit dorganisation pour votre organisation : Documentez la structure existante de lorganisation. Lors de la documentation de la structure existante de lorganisation, une stratgie consiste diviser les tches dadministration en catgories, puis documenter les administrateurs qui sont responsables de chacune delles. Identifiez les domaines amliorer. Travaillez avec lquipe de planification pour identifier les domaines amliorer. Par exemple, il peut tre plus rentable de combiner plusieurs quipes IT provenant de diffrentes divisions. Vous pouvez identifier le personnel non informatique susceptible de vous aider dans le processus dadministration et rduire la charge de travail du personnel informatique. Les administrateurs peuvent ainsi se concentrer sur les domaines o leur expertise est requise. Utilisez ensuite les points suivants comme consignes pour votre plan de dlgation : Dterminez le niveau dadministration. Dcidez ce que chaque groupe contrlera et quel niveau vous dlguerez ladministration dans la hirarchie administrative. Lorsque vous crez le plan, identifiez quels groupes : auront un contrle intgral sur les objets dune classe particulire ; ces groupes peuvent crer et supprimer des objets dans une classe spcifie et modifier tous les attributs des objets dans la classe spcifie. seront autoriss crer des objets dune classe particulire ; par dfaut, les utilisateurs ont le contrle intgral des objets quils crent ; seront autoriss ne modifier que des attributs spcifiques dobjets existants dune classe particulire. Identifiez chaque administrateur et compte dutilisateur dans votre organisation ainsi que les ressources quils administrent. Ces informations vous aideront dterminer la proprit et les autorisations affectes aux units dorganisation que vous crez pour prendre en charge le plan de dlgation.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 36 - 87

Service d'annuiare Active Directory

4.Implmentation de comptes dutilisateurs, de groupes et dordinateurs


4.1. Prsentation des comptes
Types de comptes 4.1.1.

Vous pouvez crer trois types de comptes dans Active Directory : comptes dutilisateurs, de groupes et dordinateurs. Les comptes dutilisateurs et dordinateurs Active Directory reprsentent une entit physique, telle quun ordinateur ou une personne. Vous pouvez galement utiliser les comptes dutilisateurs comme comptes de services ddis pour certaines applications. Comptes dutilisateurs Un compte dutilisateur est un objet stock dans Active Directory qui permet une ouverture de session unique, autrement dit un utilisateur entre son mot de passe une seule fois lors de louverture de session sur une station de travail pour obtenir un accs authentifi aux ressources rseau. Il existe trois types de comptes dutilisateurs, chacun ayant une fonction spcifique : Un compte dutilisateur local permet un utilisateur douvrir une session sur un ordinateur spcifique pour accder aux ressources sur cet ordinateur. Un compte dutilisateur de domaine permet un utilisateur de se

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 37 - 87

Service d'annuiare Active Directory connecter au domaine pour accder aux ressources rseau, ou un ordinateur individuel pour accder aux ressources sur cet ordinateur. Un compte dutilisateur intgr permet un utilisateur deffectuer des tches dadministration ou daccder temporairement aux ressources rseau. Comptes dordinateurs Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un domaine possde un compte dordinateur. limage des comptes dutilisateurs, les comptes dordinateurs permettent dauthentifier et dauditer laccs dun ordinateur aux ressources rseau et du domaine. Chaque compte dordinateur doit tre unique. Comptes de groupes Un compte de groupe est un ensemble dutilisateurs, dordinateurs ou de groupes. Vous pouvez utiliser des groupes pour grer efficacement laccs aux ressources du domaine, et ainsi simplifier ladministration. Lorsque vous utilisez des groupes, vous affectez en une fois des autorisations pour des ressources partages, telles que des dossiers et des imprimantes, des utilisateurs individuels.

4.1.2.

Types de groupes

Il existe deux types de groupes dans Active Directory, les groupes de distribution et les groupes de scurit. Tous deux possdent un attribut dtendue, qui dtermine qui peut tre membre du groupe et quel endroit vous pouvez utiliser ce groupe dans un rseau. Vous pouvez convertir tout moment un groupe de scurit en un groupe de distribution et inversement, mais uniquement si le niveau fonctionnel de domaine est dfini sur Windows 2000 natif ou ultrieur. Groupes de distribution Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que Microsoft Exchange, pour envoyer des messages un ensemble dutilisateurs. La scurit nest pas active sur les groupes de distribution, ce qui signifie quils ne peuvent pas tre rpertoris dans des listes de contrle daccs discrtionnaire (DACL, Discretionary Access Control List). Pour contrler laccs aux ressources partages, crez un groupe de scurit Groupes de scurit Vous utilisez des groupes de scurit pour affecter des droits et des autorisations aux groupes dutilisateurs et dordinateurs. Les droits dterminent les fonctions que les membres dun groupe de scurit peuvent effectuer dans un domaine ou une fort. Les autorisations dterminent quelles ressources sont accessibles un membre dun groupe sur le rseau. Une mthode dutilisation efficace des groupes de scurit consiste utiliser limbrication, cest dire, ajouter un groupe un autre groupe. Le groupe imbriqu hrite des autorisations du groupe dont il est membre, ce qui simplifie

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 38 - 87

Service d'annuiare Active Directory laffectation en une fois des autorisations plusieurs groupes, et rduit le trafic que peut engendrer la rplication de lappartenance un groupe. Dans un domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possdant la mme tendue de groupe. Les groupes de distribution et de scurit prennent en charge lune des trois tendues de groupe suivantes : locale de domaine, globale ou universelle. Le niveau fonctionnel de domaine dtermine le type de groupe que vous pouvez crer. En mode Windows 2000 mixte, vous ne pouvez pas crer de groupes de scurit universels.

4.1.3.

Etendue de groupes

Groupes locaux de domaine Un groupe local de domaine est un groupe de scurit ou de distribution qui peut contenir des groupes universels, des groupes globaux ou dautres groupes locaux de domaine issus de ses propres domaines et comptes dans la fort. Dans les groupes de scurit locaux de domaine, vous pouvez accorder des droits et autorisations sur des ressources qui rsident uniquement dans le mme domaine que celui o se trouve le groupe local de domaine. Les rgles suivantes sappliquent lappartenance au groupe local de domaine, ainsi qu ltendue et aux autorisations du groupe local de domaine : ! Appartenance. En mode Windows 2000 mixte, les groupes locaux de domaine peuvent contenir des comptes dutilisateurs et des groupes globaux de nimporte quel domaine. En mode Windows 2000 natif, les groupes locaux de domaine peuvent contenir des comptes dutilisateurs, des groupes globaux, des groupes universels de nimporte quel domaine approuv et des groupes locaux de domaine issus du mme domaine. Peut tre membre de. En mode Windows 2000 mixte, un groupe local de domaine ne peut pas tre membre de nimporte quel groupe. En mode Windows 2000 natif, un groupe local de domaine peut tre membre de groupes locaux de domaine issus du mme domaine. tendue. Un groupe local de domaine est visible uniquement dans son propre domaine. Autorisation. Vous pouvez affecter une autorisation qui sapplique au domaine dans lequel le groupe local de domaine existe. Groupes globaux Un groupe global est un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs comme membres de son propre domaine. Vous pouvez accorder des droits et autorisations des groupes de scurit globaux pour des ressources situes dans nimporte quel domaine de la fort. Les rgles suivantes sappliquent lappartenance au groupe global, ainsi qu ltendue et aux autorisations du groupe global : Appartenance. En mode Windows 2000 mixte, un groupe global peut contenir des comptes dutilisateurs du mme domaine. En mode Windows 2000 natif et en mode Windows Server 2003, des groupes globaux peuvent contenir des comptes dutilisateurs et des groupes globaux issus du mme domaine. Peut tre membre de. En mode Windows 2000 mixte, un groupe global peut tre membre des groupes locaux de domaine dans nimporte quel groupe approuv. En mode Windows 2000 mixte et en mode Windows

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 39 - 87

Service d'annuiare Active Directory Server 2003, un groupe global peut tre membre de groupes universels et de groupes locaux de domaine dans nimporte quel domaine et tre galement membres de groupes globaux dans le mme domaine. tendue. Un groupe global est visible dans son domaine et tous les domaines approuvs, ce qui inclut tous les domaines de la fort. Autorisations. Vous pouvez affecter une autorisation un groupe global qui sapplique tous les domaines approuvs.

Groupes universels Un groupe universel est un groupe de scurit ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs comme membres dun domaine de sa fort. Les groupes de scurit universels peuvent bnficier de droits et autorisations sur des ressources situes dans nimporte quel domaine de la fort. Les rgles suivantes sappliquent lappartenance au groupe universel, ainsi qu ltendue et aux autorisations du groupe universel : Appartenance. Vous ne pouvez pas crer de groupes de scurit universels en mode Windows 2000 mixte. En mode Windows 2000 natif et en mode Windows Server 2003, des groupes universels peuvent contenir des comptes dutilisateurs, des groupes globaux et dautres groupes universels de nimporte quel domaine de la fort. Peut tre membre de. Le groupe universel ne sapplique pas au mode Windows 2000 mixte. En mode Windows 2000 natif, un groupe universel peut tre membre de groupes locaux de domaine et de groupes universels de nimporte quel domaine. tendue. Les groupes universels sont visibles dans tous les domaines de la fort. Autorisations. Vous pouvez affecter une autorisation un groupe universel qui sapplique tous les domaines de la fort.

4.2.

Cration et gestion de comptes


Outils permettant de crer et grer des comptes

4.2.1.

Windows Server 2003 procure de nombreux outils et composants logiciels enfichables MMC (Microsoft Management Console) pour crer automatiquement plusieurs comptes dutilisateurs dans Active Directory. Certains de ces outils ncessitent lutilisation dun fichier texte qui contient des informations sur les comptes dutilisateurs que vous souhaitez crer. Vous pouvez galement crer des scripts pour ajouter ou modifier des objets dans Active Directory. La console Utilisateurs et ordinateurs Active Directory est un composant logiciel enfichable MMC que vous pouvez utiliser pour grer des comptes dutilisateurs, dordinateurs et de groupes. Il convient de lutiliser lorsque vous grez un petit nombre de comptes. Vous pouvez galement utiliser les outils de ligne de commande Dsadd, Dsmod et Dsrm pour grer des comptes dutilisateurs, dordinateurs et de groupes dans Active Directory. Vous devez spcifier le type dobjet que vous souhaitez crer, modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour crer un compte dutilisateur. Utilisez la commande dsrm group pour supprimer

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 40 - 87

Service d'annuiare Active Directory un compte de groupe. Bien que les outils Directory Service permettent de crer un seul objet Active Directory la fois, vous pouvez les utiliser dans des fichiers de commandes et des scripts.

Loutil de ligne de commande Csvde utilise un fichier texte spar par des virgules, galement appel format valeurs spares par des virgules (format Csvde), comme entre pour crer plusieurs comptes dans Active Directory. Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et dautres types dobjets Active Directory. Vous ne pouvez pas utiliser le format Csvde pour supprimer ou modifier des objets dans Active Directory. Avant dimporter un fichier Csvde, assurez-vous que le fichier est correctement format. Le fichier dentre : doit inclure le chemin daccs au compte dutilisateur dans Active Directory, le type dobjet, qui est le compte dutilisateur, et le nom douverture de session de lutilisateur (pour Microsoft Windows NT 4.0 et ultrieur) ; doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte dutilisateur est activ ou non. Si vous ne spcifiez aucune valeur, le compte est dsactiv ; peut inclure des informations personnelles, par exemple des numros de tlphone ou des adresses personnelles. Incluez autant dinformations sur le compte dutilisateur que possible afin que les utilisateurs puissent effectuer des recherches dans Active Directory ; ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot de passe vide pour les comptes dutilisateur. tant donn quun mot de passe vide permet une personne non autorise daccder au rseau grce au seul nom douverture de session de lutilisateur, dsactivez les comptes dutilisateurs jusqu ce que les utilisateurs commencent se connecter.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 41 - 87

Service d'annuiare Active Directory Pour modifier et formater le fichier texte dentre, utilisez une application qui possde de bonnes capacits ddition, telle que Microsoft Excel ou Microsoft Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des virgules. Vous pouvez exporter des donnes dActive Directory vers une feuille de calcul Excel ou importer des donnes dune feuille de calcul vers Active Directory. Loutil de ligne de commande Ldifde utilise un format valeurs spares par des lignes pour crer, modifier et supprimer des objets dans Active Directory. Un fichier dentre Ldifde se compose dune srie denregistrements spars par une ligne vierge. Un enregistrement dcrit un objet annuaire unique ou un ensemble de modifications apportes aux attributs dun objet existant, et se compose dune ou plusieurs lignes dans le fichier. La plupart des applications de base de donnes peuvent crer des fichiers que vous pouvez importer dans lun de ces formats. Les conditions requises pour le fichier dentre sont identiques celles de loutil de ligne de commande Csvde. Vous pouvez crer des scripts denvironnement dexcution de scripts Windows qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour crer, modifier et supprimer des objets Active Directory. Utilisez des scripts lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets Active Directory, ou lorsque les critres de slection de ces objets sont complexes. La ligne dattribut. Il sagit de la premire ligne du fichier. Elle prcise le nom de chaque attribut que vous souhaitez dfinir pour les nouveaux comptes dutilisateurs. Vous pouvez placer les attributs dans nimporte quel ordre, ils doivent tre spars par des virgules. Le code suivant est un exemple de ligne dattribut Lignes de comptes dutilisateurs. Pour chaque compte dutilisateur que vous crez, le fichier dimportation contient une ligne qui prcise la valeur de chaque attribut de la ligne dattribut Exemple DN,objectClass,sAMAccountName,userPrincipalName,displayName,userA ccountControl "cn=Benharraf Mohammed,ou=formation, dc=gsimaroc,dc=com",user,benharraf, benharraf@gsimaroc.com, Benharraf mohammed,514 Excutez la commande csvde en tapant la commande suivante linvite de commandes : csvde -i -f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe Vous pouvez utiliser loutil de ligne de commande Ldifde pour crer et modifier plusieurs comptes. Pour crer des comptes laide de loutil de ligne de commande Ldifde, procdez comme suit : 1. Prparez le fichier Ldifde importer. Formatez le fichier Ldifde afin quil contienne un enregistrement qui se compose dune suite de lignes qui dcrivent une entre pour un compte dutilisateur ou un ensemble de modifications sur un compte dutilisateur dans Active Directory. Lentre du compte dutilisateur prcise le nom de chaque attribut que vous souhaitez dfinir pour le nouveau compte dutilisateur. Le schma Active

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 42 - 87

Service d'annuiare Active Directory Directory dfinit le nom des attributs. Pour chaque compte dutilisateur que vous crez, le fichier contient une ligne qui prcise la valeur de chaque attribut de la ligne dattribut. Les rgles suivantes sappliquent aux valeurs de chaque attribut : toute ligne qui commence par un signe dise (#) est une ligne de commentaire et est ignore lorsque vous excutez le fichier Ldifde ; sil manque une valeur pour un attribut, elle doit tre reprsente comme Description_Attribut : . Le code suivant est un exemple dentre dans un fichier dimportation Ldifde : # Crer Benharraf Mohammed dn: cn=Benharraf Mohammed,ou= Formation, dc=gsimaroc,dc=com Changetype: Add objectClass: user sAMAccountName: Benharraf userPrincipalName: benharraf@gsimaroc.com displayName: Benharraf Mohammed userAccountControl: 514 Excutez la commande ldifde pour importer le fichier et crer plusieurs comptes dutilisateurs dans Active Directory. linvite de commandes, tapez la commande suivante : ldifde -i -k -f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe Crer et grer des comptes laide de lenvironnement dexcution de scripts Windows Vous pouvez crer des objets Active Directory partir de scripts denvironnement dexcution de scripts Windows laide dune interface ADSI. Le processus de cration dun objet Active Directory compte quatre tapes, comme lindique la procdure suivante. Pour crer un objet Active Directory, tel quun compte dutilisateur dans un domaine, procdez comme suit : 1. Utilisez le Bloc-notes pour crer un fichier texte avec une extension .vbs. Placez les commandes suivantes dans le fichier, puis enregistrez-le. a. Connectez-vous au conteneur dans lequel vous souhaitez crer lobjet Active Directory en spcifiant la requte LDAP (Lightweight Directory Access Protocol). Set objOU = GetObject("LDAP://ou=formation,dc=gsimaroc,dc=com") Dans lexemple prcdent, LDAP doit tre inscrit en lettres majuscules, sans quoi la commande choue. b. Crez lobjet Active Directory et spcifiez la classe et le nom de lobjet. Set objUser = objOU.Create("User", "cn=Benharraf") c. Dfinissez les proprits de lobjet Active Directory. objUser.Put "sAMAccountName", "Benharraf" d. Inscrivez les informations dans la base de donnes Active Directory. objUser.SetInfo Les proprits de certains objets Active Directory ne peuvent pas tre dfinies lors de leur cration. Par exemple, lorsque vous crez un compte dutilisateur, vous ne pouvez pas activer le compte ni dfinir son mot de passe. Vous ne pouvez dfinir ces proprits quaprs avoir cr lobjet, comme illustr dans

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 43 - 87

Service d'annuiare Active Directory lexemple de code suivant : objUser.AccountDisabled = FALSE objUser.ChangePassword "", "jl3R86df" objUser.SetInfo e. Enregistrez le fichier avec lextension .vbs. 2. Excutez le script en tapant la commande suivante linvite de commandes : Wscript.exe nom_fichier

4.3.

Dplacement dobjets dans Active Directory


Dfinition de lhistorique SID

4.3.1.

Lorsque vous dplacez un objet Active Directory, tel quun compte dutilisateur, les principes de scurit associs cet objet sont galement dplacs. Active Directory assure un suivi de ces principes de scurit dans une liste intitule Historique SID. Un historique SID fournit un utilisateur migr une continuit daccs aux ressources. Lors de la migration dun compte dutilisateur vers un autre domaine, Active Directory lui affecte un nouveau SID. Lhistorique SID conserve le SID du prcdent compte dutilisateur migr. Lorsque vous migrez plusieurs reprises un compte dutilisateur, lhistorique SID stocke une liste de tous les identificateurs SID affects lutilisateur. Il met ensuite jour les groupes et les listes de contrle daccs ncessaires avec le SID du nouveau compte. Les appartenances aux groupes bases sur le SID de lancien compte nexistent plus.

4.3.2.

Dplacement dobjets

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 44 - 87

Service d'annuiare Active Directory Pour que lhistorique SID soit activ, le niveau fonctionnel du domaine doit tre dfini sur Windows 2000 natif ou Windows Server 2003. Lhistorique SID est dsactiv si le niveau fonctionnel est dfini sur Windows 2000 mixte. Lorsquun objet est dplac au sein dun domaine, le SID ou lidentificateur unique global (GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque vous dplacez un objet sur plusieurs domaines dune mme fort, Active Directory affecte un nouveau SID lobjet mais conserve son GUID. Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour dplacer des objets dans un domaine. Pour dplacer un objet dans un domaine, procdez comme suit : Dans le volet dinformations de la console Utilisateurs et ordinateurs Active Directory, faites glissez lobjet sur le nouveau conteneur. Utilisez loutil de migration Active Directory dans Windows Server 2003 pour dplacer des objets entre domaines dune mme fort ou entre domaines situs dans des forts diffrentes. Pour migrer des utilisateurs ou des groupes dun domaine vers un autre, procdez comme suit : 1. Excutez loutil de migration Active Directory. 2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis slectionnez lAssistant pour lobjet que vous souhaitez migrer. Par exemple, pour dplacer un compte dutilisateur, cliquez sur Assistant Migration des comptes dutilisateurs. 3. Dans la page Bienvenue, cliquez sur Suivant. 4. Effectuez une migration test en procdant comme suit : a. Dans la page Tester ou effectuer des changements, cliquez sur Tester les paramtres de migration et effectuer celle-ci ultrieurement, puis cliquez sur Suivant. b. Dans la page Slection du domaine, slectionnez les domaines source et cible, puis cliquez sur Suivant. c. Dans la page Slection de lutilisateur, cliquez sur Ajouter, tapez le nom de lobjet, cliquez sur OK, puis sur Suivant. d. Dans la page Slection de lunit dorganisation, cliquez sur Parcourir, slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant. e. Dans la page Options de lutilisateur, dfinissez les options de lutilisateur, puis cliquez sur Suivant. Ces options dterminent la migration de lappartenance au groupe, des profils et des paramtres de scurit. f. Si une bote de dialogue davertissement apparat, cliquez sur OK. g. Dans la page Conflits de nommage, slectionnez les options appropries pour spcifier les actions qui seront prises en cas de conflit de noms, puis cliquez sur Suivant. h. Dans la page Fin de lAssistant Migration des comptes dutilisateurs, cliquez sur Terminer. i. Dans la bote de dialogue Avances de la Migration, cliquez sur Afficher le journal pour afficher le journal des erreurs. 5. Effectuez une migration relle en rptant les tapes 2 4.l. ltape 4.a, slectionnez Effectuer la migration maintenant la place de Tester les paramtres de migration et effectuer celle-ci ultrieurement.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 45 - 87

Service d'annuiare Active Directory

5.Implmentation dune stratgie de groupe


5.1. Composants dun objet Stratgie de groupe
Windows Server 2003 applique les paramtres de stratgie de groupe contenus dans lobjet Stratgie de groupe aux objets utilisateur et ordinateur du site, du domaine ou de lunit dorganisation associ lobjet Stratgie de groupe. Le contenu dun objet Stratgie de groupe est stock deux emplacements : dans le conteneur Stratgie de groupe (GPC, Group Policy Container) et dans le modle Stratgie de groupe (GPT, Group Policy Template). Le conteneur Stratgie de groupe est un objet Active Directory qui contient ltat de lobjet Stratgie de groupe, les informations de version, les informations de filtre WMI et une liste des composants dont les paramtres se trouvent dans objet Stratgie de groupe. Les ordinateurs peuvent accder au conteneur Stratgie de groupe pour localiser des modles Stratgie de groupe, et les contrleurs de domaine peuvent y accder pour obtenir des informations de version. Si le contrleur de domaine ne possde pas la dernire version de lobjet Stratgie de groupe, la rplication a lieu. Le modle Stratgie de groupe est une arborescence de dossiers situe dans le dossier SYSVOL dun contrleur de domaine. Lorsque vous crez un objet Stratgie de groupe, Windows Server 2003 cre le modle Stratgie de groupe correspondant qui contient tous les paramtres et informations de stratgie de groupe, y compris les modles dadministration, la scurit, linstallation de logiciel, les scripts et les paramtres de redirection de dossiers. Les ordinateurs se connectent au dossier SYSVOL pour obtenir les paramtres. Le nom du dossier du modle Stratgie de groupe est lidentificateur unique global (GUID, Globally Unique IDentifier) de lobjet Stratgie de groupe que vous avez cr. Il est identique au GUID utilis par Active Directory pour identifier lobjet Stratgie de groupe dans le conteneur Stratgie de groupe. Le chemin daccs au modle Stratgie de groupe dun contrleur de domaine est racine_systme\SYSVOL\sysvol.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 46 - 87

Service d'annuiare Active Directory

5.2. Configuration des frquences dactualisation et des paramtres de stratgie de groupe


5.2.1. quel moment la stratgie de groupe est-elle applique

Lorsquun utilisateur dmarre un ordinateur et ouvre une session, Windows Server 2003 traite dabord les paramtres de lordinateur, puis ceux de lutilisateur. Windows Server 2003 applique la stratgie de lordinateur. Il sagit des paramtres se trouvant sous Configuration de lordinateur dans la liste des objets Stratgie de groupe obtenue. Cette liste est synchrone par dfaut, et saffiche dans lordre suivant : local, domaine, unit dorganisation, unit dorganisation enfant. Aucune interface utilisateur napparat lors du traitement des stratgies de lordinateur. Les scripts de dmarrage sexcutent. Par dfaut, les scripts sont masqus et synchrones. Chaque script doit se terminer ou son dlai dexcution doit tre coul pour que le suivant puisse dmarrer. Le dlai dattente par dfaut est de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe pour modifier la valeur de ce paramtre. Une fois que Windows Server 2003 a valid lutilisateur, il charge le profil utilisateur, lequel est contrl par les paramtres de stratgie de groupe en vigueur. Windows Server 2003 applique la stratgie de lutilisateur, laquelle inclut les paramtres se trouvant sous Configuration utilisateur dans la liste obtenue. Ces paramtres sont synchrones par dfaut, et saffichent dans lordre suivant : local, domaine, unit dorganisation, unit dorganisation enfant. Aucune interface utilisateur napparat lors du traitement des stratgies de lutilisateur.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 47 - 87

Service d'annuiare Active Directory Les scripts douverture de session sexcutent. Par dfaut, ces scripts bass sur la stratgie de groupe sont masqus et asynchrones. Les ordinateurs excutant Windows Server 2003 actualisent ou rappliquent les paramtres de stratgie de groupe intervalles dfinis. Lactualisation des paramtres permet de sassurer que les paramtres de stratgie de groupe sont appliqus aux ordinateurs et aux utilisateurs mme si ces derniers ne redmarrent jamais leur ordinateur ou ne ferment jamais leur session. Pour configurer les frquences dactualisation, procdez comme suit : 1. Ouvrez lobjet Stratgie de groupe appropri de la stratgie de groupe, dveloppez successivement Configuration utilisateur ou Configuration ordinateur (selon lobjet Stratgie de groupe modifier), Modles dadministration, Systme, cliquez sur Stratgie de groupe, puis doublecliquez sur lun des paramtres suivants : Intervalle dactualisation de la stratgie de groupe pour les utilisateurs Intervalle dactualisation de la stratgie de groupe pour les ordinateurs Intervalle dactualisation de la stratgie de groupe pour les contrleurs de domaine 2. Slectionnez Activ. 3. Dfinissez lintervalle dactualisation en minutes. 4. Dfinissez le dcalage alatoire, puis cliquez sur OK. Vous pouvez actualiser un objet Stratgie de groupe laide de la commande gpupdate. Pour actualiser les paramtres de stratgie de groupe sur lordinateur dun utilisateur laide de la commande gpupdate, procdez comme suit : 1. Dans la bote de dialogue Excuter, tapez cmd et appuyez sur ENTRE. 2. Tapez gpupdate [/target:{ordinateur|utilisateur}] [/force] [/wait:valeur] [/logoff] [/boot]

5.3.

Gestion des objets Stratgie de groupe


Dfinition dune opration de copie

5.3.1.

La copie dun objet Stratgie de groupe transfert uniquement les paramtres de lobjet Stratgie de groupe. Lobjet Stratgie de groupe nouvellement cr est dot dun nouvel identificateur unique global (GUID, Globally Unique IDentifier) et de la liste de contrle daccs discrtionnaire (DACL, Discretionary Access Control List) de lobjet Stratgie de groupe. Le nouvel objet Stratgie de groupe cr est non li, car les liaisons sont une proprit de lobjet ayant dfini lobjet Stratgie de groupe plutt quune proprit de lobjet Stratgie de groupe. Pour copier un objet Stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez Objets de stratgie de groupe dans la fort et le domaine contenant lobjet Stratgie de groupe copier, cliquez avec le bouton droit sur cet objet, puis cliquez sur Copier.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 48 - 87

Service d'annuiare Active Directory 2. Effectuez lune des oprations suivantes : Pour placer la copie de lobjet Stratgie de groupe dans le mme domaine que lobjet source, cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Coller. i. Dans la bote de dialogue Copier lobjet GPO, slectionnez Utiliser les autorisations par dfaut pour les nouveaux objets GPO ou Conserver les autorisations existantes, puis cliquez sur OK. ii. Lorsque le processus de copie est termin, cliquez sur OK. Pour placer la copie de lobjet dans un autre domaine, quil sagisse de la mme fort ou dune autre, dveloppez le domaine de destination, cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Coller. i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant. ii. Dans la page Spcification des autorisations en cours, slectionnez Utiliser les autorisations par dfaut pour les nouveaux objets GPO ou Prserver ou effectuer la migration des autorisations partir des objets GPO originaux, puis cliquez sur Suivant. iii. Dans la page Analyse en cours de lobjet GPO original, cliquez sur Suivant. Si lobjet Stratgie de groupe source contient des rfrences aux entits de scurit et aux chemins UNC, vous verrez safficher la fentre mentionne ltape suivante. Sinon, passez ltape v. iv. Dans la page Migration des rfrences, slectionnez Effectuant une copie identique partir de la source ou Utilisant cette table de migration pour le mappage dans lobjet de stratgie de groupe cible, slectionnez la table de migration dans la liste, puis cliquez sur Suivant. v. Dans la page Fin de lAssistant Copie entre domaines, cliquez sur Terminer. vi. Une fois lopration de copie termine, cliquez sur OK.

5.3.2.

Dfinition dune opration de sauvegarde

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 49 - 87

Service d'annuiare Active Directory Lorsque la console Gestion de stratgie de groupe sauvegarde un objet Stratgie de groupe, elle exporte les donnes dans le fichier de votre choix et enregistre tous les fichiers de modle Stratgie de groupe. Vous pouvez placer lobjet Stratgie de groupe sauvegard dans un dossier par une opration de restauration ou dimportation. Lopration dimportation vous permet uniquement de restaurer un objet Stratgie de groupe sauvegard dans un autre domaine. Pour sauvegarder un objet Stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort contenant lobjet Stratgie de groupe sauvegarder, dveloppez successivement Domaines, le domaine contenant lobjet Stratgie de groupe, Objets de stratgie de groupe, puis effectuez lune des oprations suivantes : Pour sauvegarder un seul objet Stratgie de groupe, cliquez avec le bouton droit sur cet objet, puis cliquez sur Sauvegarder. Pour sauvegarder tous les objets Stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Sauvegarder tout. 2. Dans la bote de dialogue Sauvegarde de lobjet GPO, entrez le chemin daccs lemplacement o vous souhaitez stocker lobjet Stratgie de groupe sauvegard. 3. Entrez une description pour lobjet Stratgie de groupe sauvegarder, puis cliquez sur Sauvegarder. 4. Une fois lopration de sauvegarde termine, cliquez sur OK.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 50 - 87

Service d'annuiare Active Directory

5.3.3.

Dfinition dune opration de restauration

Lopration de restauration rtablit le contenu de lobjet Stratgie de groupe dans ltat dans lequel il tait au moment de la sauvegarde. Cette opration est valide uniquement dans le domaine o lobjet Stratgie de groupe a t cr. Vous pouvez restaurer un objet Stratgie de groupe existant ou un objet supprim qui a t sauvegard. Les autorisations requises pour restaurer un objet Stratgie de groupe varient selon que lobjet existe ou non dans Active Directory lorsque vous le restaurez. Pour restaurer un objet Stratgie de groupe existant laide de la console Gestion de stratgie de groupe, vous devez disposer des autorisations Modifier les paramtres, supprimer, modifier la scurit sur cet objet. Vous devez galement disposer de lautorisation en lecture sur le dossier qui contient lobjet Stratgie de groupe sauvegard. Pour restaurer un objet Stratgie de groupe supprim qui avait t sauvegard, vous devez disposer dautorisations pour crer des objets Stratgie de groupe dans le domaine, ainsi que de lautorisation en lecture sur lemplacement du systme de fichiers de lobjet sauvegard. Pour restaurer une version antrieure dun objet Stratgie de groupe existant, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez la fort contenant lobjet Stratgie de groupe restaurer, dveloppez successivement Domaines, le domaine contenant lobjet Stratgie de groupe, Objets de stratgie de groupe, cliquez avec le bouton droit sur Objets de stratgie de groupe puis cliquez sur Grer les sauvegardes. 2. Dans la bote de dialogue Gestion des sauvegardes, slectionnez lobjet Stratgie de groupe sauvegard restaurer, puis cliquez sur Restaurer. 3. Lorsque vous tes invit restaurer la sauvegarde slectionne, cliquez sur OK. 4. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la restauration termine. 5. Dans la bote de dialogue Gestion des sauvegardes, slectionnez un autre objet Stratgie de groupe restaurer ou cliquez sur Fermer pour terminer lopration de restauration. Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste des Objets Stratgie de groupe, effectuez lune des oprations suivantes : 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez successivement la fort contenant lobjet Stratgie de groupe restaurer, Domaines, puis le domaine contenant lobjet Stratgie de groupe. 2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis cliquez sur Grer les sauvegardes. 3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir, recherchez le systme de fichiers contenant lobjet Stratgie de groupe supprim, slectionnez lobjet, cliquez sur Restaurer, puis cliquez sur OK pour confirmer lopration de restauration.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 51 - 87

Service d'annuiare Active Directory

5.3.4.

Dfinition dune opration dimportation

Une opration dimportation copie lensemble des paramtres de stratgie de groupe depuis lobjet Stratgie de groupe source vers lobjet Stratgie de groupe de destination. Spcifiez une table de migration afin dtre certain que le chemin UNC de lobjet Stratgie de groupe est correctement mapp sur le chemin UNC de lobjet Stratgie de groupe de destination. Indiquez le chemin daccs la table de migration approprie lorsque vous importez des paramtres de stratgie de groupe dun domaine dans un autre. Si vous spcifiez une table de migration, vous devez spcifier le comportement de mappage du chemin UNC. Si vous nactivez pas la case cocher Utiliser exclusivement la table de migration, vous devez spcifier le comportement de mappage pour les entits de scurit qui ne figurent pas dans la table de migration. Si vous ne spcifiez pas de table de migration, toutes les entits de scurit sont mappes en fonction du comportement que vous spcifiez. Pour importer des paramtres dans un objet Stratgie de groupe, vous devez disposer des autorisations de modification de cet objet. Pour importer des paramtres dans un objet Stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez successivement la fort contenant lobjet Stratgie de groupe dans lequel importer des paramtres, Domaines, le domaine contenant lobjet Stratgie de groupe, Objets de stratgie de groupe, cliquez avec le bouton droit sur lobjet Stratgie de groupe, puis cliquez sur Importer des paramtres. 2. Dans la page Assistant Importation des paramtres, cliquez sur Suivant. 3. Dans la page Objet de stratgie de groupe de sauvegarde, cliquez sur Sauvegarder.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 52 - 87

Service d'annuiare Active Directory 4. Dans la bote de dialogue Sauvegarde de lobjet GPO, entrez un emplacement et une description pour la sauvegarde de lobjet Stratgie de groupe, puis cliquez sur Sauvegarder. 5. Une fois lopration de sauvegarde termine, cliquez sur OK puis sur Suivant. 6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour rechercher le dossier de sauvegarde partir duquel vous voulez importer des paramtres, puis cliquez sur Suivant. 7. Dans la page Objet stratgie de groupe (GPO) source, slectionnez lobjet Stratgie de groupe partir duquel vous voulez importer des paramtres, puis cliquez sur Suivant. Si lobjet Stratgie de groupe source contient des rfrences aux entits de scurit et des chemins UNC, la bote de dialogue Migration des rfrences saffiche. Choisissez le mode de migration des entits de scurit et des chemins UNC en slectionnant Effectuant une copie identique partir de la source ou Utilisant cette table de migration pour le mappage dans lobjet de stratgie de groupe cible, puis slectionnez une table de migration. 8. Cliquez sur Suivant. 9. Dans la page Fin de lAssistant Importation des paramtres, cliquez sur Terminer. 10. Une fois lopration dimportation termine, cliquez sur OK.

5.4. Vrification et rsolution des problmes lis la stratgie de groupe


5.4.1. Problmes courants lis limplmentation de la stratgie de groupe
La premire tape de la rsolution des problmes lis la stratgie de groupe consiste identifier les symptmes et les causes possibles. Dans la plupart des cas, un paramtre de stratgie de groupe nest pas appliqu comme prvu parce quun autre objet Stratgie de groupe contient une valeur conflictuelle pour le mme paramtre. Lobjet Stratgie de groupe est prioritaire en raison du filtrage, Blocage de lhritage, Appliqu ou de lordre dapplication. Utilisez lAssistant Modlisation de stratgie de groupe ou lAssistant Rsultats de stratgie de groupe pour dterminer lobjet Stratgie de groupe utilis pour le paramtre. Le tableau suivant rpertorie certains des symptmes courants, ainsi que les mthodes de rsolution possibles.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 53 - 87

Service d'annuiare Active Directory

5.4.2. Comment vrifier les paramtres de stratgie de groupe laide de lAssistant Modlisation de stratgie de groupe
Vous avez la possibilit de simuler un dploiement de stratgie pour les utilisateurs et les ordinateurs avant de rellement appliquer les stratgies. Cette fonctionnalit de la console Gestion de stratgie de groupe est appele Jeu de stratgies rsultant (RSoP, Resultant Set of Policies) . Mode de planification. Elle requiert un contrleur de domaine excutant Windows Server 2003 dans la fort. Pour vrifier les paramtres de stratgie de groupe laide de lAssistant Modlisation de stratgie de groupe, vous devez dabord crer une requte de modlisation de stratgie de groupe et afficher cette requte. Pour crer une nouvelle requte de modlisation de stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe, naviguez jusqu la fort dans laquelle vous souhaitez crer une requte de modlisation de stratgie de groupe, cliquez avec le bouton droit de la souris sur Modlisation de stratgie de groupe, puis sur Assistant Modlisation de stratgie de groupe. 2. Sur la page Assistant Modlisation de stratgie de groupe, cliquez sur Suivant, entrez les informations requises dans les pages de lAssistant, puis cliquez sur Terminer. Pour afficher la requte de modlisation de stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe. 2. Naviguez jusqu la fort contenant la requte de modlisation de stratgie de groupe afficher, dveloppez Modlisation de stratgie de groupe, cliquez avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 54 - 87

Service d'annuiare Active Directory

5.4.3. Comment vrifier les paramtres de stratgie de groupe laide des Rsultats de stratgie de groupe
Utilisez les Rsultats de stratgie de groupe pour dterminer les paramtres de stratgie qui sont appliqus un ordinateur, ainsi que lutilisateur qui a ouvert une session sur cet ordinateur. Bien que ces donnes soient similaires celles de la modlisation de stratgie de groupe, elles sont obtenues partir de lordinateur client au lieu dtre simules sur le contrleur de domaine. Pour obtenir des donnes laide des Rsultats de stratgie de groupe, lordinateur client doit excuter Windows XP ou Windows Server 2003. Pour crer une requte Rsultats de stratgie de groupe, procdez comme suit : 1. Dans la console Gestion de stratgie de groupe, accdez Rsultats de stratgie de groupe, cliquez avec le bouton droit sur Rsultats de stratgie de groupe, puis cliquez sur Assistant Rsultats de stratgie de groupe. 2. Dans la page Assistant Rsultats de stratgie de groupe, cliquez sur Suivant. 3. Dans la page Slection des ordinateurs, slectionnez lordinateur actuel ou cliquez sur Parcourir pour slectionner un autre ordinateur, puis cliquez sur Suivant. 4. Dans la page Slection de lutilisateur, slectionnez lutilisateur actuel ou spcifiez un utilisateur, puis cliquez sur Suivant. 5. Dans la page Aperu des slections, vrifiez les slections effectues, puis cliquez sur Suivant. 6. Dans la page Fin de lAssistant Rsultats de stratgie de groupe, cliquez sur Terminer. Pour afficher la requte des Rsultats de stratgie de groupe, procdez comme suit : 1. Ouvrez la console Gestion de stratgie de groupe. 2. Naviguez jusqu la fort contenant la requte de modlisation de stratgie de groupe afficher, dveloppez Rsultats de stratgie de groupe, cliquez avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.

5.5. Dlgation du contrle administratif de la stratgie de groupe


5.5.1. Dlgation des objets Stratgie de groupe
Vous pouvez dlguer la capacit de crer des objets Stratgie de groupe dans un domaine et daffecter des autorisations sur un objet Stratgie de groupe individuel laide de la console Gestion de stratgie de groupe. Par dfaut, la capacit de crer des objets Stratgie de groupe est attribue au groupe Propritaires crateurs de la stratgie de groupe. Vous pouvez cependant dlguer ce pouvoir tout groupe ou utilisateur de deux faons diffrentes : Ajouter le groupe ou lutilisateur au groupe Propritaires crateurs de la stratgie de groupe. Il sagit de la premire mthode, disponible avant la console Gestion de stratgie de groupe. Attribuer explicitement au groupe ou lutilisateur lautorisation de crer des objets Stratgie de groupe. Cette mthode est disponible uniquement via la console Gestion de stratgie de groupe.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 55 - 87

Service d'annuiare Active Directory Dans le cas dutilisateurs et de groupes du domaine, utilisez le groupe Propritaires crateurs de la stratgie de groupe pour affecter des autorisations de cration dun objet Stratgie de groupe. Ce groupe tant un groupe global du domaine, il ne peut pas contenir de membres extrieurs au domaine. Si des utilisateurs externes au domaine ont besoin de pouvoir crer des objets Stratgie de groupe, procdez comme suit : 1. Crez un nouveau groupe local du domaine dans le domaine. 2. Affectez ce groupe lautorisation de crer des objets Stratgie de groupe dans le domaine. 3. Ajoutez ce groupe des utilisateurs de domaine externes. Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe Propritaires crateurs de la stratgie de groupe ou que vous affectiez les autorisations utilisateur pour la cration dobjets Stratgie de groupe directement laide de la console Gestion de stratgie de groupe. Les utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et disposer dun contrle total sur ces objets, mais ils nont pas dautorisation sur les objets Stratgie de groupe crs par dautres utilisateurs. Accorder un utilisateur la possibilit de crer des objets Stratgie de groupe dans le domaine ne signifie pas quil peut lier ces objets un site, un domaine ou une unit dorganisation. Vous pouvez galement grer les autorisations sur lobjet Stratgie de groupe au niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser sur un objet Stratgie de groupe. Lecture Modifier les paramtres Modifier les paramtres, supprimer, modifier la scurit Lire ( partir du filtrage de scurit) Paramtres personnaliss

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 56 - 87

Service d'annuiare Active Directory

5.5.2. Dlgation de la stratgie de groupe pour un site, un domaine ou une unit dorganisation

La dlgation de la stratgie de groupe pour un site, un domaine ou une unit dorganisation inclut la dlgation de la capacit lier des objets Stratgie de groupe et la dlgation des autorisations pour la Modlisation de stratgie de groupe et les Rsultats de stratgie de groupe. La console Gestion de stratgie de groupe utilise une autorisation unique, appele Lier les objets GPO, pour grer les attributs gPLink et gPOptions. Vous appliquez les paramtres dun objet Stratgie de groupe des utilisateurs et des ordinateurs en liant lobjet Stratgie de groupe (quil sagisse dun enfant direct ou indirectement par hritage) un site, un domaine ou une unit dorganisation qui contient les objets utilisateur ou ordinateur. Lautorisation Lier les objets GPO est spcifique ce site, ce domaine ou une unit dorganisation. Lautorisation quivaut des autorisations Lire et crire sur les attributs gPLink et gPOptions du site, du domaine ou de lunit dorganisation. Vous pouvez utiliser la Modlisation de stratgie de groupe pour simuler un ensemble de stratgies pour des objets dun domaine ou dune unit dorganisation, ou bien vous pouvez la dlguer dautres utilisateurs ou groupes. Cette dlgation affecte lutilisateur ou au groupe lautorisation Gnrer Jeu de stratgie rsultant (Planification), laquelle est disponible dans toute fort dote du schma Windows Server 2003. La console Gestion de stratgie de groupe simplifie la gestion de cette autorisation en la faisant figurer sous longlet Dlgation de tout domaine ou unit dorganisation. Ladministrateur peut slectionner Lancer des analyses de modlisation de stratgie de groupe, puis slectionner les proprits Nom, Sapplique , Paramtre et Hrit pour les dlgations. Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 57 - 87

Service d'annuiare Active Directory Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes denregistrement RSoP pour des objets du domaine ou de lunit dorganisation. Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer cette autorisation dautres utilisateurs ou groupes. Les autorisations sont dlgues sur un domaine ou une unit dorganisation. Les utilisateurs disposant de cette autorisation peuvent lire les donnes des Rsultats de stratgie de groupe pour tout objet de ce conteneur. Cette dlgation affecte galement lutilisateur ou au groupe lautorisation Gnrer Jeu de stratgie rsultant (Enregistrement), laquelle est disponible dans toute fort dote du schma Windows Server 2003. La console Gestion de stratgie de groupe simplifie la gestion de cette autorisation en la faisant figurer sous longlet Dlgation du domaine ou de lunit dorganisation. Ladministrateur peut slectionner Lire les donnes du rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels accorder cette autorisation.

5.6. Planification dune stratgie de groupe pour lentreprise


5.6.1. Instructions de planification des objets Stratgie de groupe
Crez des objets Stratgie de groupe de faon offrir une simplicit dutilisation et de gestion optimale, notamment via lutilisation de lhritage et des liaisons multiples. Appliquez les instructions suivantes pour planifier les objets Stratgie de groupe : Appliquez les paramtres de stratgie de groupe au plus haut niveau. De cette faon, vous bnficiez de lhritage de stratgie de groupe. Dterminez les paramtres communs des objets Stratgie de groupe pour le plus grand conteneur, en commenant par le domaine, puis en liant lobjet Stratgie de groupe de ce conteneur. Diminuez le nombre des objets Stratgie de groupe. Rduisez ce nombre en utilisant plusieurs liaisons au lieu de crer plusieurs objets Stratgie de groupe identiques. Essayez de lier un objet Stratgie de groupe au plus grand conteneur possible, afin dviter de crer plusieurs liaisons du mme objet un niveau plus bas. Crez des objets Stratgie de groupe spcialiss. Utilisez ces objets Stratgie de groupe pour appliquer des paramtres uniques si ncessaire. Les objets Stratgie de groupe un niveau suprieur nappliqueront pas les paramtres de ces objets Stratgie de groupe spcialiss. Dsactivez les paramtres de configuration de lordinateur ou de lutilisateur. Lorsque vous crez un objet Stratgie de groupe destin contenir les paramtres de lun de ces deux niveaux (utilisateur ou ordinateur), dsactivez lautre zone. Cela permet damliorer les performances dapplication des objets Stratgie de groupe lors de la connexion de lutilisateur et empche lapplication accidentelle des paramtres lautre zone.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 58 - 87

Service d'annuiare Active Directory

5.6.2. Instructions pour dterminer lhritage des objets Stratgie de groupe


Lhritage des objets Stratgie de groupe tient une place importante dans limplmentation de la stratgie de groupe dune entreprise. Cest pourquoi vous devez dcider lavance dappliquer la stratgie de groupe tout ou partie des utilisateurs et ordinateurs. Appliquez les instructions suivantes pour dterminer lhritage des objets Stratgie de groupe. Utilisez loption Appliqu (Ne pas passer outre) uniquement lorsquelle est requise. Utilisez cette option uniquement pour les objets Stratgie de groupe que vous voulez absolument appliquer, par exemple les paramtres de scurit exigs par lentreprise. Assurez-vous que ces objets Stratgie de groupe contiendront uniquement ces paramtres importants. Utilisez loption Blocage de lhritage avec modration. Ce paramtre complique la rsolution des problmes et ladministration des objets Stratgie de groupe. Utilisez le filtrage de scurit en cas de besoin uniquement. Utilisez le filtrage de scurit lorsque des paramtres sappliquent uniquement un groupe de scurit particulier dans un conteneur. Limitez le nombre de filtres de scurit en crant et en liant des objets Stratgie de groupe au niveau appropri.

5.6.3. Instructions pour dterminer une stratgie de groupe pour les sites
Vous pouvez lier des objets Stratgie de groupe un site, de faon appliquer des paramtres lensemble des ordinateurs et utilisateurs se trouvant physiquement sur ce site. Lorsque la stratgie de groupe est dfinie au niveau du site, elle naffecte pas les utilisateurs itinrants sur ce site sils ont accs au rseau partir dun autre site. Appliquez les instructions suivantes pour dterminer une stratgie de groupe pour des sites : Appliquez un objet Stratgie de groupe un site uniquement si les paramtres sont spcifiques au site et non au domaine. La rsolution des problmes de paramtres de stratgie de groupe lis au site peut savrer complique. Crez des objets Stratgie de groupe dans le domaine qui comporte le plus grand nombre de contrleurs de domaine sur ce site. Un contrleur de domaine du domaine contenant lobjet Stratgie de groupe li au site est contact avant lapplication de lobjet, quel que soit le domaine auquel appartient lutilisateur ou lordinateur.

5.6.4. Instructions de planification de ladministration des objets Stratgie de groupe


Appliquez les instructions suivantes pour planifier ladministration des objets Stratgie de groupe : Identifiez votre stratgie dadministration pour la gestion des objetsStratgie de groupe. Dterminez quelles personnes vont crer et lier

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 59 - 87

Service d'annuiare Active Directory des objets Stratgie de groupe dans votre organisation, et quelles personnes vont mais ne pourront pas les crer. Dterminez galement la personne qui va grer les objets Stratgie de groupe. Organisez les objets Stratgie de groupe en fonction de la maintenance administrative. De cette faon, vous pourrez dlguer le contrle des objetsStratgie de groupe au groupe appropri et rduire le risque potentiel quun administrateur remplace les modifications apportes par un autre administrateur un objet Stratgie de groupe donn. Vous pouvez, par exemple, organiser la stratgie de groupe en fonction des catgories dadministration suivantes : Gestion de la configuration des utilisateurs Gestion des donnes Distribution des logiciels Planifiez laudit des objets Stratgie de groupe. Votre organisation peut vous demander denregistrer les modifications apportes aux objets Stratgie de groupe ainsi que leur utilisation, afin que vous puissiez vrifier que Active Directory applique correctement les paramtres.

5.6.5. Instructions de dploiement des objets Stratgie de groupe


Lorsque vous planifiez limplmentation de la stratgie de groupe, veillez tester et documenter votre stratgie de groupe. Appliquez les instructions suivantes pour dployer des objets Stratgie de groupe : Testez les paramtres de stratgie de groupe. Testez les rsultats des objets Stratgie de groupe dans diffrentes situations. Bon nombre des organisations de moyenne et grande taille crent une version miniature de leur environnement de production pour lutiliser comme banc dessai . Dans les petites entreprises, qui ne disposent pas des mmes ressources, implmentez la stratgie de groupe dans lenvironnement de production en dehors des heures de pointe, et mettez en place une stratgie de rgression afin de corriger tout problme qui surviendrait. Les stratgies de test incluent : Louverture de session en tant quutilisateur reprsentatif sur des stations de travail reprsentatives, afin de vrifier que les paramtres de stratgie de groupe prvus ont bien t appliqus et quaucun conflit dhritage ne se produit. Vous pouvez utiliser lAssistant Modlisation de stratgie de groupe et lAssistant Rsultats de stratgie de groupe pour dterminer quels paramtres de stratgie de groupe ont t appliqus et partir de quels objets Stratgie de groupe. Louverture de session dans toutes les conditions envisageables, afin de vous assurer que les paramtres de stratgie de groupe sont appliqus de faon homogne. Le test des ordinateurs portables en les connectant au rseau depuis les diffrents sites sur lesquels les utilisateurs sont susceptibles douvrir une session. Documentez le plan de stratgie de groupe. Conservez toujours la liste dtaille de tous les objets Stratgie de groupe, afin de facilement rsoudre les problmes et grer la stratgie de groupe. Pensez inclure les informations suivantes dans votre liste : Le nom et la fonction de chaque objet Stratgie de groupe. Les paramtres de stratgie de groupe de chaque objet Stratgie de groupe. Les liaisons dobjets Stratgie de groupe un site, un domaine ou une unit

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 60 - 87

Service d'annuiare Active Directory dorganisation. Tout paramtre spcial appliqu lobjet Stratgie de groupe (Appliqu, dsactivation partielle ou totale, par exemple).

6.Dploiement et gestion des logiciels laide dune stratgie de groupe


6.1. Dploiement de logiciels
Le dploiement de logiciels garantit que les applications requises sont disponibles partir de chaque ordinateur auquel lutilisateur se connecte. Du point de vue de lutilisateur, les logiciels sont toujours disponibles et fonctionnels. Les administrateurs peuvent installer lavance les logiciels pour les utilisateurs ou permettre ceux-ci dinstaller au coup par coup les logiciels dont ils ont besoin.

Lors du dploiement de logiciels, vous spcifiez comment les applications sont installes et gres dans votre organisation. Excutez les tches suivantes pour utiliser la stratgie de groupe pour le dploiement de nouveaux logiciels : 1. Crez un point de distribution de logiciels. Ce dossier partag sur votre serveur contient les fichiers de package et de logiciels permettant le dploiement de logiciels. Lorsque des logiciels sont installs sur un ordinateur local, Windows Installer copie des fichiers partir de ce point de distribution. Le fait de rassembler les fichiers en un mme endroit pour chaque application simplifie ladministration. 2. Utilisez un objet Stratgie de groupe pour le dploiement des logiciels. Vous devez crer ou modifier en consquence un objet Stratgie de groupe pour le

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 61 - 87

Service d'annuiare Active Directory conteneur dans lequel vous souhaitez dployer lapplication. Vous pouvez configurer lobjet Stratgie de groupe pour le dploiement de logiciels pour un compte dutilisateur ou dordinateur. Cette tche inclut la slection du type de dploiement dont vous avez besoin. 3. Modifiez les proprits de dploiement des logiciels. En fonction de vos besoins, vous pouvez modifier les proprits qui avaient t dfinies durant le dploiement initial des logiciels.

6.1.1.

Affectation de logiciels et publication de logiciels

Laffectation de logiciels et la publication de logiciels constituent les deux types de dploiement. Laffectation des logiciels vous permet de vous assurer que lutilisateur peut en disposer en permanence. Des raccourcis dans le menu Dmarrer et des icnes sur le Bureau correspondant aux logiciels apparaissant lorsque lutilisateur ouvre une session. Par exemple, si lutilisateur ouvre un fichier qui utilise Microsoft Excel sur un ordinateur qui ne comporte pas Excel, mais que ce logiciel a t affect lutilisateur, Windows Installer installe Excel sur cet ordinateur lorsque lutilisateur ouvre le fichier concern. En outre, laffectation de logiciels fait que ceux-ci sont tolrants aux pannes. Si, pour une raison quelconque, lutilisateur supprime un logiciel, Windows Installer le rinstalle lorsque lutilisateur se reconnecte et dmarre lapplication. La publication des logiciels vous permet de vous assurer quils sont disponibles aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows Installer najoute pas de raccourcis sur le Bureau de lutilisateur ou dans le menu Dmarrer, et aucune entre nest enregistre dans le registre local. Comme les utilisateurs doivent installer des logiciels publis, vous ne pouvez publier des logiciels quauprs dutilisateurs, pas auprs dordinateurs.

6.1.2.

Cration dun point de distribution de logiciels

Pour dployer des logiciels pour des utilisateurs ou en assurer la disponibilit pour que ceux-ci les installent quand ils en ont besoin, crez un ou plusieurs points de distribution de logiciels dans lesquels vous copierez les logiciels concerns. Pour crer un point de distribution de logiciels, procdez comme suit : 1. Crez un dossier partag. 2. Crez les dossiers dapplications appropris dans le dossier partag. 3. Dfinissez lautorisation approprie pour le dossier partag. Affectez aux utilisateurs lautorisation en lecture (Read) sur le systme de fichier NTFS afin quils puissent accder aux fichiers dinstallation logicielle requis dans le point de distribution de logiciels. 4. Copiez dans les dossiers appropris les packages Windows Installer ainsi que les fichiers connexes.

6.1.3. Utilisation dun objet Stratgie de groupe pour le dploiement de logiciels


Aprs avoir cr un point de distribution de logiciels, crez un objet Stratgie de groupe qui dploie ces applications, puis reliez lobjet Stratgie de groupe au conteneur qui contient les utilisateurs ou les ordinateurs auprs desquels vous souhaitez dployer des logiciels.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 62 - 87

Service d'annuiare Active Directory Pour utiliser un objet Stratgie de groupe pour le dploiement de logiciels, procdez comme suit : 1. Crez ou ditez un objet Stratgie de groupe. 2. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le publiez auprs dutilisateurs), dveloppez Paramtres du logiciel, cliquez avec le bouton droit sur Installation logicielle, pointez sur Nouveau, puis cliquez sur Package. 3. Dans la bote de dialogue Ouvrir un fichier, naviguez jusquau point de distribution de logiciels laide du nom UNC (Universal Naming Convention) . par exemple, \\Nom_Serveur\Nom_Partage .slectionnez le fichier de package, puis cliquez sur Ouvrir. 4. Dans la bote de dialogue Dploiement du logiciel, slectionnez une mthode de dploiement, puis cliquez sur OK.

6.1.4.

Options par dfaut pour installation logicielle

Vous pouvez configurer les options par dfaut dinstallation logicielle pour lobjet Stratgie de groupe courant lorsque vous souhaitez ajouter simultanment plusieurs applications un objet Stratgie de groupe ou utiliser les mmes options pour elles par dfaut.

6.2.

Configuration du dploiement des logiciels

Installation de logiciel dans la stratgie de groupe inclut des options de configuration de logiciels dploys. Vous pouvez dployer plusieurs configurations diffrentes dune application et contrler comment cette application est affecte ou publie chaque fois que les fonctions dun utilisateur changent. Vous pouvez galement simplifier la tche de dploiement de logiciels en catgorisant les programmes rpertoris dans Ajouter ou supprimer des programmes, en associant des extensions de noms de fichiers avec des applications, et en ajoutant des modifications aux logiciels dploys.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 63 - 87

Service d'annuiare Active Directory

6.2.1.

Dfinition des catgories de logiciels

Vous utilisez des catgories de logiciels pour organiser des logiciels affects et publis en groupes logiques, afin que les utilisateurs puissent trouver aisment les applications dans Ajouter ou supprimer des programmes du Panneau de configuration. Windows Server 2003 est fourni sans catgories de logiciels prdfinies. Vous pouvez crer des catgories de logiciels pour regrouper diffrentes applications sous un en-tte spcifique. Au lieu de vous en remettre une liste alphabtique des applications disponibles par dfaut, vous pouvez organiser les logiciels en catgories, telles que Graphiques, Microsoft Office et Comptabilit. Les utilisateurs peuvent alors choisir dans les catgories quelles applications installer dans Ajouter ou supprimer des programmes. Les catgories de logiciels recouvrent plusieurs domaines. Vous les dfinissez une seule fois pour toute une fort. Vous pouvez utiliser la mme liste de catgories de logiciels dans toutes les stratgies dans la fort. La catgorisation des applications exige tout dabord la cration dune catgorie, puis laffectation des applications la catgorie. Vous pouvez rpertorier des packages sous plusieurs catgories.

6.2.2.

Cration de catgories de logiciels

La catgorisation des logiciels exige tout dabord la cration dune catgorie de logiciels, puis laffectation de logiciels la catgorie. Pour crer une catgorie, procdez comme suit :

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 64 - 87

Service d'annuiare Active Directory 1. Crez ou ditez un objet Stratgie de groupe. 2. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel des utilisateurs ou des ordinateurs, ou que vous le publiez auprs dutilisateurs), dveloppez Paramtres du logiciel, cliquez avec le bouton droit sur Installation logicielle, puis cliquez sur Package. 3. Dans longlet Catgories, cliquez sur Ajouter pour entrer une nouvelle catgorie. 4. Dans la zone Catgorie, tapez le nom de la catgorie puis cliquez deux fois sur OK. Pour affecter un package de logiciels une catgorie, procdez comme suit : 1. Crez ou ditez un objet Stratgie de groupe contenant le package de logiciels catgoriser. 2. Dans larborescence de la console, dveloppez Paramtres du logiciel, puis cliquez sur Installation logicielle. 3. Dans le volet de dtails, cliquez avec le bouton droit sur le package de logiciels, puis cliquez sur Proprits. 4. Dans longlet Catgories, affectez une ou plusieurs catgories au package de logiciels en cliquant sur la catgorie dans la liste Catgories disponibles, cliquez ensuite sur Slectionner, puis sur OK.

7.Implmentation de sites pour grer la rplication Active Directory


Lexcution dune rplication dans le service dannuaire Microsoft Windows Server. 2003 Active Directory implique le transfert et la maintenance des donnes Active Directory entre les contrleurs de domaine du rseau. Active Directory utilise un modle de rplication multimatre. Multimatre signifie quil y a plusieurs contrleurs de domaine, galement appels principaux, qui ont lautorisation de modifier ou de contrler les mmes donnes. Dans ce modle de rplication, toute modification des donnes dun contrleur de domaine doit tre rplique sur tous les autres. En comprenant le fonctionnement du modle de rplication Active Directory, vous pouvez grer le trafic rseau de la rplication et assurer la cohrence des donnes Active Directory travers votre rseau.

7.1.

Prsentation de la rplication Active Directory

Lorsquun utilisateur ou un administrateur excute une action qui entrane une mise jour dActive Directory, un contrleur de domaine appropri est automatiquement dsign pour excuter la mise jour. Cette modification est effectue de manire transparente sur lun des contrleurs de domaine. Active Directory utilise la rplication multimatre avec cohrence relche pour sassurer que tous les contrleurs de domaine sont bien mis jour. En connaissant le processus et la topologie de rplication, vous serez mme de grer efficacement la rplication dans Active Directory. La Rplication est le processus de mise jour des donnes contenues dans Active Directory dun contrleur de domaine vers les autres contrleurs de

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 65 - 87

Service d'annuiare Active Directory domaine du rseau. Ce processus synchronise le dplacement des donnes mises jour entre les contrleurs de domaine. La synchronisation garantit que toutes les donnes contenues dans Active Directory sont accessibles par tous les contrleurs de domaine et les ordinateurs clients dun rseau.

7.1.1.

Rplication dattributs valeurs multiples lis

Le processus de rplication dattributs valeurs multiples lis est diffrent de celui de la rplication normale dans Active Directory. Le processus qui rplique les attributs valeurs multiples lis varie en fonction du niveau fonctionnel de la fort : Lorsque le niveau fonctionnel de la fort est antrieur Windows Server 2003, toute modification apporte lappartenance de groupe dclenche la rplication de toute la liste des membres. Dans ce cas, lattribut member valeurs multiples est considr comme un seul attribut dans le cadre de la rplication. Cette rplication augmente les risques dcrasement dune modification dappartenance excute par un autre administrateur ou un autre contrleur de domaine avant la rplication de la premire modification. Lorsque le niveau fonctionnel de la fort est dfini sur Windows Server 2003, une valeur individuelle rplique les modifications aux attributs valeurs multiples lis. Cette amlioration rplique les modifications uniquement aux informations dappartenance et non toute la liste des membres.

7.1.2.

Dfinition des partitions dannuaire

La base de donnes Active Directory est divise de manire logique en plusieurs partitions : dannuaire, du schma, de la configuration, du domaine et

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 66 - 87

Service d'annuiare Active Directory dapplication. Chaque partition est une unit de rplication et possde sa propre topologie de rplication. La rplication est excute entre les rplicas des partitions dannuaire. Tous les contrleurs de domaine de la mme fort ont au moins deux partitions dannuaire en commun : celles du schma et de la configuration. De plus, tous les contrleurs de domaine partagent une partition de domaine commune. Partition de schma Chaque fort possde une seule partition de schma. Cette partition de schma est stocke dans tous les contrleurs de domaine de la mme fort. Elle contient les dfinitions de tous les objets et attributs crs dans lannuaire, ainsi que les rgles qui permettent de les crer et de les manipuler. Les donnes du schma sont rpliques dans tous les contrleurs de domaine de la fort. Cest pourquoi les objets doivent tre conformes aux dfinitions dobjet et dattribut du schma. Partition de configuration Chaque fort possde une seule partition de configuration. Stocke dans tous les contrleurs de domaine de la mme fort, la partition de configuration contient les donnes sur la structure Active Directory de lensemble de la fort, dont les domaines et les sites existants, les contrleurs de domaine existants dans chaque fort et les services disponibles. Les donnes de la configuration sont rpliques dans tous les contrleurs de domaine de la fort. Partition de domaine Chaque fort peut comporter plusieurs partitions de domaine. Les partitions de domaine sont stockes dans chaque contrleur de domaine dun domaine donn. Une partition de domaine contient les donnes sur tous les objets propres au domaine et crs dans ce domaine, dont les utilisateurs, les groupes, les ordinateurs et les units dorganisation. La partition de domaine est rplique dans tous les contrleurs de domaine de ce domaine. Tous les objets de chaque partition de domaine dune fort sont stocks dans le catalogue global avec un seul sous-ensemble de leurs valeurs dattribut. Partition dapplications Les partitions dapplications stockent les donnes sur les applications dans Active Directory. Chaque application dtermine comment elle stocke, classe et utilise ses propres donnes. Pour viter toute rplication inutile des partitions dapplications, vous pouvez dsigner les contrleurs de domaine qui en hbergent dans une fort. la diffrence dune partition de domaine, une partition dapplications ne peut pas stocker les principaux objets de scurit, tels que les comptes dutilisateurs. De plus, les donnes contenues dans une partition dapplications ne sont pas stockes dans le catalogue global. Comme exemple de partition dapplications, si vous utilisez un systme DNS qui est intgr Active Directory, vous avez deux partitions dapplications pour les zones DNS : ForestDNSZones et DomainDNSZones. ForestDNSZones fait partie dune fort. Tous les contrleurs de domaine et les serveurs DNS dune fort reoivent un rplica de cette partition. Une partition dapplications dune fort entire stocke les donnes de la zone de la fort. DomainDNSZones est unique pour chaque domaine. Tous les contrleurs de domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de cette partition. Les partitions dapplications stocke la zone DNS

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 67 - 87

Service d'annuiare Active Directory du domaine dans la DomainDNSZones <nom_domaine>.

7.1.3.

Dfinition de la topologie de rplication

La topologie de rplication est litinraire suivi par les donnes de la rplication travers un rseau. La rplication se produit entre deux contrleurs de domaine la fois. Avec le temps, la rplication synchronise les donnes dans Active Directory pour toute une fort de contrleurs de domaine. Pour crer une topologie de rplication, Active Directory doit dterminer quels contrleurs de domaine rpliquent les donnes avec les autres contrleurs de domaine.

Rplication de partitions Active Directory cre une topologie de rplication base sur les donnes stockes dans Active Directory. La topologie de rplication peut diffrer pour les partitions de schma, de configuration, de domaines et dapplications. Tous les contrleurs de domaine dune mme fort partageant les partitions de schma et de configuration, Active Directory rplique ces partitions de schma et de configuration sur tous les contrleurs de domaine. Les contrleurs de domaine du mme domaine rpliquent galement la partition du domaine. De plus, les contrleurs de domaine qui hbergent une partition dapplications rpliquent la partition dapplications. Pour optimiser le trafic de la rplication, un contrleur de domaine peut avoir plusieurs partenaires de rplication pour diffrentes partitions. Active Directory rplique les mises jour dannuaire dans tous les contrleurs de domaine qui contiennent la partition mise jour dans la fort. Objets de connexion Les contrleurs de domaine qui sont lis par des objets de connexion sont

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 68 - 87

Service d'annuiare Active Directory appels partenaires de rplication. Les liens qui relient les partenaires de rplication sont appels objets de connexion. Les objets de connexion sont crs dans chaque contrleur de domaine et pointent vers un autre contrleur de domaine pour une source de donnes de rplication. Les objets de connexion reprsentent un chemin de rplication sens unique entre deux objets serveur. La topologie de rplication par dfaut dun site est un anneau bidirectionnel, compos de deux objets de connexion unidirectionnels complmentaires entre deux contrleurs de domaine adjacents. Cette topologie amliore la tolrance de pannes lorsque lun des contrleurs de domaine est dconnect. Si ncessaire, Active Directory cre des objets de connexion supplmentaires pour limiter statistiquement un maximum de trois le nombre de tronons emprunts pour rpliquer une mise jour provenant de tous les rplicas dune partition donne dans un anneau.

7.1.4. Gnration rplication

automatique

de

la

topologie

de

Lorsque vous ajoutez des contrleurs de domaine un site, Active Directory utilise le Vrificateur de cohrence de connaissances (KCC, Knowledge Consistency Checker) pour tablir un chemin de rplication entre les contrleurs de domaine. Dfinition du KCC KCC est un processus intgr qui sexcute sur chaque contrleur de domaine et gnre la topologie de rplication pour toutes les partitions dannuaire contenues dans ce contrleur de domaine. Le vrificateur KCC sexcute intervalles dfinis .par dfaut toutes les 15 minutes . et dsigne les itinraires de rplication entre contrleurs de domaine les plus judicieux disponibles ce moment-l. Pour gnrer automatiquement une topologie de rplication, le KCC value les donnes de la partition de configuration des sites, le cot de lenvoi des donnes entre ces sites (en fonction de la valeur relative des chemins de rplication), tout objet de connexion existant et les protocoles de rplication quil peut utiliser entre les sites. Ensuite, le KCC calcule les meilleures connexions pour envoyer les partitions dannuaire dun contrleur de domaine vers les autres contrleurs. Si la rplication devient impossible dans un site ou un point de dfaillance unique, le KCC tablit automatiquement de nouveaux objets de connexion entre les contrleurs de domaine pour maintenir la rplication Active Directory.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 69 - 87

Service d'annuiare Active Directory

7.1.5.

Catalogue global et rplication de partitions

Un serveur de catalogue global est un contrleur de domaine qui stocke deux partitions pour toute la fort . les partitions de schma et de configuration . plus une copie en lecture/criture de la partition de son propre domaine et un rplica partiel de toutes les autres partitions de domaine dans la fort. Ces rplicas partiels contiennent un sous-ensemble en lecture seule des donnes de chaque partition de domaine. Lorsque vous ajoutez un nouveau domaine une fort, la partition de configuration stocke les donnes sur ce nouveau domaine. Active Directory rplique la partition de configuration sur tous les contrleurs de domaine, y compris les serveurs de catalogue global, lors dune rplication normale dans toute la fort. Chaque serveur de catalogue global devient un rplica partiel du nouveau domaine en contactant un contrleur de domaine pour ce domaine et en obtenant les donnes du rplica partiel. La partition de configuration fournit galement aux contrleurs de domaine la liste de tous les serveurs de catalogue global de la fort. Les serveurs de catalogue global enregistrent les enregistrements DNS spciaux dans la zone DNS qui correspond au domaine racine de fort. Ces enregistrements, crits uniquement dans la zone DNS racine de la fort, aident les clients et les serveurs localiser les serveurs de catalogue global travers la fort.

7.2.

Cration et configuration de sites

La rplication garantit que toutes les donnes contenues dans Active Directory sont jour dans tous les contrleurs de domaine et stations de travail dun rseau. De nombreux rseaux sont composs de plusieurs rseaux plus petits, et les liens qui les connectent peuvent avoir des dbits varis.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 70 - 87

Service d'annuiare Active Directory Vous utilisez des sites dans Active Directory pour contrler la rplication et dautres types de trafic Active Directory travers les diffrentes liaisons du rseau. Lorsque vous configurez la rplication entre les sites, vous pouvez utiliser des objets sous-rseau, des liens de sites et des ponts entre les liens pour faciliter le contrle de la topologie de rplication. La fiabilit et lefficacit dune topologie de rplication dpendent de la configuration des liens et des ponts entre les sites.

7.2.1.

Dfinition des sites et des objets sous-rseau

Dans Active Directory, les sites facilitent la dfinition de la structure physique dun rseau. Un ensemble de plages dadresses de sous-rseaux TCP/IP dfinissent un site, qui son tour dfinit un groupe de contrleurs de domaine partageant les mmes dbits et cots. Les sites sont composs dobjets serveurs, qui contiennent eux-mmes les objets de connexion autorisant la rplication. Les objets sous-rseau identifient les adresses rseau utilises par mapper les ordinateurs avec les sites. Un sous-rseau est un segment dun rseau TCP/IP auquel un ensemble dadresses IP logiques est attribu. Les objets sous-rseau se mappant au rseau physique, les sites font de mme. Par exemple, si trois sous-rseaux sont situs dans trois campus universitaires de la mme ville et que ces campus sont relis par des connexions haut dbit et disponibilit leve, vous pouvez associer chacun de ces sous-rseaux un site. Un site peut comporter un ou plusieurs sous-rseaux. Par exemple, pour un rseau compos de trois sous-rseaux Redmond et deux Paris, vous pouvez crer un site Redmond, un Paris et ajouter les sous-rseaux aux sites respectifs.

7.2.2. OFPPT @

Liens de sites
Document
96253431.doc

Pour que deux sites changent des donnes de rplication, ils doivent tre Millsime
novembre 08

Page 71 - 87

Service d'annuiare Active Directory connects par un lien de sites, avec un chemin logique que le vrificateur KCC utilise pour tablir la rplication entre les sites. Lorsque vous crez des sites supplmentaires, vous devez slectionner au moins un lien de sites pour chaque site. Sans au moins un lien de sites, les connexions ne peuvent tre tablies entre les ordinateurs des diffrents sites, et la rplication entre sites ne peut donc pas avoir lieu. Les liens de sites supplmentaires ne se crent pas automatiquement. Pour ce faire, vous devez utiliser Sites et services Active Directory. Lorsque vous crez le premier domaine dune fort, Active Directory cre un lien de sites par dfaut appel DEFAULTIPSITELINK. Il inclut le premier site et est situ dans le conteneur IP dActive Directory. Vous pouvez le renommer. Cot des liens de sites Le cot des liens de sites est un nombre sans unit de mesure qui reprsente le dbit relatif, la fiabilit et la prfrabilit du rseau sous-jacent. Plus le cot dun lien est bas, plus sa priorit est leve, ce qui en fait un chemin privilgi. Par exemple, votre organisation a deux sites relis entre eux, un dans le Casablanca et un Rabat : une connexion haut dbit et une connexion distante de secours. Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion. La connexion haut dbit tant prfrable la connexion distante, configurez-la avec un cot infrieur celui du lien de sites de la connexion distante. Lorsque le lien de sites avec la connexion haut dbit a un cot infrieur, sa priorit est plus leve. Il est donc utilis en priorit ds que possible. En dfinissant le cot du lien de sites, vous pouvez dterminer la priorit relative de chaque lien de sites. La valeur par dfaut du cot est de 100 et peut schelonner de 1 99999. Planification de la rplication des liens de sites La planification des horaires de rplication est un autre attribut des liens de sites que vous pouvez configurez. Lors de cette opration, vous spcifiez les horaires de disponibilit du lien pour la rplication. Souvent, la disponibilit de rplication est configure des heures o le trafic rseau est peu important : par exemple entre 2h00 et 5h00 du matin. Plus le nombre dheures pendant lesquelles un lien est disponible pour la rplication est restreint, plus le dlai de latence entre les sites connects par ce lien est grand. Cest pourquoi il faut trouver lquilibre entre le besoin de rplication dun lien pendant les heures faible charge de travail et le besoin dinformations actualises dans chaque site connect par ce lien. Frquence de rplication des liens de sites Lorsque vous configurez la frquence de rplication, vous spcifiez le nombre de minutes que Active Directory doit attendre avant dutiliser le lien pour vrifier si des mises jour sont disponibles. La valeur par dfaut de la frquence de rplication est de 180 minutes. Vous devez choisir une valeur comprise entre 15 minutes et une semaine. La frquence de rplication ne sapplique quaux heures pendant lesquelles le lien est programm pour tre disponible. Des intervalles plus longs entre les cycles de rplication rduisent le trafic rseau et augmentent le dlai de latence entre les sites. Des intervalles plus courts augmentent le trafic rseau et rduisent le dlai de latence. Cest pourquoi il faut trouver lquilibre entre le besoin de rduire le trafic rseau et le besoin dinformations actualises dans chaque site connect par ce lien.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 72 - 87

Service d'annuiare Active Directory Protocoles de transport des liens de sites Un protocole de transport est un langage commun partag par les ordinateurs pour communiquer entre eux pendant la rplication. Active Directory nutilise quun seul protocole pour la rplication dans un site. Lorsque vous crez un lien de sites, vous devez en choisir un parmi les protocoles suivants : RPC (Remote Procedure Call, Appel de procdure distante) sur IP. RPC est le protocole par dfaut. Protocole standard de lindustrie pour les communications clients/serveur, RPC sur IP fournit une connectivit fiable et haut dbit entre les sites. Entre les sites, RPC sur IP permet une rplication de toutes les partitions Active Directory. RPC sur IP est le meilleur protocole de transport pour la rplication entre sites. SMTP (Simple Mail Transfer Protocol). Le protocole SMTP prend en charge la rplication du schma, de la configuration et du catalogue global entre les sites et entre les domaines. Vous ne pouvez pas lutiliser pour la rplication de la partition de domaine, car certaines oprations de domaine . par exemple, la Stratgie de groupe . requirent la prise en charge du service de rplication de fichiers (FRS, File Replication Service), qui nest pas compatible avec le transport asynchrone de la rplication. Si vous choisissez SMTP, vous devez installer et configurer une autorit de certificat pour signer les messages SMTP et garantir lauthenticit des mises jour de lannuaire. De plus, SMTP ne fournit pas le mme niveau de compression des donnes que RPC sur IP.

7.2.3. Rplication lintrieur des sites et rplication entre les sites


Les principales caractristiques ou hypothses de la rplication lintrieur des sites sont les suivantes : Les connexions rseau dun site sont fiables et ont suffisamment de bande passante disponible. Le trafic de rplications lintrieur dun site nest pas compress car un site suppose la prsence de liaisons rseau rapides et trs fiables. Le fait de ne pas compresser le trafic de rplications rduit la charge de traitement des contrleurs de domaine. Cependant, le trafic non compress peut augmenter la bande passante rseau ncessaire aux messages de rplication. Un processus de notification de modification lance la rplication lintrieur dun site.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 73 - 87

Service d'annuiare Active Directory

Les principales caractristiques ou hypothses de la rplication entre sites sont les suivantes : La bande passante rserve aux liaisons rseau entre les sites est limite et risque de ne pas tre fiable. Le trafic de rplications entre les sites est conu pour optimiser la bande passante en compressant tout le trafic de rplications entre les sites. Avant dtre transmis, ce trafic est compress de 10 15 pour cent par rapport sa taille originale. Bien que la compression optimise la bande passante du rseau, elle entrane une charge de traitement supplmentaire des contrleurs de domaine .lors de la compression et de la dcompression des donnes de la rplication. La rplication entre les sites se produit automatiquement ds que vous avez dfini les valeurs configurables, telles que la planification et lintervalle de rplication. Vous pouvez planifier la rplication aux heures creuses ou conomiques. Par dfaut, les modifications sont rpliques entre les sites selon une planification que vous dfinissez manuellement . et non pas en fonction du moment auquel se produisent les modifications. La planification dtermine le moment de la rplication. Lintervalle spcifie la manire dont les contrleurs de domaine vont vrifier la prsence de modifications pendant la priode de rplication planifie.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 74 - 87

Service d'annuiare Active Directory Procdure de cration dun site Pour crer un site, excutez les oprations suivantes : 1. Ouvrez Sites et services Active Directory dans le menu Outils dadministration. 2. Dans larborescence de la console, cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site. 3. Dans la zone Nom, nommez le nouveau site. 4. Cliquez sur un objet lien de sites, puis cliquez deux fois sur OK. Procdure de cration dun objet sous-rseau Aprs avoir cr des sites, vous crez des sous-rseaux et les associez avec les sites. Pour crer un objet sous-rseau, excutez les oprations suivantes : 1. Dans Sites et Services Active Directory, dans larborescence de la console, double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis cliquez sur Nouveau sous-rseau. 2. Dans la zone Adresse, entrez ladresse IP du sous-rseau. 3. Dans la zone Masque, tapez le masque de sous-rseau qui dcrit la plage dadresses du sous-rseau. 4. Slectionnez le site associer ce sous-rseau, puis cliquez sur OK. Procdure de cration de liens de sites Pour crer un lien de sites, excutez les oprations suivantes : 1. Dans Sites et Services Active Directory, dveloppez Sites, puis Inter-Site Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du protocole quutilisera le lien, puis cliquez sur Lien vers un nouveau site. 2. Dans la zone Nom, nommez le lien. 3. Cliquez sur les sites connecter, cliquez sur Ajouter, puis sur OK.

7.3.

Gestion de la topologie de site

Pour satisfaire les besoins en rplication dune organisation, vous pouvez tre amen excuter manuellement certaines tches de gestion de la topologie de site. Ces tches comprennent lidentification des serveurs de tte de pont privilgis, lactualisation de la topologie de rplication et limposition de la rplication.

7.3.1.

Serveur de tte de pont

Le serveur de tte de pont est un contrleur de domaine que vous dsignez pour envoyer et recevoir les donnes rpliques dans chaque site. Celui du site dorigine collecte toutes les modifications de la rplication et les envoie celui du site destinataire, qui rplique les modifications dans tous les contrleurs de domaine du site. Vous devez dsigner un serveur de tte de pont pour chaque partition du site. Par exemple, un contrleur de domaine peut tre serveur de tte de pont pour les partitions de configuration et de schma de lensemble de la fort, ainsi que pour la partition de domaine du domaine quil reprsente. Si le site contient dautres domaines, vous devez affecter un serveur de tte de pont chacun

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 75 - 87

Service d'annuiare Active Directory deux. Le serveur de tte de pont de chaque site est slectionn automatiquement, ou vous pouvez dsigner une liste de serveurs de tte de pont privilgis. Pour garantir la fiabilit des mises jour de lannuaire, un serveur de tte de pont privilgi doit bnficier dune puissance de traitement et dune largeur de bande suffisantes pour compresser, envoyer, recevoir et dcompresser les donnes de la rplication avec efficacit. Active Directory utilise un seul serveur de tte de pont la fois. Si le premier serveur privilgi devient indisponible, le prochain dans la liste des privilgis est utilis.

7.3.2.

Gnrateur de topologie inter-sites

Le gnrateur de topologie inter-sites est un processus Active Directory qui dfinit la rplication entre les sites dun rseau. Dans chaque site, un contrleur de domaine est automatiquement dsign pour tre le gnrateur de topologie inter-sites. Cette action tant effectue par le gnrateur, vous navez pas intervenir pour dterminer la topologie de la rplication et les rles des serveurs de tte de pont. Le contrleur de domaine qui joue le rle de gnrateur de topologie inter-sites excute deux fonctions : Il slectionne automatiquement un ou plusieurs contrleurs de domaine pour devenir des serveurs de tte de pont. Ainsi, si lun deux devient indisponible, il en slectionne automatiquement un autre, si possible. Il excute le vrificateur KCC pour dterminer la topologie de rplication et les objets de connexion rsultants que le serveur de tte de pont peut utiliser pour communiquer avec les serveurs de tte de pont des autres sites. Pour crer un serveur de tte de pont, excutez les oprations suivantes : 1. Dans Sites et services Active Directory, dveloppez Sites, puis le site contenant le serveur configurer, dveloppez Servers, et dans larborescence de la console, cliquez avec le bouton droit sur le contrleur de domaine qui doit devenir un serveur de tte de pont privilgi, puis cliquez sur Proprits. 2. Choisissez le ou les transports inter-sites pour lesquels ce serveur deviendra serveur de tte de pont privilgi, cliquez sur Ajouter, puis sur OK.

8.Implmentation du placement des contrleurs de domaine


Un contrleur de domaine est un ordinateur qui excute Microsoft Windows Server. 2003 et qui stocke un rplica de lannuaire du domaine. La possession de plusieurs contrleurs de domaine dans un domaine permet de bnficier de la tolrance de pannes. Si un contrleur de domaine est hors connexion, un autre contrleur peut assurer toutes les fonctions requises, comme lenregistrement de modifications dans le service dannuaire Active Directory. Les contrleurs de domaine grent tous les aspects dinteraction dans le domaine des utilisateurs, comme la localisation dobjets Active Directory et la validation des tentatives douverture de session par les utilisateurs. Comme un domaine peut contenir un ou plusieurs contrleurs de domaine, et que ceux-ci excutent diverses fonctions cls, le placement de contrleurs de domaine est une tche importante dans limplmentation dActive Directory.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 76 - 87

Service d'annuiare Active Directory

8.1. Implmentation du catalogue global dans Active Directory


Le catalogue global est le rfrentiel central des informations concernant les objets dune fort dans Active Directory. La mise en cache de lappartenance au groupe universel dans Windows Server 2003 rduit le trafic et amliore le temps de connexion entre des liaisons lentes de rseau tendu (WAN, Wide Area Network). Vous devez comprendre les serveurs de catalogue global et la mise en cache de lappartenance au groupe universel pour planifier le placement de contrleurs de domaine dans votre rseau. Un catalogue global rsout les noms dutilisateur principal lorsque le contrleur de domaine procdant lauthentification ne connat pas le compte. Par exemple, si un compte dutilisateur est situ dans exemple1.nwtraders.msft, et que lutilisateur dcide douvrir une session sous le nom dutilisateur principal user1@exemple1.nwtraders.msft partir dun ordinateur situ dans exemple2.nwtraders.msft, le contrleur de domaine situ dans exemple2.nwtraders.msft ne pourra pas trouver le compte dutilisateur ; il contactera alors un serveur de catalogue global pour terminer le processus de connexion. Un catalogue global fournit des informations concernant lappartenance au groupe universel dans un environnement plusieurs domaines. Contrairement aux appartenances au groupe global, quActive Directory stocke dans chaque domaine, les appartenances au groupe universel ne sont stockes que dans un catalogue global. Par exemple, lorsquun utilisateur appartenant un groupe universel se connecte un domaine dfini selon le niveau fonctionnel de domaine de Windows 2000 natif ou de Windows Server 2003, le catalogue global fournit des informations de lappartenance au groupe universel concernant le compte dutilisateur. Si un catalogue global nest pas disponible lorsquun utilisateur ouvre une session sur un domaine sexcutant dans le niveau fonctionnel de domaine de Windows 2000 natif ou Windows Server 2003, le contrleur de domaine qui traite la demande de connexion de lutilisateur refuse la requte, et lutilisateur ne peut pas ouvrir de session.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 77 - 87

Service d'annuiare Active Directory

8.2. Dtermination du placement de contrleurs de domaine dans Active Directory


8.2.1. Active Directory Sizer

Active Directory Sizer (ADSizer.exe) vous aide estimer la configuration matrielle requise pour dployer Active Directory en fonction du profil de lorganisation, des informations sur le domaine et de la topologie du site. Vous utilisez Active Directory Sizer pour obtenir des estimations du nombre de : Contrleurs de domaine par domaine par site. Serveurs de catalogue global par domaine par site. Processeurs par ordinateur, ainsi que leur type. Disques requis pour stocker les donnes Active Directory.

Active Directory Sizer fournit galement des estimations approximatives pour les besoins ou paramtres suivants : Quantit de mmoire Configuration rseau requise Taille de la base de donnes du domaine Taille de la base de donnes du catalogue global Bande passante requise pour la rplication inter-sites Lorsque vous excutez Active Directory Sizer, il collecte les informations suivantes sur chaque domaine afin de vous permettre de placer les contrleurs de domaine avec prcision : Nombre dutilisateurs

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 78 - 87

Service d'annuiare Active Directory Attributs par utilisateur Groupes auxquels un utilisateur appartient Taux douverture de sessions durant les heures de pointe Taux dexpiration des mots de passe Nombre dordinateurs Limite dutilisation des processeurs Administration Informations concernant DNS (Domain Name System)

9.Planification du placement des contrleurs de domaine


Avant de planifier le placement des contrleurs de domaine, vous devez concevoir et dployer la topologie dun site Active Directory. Pour Windows Server 2003, le service DNS a t soigneusement intgr dans la conception et limplmentation dActive Directory. Par consquent, lorsque vous dployez ensemble Active Directory et Windows Server 2003, vous devez galement planifier le placement des serveurs DNS intgrs Active Directory. Appliquez les instructions suivantes pour placer des contrleurs de domaine : Placez un contrleur de domaine dans un site si : Le site comporte de nombreux utilisateurs. Lorsque ces utilisateurs ouvrent une session, ils peuvent contacter un contrleur de domaine local pour authentification au lieu de contacter un contrleur de domaine distant par le biais dune liaison WAN. Des applications orientes site seront utilises dans le site. Ces applications peuvent ainsi accder un compte dutilisateur et dautres informations partir dun contrleur de domaine local. Le site contient des ressources de serveur auxquelles les utilisateurs peuvent accder lorsque la liaison avec le WAN nest pas disponible. Si la liaison avec le WAN nest pas disponible et quaucun contrleur de domaine local nest disponible pour traiter les demandes de connexion, les utilisateurs ouvrent une session laide dinformations de connexion en mmoire cache. Ils ne peuvent accder des ressources sur un autre ordinateur que celui sur lequel ils sont connects. Si les utilisateurs doivent pouvoir accder des ressources sur dautres ordinateurs sur le rseau, configurez le contrleur de domaine comme serveur de catalogue global. Ou bien activez au minimum la mise en cache de lappartenance au groupe universel pour le site. Ne placez pas un contrleur de domaine dans un site dont la scurit physique ou la maintenance est inadquate. Si un intrus peut accde physiquement un serveur, il lui est beaucoup plus facile de contourner les paramtres de scurit et daccder aux donnes critiques de lentreprise ou de les modifier. En labsence de personnel assurant la maintenance des ordinateurs locaux, une panne matrielle ou logicielle sur un contrleur de domaine peut interrompre le service pendant une dure prohibitive. Dterminez le nombre de contrleurs de domaine en fonction du nombre dutilisateurs et des performances requises. Utilisez Active Directory Sizer pour dterminer un processeur spcifique, la taille de la mmoire et les valeurs du rseau. Tenez compte galement des besoins en termes de Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 79 - 87

Service d'annuiare Active Directory tolrance de pannes. Si Active Directory Sizer ne recommande quun seul contrleur de domaine pour un site, mais que les utilisateurs doivent pouvoir ouvrir une session et accder des ressources locales bases sur un serveur en cas de rupture de liaison avec un WAN, envisagez de placer un second contrleur de domaine dans le site afin de rpondre vos besoins en termes de tolrance de pannes.

10.Maintenance d'Active Directory


Les informations du service dannuaire Active Directory dans Microsoft Windows Server. 2003 sont stockes dans une base de donnes transactionnelle, laquelle facilite le maintien de lintgrit des donnes en cas de dfaillance. Le terme dfaillance fait rfrence toute panne matrielle, panne logicielle ou perte complte du systme (par exemple, dans le cas dun incendie). La base de donnes Active Directory utilise des fichiers journaux de transactions pour rcuprer les donnes corrompues dans une copie locale de la base de donnes. Aprs rcupration des donnes, Active Directory utilise la rplication pour obtenir des donnes dautres contrleurs du domaine. Les interactions entre les composants Active Directory servent de base Active Directory pour rassembler et sauvegarder des informations sur les donnes corrompues. Lorsque les contrleurs de domaine ne fonctionnent pas en raison de problmes matriels ou logiciels, les utilisateurs risquent de ne pas pouvoir accder aux ressources ou de ne pas pouvoir se connecter au rseau.

10.1. Base de donnes Active Directory et fichiers journaux


Le moteur de base de donnes dActive Directory, ESE, stocke tous les objets dActive Directory. Le moteur ESE utilise des transactions et des fichiers journaux pour garantir lintgrit de la base de donnes Active Directory. Active Directory inclut les fichiers suivants : Ntds.dit. La base de donnes Active Directory qui stocke tous les objets dActive Directory au niveau du contrleur de domaine. Lextension .dit fait rfrence larborescence des informations de lannuaire. Son emplacement par dfaut est le dossier %systemroot%\NTDS. Active Directory enregistre chaque transaction dans un ou plusieurs fichiers journaux associs au fichier Ntds.dit. Edb*.log. Le fichier journal des transactions dont le nom par dfaut est Edb.log et dune capacit de 10 mgaoctets (Mo). Lorsque le fichier Edb.log est satur, Active Directory cre un autre fichier dnomm Edbnnnnn.log (o nnnnn correspond lordre chronologique de cration). Edb.chk. Un fichier de points de vrification que la base de donnes utilise pour garder une trace des donnes qui ne sont pas encore crites dans le fichier de base de donnes Active Directory. Le fichier de points de vrification est un pointeur qui conserve des donnes de statut entre la mmoire et le fichier de la base de donnes sur le disque. Il indique le point de dbut partir duquel les informations doivent tre rcupres en cas de dfaillance. Document
96253431.doc

OFPPT @

Millsime
novembre 08

Page 80 - 87

Service d'annuiare Active Directory Res1.log et Res2.log. Les fichiers journaux rservs de transactions. La quantit despace disque rserve sur un disque ou dans un dossier pour les journaux de transactions est de 20 Mo. Cet espace disque rserv offre aux fichiers journaux de transactions une marge suffisante de fermeture si le reste de lespace disque est utilis.

10.2. Dplacement et dfragmentation de la base de donnes Active Directory


Au fil du temps, la fragmentation de la base de donnes se produit au fur et mesure que des enregistrements sont ajouts ou supprims. Lorsque les enregistrements sont fragments, lordinateur doit parcourir la base de donnes Active Directory pour rechercher tous les enregistrements, et ce, chaque fois que cette dernire est ouverte. Cette recherche ralentit le temps de rponse de la base de donnes. La fragmentation diminue galement les performances gnrales des oprations de la base de donnes Active Directory. Pour surmonter les problmes lis la fragmentation, vous devez dfragmenter la base de donnes Active Directory. La dfragmentation est le processus de rcriture des enregistrements dans la base de donnes Active Directory dans des secteurs contigus afin daccrotre la vitesse daccs et dextraction. Lorsque les enregistrements sont mis jour, Active Directory enregistre ces mises jour dans le plus large espace contigu de la base de donnes Active Directory. Vous dplacez une base de donnes vers un nouvel emplacement lorsque vous dfragmentez cette dernire. Dplacer la base de donnes ne supprimera pas la base de donnes originale. Vous pouvez donc utiliser la base de donnes originale si la base de donnes dfragmente ne fonctionne pas ou est corrompue. De mme, si votre espace disque est limit, vous pouvez ajouter un autre disque dur pour y placer la base de donnes. Enfin, vous pouvez dplacer les fichiers de la base de donnes en vue deffectuer une opration de maintenance matrielle. Si le disque de stockage des fichiers doit tre mis niveau ou doit subir une opration de maintenance, vous pouvez dplacer les fichiers vers un autre emplacement de faon temporaire ou permanente. Pour dplacer la base de donnes Active Directory, excutez les tapes suivantes : 1. Par prcaution, sauvegardez Active Directory. Vous pouvez sauvegarder Active Directory en ligne si, dans lAssistant de sauvegarde, vous choisissez de tout sauvegarder sur lordinateur ou de ne sauvegarder que les donnes dtat systme. 2. Redmarrez le contrleur de domaine, appuyez sur F8 pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis appuyez sur ENTRE. 3. Ouvrez une session en utilisant le compte dadministrateur et le mot de passe dfini pour le compte Administrateur local dans le Gestionnaire de comptes de scurit (SAM, Security Accounts Manager). 4. linvite de commande, tapez ntdsutil et appuyez sur ENTRE. 5. Tapez files est appuyez sur ENTRE. 6. linvite files, et aprs avoir dfini un emplacement offrant suffisamment despace pour y stocker la base de donnes, tapez move DB to

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 81 - 87

Service d'annuiare Active Directory <drive>:\<directory> (o <drive> et <directory> correspondent au chemin daccs sur lordinateur local o vous voulez placer la base de donnes), puis appuyez sur ENTRE. 7. Tapez quit et appuyez sur ENTRE. Pour revenir linvite, tapez de nouveau quit. 8. Redmarrez le contrleur de domaine. Pour dfragmenter une base de donnes Active Directory hors connexion, excutez les tapes suivantes : 1. Sauvegardez les donnes dtat systme. 2. Redmarrez le contrleur de domaine, appuyez sur F8 pour afficher le menu Menu doptions avances de Windows, slectionnez Mode restauration Active Directory, puis appuyez sur ENTRE. 3. Ouvrez une session en utilisant le compte Administrateur et le mot de passe dfini pour le compte Administrateur local dans le Gestionnaire des comptes de scurit (SAM) hors connexion. 4. linvite de commande, tapez ntdsutil et appuyez sur ENTRE. 5. Tapez files est appuyez sur ENTRE. 6. linvite files, tapez compact to <drive>:\<directory> (o <drive> et <directory> dfinissent le chemin daccs) et appuyez sur ENTRE. Cette tape permet de dfinir un emplacement avec suffisamment despace disque libre pour y stocker la base de donnes compresse. Si le chemin daccs contient des espaces, il doit tre mis entre guillemets (par exemple, C:\Nouveau dossier ). Une nouvelle base de donnes Ntds.dit est cre lemplacement spcifi. 7. Tapez quit et appuyez sur ENTRE. Pour revenir linvite, tapez de nouveau quit. 8. Remplacez lancien fichier Ntds.dit par le nouveau fichier dans le chemin daccs de la base de donnes Active Directory. 9. Redmarrez le contrleur de domaine.

10.3. Sauvegarde dActive Directory


La sauvegarde dActive Directory est essentielle pour la maintenance de la base de donnes Active Directory. Vous pouvez sauvegarder Active Directory en utilisant linterface utilisateur graphique et les outils de ligne de commande de la famille Windows Server 2003. Sauvegarder frquemment les donnes dtat systme des contrleurs de domaine vous permet de restaurer des donnes toujours actualises. En dfinissant un programme de sauvegarde rgulire, vous avez plus de chance de pouvoir rcuprer toutes les donnes en cas de ncessit. Pour garantir une bonne sauvegarde, englobant au moins les donnes dtat systme et le contenu du disque systme, vous devez connatre la dure de vie des objets de dsactivation. Par dfaut, les objets de dsactivation ont une dure de vie de 60 jours. Toute sauvegarde ultrieure 60 jours nest pas une sauvegarde correcte. Planifiez la sauvegarde dau moins deux contrleurs de domaine dans chaque domaine, dont lun est dtenteur du rle de matre des oprations. Pour chaque domaine, vous devez conserver au moins une sauvegarde pour permettre une restauration force des donnes en cas de besoin. Pour sauvegarder les donnes dtat systme, excutez les tapes suivantes :

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 82 - 87

Service d'annuiare Active Directory 1. Dans le menu Dmarrer, pointez sur Tous les programmes, sur Accessoires et sur Outils systme, puis cliquez sur Utilitaire de sauvegarde. 2. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 3. Dans la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des fichiers et des paramtres, puis sur Suivant. 4. Dans la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les fichiers sauvegarder, puis sur Suivant. 5. Dans la page lments sauvegarder, dveloppez Poste de travail, activez la case cocher System State, puis cliquez sur Suivant. 6. Dans la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir. Slectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer, puis sur Suivant. 7. Dans la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer. 8. Dans la page Sauvegarde en cours, cliquez sur Fermer.

10.4. Restauration dActive Directory


Dans Windows Server 2003, vous pouvez restaurer la base de donnes Active Directory si cette dernire a t corrompue ou dtruite suite une dfaillance matrielle ou logicielle. Vous devez restaurer la base de donnes Active Directory lorsque des objets dans Active Directory ont t modifis ou supprims. Vous pouvez restaurer des donnes rpliques dans un contrleur de domaine de plusieurs faons. Vous pouvez rinstaller le contrleur de domaine, puis laisser le processus de rplication normale alimenter le nouveau contrleur de domaine avec les donnes de ses rplicas. Vous pouvez galement utiliser lUtilitaire de sauvegarde pour restaurer des donnes rpliques partir dun support de sauvegarde sans rinstaller le systme dexploitation ou reconfigurer le contrleur de domaine. Vous pouvez utiliser lune des trois mthodes suivantes de restauration Active Directory partir du support de sauvegarde : restauration principale, normale ou force. ! Restauration principale. Cette mthode de restauration reconstruit le premier contrleur de domaine dans un domaine lorsquil nest pas possible de reconstruire le domaine dune autre faon. Effectuez une restauration principale uniquement lorsque tous les contrleurs du domaine sont perdus et que vous souhaitez reconstruire le domaine partir de la sauvegarde. ! Restauration normale. Cette mthode de restauration rtablit les donnes Active Directory dans ltat o elles taient avant la sauvegarde, puis met jour les donnes par le biais du processus de rplication normale. Effectuez une restauration normale uniquement lorsque vous souhaitez restaurer un seul contrleur de domaine son tat prcdent. ! Restauration force. Vous effectuez cette restauration en tandem avec la restauration normale. Une restauration force balise des donnes spcifiques comme donnes actuelles et empche la rplication dcraser ces donnes. Les donnes forces sont ensuite rpliques dans tout le domaine. Effectuez une restauration force pour restaurer des objets individuels dans un domaine comportant plusieurs contrleurs de domaine. Lorsque vous effectuez une restauration force, vous perdez tous les changements apports aprs la sauvegarde aux objets de la restauration.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 83 - 87

Service d'annuiare Active Directory Pour effectuer une restauration principale dActive Directory, excutez les tapes suivantes : 1. Redmarrer votre contrleur de domaine en Mode restauration Active Directory. 2. Dmarrez lUtilitaire de sauvegarde. 3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur mode avanc. 4. Dans la page Utilitaire Sauvegarde en mode avanc, sous longlet Restaurer et grer le mdia, slectionnez les lments restaurer, puis cliquez sur Dmarrer. 5. Dans la bote de dialogue Avertissement, cliquez sur OK. 6. Dans la bote de dialogue Confirmation de restauration, cliquez sur Avanc. 7. Dans la bote de dialogue Options de restauration avances, cliquez sur Lors de la restauration de jeux de donnes rpliqus, marquer les donnes restaures en tant que donnes principales pour tous les rplicas, puis cliquez deux fois sur OK. 8. Dans la bote de dialogue Restauration en cours, cliquez sur Fermer. 9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 84 - 87

Service d'annuiare Active Directory Pour effectuer une restauration normale dActive Directory, excutez les tapes suivantes : 1. Redmarrer votre contrleur de domaine en Mode restauration Active Directory. 2. Dmarrez lUtilitaire de sauvegarde. 3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 4. Dans la page Sauvegarder ou restaurer, cliquez sur Restaurer des fichiers et des paramtres. 5. Dans la page Que voulez-vous restaurer, sous lments restaurer, dveloppez la liste, activez la case cocher System State, puis cliquez sur Suivant. 6. Dans la page Fin de lAssistant Sauvegarde ou Restauration, cliquez sur Terminer. 7. Dans la bote de dialogue Avertissement, cliquez sur OK. 8. Dans la bote de dialogue Restauration en cours, cliquez sur Fermer. 9. Dans la bote de dialogue Utilitaire de sauvegarde, cliquez sur Oui. Pour effectuer une restauration force, excutez les tapes suivantes : 1. Redmarrer votre contrleur de domaine en Mode restauration Active Directory. 2. Restaurez Active Directory dans son emplacement dorigine. 3. Si vous devez effectuer une restauration force au niveau du dossier SYSVOL, restaurez Active Directory dans un autre emplacement par lintermdiaire de lUtilitaire de sauvegarde. Surtout, ne redmarrez pas votre ordinateur aprs la restauration, mme si un message vous y invite. Si vous neffectuez pas une restauration force au niveau du dossier SYSVOL, passez ltape 4. 4. linvite, excutez Ntdsutil.exe. 5. linvite ntdsutil, tapez authoritative restore. 6. linvite authoritative restore, tapez restore subtree nom_unique_de_lobjet (o nom_unique_de_lobjet correspond au nom unique, ou chemin daccs, de lobjet). Par exemple, pour restaurer une unit dorganisation nomme formation, prsente directement sous le domaine gsimaroc.com, tapez restore subtree OU=formation,DC=gsimaroc,DC=com 7. Tapez quit et appuyez sur ENTRE. 8. Tapez de nouveau quit, puis appuyez sur ENTRE pour quitter ntdsutil. 9. Redmarrez le contrleur de domaine. 10. Aprs publication du dossier SYSVOL par le systme FRS, copiez le dossier SYSVOL et uniquement les dossiers de la stratgie de groupe correspondant aux objets de la stratgie de groupe restaurs depuis le nouvel emplacement vers les emplacements existants. 11. Pour vrifier que lopration de copie sest bien droule, examinez le contenu du dossier SYSVOL\Domaine, o Domaine correspond au nom de domaine.

OFPPT @

Document
96253431.doc

Millsime
novembre 08

Page 85 - 87