ACTIVE

DIRECTORY
LES SERVISES
Définition du terme
DHCP
Fonctionnement du
protocole DHCP
Installation du dhcp
configuration
Déclaration de l'étendue
Console DHCP: Pool
d'adresses
Volet des étendues
Baux DHCP
 Présentation de  DNS
Le Fichier de zone
  Le fichier de zone est le fichier qui stocke la
correspondance Nom/Adresses IP(et vice versa)
des machines appartenant au réseau de la zone
correspondante.

type de recherche
 Zone de recherche directe 
 zone de recherche inverse 
  Sous Windows 2000, il existe 3 types de zones 
Zone principale standard 
Zone secondaire standard 
Zone intégrée Active directory
Processus de transfert de zontransfert
de zone

Les transferts de zones sont toujours lancés

sur le serveur secondaire d'une zone et
envoyés aux serveurs maîtres configurés
qui jouent le rôle de source pour la zone

Comme le montre le graphique qui suit, les

transferts de zones entre les serveurs sont
réalisés selon un processus bien précis. Ce
processus peut varier selon qu'une zone a
été antérieurement répliquée ou qu'une
réplication initiale d'une nouvelle zone est
 Installation d'un serveur
DNS
sous Windows 2000
Serveur
Deux possibilités pour cette
fonctionnalité.
La première, si vous êtes en cours
d'installation d'un Windows 2000
Serveur,
par l'intermédiaire de la configuration
du serveur que vous pouvez trouver
dans bouton Démarrer -> Programmes
-> Outils d'administration ->
Configurer votre serveur.
Configuration d'un DNS sous
Windows 2000 Serveur
Intégration des espaces de
noms DNS et Active
Directory
 Les infrastructures Windows
2000/2003 intègrent le système DNS
(Domain Name Service) et le
 service d’annuaire Active Directory.
 Le rôle du Système DNS dans Active
Directory

Le système DNS fournit les principales

fonctions ci-dessous sur un réseau
exécutant Active Directory :

• Résolution de noms

• Localisation des composants

physiques d’Active Directory
 Les zones DNS intégrées à Active
Directory sont intéressantes puisqu'elles
permettent de renforcer la
 sécurité du processus de résolution de
noms de diverses manières :
 Les zones intégrées à Active Directory
peuvent être dupliquées sur tous les
contrôleurs de domaine.
 Cela permet d'assurer la tolérance de panne,
puisque si un contrôleur de domaine connaît
une défaillance, alors la résolution de noms
sera toujours assurée.
L'intégration à Active Directory sécurise les
transactions entres les serveurs DNS. En effet,
les zones DNS intégrées au service d'annuaire
utilisent le mécanisme de réplication
des serveurs DNS utilisant des zones standard.
 l’Infrastructure Active
Directory l’Infrastructure
Active
Directory
Définition d’Active Directory
Objets Active Directory
 Schéma Active
Directory
Le schéma Active Directory stocke la
définition de tous les objets d’Active
Directory (ex : nom,
prénom pour l’objet utilisateur).
Le schéma comprend deux types de
définitions :
• Les classes d’objets : Décrit les objets
d’Active Directory qu’il est possible de créer.
Chaque classe est un regroupement
d’attributs.
• Les attributs : Ils sont définis une seul
fois et peuvent être utilisés dans plusieurs
Catalogue global GC
 Trouver des informations Active
Directory sur toutes la forêt, quel que
soit l’emplacement des ces données.
 Utiliser des informations
d’appartenance à des groupes
universels pour ouvrir une session sur le
réseau.
L’importance du catalogue global
dans le processus
d’authentification
 Protocole LDAP
(Lightweight Directory
Access Protocol)
Chaque objet de l’annuaire est identifié par une série de
composants qui constituent son chemin
d’accès LDAP au sein d’Active Directory (CN=Loïc
THOBOIS, OU=Direction, DC=labo-microsoft, DC=lan).
 DC : Composant de domaine (lan, com, labo-microsoft,
…)
 OU : Unité d’organisation (contient des objets)
 CN : Nom usuel ou nom commun(Nom de l’objet)
 Structure logique d’Active
Directory
La structure logique d’Active Directory offre
une méthode efficace pour concevoir une
hiérarchie.
 Les Domaines

 Les Unités d’organisation

 Les Arborescences
Le premier domaine installé est le domaine
racine de la forêt. Au fur et à mesure que des
domaines lui sont ajoutés, cela forme la
structure de l’arborescence ou la structure de
la forêt, selon les exigences pour les noms de
domaine.
 Les relations d’approbation
Les relations d’approbations permettent à
un utilisateur d’un domaine donné
d’accéder aux ressources de son domaine,
maisaussi d’autres domaines (les domaines
approuvés). Lesrelations d’approbations se
différencient de par leur type(transitif ou
non transitif) et de par leur direction
(unidirectionnel entrant, unidirectionnel
 La relation d’approbation
bidirectionnel

Transitivité de l’approbation

On dispose de trois domaines nommés A, B et C. A

approuve B et B approuve C. La relation
d’approbation transitive implique donc que A
approuve C. Si les deux relations d’approbations
de A à B et de B à C sont transitives, alors le
domaine A approuve indirectement le domaine C.
Dans ce cas de figure un utilisateur du domaine A
peut accéder à toutes les ressources du domaine
A, du domaine B et du domaine C.
 Les forêts

Par défaut, les relations entre les

arborescences ou les domaines au sein
d’une forêt sont des relations
d’approbation bidirectionnelles
 Les rôles de maîtres
d’opération
les modifications d’Active Directory
peuvent être faîtes sur n’importe quel
contrôleur de domaine. Cependant, il existe
des exceptions pour lesquelles les
modifications sont réalisées sur un contrôleur
de domaine spécifiques. Ces exceptions sont
nommées rôles de maître
d’opération et sont au nombre de cinq
Contrôleur de schéma

C’est le seul contrôleur de domaine

habilité à modifier et à mettre à jour
le schéma. Il duplique les
modifications aux autres contrôleurs
de domaine
 Maître d’attribution des
noms de domaine
Il permet d’ajouter ou de supprimer un
domaine dans une forêt.
Émulateur PDC
 Ce rôle a été créé principalement dans un
souci de permettre une compatibilité avec
les versions antérieures de Windows 2000.
 Il ajoute la compatibilité avec les.
 Il gère également le processus de
verrouillage des comptes utilisateurs, les
changements de mots de passe et toutes les
modifications faites sur des objets de
stratégie de groupe.
 Maître d’identificateur
relatif ou maître RID
Il distribue des plages d’identificateurs
relatifs (RID) à tous les contrôleurs de
domaine afin de générer les identificateurs de
sécurité (SID).
Pour qu’il ne puisse y avoir deux DC qui
assignent le même SID à deux objets
différents, le maître RID distribue une plage
de RID à chacun des DC. Lorsque la plage de
RID a été utilisée, le DC demande une
nouvelle plage de RID au maître RID.
Maître d’infrastructure
Il permet de mettre à jour les
éventuelles références d’un objet
dans les autres domaines lorsque cet
objet est modifié (déplacement,
suppression,…). Par défaut le
premier contrôleur de domaine d’une
nouvelle forêt cumule les cinq rôles.
Structure Physique d’Active
Directory

permet d’optimiser les échanges

d’informations entre les différents
contrôleurs de domaine
et ce en fonction des débits assurés
par les réseaux qui les connectent
Contrôleurs de domaine

Server qui stocke un répliqua de l’annuaire Il

assure la propagation des modifications faites
sur l’annuaire. Il assure l’authentification et
l’ouverture des sessions des utilisateurs, ainsi
que les recherches dans l’annuaire.
 Sites et liens de sites
Un site est une combinaison d’un ou plusieurs
sous réseaux connectés entre eux par une liaison
Protocoles de réplication
Les ordinateurs emploient des protocoles de
réplication pour transmettre leurs mises à jour
d’Active Directory. Le protocole RPC (encore
appelé RPC sur IP) est employé lors de la
duplication intrasite. Ce dernier assure une
connexion fiable et à grande vitesse. Dans le cas
de la duplication intersites, il est possible de
paramétrer le protocole employé, à savoir RPC ou
SMTP (Simple Mail Transfer Protocol).En général,
on utilisera RPC pour la réplication intersite
 La réplication Active
Directory peut utiliser deux
protocoles différents :
RPC (Remote Procedure Call) pour les
liaisons intra-site et intersites (ce
protocole est aussi appelé RPC sur IP)
est un protocole permettant de faire des
appels de procédures sur un ordinateur
distant à l'aide d'un serveur d'application.
Ce protocole est utilisé dans le modèle
client-serveur et permet de gérer les
différents messages entre ces entités.
 SMTP (Simple Mail Transfer
Protocol) pour les liaisons inter site
SMTP utiliser entre deux sites pour
répliquer la partition de
configuration, la partition de schéma
et les partitions de domaines
partielles stockées sur les serveurs
de catalogue global
Le pré requis pour installer
Active Directory
la configuration requise pour pouvoir
installer Active Directory :
 Un ordinateur exécutant Windows 2000
Standard Edition, Enterprise Edition ou
Datacenter Edition
 250 Mo d’espace libre sur une partition ou
un volume NTFS
 Les paramètres TCP/IP configuré pour
joindre un serveur DNS
 Un serveur DNS faisant autorité pour gérer
les ressources SRV
Le processus d’installation
d’Active Directory
 Début de l'installation
d'Active Directory Service
Choix du type de
contrôleur
 Choix du type
d'arborescence créée
création d'une nouvelle
forêt
Choix du nom du
domaine créé
Choix du nom du domaine
NetBIOS
le chemin de la base de
données
Emplacements de stockage
des informations
 Sysvol (System Volume) est un répertoire partagé
qui stocke la copie serveur des fichiers publics d'un
domaine qui sont partagés pour un accès et une
réplication dans tout le domaine. Sur un contrôleur
de domaine, le dossier Sysvol comprend les
éléments suivants : •Partages Ouverture de session
réseau. Ceux-ci hébergent généralement les scripts
d'ouverture de session et les objets Stratégie pour
les ordinateurs clients du réseau. •Scripts
d'ouverture de session pour les domaines où
l'administrateur utilise Utilisateurs et ordinateurs
Active Directory.•Stratégie de groupe Windows.
Alerte relative à l'absence d'un
serveur DNS
pour ce domaine
Demande de l'installation du
service DNS
 Toujours pour compatibilité
avec les anciennes versions de
Windows
Définition du mot de passe
administrateur
Résumé de l'installation
demandée
Début de l'installation
Installation en cours
Fin d'installation
Utilisation de la commande « net
share »
Pour vérifier la mise en place des
partages nécessaires à la
réplication entre
contrôleurs de domaines
Comptes utilisateurs
Utilisateurs de
domaines
Utilisateurs locaux
Outils Gestion de l’ordinateur pour la création des comptes d’utilisateurs et de groupes locaux

.
Utilisateurs prédéfinis
-administrateur
-Invité
Configuration d'un compte
utilisateur
Compte d’utilisateur de
domaine
Conventions de noms
 Options de compte

Heure de disponibilité
1-Expiration de
compte
Options de compte
.
 Profils
Profil par défaut et Profil
Utilisateur
 Profils d'utilisateurs
Configuration d'un profil
d'utilisateur
Création d'un profil
personnalisé
Dossier de base