Vous êtes sur la page 1sur 33

Active Directory

• Notion de groupe de travail


• Notion de domaine
• Structure logique de l’Active Directory
• Structure physique de l’Active Directory
• Les sites
• Arborescences et forêts
• Relation d’approbation
• Rôle du maître d’opération au niveau
d’une forêt
• Rôle du maître d’opération au niveau
d’une domaine
GROUPE DE TRAVAIL
• Un groupe de travail est un ensemble
d’ordinateurs en réseau qui partagent leurs
ressources. Chaque ordinateur possède sa
propre base de données concernant les noms
des utilisateurs, leur mot de passe et leur profil.
On y trouve aussi bien des ordinateurs avec
Windows 2003 Pro ou Windows 2003 Server.
• Un serveur Windows 2003 qui ne fait pas partie
d’un domaine, est un serveur autonome
NOTION DE DOMAINE
• Un domaine windows 2003 est un groupe d’ordinateurs qui utilisent la
même base de données d’annuaire centrale.
• Le contrôleur de domaine est un ordinateur qui contient un exemplaire de
la base de données (Annuaire). Seuls les ordinateurs exécutant windows
2003 Server peuvent être contrôleur de domaine.
• Un serveur membre est un serveur qui fait partie du domaine, mais qui
.
n’est pas contrôleur de domaine
• Dans Windows NT4, il existe des contrôleurs de domaines
principaux et des contrôleurs de domaines secondaires. Dans
windows 2003, tous les contrôleurs de domaine sont au même
niveau.
• Les ordinateurs qui exécutent Windows version cliente sont les
stations de ce domaine.
EXEMPLE DE DOMAINE
Active Contrôleur Active Contrôleur
Directory de domaine Directory de domaine

Domaine Windows 2003


Serveur Ordinateurs
membre clients

Figure 1 : Domaine Windows 2003.


Services d’Annuaire
• Un annuaire est une base de données qui contient des informations sur les
différents objets et liens gérés au niveau du domaine
• Le service d’annuaire est un service du réseau qui permet d’utiliser l’annuaire
: Active Directory est le service d’annuaire utilisé sur Windows 2003
• Active Directory utilise le système de noms de domaine DNS. Par conséquent,
il doit exister un service DNS sur un des serveurs Windows 2003 Server du
réseau.
• Active Directory utilise le protocole normalisé LDAP(Lightweight Directory Access
Protocol, ce qui permet d’accéder à d’autres services annuaires comme celui de
Novell.
• Active Directory comprend l’annuaire qui stocke les informations relatives
aux ressources réseau comme les données utilisateurs, les imprimantes, les
serveurs, les bases de données, les groupes, les ordinateurs et les stratégies
de sécurités. Toutes ces entités sont désignées sous le nom d’objets.
Structure logique d'Active
Directory
• Un objet représente une entité gérée par Active Directory (ordinateur,
groupes d'utilisateurs utilisateurs …).
• Chaque objet possède des propriétés appelées attributs. Par exemple les
attributs d'un utilisateur sont : son nom, son prénom, son adresse, son e-mail,
etc. ..
Structure physique de l’Active
Directory
• Chaque contrôleur de domaine stocke une copie complète de toutes les
informations Active Directory relatives au domaine.
• Une réplication (copie) de tous les objets d'un domaine se fait automatiquement
sur les autres contrôleurs du domaine .

Réplication Réplication

Contrôleur de domaine Contrôleur de domaine Contrôleur de domaine


Les sites
• site est un ensemble de sous-réseaux IP. En
général, un site correspond à un réseau
local. Si 2 réseaux locaux sont reliés par une
liaison WAN, on crée 2 sites qui peuvent
faire partie du même domaine ou non.
Exemple de site appartenant au
même domaine

Domainelepetit.com

Site 2
Site 1
Exemple de site appartenant à des
domaines différents

DomaineA

SITE 1 SITE 2

DomaineB
DomaineD
DomaineC
Arborescence

Domaineparent
dufour.com

Approbation
Approbation

Annuaire partagé
Active Directory

Domaineenfant Domaineenfant
markt.dufour.com product.dufour.com

Approbation
Forêt

Catalogue
global dufour.com dumoulin.com

marcket.dufour.com product.dufour.com marcket.dumoulin.com product.dumoulin.com


Relations d'approbation

• Les domaines d'une arborescence sont liés par des approbations


transitives réciproques Kerberos. Cela signifie que tout utilisateur
reconnu dans un domaine l'est automatiquement dans les autres domaines
de l'arborescence. Kerberos est un protocole de sécurité utilisé sur Internet
qui permet d'authentifier un utilisateur. Dans Kerberos V5 , les mots de
passe en ligne sont encryptés.

Relation d'approbation réciproque


DomaineA DomaineC

Relation d'approbation réciproque


Relation d'approbation réciproque
Domaine B
CONFIGURATION DU
CONROLUER DE DOMAINE
• Demarrer----- executer ---- dcpromo
• Votre contrôleur est la première machine d’un nouveau domaine
• Ce nouveau domaine est le domaine parent d’une nouvelle « arborescence »
de domaines, …
• Ce nouveau domaine est le domaine
parent d’une nouvelle
« arborescence » de domaines, …
… elle-même dans une nouvelle « forêt
d’arborescences de domaines »
• Saisissez le nom du domaine Active
Directory (exemple ENITE.MA)
Acceptez le nom NETBIOS du domaine (pour compatibilité avec WNT4 et W9x)
Acceptez les répertoires par défaut pour le stockage des fichiers de l’annuaire
• Sélectionnez « Autorisations compatibles uniquement avec les serveurs
Windows 2003 » : ceci permettra de passer en mode « natif », pour
bénéficier de toutes les fonctionnalités de Windows 2003. Le mode
« mixte » restreint ces fonctionnalités, pour rester compatible avec Windows
NT4 : il n’est utile que pour faire cohabiter Windows 2003 avec les
anciennes versions.
« Mot de passe administrateur de Restauration des services d’annuaire » : ce que vous
voulez. Il n’est utilisé que pour la maintenance d’Active Directory (ne pas le confondre
avec le vrai compte administrateur du domaine)
• Fin de configuration de l’Active directory
• Configuration du contrôleur du domaine enfant
• Dans la fenêtre « Créer une arborescence ou un domaine enfant », choisir
« Créer un nouveau domaine enfant dans une arborescence de domaine
existante »
• Il faut donner le nom et le mot de passe
du compte administrateur du domaine
parent

Saisir le nom du domaine parente et enfant :

Le reste des étapes est identique à ceux


de la configuration du domaine parent
Intégration d’un poste à un
contrôleur de domaine
• cliquer sur « Poste de Travail », bouton droit Propriétés, puis sur l’anglet
nom de l’ordinateur
• Cliquer sur le bouton modifier
• Cliquer sur le bouton domaine et saisir le nom du domaine
• Cliquer sur OK
• Un nom et un mot de passe reconnu par le domaine sera demandé pour
terminer l’intégration
• Si tout passe bien le message suivant apparaît à l’écran

– BIEN VENUE DANS LE DOMAINE X


Intégration d’un contrôleur
supplémentaire
• Dans l’outil configuration serveur, lancer l’assistant d’installation d’Active
Directory
• L’assistant démarre , cliquer sur suivant
• Sélectionner l’option :
– Contrôleur de domaine supplémentaire pour un domaine existant
– Saisir
– Nom utilisateur Administrateur
– Mot de passe ***************
– Domaine Nom de votre domaine
– Puis entrer le nom complet du domaine existant pour lequel ce serveur deviendra
contrôleur de domaine supplémentaire
– Laisser l’emplacement de la base de données et du journal par défaut
– Saisir le mot de passe de restauration
– Un écran de copie de base apparaît pour être synchronisée
– Cliquer sur terminer puis redémarrer votre serveur
Sauvegarde de l’Active Directory
• Pour sauvegarde l’Active Directory :
• Démarrer --- programme --- accessoires --
Outils système --- utilitaire de sauvegarde
• Dans l’assistant de sauvegarde
sélectionner :
Ne sauvegarder que les données sur
l’état du système
Restauration de l’Active Directory
• Pour sauvegarde l’Active Directory :
• Démarrer --- programme --- accessoires -- Outils système --- utilitaire de
sauvegarde
• Cliquer sur l’assistant de restauration puis suivant
• Assurer que les connecteurs disques systèmes et État système , au
moins sélectionnés
• Cliquer sur avancé puis assurez vous que vous restaurer les points de
jonction , dans le cas échant le processus de restauration ne se déroulera
pas correctement
• Dans la liste Restaurer les fichiers vers , cliquer sur Emplacement
d’origine puis OK pour terminer le processus
• En fin le système va vous inviter à redémarrer votre ordinateur
• A l’invite du commandes , taper ntdsutil puis ENTREE
• Taper ensuite authoritative restore puis ENTREE
SUPPRESSION D’UN
CONTROLEUR DU DOMAINE
• Ouvrir l’assistant de l’installation de l’active directory par
dcpromo

• Dans la page de suppression cocher supprimer le


contrôleur de domaine , dans le cas échéant cocher la
case le serveur est le dernier contrôleur du domaine puis
cliquer sur suivant

• Dans la page mot de passe , saisir le mot de passe de


l’administrateur puis confirmer le

• Dans la page du résumé , passer en revue le résumé


puis cliquer sur suivant