Ch3 Administration AD

ESAT/DGF/DMSI
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
Chapitre 3: L'administration d'Active Directory
COURS SYSTEME
L'ADMINISTRATION D'ACTIVE DIRECTORY
1. Présentation d'Active Directory...........................................................................................3

1.1. Définition d’Active Directory..........................................................................................3
1.1.1. Fonctions du service d’annuaire.............................................................................3
1.1.2. Gestion centralisée................................................................................................3
1.2. Objets Active Directory.................................................................................................4
1.3. Protocoles supportés....................................................................................................4
1.4. Protocole LDAP............................................................................................................5
1.4.1. Nom unique............................................................................................................5
1.4.2. Nom relatif..............................................................................................................5
1.5. Active Directory et système DNS..................................................................................6
1.5.1 Résolution de noms................................................................................................6
1.5.2. Convention de dénomination pour les domaines Windows 2000...........................6
1.5.3. Active Directory et Internet.....................................................................................7
1.5.4. Localisation des composants physiques d’Active Directory....................................8
1.6. Intégration d'Active Directory dans DNS.......................................................................8
1.6.1. Zones intégrées Active Directory............................................................................8
1.6.2. Utilisation du DNS par les ordinateurs pour repérer les contrôleurs de domaine....9
1.6.3. Prise en charge du protocole de mise à jour dynamique conforme aux RFC ........9
2. Structure logique...............................................................................................................10
2.1. Domaines...................................................................................................................10
2.1.1 Limite de sécurité .................................................................................................10
2.1.2. Unité de duplication..............................................................................................10
2.1.3. Modes de domaine...............................................................................................10
2.2. Unité d’organisation....................................................................................................11
2.2.1. Hiérarchie des unités d’organisation....................................................................11
2.2.2. Contrôle d’administration des unités d’organisation.............................................12
2.3. Arborescences et forêts..............................................................................................12
2.3.1. Arborescences.....................................................................................................12
2.3.2. Approbations transitives bidirectionnelles.............................................................12
2.3.3. Approbation non transitive....................................................................................12
2.3.4. Forêts...................................................................................................................12
2.4. Schéma Active Directory.............................................................................................13
2.5. Les contextes de nommage ou partitions...................................................................14
3. Structure physique............................................................................................................14
3.1. Sites............................................................................................................................14
3.1.1. Quand établir un site unique................................................................................15
3.1.2. Quand établir des sites séparés...........................................................................15
3.1.3. Réplication intra-site.............................................................................................16
3.1.4. Réplication inter-sites...........................................................................................16
3.1.5. Exemple 1 ...........................................................................................................16
3.1.6. Exemple 2............................................................................................................17
3.2. Contrôleurs de domaine..............................................................................................17
3.3. Catalogue global.........................................................................................................18
3.4. Opérations principales simples...................................................................................19
4. Installation et configuration du DNS pour la prise en charge Active Directory...................21
4.1. Résolution de noms DNS dans Active Directory.........................................................21
4.1.1. Enregistrement de ressource SRV.......................................................................21
4.1.2. Enregistrements SRV et de ressource A..............................................................21
4.1.3. Format d’enregistrement SRV..............................................................................22
4.2. Configuration requise par le système DNS.................................................................22
23243591.doc Page 1 sur 68

4.3. Installation..................................................................................................................23
4.3.1. Conception de l’espace de noms.........................................................................23
4.3.2. Installation du service DNS..................................................................................24
4.3.3. Création des zones de recherches.......................................................................28
4.3.4. Configuration des zones DNS..............................................................................34
4.4. Configuration des clients.............................................................................................40
4.5. Test du service DNS...................................................................................................41
5. Création d’un domaine Windows 2000..............................................................................42
5.1. Introduction.................................................................................................................42
5.2. Installation d’Active Directory......................................................................................42
5.3. Création du premier domaine.....................................................................................44
5.4. Ajout d’un contrôleur de domaine à un domaine existant............................................51
5.5. Bilan du processus d’installation d’Active Directory ...................................................54
5.5.1. Paramètres de configuration................................................................................54
5.5.2. Configuration de site............................................................................................55
5.5.3. Configuration du service d’annuaire.....................................................................55
5.5.4. Configuration des services et de la sécurité.........................................................55
5.5.5. Autres opérations d’installation d’Active Directory................................................56
5.6. Etude de la structure par défaut d’Active Directory.....................................................57
5.7. Vérification de l’installation d’Active Directory.............................................................58
5.7.1. Enregistrements de ressource SRV.....................................................................58
5.7.2. Dossier SYSVOL..................................................................................................59
5.7.3. Existence de la base de données Active Directory et des fichiers journaux.........60
5.7.4. Consultation des fichiers journaux........................................................................60
5.8. Implémentation de zones intégrées Active Directory..................................................61
5.9. Sécurisation des mises à jour pour les zones intégrées à Active Directory.................63
5.10. Modification du mode de domaine............................................................................64
5.11. Implémentation d’une structure d’unité d’organisation..............................................67
5.12. Suppression d’Active Directory.................................................................................69
23243591.doc Page 2 sur 68

1. Présentation d'Active Directory
Windows 2000 et Active Directory offrent aux administrateurs les méthodes et les utilitaires
nécessaires pour:
- centraliser la gestion de tous les postes de travail,
- décentraliser les tâches administratives.
Les administrateurs effectuent les tâches suivantes:

- centralisation de la gestion,
- gestion de l’environnement utilisateur par les stratégies de groupe
- délégation du contrôle d’administration
Active Directory:
- stocke des informations sur les ressources de tout le réseau
- permet aux utilisateurs de localiser, gérer et utiliser ces ressources.
1.1. Définition d’Active Directory

Active Directory est le service d’annuaire d’un réseau Windows 2000.
1.1.1. Fonctions du service d’annuaire

Active Directory organise l’annuaire en sections qui permettent le stockage d’un grand
nombre d’objets (plusieurs millions).
1.1.2. Gestion centralisée

Active Directory contient la configuration du système, les profils utilisateurs et les
informations sur les applications. Combiné au programme de Stratégie de groupe, Active
Directory permet aux administrateurs de gérer des postes de travail distribués, des services
réseau et des applications à partir d’un emplacement central.
Fonctionnalités
Fonctionnalités du
du Gestion
Gestioncentralisée
centralisée
service
service d'annuaire
d'annuaire

 Point
Point d'adm
d'administration
inistration unique
unique
 O
Organiser
rganiser Les
 
 Les utilisateurs
utilisateursouvrent
ouvrentune
une
 G
 Gérer
érer Ressources
Ressources session
session une unefois
fois pour
pour l'accès
l'accès
 Contrôler
 Contrôler com
complet
plet auxaux ressources
ressources de de
l'annuaire
l'annuaire
23243591.doc Page 3 sur 68

1.2. Objets Active Directory
Active Directory stocke des informations sur les objets du réseau. Les objets Active Directory
représentant les ressources réseau telles que:
- les utilisateurs,
- les groupes,
- les ordinateurs
- les imprimantes
- les serveurs,
- les domaines,
- les sites
Un seul administrateur peut accéder à tous ces objets stockés dans une base de données
distribuée. Lorsque l’on crée un objet, les propriétés, ou attributs de cet objet contiennent
des informations qui le décrivent. Les utilisateurs peuvent localiser des objets dans Active
Directory en recherchant des attributs spécifiques; on peut par exemple trouver une
imprimante dans un local particulier en recherchant l’attribut Emplacement de la clase
d’objet imprimantes.
1.3. Protocoles supportés

Active Directory s’appuie sur un ensemble de protocoles standards, ce qui fait de cette base
d’annuaire un composant réseau sur lequel toutes les applications pourront s’appuyer.
Active Directory supporte les protocoles suivants:
- TCP/IP: protocole réseau,
- DNS: l’espace de nom des domaines Windows 2000 se base sur ce service,
- DHCP: protocole de distribution d’adresses IP et de mise à jour du DNS,
- SNTP: protocole de distribution de l’heure,
- Kerberos version 5: permet l’authentification,
- Certificats X509 v3: permet l’authentification par certificats
- LDAP: permet l’accès à l’annuaire
- LDIF: permet la synchronisation de l’annuaire (LDAP Data Interchange Format).
TechnologiesprisesenchargeparActiveDirectory
DNS
DNS
SNTP
SNTP
DHCP
DHCP
Technologies
TechnologiesInternet
Internetstandard
standard
LDA
LDAP
P
TCP/IP
TCP/IP
LDIF
LDIF
X.509
X.509
Kerberos
Kerberos
23243591.doc Page 4 sur 68

1.4. Protocole LDAP
LDAP (Lightweight Directory Access Protocol) est un protocole du service d’annuaire utilisé
pour interroger et mettre à jour Active Directory. C’est un protocole de communication conçu
pour être utilisé sur les réseaux TCP/IP.
Conformément aux critères du protocole LDAP, un objet Active Directory doit être représenté
par une série de composants de domaine, unités d’organisation et noms usuels qui
constituent un chemin d’accès LDAP au sein d’Active Directory.
Le chemin d’accès LDAP sert donc à accéder aux objets Active Directory; il comprend les
éléments suivants:
- les noms uniques
- les noms relatifs
1.4.1. Nom unique

Chaque objet Active Directory porte un nom unique.
Le nom unique identifie le domaine dans lequel est situé l’objet et le chemin d’accès complet.
Exemple de nom unique:

CN=François Dubois,OU=Sales,DC=contoso,DC=msft
Clef Attribut Description

DC Composant de domaine Un composant de nom DNS du
domaine te que com.
OU Unité d’organisation UO pouvant contenir d’autres objets
CN Nom usuel Objets utilisateur ou ordinateur
1.4.2. Nom relatif

Le nom unique relatif LDAP est la partie du nom unique LDAP qui permet d’identifier
l’objet dans son conteneur. Dans l’exemple précédent le nom unique relatif est François
Dubois.
 Nom complet
CN=François Dubois, CN=Users, DC=contoso, DC= msft
 Nom complet relatif

 Nomprincipal d'utilisateur
FrançoisD @Contoso .msft
 Identificateur unique global
 Unicité des noms
23243591.doc Page 5 sur 68

Autres exemples:
Nom unique Nom unique relatif

OU=Sales,DC=contoso,DC=msft OU=Sales
CN=David Dubois,OU=Sales,DC=contoso,DC=msft CN=David Dubois
1.5. Active Directory et système DNS

L’intégration du système DNS (Domain Name System) et des services Active Directory est
l’une des principales fonctionnalités de Windows 2000. Le système DNS fournit les
principales fonctions ci-dessous sur un réseau exécutant Active Directory.
1.5.1 Résolution de noms

DNS est un service standard Internet qui traduit les noms d'hôte facilement lisibles, par
exemple mon_ordinateur.microsoft.com, en adresses IP numériques. Ceci permet d'identifier
et de se connecter aux processus en cours d'exécution sur les ordinateurs des réseaux
TCP/IP.
DNS ne requiert pas le fonctionnement de Active Directory.
1.5.2. Convention de dénomination pour les domaines Windows 2000

Active Directory utilise les conventions de dénomination du système DNS pour nommer les
domaines Windows 2000. Dans un réseau Windows 2000, les noms des domaines DNS et
Active Directory partagent une même structure de dénomination hiérarchique. Par
exemple, un nom de domaine Windows 2000 tel que dmsi.esat.terre.def identifie un domaine
nommé « dmsi », qui est un domaine enfant du domaine nommé « esat », qui est à son tour
enfant du domaine racine terre.def. Chaque ordinateur d'un domaine DNS est identifié
uniquement par son nom de domaine complet DNS. Le nom de domaine complet d'un
ordinateur situé dans le domaine dmsi.esat.terre.def serait
nom_ordinateur.dmsi.esat.terre.def.
Active Directory et l'espace de noms du Système de nom de domaine (DNS, Domain Name
System) possédant une structure identique, une planification correcte de l'espace de noms
est cruciale pour un bon déploiement de Active Directory.
Pour mettre en œuvre une infrastructure AD, il faut commencer par décider comment
organiser l’espace de noms; c’est à dire comment organiser les ressources réseau dans AD.
L’espace de noms d’AD a trois niveaux principaux:
Les domaines
Dans AD, un domaine est:
- une limite de sécurité (comme dans NT4.0)
- une unité de duplication
Les arborescences de domaines

Il s’agit, d’une hiérarchie de domaines appartenant à un espace de noms DNS contigu. Par
exemple le domaine esat.terre.def peut avoir deux domaines enfants dmsi.esat.terre.def et
sic.esat.terre.def; à eux trois, ils forment une arborescence de domaines.
23243591.doc Page 6 sur 68

Les forêts
Une forêt est un ensemble réunissant une ou plusieurs arborescences de domaines
partageant un schéma et une limite de sécurité Kerberos.
Chaque forêt ne peut avoir qu’un schéma.
Une forêt traite les domaines extérieurs comme les domaines NT 4.0 (relation
d’approbation); on ne peut pas fusionner deux forêts.
Espace de noms DNS

 L’enregistrement d’hôte DNS et
“.” l’objet Active Directory représentant
le même ordinateur physique
Com.
 Le DNS permet aux ordinateurs de
déterminer l’emplacement des
contrôleurs de domaine Active
Directory
microsoft
Active Directory
ventes formation formation.microsoft.com
Ordinateurs
Ordinateur1
ordinateur1
Ordinateur2
Nom
Nomcomplet
complet==ordinateur1.formation.microsoft.com
ordinateur1.formation.microsoft.com
Nom
Nom d’ordinateurWindows
d’ordinateur Windows2000
2000==ordinateur1
ordinateur1
1.5.3. Active Directory et Internet

L’intégration du système DNS et d’Active Directory permet également à une structure de
domaine Active Directory d’exister au sein de l’espace de noms Internet.
Espace de noms DNS et Active Directory
Espace denoms DNS
Internet
DomaineracineDNS
“.”
Espace de noms Active
Directory
Com.
microsoft
microsoft
microsoft.com
.com
formation
ventes
formation.
formation. microsoft
microsoft.com
.com
Ventes
Ventes.microsoft
.microsoft .com
.com
ordinateur1
23243591.doc Page 7 sur 68

1.5.4. Localisation des composants physiques d’Active Directory
Active Directory fournit un espace de stockage d'informations et des services permettant de
mettre des informations à la disposition des utilisateurs et des applications. Les clients Active
Directory envoient des requêtes aux serveurs Active Directory à l'aide du protocole LDAP
(Lightweight Directory Access Protocol). Afin de localiser un serveur Active Directory, un
client Active Directory lance une requête de DNS.
Active Directory requiert le fonctionnement de DNS.
Active Directory utilise DNS comme un service de détecteur et résout les noms de domaine,
de site et de service Active Directory pour une adresse IP. Pour ouvrir une session sur un
domaine Active Directory, un client Active Directory lance une requête du serveur DNS
configuré pour l'adresse IP du service LDAP qui est exécuté sur un contrôleur de domaine
pour un domaine précis. L’enregistrement d’hôte DNS et l’objet Active Directory représentent
le même ordinateur physique. Le système DNS permet aux ordinateurs de déterminer
l’emplacement ces contrôleurs de domaine dans Active Directory.
Il est donc primordial d’intégrer le DNS à Active Directory.
1.6. Intégration d'Active Directory dans DNS

Les zones DNS peuvent être stockées dans Active Directory.
Si vous utilisez le service DNS Windows 2000, vous pouvez stocker les fichiers de la zone
principale dans Active Directory en vue d'une réplication sur d'autres contrôleurs de domaine
Active Directory.
1.6.1. Zones intégrées Active Directory

L’intégration du système DNS et Active Directory présente les avantages suivants:
- les zones intégrées Active Directory sont des zones principales stockées en tant
qu’objet dans la base de données Active Directory.
Ce fichier de base de données de zone est donc dupliqué lors de la duplication d’Active
Directory plutôt que lors des transferts de zones DNS entre DNS principal et secondaire.
- Elle active les mises à jour dynamiques sécurisées. On peut en effet définir des
permissions pour les enregistrements pour vérifier quels sont les ordinateurs pouvant
mettre à jour leurs enregistrements.
Les zones intégrées Active Directory

 Elles stockent les zones principales dans Active Directory
sous la forme d'un objet
 Elles dupliquent les informations de zone DNS lors de la
duplication Active Directory
 Elles offrent d’autres avantages :
– Elles éliminent un serveur DNS principal en tant qu’unique
point faible
– Elles activent des mises à jour dynamiques sécurisées
– Elles effectuent des transferts de zone standard vers d’autres
serveurs DNS
Zone
Zone intégrée
intégrée
Active
Active Directory
Directory
Active
ActiveDirectory
Directory
contoso.com
Serveur DNS
23243591.doc Page 8 sur 68

1.6.2. Utilisation du DNS par les ordinateurs pour repérer les contrôleurs de
domaine
Pour ouvrir une session sur un domaine Windows 2000 ou pour parcourir Active Directory,
un ordinateur client doit contacter un contrôleur de domaine. Tous les contrôleurs de
domaine inscrivent à la fois des enregistrements de ressource A et des enregistrements SRV
(Service Resource Record). L’enregistrement de ressource A contient le nom de domaine
complet et l’adresse IP du contrôleur de domaine. L’enregistrement SRV contient le nom de
domaine complet du contrôleur de domaine et le nom du service offert par ce m^me
contrôleur. L’ordinateur client peut ainsi consulter le système DNS pour déterminer
l’emplacement d’un contrôleur de domaine.
Utilisation du DNS par les ordinateurs

pour rep érer les contr ôleurs de domaine
Ouvertured’unesessionourecherche
1 dans ActiveDirectory
Leservice Netlogon récupèreles

2 informations surleclient
Enregistrements
SRV
3 IlIlenvoie
les
envoie un
unrequête
requête DNS
DNS contenant
contenant
lesinformations
informationssur
sur leleclient
client
Basededonnées
Le
LeDNS
DNS interroge
interroge les
lesenregistrements
enregistrements SRV
SRV 4 dezone
Ordinateurclient SERVEUR DNS

IlIlrenvoie
renvoie lalaliste
liste des
des adresses
adresses IP
IP 5
6 Le
Leclient
client contacte
contacte les
lescontrôleurs
contrôleurs de
dedomaine
domaine
Les
Les contrôleurs
contrôleurs de
dedomaine
domainerépondent
répondent 7
Le clientenvoie 8 ServeurLDAP
unedemande s’exécutantsur
à uncontrôleur uncontrôleurde
de domaine domaine
Les clients Active Directory utilisent DNS pour rechercher des contrôleurs de domaine
susceptibles de les authentifier.
La disponibilité du serveur DNS est donc cruciale pour le bon fonctionnement de AD et la

connexion des clients. Windows 2000 demande qu’une infrastructure DNS soit en place
lorsque l’on installe Active Directory.
DNS est un protocole ouvert normalisé par un ensemble de RFC (Requests for Comments).
Microsoft prend en charge et respecte ces spécifications. Dans la mesure où il est conforme
aux RFC et peut utiliser des formats de fichiers de données et d'enregistrements de
ressources DNS standard, le service DNS est capable de fonctionner correctement avec la
plupart des autres implémentations serveur, notamment celles utilisées par le logiciel BIND
(Berkeley Internet Name Domain).
1.6.3. Prise en charge du protocole de mise à jour dynamique conforme aux

RFC
Le service DNS permet aux clients de mettre à jour dynamiquement les enregistrements de
ressources conformément au protocole de mise à jour dynamique DNS (RFC 2136). Cette
fonctionnalité améliore l'administration DNS en réduisant le temps nécessaire à la gestion
manuelle de ces enregistrements. Les ordinateurs qui exécutent Windows 2000 peuvent
enregistrer dynamiquement leurs noms DNS et leurs adresses IP.
23243591.doc Page 9 sur 68

2. Structure logique
Dans Active Directory, la structure logique est séparée de la structure physique.
- La structure logique permet d’organiser les ressources du réseau.
- La structure physique permet de configurer et gérer le trafic réseau
Les composants logiques de la structure d’Active Directory sont les suivants:
 Domaines
 Unités d'organisation
Domaine
Dom aine
 Arborescences et forêts
 Schéma Arborescence
U
UO
O
Domaine
Dom aine Domain
Dom ain
U
UO
O U
UO
O
Domaine
Forêt Dom aine
Domaine
Dom aine
Arborescence
Domaine
Dom aine Domaine
Dom aine
Il est important de comprendre le rôle et la fonction des composants logiques de la structure

d’Active Directory pour réaliser les tâches d’installation, de configuration d’administration et
de dépannage.
2.1. Domaines
Il s’agit de l’unité fondamentale de la structure logique d’Active Directory.
C’est un ensemble d’ordinateurs définis par un administrateur qui partagent une même base
de données d’annuaire.
2.1.1 Limite de sécurité

Le rôle d’une limite de sécurité est de veiller à ce qu’un administrateur de domaine ait les
autorisations et droits nécessaires pour administrer exclusivement le domaine en question,
sauf s’il est habilité à s’occuper d’un autre domaine.
Chaque domaine dispose de ses propres stratégies et relations de sécurité avec d’autres
domaines.
2.1.2. Unité de duplication

Les domaines constituent également des unités de duplication. Dans un domaine, les
contrôleurs de domaine contiennent un réplica de l’annuaire Active Directory.
Chaque contrôleur peut recevoir des modifications et les dupliquer vers l’ensemble des
autres contrôleurs du domaine.
2.1.3. Modes de domaine

Il existe 2 modes:
23243591.doc Page 10 sur 68

o le mode mixte: permet d’inclure des serveurs NT4.0
o le mode natif: environnement W2K.
 Limite de sécurité
 Unité de duplication
 Modes des domaines
Mode mixte Mode natif
Contrôleur
Contrôleur dede domaine
domaine
(W
(Windows
indows2000)
2000)
et
Contrôleur
Contrôleur de
de dom
domaine
aine Contrôleurs
Contrôleurs de
de dom aine
domaine
(W
(Windows
indowsNT
NT4.0)
4.0) (W
(Windows
indows2000
2000 uniquement
uniquement ))
2.2. Unité d’organisation

Une unité d’organisation est un objet conteneur utilisé pour organiser les objets d’un
domaine. Une unité d’organisation contient des objets tels que:
- des comptes d’utilisateurs,
- des groupes,
- des ordinateurs,
- des imprimantes,
- d’autres unités d’organisation.
2.2.1. Hiérarchie des unités d’organisation

On peut utiliser les UO pour:
- regrouper des objets en une hiérarchie logique répondant aux besoins de l’entreprise:
par services ou limites géographiques,
- créer un modèle d’administration reposant sur les responsabilités administratives: on
peut charger un administrateur de gérer les comptes et un autre de gérer les
ordinateurs; on créera alors une UO pour les comptes et une UO pour les
ordinateurs.
 Hiérarchie des unités d'organisation

Structure
Structure organisationnelle
organisationnelle Modèle
Modèled'administration
d'administrationde
deréseau
réseau
Paris Ventes
Ventes Utilisateurs
Réparation Ordinateurs
 Contrôle administratif des unités d'organisation

 Unités d'organisation et modèle à domaine unique
23243591.doc Page 11 sur 68

2.2.2. Contrôle d’administration des unités d’organisation
On peut donc déléguer le contrôle de l’administration sur les objets d’une UO.
Pour une UO, on peut accorder un contrôle d’administration complet ou limité.
2.3. Arborescences et forêts

Le premier domaine Windows 2000 que l’on crée est le domaine racine de la forêt.
Des domaines sont ajoutés pour former la structure arborescente ou la structure de la forêt,
selon les exigences pour les noms de domaines.
2.3.1. Arborescences
Une arborescence est une organisation hiérarchique de domaines Windows 2000 qui
partagent un espace de noms contigus.
Lorsque l’on ajoute un domaine à une arborescence, le nouveau domaine est un domaine
enfant d’un domina parent existant.
Le nom de ce domaine enfant est combiné au nom de son domaine parent pour former son
nom DNS.
Chaque domaine enfant a une relation d’approbation transitive bidirectionnelle avec son
domaine parent.
2.3.2. Approbations transitives bidirectionnelles

Toutes les approbations de domaines d'une forêt Windows 2000 sont des approbations
transitives. Les approbations transitives sont toujours des relations bidirectionnelles. Les
deux domaines de la relation s'approuvent mutuellement.
2.3.3. Approbation non transitive

Toutes les relations d'approbation entre les domaines Windows 2000 et Windows NT sont
des relations non transitives. Lors d'une mise à niveau de Windows NT vers Windows 2000,
toutes les approbations Windows NT existantes restent inchangées. Dans un environnement
en mode mixte, toutes les approbations Windows NT sont non transitives.
Des arborescences reliées par des relations d’approbation forment une forêt.
2.3.4. Forêts
Une forêt comprend une ou plusieurs arborescences. Les arborescences de domaine à
l’intérieur d’une forêt ne formant pas un espace de noms contigus.
23243591.doc Page 12 sur 68

(racine )
A
Approbations
pprobations transitives
transitives
bidirectionnelles
bidirectionnelles
Contoso
Contoso .msft
.msft
Forêt
Arborescence
China.
China. Japan.
Japan.
Nwtraders
Nwtraders .msftsft Contoso
.m Contoso .m sft
.msft Contoso
Contoso .m
.msft
sft
Arborescence
China.
China. Japan.
Japan. Dom
Domaine
aine
Nwtraders
Nwtraders .m sft
.m sft Nwtraders
Nwtraders .m sft
.m sft Windows
W indowsNT 4.0
NT 4.0
A
Approbation
pprobationnon
nontransitive
transitive
unidirectionnelle
unidirectionnelle
Les arborescences d’une forêt partagent un schéma et un catalogue global communs.
2.4. Schéma Active Directory

Le schéma d’Active Directory contient les informations de tous les objets (ordinateurs,
utilisateurs, imprimantes) stockés dans Active Directory.
Il n’ay a qu’un seul schéma par forêt.
Le schéma comprend deux types de définitions:
- les classes d’objets: elles décrivent les objets de l’annuaire qu’il est possible de
créer; chaque classe est un regroupement d’attributs
- les attributs d’objets: chaque attribut est défini une seule fois; il peut être utilisé
dans plusieurs dans une classe. Par exemple l’attribut Description est souvent utilisé
dans plusieurs classes.
Le schéma est stocké dans la base de données d’Active Directory. Ce stockage signifie
que le schéma:
- est dynamiquement disponible pour toutes les applications utilisateurs,
- peut être mis à jour dynamiquement,
- peut utiliser des listes de contrôles d’accès discrétionnaire (DACL, Discretionary
Access Control List) pour protéger l’ensemble des classes et des attributs.
Exemples Disponible
Disponibledynam
dynamiquem
iquement
ent ,,
de classes peut
peut être
être m
mis
is ààjour,
jour,
d'objets : protégé
protégépar
parDACL
DACL
Exemples
d'attributs :
Ordinateurs Les
Les attributs
attributs
Ordinateurs d'Utilisateurs
d'Utilisateurs
peuvent
peuventcontenir
contenir :: Liste
Liste d'attributs
d'attributs
accountExpires
accountExpires accountExpires
accountExpires
badPasswordTime
badPasswordTime badPasswordTime
badPasswordTime
Utilisateurs mail
mail mail
mail
Utilisateurs
name
name cAConnect
cAConnect
dhcpType
dhcpType
eFSPolicy
eFSPolicy
fromServer
fromServer
governsID
governsID
Name
Name
Serveurs
Serveurs ……
23243591.doc Page 13 sur 68

2.5. Les contextes de nommage ou partitions
Les informations stockées dans l'annuaire sont classées en trois catégories. Chacune de ces
catégories d'informations est appelée partition d'annuaire. Ces partitions d'annuaire
correspondent aux unités de réplication. Les informations contenues dans chaque partition
d'annuaire sont décrites ci-dessous:
• Informations sur le schéma. Ces informations définissent les objets qui peuvent
être créés dans l'annuaire et les attributs que ces objets peuvent posséder. Ces
informations sont communes à tous les domaines de la forêt.
• Informations de configuration. Ces informations décrivent la structure logique de
votre déploiement et contiennent des informations comme la structure du domaine ou
la topologie de la réplication. Ces informations sont communes à tous les domaines
de la forêt.
• Données du domaine. Ces données décrivent tous les objets d'un domaine. Ces
données sont assujetties au domaine et ne sont pas distribuées vers d'autres
domaines. Afin de rechercher des informations à travers l'arborescence du domaine
ou la forêt, un sous-réseau des propriétés de tous les objets de tous les domaines est
stocké dans le catalogue global.
Les informations du schéma et de la configuration sont répliquées dans tous les
contrôleurs de domaine de la forêt.
Toutes les données d'un domaine précis sont répliquées dans chaque contrôleur de ce
domaine.
Tous les objets de chaque domaine ainsi qu'un sous-réseau des propriétés de tous les
objets de la forêt sont répliqués dans le catalogue global.
3. Structure physique
Les sites et les contrôleurs de domaine forment la structure physique d’Active Directory.
3.1. Sites
Un site est une combinaison d’un ou plusieurs sous-réseaux IP connectés par une liaison à
haut débit. On a recours aux sites pour optimiser la bande passante du réseau selon les
propositions suivantes:
- Trafic d’ouverture de session des stations de travail: lorsqu’un utilisateur ouvre
une session, Windows 2000 recherche un contrôleur de domaine situé dans le même
site que celui de la station de travail.
- Trafic de duplication: lorsqu’une modification est apportée à Active Directory, les
sites permettent de contrôler quand et comment celle-ci est dupliquée vers les
contrôleurs de domaine d’un autre site.
- Topologie DFS (Distributed File System): si un fichier ou un dossier partagé se
trouve sur plusieurs emplacements, l’utilisateur est dirigé vers un serveur de son
propre site. ?
- Service FRS (File Replication Service): ce service permet de dupliquer le contenu
du répertoire SYSVOL, qui comprend les scripts d’ouverture et de fermeture de
session, les paramètres de stratégie de groupe et les stratégies systèmes pour
Windows95, Windows98 et NT4.0. Ce service utilise les sites pour déterminer sa
topologie de duplication.
23243591.doc Page 14 sur 68

Les sites correspondent à la structure physique du réseau tandis qu'en règle générale, les
domaines mappent la structure logique de l’entreprise. Les structures logiques et physiques
dépendent l'une de l'autre, ce qui entraîne les conséquences suivantes:
• Il n'y a pas de corrélation obligatoire entre la structure physique de votre réseau et la
structure de son domaine.
• Active Directory autorise plusieurs domaines dans un seul site et plusieurs sites dans
un seul domaine.
• Il n'y a pas de connexion obligatoire entre les sites et les espaces de noms de
domaine.
Si un déploiement n'est pas organisé en sites, l'échange d'informations dans les contrôleurs
de domaine et les clients peut être difficile. Les sites améliorent l'efficacité de l'utilisation du
réseau.
3.1.1. Quand établir un site unique

Lors de la planification de la réplication de l'annuaire, commencez par une structure de site
unique, puis ajoutez des sites selon les contraintes imposées par la bande passante et la
connectivité.
Le site le mieux relié est celui dont le coût de liaison est le moins élevé. Il est plus facile
d'obtenir une connexion rapide et fiable lorsque les ordinateurs se situent à proximité les uns
des autres. Le fait d'avoir des ordinateurs dans un même sous-réseau suppose que ces
ordinateurs soient reliés correctement et dans un même site.
Remarque
Un ordinateur multirésident (qui comporte plusieurs adresses IP) avec des adresses de
sous-réseau dans différents sites ne peut appartenir qu'à un seul site et non à la totalité. Il
est conseillé d'attribuer toutes les adresses d'un ordinateur multirésident au même site.
3.1.2. Quand établir des sites séparés

L'établissement de sites séparés présente les avantages suivants:
- Fragmente l'utilisation du réseau par le client
- Optimise l'échange d'informations d'annuaire
- Facilite l'administration en centralisant les ressources telles que les
informations de configuration.
- Permet d'effectuer des réplications avec plus de précision
En créant des sites séparés, vous pouvez adapter la réplication aux conditions du site. Vous
pouvez par exemple avoir une ligne haute vitesse comme connexion réseau par défaut et
23243591.doc Page 15 sur 68

une connexion réseau d'accès à distance au cas où la ligne haute vitesse ne serait pas
disponible. Lorsqu'il existe plusieurs connexions réseau redondantes, Active Directory choisit
toujours la connexion en fonction du coût; utilisant la connexion la moins coûteuse, à
condition qu'elle soit disponible et, si ce n'est pas le cas, Active Directory utilisera l'autre
connexion pour garantir la fiabilité.
Si la connectivité entre un groupe de serveurs et les clients est correcte, créez des sites et
établissez des serveurs de tête de pont dans chaque site afin d'équilibrer la charge. À
l'intérieur d'un site, chaque contrôleur de domaine a la possibilité d'agir en tant que serveur
de tête de pont, si nécessaire. Si vous spécifiez un ou plusieurs ordinateurs en tant que
serveurs de tête de pont prioritaires, seul un contrôleur de domaine peut à tout moment jouer
le rôle de serveur de tête de pont.
En bref, une liaison de sites dirige les informations de manière arbitraire vers un contrôleur
de domaine d'un site. Le fait d'installer un serveur de tête de pont permet d'obtenir un certain
classement ou certains critères permettant de sélectionner quel contrôleur de domaine
utiliser comme destinataire de la réplication inter-site. Ce serveur de tête de pont
distribue ensuite les informations de l'annuaire via la réplication intra-site.
3.1.3. Réplication intra-site

Mise à jour de la base d’annuaire à l’intérieur d’un site, c’est-à-dire entre contrôleurs de
domaine connectés par des liens rapides. Dans un site, la duplication a lieu cinq minutes
après une modification. La duplication est générée automatiquement à l’aide du
vérificateur de cohérence appelé KCC (Knowledge Consistency Checker).
3.1.4. Réplication inter-sites

Cette duplication doit être paramétrée manuellement. Les données dupliquées sont
compressées à environ 10% de leur volume initial. On peut programmer la périodicité de la
duplication.
3.1.5. Exemple 1
Déploiement des sites à Seattle, Atlanta, Mexico et Sydney.
Dans ce type de déploiement, il est préférable de créer les sites en fonction de leurs limites
géographiques, car les ordinateurs situés dans une seule zone géographique seront mieux
23243591.doc Page 16 sur 68

reliés que les ordinateurs situés dans des zones différentes. Dans cet exemple, les sites sont
reliés à l'aide de ponts de liaison de sites.
• Seattle et Mexico sont reliées à la fois directement et à travers le site Atlanta. Si l'une
des connexions qui relie Seattle et Mexico est indisponible, l'autre connexion peut être
utilisée pour maintenir l'échange d'informations de l'annuaire. Ce type de redondance
rendra plus fiable l'échange d'informations de l'annuaire. Dans ce cas, avec des
sites reliés par plusieurs routes, établissez différents coûts de liaison de sites afin
d'utiliser une route en priorité. Par exemple, établissez un coût plus élevé pour la
liaison de sites de Seattle à Mexico si la bande passante est plus limitée que celle des
connexions de Seattle à Atlanta et d'Atlanta à Mexico.
• Étant donné que Sidney n'est pas relié directement à Seattle ou à Atlanta, les sites
Seattle et Atlanta ne peuvent échanger des informations d'annuaire qu'avec le site
Sidney en répliquant à travers le site Mexico. Une telle configuration est logique à
condition qu'il n'existe pas de connexion directe fiable entre Seattle ou Atlanta et
Sydney.
3.1.6. Exemple 2
Cet exemple présente au total six contrôleurs de domaine, dont deux sont des serveurs de
tête de pont.
• Les deux sites sont reliés par un pont de liaison de sites. Ce pont de liaison de
sites peut contenir plus de sites. À l'intérieur du pont de liaison de sites, il existe une
ligne qui représente la connexion à partir des serveurs de tête de pont de chaque site.
• Les serveurs de tête de pont sont les serveurs préférés pour la réplication, mais
les autres contrôleurs de domaine du site peuvent être configurés pour répliquer les
modifications de l'annuaire.
• Une fois que les mises à jour ont été répliquées sur les serveurs de tête de pont
de l'autre site, les mises à jour sont ensuite répliquées sur d'autres contrôleurs de
domaine du site à l'aide de la réplication intra-site. Même si un seul contrôleur de
domaine reçoit la première mise à jour inter-site de l'annuaire, tous les contrôleurs de
domaine répondent aux requêtes émises par les clients.
3.2. Contrôleurs de domaine
23243591.doc Page 17 sur 68

Un contrôleur de domaine est un ordinateur exécutant Windows 2000 Server qui stocke un
réplica de l’annuaire. Il gère les modifications apportées aux informations de l’annuaire et
les duplique vers d’autres contrôleurs du même domaine.
Contrôleur
Contrôleurde
dedom
domaine
aine Contrôleur
Contrôleur de
dedom
domaine
aine
ur1 ur1
sate sate
Utili ateur2 Duplication
Duplication Utili ateur2
lis s
U ti Utili
Domaine
Domaine
3.3. Catalogue global

Le catalogue global est un référentiel d’informations qui contient un sous-ensemble
d’attributs relatifs à tous les objets Active Directory. Par défaut, les attributs stockés dans le
catalogue global sont les plus fréquemment utilisés dans les requêtes. Le catalogue global
permet aux utilisateurs:
- de trouver des informations Active Directory dans toute la forêt,
- d’utiliser des informations d’appartenance à des groupes universels pour ouvrir une
session sur le réseau.
Comme indiqué plus haut, la base de données AD est divisée en trois partitions de schéma,
de configuration et de domaine. Seules les informations du schéma et celles de
configuration sont dupliquées entre domaines. Comme les informations des objets d’un
domaine de la forêt ne sont pas dupliquées vers les autres domaines de la forêt, le
serveur de catalogue global va être utilisé pour effectuer des recherches dans la forêt.
Le catalogue global contient également les autorisations d’accès pour chacun des objets
et attributs qu’il contient. Si l’on recherche un objet pour lequel on ne dispose des
autorisations nécessaires, celui-ci n’apparaît pas dans les résultats de la recherche.
23243591.doc Page 18 sur 68

Attributs
Attributs Domaine
d'objets
d'objets
Domaine Domaine Domaine
Catalogue
Catalogueglobal
global
Requêtes
Requêtes Domaine Domaine
Adhésion
Adhésion ààun
Adhésion un groupe
groupe
lorsque
lorsquel'utilisateur
l'utilisateur
ouvre
ouvreune
une session
session
Serveur
Serveur de
decatalogue
catalogueglobal
global
Les serveurs de catalogue global servent dans le processus d’ouverture de session. Le

contrôleur qui reçoit la requête d’ouverture de session va consulter un serveur de catalogue
global pour obtenir des informations sur l’appartenance à des groupes universels. Si ce
serveur n’est pas disponible, les clients ne pourront qu'ouvrir une session localement.
Il est conseillé de disposer d’un serveur de catalogue global de chaque côté de liaisons
lentes
On peut configurer d’autres serveurs de catalogue global pour réguler le trafic

d’authentification d’ouverture de session et celui des requêtes.
3.4. Opérations principales simples

Active Directory prend en charge la réplication multimaître des données de l'annuaire
parmi tous les contrôleurs de domaine du domaine. Certaines modifications ne peuvent pas
être effectuées de manière multimaître. Toutefois, un seul contrôleur de domaine, appelé
maître d'opérations, accepte les requêtes pour ces types de modifications. La réplication
multimaître est une évolution du modèle de contrôleur principal de domaine et contrôleur
secondaire de domaine utilisé dans Windows NT Server 4.0. Dans ce modèle, seul un
serveur, le contrôleur principal de domaine, dispose d'une copie pour lecture et écriture de
l'annuaire.
Dans toute forêt Active Directory, cinq rôles de maître d'opérations peuvent être attribués
à un ou à plusieurs contrôleurs de domaine. Certains rôles doivent apparaître dans chaque
forêt; d'autres doivent apparaître dans chaque domaine de la forêt.
Rôles de maître d'opérations à l'intérieur d'une forêt

Ces rôles doivent être uniques à l'intérieur de la forêt
Contrôleur de schéma
Le contrôleur de domaine contrôleur de schéma contrôle toutes les mises à jour et les
modifications du schéma. Pour mettre à jour le schéma d'une forêt, vous devez
accéder au contrôleur de schéma, avec un compte membre du groupe Administrateurs
de Schéma.
23243591.doc Page 19 sur 68

Maître d'attribution de noms de domaine ou de nommage
Le contrôleur de domaine qui joue le rôle de maître d'attribution de noms de domaine
contrôle l'ajout ou la suppression de domaines dans la forêt.
Rôles de maître d'opérations à l'intérieur d'un domaine

Ces rôles doivent être uniques à l'intérieur de chaque domaine
Maître RID (Relative Identifier)

Le maître RID alloue des séquences d'ID relatifs à chacun des différents contrôleurs
de domaine de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet
utilisateur, groupe ou ordinateur, il affecte à l'objet un ID de sécurité unique. L'ID de
sécurité se compose d'un ID de sécurité du domaine (qui est identique pour tous les ID
de sécurité créés dans le domaine) et d'un ID relatif qui est unique pour chaque ID
de sécurité créé dans le domaine. Pour déplacer un objet entre les domaines (à
l'aide de Movetree.exe), vous devez commencer le déplacement sur le contrôleur de
domaine qui joue le rôle de maître RID du domaine qui contient actuellement l'objet.
Émulateur PDC
Si le domaine contient des ordinateurs qui n'utilisent pas le logiciel client
Windows 2000 ou s'il contient des contrôleurs secondaires de domaine Windows NT,
l'émulateur PDC joue le rôle de contrôleur principal de domaine Windows NT. Il
traite les modifications de mot de passe des clients et réplique les mises à jour sur les
contrôleurs secondaires de domaine. Dans un domaine Windows 2000 fonctionnant en
mode natif, l'émulateur PDC reçoit une réplication préférentielle des modifications de
mot de passe effectuées par d'autres contrôleurs de domaine du domaine. Si un mot
de passe a été modifié récemment, cette modification n'est pas répliquée
immédiatement sur chaque contrôleur de domaine du domaine. Si une authentification
d'ouverture de session échoue sur un contrôleur de domaine à cause d'une erreur de
mot de passe, ce contrôleur de domaine transmettra la demande d'authentification à
l'émulateur PDC avant de refuser la tentative d'ouverture de session.
Maître d'infrastructure
Le maître d'infrastructure est responsable de la mise à jour des références groupe-
utilisateur chaque fois que les membres des groupes sont renommés ou modifiés.
Lorsque vous renommez ou déplacez un membre d'un groupe (et si ce membre réside
dans un domaine différent de celui du groupe), ce membre peut ne pas apparaître
temporairement dans ce groupe. Le maître d'infrastructure du domaine du groupe est
responsable de la mise à jour du groupe. Par conséquent, il connaît le nouveau nom
ou le nouvel emplacement du membre. Le maître d'infrastructure distribue la mise à
jour via la réplication MultiMaster (multimaîtres). La sécurité n'est pas compromise
pendant le délai compris entre le renommage du membre et la mise à jour du groupe.
Seul un administrateur qui observe cette appartenance au groupe spécifique
remarquera l'incohérence temporaire.
23243591.doc Page 20 sur 68

4. Installation et configuration du DNS pour la prise en
charge Active Directory
On ne peut pas installer Active Directory sans un système DNS sur le réseau. Le DNS est
installé avant Active Directory ou automatiquement en même temps que Active Directory.
4.1. Résolution de noms DNS dans Active Directory

Les contrôleurs de domaine sont identifiés par:
- un nom de domaine complet dans le système DNS,
- par un nom complet d’ordinateur dans Windows 2000,
- par les services particuliers qu’ils offrent.
Windows 2000 utilise le système DNS pour déterminer l’emplacement des contrôleurs de
domaine en résolvant un nom de domaine ou d’ordinateur en adresse IP. Cela est possible
grâce aux enregistrements de ressources SRV (Service Resource Record) qui mappent un
service particulier sur le contrôleur de domaine offrant ce service. Le format d’un
enregistrement SRV contient ces informations, ainsi que des données propres au protocole
TCP/IP.
4.1.1. Enregistrement de ressource SRV

Les enregistrements SRV lient le nom d’un service au nom de l’ordinateur DNS du contrôleur
de domaine qui offre ce service. Windows 2000 utilise les enregistrements SRV pour
déterminer l’emplacement d’un:
o contrôleur de domaine dans un domaine ou une forêt spécifique,
o contrôleur de domaine sur le même site que l’ordinateur client,
o contrôleur de domaine configuré en tant que serveur de catalogue global,
o ordinateur configuré en tant que serveur KDC (Key Distribution Center)
Kerberos
Les serveurs DNS utilisent les informations de l’enregistrement SRV et de l’enregistrement
de ressource A pour déterminer l’emplacement des contrôleurs de domaine.
4.1.2. Enregistrements SRV et de ressource A
23243591.doc Page 21 sur 68

Lorsqu’un contrôleur de domaine démarre, il consigne des enregistrements SRV contenant
des informations relatives aux services qu’il offre, ainsi qu'un enregistrement de ressource A
contenant son nom d’ordinateur DNS et son adresse IP. Dans Windows 2000, les
contrôleurs de domaine sont également appelés serveurs LDAP (Lightweight Directory
Access Protocol) du fait qu’ils exécutent le service LDAP (sur le port TCP 389) qui répond
aux requêtes de recherche ou de modification des objets dans Active Directory.
4.1.3. Format d’enregistrement SRV

Les finalités de chacun des champs spécialisés utilisés dans un enregistrement de ressource
SRV sont les suivantes:
• service: Nom symbolique pour le service désiré. Pour les services usuels, un nom
symbolique universel réservé tel que « _telnet » ou « _smtp » est défini dans la
RFC 1700.
• protocole: Indique le type du protocole de transport. En règle générale, il s'agit de
TCP ou de UDP, bien que tous les protocoles de transport nommés dans la RFC 1700
puissent être utilisés.
• nom: Nom de domaine DNS auquel cet enregistrement de ressource fait référence.
• TTL: spécifie la durée de vie de l’enregistrement de ressource DNS standard
• Classe: Spécifie la classe de l’enregistrement de ressource DNS standard; presque
toujours IN pour le système Internet.
• priorité: Définit la préférence pour un hôte spécifié dans le champ cible. Les clients
DNS qui recherchent des enregistrements de ressources SRV essaient de contacter le
premier hôte accessible de la plus faible valeur de préférence indiquée ici. La plage des
valeurs de préférence est comprise entre 0 et 65535.
• poids Peut être utilisé en même temps que préférence pour offrir un mécanisme
d'équilibrage entre plusieurs serveurs qui sont spécifiés dans le champ cible et qui
correspondent tous au même niveau de préférence. Lorsqu'une valeur différente de zéro
est utilisée, les serveurs de même préférence sont testés proportionnellement au poids
de cette valeur. La plage de valeurs est comprise entre 1 et 65535. Si l'équilibrage de
charge n'est pas nécessaire, utilisez la valeur 0 dans ce champ pour faciliter la lecture
de l'enregistrement.
• port: Port du serveur sur l'hôte cible qui offre le service indiqué dans le champ
service. La plage de numéros de port est comprise entre 0 et 65535, même si le
numéro est généralement un numéro de port connu réservé au service, comme le définit
la RFC 1700. Les ports non assignés peuvent être utilisés si nécessaire.
• cible: Spécifie le nom de domaine DNS de l'hôte qui offre le type de service
demandé. À chaque nom d'hôte utilisé doit correspondre un enregistrement de
ressource A (adresse d'hôte) dans l'espace de noms DNS. Un seul point (.) peut être
utilisé dans ce champ pour indiquer de manière forcée que le service demandé, spécifié
dans cet enregistrement de ressource SRV, n'est pas disponible pour ce nom de
domaine DNS.
Syntaxe:
service.protocole.nom ttl classe SRV préférence poids port cible
Exemple:
_ldap._tcp.dmsi.esat.terre.def 600 IN SRV 0 100 389 svrdmsint4.dmsi.esat.terre.def
4.2. Configuration requise par le système DNS

- prise en charge des enregistrements SRV (obligatoire)(RFC 2052)
- prise en charge du protocole de mise à jour dynamique (conseillée)(RFC 2136)
23243591.doc Page 22 sur 68

o Si le DNS ne prend pas en charge les mises à jour dynamique vous devez
entrer manuellement les enregistrements de ressource SRV.
- prise en charge des transferts de zones incrémentiels (conseillée)(RFC 1995)
o Ce service permet la duplication des enregistrements de ressources
nouveaux ou modifiés entre les serveurs DNS plutôt que sur le fichier de données de
toute la zone.
4.3. Installation
4.3.1. Conception de l’espace de noms
La conception de l’espace de noms logique permet de décider le nombre de domaines,
d’arborescences de domaines et de forêts dont on a besoin et comment les nommer. En cas
d’infrastructure NT4.0 existante ,il faut décider si elle doit être reproduite ou améliorer; grâce
à AD, on pourra en effet déléguer l’administration par le biais des unités organisationnelles
(UO). Le nombres de domaines devrait donc être en principe plus limité. Plusieurs facteurs
influencent la conception de l’espace de noms:
Facteur organisationnel
Il est très difficile voire impossible de renommer les domaines; il est impossible de
renommer le domaine racine. Pour créer une délégation granulaire, il faut créer des UO ou
utiliser des groupes de sécurité au sein des UO; on risque d’alourdir la tâche chaque fois
qu’il faut modifier des UO. L’utilisation de groupes de sécurité ne permet pas de voir sur
l’écran les objets délégués aussi clairement que des UO séparées. L’espace de noms AD
est alors complexe et sa duplication sera lourde en terme de temps et de ressources.
Facteurs techniques
La conception de l’espace de noms demande de bonnes connaissances de Active Directory
et ses limites. Les Group Policy Objects (GPO) peuvent influencer la mise en œuvre de
l’espace de noms AD. Il est donc important de connaître le fonctionnement des Stratégies de
groupe avant de définir un espace de noms
Choix des noms

Il est fortement recommandé de n'utiliser dans vos noms que des caractères qui font partie
du jeu de caractères standard Internet autorisé pour les noms d'hôte DNS. Les caractères
autorisés sont définis dans la RFC 1123 comme suit: toutes les lettres majuscules (A-Z),
toutes les lettres minuscules (a-z), tous les nombres (0-9) et le tiret (-). Si un nom de
domaine DNS non standard est entré durant l'installation de Windows 2000, un message
d'avertissement s'affiche, conseillant d'utiliser plutôt un nom DNS standard. Dans
Windows NT 4.0 et dans des versions précédentes, le nom utilisé pour identifier un
ordinateur Windows sur le réseau était un nom NetBIOS. Dans Windows 2000, un ordinateur
peut être identifié de l'une des façons suivantes:
• Un nom d'ordinateur NetBIOS qui est facultatif et qui est utilisé pour garantir
l'interfonctionnement avec des versions antérieures des systèmes Windows.
• Le nom d'ordinateur complet, qui est un nom de domaine complet (FQDN, fully
qualified domain name) pour l'ordinateur et qui est également son nom principal (ou
nom par défaut).
De plus, un ordinateur peut également être identifié par le FQDN, composé du nom
d'ordinateur (ou nom d'hôte) et d'un nom de domaine spécifique à la connexion, où l'un est
configuré et appliqué pour une connexion réseau spécifique sur l'ordinateur. Le nom
d'ordinateur complet est une combinaison du nom d'ordinateur et du nom de domaine DNS
de l'ordinateur. Le nom de domaine DNS de l'ordinateur fait partie de ses propriétés Système
et n'est pas lié à des composants réseau installés à cet effet. Toutefois, les ordinateurs qui
23243591.doc Page 23 sur 68

exécutent Windows 2000 et qui n'utilisent ni la gestion de réseau ni TCP/IP n'ont pas de nom
de domaine DNS.
4.3.2. Installation du service DNS

Pour installer le système DNS, il faut appliquer la procédure suivante:
Pour installer et configurer le système DNS
1 A
Attribuez
ttribuezune
uneadresse
adresseIP
IPstatique
statique
2 Configurez
Configurezle
lesuffixe
suffixeprincipal
principalDNS
DNS
3 Installez
Installezle
leservice
serviceServeur
ServeurDNS
DNS
4 Créer
Créerune
•• Elle
unezone
Elledoit
•• Elle
zonede
doitfaire
derecherche
recherchedirecte
faireautorité
autoritépour
directe::
pourvotre
votredom
domaine
aineDNS
DNS
Elleactive
activeles
lesmmises
isesààjour
jourdynam
dynamiques
iques
5 Créer
Créerune
unezone
zonede
derecherche
rechercheinversée
inversée(en
(enoption)
option)
Remarque: l’assistant Active Directory peut installer et configurer le service serveur DNS sur
lequel vous installez Active Directory. Cet assistant ne crée pas de zone de recherche
inversée.
Procédure
Il existe 2 méthodes pour installer le service DNS:
- par le panneau de Configuration et l’applet Ajout /Suppression de programmes, puis
Ajout de composants Windows
23243591.doc Page 24 sur 68

- ou par l’option Configurer votre serveur
L’assistant permet d’accéder directement à l’installation du DNS.
23243591.doc Page 25 sur 68

Ces 2 méthodes arrivent de toute façon au même écran; après invitation à insérer le CD de
Windows 2000, la fenêtre d’installation apparaît:
Si l’installation est assurée par l’assistant, l’écran suivant propose de gérer le DNS:
23243591.doc Page 26 sur 68

On pourra accéder à la gestion du DNS par l’option du menu des Outils d’administration:
La première fois que l’on lance la console de gestion (MMC) du DNS, l’écran suivant
propose de configurer le serveur DNS; il s’agit de créer des zones qui vont contenir les
enregistrements.
23243591.doc Page 27 sur 68

On va créer la zone de recherche et la zone de recherche inversée par l’assistant.
4.3.3. Création des zones de recherches

Zone de recherche
23243591.doc Page 28 sur 68

23243591.doc Page 29 sur 68
23243591.doc Page 30 sur 68
23243591.doc Page 31 sur 68
Zone de recherche inversée
23243591.doc Page 32 sur 68

23243591.doc Page 33 sur 68
4.3.4. Configuration des zones DNS
Type de zones
Il existe trois types de zones:

- Principale standard: le serveur configuré comme serveur principal doit disposer de
ce type de zone.
- Secondaire standard: il s’agit d’une copie de la zone principal standard. Cette copie
est en lecture seule. Le but d’une telle zone est d’obtenir une tolérance de panne vis à
vis de la zone principale standard. Cette zone secondaire est hébergée sur un serveur.
23243591.doc Page 34 sur 68

- Intégrée Active Directory: il s’agit d’un fichier de zone stocké dans la base
d’annuaire Active Directory.
Les fichiers de zones principales standards ou secondaires standards sont stockées sur le
serveur les hébergeant sous %systemroot%\system32\dns. Pour une zone intégrée Active
Directory, il n’y a aucun fichier de zone présent sur le serveur: le fichier de zone se trouve
dans la base d’annuaire.
Il est possible à tout moment de changer de type de zone. Cela peut être utile si l’on gère
une zone principale et une zone secondaire. Le serveur hébergeant la zone principale tombe
en panne. La zone secondaire pourra alors être utilisée par les clients mais aucune
modification ne pourra y être apporté (lecture seule). Dans ce cas, il faut la convertir en zone
principale.
Mise à jour dynamique
La mise à jour dynamique prise en charge par le service DNS de Windows 2000 permet de
renseigner automatiquement les fichiers de zones.
L’implémentation du DNS dynamique est définie par la RFC 2136. La RFC 2137 définit les
mises à jour sécurisées.
Les mises à jour dynamiques sont envoyées et actualisées périodiquement. Par défaut,
Windows 2000 envoie une actualisation toutes les 24 heures.
Configurations de transferts de zones
Le DNS principal doit en principe être secondé d’un deuxième serveur DNS; dans ce cas, il
faut assurer la cohérence des informations sur les serveurs principaux et secondaires.
Cette cohérence est assurée en configurant les transferts de zones.
La majorité des serveurs DNS prennent en charge le transfert de zone AXFR alors que
Windows 2000 prend en charge AXFR et IXFR.
23243591.doc Page 35 sur 68

- Transfert de zone intégral (AXFR): toutes les informations de zone sont dupliquées
du serveur maître vers tous les serveurs secondaires.
- Transfert de zone incrémentiel (IXFR): transfère simplement les informations

modifiées.
Ce processus de transfert de zone survient:

o lorsqu’un serveur maître envoie une notification à ses serveurs secondaires.
o lors du démarrage d’un serveur secondaire
o lorsque la période d’expiration de l’intervalle d’actualisation est atteint,
o lorsque le numéro de série du SOA est incrémenté.
Ces paramètres peuvent être configurés dans l’écran suivant:
Numéro de série: ce numéro permet d’identifier si des changements de zone ont eu lieu. Il
est incrémenté automatiquement dès qu’il y une modification.
Si le numéro de série de la zone est plus élevé sur le serveur source que sur le serveur
secondaire effectuant la requête, un transfert est réalisé, mais seuls les changements des
enregistrements de ressources (RR) pour chaque version incrémentielle de la zone sont
transférés.
Intervalle d’actualisation: Permet de définir l’intervalle de temps pour qu’un serveur

secondaire demande un transfert de zone à son serveur maître.
Intervalle avant nouvelle tentative: en cas d’échec, le serveur secondaire essaie de contacter
son serveur maître après cet intervalle de temps.
Expire après: si le temps indiqué pour cette valeur est atteint, cela signifie que le serveur
secondaire n’a pas pu contacter le serveur maître; il va donc arrêter de répondre aux
requêtes des clients.
Il est possible de transférer les zones uniquement vers des serveurs identifiés.
23243591.doc Page 36 sur 68

Lorsque le transfert de zone est configuré, la zone du serveur secondaire est mise à jour
rapidement; sur ce serveur DNS secondaire, il peut être nécessaire de rafraîchir l’affichage
(touche F) pour visualiser tous les enregistrements transférés. En cas de problème, il faut
utiliser l’Observateur d’événements pour analyser le journal des événements du serveur
DNS.
Création manuelle d’enregistrements
On peut maintenant créer des enregistrements; dans l’exemple suivant, on crée un alias
nommé svr qui pointe sur un enregistrement de type hôte; afin d’éviter les erreurs de saisie
dans le FQDN, on utilise le bouton Parcourir pour rechercher l’enregistrement désiré.
23243591.doc Page 37 sur 68

23243591.doc Page 38 sur 68
L’enregistrement canonique est créé; il est visible dans la console du DNS.
Création de sous-domaines
Si l’on prévoie plusieurs domaines dans un système d’information, il faut créer plusieurs
zones DNS. Ces zones peuvent appartenir à un espace de nom contigu. Par exemple le
domaine dmsi.esat.terre.def et le sous domaine systeme.dmsi.esat.terre.def. Pour que tous
les clients puissent résoudre les noms, il faut mener les actions suivantes:
- sur le serveur gérant dmsi.esat.terre.def:
o dans la MMC du DNS, sélectionner la zone et cliquez sur Nouvelle
Délégation; il faut alors renseigner le nom du sous domaine (ici system); le
FQDN du domaine délégué est automatiquement renseigné.
o Selon les indications de l’assistant, indiquer vers quel serveur envoyer les
requêtes faisant référence à la zone system.dmsi.esat.terre.def (adresse IP
du serveur DNS)
- sur le serveur gérant system.dmsi.esat.terre.def
23243591.doc Page 39 sur 68

o dans la MMC du DNS, puis l’onglet Propriétés, cliquez sur l’onglet
Redirecteurs. Cochez la case Activer les redirecteurs et indiquez l’adresse IP
du serveur parent (ici dmsi.esat.terre.def)
Si l’on insère une station client dans le domaine, en renseignant l’ID réseau dans les
propriétés du Poste de travail, ces références sont automatiquement mises à jour dans la
zone DNS. On remarque ici une nouvelle station (C201-0123-0002) dont l’enregistrement a
été mis à jour automatiquement.
4.4. Configuration des clients

Pour qu’une station puisse utiliser les services proposés par le serveur DNS, il faut qu’elle
soit client d’un serveur DNS. La procédure est la suivante:
- cliquez avec le bouton droit sur Favoris réseau puis Propriétés
- effectuez ensuite un clic droit sur Connexion au réseau local puis Propriétés.
23243591.doc Page 40 sur 68

Remarque: il n’y a aucune corrélation entre serveurs DNS maître et secondaire et la notion
de serveurs DNS préféré et auxiliaire. Il peut être judicieux d’attribuer l’adresse IP du serveur
DNS principal comme serveur préféré et celle du serveur DNS secondaire comme serveur
auxiliaire à une moitié des clients et d’inverser pour l’autre moitié des clients.
4.5. Test du service DNS

Nslookup: Permet d'effectuer un test d'interrogation de l'espace de noms DNS.
Exemple: nslookup –type=ns Domaine_DNS

Cette commande permet de répertorier les noms de domaine complets des serveurs DNS
qui font autorité pour le domaine DNS nommé Domaine_DNS.
Ipconfig: Cette commande permet d'afficher et de modifier des détails de la configuration IP

utilisée par l'ordinateur. Pour Windows 2000, cette utilitaire comprend des options de ligne
de commande supplémentaires destinées à faciliter la résolution des problèmes et la prise
en charge des clients DNS.
Exemple:
ipconfig /renew
ipconfig /registerdns utilisée pour forcer manuellement l'actualisation de l'inscription du nom
de client dans DNS.
Ipconfig /flushdns: vide le cache DNS
Ipconfig /displaydns: affiche le cache du DNS
Dnscmd (Kit de Ressources Techniques Windows 2000 Server): Interface de ligne de

commande pour la gestion des serveurs DNS. Cet utilitaire sert dans les fichiers de
commandes de script où il permet d'automatiser des tâches routinières de gestion DNS ou
d'effectuer l'installation et la configuration de nouveaux serveurs DNS dans votre réseau de
manière simple et automatisée.
23243591.doc Page 41 sur 68

5. Création d’un domaine Windows 2000
5.1. Introduction
Pour implémenter une structure de domaine, on doit créer un domaine dans lequel on créera
ensuite des unités d’organisation (UO) , lesquelles renfermeront des utilisateurs, des
groupes et des objets ressource. Le premier domaine créé dans Active Directory représente
le domaine racine de la forêt. L’installation de Active Directory s’effectue sur un serveur
Windows 2000 membre ou autonome. Une fois la base d’annuaire installée, votre serveur
deviendra contrôleur de domaine. Active Directory sera un fichier de base de données
appelé NTDS.DIT situé sous %systemroot%\ntds.
5.2. Installation d’Active Directory

Configuration requise
La liste ci-dessous répertorie les éléments requis pour installer Active Directory.
Configuration requise pour installer Active Directory
O
Ordin
rd ateu
in rrexéc
ateu utan
exécu tanttW
Wind
indoow
w ss200 0S
2000 Seerv
rver,
er,W
Wind
indo
owss2200
w 0000
A
Advancce
dvan edd Serv
Serveer
ro u
ouWW ind
indoow
w ss2000
2000 Datac
D ente
atacen r
ter S
Server
erver
EEsp
space
acedis
d qu
isqueedd’au
’aum mooinss20
in 0M
200 Mo
oppo
ourrA
u ActiveeD
ctiv Directory
irectory
et
et50
50MMooppo
ourrles
u lesfic hiers
fichiersjo u
journau
rn xx
au
P
Partition
artitiono
ouuvv
oolum
lumeeau
auform
fo aa
rmttN
NTF
TFS
S
P
Protoc
ro ole
tocoleT
TCP
CPIP
IPinstallé
installéet
etcon
configu
fig ré p
uré pou
ourru
utiliser le
tiliser lesyss
sy tèmeeD
tèm D N
NSS
PPrivilèg
rivilègeeadm
adminis
in tratif n
istratif nécessaires p
écessaires o
pou
urrcréeru
créer n
und
dom
omainee
ain
su
surruunnrése au ex
réseau ista
exis ntt
tan
Si le service DNS n’est pas installé, l’assistant propose de l’installer.
Pour installer Active Directory, il faut exécuter la commande dcpromo.exe. La base de

comptes (base SAM) du serveur NT existant sera copié dans la base d’annuaire avant d’être
détruite de ce serveur; on ne perd donc pas les informations de comptes lors de la
migration des contrôleurs de domaines NT vers Windows 2000. Si l’on exécute la
commande dcpromo sur un contrôleur de domaine Windows 2000, on rétrograde alors le
contrôleur au titre de serveur membre ou autonome. On obtient alors une base SAM
vierge.
Avant de se lancer dans l’installation, il faut connaître exactement le rôle de ce serveur dans
la structure logique d’Active Directory.
La logique de l’installation peut être représentée comme suit:
23243591.doc Page 42 sur 68

D
DC
CP
PR
RO
OM
MO
O.EX
.EE
XE
C
Co
on
ntrô
trôleu
lerr
u d
dee do
dm
omaaine
ine ~ou ~ C
Co
on
ntrô
trôleu
lerr
u de
de d o
dm
oma
aine
ine
du
dunnoouv
uve
eau
au do
dm
omain
ainee ssuup
pplé
p m
léme
enta
n ir
ta e
ire
N
No
ouv
ue
vlle
ellearrb
aborr
oees
sce
cn
enc
cee ~ou ~ D
Do
om
ma
aine
ine e
enfa
n n
fatt
n
d
dee do
dommain
a e
ine
N
No
ou
uve
vlle
elle forr
foêêtt ~ou ~ F
Fo
orr
êêtte
exis
x ta
is n
tate
nte
Pour lancer l’installation d’Active Directory, il suffit ensuite de suivre la procédure indiquée:
- Taper dcpromo.exe dans l’invite de commande ou le menu Exécuter
On peut également passer par le menu Configurer votre serveur qui appelle l’assistant.
23243591.doc Page 43 sur 68

5.3. Création du premier domaine
Dans la majorité des cas, il est fortement conseillé de disposer d’un seul domaine.
En effet, dans NT4.0, il était intéressant de créer plusieurs domaines à des fins
administratives, ou encore lorsque la limite des 40000 objets était atteinte.
Avec Windows 2000 la délégation d’administration et la possibilité de créer des millions
d’objets incite à ne créer qu’un seul domaine.
Pour créer le nouveau domaine, nous suivons les étapes indiquées:
23243591.doc Page 44 sur 68

23243591.doc Page 45 sur 68
Entre ensuite le nom NETBIOS du domaine; ce nom va servir aux ordinateurs fonctionnant
avec une version antérieure à Windows 2000 pour identifier le domaine. Il doit comporter 15
caractères maximum.
Indiquer ensuite le chemin pour stocker les informations concernant Active Directory. Ces
fichiers peuvent être stockés sur une partition FAT ou NTFS. Il est conseillé de stocker ces
fichiers sur des disques distincts: l’écriture et lecture sollicitent ainsi des ressources
différentes.
23243591.doc Page 46 sur 68

Le dossier SYSVOL doit impérativement être posé sur une partition NTFS. Ce volume stocke
des fichiers, tels que les ouvertures de sessions, déconnexions et scripts de fermeture, les
informations sur les stratégies de groupe qui sont dupliquées sur tous les contrôleurs de
domaine.
Windows 2000 essaie ensuite de détecter un serveur DNS gérant la zone portant le nom de
domaine indiqué précédemment. Ce DNS doit supporter les enregistrements dynamiques. Si
aucun serveur n’est configuré, l’assistant propose d’installer le service DNS et de le
configurer.
23243591.doc Page 47 sur 68

Après installation du DNS, vous devez sélectionner le mode d’autorisation. Si l’on
sélectionne Autorisations compatibles avec les serveurs de version antérieure à
Windows 2000, le groupe Tout le monde aura la permission de lire tous les attributs de tous
les objets Active Directory. Cette option est utile si l’on a effectué une mise à niveau d’un
serveur NT 4 vers Windows 2000 avec le service RAS installé. Lors de la promotion de ce
dernier en contrôleur de domaine Windows 2000, il faudra choisir cette option pour pouvoir
continuer à utiliser le service RAS; en effet le service RAS de NT 4 utilise un compte
d’ouverture de session système renvoyant un nom d’ouverture de session et un mot de
passe vierge pour s’exécuter. Windows 2000 n’autorise pas les sessions NULL à lire les
attributs d’Active Directory.
23243591.doc Page 48 sur 68

Entrez un mot de passe et sa confirmation pour le mode Restauration de la base d’annuaire.
En effet, lors du lancement du système en mode récupération d’Active Directory, on
redémarre sans charger la base d’annuaire dans le but de restaure à partir d’une
sauvegarde. Les contrôleurs de domaine gèrent une petite version de la base de données de
compte qui contient uniquement ce compte
Vérifiez ici que toutes les actions qui vont être effectuées correspondant bien à l’installation
voulue.
23243591.doc Page 49 sur 68

23243591.doc Page 50 sur 68
Après le redémarrage, on peut poser les raccourcis de gestion d’Active Directory sur le
bureau.
5.4. Ajout d’un contrôleur de domaine à un domaine existant

Afin d’assurer une tolérance de panne et la partage des charge, il est conseillé de disposer
d’au moins deux contrôleurs de domaine dans un seul domaine.
Remarque :Il faut être membre du groupe Admins du domaine ou Administrateurs de

l’entreprise pour créer des contrôleurs de domaine.
La procédure est simple.
23243591.doc Page 51 sur 68

Ajout d'un contrôleur de domaine à un
domaine
 Démarrez l'Assistant d'installation

 Sélectionnez le type de
contrôleur de domaine
 Spécifiez les informations requises
 Informations d'identification réseau
 Nom DNS du domaine à joindre
 Emplacement de la base de données, du journal et
du volume système partagé
 Active Directory est installé
Pour ajouter un nouveau contrôleur, il faut se placer sur un serveur Windows 2000 et
lancer dcpromo.exe. Il suffit de se laisser guider par l’assistant.
23243591.doc Page 52 sur 68

Pour saisir le nom de domaine, vous pouvez utiliser le bouton parcourir; cela évitera les
erreurs de saisie. A ce moment, le système suppose l’existence d’un serveur DNS approprié;
aucune vérification du serveur DNS n’est effectuée.
- Entrez ensuite le chemin pour la base de données d’annuaire ainsi que pour les
fichiers de journalistique
- Entrez le chemin pour le volume système partagé (SYSVOL)
- Indiquez ensuite le mot de passe pour le compte administrateur lors d’un éventuel
démarrage en mode de restauration
- La duplication de la base d’annuaire Active Directory commence alors:
23243591.doc Page 53 sur 68

5.5. Bilan du processus d’installation d’Active Directory
5.5.1. Paramètres de configuration
Avant d’installer Active Directory, l’assistant vérifie:
- paramètres de l’interface utilisateur: utilisateur membre du groupe Administrateurs
locaux
- le nom NetBIOS et le nom du serveur: si le nom existe déjà dans le conteneur
Serveurs du site.
- La configuration TCP/IP: ce service réseau doit être installé comme le système DNS;
toutefois, si le système DNS n’est pas installé, l’assistant propose de le faire.
- Les noms de domaine DNS et NetBIOS: le nom DNS du domaine, et le nom
NetBIOS, doivent être uniques dans la forêt
- La disponibilité d’une partition NTFS pour poser le dossier SYSVOL.
Remarque: l’assistant d’installation Active Directory exige les informations d’identification

sous la forme: nom de l’utilisateur, mot de passe et domaine. Par conséquent, le nom
principal d’un utilisateur ne doit pas être utilisé pour installer Active Directory.
23243591.doc Page 54 sur 68

5.5.2. Configuration de site
- Le contrôleur de domaine est ajouté au site associé à son sous-réseau
- Le serveur est placé dans le site Premier-Site-par-defaut
- Un objet serveur est créé
La console Sites et services Active Directory présentent ces objets.
5.5.3. Configuration du service d’annuaire

Pour toutes les installations de contrôleurs de domaine, l’assistant réalise les opérations
suivantes:
- création des entrées de registres nécessaires
- paramétrage des compteurs de performances pour Active Directory
- configuration du serveur de certificat X.509
- démarrage du protocole d’authentification Kerberos version5
- paramétrage de la stratégie de sécurité locale (LSA, Local Security Authority) pour
indiquer que ce serveur est un contrôleur de domaine
- installation des raccourcis vers les outils d’administration
- configuration des partitions d’annuaire: le fichier modèle de la base de données
d’annuaire, ntds.dit, est copié vers racine_systeme\system32; le processus
configure le serveur pour qu’il héberge le service d’annuaire; cela comprend la
création des partions suivantes:
o partitions d’annuaire de schéma: contient le conteneur Schéma.
o Partition de configuration d’annuaire: contient le conteneur Configuration.
o Partition d’annuaire de domaine: contient un conteneur domaine tel que
dmsi.esat.terre.def qui stocke les utilisateurs, les ordinateurs, les groupes et
autres objets d’un domaine Windows 2000 donné.
o
5.5.4. Configuration des services et de la sécurité

Les services
Les services suivants sont configurés pour démarrer automatiquement:
- Localisateur RPC (Remote Call Procedure): permet aux applications d’utiliser le
service de noms RPC
- Ouverture de session réseau: ce service exécute le service de localisateur de
contrôleur de domaine.
- Centre de distribution de clés (KDC, Key Distribution Center): ce service gère une
base de données avec les informations sur les comptes pour touts les entités de
sécurité dans son domaine
- Messagerie inter-site (ISM, Intersite Messaging): utilisé pour la duplication de
courriers électroniques entre les sites.
- Service de temps Windows: synchronise les horloges des ordinateurs clients et des
serveurs qui exécutent Windows 2000.
La sécurité
Les listes de contrôle d’accès discrétionnaire (DACL, Discretionnary Access Control List) par
défaut sont configurés sur
- les objets Active Directory,
- les objets de système de fichiers: SYSVOL, fichiers programme et Windir
- les clés de Registre:
o HKEY_LOCAL_MACHINE\SOFTWARE
o HKEY_LOCAL_MACHINE\SYSTEM
23243591.doc Page 55 sur 68

o HKEY_USERS\DEFAULT
Pour le premier contrôleur de domaine, la stratégie de groupe par défaut est configurée à
l’aide des modèles de sécurité:
- DCFirst.inf,
- DefltDC.inf
- DCUp.inf
situés dans le dossier racine_système\Inf.
Lors de l’ajout d’un contrôleur à un domaine, la stratégie de groupe est dupliquée de puis le
premier contrôleur vers le nouveau contrôleur.
5.5.5. Autres opérations d’installation d’Active Directory

Quel que soit le type de domaine créé, l’assistant d’installation d’Active Directory exécute les
opérations suivantes:
- si le serveur est déjà membre du domaine, il supprime le compte d’ordinateur et
recrée ce compte dans l’OU Domain Controlers.
- Il crée le dossier SYSVOL qui contient:
o Le dossier partagé SYSVOL: contient les informations de stratégies de
groupe,
o Le dossier partagé NETLOGON: contient les scripts d’ouverture de session
des ordinateurs non Windows 2000.
Pendant la création du domaine racine de la forêt, le processus:

- crée les conteneurs Schéma et Configuration,
- attribue les rôles de:
o maîtres d’opérations (pour le domaine)
• émulateur de contrôleur principal de domaine (CPD),
• maître RID (Relative Identifier),
• maître d’infrastructure,
o maître d’attribution de noms de domaine (pour la forêt),
o contrôleur de schéma (pour la forêt)
au contrôleur de domaine.
23243591.doc Page 56 sur 68

5.6. Etude de la structure par défaut d’Active Directory
L’outil Utilisateurs et ordinateurs Active Directory permet d’afficher cette console.
Au cours de l’installation d’Active Directory, plusieurs objets par défaut sont créés. On
trouve les objets suivants:
- Builtin (conteneur): cet objet contient les groupes de sécurité intégrés par défaut
- Computers (conteneur): cet objet représente l’emplacement par défaut des comptes
d’ordinateurs
- Domain Controlers (unité d’organisation): cet objet correspond à l’emplacement par
défaut des comptes d’ordinateurs contrôleurs de domaine.
- ForeignSecurityPrincipals (conteneur): cet objet renferme les identificateurs de
sécurité (SID) des domaines externes, approuvés
23243591.doc Page 57 sur 68

- Users (conteneur): cet objet correspond à l’emplacement par défaut des comptes
d’utilisateurs et de groupes.
On peut afficher d’autres objets dans cette console. Il suffit de cliquer sur Fonctionnalités
avancées dans le menu Affichage. On voit alors les objets suivants:
- LostAndFound: cet objet contient les objets orphelins, c’est-à-dire des objets dont les
conteneurs parents ont été supprimés.
System: cet objet renferme des paramètres systèmes spécifiques.
5.7. Vérification de l’installation d’Active Directory

L’installation est terminée; on peut vérifier les éléments suivants:
Vérification de l’installation d’Active Directory
Vérification
Vérificationdes
desenregistrements
enregistrementsde
deressource
ressourceSRV
SRV
Vérification
Vérificationdu
dudossier
dossierSYSVOL
SYSVOL
Vérification
Vérificationdedelalabase
basede
dedonnée
donnéed’annuaire
d’annuaire
et
etdes
desfichiers
fichiersjournaux
journaux
Vérification
Vérificationdes
desrésultats
résultatsde
del’installation
l’installationpar
par
le
lebiais
biaisdes
desjournaux
journaux dévénements
dévénements
DNS
SYSVOL
SYSVOL
Base de donn ées et
fichiers journaux
5.7.1. Enregistrements de ressource SRV

On peut utiliser la console de gestion du système DNS:
On constate ici la présence d’un nouvel enregistrement SVRSYS2K1.
23243591.doc Page 58 sur 68

On remarque qu’il existe maintenant deux serveurs DNS pour le domaine
dmsi.esat.terre.def: la zone contenant les enregistrements est Intégrée Active Directory;
cette zone est donc distribuée comme tout objet de la base d’annuaire Active Directory.
Si les enregistrements de ressources SRV ont été inscrits, les dossiers suivants existent
dans le dossier domaine (ici dmsi.esat.terre.def):
o _msdcs
o _sites
o _tcp
o _udp
Il est possible de contrôler les enregistrements par nslookup

o Dans une invite de commande, taper nslookup puis Entrée,
o Taper ls –t SRV domaine (domaine représente ici dmsi.esat.terre.def) puis
Entrée.
Exemple d ‘enregistrements:
> ls -t SRV dmsi.esat.terre.def

[svrdmsi2k1.dmsi.esat.terre.def]
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs SRV priority=0, weight=100, port=88, svrsys2k1.dmsi.esat.terre.def
_kerberos._tcp.Premier-Site-par-defaut._sites.dc._msdcs SRV priority=0, weight=100, port=88,
svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs SRV priority=0, weight=100, port=389, svrsys2k1.dmsi.esat.terre.def
_ldap._tcp.Premier-Site-par-defaut._sites.dc._msdcs SRV priority=0, weight=100, port=389, svrdmsi2k1.dmsi.esat.terre.def
_kerberos._tcp.dc._msdcs SRV priority=0, weight=100, port=88, svrsys2k1.dmsi.esat.terre.def
_kerberos._tcp.dc._msdcs SRV priority=0, weight=100, port=88, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.dc._msdcs SRV priority=0, weight=100, port=389, svrsys2k1.dmsi.esat.terre.def
_ldap._tcp.dc._msdcs SRV priority=0, weight=100, port=389, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.8035c045-35bc-4120-a139-ea64cabe953f.domains._msdcs SRV priority=0, weight=100, port=389,
svrsys2k1.dmsi.esat.terre.def
_ldap._tcp.8035c045-35bc-4120-a139-ea64cabe953f.domains._msdcs SRV priority=0, weight=100, port=389,
svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.Premier-Site-par-defaut._sites.gc._msdcs SRV priority=0, weight=100, port=3268, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.gc._msdcs SRV priority=0, weight=100, port=3268, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.pdc._msdcs SRV priority=0, weight=100, port=389, svrdmsi2k1.dmsi.esat.terre.def
_gc._tcp.Premier-Site-par-defaut._sites SRV priority=0, weight=100, port=3268, svrdmsi2k1.dmsi.esat.terre.def
_kerberos._tcp.Premier-Site-par-defaut._sites SRV priority=0, weight=100, port=88, svrsys2k1.dmsi.esat.terre.def
_kerberos._tcp.Premier-Site-par-defaut._sites SRV priority=0, weight=100, port=88, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp.Premier-Site-par-defaut._sites SRV priority=0, weight=100, port=389, svrsys2k1.dmsi.esat.terre.def
_ldap._tcp.Premier-Site-par-defaut._sites SRV priority=0, weight=100, port=389, svrdmsi2k1.dmsi.esat.terre.def
_gc._tcp SRV priority=0, weight=100, port=3268, svrdmsi2k1.dmsi.esat.terre.def
_kerberos._tcp SRV priority=0, weight=100, port=88, svrsys2k1.dmsi.esat.terre.def
_kerberos._tcp SRV priority=0, weight=100, port=88, svrdmsi2k1.dmsi.esat.terre.def
_kpasswd._tcp SRV priority=0, weight=100, port=464, svrsys2k1.dmsi.esat.terre.def
_kpasswd._tcp SRV priority=0, weight=100, port=464, svrdmsi2k1.dmsi.esat.terre.def
_ldap._tcp SRV priority=0, weight=100, port=389, svrsys2k1.dmsi.esat.terre.def
_ldap._tcp SRV priority=0, weight=100, port=389, svrdmsi2k1.dmsi.esat.terre.def
_kerberos._udp SRV priority=0, weight=100, port=88, svrsys2k1.dmsi.esat.terre.def
_kerberos._udp SRV priority=0, weight=100, port=88, svrdmsi2k1.dmsi.esat.terre.def
_kpasswd._udp SRV priority=0, weight=100, port=464, svrsys2k1.dmsi.esat.terre.def
_kpasswd._udp SRV priority=0, weight=100, port=464, svrdmsi2k1.dmsi.esat.terre.def
5.7.2. Dossier SYSVOL
23243591.doc Page 59 sur 68

La vérification s’effectue en 2 étapes:
 Vérifier la structure du dossier: le dossier SYSVOL doit contenir les sous-dossiers
suivants:
o Domain
o Staging
o Staging areas
o Sysvol
 Vérifier les partages par net share ou dans l’explorateur; on doit trouver les partages
suivants:
o NETLOGON: point sur racine_système\SYSVOL\domaine\scripts
o SYSVOL: point sur racine_système\SYSVOL
5.7.3. Existence de la base de données Active Directory et des fichiers

journaux
Vérifier la structure du dossier %systemroot%\ntds: il doit contenir les fichiers suivants:
o Ntds.dit: fichier de la base de données d’annuaire
o Edb.*: journaux de transaction
o Res*.log: fichiers journaux réservés
5.7.4. Consultation des fichiers journaux

Les journaux suivants contiennent les messages d’erreur éventuellement générés:
- Journal système
- Directory Service
- DNS Server
- Service de réplication de fichiers
23243591.doc Page 60 sur 68

On peut également vérifier dans l’explorateur, les objets Active Directory du domaine.
On peut installer Active Directory à l’aide d’un fichier de réponse. Ce fichier contient les
paramètres de l’installation d’Active Directory.
Ce mode d’installation peut être utilisé par tout utilisateur qui ne sait pas installer Active
Directory; mais dans ce cas, l’utilisateur doit bénéficier des privilèges administratifs requis
pour réussir l’installation.
La commande à utiliser est: dcpromo /answer: « fichier_réponse »
5.8. Implémentation de zones intégrées Active Directory
Après l’installation d’Active Directory, vous pouvez intégrer une zone DNS à Active Directory.
Le système DNS peut alors utiliser Active Directory pour stocker et dupliquer les base de
données de zones DNS.
Vous pouvez également profiter au mieux des nouvelles fonctionnalités de DNS
Windows 2000, telles que les mises à jour dynamiques sécurisées et les fonctions de
vieillissement et de nettoyage des enregistrements.
On doit implémenter les zones de recherches directes et inversées par la procédure

suivante:
- Depuis la console de gestion du DNS, accéder aux propriétés de la zone de
recherche directe; cliquez sur le bouton Modifier de l’onglet Général.
23243591.doc Page 61 sur 68

L’option Intégrée Active Directory apparaît si et seulement si la zone se situe sur un
contrôleur de domaine. Lorsque l’on convertit une zone principale en zone intégrée Active
Directory, le fichier de zone se situant sous %systemroot%\sysyem32\dns est copié dans la
base d’annuaire avant d’être supprimé du disque. Ce fichier de zone est alors considéré
comme objet Active Directory. Les informations de zones sont alors dupliquées sur tous les
contrôleurs de domaine, au même titre qu’un compte utilisateur. Dans ce cas, tous les
contrôleurs de domaine sur lequel est installé le service DNS peuvent jouer le rôle de
serveur DNS. Tous les serveurs DNS sont alors des serveurs principaux, et les modifications
de zones peuvent s’effectuer sur n’importe lequel d’entre eux.
On implémente ensuite la zone de recherche inversée par la même procédure.
23243591.doc Page 62 sur 68

5.9. Sécurisation des mises à jour pour les zones intégrées à Active
Directory
Pour Windows 2000, la sécurité des mises à jour DNS est disponible uniquement pour les
zones intégrées à Active Directory. Ceci permet au serveur DNS faisant autorité de
n’accepter que des mises à jour provenant de serveurs et de clients autorisés à envoyer des
mises à jour dynamique. On doit choisir l’option N’autoriser que les mises à jour
dynamique sécurisées.
23243591.doc Page 63 sur 68

Une fois que vous intégrez une zone dans l'annuaire, les fonctions d'édition de la liste de
contrôle d'accès (ACL, Access Control List) sont disponibles dans la console DNS de sorte
que vous pouvez ajouter ou supprimer des utilisateurs ou des groupes de la liste ACL pour
une zone ou un enregistrement de ressource spécifique.
Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et les clients DNS
Windows 2000 peut être traitée de la manière suivante:
• Les clients DNS Windows 2000 DNS tentent tout d'abord d'utiliser la mise à jour
dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les
clients essaient d'utiliser une mise à jour sécurisée.
Une fois qu'une zone est intégrée à Active Directory, les serveurs DNS Windows 2000
autorisent par défaut uniquement les mises à jour dynamiques sécurisées.
5.10. Modification du mode de domaine

Après l’installation d’Active Directory et la définition d’un domaine, les deux contrôleurs
s’exécutent en mode mixte.: c’est le mode de domaine par défaut. Ce mode prend en charge
les contrôleurs de domaine qui exécutent Windows 2000 ou NT 4.0. Si tous les contrôleurs
ont été mis à niveau vers Windows 2000, on peut convertir le domaine du mode mixte au
mode natif. Il n’est pas nécessaire de mettre à niveau les serveurs membres et les clients.
Centaines fonctions d’Active Directory requièrent le mode natif: imbrication de groupes,

groupes universels de sécurité etc.
Lorsqu'un domaine s'exécute en mode natif, il ne peut pas repasser en mode mixte.
Pour faire passer un domaine du mode mixte au mode natif, on utilise la console
Utilisateurs et ordinateurs Active Directory.
23243591.doc Page 64 sur 68

Le domaine est actuellement en mode mixte.
Il suffit de cliquer sur le bouton Changer de mode; un message de confirmation s’affiche.
23243591.doc Page 65 sur 68

et le domaine passe en mode de domaine natif.
Le tableau suivant récapitule les effets des modes de domaine sur les groupes.
Domaines en mode natif Domaines en mode mixte

Les groupes de sécurité et les groupes de Seuls les groupes de distribution peuvent avoir une
distribution peuvent tous deux avoir une étendue universelle.
étendue universelle.
L'imbrication totale des groupes est autorisée. Pour les groupes de sécurité, l'imbrication de groupes
est limitée aux groupes qui ont une étendue de
domaine local et dont les membres ont une étendue
globale (règle Windows NT 4.0). L'imbrication totale
des groupes est autorisée pour les groupes de
distribution.
Les groupes peuvent être convertis librement Aucune conversion de groupe n'est autorisée.
entre les groupes de sécurité et les groupes de
distribution. Les groupes ayant une étendue
globale ou de domaine local peuvent être
convertis en groupes avec une étendue
universelle.
23243591.doc Page 66 sur 68

5.11. Implémentation d’une structure d’unité d’organisation
Un type d'objet annuaire particulièrement utile contenu dans les domaines est l'unité
d'organisation. Les unités d'organisation sont des conteneurs Active Directory dans lesquels
vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d'autres unités
d'organisation. Une unité d'organisation ne peut pas contenir des objets d'autres domaines.
Une unité d'organisation est l'étendue ou l'unité la plus petite à laquelle vous pouvez
attribuer (les autres étendues étant les sites et les domaines):
- des paramètres de Stratégie de groupe,
- déléguer une autorité administrative.
Avec les unités d'organisation, on peut créer des conteneurs à l'intérieur d'un domaine afin
de représenter les structures hiérarchiques et logiques de votre organisation. Ceci permet de
gérer la configuration et l'utilisation des comptes et des ressources en fonction du modèle
d'organisation.
Exemple 1:
Tel qu'il apparaît dans l'exemple, les unités d'organisation peuvent contenir d'autres unités
d'organisation. Avec les unités d'organisation vous pouvez minimiser le nombre de
domaines requis pour votre réseau. Vous pouvez utiliser des unités d'organisation pour
créer un modèle administratif. Un utilisateur peut recevoir des droits d'administration pour
toutes les unités d'organisation d'un domaine ou pour une seule unité d'organisation. Un
administrateur d'une unité d'organisation ne requiert pas des droits d'administration pour les
autres unités d'organisation du domaine.
Domaines ou unités d'organisation
Vous devez décider si vous souhaitez fractionner une partie spécifique de votre réseau en
domaines différents ou en unités d'organisation différentes. Suivez les recommandations ci-
dessous:
• Fractionnez le réseau en domaines différents si vous avez une organisation
décentralisée dans laquelle des utilisateurs et des ressources indépendants sont
gérés par des groupes de personnel administratif différents.
• Fractionnez le réseau en domaines différents lorsque deux parties de votre réseau
sont séparées par une liaison tellement lente que vous n'envisagez jamais de
l'utiliser pour un trafic de réplication complet. (Pour les liaisons lentes capables de
gérer un trafic de réplication moins fréquent, vous pouvez configurer un domaine
unique avec plusieurs sites).
• Fractionnez un domaine en unités d'organisation pour refléter la structure de votre
organisation.
23243591.doc Page 67 sur 68

• Fractionnez un domaine en unités d'organisation pour déléguer le contrôle
administratif à des groupes d'utilisateurs ou de ressources de plus petite taille. Vous
pouvez accorder un contrôle administratif complet (création d'utilisateurs et
modification des mots de passe) ou limité (gestion des files d'attente d'impression).
• Fractionnez un domaine en unités d'organisation si cette structure organisationnelle
de votre entreprise est susceptible d'être modifiée ultérieurement. Si possible,
organisez les domaines de sorte qu'ils ne soient pas régulièrement déplacés ou
fractionnés par la suite.
Exemple 2:
DM
DMSI
SI
Système
Système Program
Programmmation
ation A
Analyse
nalyse
Pour créer une unité d’organisation, il faut utiliser la console Utilisateurs et ordinateurs Active
Directory.
On va ici créer les UO:

- Système
o Windows
o Unix
- Programmation
- Analyse
23243591.doc Page 68 sur 68

L’onglet Général permet d’indiquer des renseignements de localisation.
L’onglet Stratégie de groupe permettra d’appliquer une stratégie particulière sur chaque UO.
5.12. Suppression d’Active Directory

L’assistant d’installation d’Active Directory permet de supprimer Active Directory. La
suppression d’Active Directory va rétrograder le contrôleur de domaine au rang de
serveur membre ou autonome; tous les objets seront supprimés de ce contrôleur. Il faut
23243591.doc Page 69 sur 68

lancer la commande dcpromo sur le contrôleur de domaine concerné. Si le contrôleur est
serveur de catalogue global, un message apparaît:
Si le serveur est le dernier du domaine, cochez la case adéquate.
Après avoir indiquér les références d’un compte autorisé à cette procédure, l’assistant
récapitule les actions à mener.
23243591.doc Page 70 sur 68

Sur le dernier contrôleur du domaine, le processus vérifie, entre autre, qu’aucun domaine
n’existe (voir message ci-dessous).
23243591.doc Page 71 sur 68

Ch3 Administration AD

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ch3 Administration AD

Загружено:

Авторское право:

Доступные форматы

ESAT/DGF/DMSI

Chapitre 3: L'administration d'Active Directory

1. Présentation d'Active Directory...........................................................................................3

23243591.doc Page 1 sur 68

23243591.doc Page 2 sur 68

Les administrateurs effectuent les tâches suivantes:

1.1. Définition d’Active Directory

1.1.1. Fonctions du service d’annuaire

1.1.2. Gestion centralisée

23243591.doc Page 3 sur 68

1.3. Protocoles supportés

23243591.doc Page 4 sur 68

1.4.1. Nom unique

Exemple de nom unique:

Clef Attribut Description

1.4.2. Nom relatif

 Nom complet relatif

23243591.doc Page 5 sur 68

Nom unique Nom unique relatif

1.5. Active Directory et système DNS

1.5.1 Résolution de noms

1.5.2. Convention de dénomination pour les domaines Windows 2000

L’espace de noms d’AD a trois niveaux principaux:

Les arborescences de domaines

23243591.doc Page 6 sur 68

Espace de noms DNS

ventes formation formation.microsoft.com

1.5.3. Active Directory et Internet

Espace de noms DNS et Active Directory

Espace denoms DNS

23243591.doc Page 7 sur 68

Active Directory requiert le fonctionnement de DNS.

1.6. Intégration d'Active Directory dans DNS

1.6.1. Zones intégrées Active Directory

Les zones intégrées Active Directory

23243591.doc Page 8 sur 68

Utilisation du DNS par les ordinateurs

Leservice Netlogon récupèreles

Ordinateurclient SERVEUR DNS

La disponibilité du serveur DNS est donc cruciale pour le bon fonctionnement de AD et la

1.6.3. Prise en charge du protocole de mise à jour dynamique conforme aux

23243591.doc Page 9 sur 68

Les composants logiques de la structure d’Active Directory sont les suivants:

Il est important de comprendre le rôle et la fonction des composants logiques de la structure

2.1.1 Limite de sécurité

2.1.2. Unité de duplication

2.1.3. Modes de domaine

23243591.doc Page 10 sur 68

Mode mixte Mode natif

2.2. Unité d’organisation

2.2.1. Hiérarchie des unités d’organisation

 Hiérarchie des unités d'organisation

 Contrôle administratif des unités d'organisation

23243591.doc Page 11 sur 68

2.3. Arborescences et forêts

2.3.2. Approbations transitives bidirectionnelles

2.3.3. Approbation non transitive

23243591.doc Page 12 sur 68

Les arborescences d’une forêt partagent un schéma et un catalogue global communs.

2.4. Schéma Active Directory

23243591.doc Page 13 sur 68

23243591.doc Page 14 sur 68

3.1.1. Quand établir un site unique

3.1.2. Quand établir des sites séparés