Академический Документы
Профессиональный Документы
Культура Документы
ECOLE SUPERIEURE
ET D’APPLICATION
DES TRANSMISSIONS
division management
et systèmes d’information
WINDOWS 2000
COURS SYSTEME
L'ADMINISTRATION D'ACTIVE DIRECTORY
Active Directory:
- stocke des informations sur les ressources de tout le réseau
- permet aux utilisateurs de localiser, gérer et utiliser ces ressources.
Fonctionnalités
Fonctionnalités du
du Gestion
Gestioncentralisée
centralisée
service
service d'annuaire
d'annuaire
Point
Point d'adm
d'administration
inistration unique
unique
O
Organiser
rganiser Les
Les utilisateurs
utilisateursouvrent
ouvrentune
une
G
Gérer
érer Ressources
Ressources session
session une unefois
fois pour
pour l'accès
l'accès
Contrôler
Contrôler com
complet
plet auxaux ressources
ressources de de
l'annuaire
l'annuaire
Un seul administrateur peut accéder à tous ces objets stockés dans une base de données
distribuée. Lorsque l’on crée un objet, les propriétés, ou attributs de cet objet contiennent
des informations qui le décrivent. Les utilisateurs peuvent localiser des objets dans Active
Directory en recherchant des attributs spécifiques; on peut par exemple trouver une
imprimante dans un local particulier en recherchant l’attribut Emplacement de la clase
d’objet imprimantes.
TechnologiesprisesenchargeparActiveDirectory
DNS
DNS
SNTP
SNTP
DHCP
DHCP
Technologies
TechnologiesInternet
Internetstandard
standard
LDA
LDAP
P
TCP/IP
TCP/IP
LDIF
LDIF
X.509
X.509
Kerberos
Kerberos
Nom complet
CN=François Dubois, CN=Users, DC=contoso, DC= msft
Active Directory et l'espace de noms du Système de nom de domaine (DNS, Domain Name
System) possédant une structure identique, une planification correcte de l'espace de noms
est cruciale pour un bon déploiement de Active Directory.
Pour mettre en œuvre une infrastructure AD, il faut commencer par décider comment
organiser l’espace de noms; c’est à dire comment organiser les ressources réseau dans AD.
Les domaines
Dans AD, un domaine est:
- une limite de sécurité (comme dans NT4.0)
- une unité de duplication
Com.
Le DNS permet aux ordinateurs de
déterminer l’emplacement des
contrôleurs de domaine Active
Directory
microsoft
Active Directory
Ordinateurs
Ordinateur1
ordinateur1
Ordinateur2
Nom
Nomcomplet
complet==ordinateur1.formation.microsoft.com
ordinateur1.formation.microsoft.com
Nom
Nom d’ordinateurWindows
d’ordinateur Windows2000
2000==ordinateur1
ordinateur1
Internet
DomaineracineDNS
“.”
Espace de noms Active
Directory
Com.
microsoft
microsoft
microsoft.com
.com
formation
ventes
formation.
formation. microsoft
microsoft.com
.com
Ventes
Ventes.microsoft
.microsoft .com
.com
ordinateur1
Active Directory utilise DNS comme un service de détecteur et résout les noms de domaine,
de site et de service Active Directory pour une adresse IP. Pour ouvrir une session sur un
domaine Active Directory, un client Active Directory lance une requête du serveur DNS
configuré pour l'adresse IP du service LDAP qui est exécuté sur un contrôleur de domaine
pour un domaine précis. L’enregistrement d’hôte DNS et l’objet Active Directory représentent
le même ordinateur physique. Le système DNS permet aux ordinateurs de déterminer
l’emplacement ces contrôleurs de domaine dans Active Directory.
Il est donc primordial d’intégrer le DNS à Active Directory.
Active
ActiveDirectory
Directory
contoso.com
Serveur DNS
3 IlIlenvoie
les
envoie un
unrequête
requête DNS
DNS contenant
contenant
lesinformations
informationssur
sur leleclient
client
Basededonnées
Le
LeDNS
DNS interroge
interroge les
lesenregistrements
enregistrements SRV
SRV 4 dezone
6 Le
Leclient
client contacte
contacte les
lescontrôleurs
contrôleurs de
dedomaine
domaine
Les
Les contrôleurs
contrôleurs de
dedomaine
domainerépondent
répondent 7
Le clientenvoie 8 ServeurLDAP
unedemande s’exécutantsur
à uncontrôleur uncontrôleurde
de domaine domaine
Les clients Active Directory utilisent DNS pour rechercher des contrôleurs de domaine
susceptibles de les authentifier.
DNS est un protocole ouvert normalisé par un ensemble de RFC (Requests for Comments).
Microsoft prend en charge et respecte ces spécifications. Dans la mesure où il est conforme
aux RFC et peut utiliser des formats de fichiers de données et d'enregistrements de
ressources DNS standard, le service DNS est capable de fonctionner correctement avec la
plupart des autres implémentations serveur, notamment celles utilisées par le logiciel BIND
(Berkeley Internet Name Domain).
Domaines
Unités d'organisation
Domaine
Dom aine
Arborescences et forêts
Schéma Arborescence
U
UO
O
Domaine
Dom aine Domain
Dom ain
U
UO
O U
UO
O
Domaine
Forêt Dom aine
Domaine
Dom aine
Arborescence
Domaine
Dom aine Domaine
Dom aine
2.1. Domaines
Il s’agit de l’unité fondamentale de la structure logique d’Active Directory.
C’est un ensemble d’ordinateurs définis par un administrateur qui partagent une même base
de données d’annuaire.
Limite de sécurité
Unité de duplication
Modes des domaines
Contrôleur
Contrôleur dede domaine
domaine
(W
(Windows
indows2000)
2000)
et
Contrôleur
Contrôleur de
de dom
domaine
aine Contrôleurs
Contrôleurs de
de dom aine
domaine
(W
(Windows
indowsNT
NT4.0)
4.0) (W
(Windows
indows2000
2000 uniquement
uniquement ))
Paris Ventes
Ventes Utilisateurs
Réparation Ordinateurs
2.3.1. Arborescences
Une arborescence est une organisation hiérarchique de domaines Windows 2000 qui
partagent un espace de noms contigus.
Lorsque l’on ajoute un domaine à une arborescence, le nouveau domaine est un domaine
enfant d’un domina parent existant.
Le nom de ce domaine enfant est combiné au nom de son domaine parent pour former son
nom DNS.
Chaque domaine enfant a une relation d’approbation transitive bidirectionnelle avec son
domaine parent.
Des arborescences reliées par des relations d’approbation forment une forêt.
2.3.4. Forêts
Une forêt comprend une ou plusieurs arborescences. Les arborescences de domaine à
l’intérieur d’une forêt ne formant pas un espace de noms contigus.
Forêt
Arborescence
China.
China. Japan.
Japan.
Nwtraders
Nwtraders .msftsft Contoso
.m Contoso .m sft
.msft Contoso
Contoso .m
.msft
sft
Arborescence
China.
China. Japan.
Japan. Dom
Domaine
aine
Nwtraders
Nwtraders .m sft
.m sft Nwtraders
Nwtraders .m sft
.m sft Windows
W indowsNT 4.0
NT 4.0
A
Approbation
pprobationnon
nontransitive
transitive
unidirectionnelle
unidirectionnelle
Le schéma est stocké dans la base de données d’Active Directory. Ce stockage signifie
que le schéma:
- est dynamiquement disponible pour toutes les applications utilisateurs,
- peut être mis à jour dynamiquement,
- peut utiliser des listes de contrôles d’accès discrétionnaire (DACL, Discretionary
Access Control List) pour protéger l’ensemble des classes et des attributs.
Exemples Disponible
Disponibledynam
dynamiquem
iquement
ent ,,
de classes peut
peut être
être m
mis
is ààjour,
jour,
d'objets : protégé
protégépar
parDACL
DACL
Exemples
d'attributs :
Ordinateurs Les
Les attributs
attributs
Ordinateurs d'Utilisateurs
d'Utilisateurs
peuvent
peuventcontenir
contenir :: Liste
Liste d'attributs
d'attributs
accountExpires
accountExpires accountExpires
accountExpires
badPasswordTime
badPasswordTime badPasswordTime
badPasswordTime
Utilisateurs mail
mail mail
mail
Utilisateurs
name
name cAConnect
cAConnect
dhcpType
dhcpType
eFSPolicy
eFSPolicy
fromServer
fromServer
governsID
governsID
Name
Name
Serveurs
Serveurs ……
3. Structure physique
Les sites et les contrôleurs de domaine forment la structure physique d’Active Directory.
3.1. Sites
Un site est une combinaison d’un ou plusieurs sous-réseaux IP connectés par une liaison à
haut débit. On a recours aux sites pour optimiser la bande passante du réseau selon les
propositions suivantes:
- Trafic d’ouverture de session des stations de travail: lorsqu’un utilisateur ouvre
une session, Windows 2000 recherche un contrôleur de domaine situé dans le même
site que celui de la station de travail.
- Trafic de duplication: lorsqu’une modification est apportée à Active Directory, les
sites permettent de contrôler quand et comment celle-ci est dupliquée vers les
contrôleurs de domaine d’un autre site.
- Topologie DFS (Distributed File System): si un fichier ou un dossier partagé se
trouve sur plusieurs emplacements, l’utilisateur est dirigé vers un serveur de son
propre site. ?
- Service FRS (File Replication Service): ce service permet de dupliquer le contenu
du répertoire SYSVOL, qui comprend les scripts d’ouverture et de fermeture de
session, les paramètres de stratégie de groupe et les stratégies systèmes pour
Windows95, Windows98 et NT4.0. Ce service utilise les sites pour déterminer sa
topologie de duplication.
Si un déploiement n'est pas organisé en sites, l'échange d'informations dans les contrôleurs
de domaine et les clients peut être difficile. Les sites améliorent l'efficacité de l'utilisation du
réseau.
Remarque
Un ordinateur multirésident (qui comporte plusieurs adresses IP) avec des adresses de
sous-réseau dans différents sites ne peut appartenir qu'à un seul site et non à la totalité. Il
est conseillé d'attribuer toutes les adresses d'un ordinateur multirésident au même site.
En créant des sites séparés, vous pouvez adapter la réplication aux conditions du site. Vous
pouvez par exemple avoir une ligne haute vitesse comme connexion réseau par défaut et
Si la connectivité entre un groupe de serveurs et les clients est correcte, créez des sites et
établissez des serveurs de tête de pont dans chaque site afin d'équilibrer la charge. À
l'intérieur d'un site, chaque contrôleur de domaine a la possibilité d'agir en tant que serveur
de tête de pont, si nécessaire. Si vous spécifiez un ou plusieurs ordinateurs en tant que
serveurs de tête de pont prioritaires, seul un contrôleur de domaine peut à tout moment jouer
le rôle de serveur de tête de pont.
En bref, une liaison de sites dirige les informations de manière arbitraire vers un contrôleur
de domaine d'un site. Le fait d'installer un serveur de tête de pont permet d'obtenir un certain
classement ou certains critères permettant de sélectionner quel contrôleur de domaine
utiliser comme destinataire de la réplication inter-site. Ce serveur de tête de pont
distribue ensuite les informations de l'annuaire via la réplication intra-site.
3.1.5. Exemple 1
Déploiement des sites à Seattle, Atlanta, Mexico et Sydney.
Dans ce type de déploiement, il est préférable de créer les sites en fonction de leurs limites
géographiques, car les ordinateurs situés dans une seule zone géographique seront mieux
3.1.6. Exemple 2
Cet exemple présente au total six contrôleurs de domaine, dont deux sont des serveurs de
tête de pont.
• Les deux sites sont reliés par un pont de liaison de sites. Ce pont de liaison de
sites peut contenir plus de sites. À l'intérieur du pont de liaison de sites, il existe une
ligne qui représente la connexion à partir des serveurs de tête de pont de chaque site.
• Les serveurs de tête de pont sont les serveurs préférés pour la réplication, mais
les autres contrôleurs de domaine du site peuvent être configurés pour répliquer les
modifications de l'annuaire.
• Une fois que les mises à jour ont été répliquées sur les serveurs de tête de pont
de l'autre site, les mises à jour sont ensuite répliquées sur d'autres contrôleurs de
domaine du site à l'aide de la réplication intra-site. Même si un seul contrôleur de
domaine reçoit la première mise à jour inter-site de l'annuaire, tous les contrôleurs de
domaine répondent aux requêtes émises par les clients.
Contrôleur
Contrôleurde
dedom
domaine
aine Contrôleur
Contrôleur de
dedom
domaine
aine
ur1 ur1
sate sate
Utili ateur2 Duplication
Duplication Utili ateur2
lis s
U ti Utili
Domaine
Domaine
Comme indiqué plus haut, la base de données AD est divisée en trois partitions de schéma,
de configuration et de domaine. Seules les informations du schéma et celles de
configuration sont dupliquées entre domaines. Comme les informations des objets d’un
domaine de la forêt ne sont pas dupliquées vers les autres domaines de la forêt, le
serveur de catalogue global va être utilisé pour effectuer des recherches dans la forêt.
Le catalogue global contient également les autorisations d’accès pour chacun des objets
et attributs qu’il contient. Si l’on recherche un objet pour lequel on ne dispose des
autorisations nécessaires, celui-ci n’apparaît pas dans les résultats de la recherche.
Catalogue
Catalogueglobal
global
Requêtes
Requêtes Domaine Domaine
Adhésion
Adhésion ààun
Adhésion un groupe
groupe
lorsque
lorsquel'utilisateur
l'utilisateur
ouvre
ouvreune
une session
session
Serveur
Serveur de
decatalogue
catalogueglobal
global
Il est conseillé de disposer d’un serveur de catalogue global de chaque côté de liaisons
lentes
Dans toute forêt Active Directory, cinq rôles de maître d'opérations peuvent être attribués
à un ou à plusieurs contrôleurs de domaine. Certains rôles doivent apparaître dans chaque
forêt; d'autres doivent apparaître dans chaque domaine de la forêt.
Contrôleur de schéma
Le contrôleur de domaine contrôleur de schéma contrôle toutes les mises à jour et les
modifications du schéma. Pour mettre à jour le schéma d'une forêt, vous devez
accéder au contrôleur de schéma, avec un compte membre du groupe Administrateurs
de Schéma.
Émulateur PDC
Si le domaine contient des ordinateurs qui n'utilisent pas le logiciel client
Windows 2000 ou s'il contient des contrôleurs secondaires de domaine Windows NT,
l'émulateur PDC joue le rôle de contrôleur principal de domaine Windows NT. Il
traite les modifications de mot de passe des clients et réplique les mises à jour sur les
contrôleurs secondaires de domaine. Dans un domaine Windows 2000 fonctionnant en
mode natif, l'émulateur PDC reçoit une réplication préférentielle des modifications de
mot de passe effectuées par d'autres contrôleurs de domaine du domaine. Si un mot
de passe a été modifié récemment, cette modification n'est pas répliquée
immédiatement sur chaque contrôleur de domaine du domaine. Si une authentification
d'ouverture de session échoue sur un contrôleur de domaine à cause d'une erreur de
mot de passe, ce contrôleur de domaine transmettra la demande d'authentification à
l'émulateur PDC avant de refuser la tentative d'ouverture de session.
Maître d'infrastructure
Le maître d'infrastructure est responsable de la mise à jour des références groupe-
utilisateur chaque fois que les membres des groupes sont renommés ou modifiés.
Lorsque vous renommez ou déplacez un membre d'un groupe (et si ce membre réside
dans un domaine différent de celui du groupe), ce membre peut ne pas apparaître
temporairement dans ce groupe. Le maître d'infrastructure du domaine du groupe est
responsable de la mise à jour du groupe. Par conséquent, il connaît le nouveau nom
ou le nouvel emplacement du membre. Le maître d'infrastructure distribue la mise à
jour via la réplication MultiMaster (multimaîtres). La sécurité n'est pas compromise
pendant le délai compris entre le renommage du membre et la mise à jour du groupe.
Seul un administrateur qui observe cette appartenance au groupe spécifique
remarquera l'incohérence temporaire.
Windows 2000 utilise le système DNS pour déterminer l’emplacement des contrôleurs de
domaine en résolvant un nom de domaine ou d’ordinateur en adresse IP. Cela est possible
grâce aux enregistrements de ressources SRV (Service Resource Record) qui mappent un
service particulier sur le contrôleur de domaine offrant ce service. Le format d’un
enregistrement SRV contient ces informations, ainsi que des données propres au protocole
TCP/IP.
Syntaxe:
service.protocole.nom ttl classe SRV préférence poids port cible
Exemple:
_ldap._tcp.dmsi.esat.terre.def 600 IN SRV 0 100 389 svrdmsint4.dmsi.esat.terre.def
4.3. Installation
4.3.1. Conception de l’espace de noms
La conception de l’espace de noms logique permet de décider le nombre de domaines,
d’arborescences de domaines et de forêts dont on a besoin et comment les nommer. En cas
d’infrastructure NT4.0 existante ,il faut décider si elle doit être reproduite ou améliorer; grâce
à AD, on pourra en effet déléguer l’administration par le biais des unités organisationnelles
(UO). Le nombres de domaines devrait donc être en principe plus limité. Plusieurs facteurs
influencent la conception de l’espace de noms:
Facteur organisationnel
Il est très difficile voire impossible de renommer les domaines; il est impossible de
renommer le domaine racine. Pour créer une délégation granulaire, il faut créer des UO ou
utiliser des groupes de sécurité au sein des UO; on risque d’alourdir la tâche chaque fois
qu’il faut modifier des UO. L’utilisation de groupes de sécurité ne permet pas de voir sur
l’écran les objets délégués aussi clairement que des UO séparées. L’espace de noms AD
est alors complexe et sa duplication sera lourde en terme de temps et de ressources.
Facteurs techniques
La conception de l’espace de noms demande de bonnes connaissances de Active Directory
et ses limites. Les Group Policy Objects (GPO) peuvent influencer la mise en œuvre de
l’espace de noms AD. Il est donc important de connaître le fonctionnement des Stratégies de
groupe avant de définir un espace de noms
1 A
Attribuez
ttribuezune
uneadresse
adresseIP
IPstatique
statique
2 Configurez
Configurezle
lesuffixe
suffixeprincipal
principalDNS
DNS
3 Installez
Installezle
leservice
serviceServeur
ServeurDNS
DNS
4 Créer
Créerune
•• Elle
unezone
Elledoit
•• Elle
zonede
doitfaire
derecherche
recherchedirecte
faireautorité
autoritépour
directe::
pourvotre
votredom
domaine
aineDNS
DNS
Elleactive
activeles
lesmmises
isesààjour
jourdynam
dynamiques
iques
5 Créer
Créerune
unezone
zonede
derecherche
rechercheinversée
inversée(en
(enoption)
option)
Remarque: l’assistant Active Directory peut installer et configurer le service serveur DNS sur
lequel vous installez Active Directory. Cet assistant ne crée pas de zone de recherche
inversée.
Procédure
Il existe 2 méthodes pour installer le service DNS:
- par le panneau de Configuration et l’applet Ajout /Suppression de programmes, puis
Ajout de composants Windows
Si l’installation est assurée par l’assistant, l’écran suivant propose de gérer le DNS:
La première fois que l’on lance la console de gestion (MMC) du DNS, l’écran suivant
propose de configurer le serveur DNS; il s’agit de créer des zones qui vont contenir les
enregistrements.
Les fichiers de zones principales standards ou secondaires standards sont stockées sur le
serveur les hébergeant sous %systemroot%\system32\dns. Pour une zone intégrée Active
Directory, il n’y a aucun fichier de zone présent sur le serveur: le fichier de zone se trouve
dans la base d’annuaire.
Il est possible à tout moment de changer de type de zone. Cela peut être utile si l’on gère
une zone principale et une zone secondaire. Le serveur hébergeant la zone principale tombe
en panne. La zone secondaire pourra alors être utilisée par les clients mais aucune
modification ne pourra y être apporté (lecture seule). Dans ce cas, il faut la convertir en zone
principale.
La mise à jour dynamique prise en charge par le service DNS de Windows 2000 permet de
renseigner automatiquement les fichiers de zones.
L’implémentation du DNS dynamique est définie par la RFC 2136. La RFC 2137 définit les
mises à jour sécurisées.
Les mises à jour dynamiques sont envoyées et actualisées périodiquement. Par défaut,
Windows 2000 envoie une actualisation toutes les 24 heures.
Le DNS principal doit en principe être secondé d’un deuxième serveur DNS; dans ce cas, il
faut assurer la cohérence des informations sur les serveurs principaux et secondaires.
Cette cohérence est assurée en configurant les transferts de zones.
La majorité des serveurs DNS prennent en charge le transfert de zone AXFR alors que
Windows 2000 prend en charge AXFR et IXFR.
Numéro de série: ce numéro permet d’identifier si des changements de zone ont eu lieu. Il
est incrémenté automatiquement dès qu’il y une modification.
Si le numéro de série de la zone est plus élevé sur le serveur source que sur le serveur
secondaire effectuant la requête, un transfert est réalisé, mais seuls les changements des
enregistrements de ressources (RR) pour chaque version incrémentielle de la zone sont
transférés.
Intervalle avant nouvelle tentative: en cas d’échec, le serveur secondaire essaie de contacter
son serveur maître après cet intervalle de temps.
Expire après: si le temps indiqué pour cette valeur est atteint, cela signifie que le serveur
secondaire n’a pas pu contacter le serveur maître; il va donc arrêter de répondre aux
requêtes des clients.
Il est possible de transférer les zones uniquement vers des serveurs identifiés.
On peut maintenant créer des enregistrements; dans l’exemple suivant, on crée un alias
nommé svr qui pointe sur un enregistrement de type hôte; afin d’éviter les erreurs de saisie
dans le FQDN, on utilise le bouton Parcourir pour rechercher l’enregistrement désiré.
Création de sous-domaines
Si l’on prévoie plusieurs domaines dans un système d’information, il faut créer plusieurs
zones DNS. Ces zones peuvent appartenir à un espace de nom contigu. Par exemple le
domaine dmsi.esat.terre.def et le sous domaine systeme.dmsi.esat.terre.def. Pour que tous
les clients puissent résoudre les noms, il faut mener les actions suivantes:
- sur le serveur gérant dmsi.esat.terre.def:
o dans la MMC du DNS, sélectionner la zone et cliquez sur Nouvelle
Délégation; il faut alors renseigner le nom du sous domaine (ici system); le
FQDN du domaine délégué est automatiquement renseigné.
o Selon les indications de l’assistant, indiquer vers quel serveur envoyer les
requêtes faisant référence à la zone system.dmsi.esat.terre.def (adresse IP
du serveur DNS)
Si l’on insère une station client dans le domaine, en renseignant l’ID réseau dans les
propriétés du Poste de travail, ces références sont automatiquement mises à jour dans la
zone DNS. On remarque ici une nouvelle station (C201-0123-0002) dont l’enregistrement a
été mis à jour automatiquement.
La liste ci-dessous répertorie les éléments requis pour installer Active Directory.
O
Ordin
rd ateu
in rrexéc
ateu utan
exécu tanttW
Wind
indoow
w ss200 0S
2000 Seerv
rver,
er,W
Wind
indo
owss2200
w 0000
A
Advancce
dvan edd Serv
Serveer
ro u
ouWW ind
indoow
w ss2000
2000 Datac
D ente
atacen r
ter S
Server
erver
EEsp
space
acedis
d qu
isqueedd’au
’aum mooinss20
in 0M
200 Mo
oppo
ourrA
u ActiveeD
ctiv Directory
irectory
et
et50
50MMooppo
ourrles
u lesfic hiers
fichiersjo u
journau
rn xx
au
P
Partition
artitiono
ouuvv
oolum
lumeeau
auform
fo aa
rmttN
NTF
TFS
S
P
Protoc
ro ole
tocoleT
TCP
CPIP
IPinstallé
installéet
etcon
configu
fig ré p
uré pou
ourru
utiliser le
tiliser lesyss
sy tèmeeD
tèm D N
NSS
PPrivilèg
rivilègeeadm
adminis
in tratif n
istratif nécessaires p
écessaires o
pou
urrcréeru
créer n
und
dom
omainee
ain
su
surruunnrése au ex
réseau ista
exis ntt
tan
Avant de se lancer dans l’installation, il faut connaître exactement le rôle de ce serveur dans
la structure logique d’Active Directory.
La logique de l’installation peut être représentée comme suit:
C
Co
on
ntrô
trôleu
lerr
u d
dee do
dm
omaaine
ine ~ou ~ C
Co
on
ntrô
trôleu
lerr
u de
de d o
dm
oma
aine
ine
du
dunnoouv
uve
eau
au do
dm
omain
ainee ssuup
pplé
p m
léme
enta
n ir
ta e
ire
N
No
ouv
ue
vlle
ellearrb
aborr
oees
sce
cn
enc
cee ~ou ~ D
Do
om
ma
aine
ine e
enfa
n n
fatt
n
d
dee do
dommain
a e
ine
N
No
ou
uve
vlle
elle forr
foêêtt ~ou ~ F
Fo
orr
êêtte
exis
x ta
is n
tate
nte
Pour lancer l’installation d’Active Directory, il suffit ensuite de suivre la procédure indiquée:
- Taper dcpromo.exe dans l’invite de commande ou le menu Exécuter
On peut également passer par le menu Configurer votre serveur qui appelle l’assistant.
Indiquer ensuite le chemin pour stocker les informations concernant Active Directory. Ces
fichiers peuvent être stockés sur une partition FAT ou NTFS. Il est conseillé de stocker ces
fichiers sur des disques distincts: l’écriture et lecture sollicitent ainsi des ressources
différentes.
Windows 2000 essaie ensuite de détecter un serveur DNS gérant la zone portant le nom de
domaine indiqué précédemment. Ce DNS doit supporter les enregistrements dynamiques. Si
aucun serveur n’est configuré, l’assistant propose d’installer le service DNS et de le
configurer.
Vérifiez ici que toutes les actions qui vont être effectuées correspondant bien à l’installation
voulue.
Pour ajouter un nouveau contrôleur, il faut se placer sur un serveur Windows 2000 et
lancer dcpromo.exe. Il suffit de se laisser guider par l’assistant.
- Entrez ensuite le chemin pour la base de données d’annuaire ainsi que pour les
fichiers de journalistique
- Entrez le chemin pour le volume système partagé (SYSVOL)
- Indiquez ensuite le mot de passe pour le compte administrateur lors d’un éventuel
démarrage en mode de restauration
- La duplication de la base d’annuaire Active Directory commence alors:
La sécurité
Les listes de contrôle d’accès discrétionnaire (DACL, Discretionnary Access Control List) par
défaut sont configurés sur
- les objets Active Directory,
- les objets de système de fichiers: SYSVOL, fichiers programme et Windir
- les clés de Registre:
o HKEY_LOCAL_MACHINE\SOFTWARE
o HKEY_LOCAL_MACHINE\SYSTEM
Au cours de l’installation d’Active Directory, plusieurs objets par défaut sont créés. On
trouve les objets suivants:
- Builtin (conteneur): cet objet contient les groupes de sécurité intégrés par défaut
- Computers (conteneur): cet objet représente l’emplacement par défaut des comptes
d’ordinateurs
- Domain Controlers (unité d’organisation): cet objet correspond à l’emplacement par
défaut des comptes d’ordinateurs contrôleurs de domaine.
- ForeignSecurityPrincipals (conteneur): cet objet renferme les identificateurs de
sécurité (SID) des domaines externes, approuvés
On peut afficher d’autres objets dans cette console. Il suffit de cliquer sur Fonctionnalités
avancées dans le menu Affichage. On voit alors les objets suivants:
- LostAndFound: cet objet contient les objets orphelins, c’est-à-dire des objets dont les
conteneurs parents ont été supprimés.
System: cet objet renferme des paramètres systèmes spécifiques.
Vérification
Vérificationdes
desenregistrements
enregistrementsde
deressource
ressourceSRV
SRV
Vérification
Vérificationdu
dudossier
dossierSYSVOL
SYSVOL
Vérification
Vérificationdedelalabase
basede
dedonnée
donnéed’annuaire
d’annuaire
et
etdes
desfichiers
fichiersjournaux
journaux
Vérification
Vérificationdes
desrésultats
résultatsde
del’installation
l’installationpar
par
le
lebiais
biaisdes
desjournaux
journaux dévénements
dévénements
DNS
SYSVOL
SYSVOL
Base de donn ées et
fichiers journaux
Si les enregistrements de ressources SRV ont été inscrits, les dossiers suivants existent
dans le dossier domaine (ici dmsi.esat.terre.def):
o _msdcs
o _sites
o _tcp
o _udp
Exemple d ‘enregistrements:
Vérifier les partages par net share ou dans l’explorateur; on doit trouver les partages
suivants:
o NETLOGON: point sur racine_système\SYSVOL\domaine\scripts
o SYSVOL: point sur racine_système\SYSVOL
On peut installer Active Directory à l’aide d’un fichier de réponse. Ce fichier contient les
paramètres de l’installation d’Active Directory.
Ce mode d’installation peut être utilisé par tout utilisateur qui ne sait pas installer Active
Directory; mais dans ce cas, l’utilisateur doit bénéficier des privilèges administratifs requis
pour réussir l’installation.
La commande à utiliser est: dcpromo /answer: « fichier_réponse »
5.8. Implémentation de zones intégrées Active Directory
Après l’installation d’Active Directory, vous pouvez intégrer une zone DNS à Active Directory.
Le système DNS peut alors utiliser Active Directory pour stocker et dupliquer les base de
données de zones DNS.
Vous pouvez également profiter au mieux des nouvelles fonctionnalités de DNS
Windows 2000, telles que les mises à jour dynamiques sécurisées et les fonctions de
vieillissement et de nettoyage des enregistrements.
Par défaut, la sécurité des mises à jour dynamiques pour les serveurs et les clients DNS
Windows 2000 peut être traitée de la manière suivante:
• Les clients DNS Windows 2000 DNS tentent tout d'abord d'utiliser la mise à jour
dynamique non sécurisée. Si une mise à jour non sécurisée est refusée, les
clients essaient d'utiliser une mise à jour sécurisée.
Une fois qu'une zone est intégrée à Active Directory, les serveurs DNS Windows 2000
autorisent par défaut uniquement les mises à jour dynamiques sécurisées.
Lorsqu'un domaine s'exécute en mode natif, il ne peut pas repasser en mode mixte.
Pour faire passer un domaine du mode mixte au mode natif, on utilise la console
Utilisateurs et ordinateurs Active Directory.
Le tableau suivant récapitule les effets des modes de domaine sur les groupes.
Avec les unités d'organisation, on peut créer des conteneurs à l'intérieur d'un domaine afin
de représenter les structures hiérarchiques et logiques de votre organisation. Ceci permet de
gérer la configuration et l'utilisation des comptes et des ressources en fonction du modèle
d'organisation.
Exemple 1:
Tel qu'il apparaît dans l'exemple, les unités d'organisation peuvent contenir d'autres unités
d'organisation. Avec les unités d'organisation vous pouvez minimiser le nombre de
domaines requis pour votre réseau. Vous pouvez utiliser des unités d'organisation pour
créer un modèle administratif. Un utilisateur peut recevoir des droits d'administration pour
toutes les unités d'organisation d'un domaine ou pour une seule unité d'organisation. Un
administrateur d'une unité d'organisation ne requiert pas des droits d'administration pour les
autres unités d'organisation du domaine.
Vous devez décider si vous souhaitez fractionner une partie spécifique de votre réseau en
domaines différents ou en unités d'organisation différentes. Suivez les recommandations ci-
dessous:
• Fractionnez le réseau en domaines différents si vous avez une organisation
décentralisée dans laquelle des utilisateurs et des ressources indépendants sont
gérés par des groupes de personnel administratif différents.
• Fractionnez le réseau en domaines différents lorsque deux parties de votre réseau
sont séparées par une liaison tellement lente que vous n'envisagez jamais de
l'utiliser pour un trafic de réplication complet. (Pour les liaisons lentes capables de
gérer un trafic de réplication moins fréquent, vous pouvez configurer un domaine
unique avec plusieurs sites).
• Fractionnez un domaine en unités d'organisation pour refléter la structure de votre
organisation.
Exemple 2:
DM
DMSI
SI
Système
Système Program
Programmmation
ation A
Analyse
nalyse
Pour créer une unité d’organisation, il faut utiliser la console Utilisateurs et ordinateurs Active
Directory.
Après avoir indiquér les références d’un compte autorisé à cette procédure, l’assistant
récapitule les actions à mener.