Presentation Active Directory

Prsentation technique de Active Directory
Microsoft Corporation
Publi en : juillet 2002
Synthse
En se fondant sur les acquis du systme dexploitation Microsoft Windows 2000, le service
Active Directory de la famille Windows Server 2003 apporte de nouvelles fonctions essentielles
qui en font lune des structures dannuaire les plus souples actuellement disponible sur le
march. une poque o les applications dannuaire revtent une importance de plus en plus
grande, les entreprises peuvent utiliser Active Directory pour grer les environnements rseau les
plus complexes en entreprise. De plus, la famille Windows Server 2003 comprend bon nombre
de fonctions qui en font la plate-forme idale pour le dveloppement et le dploiement
dapplications dannuaire. Cet article constitue une introduction aux concepts de base de Active
Directory et rcapitule les nouvelles fonctions et amliorations du produit.
Article technique sur Microsoft Windows Server 2003
Ce document est une premire version qui peut faire lobjet de profondes
modifications avant la commercialisation finale du logiciel dcrit ici.
Les informations contenues dans ce document reprsentent le point de
vue actuel de Microsoft Corporation sur les points cits la date de
publication. Microsoft sadapte aux conditions fluctuantes du march et
cette opinion ne doit pas tre interprte comme un engagement de la
part de Microsoft. En outre, Microsoft ne garantit pas la vracit des
informations prsentes aprs la date de publication.
Ce document est publi des fins purement informatives. MICROSOFT
EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE, QUANT AUX
INFORMATIONS CONTENUES DANS CE DOCUMENT.
L'utilisateur est tenu d'observer la rglementation relative aux droits
d'auteur applicable dans son pays. Sans limitation des droits issus des
droits d'auteur, aucune partie de ce document ne peut tre reproduite,
stocke ou incluse dans un systme de rcupration de donnes ou
transmise, quelque fin ou par quelque moyen que ce soit, (lectronique,
mcanique, photocopie, enregistrement ou autre) sans la permission
expresse et crite de Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire lobjet de
brevets, de dpts de brevets en cours, de marques, de droits dauteur
ou dautres droits de proprit intellectuelle et industrielle de Microsoft.
Sauf stipulation expresse contraire dun contrat de licence crit de
Microsoft, la fourniture de ce document na pas pour effet de vous
concder une licence sur ces brevets, marques, droits dauteur ou autres
droits de proprit intellectuelle.
2002. Microsoft Corporation. Tous droits rservs.
Microsoft, Active Directory, IntelliMirror, Visual Basic, Visual C++,
Windows et Windows NT sont soit des marques commerciales, soit des
marques dposes de Microsoft Corporation aux tats-Unis et/ou dans
dautres pays.
Les noms de produits et de socits rels mentionns dans la prsente
documentation sont des marques de leurs propritaires respectifs.
Sommaire
Introduction................................................................................................................................................ 1
Principes de base de Active Directory...................................................................................................... 2
Banque de donnes de lannuaire............................................................................................................ 2
Active Directory et scurit....................................................................................................................... 3
Schma Active Directory........................................................................................................................... 3
Classes................................................................................................................................................. 3
Extension du schma............................................................................................................................ 3
Attributs................................................................................................................................................. 4
Attributs valeurs multiples................................................................................................................... 5
Indexation des attributs......................................................................................................................... 5
Rle du catalogue global.......................................................................................................................... 5
Recherche dinformations dans lannuaire................................................................................................ 6
Efficacit des outils de recherche.......................................................................................................... 6
Rplication de Active Directory................................................................................................................. 7
Rle des sites dans la rplication.......................................................................................................... 7
Clients Active Directory............................................................................................................................. 8
Nouvelles fonctions et amliorations de Active Directory....................................................................10
Intgration et productivit de Active Directory......................................................................................11
Simplification de lutilisation et de la gestion de Active Directory.............................................................11
Autres fonctions et amliorations en matire dintgration et de productivit......................................11
Performances et volutivit de Active Directory...................................................................................13
Amlioration des performances pour les filiales......................................................................................13
Autres fonctions et amliorations en matire de performances...........................................................13
Administration et gestion de la configuration de Active Directory......................................................15
Configuration de Active Directory avec les nouveaux Assistants dinstallation.......................................15
Autres fonctions et amliorations en matire dadministration.............................................................15
Fonctions de stratgie de groupe de Active Directory..........................................................................19
Gestion de la stratgie de groupe........................................................................................................... 19
Rle de la console GPMC................................................................................................................... 19

Gestion de domaines Windows 2000 et Windows Server 2003..........................................................19
Autres fonctions et amliorations lies la stratgie de groupe..........................................................20
Amliorations de la scurit de Active Directory..................................................................................23
Gestion de la scurit avec des approbations de fort...........................................................................23
Approbation de fort............................................................................................................................ 23
Gestion des approbations.................................................................................................................... 23
Espaces de noms approuvs.............................................................................................................. 23
Autres fonctions et amliorations en matire de scurit....................................................................23
Rsum..................................................................................................................................................... 26
Liens apparents........................................................................................................................................ 27
Introduction
Le service Microsoft Active Directory est un composant central de la plate-forme Windows. Il
permet de grer les identits et les relations qui forment les environnements rseau.
Dveloppant les caractristiques du systme dexploitation Windows 2000, la famille Windows

Server 2003 amliore dune part la grabilit de Active Directory et facilite dautre part les procdures
de migration et de dploiement. Les dveloppeurs dapplications et les diteurs de logiciels, en
particulier, dcouvriront que la meilleure mthode pour dvelopper des applications dannuaire consiste
utiliser le service Active Directory de Windows Server 2003.
Les amliorations apportes Active Directory permettent de rduire le cot total de possession et les
frais dexploitation au sein de lentreprise. Tous les niveaux du produit comprennent prsent de
nouvelles fonctions et amliorations qui dveloppent sa polyvalence, simplifient la gestion et
augmentent sa fiabilit. Windows Server 2003 permet aux entreprises de raliser encore plus
dconomies tout en rendant plus efficaces la gestion et le partage des divers lments de lentreprise.
Cet article sadresse aux administrateurs informatiques, aux architectes de systmes en rseau et
toute personne souhaitant comprendre les nouvelles fonctions et les principales amliorations
apportes au service Active Directory de Windows Server 2003. Il commence par prsenter les
concepts de base de Active Directory, puis traite de ses nouvelles fonctions et amliorations dans la
famille Windows Server 2003 en matire :
dintgration et de productivit ;
de performances et dvolutivit ;
dadministration et de gestion de la configuration ;
des fonctions de la stratgie de groupe ;
de scurit.
Prsentation technique de Active Directory 1

Principes de base de Active Directory

Active Directory est le service dannuaire de Windows Standard Server, Windows Enterprise Server et
Windows Datacenter Server (il ne sexcute pas sur Windows Web Server, mais peut en revanche
administrer les ordinateurs Windows Web Server). Active Directory stocke des informations sur les
objets placs sur le rseau et facilite la recherche et lutilisation de ces donnes pour les
administrateurs et les utilisateurs. Active Directory fait appel une banque de donnes structure pour
organiser les informations de lannuaire de manire logique et hirarchique.
Banque de donnes de lannuaire

Cette banque de donnes est souvent plus simplement appele lannuaire . Lannuaire contient des
informations sur les objets, tels que les utilisateurs, les groupes, les ordinateurs, les domaines, les
units organisationnelles et les stratgies de scurit. Ces informations peuvent tre publies pour
permettre aux utilisateurs et aux administrateurs de les utiliser.
Lannuaire est stock sur des serveurs appels contrleurs de domaine et est accessible par
lintermdiaire de services ou dapplications en rseau. Un domaine peut comporter plusieurs
contrleurs de domaine. Chaque contrleur de domaine possde une copie accessible en criture de
lannuaire du domaine sur lequel il rside. Les modifications apportes lannuaire sont rpliques
depuis le contrleur de domaine dorigine vers les autres contrleurs de domaine se trouvant dans le
domaine, larborescence du domaine ou la fort. tant donn que lannuaire est rpliqu et que chaque
contrleur de domaine dispose dune copie accessible en criture, lannuaire offre un grand niveau de
disponibilit aux utilisateurs et aux administrateurs du domaine.
Les donnes de lannuaire sont stockes dans le fichier Ntds.dit sur le contrleur de domaine. Il est
recommand de stocker ce fichier sur une partition NTFS. Certaines donnes sont stockes dans le
fichier de base de donnes de lannuaire, tandis que dautres sont conserves dans un systme de
fichiers rpliqu, tel que des scripts douverture de session et des stratgies de groupe.
Il existe trois catgories de donnes dannuaire rpliques entre les contrleurs de domaine :
Donnes de domaine : les donnes de domaine contiennent des informations sur les objets au sein
dun domaine. Il sagit gnralement des informations dannuaire, telles que les contacts lectroniques,
les attributs des comptes dutilisateur et dordinateur et les ressources publies dont les administrateurs
et les utilisateurs pourraient avoir besoin.
Par exemple, lorsquun compte dutilisateur vient sajouter votre rseau, un objet de compte
dutilisateur et des donnes dattribut sont stockes dans les donnes de domaine. Lorsque des
modifications sont apportes aux objets de lannuaire de votre entreprise (cration, suppression ou
modification des attributs dun objet, par exemple), ces donnes sont galement stockes dans les
donnes de domaine.
Donnes de configuration : les donnes de configuration dfinissent la topologie de lannuaire. Elles

comprennent la liste de lensemble des domaines, arborescences et forts, ainsi que lemplacement des
contrleurs de domaine et des catalogues globaux.
Donnes de schma : le schma constitue la dfinition technique de toutes les donnes dattribut et
dobjet quil est possible de stocker dans lannuaire. Windows Server 2003 inclut un schma par dfaut

qui dfinit plusieurs types dobjets, tels que les comptes dutilisateur et dordinateur, les groupes, les
domaines, les units organisationnelles et les stratgies de scurit. Les administrateurs et les
programmeurs peuvent dvelopper le schma en dfinissant de nouveaux types dobjets et attributs ou
en ajoutant de nouveaux attributs aux objets existants. Des listes de contrle daccs (ACL) protgent
les objets de schma pour garantir que seuls les utilisateurs autoriss puissent modifier le schma.
Active Directory et scurit

La scurit de Active Directory est assure par lintermdiaire de lauthentification des ouvertures de
session et du contrle de laccs aux objets de lannuaire. laide dune seule ouverture de session
rseau, les administrateurs peuvent grer les donnes de lannuaire et lorganisation de leur rseau,
tandis que les utilisateurs rseau autoriss peuvent accder aux ressources depuis nimporte quel point
du rseau. Ladministration fonde sur des stratgies facilite la gestion des rseaux les plus complexes.
Active Directory permet de stocker de faon scurise les informations des comptes dutilisateur et des
groupes grce un contrle daccs sur les objets et aux informations didentification des utilisateurs.
tant donn que Active Directory stocke non seulement les informations didentification des utilisateurs
mais aussi les informations de contrle daccs, les utilisateurs qui ouvrent une session sur le rseau
obtiennent la fois lauthentification et lautorisation ncessaires pour accder aux ressources du
systme. Par exemple, lorsquun utilisateur ouvre une session sur le rseau, le systme de scurit
lauthentifie grce aux informations stockes dans Active Directory. Lorsque lutilisateur tente ensuite
daccder un service sur le rseau, le systme vrifie les proprits dfinies dans la liste de contrle
daccs discrtionnaire (DACL) de ce service.
Les administrateurs peuvent grer la scurit du systme plus efficacement grce aux comptes de
groupe que Active Directory leur permet de crer. Par exemple, un administrateur peut autoriser tous
les utilisateurs dun groupe lire un fichier en modifiant les proprits de ce dernier. Avec cette
mthode, laccs aux objets dans Active Directory repose sur lappartenance des groupes.
Schma Active Directory

Le schma Active Directory est lensemble des dfinitions qui rgissent les types dobjets, ainsi que les
types dinformations sur ces objets, quil est possible de stocker dans Active Directory. Ces dfinitions
tant elles-mmes stockes sous forme dobjets, Active Directory peut grer les objets du schma par
le biais des mmes procdures de gestion que pour le reste des objets figurant dans lannuaire. Le
schma contient deux types de dfinitions : des attributs et des classes. Les attributs et les classes
sappellent galement des objets de schma ou des mtadonnes .
Classes
Les classes, galement appeles classes dobjet , dcrivent les objets dannuaire quil est possible
de crer. Chaque classe se compose dun ensemble dattributs. Lorsque vous crez un objet, les
attributs stockent les informations qui dfinissent lobjet. La classe Utilisateur, par exemple, se compose
de plusieurs attributs, notamment une adresse rseau et un rpertoire de base. Chaque objet stock
dans Active Directory est une instance dune classe dobjet.
Extension du schma
Les dveloppeurs et les administrateurs de rseau confirms peuvent dvelopper le schma de faon
dynamique en dfinissant de nouvelles classes et de nouveaux attributs pour les classes existantes.

Le contenu du schma est rgi par le contrleur de domaine possdant le rle de matre doprations
du schma. Une copie du schma se rplique sur tous les contrleurs de domaine de la fort.
Lutilisation de ce schma commun garantit lintgrit et la cohrence des donnes au sein de toute la
fort.
Vous pouvez galement dvelopper le schma laide du composant logiciel enfichable Schma Active
Directory. Pour pouvoir le modifier, vous devez remplir les trois conditions suivantes :
tre membre du groupe des administrateurs de schma ;

avoir install le composant logiciel enfichable Schma Active Directory sur lordinateur possdant le rle
de matre doprations du schma ;
possder les autorisations administrateur permettant de modifier le contrleur de schma.
Avant de modifier le schma, il est primordial de prendre en considration les trois points suivants :
Les extensions de schma sont globales. Lorsque vous dveloppez un schma, les modifications
apportes sappliquent lintgralit de la fort, car elles se rpliquent sur tous les contrleurs de
domaine de lensemble des domaines de la fort.
Il est impossible de modifier les classes de schma lies au systme. Vous ne pouvez pas modifier
les classes systme par dfaut du schma Active Directory. Les applications servant modifier le
schma peuvent toutefois ajouter des classes systme facultatives que vous tes en mesure de
modifier.
Les extensions de schma peuvent tre rversibles. Il est possible de modifier certaines proprits
dattributs ou de classes aprs leur cration. Vous pouvez dsactiver les nouvelles classes ou les
nouveaux attributs ajouts au schma, mais vous ne pouvez pas les supprimer. Vous pouvez cependant
faire disparatre des dfinitions et rutiliser des identificateurs dobjet (OID) ou des noms complets, ce
qui vous permet de rtablir une dfinition de schma.
Pour plus dinformations sur la modification du schma, voir les Kits de ressources de Microsoft
Windows ladresse http://www.microsoft.com/reskit (site en anglais).
Active Directory ne prend pas en charge la suppression des objets de schma. Vous pouvez cependant
marquer les objets comme tant dsactivs, ce qui revient sous bien des aspects les supprimer.
Attributs
Les attributs se dfinissent de faon distincte des classes. Chaque attribut est dfini une seule fois et
peut tre rutilis dans plusieurs classes. Par exemple, lattribut Description se retrouve dans plusieurs
classes, mais nest dfini quune seule fois dans le schma pour des raisons dhomognit.
Les attributs dcrivent des objets. Chacun dentre eux possde sa propre dfinition, qui dcrit le type
dinformations que vous pouvez spcifier pour lattribut. Chaque attribut du schma est spcifi dans la
classe attribut-schma, qui dtermine les informations que chaque dfinition dattribut doit contenir.
La liste des attributs applicables un objet particulier dpend de la classe de laquelle lobjet est une
instance et de toutes les superclasses de la classe de cet objet. Les attributs se dfinissent une seule
fois et peuvent tre rutiliss plusieurs fois. Ceci garantit lhomognit de toutes les classes
partageant un attribut donn.

Attributs valeurs multiples
Les attributs peuvent comporter une valeur unique ou plusieurs valeurs. La dfinition de schma dun
attribut indique si une instance dun attribut peut avoir plusieurs valeurs. Linstance dun attribut valeur
unique peut tre vide ou contenir une seule valeur, tandis que linstance dun attribut plusieurs valeurs
peut tre vide ou contenir une ou plusieurs valeurs. Chaque valeur dun attribut plusieurs valeurs doit
tre unique.
Indexation des attributs
Les index sappliquent aux attributs, mais pas aux classes. Lindexation dun attribut peut aider
trouver plus rapidement les objets affects de cet attribut lors des recherches. Lorsque vous marquez
un attribut comme tant index, ce sont toutes ses instances qui sajoutent lindex, et pas seulement
celles qui appartiennent une classe particulire.
Lajout dattributs indexs peut avoir un impact sur la dure de la rplication de Active Directory, la
mmoire disponible et la taille de la base de donnes. La base de donnes tant plus volumineuse, sa
rplication prend plus de temps.
Il est galement possible dindexer les attributs plusieurs valeurs. Dans ce cas, la taille de Active
Directory et le temps ncessaire pour crer les objets augmentent de faon plus importante que lors de
lindexation de proprits valeur unique. Lorsque vous choisissez les attributs indexer, assurez-vous
quils sont frquemment utiliss et considrez les avantages que cela vous apportera par rapport
limpact que cette opration aura sur les performances.
Il est en outre possible deffectuer des recherches sur un attribut de schma index en fonction du
conteneur dans lequel il est stock, ce qui vite deffectuer une recherche sur toute la base de donnes
Active Directory. Grce cette fonctionnalit, les recherches sexcutent plus rapidement et utilisent
moins de ressources.
Rle du catalogue global

Un catalogue global est un contrleur de domaine qui stocke une copie de tous les objets Active
Directory prsents dans une fort. Il stocke galement les attributs de recherche les plus courants de
chaque objet. Il contient aussi une copie complte de tous les objets de lannuaire pour son domaine
hte et une copie partielle de tous les objets pour tous les autres domaines de la fort. Il permet ainsi
deffectuer efficacement des recherches sans avoir faire inutilement rfrence aux contrleurs de
domaine.
Un catalogue global se cre automatiquement sur le contrleur de domaine initial de la fort. Vous
pouvez en ajouter un dautres contrleurs de domaine ou changer lemplacement par dfaut du
catalogue global pour le placer sur un autre contrleur de domaine.
Un catalogue global assure les rles suivants dans lannuaire :
Recherche dobjets : un catalogue global permet aux utilisateurs de rechercher des donnes
dannuaire travers tous les domaines dune fort, quel que soit lendroit o ces donnes se trouvent.
Les recherches effectues au sein dune fort sont trs rapides et nengendrent quun trafic minimal sur
le rseau.
Lorsque vous recherchez des utilisateurs ou des imprimantes partir du menu Dmarrer ou
slectionnez loption Tout lannuaire dans une requte, la recherche se fait en fait dans un catalogue

global. Une fois les critres de recherche spcifis, votre demande est achemine vers le port 3268 de
catalogue global par dfaut et envoye un catalogue global pour rsolution.
Authentification des noms dutilisateur principaux : un catalogue global rsout les noms dutilisateur
principaux lorsque le contrleur de domaine assurant lauthentification ne connat pas le compte. Par
exemple, si un compte dutilisateur se trouve sur exemple1.microsoft.com et que lutilisateur dcide
douvrir une session sous le nom principal utilisateur1@exemple1.microsoft.com partir dun ordinateur
situ sur exemple2.microsoft.com, le contrleur de domaine de exemple2.microsoft.com nest pas en
mesure de trouver le compte de lutilisateur. Il contacte alors le serveur de catalogues global pour
terminer louverture de session.
Fourniture des informations relatives lappartenance aux groupes universels dans un
environnement plusieurs domaines : contrairement aux appartenances aux groupes globaux, qui
sont stockes sur chaque domaine, les appartenances aux groupes universels rsident uniquement
dans un catalogue global. Par exemple, lorsquun utilisateur appartenant un groupe universel ouvre
une session sur un domaine dfini sur le niveau de fonctionnalit de domaine Windows 2000 en mode
natif ou version ultrieure, le catalogue global fournit les informations sur lappartenance aux groupes
universels pour le compte dutilisateur.
Si aucun catalogue global nest disponible lorsquun utilisateur ouvre une session sur un domaine
Windows 2000 en mode natif ou version ultrieure, lordinateur utilise les informations didentification
figurant dans le cache pour connecter lutilisateur, si ce dernier a dj ouvert une session sur le
domaine par le pass. Si lutilisateur na jamais ouvert de session sur le domaine auparavant, il peut
uniquement se connecter lordinateur local.
Remarque : les membres du groupe des administrateurs de domaine peuvent ouvrir une session sur le
rseau mme lorsque aucun catalogue global nest disponible.
Recherche dinformations dans lannuaire

Comme nous lavons vu plus haut dans cet article, Active Directory est conu pour fournir des rsultats
aux requtes manant dutilisateurs ou de programmes, portant sur les objets dannuaire. La
commande Rechercher du menu Dmarrer permet aux administrateurs et aux utilisateurs de facilement
rechercher des informations dans lannuaire. Les programmes clients peuvent accder aux donnes
figurant dans Active Directory laide des interfaces ADSI (Active Directory Service Interfaces).
Lun des avantages principaux de Active Directory tient sa banque de donnes riches en informations
sur les objets du rseau. Les donnes quil publie concernant les utilisateurs, les ordinateurs, les
fichiers et les imprimantes sont mises la disposition des utilisateurs du rseau. Laccs dpend des
autorisations de scurit rgissant la consultation des informations.
Les tches quotidiennes sur un rseau impliquent la communication avec dautres utilisateurs et la
connexion des ressources publies. Ces tches ncessitent de rechercher des noms et des adresses
pour envoyer du courrier lectronique ou se connecter des ressources partages. cet gard, Active
Directory fonctionne comme un carnet dadresses partag pour lentreprise. Par exemple, vous pouvez
rechercher un utilisateur par prnom, nom, nom lectronique, bureau ou toute autre proprit du
compte dutilisateur de cette personne. Comme nous lavons expliqu plus haut dans cet article, le
catalogue global optimise la recherche dinformations.

Efficacit des outils de recherche
Les administrateurs peuvent utiliser les botes de dialogue avances de recherche du composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory pour effectuer les tches de gestion plus
efficacement, ainsi que pour personnaliser et filtrer facilement les donnes rcupres de lannuaire.
De plus, ils peuvent ajouter rapidement des objets aux groupes, sans grand impact sur le rseau, en
recherchant les membres correspondants laide de requtes sans navigation.
Rplication de Active Directory

La rplication amliore la disponibilit des donnes, la tolrance aux pannes, lquilibrage de la charge
et les gains de performances de lannuaire. Active Directory fait appel une rplication multimatre qui
vous permet de mettre jour lannuaire au niveau de nimporte quel contrleur de domaine plutt
quuniquement au niveau du contrleur principal de domaine. Le modle multimatre a lavantage
doffrir une plus grande tolrance de pannes, car, dans le cas de plusieurs contrleurs de domaine, la
rplication se poursuit, mme si lun des contrleurs de domaine sarrte.
Les contrleurs de domaine stockent et rpliquent les lments suivants :
Informations du schma : ces informations dfinissent les objets quil est possible de crer dans
lannuaire et les attributs quils peuvent possder. Elles sont partages par tous les domaines de la fort.
Les donnes du schma sont rpliques sur tous les contrleurs de domaine de la fort.
Informations de configuration : ces informations dfinissent la structure logique de votre dploiement
et contiennent notamment des donnes relatives la structure des domaines et la topologie de la
rplication. Elles sont partages par tous les domaines de la fort. Les donnes de configuration sont
rpliques sur tous les contrleurs de domaine de la fort.
Informations sur les domaines : ces informations dfinissent tous les objets dun domaine. tant
propres un domaine, elles ne sont pas distribues aux autres domaines. Pour permettre la recherche
dinformations au sein de larborescence ou de la fort dun domaine, le catalogue global stocke un
sous-ensemble des proprits de tous les objets prsents dans tous les domaines. Les donnes de
domaine sont rpliques sur tous les contrleurs du domaine.
Informations sur les applications : les informations stockes dans la partition de lannuaire
dapplications sont prvues pour les situations ncessitant de rpliquer des informations, mais pas
ncessairement lchelle globale. Il est possible de racheminer explicitement les donnes
dapplications vers des contrleurs de domaine spcifis par ladministrateur au sein de la fort pour
viter un trafic de rplication superflu. Vous pouvez galement les configurer pour quelles se rpliquent
sur tous les contrleurs du domaine.
Rle des sites dans la rplication
Les sites rationalisent la rplication des donnes dannuaire. Les informations relatives au schma et
la configuration de lannuaire sont rpliques au sein de toute la fort, tandis que les donnes de
domaine sont rpliques entre tous les contrleurs de domaine du domaine et partiellement rpliques
dans les catalogues globaux. En rduisant la rplication de faon stratgique, vous pouvez rduire
dautant limpact sur votre rseau.
Les contrleurs de domaine font appel aux sites et au contrle des changements de rplication pour
optimiser la rplication comme suit :
En analysant de temps autre les connexions utilises, Active Directory utilise les connexions rseau

les plus efficaces.

Active Directory rplique les modifications en suivant plusieurs itinraires de sorte amliorer la
tolrance de pannes.
En ne rpliquant que les donnes modifies, les limpact de la rplication est rduit.
Lorsquun dploiement ne sorganise pas sous forme de sites, lchange dinformations entre les
contrleurs de domaine et les clients peut tre chaotique. Les sites optimisent en effet lutilisation du
rseau.
Active Directory rplique les informations de lannuaire au sein dun site une frquence plus leve
quentre sites. De cette manire, les contrleurs de domaine prioritaires, cest--dire ceux qui sont
susceptibles davoir besoin de donnes dannuaire particulires, reoivent dabord les rplications. Les
contrleurs de domaine des autres sites reoivent toutes les modifications apportes lannuaire, mais
cette opration seffectue moins souvent de sorte rduire la consommation de la bande passante du
rseau. Cette rduction est dautant plus importante que les donnes sont compresses pendant la
rplication entre sites. Pour des raisons defficacit, les mises jour ne seffectuent que lors de lajout
de nouvelles informations ou lors de la modification dinformations existantes dans lannuaire.
Si les mises jour de lannuaire taient distribues en permanence tous les autres contrleurs du
domaine, elles utiliseraient des ressources rseau. Bien que vous puissiez manuellement ajouter ou
configurer des connexions ou encore rpliquer des donnes sur une connexion particulire, le
Vrificateur de cohrence des donnes Active Directory optimise automatiquement la rplication en
fonction des informations que vous spcifiez dans loutil dadministration Sites et services Active
Directory. Le Vrificateur de cohrence est charg de llaboration et de la maintenance de la topologie
de la rplication de Active Directory. Plus particulirement, cest lui qui dcide du moment auquel la
rplication a lieu et du groupe de serveurs sur lequel chaque serveur doit se rpliquer.
Clients Active Directory

Avec le client Active Directory, bon nombre des fonctions Active Directory disponibles sous
Windows 2000 Professionnel ou Windows XP Professionnel sont accessibles aux ordinateurs
excutant les systmes dexploitation Windows 95, Windows 98 et Windows NT 4.0 :
Reconnaissance des sites : vous pouvez ouvrir une session sur le contrleur de domaine le plus
proche du client sur le rseau.
ADSI (Active Directory Service Interfaces) : vous pouvez utiliser des scripts avec Active Directory.
ADSI offre galement aux programmeurs Active Directory une API de programmation commune.
Client de tolrance de pannes du systme de fichiers distribus (DFS) : vous pouvez accder
Windows 2000 et aux serveurs excutant la tolrance de pannes DFS Windows et faire basculer les
partages de fichiers spcifis dans Active Directory.
Authentification NTLM version 2 : vous pouvez utiliser les fonctions dauthentification amliores de
NT LanMan (NTLM) version 2. Pour plus dinformations sur lactivation de la version 2 de NTML,
consultez larticle 239869, Procdure pour activer lauthentification NTLM 2 sous Windows 95/98/2000
et NT dans la Base de connaissances Microsoft ladresse http://support.microsoft.com/.
Pages des proprits du carnet dadresses Windows (WAB) de Active Directory : sur les pages des
objets utilisateur, vous pouvez modifier des proprits, notamment le numro de tlphone et ladresse
dun contact.
Fonction de recherche de Active Directory : partir du menu Dmarrer, vous pouvez rechercher des

imprimantes et des utilisateurs dans un domaine Windows 2000 Server ou Windows. Pour plus
dinformations sur la publication dimprimantes dans Active Directory, consultez larticle Q234619,
Publishing a Printer in Windows 2000 Active Directory (site en anglais) dans la Base de
connaissances Microsoft ladresse http://support.microsoft.com.
Windows 2000 Professionnel et Windows XP Professionnel offrent des fonctions non disponibles dans
le client Active Directory sous Windows 95, Windows 98 et Windows NT 4.0, notamment la prise en
charge de la version 5 de Kerberos, la prise en charge des technologies de gestion des stratgies de
groupe ou IntelliMirror et lauthentification mutuelle ou des noms de service principaux. En effectuant
la mise niveau vers Windows 2000 Professionnel ou Windows XP Professionnel, vous pouvez
bnficier des avantages quoffrent ces fonctions. Pour plus dinformations, voir :
Mise jour vers Microsoft Windows 2000 ladresse

http://www.microsoft.com/France/windows/2000/version/upgrade.asp.
Windows XP Professional Upgrade Center (site en anglais) ladresse
http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.
Pour installer le client Active Directory, voir la page consacre au client Active Directory (site en anglais)
ladresse http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp

Nouvelles fonctions et amliorations de Active Directory

La suite de cet article technique rcapitule les nouvelles fonctions et amliorations de Active Directory dans
la famille Windows Server 2003 concernant les domaines suivants :
Intgration et productivit
Performances et volutivit
Administration et gestion de la configuration
Fonctions de la stratgie de groupe
Scurit

Intgration et productivit de Active Directory

Les interfaces de Active Directory (interfaces de programmation et utilisateur) constituent le moyen
principal pour grer les identits, les objets et les relations au sein de lentreprise. En tant que tel, elles
ont subi des modifications visant amliorer lefficacit de ladministration et les fonctions dintgration.
Simplification de lutilisation et de la gestion de Active Directory

Active Directory contient bon nombre de perfectionnements qui en simplifient lutilisation, notamment
des amliorations apportes aux composants logiciels enfichables de la console MMC et au Slecteur
dobjet. Les plug-ins MMC peuvent ainsi faciliter la gestion de plusieurs objets. Les administrateurs
peuvent :
modifier plusieurs objets utilisateur : slectionnez et modifiez simultanment plusieurs
proprits dobjet.
enregistrer des recherches : enregistrez des recherches effectues sur le service Active Directory
de sorte pouvoir les rutiliser ultrieurement. Vous pouvez ensuite exporter les rsultats dans
XML.
slectionner rapidement des objets laide du slecteur dobjet amlior : ce composant a t

repens de sorte amliorer le flux de travail, rendre plus efficaces les recherches dobjets dans un
annuaire volumineux et proposer un mode de recherche plus souple. De nombreuses interfaces
utilisateur y font appel et les dveloppeurs de produits tiers peuvent sen servir.
Autres fonctions et amliorations en matire dintgration et de productivit
Fonction Description
Modifications apportes Les amliorations apportes linterface utilisateur des ACL portent sur la
linterface utilisateur des convivialit et les autorisations hrites par opposition aux autorisations dobjets
listes de contrle daccs particuliers.
(ACL)
Amliorations Un administrateur qui possde un priphrique provenant dun diteur de logiciel
dextensibilit ou dun fabricant dordinateurs OEM et faisant appel Active Directory dispose
dsormais de meilleures fonctions de gestion et peut ajouter toute classe dobjet
un groupe.
Objets utilisateur Il est possible de dfinir des objets utilisateur dfinis dans des annuaires LDAP
provenant dautres utilisant la classe inetOrgPerson, conformment la norme RFC 2798 (Novell et
annuaires LDAP Netscape, par exemple), laide des interfaces utilisateur Active Directory.
Linterface utilisateur fonctionnant avec les objets utilisateur Active Directory est
compatible avec les objets inetOrgPerson. prsent, tout client ou application
ayant besoin de la classe inetOrgPerson peut lutiliser en toute simplicit.
Intgration Passport (via Lauthentification Passport est dsormais disponible pour les services IIS
les services IIS) (Internet Information Services) 6.0 et permet de mapper les objets utilisateur
Active Directory sur leur identification Passport correspondante (le cas chant).
Lautorit de scurit locale (LSA) cre pour lutilisateur un jeton, qui est configur
par IIS 6.0 pour la demande HTTP. Les utilisateurs Internet possdant une
identification Passport correspondante peuvent prsent utiliser leur compte
Passport pour accder aux ressources de la mme manire que sils avaient

utilis leurs informations didentification Active Directory.

Utilisation des services Il est possible de crer un script pour les proprits Terminal Server propres aux
Terminal Server avec ADSI utilisateurs laide de linterface ADSI (Active Directory Services Interface) et ce,
paralllement une configuration manuelle par lintermdiaire de lannuaire.
Cette fonctionnalit facilite donc limplmentation des modifications en bloc ou
par programmation par lintermdiaire de linterface ADSI.
Fournisseurs WMI des Les classes WMI (Windows Management Instrumentation) peuvent contrler si
moniteurs de rplication et
les contrleurs de domaine parviennent rpliquer correctement les informations
dapprobation
Active Directory entre eux. Comme bon nombre de composants de
Windows 2000 (rplication de Active Directory, par exemple) se reposent sur les
approbations interdomaines, cette fonction permet galement de contrler que
les approbations fonctionnent correctement. Les administrateurs ou le personnel
dexploitation peuvent prsent tre rapidement avertis des problmes de
rplication par lintermdiaire de WMI.
Listes de distribution MSMQ (Message Queuing) assure la prise en charge de lenvoi des messages
MSMQ aux listes de distribution hberges dans Active Directory. Les utilisateurs MSMQ
peuvent facilement grer les listes de distribution depuis Active Directory.

Performances et volutivit de Active Directory

La faon dont Windows Server 2003 gre la rplication et la synchronisation des informations Active
Directory a subi des modifications importantes. Lajout de nouvelles fonctions relatives linstallation, la
migration et la maintenance a permis de rendre Active Directory plus souple, plus fiable et plus efficace.
Amlioration des performances pour les filiales

Le dploiement dans des filiales se compose gnralement de nombreux bureaux distants possdant
chacun leurs propres contrleurs de domaine, dont les liaisons un concentrateur ou un centre de
donnes commun lentreprise sont toutefois lentes. Windows Server 2003 amliore le processus
douverture de session au niveau des filiales en liminant la ncessit daccder au serveur de
catalogues global central chaque fois quun utilisateur souhaite ouvrir une session. Les entreprises
nont dsormais plus besoin de dployer un serveur de catalogues global dans les filiales dans
lesquelles le rseau est peu fiable.
Au lieu de contacter un catalogue global chaque fois quun utilisateur ouvre une session sur un
contrleur de domaine, le contrleur de domaine met en cache lappartenance aux groupes universels
des utilisateurs qui ont dj ouvert une session depuis ce site ou depuis des serveurs de catalogues
globaux hors site lorsque le rseau tait disponible. Les utilisateurs sont ensuite autoriss ouvrir des
sessions sans que le contrleur de domaine nait besoin de contacter un serveur de catalogues global
au moment de la connexion, ce qui rduit la demande sur les rseaux lents ou peu fiables. Ce
perfectionnement amliore galement la fiabilit du rseau lorsque aucun catalogue global nest
disponible pour traiter les demandes douverture de session des utilisateurs.
Autres fonctions et amliorations en matire de performances
Dsactivation de la Vous pouvez dsactiver la compression du trafic de rplication entre contrleurs

compression du trafic de de domaine rsidant dans des sites diffrents. Ceci permet de rduire la
rplication inter-sites demande dUC sur les contrleurs de domaine et donc damliorer les
performances, si ncessaire.
Prise en charge des Un objet ordinateur est prsent dfini pour les serveurs en clusters. Les
serveurs virtuels en applications compatibles avec les clusters et avec Active Directory peuvent
clusters associer leurs propres informations de configuration un objet bien dfini.
Liaisons LDAP simultanes Il est possible deffectuer plusieurs liaisons LDAP (Lightweight Directory Access
Protocol) sur une mme connexion afin dauthentifier les utilisateurs. Lorsquun
dveloppeur dapplications utilise cette fonction, les liaisons LDAP et les
demandes dauthentification envoyes Active Directory sont bien plus
performantes.
Protection contre la Cette fonction vite de surcharger un premier contrleur de domaine Active
surcharge des contrleurs Directory introduit dans un domaine contenant dj un grand nombre de
de domaine membres Windows 2000 et Windows Server 2003 mis niveau.
Un domaine Windows NT Server 4.0 contient des membres Windows 2000 et
Windows Server 2003 (clients et serveurs). Lorsque vous mettez niveau un
contrleur principal de domaine vers le Service Pack 2 (SP2) de Windows 2000
ou vers Windows Server 2003, vous pouvez le configurer pour quil mule le
comportement dun contrleur de domaine Windows NT 4.0. Les membres de

domaine Windows 2000 et Windows Server 2003 ne font pas de distinction entre
les contrleurs de domaine mis niveau et les contrleurs de domaine
Windows NT 4.0.
Pour satisfaire aux besoins particuliers des administrateurs, les membres de
domaine excutant le SP2 de Windows 2000 ou Windows Server 2003 peuvent
tre configurs de manire informer les contrleurs de domaine excutant le
SP2 de Windows 2000 ou Windows Server 2003 de ne pas muler le
comportement dun contrleur de domaine Windows NT 4 lorsquils rpondent
aux membres de domaine de ce type.
Paramtrage de la Dans les domaines Windows Server 2003 sur lesquels la rplication du catalogue
rplication du catalogue global est configure, le paramtrage de la synchronisation du catalogue global
global est conserv, et non pas rinitialis. Les tches gnres la suite dune
extension du jeu dattributs partiel (PAS) sont ainsi rduites au minimum, car
seuls les attributs ajouts sont transmis. Globalement, cela permet de rduire le
trafic engendr par la rplication et doptimiser lefficacit des mises jour PAS.
Amliorations apportes Lorsquune fort est mise niveau vers une fort Windows Server 2003 en mode
la rplication des natif, lappartenance aux groupes est modifie de sorte stocker et rpliquer les
appartenances des valeurs de membres individuels au lieu de traiter lappartenance complte dun
groupes seul bloc. Ceci permet de diminuer la bande passante rseau utilise et
lutilisation du processeur au cours de la rplication et limine quasiment les
risques de perte de mises jour lorsque vous effectuez des mises jour
simultanes.
Extension de LDAP pour la Active Directory est capable de stocker les entres dynamiques. Ces entres
prise en charge de la dure spcifient une valeur de dure de vie. Lutilisateur peut modifier la valeur de la
de vie des entres dure de vie pour que lentre soit conserve pendant une priode plus longue
dynamiques que la dure de vie restante actuelle. LAPI en langage C de LDAP C a t
tendu pour prendre en charge cette nouvelle fonctionnalit. Ceci permet aux
dveloppeurs dapplications de stocker dans lannuaire des informations quil
nest pas ncessaire de conserver trs longtemps. Active Directory supprime
automatiquement ces donnes une fois que leur dure de vie expire.
Prise en charge des Il existe prsent des paramtres de stratgie de groupe facilitant la gestion des
dploiements 64 bits dploiements de logiciels 64 bits. Les options de lditeur de dploiement
dapplications (ADE) aident dterminer sil est possible de dployer des
applications 32 bits sur des clients 64 bits. Vous pouvez utiliser loutil Stratgie de
groupe pour vrifier que seules les applications appropries sont dployes sur
les clients 64 bits.

Administration et gestion de la configuration de Active Directory

Windows Server 2003 permet aux administrateurs de configurer et de grer Active Directory plus
efficacement, mme dans de trs grandes entreprises utilisant plusieurs forts, domaines et sites.
Configuration de Active Directory avec les nouveaux Assistants dinstallation

Le nouvel Assistant Configurer votre serveur simplifie la procdure de configuration de Active Directory
et fournit des paramtres prdfinis pour des rles de serveur particuliers. Il aide ainsi les
administrateurs uniformiser la faon dont les serveurs sont initialement dploys.
Les administrateurs sont guids travers le processus dinstallation des serveurs de sorte simplifier
la procdure pour aider les utilisateurs terminer linstallation des composants facultatifs choisis au
cours de linstallation de Windows. Ils peuvent se servir de cette fonction pour effectuer les oprations
suivantes :
installer le premier serveur dun rseau en configurant automatiquement DHCP, DNS et Active
Directory laide des paramtres de base par dfaut ;
aider les utilisateurs configurer les serveurs membres sur un rseau en indiquant les fonctions
dont ils ont besoin pour configurer un serveur de fichier, un serveur dimpression, un serveur Web
et multimdia, un serveur dapplications, un serveur daccs distant et de routage ou un serveur de
gestion des adresses IP.
Les administrateurs peuvent utiliser cette fonction pour effectuer une rcupration durgence, rpliquer
la configuration dun serveur sur plusieurs ordinateurs, terminer linstallation, configurer les rles des
serveurs ou dfinir la configuration du premier serveur ou du serveur principal sur un rseau.
Autres fonctions et amliorations en matire dadministration
Cration automatique de Vous pouvez crer et configurer automatiquement les serveurs et les zones DNS
zones DNS (Domain Name System) sur les systmes dexploitation de la famille Windows
Server 2003. Leur cration se fait par lintermdiaire de lentreprise en vue
dhberger la nouvelle zone. Les zones permettent de rduire considrablement
le temps que la configuration manuelle de chaque serveur DNS ncessite.
Gnration de la topologie Le gnrateur de topologie inter-site (ISTG) a t mis jour pour utiliser des
de rplication inter-sites algorithmes amliors et prendre en charge les forts comportant un plus grand
nombre de sites que sous Windows 2000. tant donn que tous les contrleurs
de domaine de la fort excutant le rle ISTG doivent saccorder sur la topologie
de rplication inter-sites, les nouveaux algorithmes ne sont activs quune fois
que la fort est mise niveau vers une fort Windows Server 2003 en mode natif.
Les nouveaux algorithmes ISTG fournis rendent la rplication entre forts plus
performante.
Amliorations de la Cette fonction simplifie le dbogage et le signalement dune configuration
configuration du DNS incorrecte du DNS, et aide configurer correctement linfrastructure DNS requise
pour le dploiement de Active Directory.
Ceci est galement valable lorsquun contrleur de domaine est promu au sein
dune fort existante. Dans ce cas, lAssistant Installation de Active Directory
contacte un contrleur de domaine existant pour mettre jour lannuaire et

rpliquer les parties requises de lannuaire partir du contrleur de domaine. Si

lAssistant ne parvient pas trouver le contrleur de domaine en raison dune
mauvaise configuration du DNS ou de la non-disponibilit du contrleur de
domaine, il effectue un dbogage et indique la cause de lchec, ainsi que la
solution au problme.
Pour se trouver sur un rseau, tous les contrleurs de domaine doivent
enregistrer les enregistrements DNS du localisateur de contrleurs de domaine.
LAssistant Installation de Active Directory vrifie que la configuration de
linfrastructure DNS est correcte pour permettre au nouveau contrleur de
domaine deffectuer une mise niveau dynamique de ses enregistrements DNS
du localisateur de contrleurs de domaine. Si cette vrification permet de
dcouvrir linfrastructure DNS mal configure, elle la signale en expliquant
comment rsoudre le problme.
Installation dun rplica Au lieu de rpliquer une copie intgrale de la base de donnes Active Directory
partir dun support sur le rseau, cette fonction permet un administrateur deffectuer la rplication
initiale partir de fichiers crs au cours de la sauvegarde dun contrleur de
domaine ou dun serveur de catalogues global existant. Vous pouvez transfrer
les fichiers de sauvegarde, qui peuvent avoir t gnrs par tout utilitaire de
sauvegarde prenant en charge Active Directory, vers le contrleur de domaine
souhait par lintermdiaire dun support (bande, CD-ROM, DVD-ROM ou copie
des fichiers sur un rseau, par exemple).
Amliorations des outils de Loutil de migration Active Directory (ADMT) a t perfectionn sous Windows
migration Server 2003 pour assurer les fonctions suivantes :
Migration des mots de passe : la version 2 de loutil ADMT permet de faire
migrer les mots de passe de Windows NT 4.0 vers des domaines
Windows 2000 ou Windows Server 2003, ainsi que ceux de Windows 2000
vers des domaines Windows Server 2003.
Nouvelle interface de script : il existe une nouvelle interface de script pour
les tches de migration les plus courantes, telles que la migration des
utilisateurs, des groupes et des ordinateurs. Loutil ADMT peut dsormais tre
contrl avec nimporte quel langage et prendre en charge les interfaces
COM, par exemple les systmes de dveloppement Visual Basic Script,
Visual Basic et Visual C++.
Prise en charge de la ligne de commande : linterface de script a galement
t tendue pour assurer la prise en charge de la ligne de commande. Il est
possible dexcuter directement toutes les tches contrlables par des scripts
depuis une ligne de commande ou par lintermdiaire de fichiers de
commandes.
Amliorations de la traduction de scurit : la traduction de la scurit,
telle que la rgnration des ressources dans les listes de contrle daccs, a
t dveloppe de sorte pouvoir dsactiver le domaine source au moment
de lexcution de la traduction de scurit. Loutil ADMT permet en outre
dsormais de spcifier un fichier de mappage qui peut servir dentre pour les
traductions de scurit.
La version 2 de loutil ADMT facilite la migration vers Active Directory et offre
davantage doptions pour lautomatisation de la migration.

Partitions de lannuaire Les services Active Directory permettent de crer un nouveau type de contexte
dapplications dappellation, ou partition, appel partition dapplication . Ce contexte
dappellation peut contenir une hirarchie de tout type dobjet, lexception des
entits de scurit (utilisateurs, groupes ou ordinateurs). Il est possible de le
configurer pour rpliquer nimporte quel ensemble de contrleurs de domaine de
la fort, nappartenant pas tous ncessairement au mme domaine.
Cette fonction permet dhberger des donnes dynamiques dans Active Directory
sans trop affecter les performances rseau, en offrant la possibilit de contrler la
porte de la rplication et lemplacement des rplicas.
Zones DNS intgres Les zones DNS de Active Directory peuvent tre stockes et rpliques dans les
stockes dans des partitions dapplication. Lutilisation de partitions dapplication pour stocker les
partitions dapplication donnes DNS permet de diminuer la quantit dobjets stocks dans le catalogue
global. De plus, lorsque les donnes des zones DNS sont stockes dans une
partition dapplication, elles sont uniquement rpliques sur le sous-ensemble de
contrleurs du domaine spcifi dans la partition dapplication. Par dfaut, les
partitions dapplication propres DNS contiennent uniquement les contrleurs de
domaine excutant le serveur DNS. En outre, le stockage de la zone DNS dans
une partition dapplication permet de rpliquer la zone DNS sur les serveurs DNS
qui sexcutent sur les contrleurs de domaine de diffrents domaines dune fort
Active Directory. En intgrant les zones DNS une partition dapplication, il est
possible de limiter la rplication de ces informations et dainsi diminuer la bande
passante totale ncessaire la rplication.
Amliorations du contrle Cette fonction amliore la prise en charge Active Directory pour le contrle LDAP,
DirSync appele contrle DirSync , afin de rcuprer les informations modifies de
lannuaire. Le contrle DirSync peut accder des vrifications similaires celles
effectues sur les recherches LDAP standard.
Niveaux de fonctionnalit Semblable au mode natif sous Windows 2000, cette fonction offre un mcanisme
de commande de versions dont les composants Active Directory standard
peuvent se servir pour dterminer les fonctions disponibles sur chaque contrleur
de domaine au sein dun domaine et dune fort. Elle sert galement empcher
les contrleurs de domaine antrieurs Windows Server 2003 de se joindre
une fort sur laquelle la fonction autorisant uniquement le service Active Directory
de Windows Server 2003 est active.
Dsactivation des attributs Active Directory a t modifi de sorte permettre la dsactivation des attributs
et des classes de schma et des dfinitions de classe dans le schma Active Directory. Il est possible de
redfinir les attributs et les classes si la dfinition dorigine est errone.
La dsactivation permet de modifier la dfinition dun attribut ou dune classe
aprs leur ajout au schma si une erreur sest glisse dans la dfinition dune
proprit non modifiable. Il sagit dune opration rversible, qui permet aux
administrateurs dannuler toute dsactivation accidentelle sans consquence. Les
administrateurs disposent prsent dune plus grande souplesse pour grer le
schma Active Directory.
Changement du nom dun Cette fonction prend en charge la modification des noms DNS et/ou NetBIOS des
domaine domaines existants dune fort en garantissant que la structure de la fort
rsultante reste cohrente. Lidentit dun domaine renomm, forme de son
identificateur de domaine global unique (GUID) et de son identificateur de
scurit (SID) de domaine, ne change pas. De plus, lappartenance dun
ordinateur des domaines ne change pas suite la modification du nom du

domaine auquel il appartient.

Cette fonction ne concerne pas la modification du domaine racine de la fort.
Bien quil soit possible de renommer le domaine racine dune fort, il est
impossible den dsigner un autre.
Lorsque vous changez le nom dun domaine, une interruption de service
ncessitant de redmarrer tous les contrleurs de domaine se produit. Il faut
galement redmarrer deux fois chaque ordinateur membre du domaine
renomm. Bien que cette fonction permette de renommer un domaine, ce nest
pas cens tre une tche ordinaire.
Mise niveau dune fort et La prise en charge des applications et de la scurit a t amliore dans Active
de domaines Directory. Pour pouvoir mettre niveau le premier contrleur de domaine
Windows Server 2003 dune fort ou dun domaine existant, il faut dabord
prparer la fort et les domaines pour quils prennent en charge ces fonctions.
Adprep est un nouvel outil qui facilite la mise niveau des forts et des
domaines. Vous nen avez cependant pas besoin pour effectuer une mise
niveau depuis Windows NT 4.0 ou lorsque vous avez effectu une toute nouvelle
installation de Active Directory sur des serveurs Windows Server 2003.
Moniteurs de rplication et Cette fonction permet aux administrateurs de contrler si les contrleurs de
dapprobation domaine parviennent rpliquer correctement les informations Active Directory
entre eux. Comme bon nombre de composants de Windows (rplication de Active
Directory, par exemple) se reposent sur les approbations interdomaines, cette
fonction permet galement de contrler que les approbations fonctionnent
correctement.

Fonctions de stratgie de groupe de Active Directory

Gestion de la stratgie de groupe
La console de gestion de la stratgie de groupe (GPMC) de Microsoft vous permet de grer la stratgie
de groupe de faon plus efficace et moins coteuse au sein de votre entreprise. Il sagit dun nouveau
composant logiciel enfichable de la console MMC (Microsoft Management Console) et dun ensemble
dinterfaces contrlables par des scripts assurant la gestion de la stratgie de groupe. La console
GPMC sera disponible sparment au moment du lancement de Windows Server 2003.
Rle de la console GPMC
La console GPMC est conue pour :
Simplifier la gestion de la stratgie de groupe en centralisant ladministration des principaux aspects de

la stratgie de groupe au sein dun seul emplacement.
Satisfaire aux besoins majeurs en matire de dploiement de la stratgie de groupe, la demande des
clients, en assurant les fonctions suivantes :
interface utilisateur facilitant lutilisation de loutil Stratgie de groupe ;
sauvegarde/restauration des objets de stratgie de groupe (GPO) ;
importation/exportation et copie/collage des objets de stratgie de groupe et des filtres WMI

(Windows Management Instrumentation) ;
gestion simplifie de la scurit lie la stratgie de groupe ;
cration de rapports HTML pour les paramtres dobjets de stratgie de groupe ;
cration de rapports HTML pour les donnes issues des outils Rsultats de la stratgie de
groupe et Modlisation de la stratgie de groupe (connu auparavant sous le nom de Jeu de
stratgie rsultant ) ;
cration de scripts pour les oprations sur les objets de stratgie de groupe exposs dans cet
outil (mais pas pour les paramtres dun objet de stratgie de groupe).
Avant lintroduction de la console GPMC, les administrateurs devaient faire appel plusieurs outils
Microsoft pour grer la stratgie de groupe. La console GPMC associe les fonctionnalits de stratgie
de groupe existantes de ces outils aux nouvelles fonctions prsentes ci-dessus.
Gestion de domaines Windows 2000 et Windows Server 2003
La console GPMC est capable de grer la fois les domaines Windows 2000 et Windows Server 2003
avec le service Active Directory. Quel que soit le cas de figure, lordinateur administratif sur lequel
loutil sexcute doit fonctionner sous lun des systmes dexploitation suivants :
Windows Server 2003 ;

Windows XP Professionnel avec Service Pack 1 (SP1), plus un correctif postrieur au SP1 et
Microsoft .NET Framework.

Pour plus dinformations, voir Enterprise Management with the Group Policy Management Console (site
en anglais).
Autres fonctions et amliorations lies la stratgie de groupe
Redirection des Windows Server 2003 inclut des outils permettant de rediriger automatiquement
conteneurs dutilisateurs et les nouveaux objets utilisateur et ordinateur vers des units organisationnelles
dordinateurs par dfaut donnes sur lesquelles la stratgie de groupe peut tre applique.
Cette fonction vite que les administrateurs ne soient confronts une situation
dans laquelle les nouveaux objets utilisateur et ordinateur restent dans les
conteneurs par dfaut au niveau racine des domaines. Les conteneurs de ce type
nont pas t conus pour contenir des liens de stratgie de groupe, tandis que
les clients nont pas t conus pour lire ni appliquer la stratgie de groupe
depuis ces conteneurs. Bon nombre de clients qui les utilisaient se sont donc
trouvs contraints dintroduire une stratgie au niveau des domaines, ce qui peut
tre gnant dans bien des cas.
Cest pourquoi, Microsoft recommande plutt de crer une hirarchie logique
dunits organisationnelles permettant de stocker les nouveaux objets utilisateur
et ordinateur. Les administrateurs peuvent utiliser deux nouveaux kits de
ressources, RedirUsr et ReDirComp, pour spcifier un autre emplacement par
dfaut pour les trois API hrites, savoir NetUserAdd(), NetGroupAdd() et
NetJoinDomain(). Ils peuvent ainsi rediriger les emplacements par dfaut vers
des units organisationnelles adquates, puis appliquer directement la stratgie
de groupe ces units.
Rsultats de la stratgie de Loutil Rsultats de la stratgie de groupe permet aux administrateurs de

groupe dterminer et danalyser le jeu de stratgies actuellement appliqu une cible
donne. Il leur permet ainsi de consulter les paramtres de stratgie existants sur
des ordinateurs particuliers. Loutil Rsultats de la stratgie de groupe sappelait
auparavant Jeu de stratgie rsultant (mode de journalisation).
Modlisation de la stratgie Loutil Modlisation de la stratgie de groupe est conu pour aider les
de groupe administrateurs planifier la croissance et la rorganisation de leur rseau. Il leur
permet de revoir les paramtres de stratgie existants, les applications et la
scurit en fonction dun scnario hypothtique. Une fois quun administrateur
dcide quune modification est ncessaire ou inluctable, il peut lancer une srie
de tests pour dterminer limpact du transfert dun utilisateur ou dun groupe
dutilisateurs vers un autre emplacement, groupe de scurit, voire mme
ordinateur. Sont inclus les paramtres de stratgie appliqus et les fichiers
automatiquement chargs une fois que la modification entre en vigueur.
Loutil Modlisation de la stratgie de groupe est trs utile aux administrateurs,
car il leur permet de tester de manire exhaustive limpact de changements
apports la stratgie avant de les implmenter sur tout le rseau.
Nouveaux paramtres de Windows Server 2003 apporte quelque 150 nouveaux paramtres de
stratgie stratgie, qui permettent de personnaliser et de contrler le comportement
du systme dexploitation pour des groupes dutilisateurs. Ces nouveaux
paramtres ont un impact sur diffrentes fonctionnalits, notamment le

signalement des erreurs, les services Terminal Server, les connexions

rseau et daccs distance, les services DNS, les demandes douverture
de session rseau, la Stratgie de groupe et les profils itinrants.
Modles dadministration Cette fonction amliore le composant logiciel enfichable dextension Modles
pour laffichage Web dadministration de la stratgie de groupe en permettant dafficher des
informations dtailles sur les diffrents paramtres de stratgie disponibles.
Lorsque vous slectionnez un paramtre de stratgie, des informations dtaillant
le comportement du paramtre et les endroits o il est utilis saffichent dans une
vue Web dans linterface utilisateur Modles dadministration. Vous pouvez
galement accder ces informations sous longlet Expliquer de la page
Proprit de chaque paramtre.
Gestion des clients DNS Les administrateurs peuvent configurer les paramtres des clients DNS sous
Windows Server 2003 laide de loutil Stratgie de groupe. Cette fonctionnalit
simplifie la procdure de configuration des membres de domaine lors de la
dfinition des paramtres de clients DNS, notamment lactivation et la
dsactivation de lenregistrement dynamique des enregistrements DNS par les
clients. Pour ce faire, elle fait appel la dvolution du suffixe DNS principal au
cours de la rsolution de noms et elle remplit les listes de recherche de suffixes
DNS.
Redirection du dossier Mes Les administrateurs peuvent utiliser cette fonction pour faire passer les
documents utilisateurs dun dploiement hrit de rpertoires de base vers un modle
reposant sur un dossier Mes documents tout en conservant la compatibilit avec
lenvironnement hrit.
Installation complte des Lditeur de dploiement dapplications comporte une nouvelle option permettant
applications attribues aux dinstaller entirement une application attribue aux utilisateurs louverture de
utilisateurs louverture de session plutt que sur demande. Les administrateurs peuvent sassurer que les
session logiciels appropris sont installs automatiquement sur les postes des
utilisateurs.
Netlogon Cette fonction permet de configurer les paramtres Netlogon sur les ordinateurs
Windows Server 2003 laide de loutil Stratgie de groupe. Elle simplifie la
procdure suivre pour configurer les membres de domaine lors de la dfinition
des paramtres Netlogon, notamment lactivation et la dsactivation de
lenregistrement dynamique des enregistrements DNS particuliers du localisateur
de contrleurs de domaine par les contrleurs de domaine, la frquence
dactualisation de ces enregistrements, lactivation et la dsactivation du
recouvrement de site automatique et bon nombre dautres paramtres Netlogon
courants.
Laccs aux interfaces utilisateur de la configuration rseau sous Windows
Connexions rseau et Server 2003 peut tre accord (ou limit) des utilisateurs particuliers par
daccs distance lintermdiaire dune stratgie de groupe.
Stratgies dvnements Linfrastructure des vnements WMI a t dveloppe pour pouvoir fonctionner
distribus dans un environnement distribu. Les amliorations portent sur des composants
qui permettent de configurer labonnement, le filtrage, la corrlation, lagrgation
et le transfert des vnements WMI. Un diteur de logiciels (ISV) peut activer des
fonctions danalyse de ltat, de consignation des vnements, de notification, de
rcupration automatique et de facturation en faisant appel une interface
utilisateur supplmentaire et en dfinissant un type de stratgie.

Dsactivation du Le Gestionnaire dinformations didentification est une nouvelle fonction de

Gestionnaire Windows Server 2003 qui facilite ladministration des informations didentification
dinformations des utilisateurs. La stratgie de groupe vous permet de dsactiver le
didentification Gestionnaire dinformations didentification.
URL de support technique Cette fonction permet de modifier et dajouter une URL de support technique pour
pour le dploiement de les logiciels. Lorsque lapplication apparat dans le Panneau de configuration
logiciels Ajout/Suppression de programmes sur les ordinateurs cibles, lutilisateur peut
slectionner cette URL pour tre dirig vers une page Web dassistance. Cette
fonction peut aider rduire le nombre dappels reus par le support technique
ou lquipe dassistance.
Filtrage WMI WMI (Windows Management Instrumentation) met la disposition dun ordinateur
cible un grand volume de donnes, telles que linventaire du matriel et des
logiciels, des paramtres et des informations de configuration. Il rcupre des
donnes du Registre, des pilotes, du systme de fichiers, de Active Directory, du
protocole SNMP (Simple Network Management Protocol), du service Windows
Installer, de SQL (Structured Query Language), de la mise en rseau et de
Exchange Server. Le filtrage WMI sous Windows Server 2003 vous permet de
dterminer de faon dynamique sil faut appliquer un objet de stratgie de groupe
(GPO) en fonction des rsultats dune requte de donnes WMI. Ces requtes
(aussi appeles filtres WMI ) dterminent les utilisateurs et les ordinateurs qui
reoivent les paramtres de stratgie configurs dans lobjet GPO dans lequel
vous crez le filtre. Cette fonctionnalit vous permet de cibler de faon
dynamique la stratgie de groupe en fonction des proprits de lordinateur local.
Considrons lexemple suivant : il existe un objet GPO attribuant Office XP aux
utilisateurs appartenant une unit organisationnelle donne. Cependant, les
administrateurs ne savent pas si tous les bureaux anciens de cette unit
organisationnelle disposent de suffisamment despace disque pour ces logiciels.
Dans ce cas, un filtre WMI peut tre utilis en conjonction avec lobjet GPO pour
attribuer uniquement Office XP aux utilisateurs dont le bureau possde plus de
400 mgaoctets (Mo) despace disque libre.
Terminal Server Les administrateurs peuvent utiliser loutil Stratgie de groupe pour grer le mode
de fonctionnement dun poste Terminal Server, notamment les fonctions de
redirection, laccs par mot de passe et les paramtres de papier peint.

Amliorations de la scurit de Active Directory

Dans la famille Windows Server 2003, des fonctions de scurit ont t ajoutes Active Directory
pour simplifier la gestion de plusieurs forts et approbations entre domaines. Paralllement, le nouveau
gestionnaire dinformations didentification assure le stockage scuris des informations didentification
des utilisateurs et des certificats X.509.
Gestion de la scurit avec des approbations de fort

Les approbations de fort sont un nouveau type dapprobation Windows permettant de grer les
relations de scurit entre deux forts. Cette fonction simplifie considrablement ladministration de la
scurit entre forts et permet la fort dapprobation dappliquer des contraintes sur les noms
principaux de scurit que les autres forts peuvent authentifier. Cette fonction inclut notamment les
lments suivants :
Approbation de fort
Il sagit dun nouveau type dapprobation qui autorise les domaines dune fort approuver
(transitivement) tous les domaines dune autre fort par lintermdiaire dune relation dapprobation entre
les domaines racines de deux forts.
partir de trois forts, lapprobation de fort nest pas transitive au niveau des forts. Si la fort A
approuve la fort B et que la fort B approuve la fort C, aucune relation dapprobation ne se cre entre
les forts A et C.
Les approbations de fort peuvent tre unidirectionnelles ou bidirectionnelles.
Gestion des approbations
Un nouvel Assistant simplifie la cration de tous les types de relations dapprobation, tout
particulirement les approbations de fort.
Une nouvelle page de proprit vous permet de grer les espaces de noms approuvs associs aux
approbations de fort.
Espaces de noms approuvs
Les espaces de noms approuvs servent acheminer les demandes dauthentification et dautorisation
pour les entits de scurit dont les comptes sont conservs dans une fort approuve.
Les espaces de noms des domaines, des noms dutilisateur principaux (UPN), des noms de service
principaux (SPN) et des identificateurs de scurit (SID) quune fort publie sont automatiquement
recueillis lors de la cration dune approbation de fort et actualiss par linterface utilisateur Domaines
et approbations Active Directory.
Une fort est approuve en tant que rfrence pour les espaces de noms quelle publie en suivant la
rgle du premier arriv, premier servi , condition que ces espaces de noms nentrent pas en conflit
avec des espaces de noms approuvs tablis par des relations dapprobation de forts existantes.
Les espaces de noms qui se chevauchent sont automatiquement interdits. Les administrateurs peuvent
galement dsactiver manuellement les espaces de noms approuvs.

Autres fonctions et amliorations en matire de scurit
Authentification entre Lauthentification entre forts assure un accs scuris aux ressources lorsque le
forts compte dutilisateur et le compte dordinateur se trouvent dans des forts
diffrentes. Cette fonction permet aux utilisateurs daccder en toute scurit aux
ressources figurant dans dautres forts laide de Kerberos ou NTLM, sans pour
autant perdre les avantages en matire de signature unique et dadministration
quapportent un ID dutilisateur et un mot de passe uniques administrs dans la
fort de lutilisateur. Lauthentification entre forts comprend notamment les
fonctions suivantes :
Rsolution de noms
Lorsque Kerberos et NTLM ne parviennent pas rsoudre un nom principal
sur le contrleur de domaine local, ils appellent un catalogue global.
Lorsque le catalogue global ne parvient pas rsoudre le nom, il appelle une
nouvelle fonction de correspondance de noms entre forts.
La fonction de correspondance de noms compare le nom de scurit principal
aux espaces de noms approuvs de toutes les forts approuves. Si elle
dtecte une correspondance, elle renvoie le nom de la fort approuve en tant
que suggestion ditinraire.
Routage des demandes

Kerberos et NTLM utilisent les suggestions ditinraire pour acheminer les
demandes dauthentification par le chemin dapprobation allant du domaine
do la demande provient au domaine cible potentiel.
Dans le cas de Kerberos, les centres de distribution de cls gnrent des
rfrences qui suivent le chemin dapprobation et le client les suit de la
manire Kerberos standard.
Dans le cas de NTLM, les contrleurs de domaine font successivement passer
la demande travers des canaux scuriss qui suivent le chemin
dapprobation, en se servant de lauthentification directe.
Authentification prise en charge
Ouverture de session rseau Kerberos et NTLM pour accder distance
un serveur dans une autre fort
Ouverture de session interactive Kerberos et NTLM pour une ouverture de
session physique en dehors de la fort de lutilisateur
Dlgation Kerberos une application multiniveau dans une autre fort
Prise en charge intgrale des informations didentification des noms
dutilisateur principaux (UPN)
Autorisation entre forts Lautorisation entre forts permet aux administrateurs de slectionner facilement
les utilisateurs et les groupes des forts approuves pour les inclure dans des
groupes locaux ou des listes de contrle daccs. Cette fonction conserve
lintgrit de la frontire de scurit des forts en autorisant les approbations
entre forts. Elle permet la fort dapprobation dappliquer des contraintes sur
les identificateurs de scurit (SID) accepts lorsque des utilisateurs de forts
approuves tentent daccder des ressources protges.
Gestion des appartenances aux groupes et des listes de contrle daccs
(ACL)

Le slecteur dobjet a t amlior pour prendre en charge une slection de
noms dutilisateur ou de groupe issue dune fort approuve.
Il est ncessaire dentrer les noms en entier. Lnumration et les recherches
utilisant des caractres gnriques ne sont pas prises en charge.
Conversion nom-SID
Le slecteur dobjet et lditeur des listes de contrle daccs font appel des
API systme pour stocker les SID dans des entres de membres de groupe et
dACL et les reconvertir en noms conviviaux des fins daffichage.
Les API de conversion nom-SID font dsormais appel des suggestions
ditinraire entre forts et exploitent les canaux scuriss NTLM entre les
contrleurs de domaine se trouvant le long du chemin dapprobation pour
rsoudre les noms de scurit principaux ou les SID provenant de forts
approuves.
Filtrage des SID
Les SID sont filtrs lorsque des donnes dautorisation passent du domaine
racine de la fort approuve celui de la fort dapprobation. La fort
dapprobation accepte uniquement les SID qui se rapportent aux domaines
dont elle a approuv la gestion par lautre fort. Tous les autres SID sont
automatiquement rejets.
Le filtrage des SID sapplique automatiquement lauthentification Kerberos et
NTLM, ainsi qu la conversion nom-SID.
Amlioration des certificats La fonction de certificats croiss des clients Windows Server 2003 a t
croiss amliore pour autoriser les certificats croiss au niveau des services et au
niveau global. Par exemple, WinLogon peut dsormais demander des certificats
croiss et les tlcharger dans la banque de lentreprise/des approbations de
lentreprise . Tous les certificats croiss sont tlchargs mesure de
llaboration de la chane.
Service IAS et Si les forts Active Directory sont en mode entre forts avec des approbations
authentification entre bidirectionnelles, le serveur IAS/RADIUS (Internet Authentication Service/Remote
forts Authentication Dial-In User Server) peut se servir de cette fonction pour
authentifier le compte dutilisateur dans lautre fort. Ceci permet aux
administrateurs dintgrer facilement les nouvelles forts aux services
IAS/RADIUS existants dans leur fort.
Gestionnaire Le Gestionnaire dinformations didentification assure le stockage scuris des
dinformations informations didentification des utilisateurs, notamment des mots de passe et
didentification des certificats X.509. Cette fonction permet doffrir aux utilisateurs, y compris aux
utilisateurs itinrants, un processus de signature unique uniforme. Par exemple,
lorsquun utilisateur accde une application professionnelle sur le rseau de
lentreprise, la premire tentative daccs cette application ncessite de
sauthentifier. Lutilisateur est donc invit indiquer des informations
didentification. Une fois quil les a fournies, ces informations sont associes
lapplication qui les a demandes. Lors des prochaines demandes daccs cette
application, les informations didentification enregistres seront rutilises sans
que lutilisateur ne soit invit les entrer de nouveau.

Rsum
En se fondant sur les acquis de Windows 2000, le service Active Directory de Windows Server 2003
met laccent sur la gestion simplifie, la polyvalence et une fiabilit sans gal. Plus que jamais, Active
Directory est devenu la cl de vote de la cration des rseaux dentreprise grce ses fonctionnalits
ingales. Il permet de :
tirer parti des investissements existants et de la gestion de consolidation des annuaires ;
tendre le contrle administratif et rduire les tches de gestion redondantes ;
simplifier lintgration distance et utiliser les ressources rseau plus efficacement ;
fournir un environnement de dveloppement et de dploiement solide pour les applications

dannuaire ;
rduire le cot de possession total et tirer parti des ressources informatiques disponibles.

Liens apparents
Consultez les ressources suivantes pour de plus amples informations :
Architecture Active Directory
Enterprise Management with the Group Policy Management Console (site en anglais) ladresse
http://www.microsoft.com/windowsserver2003/gpmc.
Systme de noms de domaine (DNS) Windows 2000 ladresse

http://www.microsoft.com/FRANCE/TECHNET/Produits/WIN2000S/INFO/dnsover.html.
Microsoft Windows Resource Kits (site en anglais) ladresse http://www.microsoft.com/reskit.
Mise jour vers Microsoft Windows 2000 ladresse

http://www.microsoft.com/France/windows/2000/version/upgrade.asp.
Windows XP Professional Upgrade Center (site en anglais) ladresse

http://www.microsoft.com/windowsxp/pro/howtobuy/upgrading/default.asp.
Pour obtenir les dernires informations disponibles sur Windows Server 2003, voir le site Web de
Windows Server 2003 ladresse
http://www.microsoft.com/france/windows/windowsserver2003/default.asp.

Presentation Active Directory

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Presentation Active Directory

Загружено:

Авторское право:

Доступные форматы

Prsentation technique de Active Directory

Principes de base de Active Directory...................................................................................................... 2

Banque de donnes de lannuaire............................................................................................................ 2

Active Directory et scurit....................................................................................................................... 3

Schma Active Directory........................................................................................................................... 3

Attributs valeurs multiples................................................................................................................... 5

Indexation des attributs......................................................................................................................... 5

Rle du catalogue global.......................................................................................................................... 5

Recherche dinformations dans lannuaire................................................................................................ 6

Efficacit des outils de recherche.......................................................................................................... 6

Rplication de Active Directory................................................................................................................. 7

Rle des sites dans la rplication.......................................................................................................... 7

Clients Active Directory............................................................................................................................. 8

Nouvelles fonctions et amliorations de Active Directory....................................................................10

Intgration et productivit de Active Directory......................................................................................11

Simplification de lutilisation et de la gestion de Active Directory.............................................................11

Autres fonctions et amliorations en matire dintgration et de productivit......................................11

Performances et volutivit de Active Directory...................................................................................13

Amlioration des performances pour les filiales......................................................................................13

Autres fonctions et amliorations en matire de performances...........................................................13

Administration et gestion de la configuration de Active Directory......................................................15

Configuration de Active Directory avec les nouveaux Assistants dinstallation.......................................15

Autres fonctions et amliorations en matire dadministration.............................................................15

Fonctions de stratgie de groupe de Active Directory..........................................................................19

Gestion de la stratgie de groupe........................................................................................................... 19

Rle de la console GPMC................................................................................................................... 19

Gestion de domaines Windows 2000 et Windows Server 2003..........................................................19

Autres fonctions et amliorations lies la stratgie de groupe..........................................................20

Amliorations de la scurit de Active Directory..................................................................................23

Gestion de la scurit avec des approbations de fort...........................................................................23

Gestion des approbations.................................................................................................................... 23

Espaces de noms approuvs.............................................................................................................. 23

Autres fonctions et amliorations en matire de scurit....................................................................23

Dveloppant les caractristiques du systme dexploitation Windows 2000, la famille Windows

dadministration et de gestion de la configuration ;

des fonctions de la stratgie de groupe ;

Prsentation technique de Active Directory 1

Principes de base de Active Directory

Banque de donnes de lannuaire

Donnes de configuration : les donnes de configuration dfinissent la topologie de lannuaire. Elles

Prsentation technique de Active Directory 2

Active Directory et scurit

Schma Active Directory

Prsentation technique de Active Directory 3

tre membre du groupe des administrateurs de schma ;

Prsentation technique de Active Directory 4

Attributs valeurs multiples

Indexation des attributs

Rle du catalogue global

Un catalogue global assure les rles suivants dans lannuaire :

Prsentation technique de Active Directory 5

Recherche dinformations dans lannuaire

Prsentation technique de Active Directory 6

Efficacit des outils de recherche

Rplication de Active Directory

Les contrleurs de domaine stockent et rpliquent les lments suivants :

Rle des sites dans la rplication

Prsentation technique de Active Directory 7

les plus efficaces.

Clients Active Directory

Prsentation technique de Active Directory 8

Mise jour vers Microsoft Windows 2000 ladresse

Prsentation technique de Active Directory 9

Nouvelles fonctions et amliorations de Active Directory