Академический Документы
Профессиональный Документы
Культура Документы
Microsoft Corporation
Publi en : juillet 2002
Synthse
En se fondant sur les acquis du systme dexploitation Microsoft Windows 2000, le service
Active Directory de la famille Windows Server 2003 apporte de nouvelles fonctions essentielles
qui en font lune des structures dannuaire les plus souples actuellement disponible sur le
march. une poque o les applications dannuaire revtent une importance de plus en plus
grande, les entreprises peuvent utiliser Active Directory pour grer les environnements rseau les
plus complexes en entreprise. De plus, la famille Windows Server 2003 comprend bon nombre
de fonctions qui en font la plate-forme idale pour le dveloppement et le dploiement
dapplications dannuaire. Cet article constitue une introduction aux concepts de base de Active
Directory et rcapitule les nouvelles fonctions et amliorations du produit.
Article technique sur Microsoft Windows Server 2003
Ce document est une premire version qui peut faire lobjet de profondes
modifications avant la commercialisation finale du logiciel dcrit ici.
Les informations contenues dans ce document reprsentent le point de
vue actuel de Microsoft Corporation sur les points cits la date de
publication. Microsoft sadapte aux conditions fluctuantes du march et
cette opinion ne doit pas tre interprte comme un engagement de la
part de Microsoft. En outre, Microsoft ne garantit pas la vracit des
informations prsentes aprs la date de publication.
Ce document est publi des fins purement informatives. MICROSOFT
EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE, QUANT AUX
INFORMATIONS CONTENUES DANS CE DOCUMENT.
L'utilisateur est tenu d'observer la rglementation relative aux droits
d'auteur applicable dans son pays. Sans limitation des droits issus des
droits d'auteur, aucune partie de ce document ne peut tre reproduite,
stocke ou incluse dans un systme de rcupration de donnes ou
transmise, quelque fin ou par quelque moyen que ce soit, (lectronique,
mcanique, photocopie, enregistrement ou autre) sans la permission
expresse et crite de Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire lobjet de
brevets, de dpts de brevets en cours, de marques, de droits dauteur
ou dautres droits de proprit intellectuelle et industrielle de Microsoft.
Sauf stipulation expresse contraire dun contrat de licence crit de
Microsoft, la fourniture de ce document na pas pour effet de vous
concder une licence sur ces brevets, marques, droits dauteur ou autres
droits de proprit intellectuelle.
2002. Microsoft Corporation. Tous droits rservs.
Microsoft, Active Directory, IntelliMirror, Visual Basic, Visual C++,
Windows et Windows NT sont soit des marques commerciales, soit des
marques dposes de Microsoft Corporation aux tats-Unis et/ou dans
dautres pays.
Les noms de produits et de socits rels mentionns dans la prsente
documentation sont des marques de leurs propritaires respectifs.
Article technique sur Microsoft Windows Server 2003
Sommaire
Introduction................................................................................................................................................ 1
Classes................................................................................................................................................. 3
Extension du schma............................................................................................................................ 3
Attributs................................................................................................................................................. 4
Approbation de fort............................................................................................................................ 23
Rsum..................................................................................................................................................... 26
Liens apparents........................................................................................................................................ 27
Article technique sur Microsoft Windows Server 2003
Introduction
Le service Microsoft Active Directory est un composant central de la plate-forme Windows. Il
permet de grer les identits et les relations qui forment les environnements rseau.
Les amliorations apportes Active Directory permettent de rduire le cot total de possession et les
frais dexploitation au sein de lentreprise. Tous les niveaux du produit comprennent prsent de
nouvelles fonctions et amliorations qui dveloppent sa polyvalence, simplifient la gestion et
augmentent sa fiabilit. Windows Server 2003 permet aux entreprises de raliser encore plus
dconomies tout en rendant plus efficaces la gestion et le partage des divers lments de lentreprise.
Cet article sadresse aux administrateurs informatiques, aux architectes de systmes en rseau et
toute personne souhaitant comprendre les nouvelles fonctions et les principales amliorations
apportes au service Active Directory de Windows Server 2003. Il commence par prsenter les
concepts de base de Active Directory, puis traite de ses nouvelles fonctions et amliorations dans la
famille Windows Server 2003 en matire :
dintgration et de productivit ;
de performances et dvolutivit ;
de scurit.
Lannuaire est stock sur des serveurs appels contrleurs de domaine et est accessible par
lintermdiaire de services ou dapplications en rseau. Un domaine peut comporter plusieurs
contrleurs de domaine. Chaque contrleur de domaine possde une copie accessible en criture de
lannuaire du domaine sur lequel il rside. Les modifications apportes lannuaire sont rpliques
depuis le contrleur de domaine dorigine vers les autres contrleurs de domaine se trouvant dans le
domaine, larborescence du domaine ou la fort. tant donn que lannuaire est rpliqu et que chaque
contrleur de domaine dispose dune copie accessible en criture, lannuaire offre un grand niveau de
disponibilit aux utilisateurs et aux administrateurs du domaine.
Les donnes de lannuaire sont stockes dans le fichier Ntds.dit sur le contrleur de domaine. Il est
recommand de stocker ce fichier sur une partition NTFS. Certaines donnes sont stockes dans le
fichier de base de donnes de lannuaire, tandis que dautres sont conserves dans un systme de
fichiers rpliqu, tel que des scripts douverture de session et des stratgies de groupe.
Il existe trois catgories de donnes dannuaire rpliques entre les contrleurs de domaine :
Donnes de domaine : les donnes de domaine contiennent des informations sur les objets au sein
dun domaine. Il sagit gnralement des informations dannuaire, telles que les contacts lectroniques,
les attributs des comptes dutilisateur et dordinateur et les ressources publies dont les administrateurs
et les utilisateurs pourraient avoir besoin.
Par exemple, lorsquun compte dutilisateur vient sajouter votre rseau, un objet de compte
dutilisateur et des donnes dattribut sont stockes dans les donnes de domaine. Lorsque des
modifications sont apportes aux objets de lannuaire de votre entreprise (cration, suppression ou
modification des attributs dun objet, par exemple), ces donnes sont galement stockes dans les
donnes de domaine.
Donnes de schma : le schma constitue la dfinition technique de toutes les donnes dattribut et
dobjet quil est possible de stocker dans lannuaire. Windows Server 2003 inclut un schma par dfaut
qui dfinit plusieurs types dobjets, tels que les comptes dutilisateur et dordinateur, les groupes, les
domaines, les units organisationnelles et les stratgies de scurit. Les administrateurs et les
programmeurs peuvent dvelopper le schma en dfinissant de nouveaux types dobjets et attributs ou
en ajoutant de nouveaux attributs aux objets existants. Des listes de contrle daccs (ACL) protgent
les objets de schma pour garantir que seuls les utilisateurs autoriss puissent modifier le schma.
Active Directory permet de stocker de faon scurise les informations des comptes dutilisateur et des
groupes grce un contrle daccs sur les objets et aux informations didentification des utilisateurs.
tant donn que Active Directory stocke non seulement les informations didentification des utilisateurs
mais aussi les informations de contrle daccs, les utilisateurs qui ouvrent une session sur le rseau
obtiennent la fois lauthentification et lautorisation ncessaires pour accder aux ressources du
systme. Par exemple, lorsquun utilisateur ouvre une session sur le rseau, le systme de scurit
lauthentifie grce aux informations stockes dans Active Directory. Lorsque lutilisateur tente ensuite
daccder un service sur le rseau, le systme vrifie les proprits dfinies dans la liste de contrle
daccs discrtionnaire (DACL) de ce service.
Les administrateurs peuvent grer la scurit du systme plus efficacement grce aux comptes de
groupe que Active Directory leur permet de crer. Par exemple, un administrateur peut autoriser tous
les utilisateurs dun groupe lire un fichier en modifiant les proprits de ce dernier. Avec cette
mthode, laccs aux objets dans Active Directory repose sur lappartenance des groupes.
Classes
Les classes, galement appeles classes dobjet , dcrivent les objets dannuaire quil est possible
de crer. Chaque classe se compose dun ensemble dattributs. Lorsque vous crez un objet, les
attributs stockent les informations qui dfinissent lobjet. La classe Utilisateur, par exemple, se compose
de plusieurs attributs, notamment une adresse rseau et un rpertoire de base. Chaque objet stock
dans Active Directory est une instance dune classe dobjet.
Extension du schma
Les dveloppeurs et les administrateurs de rseau confirms peuvent dvelopper le schma de faon
dynamique en dfinissant de nouvelles classes et de nouveaux attributs pour les classes existantes.
Le contenu du schma est rgi par le contrleur de domaine possdant le rle de matre doprations
du schma. Une copie du schma se rplique sur tous les contrleurs de domaine de la fort.
Lutilisation de ce schma commun garantit lintgrit et la cohrence des donnes au sein de toute la
fort.
Vous pouvez galement dvelopper le schma laide du composant logiciel enfichable Schma Active
Directory. Pour pouvoir le modifier, vous devez remplir les trois conditions suivantes :
Avant de modifier le schma, il est primordial de prendre en considration les trois points suivants :
Les extensions de schma sont globales. Lorsque vous dveloppez un schma, les modifications
apportes sappliquent lintgralit de la fort, car elles se rpliquent sur tous les contrleurs de
domaine de lensemble des domaines de la fort.
Il est impossible de modifier les classes de schma lies au systme. Vous ne pouvez pas modifier
les classes systme par dfaut du schma Active Directory. Les applications servant modifier le
schma peuvent toutefois ajouter des classes systme facultatives que vous tes en mesure de
modifier.
Les extensions de schma peuvent tre rversibles. Il est possible de modifier certaines proprits
dattributs ou de classes aprs leur cration. Vous pouvez dsactiver les nouvelles classes ou les
nouveaux attributs ajouts au schma, mais vous ne pouvez pas les supprimer. Vous pouvez cependant
faire disparatre des dfinitions et rutiliser des identificateurs dobjet (OID) ou des noms complets, ce
qui vous permet de rtablir une dfinition de schma.
Pour plus dinformations sur la modification du schma, voir les Kits de ressources de Microsoft
Windows ladresse http://www.microsoft.com/reskit (site en anglais).
Active Directory ne prend pas en charge la suppression des objets de schma. Vous pouvez cependant
marquer les objets comme tant dsactivs, ce qui revient sous bien des aspects les supprimer.
Attributs
Les attributs se dfinissent de faon distincte des classes. Chaque attribut est dfini une seule fois et
peut tre rutilis dans plusieurs classes. Par exemple, lattribut Description se retrouve dans plusieurs
classes, mais nest dfini quune seule fois dans le schma pour des raisons dhomognit.
Les attributs dcrivent des objets. Chacun dentre eux possde sa propre dfinition, qui dcrit le type
dinformations que vous pouvez spcifier pour lattribut. Chaque attribut du schma est spcifi dans la
classe attribut-schma, qui dtermine les informations que chaque dfinition dattribut doit contenir.
La liste des attributs applicables un objet particulier dpend de la classe de laquelle lobjet est une
instance et de toutes les superclasses de la classe de cet objet. Les attributs se dfinissent une seule
fois et peuvent tre rutiliss plusieurs fois. Ceci garantit lhomognit de toutes les classes
partageant un attribut donn.
Les attributs peuvent comporter une valeur unique ou plusieurs valeurs. La dfinition de schma dun
attribut indique si une instance dun attribut peut avoir plusieurs valeurs. Linstance dun attribut valeur
unique peut tre vide ou contenir une seule valeur, tandis que linstance dun attribut plusieurs valeurs
peut tre vide ou contenir une ou plusieurs valeurs. Chaque valeur dun attribut plusieurs valeurs doit
tre unique.
Les index sappliquent aux attributs, mais pas aux classes. Lindexation dun attribut peut aider
trouver plus rapidement les objets affects de cet attribut lors des recherches. Lorsque vous marquez
un attribut comme tant index, ce sont toutes ses instances qui sajoutent lindex, et pas seulement
celles qui appartiennent une classe particulire.
Lajout dattributs indexs peut avoir un impact sur la dure de la rplication de Active Directory, la
mmoire disponible et la taille de la base de donnes. La base de donnes tant plus volumineuse, sa
rplication prend plus de temps.
Il est galement possible dindexer les attributs plusieurs valeurs. Dans ce cas, la taille de Active
Directory et le temps ncessaire pour crer les objets augmentent de faon plus importante que lors de
lindexation de proprits valeur unique. Lorsque vous choisissez les attributs indexer, assurez-vous
quils sont frquemment utiliss et considrez les avantages que cela vous apportera par rapport
limpact que cette opration aura sur les performances.
Il est en outre possible deffectuer des recherches sur un attribut de schma index en fonction du
conteneur dans lequel il est stock, ce qui vite deffectuer une recherche sur toute la base de donnes
Active Directory. Grce cette fonctionnalit, les recherches sexcutent plus rapidement et utilisent
moins de ressources.
Un catalogue global se cre automatiquement sur le contrleur de domaine initial de la fort. Vous
pouvez en ajouter un dautres contrleurs de domaine ou changer lemplacement par dfaut du
catalogue global pour le placer sur un autre contrleur de domaine.
Recherche dobjets : un catalogue global permet aux utilisateurs de rechercher des donnes
dannuaire travers tous les domaines dune fort, quel que soit lendroit o ces donnes se trouvent.
Les recherches effectues au sein dune fort sont trs rapides et nengendrent quun trafic minimal sur
le rseau.
Lorsque vous recherchez des utilisateurs ou des imprimantes partir du menu Dmarrer ou
slectionnez loption Tout lannuaire dans une requte, la recherche se fait en fait dans un catalogue
global. Une fois les critres de recherche spcifis, votre demande est achemine vers le port 3268 de
catalogue global par dfaut et envoye un catalogue global pour rsolution.
Authentification des noms dutilisateur principaux : un catalogue global rsout les noms dutilisateur
principaux lorsque le contrleur de domaine assurant lauthentification ne connat pas le compte. Par
exemple, si un compte dutilisateur se trouve sur exemple1.microsoft.com et que lutilisateur dcide
douvrir une session sous le nom principal utilisateur1@exemple1.microsoft.com partir dun ordinateur
situ sur exemple2.microsoft.com, le contrleur de domaine de exemple2.microsoft.com nest pas en
mesure de trouver le compte de lutilisateur. Il contacte alors le serveur de catalogues global pour
terminer louverture de session.
Fourniture des informations relatives lappartenance aux groupes universels dans un
environnement plusieurs domaines : contrairement aux appartenances aux groupes globaux, qui
sont stockes sur chaque domaine, les appartenances aux groupes universels rsident uniquement
dans un catalogue global. Par exemple, lorsquun utilisateur appartenant un groupe universel ouvre
une session sur un domaine dfini sur le niveau de fonctionnalit de domaine Windows 2000 en mode
natif ou version ultrieure, le catalogue global fournit les informations sur lappartenance aux groupes
universels pour le compte dutilisateur.
Si aucun catalogue global nest disponible lorsquun utilisateur ouvre une session sur un domaine
Windows 2000 en mode natif ou version ultrieure, lordinateur utilise les informations didentification
figurant dans le cache pour connecter lutilisateur, si ce dernier a dj ouvert une session sur le
domaine par le pass. Si lutilisateur na jamais ouvert de session sur le domaine auparavant, il peut
uniquement se connecter lordinateur local.
Remarque : les membres du groupe des administrateurs de domaine peuvent ouvrir une session sur le
rseau mme lorsque aucun catalogue global nest disponible.
Lun des avantages principaux de Active Directory tient sa banque de donnes riches en informations
sur les objets du rseau. Les donnes quil publie concernant les utilisateurs, les ordinateurs, les
fichiers et les imprimantes sont mises la disposition des utilisateurs du rseau. Laccs dpend des
autorisations de scurit rgissant la consultation des informations.
Les tches quotidiennes sur un rseau impliquent la communication avec dautres utilisateurs et la
connexion des ressources publies. Ces tches ncessitent de rechercher des noms et des adresses
pour envoyer du courrier lectronique ou se connecter des ressources partages. cet gard, Active
Directory fonctionne comme un carnet dadresses partag pour lentreprise. Par exemple, vous pouvez
rechercher un utilisateur par prnom, nom, nom lectronique, bureau ou toute autre proprit du
compte dutilisateur de cette personne. Comme nous lavons expliqu plus haut dans cet article, le
catalogue global optimise la recherche dinformations.
Les administrateurs peuvent utiliser les botes de dialogue avances de recherche du composant
logiciel enfichable Utilisateurs et ordinateurs Active Directory pour effectuer les tches de gestion plus
efficacement, ainsi que pour personnaliser et filtrer facilement les donnes rcupres de lannuaire.
De plus, ils peuvent ajouter rapidement des objets aux groupes, sans grand impact sur le rseau, en
recherchant les membres correspondants laide de requtes sans navigation.
Informations du schma : ces informations dfinissent les objets quil est possible de crer dans
lannuaire et les attributs quils peuvent possder. Elles sont partages par tous les domaines de la fort.
Les donnes du schma sont rpliques sur tous les contrleurs de domaine de la fort.
Informations de configuration : ces informations dfinissent la structure logique de votre dploiement
et contiennent notamment des donnes relatives la structure des domaines et la topologie de la
rplication. Elles sont partages par tous les domaines de la fort. Les donnes de configuration sont
rpliques sur tous les contrleurs de domaine de la fort.
Informations sur les domaines : ces informations dfinissent tous les objets dun domaine. tant
propres un domaine, elles ne sont pas distribues aux autres domaines. Pour permettre la recherche
dinformations au sein de larborescence ou de la fort dun domaine, le catalogue global stocke un
sous-ensemble des proprits de tous les objets prsents dans tous les domaines. Les donnes de
domaine sont rpliques sur tous les contrleurs du domaine.
Informations sur les applications : les informations stockes dans la partition de lannuaire
dapplications sont prvues pour les situations ncessitant de rpliquer des informations, mais pas
ncessairement lchelle globale. Il est possible de racheminer explicitement les donnes
dapplications vers des contrleurs de domaine spcifis par ladministrateur au sein de la fort pour
viter un trafic de rplication superflu. Vous pouvez galement les configurer pour quelles se rpliquent
sur tous les contrleurs du domaine.
Les sites rationalisent la rplication des donnes dannuaire. Les informations relatives au schma et
la configuration de lannuaire sont rpliques au sein de toute la fort, tandis que les donnes de
domaine sont rpliques entre tous les contrleurs de domaine du domaine et partiellement rpliques
dans les catalogues globaux. En rduisant la rplication de faon stratgique, vous pouvez rduire
dautant limpact sur votre rseau.
Les contrleurs de domaine font appel aux sites et au contrle des changements de rplication pour
optimiser la rplication comme suit :
En analysant de temps autre les connexions utilises, Active Directory utilise les connexions rseau
Lorsquun dploiement ne sorganise pas sous forme de sites, lchange dinformations entre les
contrleurs de domaine et les clients peut tre chaotique. Les sites optimisent en effet lutilisation du
rseau.
Active Directory rplique les informations de lannuaire au sein dun site une frquence plus leve
quentre sites. De cette manire, les contrleurs de domaine prioritaires, cest--dire ceux qui sont
susceptibles davoir besoin de donnes dannuaire particulires, reoivent dabord les rplications. Les
contrleurs de domaine des autres sites reoivent toutes les modifications apportes lannuaire, mais
cette opration seffectue moins souvent de sorte rduire la consommation de la bande passante du
rseau. Cette rduction est dautant plus importante que les donnes sont compresses pendant la
rplication entre sites. Pour des raisons defficacit, les mises jour ne seffectuent que lors de lajout
de nouvelles informations ou lors de la modification dinformations existantes dans lannuaire.
Si les mises jour de lannuaire taient distribues en permanence tous les autres contrleurs du
domaine, elles utiliseraient des ressources rseau. Bien que vous puissiez manuellement ajouter ou
configurer des connexions ou encore rpliquer des donnes sur une connexion particulire, le
Vrificateur de cohrence des donnes Active Directory optimise automatiquement la rplication en
fonction des informations que vous spcifiez dans loutil dadministration Sites et services Active
Directory. Le Vrificateur de cohrence est charg de llaboration et de la maintenance de la topologie
de la rplication de Active Directory. Plus particulirement, cest lui qui dcide du moment auquel la
rplication a lieu et du groupe de serveurs sur lequel chaque serveur doit se rpliquer.
Reconnaissance des sites : vous pouvez ouvrir une session sur le contrleur de domaine le plus
proche du client sur le rseau.
ADSI (Active Directory Service Interfaces) : vous pouvez utiliser des scripts avec Active Directory.
ADSI offre galement aux programmeurs Active Directory une API de programmation commune.
Client de tolrance de pannes du systme de fichiers distribus (DFS) : vous pouvez accder
Windows 2000 et aux serveurs excutant la tolrance de pannes DFS Windows et faire basculer les
partages de fichiers spcifis dans Active Directory.
Authentification NTLM version 2 : vous pouvez utiliser les fonctions dauthentification amliores de
NT LanMan (NTLM) version 2. Pour plus dinformations sur lactivation de la version 2 de NTML,
consultez larticle 239869, Procdure pour activer lauthentification NTLM 2 sous Windows 95/98/2000
et NT dans la Base de connaissances Microsoft ladresse http://support.microsoft.com/.
Pages des proprits du carnet dadresses Windows (WAB) de Active Directory : sur les pages des
objets utilisateur, vous pouvez modifier des proprits, notamment le numro de tlphone et ladresse
dun contact.
Fonction de recherche de Active Directory : partir du menu Dmarrer, vous pouvez rechercher des
imprimantes et des utilisateurs dans un domaine Windows 2000 Server ou Windows. Pour plus
dinformations sur la publication dimprimantes dans Active Directory, consultez larticle Q234619,
Publishing a Printer in Windows 2000 Active Directory (site en anglais) dans la Base de
connaissances Microsoft ladresse http://support.microsoft.com.
Windows 2000 Professionnel et Windows XP Professionnel offrent des fonctions non disponibles dans
le client Active Directory sous Windows 95, Windows 98 et Windows NT 4.0, notamment la prise en
charge de la version 5 de Kerberos, la prise en charge des technologies de gestion des stratgies de
groupe ou IntelliMirror et lauthentification mutuelle ou des noms de service principaux. En effectuant
la mise niveau vers Windows 2000 Professionnel ou Windows XP Professionnel, vous pouvez
bnficier des avantages quoffrent ces fonctions. Pour plus dinformations, voir :
Pour installer le client Active Directory, voir la page consacre au client Active Directory (site en anglais)
ladresse http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/adextension.asp
Intgration et productivit
Performances et volutivit
Administration et gestion de la configuration
Fonctions de la stratgie de groupe
Scurit
enregistrer des recherches : enregistrez des recherches effectues sur le service Active Directory
de sorte pouvoir les rutiliser ultrieurement. Vous pouvez ensuite exporter les rsultats dans
XML.
Fonction Description
Modifications apportes Les amliorations apportes linterface utilisateur des ACL portent sur la
linterface utilisateur des convivialit et les autorisations hrites par opposition aux autorisations dobjets
listes de contrle daccs particuliers.
(ACL)
Amliorations Un administrateur qui possde un priphrique provenant dun diteur de logiciel
dextensibilit ou dun fabricant dordinateurs OEM et faisant appel Active Directory dispose
dsormais de meilleures fonctions de gestion et peut ajouter toute classe dobjet
un groupe.
Objets utilisateur Il est possible de dfinir des objets utilisateur dfinis dans des annuaires LDAP
provenant dautres utilisant la classe inetOrgPerson, conformment la norme RFC 2798 (Novell et
annuaires LDAP Netscape, par exemple), laide des interfaces utilisateur Active Directory.
Linterface utilisateur fonctionnant avec les objets utilisateur Active Directory est
compatible avec les objets inetOrgPerson. prsent, tout client ou application
ayant besoin de la classe inetOrgPerson peut lutiliser en toute simplicit.
Intgration Passport (via Lauthentification Passport est dsormais disponible pour les services IIS
les services IIS) (Internet Information Services) 6.0 et permet de mapper les objets utilisateur
Active Directory sur leur identification Passport correspondante (le cas chant).
Lautorit de scurit locale (LSA) cre pour lutilisateur un jeton, qui est configur
par IIS 6.0 pour la demande HTTP. Les utilisateurs Internet possdant une
identification Passport correspondante peuvent prsent utiliser leur compte
Passport pour accder aux ressources de la mme manire que sils avaient
Au lieu de contacter un catalogue global chaque fois quun utilisateur ouvre une session sur un
contrleur de domaine, le contrleur de domaine met en cache lappartenance aux groupes universels
des utilisateurs qui ont dj ouvert une session depuis ce site ou depuis des serveurs de catalogues
globaux hors site lorsque le rseau tait disponible. Les utilisateurs sont ensuite autoriss ouvrir des
sessions sans que le contrleur de domaine nait besoin de contacter un serveur de catalogues global
au moment de la connexion, ce qui rduit la demande sur les rseaux lents ou peu fiables. Ce
perfectionnement amliore galement la fiabilit du rseau lorsque aucun catalogue global nest
disponible pour traiter les demandes douverture de session des utilisateurs.
Fonction Description
Fonction Description
domaine Windows 2000 et Windows Server 2003 ne font pas de distinction entre
les contrleurs de domaine mis niveau et les contrleurs de domaine
Windows NT 4.0.
Pour satisfaire aux besoins particuliers des administrateurs, les membres de
domaine excutant le SP2 de Windows 2000 ou Windows Server 2003 peuvent
tre configurs de manire informer les contrleurs de domaine excutant le
SP2 de Windows 2000 ou Windows Server 2003 de ne pas muler le
comportement dun contrleur de domaine Windows NT 4 lorsquils rpondent
aux membres de domaine de ce type.
Paramtrage de la Dans les domaines Windows Server 2003 sur lesquels la rplication du catalogue
rplication du catalogue global est configure, le paramtrage de la synchronisation du catalogue global
global est conserv, et non pas rinitialis. Les tches gnres la suite dune
extension du jeu dattributs partiel (PAS) sont ainsi rduites au minimum, car
seuls les attributs ajouts sont transmis. Globalement, cela permet de rduire le
trafic engendr par la rplication et doptimiser lefficacit des mises jour PAS.
Amliorations apportes Lorsquune fort est mise niveau vers une fort Windows Server 2003 en mode
la rplication des natif, lappartenance aux groupes est modifie de sorte stocker et rpliquer les
appartenances des valeurs de membres individuels au lieu de traiter lappartenance complte dun
groupes seul bloc. Ceci permet de diminuer la bande passante rseau utilise et
lutilisation du processeur au cours de la rplication et limine quasiment les
risques de perte de mises jour lorsque vous effectuez des mises jour
simultanes.
Extension de LDAP pour la Active Directory est capable de stocker les entres dynamiques. Ces entres
prise en charge de la dure spcifient une valeur de dure de vie. Lutilisateur peut modifier la valeur de la
de vie des entres dure de vie pour que lentre soit conserve pendant une priode plus longue
dynamiques que la dure de vie restante actuelle. LAPI en langage C de LDAP C a t
tendu pour prendre en charge cette nouvelle fonctionnalit. Ceci permet aux
dveloppeurs dapplications de stocker dans lannuaire des informations quil
nest pas ncessaire de conserver trs longtemps. Active Directory supprime
automatiquement ces donnes une fois que leur dure de vie expire.
Prise en charge des Il existe prsent des paramtres de stratgie de groupe facilitant la gestion des
dploiements 64 bits dploiements de logiciels 64 bits. Les options de lditeur de dploiement
dapplications (ADE) aident dterminer sil est possible de dployer des
applications 32 bits sur des clients 64 bits. Vous pouvez utiliser loutil Stratgie de
groupe pour vrifier que seules les applications appropries sont dployes sur
les clients 64 bits.
Les administrateurs sont guids travers le processus dinstallation des serveurs de sorte simplifier
la procdure pour aider les utilisateurs terminer linstallation des composants facultatifs choisis au
cours de linstallation de Windows. Ils peuvent se servir de cette fonction pour effectuer les oprations
suivantes :
installer le premier serveur dun rseau en configurant automatiquement DHCP, DNS et Active
Directory laide des paramtres de base par dfaut ;
aider les utilisateurs configurer les serveurs membres sur un rseau en indiquant les fonctions
dont ils ont besoin pour configurer un serveur de fichier, un serveur dimpression, un serveur Web
et multimdia, un serveur dapplications, un serveur daccs distant et de routage ou un serveur de
gestion des adresses IP.
Les administrateurs peuvent utiliser cette fonction pour effectuer une rcupration durgence, rpliquer
la configuration dun serveur sur plusieurs ordinateurs, terminer linstallation, configurer les rles des
serveurs ou dfinir la configuration du premier serveur ou du serveur principal sur un rseau.
Fonction Description
Cration automatique de Vous pouvez crer et configurer automatiquement les serveurs et les zones DNS
zones DNS (Domain Name System) sur les systmes dexploitation de la famille Windows
Server 2003. Leur cration se fait par lintermdiaire de lentreprise en vue
dhberger la nouvelle zone. Les zones permettent de rduire considrablement
le temps que la configuration manuelle de chaque serveur DNS ncessite.
Gnration de la topologie Le gnrateur de topologie inter-site (ISTG) a t mis jour pour utiliser des
de rplication inter-sites algorithmes amliors et prendre en charge les forts comportant un plus grand
nombre de sites que sous Windows 2000. tant donn que tous les contrleurs
de domaine de la fort excutant le rle ISTG doivent saccorder sur la topologie
de rplication inter-sites, les nouveaux algorithmes ne sont activs quune fois
que la fort est mise niveau vers une fort Windows Server 2003 en mode natif.
Les nouveaux algorithmes ISTG fournis rendent la rplication entre forts plus
performante.
Amliorations de la Cette fonction simplifie le dbogage et le signalement dune configuration
configuration du DNS incorrecte du DNS, et aide configurer correctement linfrastructure DNS requise
pour le dploiement de Active Directory.
Ceci est galement valable lorsquun contrleur de domaine est promu au sein
dune fort existante. Dans ce cas, lAssistant Installation de Active Directory
contacte un contrleur de domaine existant pour mettre jour lannuaire et
Fonction Description
Fonction Description
Partitions de lannuaire Les services Active Directory permettent de crer un nouveau type de contexte
dapplications dappellation, ou partition, appel partition dapplication . Ce contexte
dappellation peut contenir une hirarchie de tout type dobjet, lexception des
entits de scurit (utilisateurs, groupes ou ordinateurs). Il est possible de le
configurer pour rpliquer nimporte quel ensemble de contrleurs de domaine de
la fort, nappartenant pas tous ncessairement au mme domaine.
Cette fonction permet dhberger des donnes dynamiques dans Active Directory
sans trop affecter les performances rseau, en offrant la possibilit de contrler la
porte de la rplication et lemplacement des rplicas.
Zones DNS intgres Les zones DNS de Active Directory peuvent tre stockes et rpliques dans les
stockes dans des partitions dapplication. Lutilisation de partitions dapplication pour stocker les
partitions dapplication donnes DNS permet de diminuer la quantit dobjets stocks dans le catalogue
global. De plus, lorsque les donnes des zones DNS sont stockes dans une
partition dapplication, elles sont uniquement rpliques sur le sous-ensemble de
contrleurs du domaine spcifi dans la partition dapplication. Par dfaut, les
partitions dapplication propres DNS contiennent uniquement les contrleurs de
domaine excutant le serveur DNS. En outre, le stockage de la zone DNS dans
une partition dapplication permet de rpliquer la zone DNS sur les serveurs DNS
qui sexcutent sur les contrleurs de domaine de diffrents domaines dune fort
Active Directory. En intgrant les zones DNS une partition dapplication, il est
possible de limiter la rplication de ces informations et dainsi diminuer la bande
passante totale ncessaire la rplication.
Amliorations du contrle Cette fonction amliore la prise en charge Active Directory pour le contrle LDAP,
DirSync appele contrle DirSync , afin de rcuprer les informations modifies de
lannuaire. Le contrle DirSync peut accder des vrifications similaires celles
effectues sur les recherches LDAP standard.
Niveaux de fonctionnalit Semblable au mode natif sous Windows 2000, cette fonction offre un mcanisme
de commande de versions dont les composants Active Directory standard
peuvent se servir pour dterminer les fonctions disponibles sur chaque contrleur
de domaine au sein dun domaine et dune fort. Elle sert galement empcher
les contrleurs de domaine antrieurs Windows Server 2003 de se joindre
une fort sur laquelle la fonction autorisant uniquement le service Active Directory
de Windows Server 2003 est active.
Dsactivation des attributs Active Directory a t modifi de sorte permettre la dsactivation des attributs
et des classes de schma et des dfinitions de classe dans le schma Active Directory. Il est possible de
redfinir les attributs et les classes si la dfinition dorigine est errone.
La dsactivation permet de modifier la dfinition dun attribut ou dune classe
aprs leur ajout au schma si une erreur sest glisse dans la dfinition dune
proprit non modifiable. Il sagit dune opration rversible, qui permet aux
administrateurs dannuler toute dsactivation accidentelle sans consquence. Les
administrateurs disposent prsent dune plus grande souplesse pour grer le
schma Active Directory.
Changement du nom dun Cette fonction prend en charge la modification des noms DNS et/ou NetBIOS des
domaine domaines existants dune fort en garantissant que la structure de la fort
rsultante reste cohrente. Lidentit dun domaine renomm, forme de son
identificateur de domaine global unique (GUID) et de son identificateur de
scurit (SID) de domaine, ne change pas. De plus, lappartenance dun
ordinateur des domaines ne change pas suite la modification du nom du
cration de rapports HTML pour les donnes issues des outils Rsultats de la stratgie de
groupe et Modlisation de la stratgie de groupe (connu auparavant sous le nom de Jeu de
stratgie rsultant ) ;
cration de scripts pour les oprations sur les objets de stratgie de groupe exposs dans cet
outil (mais pas pour les paramtres dun objet de stratgie de groupe).
Avant lintroduction de la console GPMC, les administrateurs devaient faire appel plusieurs outils
Microsoft pour grer la stratgie de groupe. La console GPMC associe les fonctionnalits de stratgie
de groupe existantes de ces outils aux nouvelles fonctions prsentes ci-dessus.
La console GPMC est capable de grer la fois les domaines Windows 2000 et Windows Server 2003
avec le service Active Directory. Quel que soit le cas de figure, lordinateur administratif sur lequel
loutil sexcute doit fonctionner sous lun des systmes dexploitation suivants :
Pour plus dinformations, voir Enterprise Management with the Group Policy Management Console (site
en anglais).
Fonction Description
Redirection des Windows Server 2003 inclut des outils permettant de rediriger automatiquement
conteneurs dutilisateurs et les nouveaux objets utilisateur et ordinateur vers des units organisationnelles
dordinateurs par dfaut donnes sur lesquelles la stratgie de groupe peut tre applique.
Cette fonction vite que les administrateurs ne soient confronts une situation
dans laquelle les nouveaux objets utilisateur et ordinateur restent dans les
conteneurs par dfaut au niveau racine des domaines. Les conteneurs de ce type
nont pas t conus pour contenir des liens de stratgie de groupe, tandis que
les clients nont pas t conus pour lire ni appliquer la stratgie de groupe
depuis ces conteneurs. Bon nombre de clients qui les utilisaient se sont donc
trouvs contraints dintroduire une stratgie au niveau des domaines, ce qui peut
tre gnant dans bien des cas.
Cest pourquoi, Microsoft recommande plutt de crer une hirarchie logique
dunits organisationnelles permettant de stocker les nouveaux objets utilisateur
et ordinateur. Les administrateurs peuvent utiliser deux nouveaux kits de
ressources, RedirUsr et ReDirComp, pour spcifier un autre emplacement par
dfaut pour les trois API hrites, savoir NetUserAdd(), NetGroupAdd() et
NetJoinDomain(). Ils peuvent ainsi rediriger les emplacements par dfaut vers
des units organisationnelles adquates, puis appliquer directement la stratgie
de groupe ces units.
Modlisation de la stratgie Loutil Modlisation de la stratgie de groupe est conu pour aider les
de groupe administrateurs planifier la croissance et la rorganisation de leur rseau. Il leur
permet de revoir les paramtres de stratgie existants, les applications et la
scurit en fonction dun scnario hypothtique. Une fois quun administrateur
dcide quune modification est ncessaire ou inluctable, il peut lancer une srie
de tests pour dterminer limpact du transfert dun utilisateur ou dun groupe
dutilisateurs vers un autre emplacement, groupe de scurit, voire mme
ordinateur. Sont inclus les paramtres de stratgie appliqus et les fichiers
automatiquement chargs une fois que la modification entre en vigueur.
Loutil Modlisation de la stratgie de groupe est trs utile aux administrateurs,
car il leur permet de tester de manire exhaustive limpact de changements
apports la stratgie avant de les implmenter sur tout le rseau.
Nouveaux paramtres de Windows Server 2003 apporte quelque 150 nouveaux paramtres de
stratgie stratgie, qui permettent de personnaliser et de contrler le comportement
du systme dexploitation pour des groupes dutilisateurs. Ces nouveaux
paramtres ont un impact sur diffrentes fonctionnalits, notamment le
Fonction Description
Modles dadministration Cette fonction amliore le composant logiciel enfichable dextension Modles
pour laffichage Web dadministration de la stratgie de groupe en permettant dafficher des
informations dtailles sur les diffrents paramtres de stratgie disponibles.
Lorsque vous slectionnez un paramtre de stratgie, des informations dtaillant
le comportement du paramtre et les endroits o il est utilis saffichent dans une
vue Web dans linterface utilisateur Modles dadministration. Vous pouvez
galement accder ces informations sous longlet Expliquer de la page
Proprit de chaque paramtre.
Gestion des clients DNS Les administrateurs peuvent configurer les paramtres des clients DNS sous
Windows Server 2003 laide de loutil Stratgie de groupe. Cette fonctionnalit
simplifie la procdure de configuration des membres de domaine lors de la
dfinition des paramtres de clients DNS, notamment lactivation et la
dsactivation de lenregistrement dynamique des enregistrements DNS par les
clients. Pour ce faire, elle fait appel la dvolution du suffixe DNS principal au
cours de la rsolution de noms et elle remplit les listes de recherche de suffixes
DNS.
Redirection du dossier Mes Les administrateurs peuvent utiliser cette fonction pour faire passer les
documents utilisateurs dun dploiement hrit de rpertoires de base vers un modle
reposant sur un dossier Mes documents tout en conservant la compatibilit avec
lenvironnement hrit.
Installation complte des Lditeur de dploiement dapplications comporte une nouvelle option permettant
applications attribues aux dinstaller entirement une application attribue aux utilisateurs louverture de
utilisateurs louverture de session plutt que sur demande. Les administrateurs peuvent sassurer que les
session logiciels appropris sont installs automatiquement sur les postes des
utilisateurs.
Netlogon Cette fonction permet de configurer les paramtres Netlogon sur les ordinateurs
Windows Server 2003 laide de loutil Stratgie de groupe. Elle simplifie la
procdure suivre pour configurer les membres de domaine lors de la dfinition
des paramtres Netlogon, notamment lactivation et la dsactivation de
lenregistrement dynamique des enregistrements DNS particuliers du localisateur
de contrleurs de domaine par les contrleurs de domaine, la frquence
dactualisation de ces enregistrements, lactivation et la dsactivation du
recouvrement de site automatique et bon nombre dautres paramtres Netlogon
courants.
Laccs aux interfaces utilisateur de la configuration rseau sous Windows
Connexions rseau et Server 2003 peut tre accord (ou limit) des utilisateurs particuliers par
daccs distance lintermdiaire dune stratgie de groupe.
Stratgies dvnements Linfrastructure des vnements WMI a t dveloppe pour pouvoir fonctionner
distribus dans un environnement distribu. Les amliorations portent sur des composants
qui permettent de configurer labonnement, le filtrage, la corrlation, lagrgation
et le transfert des vnements WMI. Un diteur de logiciels (ISV) peut activer des
fonctions danalyse de ltat, de consignation des vnements, de notification, de
rcupration automatique et de facturation en faisant appel une interface
utilisateur supplmentaire et en dfinissant un type de stratgie.
Fonction Description
Approbation de fort
Il sagit dun nouveau type dapprobation qui autorise les domaines dune fort approuver
(transitivement) tous les domaines dune autre fort par lintermdiaire dune relation dapprobation entre
les domaines racines de deux forts.
partir de trois forts, lapprobation de fort nest pas transitive au niveau des forts. Si la fort A
approuve la fort B et que la fort B approuve la fort C, aucune relation dapprobation ne se cre entre
les forts A et C.
Les approbations de fort peuvent tre unidirectionnelles ou bidirectionnelles.
Un nouvel Assistant simplifie la cration de tous les types de relations dapprobation, tout
particulirement les approbations de fort.
Une nouvelle page de proprit vous permet de grer les espaces de noms approuvs associs aux
approbations de fort.
Les espaces de noms approuvs servent acheminer les demandes dauthentification et dautorisation
pour les entits de scurit dont les comptes sont conservs dans une fort approuve.
Les espaces de noms des domaines, des noms dutilisateur principaux (UPN), des noms de service
principaux (SPN) et des identificateurs de scurit (SID) quune fort publie sont automatiquement
recueillis lors de la cration dune approbation de fort et actualiss par linterface utilisateur Domaines
et approbations Active Directory.
Une fort est approuve en tant que rfrence pour les espaces de noms quelle publie en suivant la
rgle du premier arriv, premier servi , condition que ces espaces de noms nentrent pas en conflit
avec des espaces de noms approuvs tablis par des relations dapprobation de forts existantes.
Les espaces de noms qui se chevauchent sont automatiquement interdits. Les administrateurs peuvent
galement dsactiver manuellement les espaces de noms approuvs.
Fonction Description
Authentification entre Lauthentification entre forts assure un accs scuris aux ressources lorsque le
forts compte dutilisateur et le compte dordinateur se trouvent dans des forts
diffrentes. Cette fonction permet aux utilisateurs daccder en toute scurit aux
ressources figurant dans dautres forts laide de Kerberos ou NTLM, sans pour
autant perdre les avantages en matire de signature unique et dadministration
quapportent un ID dutilisateur et un mot de passe uniques administrs dans la
fort de lutilisateur. Lauthentification entre forts comprend notamment les
fonctions suivantes :
Rsolution de noms
Lorsque Kerberos et NTLM ne parviennent pas rsoudre un nom principal
sur le contrleur de domaine local, ils appellent un catalogue global.
Lorsque le catalogue global ne parvient pas rsoudre le nom, il appelle une
nouvelle fonction de correspondance de noms entre forts.
La fonction de correspondance de noms compare le nom de scurit principal
aux espaces de noms approuvs de toutes les forts approuves. Si elle
dtecte une correspondance, elle renvoie le nom de la fort approuve en tant
que suggestion ditinraire.
Fonction Description
Le slecteur dobjet a t amlior pour prendre en charge une slection de
noms dutilisateur ou de groupe issue dune fort approuve.
Il est ncessaire dentrer les noms en entier. Lnumration et les recherches
utilisant des caractres gnriques ne sont pas prises en charge.
Conversion nom-SID
Le slecteur dobjet et lditeur des listes de contrle daccs font appel des
API systme pour stocker les SID dans des entres de membres de groupe et
dACL et les reconvertir en noms conviviaux des fins daffichage.
Les API de conversion nom-SID font dsormais appel des suggestions
ditinraire entre forts et exploitent les canaux scuriss NTLM entre les
contrleurs de domaine se trouvant le long du chemin dapprobation pour
rsoudre les noms de scurit principaux ou les SID provenant de forts
approuves.
Filtrage des SID
Les SID sont filtrs lorsque des donnes dautorisation passent du domaine
racine de la fort approuve celui de la fort dapprobation. La fort
dapprobation accepte uniquement les SID qui se rapportent aux domaines
dont elle a approuv la gestion par lautre fort. Tous les autres SID sont
automatiquement rejets.
Le filtrage des SID sapplique automatiquement lauthentification Kerberos et
NTLM, ainsi qu la conversion nom-SID.
Amlioration des certificats La fonction de certificats croiss des clients Windows Server 2003 a t
croiss amliore pour autoriser les certificats croiss au niveau des services et au
niveau global. Par exemple, WinLogon peut dsormais demander des certificats
croiss et les tlcharger dans la banque de lentreprise/des approbations de
lentreprise . Tous les certificats croiss sont tlchargs mesure de
llaboration de la chane.
Service IAS et Si les forts Active Directory sont en mode entre forts avec des approbations
authentification entre bidirectionnelles, le serveur IAS/RADIUS (Internet Authentication Service/Remote
forts Authentication Dial-In User Server) peut se servir de cette fonction pour
authentifier le compte dutilisateur dans lautre fort. Ceci permet aux
administrateurs dintgrer facilement les nouvelles forts aux services
IAS/RADIUS existants dans leur fort.
Gestionnaire Le Gestionnaire dinformations didentification assure le stockage scuris des
dinformations informations didentification des utilisateurs, notamment des mots de passe et
didentification des certificats X.509. Cette fonction permet doffrir aux utilisateurs, y compris aux
utilisateurs itinrants, un processus de signature unique uniforme. Par exemple,
lorsquun utilisateur accde une application professionnelle sur le rseau de
lentreprise, la premire tentative daccs cette application ncessite de
sauthentifier. Lutilisateur est donc invit indiquer des informations
didentification. Une fois quil les a fournies, ces informations sont associes
lapplication qui les a demandes. Lors des prochaines demandes daccs cette
application, les informations didentification enregistres seront rutilises sans
que lutilisateur ne soit invit les entrer de nouveau.
Rsum
En se fondant sur les acquis de Windows 2000, le service Active Directory de Windows Server 2003
met laccent sur la gestion simplifie, la polyvalence et une fiabilit sans gal. Plus que jamais, Active
Directory est devenu la cl de vote de la cration des rseaux dentreprise grce ses fonctionnalits
ingales. Il permet de :
tirer parti des investissements existants et de la gestion de consolidation des annuaires ;
rduire le cot de possession total et tirer parti des ressources informatiques disponibles.
Liens apparents
Consultez les ressources suivantes pour de plus amples informations :
Architecture Active Directory
Enterprise Management with the Group Policy Management Console (site en anglais) ladresse
http://www.microsoft.com/windowsserver2003/gpmc.
Pour obtenir les dernires informations disponibles sur Windows Server 2003, voir le site Web de
Windows Server 2003 ladresse
http://www.microsoft.com/france/windows/windowsserver2003/default.asp.