Академический Документы
Профессиональный Документы
Культура Документы
CATÉGORIE ÉCONOMIQUE
INFORMATIQUE DE GESTION
L’Active Directory,
un outil essentiel pour la gestion des
ressources réseaux d’une entreprise
Application à la société : Automatic Systems
François Maxime
Mes remerciements s'adressent aussi à tous les services d’Automatic Systems qui ont, de près
ou de loin, contribué à la finalisation de ce T.F.E. et plus spécialement au département
informatique dirigé par Monsieur Jean-Luc Léonard et composé de Monsieur Franco Basso,
de Madame Ludivine Romaniuk et de Monsieur Olivier Voituron pour leur accueil
chaleureux, leur soutient, leur gentillesse et leur professionnalisme.
1
2. Table des matières
1. Remerciements ........................................................................................ 1
2. Table des matières................................................................................... 2
3. Introduction ............................................................................................. 4
4. Présentation de l’entreprise ................................................................... 5
4.1. Description de la société.......................................................................................... 5
4.2. Un peu d’histoire ..................................................................................................... 6
4.3. Organigrammes de la société................................................................................... 7
4.4. L’environnement informatique au sein de l’entreprise ........................................... 9
2
6.3.4. Single Master Opérations .......................................................................... 39
6.3.4.1. Définition..................................................................................... 39
6.3.4.2. Représentation graphique ............................................................ 40
6.3.4.3. Processus de réplication .............................................................. 41
6.3.4.3.1. Appartenance à un site ................................................ 41
6.3.4.3.2. Knowledge Consistency Checker (KCC) ................... 42
6.3.4.3.3. Réplication dans un site .............................................. 42
6.3.4.3.4. Réplication entre sites ................................................. 44
6.3.4.3.5. Protocoles de réplication............................................. 45
6.3.5. Planification de la topologie physique Active Directory de l’entreprise .. 46
9. Conclusion.............................................................................................. 91
10. Annexes .................................................................................................. 92
11. Bibliographie ....................................................................................... 106
3
3. Introduction
Le secteur d’activité de l’entreprise Automatic Systems est axé sur la production et la
distribution de systèmes permettant le contrôle d’accès sécurisé lié à l’identification
automatique des personnes et des véhicules.
La société a un accès direct aux marchés grâce à ses filiales en France, au Royaume-Uni, en
Espagne, au Canada et aux Etats-Unis et un accès indirect grâce à son réseau international de
distributeurs et d’agents.
L’entreprise se doit de posséder une informatisation très pointue au sein des différents sites
dans lesquels elle se situe afin de pouvoir communiquer de manière aisée entre eux.
De plus, cette entreprise est à la pointe de la technologie, en effet, chaque département, au
sein de la société, a besoin de l’informatique pour mener à bien les tâches qui lui sont
demandées.
C’est pourquoi une équipe d’IT Engineer est requise afin de pouvoir remédier à tous les
problèmes liés à l’informatique et garantir un bon fonctionnement de tous les systèmes
informatisés.
Une interruption au niveau de certains serveurs gérant des applications primordiales comme le
logiciel ERP, par exemple, pourrait coûter plusieurs jours de chômage technique ainsi qu’une
perte importante pour l’entreprise.
Au sein de cette équipe, le travail de chacun est de veiller au bon fonctionnement de tous les
équipements réseaux ainsi que de tous les ordinateurs utilisés par le personnel et les serveurs
dont le rôle est d’authentifier les utilisateurs, centraliser les applications et les fichiers.
En plus de garantir cette disponibilité des outils informatiques, cette équipe se doit d’assurer
le suivi accru de l’information dans tous les processus de l’entreprise.
Afin de mieux comprendre la notion de l’Active Directory, il faut d’abord définir ce qu’est
cette méthode, comment elle fonctionne et comment elle permet de faciliter cette gestion des
ressources réseau et des utilisateurs.
De plus, cet outil sera utilisé pour organiser et gérer de manière aisée les différents sites de
l’entreprise répartis en Belgique, en France, en Espagne, au Royaume-Uni et en Amérique du
Nord.
4
4. Présentation de l’entreprise
4.1. Description de la société
La société Automatic Systems est composée :
- d’un centre de développement au cœur de l’Europe ;
- d’un centre d’intégration en Amérique du Nord ;
- de 3 unités de fabrication ;
- de 300 collaborateurs à l’écoute de ses clients.
L’entreprise Automatic Systems créée en 1969, a choisi comme vocation : le contrôle d’accès
de véhicules et des piétons et son objectif est d’être le meilleur du monde dans ce créneau.
A l’heure actuelle, elle exerce le même métier, a le même objectif et plus de 30 ans
d’expérience sur les 5 continents et dans tous les domaines d’application.
Les domaines dans lesquels Automatic Systems possède de l’expérience sont les suivants :
- La mécanique ;
- L’électromécanique ;
- L’électronique ;
- L’informatique.
Cette société vend ses produits, services et solutions à des intégrateurs et opérateurs de
systèmes.
Ces produits créés et vendus par Automatic Systems sont répartis en plusieurs catégories :
1. Les péages d’autoroutes ;
2. Le contrôle du trafic ;
3. La gestion du stationnement ;
4. La sécurité ;
5. Le transport public ;
6. Le transport aérien.
5
4.2. Un peu d’histoire…
Depuis sa création, Automatic Systems n’a cessé d’évoluer :
1969-1974
1974-1986
1986-1990
1990-1995
1995-1997
1997-2002
La société reçoit des commandes des métros de Singapour et de Buenos Aires, ainsi
que de la South West Trains à Londres.
Automatic Systems enregistre des commandes pour la fourniture d'équipements de
contrôle d'accès piétons pour la RENFE (Espagne), pour le Métro léger à Tunis et la
KTMB à Kuala Lumpur.
6
IER, filiale du groupe français Bolloré et leader en matière de terminaux et systèmes
d’impression et de lecture dans le domaine du transport, devient le principal
actionnaire du groupe Automatic Systems.
2002-2004
Les PNG série 38x d’Automatic Systems sont agréés UL, ce qui signifie l’ouverture
du marché américain.
La Chase Manhattan Bank fait confiance à cette entreprise et sécurise ses accès avec
les passages non gardiennés.
La Corée du Sud découvre les portillons PNG.
Automatic Systems signe son plus gros contrat de transports publics en Amérique du
Nord : fourniture de plus de 700 obstacles de contrôle d’accès destinés au Métro de
Boston.
Le Port de Vancouver, Canada, choisit les barrières levantes grillagées produites par la
société pour renforcer la sécurité maritime suite à l’entrée en application de la Charte
ISPS (International Ship and Port Facility Security Code).
2004-2006
7
2. Organigramme de la société Automatic Systems située à Wavre en Belgique :
8
4.4. L’environnement informatique au sein de l’entreprise
Le département informatique de cette société située à Wavre est un élément très important
dans l’architecture informatique car ce service est chargé de gérer les différents sites de
l’entreprise situés en Belgique : Aartselaar, Gembloux, Solvay, Wavre ; en France : Rungis,
Aix, Blyes.
Les autres filiales d’Automatic Systems (Canada, Etats-Unis, Espagne et Royaume-Uni) font
appel à des consultants externes.
Dans le but de faciliter la gestion des utilisateurs, des applications, des fichiers et des
sauvegardes, toute cette infrastructure repose sur la centralisation de toutes ces données via
l’intermédiaire de différents serveurs.
Cet environnement évolue donc en mode Clients/Serveurs et est géré au moyen de l’Active
Directory.
De plus, dans le marché qui est celui d'Automatic Systems, la concurrence ne cesse de devenir
plus sévère. La société a dès lors décidé d'améliorer l'ensemble de ses processus de gestion et
de les automatiser plus en profondeur. Le nouveau système ERP de Microsoft (Axapta)
devrait notamment aider Automatic Systems à simplifier la gestion de ses nomenclatures de
produits et la gestion de ses délais de livraison.
Microsoft Business Solutions Axapta réunit dans un seul progiciel une application ERP et une
solution d'e-business. Il a été développé, dès le départ, pour les besoins d'applications basées
sur Microsoft Windows et gérées via internet. Grâce à son architecture fondée sur le principe
de composants, Microsoft Axapta se prête à des adaptations et extensions sur mesure, à la fois
rapides et souples. Le progiciel inclut un riche éventail de fonctions basé sur une architecture
très novatrice et une intégration unique avec le monde de l'e-business.
Outre ce logiciel ERP, l’entreprise utilise des bases de données SQL, une application
permettant la conception assistée par ordinateur appelée Catia, associé à un autre logiciel
appelé Smarteam qui permet aux utilisateurs de gérer et de maintenir toutes les informations
relatives à leurs produits tout au long de leur cycle de vie.
Afin de garantir une sécurité optimale dans l’ensemble de son réseau informatique, Automatic
Systems investit dans des logiciels de type : antivirus, anti-spam, sauvegardes,… et effectue
des audits de sécurité.
9
5. Position du problème
10
Nom du serveur Rôle du serveur Site sur lequel
au sein du domaine se trouve le serveur
BARCELONESRV Contrôleur de domaine Barcelone
MADRIDSRV Contrôleur de domaine Madrid
ASA-DC Contrôleur de domaine Canada
ASSDCSRV Contrôleur de domaine Wavre
ASPDCSRV Contrôleur de domaine Wavre
ASGEMBDCSRV Contrôleur de domaine Gembloux
ASVLDSRV Contrôleur de domaine Aartselaar
ASFSRV Contrôleur de domaine Rungis
AIXSRV Serveur membre du domaine Aix Aix
BLYESDC Contrôleur de domaine Blyes
UKSRV1 Contrôleur de domaine Royaume-Uni
UKSRV2 Contrôleur de domaine Royaume-Uni
UKSRV3 Contrôleur de domaine Royaume-Uni
En effet, l’Active Directory est un annuaire global permettant d'administrer à partir d'un point
unique toutes les ressources (imprimantes, serveurs, groupes, applications, ordinateurs) et les
utilisateurs. Cet annuaire enregistre sous la forme de hiérarchies les informations relatives aux
objets du réseau et met ces informations à la disposition des administrateurs, des utilisateurs et
des applications à l’aide de deux technologies : le protocole LDAP et le format LDIF.
11
1. Le protocole LDAP (Lightweight Directory Access Protocol) définit la méthode
d'accès aux données sur le serveur au niveau du client et non la manière avec laquelle
les informations sont stockées. Ce protocole repose sur celui de TCP/IP.
Avant l’apparition de l’Active Directory, sous Windows NT, l'organisation d'un réseau
s'articulait autour de domaines non reliés entre eux ou lorsque cela était possible, la difficulté
de la mise en relation était telle qu’elle en faisait râler plus d’un !
De plus, la gestion du réseau était compliquée car chaque domaine nécessitait un
administrateur et la modification des paramètres utilisateurs se faisait au cas par cas du fait
que chaque domaine possédait sa propre base de données (donc pas de partage !).
Depuis l’arrivée de Windows Server 2000 et avec lui, de l’Active Directory, il est désormais
possible de connecter plusieurs domaines pour former une structure hiérarchique
arborescente.
Pour ce faire, cet annuaire utilise le système DNS (Domain Name System) qui est un service
standard Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (exemple :
www.iram.be) en adresses IP (Internet Protocol) lisibles par les ordinateurs (quatre numéros
séparés par des points). C’est pourquoi il est absolument nécessaire d’utiliser le protocole
TCP/IP.
L'administration du système en est simplifiée car l'annuaire autorise ainsi un point unique
d'administration.
L’Active Directory utilise des contrôleurs de domaine ayant le même niveau hiérarchique. Les
modifications réalisées par l'administrateur sur un contrôleur seront ainsi automatiquement
répliquées sur les autres contrôleurs du domaine.
Ce qui permet d’éviter toute perte de données lors de l'échec d'un contrôleur de domaine.
12
6. Active Directory
6.1. Définition
Ce genre de structure n’est pas une nouveauté, elle existe depuis des années dans les grandes
lignes chez Novell.
L’Active Directory est une base de données distribuée, orientée objet et nom qui constitue le
service d’annuaire de Windows Server 2000 et 2003. Ce service étend également les
fonctionnalités des services d'annuaire précédemment fournis avec Windows NT et offre en
outre des possibilités entièrement nouvelles qui rendent aisée la navigation parmi d'importants
volumes d'informations et facilitent leur gestion, en permettant des gains de temps importants
tant pour les administrateurs que pour les utilisateurs.
L’Active Directory n’est plus une base de données uniquement orientée administrateur mais
elle est considérée comme une ressource réseau en tant que telle.
Exemple :
Nous pouvons imaginer de créer une « classe privée » reprenant les informations privées d’un
utilisateur et une « classe profil » contenant les données du profil de l’utilisateur.
L’ensemble des objets, des classes et des attributs constitue les fondations de l’Active
Directory appelées SCHEMA.
De plus, l’Active Directory est un espace de noms, c'est-à-dire une zone délimitée au sein de
laquelle un nom donné peut être résolu.
La résolution de nom consiste à passer d'un nom à l'objet ou à l'information que ce nom
représente. La fonction première de l'espace de noms est d'organiser les descriptions des
ressources et d’essayer de les distinguer de manière unique afin de permettre aux utilisateurs
de les localiser à partir de leurs caractéristiques ou de leurs propriétés.
13
Au sein de l’Active Directory, il existe quatre moyens d’identifier les objets répertoriés :
Tous les objets contenus dans l’Active Directory possèdent un Distinguished Name (nom
unique). Celui-ci identifie le domaine dans lequel se trouvent l’objet et le chemin complet par
lequel il faut passer pour atteindre celui-ci.
automatcisystems.be
OU = test
Alpha
Dans l’Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur
principal) au format <utilisateur>@<nom-domaine>. Un nom UPN est un nom convivial
assigné par un administrateur. Par exemple, le nom UPN de l'utilisateur « Alpha », qui
possède un compte utilisateur dans le domaine « automaticsystems.be »
est Alpha@automaticsystems.be
Le User Principal Name peut être utilisé pour s’authentifier sur le réseau.
De plus, pour des raisons de simplicités et de commodités, l’administrateur peut alléger
l'administration et les processus de connexion des utilisateurs en fournissant un suffixe UPN
unique pour tous les utilisateurs.
14
3. Security Identifier (SID)
Un SID est un numéro unique, composé du RID1 (Relative Identifier Master : identifiant du
contrôleur de domaine du domaine) et du DNM1 (Domain Naming Master : identifiant du
domaine), affecté aux objets entités de sécurité, à savoir les comptes d’utilisateurs, de groupes
et d'ordinateurs. Chaque compte du réseau a reçu un SID unique à sa création. Les processus
internes de Windows Server 2000/2003 font référence au SID d'un compte plutôt qu'à son
nom d'utilisateur ou de groupe.
Une ACL (Access Control List : liste de contrôle d’accès) composée d’ACE (Access Control
Entry : entrée de contrôle d'accès) protège chaque objet Active Directory en identifiant les
utilisateurs et les groupes pouvant y accéder. Chaque ACL contient le SID de chaque
utilisateur et de chaque groupe ayant l'autorisation d'accéder à l'objet et définit le niveau
d'accès autorisé. Par exemple, un utilisateur peut disposer pour certains fichiers de droits
d'accès en lecture seule, pour d'autres de droits d'accès en lecture et en écriture, et pour
d'autres encore, d'aucun droit d'accès.
Si un compte utilisateur est créé, et ensuite supprimé, puis qu’un autre compte est créé avec le
même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des droits accordés
à l'ancien compte car les comptes ont des identificateurs SID différents.
Le Globally Unique Identifier est un identifiant exprimé sur un nombre hexadécimal de 128
bits assigné à chaque objet lors de sa création par Windows Server 2000/2003.
Quand un objet est déplacé ou renommé, son Distinguished Name change, son Security
Identifier se modifie (l’ancien SID est gardé dans un historique), parfois même son User
Principal Name peut être modifié mais JAMAIS son Globally Unique Identifier ce qui permet
à un objet d’être unique au sein de l’Active Directory.
Remarque :
L’Active Directory n’autorise pas que deux objets possèdent le même DN (Distinguished
Name), par contre, elle ne va pas interdire que deux objets aient le même UPN (User Principal
Name) mais pour des raisons de clarté lors de l’administration, il est préférable qu’il soit
différent.
Sur base de ces notions, nous pouvons maintenant passer à l’étude de deux points importants
dans la planification de l’Active Directory qui sont :
La structure logique.
La structure physique.
1
Ces notions seront expliquées plus en détails dans la partie intitulée Single Master Opérations.
15
6.2. Structure logique
6.2.1. Domaine
Un domaine est un ensemble de machines qui partagent la même base de données, la même
politique de sécurité et qui possèdent un nom unique sur le réseau.
Il faut savoir également qu’un domaine peut recouvrir plusieurs sites physiques d’une
entreprise et que l’Active Directory est constitué d’un ou plusieurs domaines.
Il s’agit donc d’une unité administrative.
Toute cette gestion à l’intérieur d’un domaine est orchestrée par un ou plusieurs ordinateurs
particuliers appelés : contrôleurs de domaine (DC = Domain Controller). Leur rôle est de
fournir des informations sur chacun des acteurs du domaine, ils en maintiennent une liste et
les autorisent ou non à effectuer des actions particulières, ce recensement est stocké dans
l’Active Directory sur chaque contrôleur de domaine du domaine.
16
6.2.2. Unité d’organisation (Oganizational Unit)
Une unité d’organisation (OU) est un container Active Directory utilisé pour organiser
logiquement et enregistrer les objets à l’intérieur des domaines.
Les unités d'organisation peuvent être créées de façon à refléter la structure fonctionnelle ou
commerciale de la société. De plus, chaque domaine peut implémenter sa propre hiérarchie
d'unités d'organisation.
Une unité d'organisation est la plus petite étendue ou unité à laquelle l’administrateur peut
appliquer des paramètres de stratégie de groupe ou déléguer une autorité administrative.
L’objectif principal d’une unité d’organisation est d’aider l’administrateur à gérer la
configuration et l'utilisation des comptes et des ressources en fonction du modèle
organisationnel de l’entreprise.
Les unités d'organisation peuvent contenir des utilisateurs, des groupes, des ordinateurs, des
imprimantes, des dossiers partagés et une quantité illimitée d'autres unités d'organisation,
mais elles ne peuvent pas contenir d'objets d'autres domaines.
17
6.2.3.1. Arbre
La notion d'arbre est étroitement liée à la notion de domaine.
Un arbre est un regroupement hiérarchique de domaines partageant tous un même nom
contigu.
Nous avons donc des domaines parents et enfants, le nom de ces deux domaines sont
combinés pour former le nom DNS2 (Domain Name System).
Remarque : Le tout premier domaine créé est par défaut le domaine racine (root) de l’arbre et
de la forêt.
Par exemple, la société Automatic Systems possède un nom de domaine Active Directory
« automaticsystems.com » et cette entreprise dispose de deux départements, un aux Etats-Unis
et un autre en Belgique, chacun d’eux est représenté par un domaine enfant. Ces deux
domaines porteront le nom suivant : « usa.automaticsystems.com » et
« belgique.automaticsystems.com », ce qui constitue un arbre.
2
Cette notion sera détaillée dans la partie intitulée : DNS.
3
Ces notions seront développées dans les parties intitulées : Schéma, Global catalog & logon process,
représentation graphique.
18
6.2.3.2. Forêt
La notion de forêt est également liée à celle de l’arbre car une forêt est composée d’un ou
plusieurs arbres qui ne partagent pas le même nom contigu.
Remarque importante
Si la structure logique de l’entreprise n’est composée que d’un seul domaine, la relation
suivante s’applique : un domaine = un arbre = une forêt.
Une forêt permet aux administrateurs réseaux de combiner des divisions différentes pour une
organisation, voire de regrouper des organisations différentes. De plus, ces organisations n'ont
pas besoin de partager le même nom de domaine et peuvent fonctionner de façon
indépendante tout en communiquant entre elles.
Mais elles partagent la même information !
Une forêt a une double utilité, elle permet d’un côté de simplifier l'interaction de l'utilisateur
avec l'annuaire et de l’autre, de rendre l'administration de domaines multiples plus aisée.
Par exemple, lors de l’authentification d’un utilisateur dans un autre domaine que celui
d’origine.
Chaque domaine (arbre) root de chaque forêt doit être relié entre eux par une relation
d’approbation Two-Way Transitive Trusts.
De plus, les arbres faisant partie d’une même forêt :
sont reliés entre eux par une relation d’approbation explicite et implicite entre tous les
domaines : Two-Way Transitive Trusts (TWTT).
ont le même schéma.
ont la même configuration globale.
ont un catalogue global identique car il se base sur le schéma qui doit être commun à
toute la forêt.
19
Il existe différents types de forêt qui varient en fonction du système d’exploitation installé sur
les domaines contrôleurs des domaines appartenant à la forêt :
Forêt Windows 2000 : cette forêt est composée de domaines en mode Windows 2000
mixed et native et en mode Windows Server 2003.
Exemple :
Forêt Windows Server 2003 interim : cette forêt est composée de domaines en mode
Windows Server 2003 interim.
Exemple :
20
Forêt Windows Server 2003 : cette forêt est composée de domaines en mode
Windows Server 2003 uniquement.
Exemple :
Domaine racine en mode
Windows Server 2003
DC avec la version
Windows Server 2003
installée
DC avec la version
Windows Server 2003
installée
automaticsystems.com
belgique.automaticsystems.com usa.automaticsystems.com
Une upgrade d’une forêt Windows 2000 ou Windows Server 2003 interim vers une forêt
Windows Server 2003 ou une installation d’une telle forêt permet :
Remarque :
L’administrateur réseau peut augmenter le niveau de fonctionnement d’un domaine ou
d’une forêt.
Si certains domaines d’une forêt fonctionnent en mode Windows 2000 mixed,
l’administrateur ne peut pas augmenter le niveau de fonctionnement de la forêt.
Si l’administrateur augmente le niveau de fonctionnement de la forêt, celui de tous les
domaines seront mis à jour vers le mode Windows Server 2003.
(Attention : l’opération est irréversible.)
21
6.2.3.3. Relations
Les domaines Windows 2000 qui appartiennent à la même forêt ou au même arbre partagent
une relation d'approbation transitive bidirectionnelle (Two-Way Transitive Trusts).
Il existe une approbation transitive implicite d’une part, entre les domaines racine de chaque
arbre de la forêt Windows 2000 et, d’autre part, entre tous les domaines contigus d'un même
arbre.
Cependant, il peut parfois être nécessaire de créer des relations d'approbation explicites entre
des domaines, par exemple dans le cas d'une relation entre un domaine Windows NT4 et un
domaine Windows 2000 ou 2003 Server.
Windows NT 4 Server étant le plus ancien par rapport aux versions Windows Server
2000/2003, entre un domaine NT4 et un domaine Windows 2000 ou 2003 Server, la relation
d’approbation ne peut pas être Two-Way Transitive.
En effet, la version NT4 Server ne connaît que la relation d’approbation non transitive
unidirectionnelle (One-Way Non-Transitive Trusts).
De ce fait, les serveurs équipés de la version Windows 2000 Server doivent descendre au
niveau d’exécution de ceux possédant la version NT4.
One-Way Non-Transitive
Le domaine A fait confiance au domaine B, ce qui implique que tous les utilisateurs du
domaine B peuvent venir se connecter dans le A car le contrôleur de domaine du domaine A
(DC A) fait confiance à tout ce qui vient du contrôleur de domaine de B (DC B).
22
Two-Way Transitive
Ce type de forêt offre une possibilité supplémentaire (exemple : relation de forêt à forêt,
renommer les contrôleurs de domaines ou le domaine lui-même (sauf le domaine racine))
grâce au système d’exploitation Windows Server 2003. En effet, si lors d’une éventuelle
fusion de la société Automatic Systems avec une autre entreprise, il est possible d’établir une
relation de forêt à forêt (Forest To Forest Trust), ce qui apporte un avantage certain car une
telle relation permet de ne pas devoir démonter l’Active Directory de la société rachetée.
Avec cette méthode, les employés travaillant dans les deux sociétés pourront s’authentifier à
partir de n’importe quel endroit au sein de ces deux entreprises.
Mais attention, ce genre de relation ne fusionne pas les Actives Directory, chaque entreprise
garde son propre service d’annuaire.
23
6.2.4. Schéma
Le schéma est une base de données qui regroupe l’ensemble des propriétés possibles pour
n’importe quel objet répertorié dans l’Active Directory.
Les utilisateurs peuvent également localiser un objet à travers l’Active Directory par une
recherche axée sur un ou des attributs spécifiques.
Le schéma étant stocké dans l’Active Directory et répliqué lors d’éventuelles modifications, il
est donc défini comme un objet et a, par définition, un Distinguished Name composé de deux
parties (une fixe et l’autre variable en fonction du nom de domaine et du domaine racine)
réparties comme suit :
CN = schéma, CN = configuration, DC = Nom du domaine, DC = Nom du domaine racine
Il faut savoir également que lorsque l’Active Directory est créée sur le premier contrôleur de
domaine, un schéma par défaut est ajouté à celui-ci.
24
6.2.5. Analyse de la topologie logique future de l’entreprise
Ces derniers permettront de pouvoir identifier avec aisance le pays dans lequel se trouvent les
sites de l’entreprise en fonction du nom de domaine.
Répartition des noms de domaine en fonction du lieu géographique des sites de l’entreprise
25
Avantages de cette structure
Cette nouvelle topologie logique permet d’obtenir une homogénéité au niveau des noms
internet, noms de domaine et adresses emails des utilisateurs.
En effet, un nom de domaine constitue la base de toute adresse sur internet (email ou web).
Il se compose d’une série de lettres (et/ou chiffres, tirets) suivie d’une extension (.be, .fr, …).
L’homogénéité de ce nom est très importante car grâce à celle-ci, les utilisateurs pourront
donner à leurs clients, visiteurs, partenaires, … une image certaine d’harmonie en
communiquant avec leurs adresses emails en relation avec le domaine dans lequel ils se
trouvent (par exemple : email@automaticsystems.be).
De plus, cette adresse email est en parfaite cohérence avec l’adresse du site web de
l’entreprise, ce qui permet d’augmenter la notoriété et la visibilité de la société en touchant
une plus large audience.
En plus de permettre une homogénéité au niveau des noms de domaine, des noms internet et
adresses email, cette structure garantit une politique de sécurité propre à chaque site de
l’entreprise, une centralisation de l’administration de l’ensemble des ressources à partir de la
maison-mère car chaque domaine possède la même base de données Active Directory.
Le seul bémol de cette topologie est la difficulté de la mettre en œuvre car il n’est pas évident
de la gérer vu le nombre de domaines mais ce défaut est vite atténué face aux nouvelles
possibilités qu’elle offre.
26
6.2.5.2. Agencement des unités d’organisation pour chaque
domaine
1. Répartition des unités d’organisation pour le domaine automaticsystems.be
Utilisateurs
Ordinateurs
Ressources
humaines Imprimantes
Utilisateurs
Software Ordinateurs
Imprimantes
Informatique
Utilisateurs
Réseau Ordinateurs
Imprimantes
Utilisateurs
Ordinateurs
Projet
Imprimantes
Utilisateurs
Ordinateurs
Organisation
Imprimantes
Production Utilisateurs
Ordinateurs
Magasin
Imprimantes
Utilisateurs
Départements Ordinateurs
Comptabilité
Imprimantes
Finance
Utilisateurs
automaticsystems.be
Ordinateurs
Administration
des ventes Imprimantes
Utilisateurs
Ordinateurs
Qualité et qualification
Imprimantes
Utilisateurs
Ordinateurs
Achat et vente
Imprimantes
Utilisateurs
Commercial
Ordinateurs
Maintenance Utilisateurs
Imprimantes
Groupes d’utilisateurs Ordinateurs
(accès aux ressources) Utilisateurs
Electrique Imprimantes
Ordinateurs
Utilisateurs
Marketing
Imprimantes
Ordinateurs
Mécanique
Développement Utilisateurs Imprimantes
Ordinateurs Utilisateurs
Gestion Imprimantes
Etude des données Ordinateurs
Prototype
Utilisateurs Imprimantes
Support Ordinateurs
technique
Imprimantes
Utilisateurs
Atelier Ordinateurs
Imprimantes
27
2. Répartition des unités d’organisation pour le domaine automaticsystems.fr
28
4. Répartition des unités d’organisation pour le domaine automaticsystems.es
29
6. Répartition des unités d’organisation pour le domaine automaticsystems.ca
Ces structures d’organisation logiques des différents domaines ont été établies sur base des
organigrammes de l’ensemble de la société Automatic Systems fournis en annexe (Annexe 1
et Annexe 2).
Ces organisations permettent d’avoir une vue globale sur tous les utilisateurs, ordinateurs et
imprimantes enregistrés dans l’Active Directory en fonction du département dans lequel ils se
trouvent.
De plus, une unité d’organisation est réservée à la création de groupes d’utilisateurs afin de
permettre à un ensemble d’utilisateurs d’avoir accès à une ou plusieurs ressources réseau.
Ce qui permet de ne pas mélanger les groupes d’utilisateurs et les utilisateurs.
6.2.6.1. Définition
Chaque ordinateur directement connecté à internet ou à un réseau local possède au moins une
adresse IP unique. Cependant, les utilisateurs ne veulent pas travailler avec des adresses IP
(exemple : 192.168.0.1) mais avec un nom de domaine ou des adresses plus explicites
(comme par exemple : automaticsystems.be) car c’est plus facile pour eux de retenir le nom
d’une machine que l’adresse IP.
Ainsi, grâce au DNS (Domain Name System), il est possible d'associer des noms en langage
courant aux adresses IP.
30
Ce système propose :
Un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une
structure arborescente.
Un système de serveurs distribués permettant de rendre disponible l'espace de noms.
Un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire
interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.
Le système DNS introduit une convention de nommage hiérarchique des domaines qui
commence par un domaine racine appelé « . ». Les domaines situés directement sous le
domaine racine sont appelés domaines de premier niveau.
Ils sont gérés par l'ICANN (Internet Corporation for Assigned Names and Numbers) et
représentent souvent la localisation géographique (be, com, fr, ...) ou le type de service (info,
org, gov, mail, ...)
Les domaines de second niveau sont disponibles pour les entreprises et les particuliers. Ils
sont distribués et gérés par d'autres sociétés comme l'InterNIC (une filiale de l'ICANN).
Enfin, une multitude de sous-domaines peuvent être créés à l'intérieur d'un domaine de second
niveau.
«.»
.automaticsystems
Les noms de machine utilisant le système DNS sont appelés noms d'hôtes. Ce type de nom
peut contenir jusqu'à 255 caractères alphanumériques et le caractère trait d'union. L'utilisation
du caractère « . » est interdite car il est réservé afin de séparer un domaine supérieur d'un
domaine inférieur.
En effet, deux types de noms avec le système DNS sont mis en évidence :
Le nom d'hôte (hostname) qui représente le nom d'une machine (un ordinateur, une
imprimante ou bien encore un routeur).
FQDN (Fully Qualified Domain Name).
Le FQHN (Fully Qualified Host Name) est en fait composé de deux parties : le nom d'hôte et
le FQDN (Fully Qualified Domain Name).
Ce FQHN définit la relation entre le domaine auquel appartiennent la machine et le domaine
racine.
Prenons un exemple, si une machine possède le nom d'hôte Workstation1 située dans le
domaine « automaticsystems », son FQDN est : automaticsystems.be.
Le FQHN de la machine Workstation1 est donc Workstation1.automaticsystems.be.
31
Présentation de cette notion sous forme de schéma :
FQHN
(Fully Qualified Host Name)
Chaque domaine possède un serveur de noms de domaine (DNS), appelé « serveur de noms
primaire » (Primary Domain Name Server), et/ou un « serveur de noms secondaire »
(Secondary Domain Name Server), permettant de prendre le relais du serveur de noms
primaire en cas d'indisponibilité.
Chaque serveur de nom est déclaré dans un serveur de nom de domaine de niveau
immédiatement supérieur, ce qui permet implicitement une délégation d'autorité sur les
domaines.
Ce type de serveur définit une zone, c'est-à-dire un ensemble de domaines sur lequel le
serveur a autorité. Le système de noms de domaine est transparent pour l'utilisateur.
Une zone de noms ou zone DNS est un fichier texte reprenant la totalité ou une partie des
enregistrements de ressources appartenant à la même portion de l'espace de noms DNS.
Une zone forward et reverse peut être qualifiée sous trois formes :
Une zone forward et reverse primaire peut ajouter, modifier et supprimer des
enregistrements de ressources.
Une zone forward et reverse secondaire est une copie en lecture seule d'une zone
primaire donnée. Un serveur DNS qui héberge une zone secondaire ne peut pas ajouter
ni modifier d'enregistrements de ressources. Les zones secondaires ont donc pour seul
intérêt de garantir une tolérance aux pannes.
Une zone forward ou reverse intégrée à l’Active Directory (ADI) est obtenue si le
serveur DNS joue aussi le rôle de contrôleur de domaine. Dans ce cas, la zone
primaire est stockée dans l’Active Directory et peut donc être répliquée sur tous les
contrôleurs de domaine. Cette solution apporte des avantages en termes de
performance et de sécurité.
32
Le mécanisme exécuté par un serveur de nom (DNS) est de trouver l'adresse IP correspondant
au nom d'un hôte ou inversement.
Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine (par
exemple « workstation1.automaticsystems.be »), celle-ci va interroger un serveur de noms
défini dans sa configuration réseau.
Une requête est ainsi envoyée au Primary Domain Name Server. Si celui-ci possède
l'enregistrement dans son cache, il l'envoie à l'application ; dans le cas contraire, il interroge
un serveur racine.
Le serveur de noms racine renvoie une liste de serveurs de noms faisant autorité sur le
domaine.
Le serveur de noms primaire faisant autorité sur le domaine va alors être interrogé et retourner
l'enregistrement correspondant à l'hôte sur le domaine.
Un serveur DNS est en fait une de base de données reprenant des enregistrements de
ressources appelés RR (Ressource Records) concernant les noms de domaine.
Seul l’administrateur du domaine peut visualiser ces enregistrements.
A : il permet d’établir la correspondance entre un nom canonique et une adresse IP. Par
ailleurs, il peut exister plusieurs enregistrements A, correspondant aux différentes
machines du réseau (serveurs). Cet enregistrement se crée automatiquement dans le cas
d’une zone avec mise à jour dynamique.
CNAME (Canonical Name) : il permet de faire correspondre un alias au nom canonique.
Il est particulièrement utile pour fournir des noms alternatifs correspondant aux différents
services d'une même machine.
Exemple : si une machine au sein de l’entreprise Automatic Sytems doit héberger le site
internet de la société et que son FQHN est wokstation1.automaticsystems.be, afin de la
rendre joignable avec un nom plus convivial pour les utilisateurs, l’administrateur réseau
attribuera à cette dernière le CNAME : WWW.
De cette façon, les utilisateurs voulant visionner le site internet de la société devront taper
l’adresse suivante dans leur navigateur internet : www.automaticsystems.be et non plus
workstations1.automaticsystems.be.
MX (Mail eXchange) : correspond au serveur de gestion du courrier. Lorsqu'un
utilisateur envoie un courrier électronique à une adresse (utilisateur@domaine), le
serveur de courrier sortant interroge le serveur de noms ayant autorité sur le domaine afin
d'obtenir l'enregistrement MX. Il peut exister plusieurs MX par domaine, afin de fournir
une redondance en cas de panne du serveur de messagerie principal.
NS : correspond au serveur de noms ayant autorité sur le domaine. Il y a autant
d’enregistrement NS qu’il y a de serveurs DNS sur le domaine. Cet enregistrement se
crée automatiquement.
PTR : un pointeur vers une autre partie de l'espace de noms de domaine. Il réalise la
correspondance entre une adresse IP et un nom canonique.
SOA (Start Of Authority) : le champ SOA permet de décrire le serveur de nom ayant
autorité sur la zone, ainsi que l'adresse électronique du contact technique (dont le
caractère « @ » est remplacé par un point). Ce type d’enregistrement se crée
automatiquement dans la zone forward et reverse et est lié au rôle de l’Active Directory.
SRV : est une catégorie de données du système DNS qui vise à indiquer quels sont les
services disponibles.
33
6.2.6.2. Planification & configuration des serveurs DNS
Avant de se lancer dans la planification de ce type de serveur, il faut d’abord relever les
informations concernant les machines des utilisateurs (Workstations) et les serveurs
disponibles sur chaque site de l’entreprise Automatic Systems que nous avons regroupé par
pays.
Ces informations seront représentées comme suit :
6.2.6.2.1. Planification
Un serveur DNS est primordial dans un domaine car sans lui rien ne peut fonctionner.
C’est pourquoi, à la vue du tableau ci-dessus, pour les sites de l’entreprise situés en Belgique,
France, Canada et au Royaume-Uni où le nombre de Workstations est sensiblement élevé,
deux serveurs DNS ont été prévu afin de garantir la tolérance de pannes et permettre une
authentification rapide de tous les utilisateurs.
En effet, la disponibilité des DNS influe directement sur celle de l’Active Directory. Les
Workstations se basent sur ce service pour trouver un contrôleur de domaine ou tout autre
service réseaux (ex : global catalog) et celui-ci s’appuie sur cet outil pour identifier les
contrôleurs de domaine.
34
Afin de permettre cette disponibilité, il faut un serveur DNS par site, de plus, chaque serveur
doit être autoritaire sur celui-ci afin d’empêcher les clients d’interroger un DNS distant pour
connaître l’emplacement d’un contrôleur du même site.
La solution la plus simple et économique est d’utiliser le DNS intégré à l’Active Directory sur
un ou plusieurs contrôleurs de domaine d’un site.
Cette intégration du DNS dans l’annuaire renforce la sécurité du processus de résolution de
noms de diverses manières :
Les zones intégrées à Active Directory peuvent être dupliquées sur tous les contrôleurs
de domaine. Cela permet d'assurer la tolérance de panne puisque, si un contrôleur de
domaine connaît une défaillance, alors la résolution de noms sera toujours assurée ;
De plus l'intégration à Active Directory sécurise les transactions entre les serveurs
DNS. En effet, les zones DNS intégrées au service d'annuaire utilisent le mécanisme
de réplication Active Directory qui s'avère plus sécurisé que les échanges réalisés
entre des serveurs DNS utilisant des zones standards ;
Enfin les zones intégrées à Active Directory permettent de sécuriser les mises à jour
automatiques des ordinateurs clients (seuls les ordinateurs clients équipés de Windows
2000/XP/2003 peuvent faire des mises à jour automatiques). En effet, si les mises à
jours automatiques sont activées, seuls les ordinateurs clients membres du domaine
peuvent mettre à jour automatiquement leurs enregistrements A et PTR ;
Maintenant que la planification est terminée, nous pouvons passer à la configuration des
serveurs DNS.
Ces serveurs seront configurés avec un Forwarder qui leur permet d’envoyer la requête DNS à
un autre serveur DNS ayant un niveau hiérarchique plus élevé afin de répondre à la demande
émise.
6.2.6.2.2. Configuration
Chaque serveur DNS possède donc une zone intégrée à l’Active Directory (ADI).
ASBEDC1
Une zone ADI : automaticsystems.be
Forwarder : DNS du fournisseur Internet
ASBEDC2
Une zone ADI : automaticsystems.be
Forwarder : DNS du fournisseur Internet
ASESDC
Une zone ADI : automaticsystems.es
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASUSDC
Une zone ADI : automaticsystems.com
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
35
ASFRDC1
Une zone ADI : automaticsystems.fr
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASFRDC2
Une zone ADI : automaticsystems.fr
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASCADC1
Une zone ADI : automaticsystems.ca
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASCADC2
Une zone ADI : automaticsystems.ca
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASUKDC1
Une zone ADI : automaticsystems.co.uk
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
ASUKDC2
Une zone ADI : automaticsystems.co.uk
Forwarder : automaticsystems.be (ASBEDC1 et ASBEDC2)
Comme le réseau de l’entreprise Automatic Systems s'étend sur des sites géographiques
multiples (Belgique, France, Canada, Espagne, Etats-Unis, Royaume-Uni), les implications de
la conception et de la structure du réseau étendu sont très importantes vu l'impact que la
réplication de la base de données Active Directory peut avoir sur les contrôleurs de domaine
et les performances du réseau.
Cette topologie aide aussi à localiser l'endroit où placer les contrôleurs de domaine du réseau.
36
6.3.1. Sites
Un site est défini comme un ou plusieurs sous-réseaux TCP/IP « bien connectés ».
Le terme « bien connectés » signifie que la connexion est fiable et rapide.
L’administrateur du réseau configure l’accès à l’Active Directory et la topologie de
duplication pour tirer parti du réseau physique.
Remarque :
Plusieurs domaines peuvent être présents à l’intérieur d’un seul site et plusieurs sites peuvent
appartenir à un seul domaine.
Ces deux situations sont autorisées dans l’Active Directory.
Le bon fonctionnement de l’Active Directory dépend de la réplication des données entre tous
les contrôleurs de domaine.
En effet, l’Active Directory fonctionne suivant le principe de la réplication multi-maître
(multi-master) et chaque contrôleur de domaine peut être utilisé pour modifier les objets du
domaine (création d’utilisateurs, modification de stratégie, …) via la copie de l’Active
Directory.
Il existe différents rôles liés à l’Active Directory et qui sont nécessaires au bon
fonctionnement de la forêt.
Pour éviter la surcharge d’un contrôleur de domaine, ces différents rôles sont distribués sur
différents contrôleurs de domaine en fonction de règles spécifiques.
Les serveurs assurant un ou plusieurs de ces rôles, sont appelés : Single Master Operations.
37
6.3.3. Global catalog & logon process
Le catalogue global (global catalog) reprend tous les objets et quelques attributs de base de la
totalité de la forêt définis dans le schéma (exemple : nom de connexion, email, nom, prénom
de l’utilisateur).
Il possède également toutes les informations nécessaires pour localiser tous les objets dans
l’Active Directory.
Il est construit automatiquement lors de l’installation de l’annuaire en se basant sur le schéma.
En effet, le catalogue contient le schéma et la configuration des partitions de l'Active
Directory.
Le global catalog permet également l’authentification des utilisateurs entre les différents
domaines de l’entreprise.
C’est pourquoi, au moins un catalogue global doit être présent sur tous les sites de la société.
Le catalogue global permet aux clients Active Directory d'ouvrir une session sur le réseau.
Mais, si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus
d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter qu'à l'ordinateur local (et
non au réseau). L'unique exception à cette règle concerne les utilisateurs membres du groupe
des administrateurs de domaine, qui sont en mesure d'ouvrir une session sur le réseau même si
aucun catalogue global n'est disponible.
De plus, si un utilisateur utilise son UPN (User Principal Name) pour ouvrir une session et
que le contrôleur de domaine ne possède pas les informations relatives au compte
d’authentification de l’utilisateur, un global catalog est nécessaire.
38
6.3.4. Single Master Opérations
6.3.4.1. Définition
Un contrôleur de domaine exécutant une ou plusieurs Single Master Operations est appelé :
Operations Master (Maître d’opérations).
Chaque forêt de l’Active Directory doit avoir un domaine contrôleur exécutant tous les rôles
master operations :
Rôles Forest-Wide :
1. Schema Master :
Contrôle toutes les modifications du schéma.
Il y en a un seul par forêt.
2. Domain Naming Master :
Attribue l’identifiant du domaine (DID).
Contrôle l’ajout et la suppression des domaines dans la forêt.
Doit obligatoirement fonctionner avec un global catalog.
Il y en a un seul par forêt.
Par défaut, ces rôles sont exécutés par le premier contrôleur de domaine de la forêt.
Rôles Domain-Wide :
3. Infrastructure Master :
Il garde un historique du SID, GUID, DN de tous les objets modifiés,
déplacés et renommés dans l’Active Directory.
Il y en a un par domaine.
Attention, le rôle infrastructure master ne peut pas tourner sur un server
global catalog, sauf en présence d’un seul domaine.
39
6.3.4.2. Représentation graphique
Schéma
Mais dans la réalité, chaque contrôleur de domaine présent sur un domaine possède seulement
le schéma, la configuration globale, tous les objets et tous les attributs relatifs à son propre
domaine.
Configuration globale
(Global Config)
Schéma
4
Cette notion sera développée dans la partie intitulée : Processus de réplication.
40
- Base de données de l’Active Directory présente sur le contrôleur de domaine d’un
domaine et possédant le rôle de catalogue global
Configuration globale
(Global Config)
Schéma
Par défaut, quand une forêt Active Directory est déployée pour la première fois, elle ne
contient qu'un seul site nommé « Default-First-Site-Name ».
L'administrateur peut configurer un autre site manuellement mais ce n’est pas conseillé afin
de pouvoir revenir en arrière en cas d’erreur.
Si cette configuration manuelle n’a pas été effectuée, tous les serveurs et ordinateurs des
utilisateurs (Workstations) de la forêt sont considérés comme membres du « Default-First-
Site-Name ».
Lorsque plusieurs sites sont définis, l'administrateur doit définir les sous-réseaux présents
dans l'organisation et les associer à des sites Active Directory.
41
6.3.4.3.2. Knowledge Consistency Checker (KCC)
Le KCC est un algorithme incorporé dans chaque contrôleur de domaine, il est responsable de
l’installation, de la vérification et des modifications à effectuer sur la topologie de réplication
de l’Active Directory, c'est-à-dire, la configuration formée par les connexions qui répliquent
les données d'annuaire entre les contrôleurs de domaine.
Il crée les connexions entre les différents contrôleurs de domaine et les modifie
automatiquement en cas de problème et décide de la route à prendre pour effectuer la
réplication.
L’administrateur réseau peut également créer manuellement de nouvelles connexions.
Le but du KCC dans ce type de réplication est de pouvoir joindre tous les contrôleurs de
domaine d’un site en maximum trois sauts, si ce n’est pas possible, il créera un shortcut
(raccourci) entre les contrôleurs de domaine non joignables.
Exemples d’illustration :
2ème saut
DC2 DC3
DC1
DC4
DC5
Dans cette situation, il n’y a pas eu de création de shortcut car tous les contrôleurs de domaine
on pu être atteint en maximum trois sauts à partir du contrôleur de domaine ayant subi une
modification (DC1 dans notre exemple).
42
2. Sept contrôleurs de domaine au sein d’un domaine
2ème saut
DC2 DC3
Shortcut
(1er saut)
DC1 DC4
2ème saut
1er saut 2ème saut
Dans ce cas, le KCC ne peut pas joindre tous les contrôleurs de domaine au bout de
maximum trois sauts, c’est pourquoi l’algorithme doit créer un shortcut reliant le
contrôleur de domaine ayant subi une modification et celui non joignable en trois sauts
(dans notre exemple, le shortcut a été créé entre le DC1 et DC5).
43
6.3.4.3.4. Réplication entre sites
L'implémentation de plusieurs sites dans le réseau d'une entreprise apportera les avantages
suivants :
La bande passante de la liaison séparant les sites sera utilisée efficacement lors de la
réplication.
La réplication entre les sites pourra être contrôlée de manière très précise.
Le processus d'authentification sera optimisé (les clients s'authentifieront sur l'un des
contrôleurs de domaine se trouvant sur le même site qu'eux).
La géographie : l’administrateur doit définir en tant que site distinct chaque zone
géographique qui nécessite un accès rapide aux données d'annuaire. Ainsi, tous les
utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin.
Les contrôleurs de domaine et catalogues globaux : au moins un contrôleur de
domaine doit être installé dans chaque site et au minimum un contrôleur de domaine
doit remplir le rôle de catalogue global dans chaque site. En effet, les sites qui n'ont ni
leurs propres contrôleurs de domaine, ni de catalogue global dépendent des autres sites
pour obtenir leurs données d'annuaire et sont donc, par définition, moins efficaces car
ils utilisent plus de ressource réseau.
Les connexions réseau entre sites sont représentées par des liens de sites (site links), c'est-à-
dire, par une connexion à faible bande passante ou non fiable entre (au moins) deux sites.
Lorsque l’entreprise possède plusieurs sites, les sites connectés par des liens de sites
s'intègrent à la topologie de réplication.
Dans un réseau Windows Server 2000/2003, les liens de sites ne sont pas générés
automatiquement, c’est l’administrateur réseau qui doit les créer à l'aide de l'outil Sites et
services de l’Active Directory.
Cette réplication entre sites est de type « Pull », c'est-à-dire, que si un contrôleur de domaine
subit une modification, il envoie aux autres contrôleurs de domaine des autres sites et/ou de
son site, une notification qui leur indique qu’il y a une évolution des données de l’annuaire à
venir chercher. Cette réplication s’effectue toutes les 180 minutes par défaut, ce temps est
modifiable et l’administrateur réseau peut également forcer cette réplication.
Le KCC (Knowledge Consistency Checker) sélectionne dans chaque site un Bridge Server
(serveur pont) qui est un serveur choisi de préférence pour la réplication (ce rôle peut
également être rempli par un contrôleur de domaine).
De plus, chaque lien de site est associé à un coût qui permet au KCC de déterminer par quel
lien physique (connexion) la réplication s’effectuera, en effet, le Knowledge Consistency
Checker choisira le lien ayant le moindre coût.
Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont
répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-site.
44
En plus de tout cela, par défaut, tous les liens de sites sont reliés les uns aux autres par le
KCC, ce type de lien est appelé : Site link Bridges.
Imaginons une entreprise possédant deux sites, un situé en Belgique et l’autre au Canada, et
équipé chacun de deux contrôleurs de domaine, cette situation se représente comme suit :
45
6.3.5. Planification de la topologie physique Active Directory de
l’entreprise
Avant de pouvoir se lancer dans l’analyse de cette topologie physique, il faut tout d’abord
relever les informations relatives aux différents sites de l’entreprise.
Ces informations se présentent comme suit :
Lieu géographique où se
trouvent les sites de Nombre de Workstations Nombre de serveurs
l’entreprise
Wavre 200 20
Aartselaar 10 2
Gembloux 6 1
Solvay 10 1
Andenne 3 0
Rungis 70 6
Blyes 8 1
Aix 4 1
Espagne 11 2
Canada 25 4
Etats-Unis 18 2
Royaume-Uni 50 3
A la vue de ce tableau, l’équipe IT peut facilement déterminer les sites les plus importants de
l’entreprise qui sont : Wavre, Rungis, Canada, et Royaume-Uni.
Sur ces quatre sites, il faudra prévoir deux contrôleurs de domaine afin de garantir la tolérance
de pannes et la rapidité d’authentification des utilisateurs ; en effet, si sur un de ces sites les
utilisateurs ne pouvaient plus se connecter, cela engendrerait une perte énorme pour
l’entreprise.
Suite à cette comptabilisation des serveurs et des machines des utilisateurs (Workstations) en
rapport avec les différents sites de la société, il faut maintenant établir le schéma des
connexions physiques mise en place entre les différents sites de l’entreprise afin de pouvoir
établir la topologie physique de réplication de l’Active Directory au sein de l’entreprise
Automatic Systems.
46
Ce schéma est établi comme suit :
Canada
SDSL Gemloux
SDSL SDSL
ADSL
OFFICE ADSL PRO
Solvay
SDSL ADSL
CLASSIQUE
SDSL Andenne
ADSL
CLASSIQUE
SDSL
SDSL
ADSL
SDSL Wavre OFFICE
Aix SDSL ADSL SDSL
CLASSIQUE
Aartselaar
ADSL PRO
Rungis Blyes
Internet
ADSL PRO
ADSL PRO
ADSL PRO
Comme on peut le remarquer sur ce schéma, les sites de l’entreprise situés en Belgique, en
France et au Canada sont connectés directement au site de Wavre par des canaux VPN
(Virtual Private Network : Réseau privé virtuel).
47
Un réseau VPN repose sur un protocole appelé "protocole de tunneling" ou protocole
d’encapsulation.
Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un
bout à l'autre du tunnel.
Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur
entreprise.
Le principe du VPN consiste à construire un chemin virtuel après avoir identifié l'émetteur et
le destinataire.
Ce type de réseau simule un réseau privé alors qu'ils utilisent en réalité une infrastructure
d'accès partagée, comme internet, par exemple.
Cependant, les sites de l’entreprise Automatic Systems, situés en Espagne, aux Etats-Unis et
au Royaume-Uni, ne peuvent pas se permettre de relier leurs réseaux locaux distants par une
ligne spécialisée comme le VPN car ce type de réseau permet d’obtenir une liaison sécurisée à
moindre coût, mais pour permettre son fonctionnement, il requiert la mise en place
d’équipements terminaux.
C’est pourquoi le moyen de relier les sites situés en Espagne, aux Etats-Unis ainsi qu’au
Royaume-Uni à la maison-mère située à Wavre nécessite donc l'utilisation de l’internet
classique comme support de transmission.
Un site étant défini comme un ou plusieurs sous-réseaux TCP/IP « bien connectés », il faut
attribuer à l’ensemble des sites de la société Automatic Systems une adresse réseau comme
par exemple : 192.168.0.0.
Pour ce faire, l’équipe IT utilise des adresses réseaux de classe B et C pour identifier les
différents réseaux de l’entreprise.
De plus, afin de rendre cohérent l’organisation des sites par pays, si plusieurs sites de la
société sont présents dans le même pays, nous avons décidé d’utiliser des adresses de sous
réseaux.
Chaque adresse réseau est accompagnée d’un masque de sous-réseau de 255.255.255.0 (/24)
qui va permettre aux ordinateurs ayant une adresse IP avec les 3 premiers octets identiques de
communiquer ensemble.
Exemple : l'ordinateur possédant l'adresse IP 192.168.0.1 pourra communiquer avec une autre
machine ayant une adresse IP telle que 192.168.0.2, mais pas 192.168.1.2.
Avec cette manière de procéder, nous pouvons facilement identifier en lisant l’adresse réseau
d’un site dans quel pays se trouve le site en question.
48
Site Réseau associé au site
Wavre 172.16.0.0/24
Aartselaar 172.16.3.0/24
Gembloux 172.16.4.0/24
Solvay 172.16.2.0/24
Andenne 172.16.1.0/24
Rungis 192.168.100.0/24
Blyes 192.168.102.0/24
Aix 192.168.101.0/24
Espagne 194.78.100.0/24
Canada 195.70.100.0/24
Etats-Unis 178.12.50.0/24
Royaume-Uni 174.10.100.0/24
ASAARDC ASGEMDC
172.16.3.1/24 172.16.4.1/24
ASSOLDC
172.16.2.1/24
Aartselaar Gembloux
ASFRDC1 172.16.3.0/24 172.16.4.0/24 Solvay ASANDDC
192.168.100.1/24 172.16.2.0/24 172.16.1.1/24
ASFRDC2
192.168.100.2/24
Andenne
Site Link Site Link
Wavre - Aartselaar Wavre - Gembloux Site Link 172.16.1.0/24
coût 50 coût 50 Wavre - Sovay
Rungis coût 50
49
Ce schéma est basé sur une topologie en étoile, il n’y a qu’un seul chemin de réplication.
En effet, le site de Wavre étant la maison-mère de l’entreprise, c’est elle qui va distribuer
toutes les réplications à tous les autres sites.
Imaginons qu’une modification soit effectuée dans l’Active Directory d’un contrôleur de
domaine situé sur le site du Canada, la réplication va d’abord s’effectuer au sein de ce site
pour ensuite être envoyée à celui de Wavre qui lui s’occupe de transférer les nouvelles
informations vers l’ensemble des autres sites.
Chaque site de la société est relié à la maison-mère située à Wavre par un site link (lien de
site) afin d’établir une connexion et de permettre la réplication.
Seuls les sites les plus importants de l’entreprise comme celui de Rungis, du Canada et du
Royaume-Uni possèdent un site link dédoublé avec un coût de réplication plus élevé, ce qui
garantit en cas de panne d’avoir un lien de secours qui prendra le relais.
De cette façon, ces importants sites seront toujours opérationnels.
En effet, si ceux-ci venaient à ne plus être accessibles, cela impliquerait une perte
considérable pour la société.
Sur base de cette topologie de réplication et de l’analyse logique, nous pouvons dès à présent
répartir les rôles de chaque contrôleur de domaine au sein de la forêt « automaticsystems.be ».
50
ASSOLDC 172.16.2.1/24 Global Catalog
51
7. Installation de l’Active Directory
7.1. Matériel requis
Avant de pouvoir se lancer dans l’installation de l’Active Directory, nous devons avant tout
configurer les adresses IP de l’ensemble des contrôleurs de domaine en adresse IP statique.
Le tableau ci-dessous reprend la globalité des adresses et les masques de sous-réseau en
fonction du nom du contrôleur de domaine :
52
Afin de démarrer l’assistant d’installation de l’Active Directory, il faut dans la fenêtre
« Run » encoder : DCPROMO comme illustré ci-dessous :
La seule option à ce stade qui nous permet de poursuivre l’installation est de cliquer sur Next.
53
La fenêtre suivante nous informe à propos de la compatibilité des différents systèmes
d’exploitation pour les clients du domaine.
Après avoir validé l’étape précédente en cliquant sur Next, la fenêtre ci-dessous apparaît :
54
Nous sommes ici en présence de deux choix possibles :
Le tableau ci-dessous précise l’option à choisir pour chaque serveur à installer au sein de la
société Automatic Systems :
Une fois le choix validé par l’intermédiaire du bouton Next, nous sommes maintenant face à
une situation qui varie en fonction de l’option choisie.
55
7.2.1. Domain controller for a new domain
L’installation se poursuit comme suit :
Face à ces trois options, nous devons faire attention au choix à effectuer.
En effet, en se référant à l’analyse de la nouvelle structure logique de l’entreprise, nous
pouvons en déduire que le seul serveur pour lequel l’option Domain in a new forest sera
choisie est ASBEDC1.
Ce serveur ASBEDC1 sera le seul Domain Controller Root (contrôleur de domaine racine) de
la forêt.
Comme cette nouvelle topologie logique de la société est basée sur six arbres différents
appartenant à une seule forêt, l’option à sélectionner pour tous les autres contrôleurs de
domaine est Domain tree in an existing forest.
56
La validation de la fenêtre précédente s’effectue via le bouton Next.
Nous devons maintenant indiquer le nom du domaine sur lequel le serveur exercera la
fonction de contrôleur de domaine racine :
Le nom de domaine racine de la forêt à encoder dans cette fenêtre est le suivant :
automaticsystems.be
57
Dans la fenêtre suivante, nous devons fixer le nom NETBIOS du domaine racine de la forêt
qui est AS_BE pour le domaine automaticsystems.be :
Remarque :
Netbios est un protocole de transfert de fichiers utilisé principalement par Microsoft.
En réalité, on est en présence d’un système de nommage et d’une interface logicielle qui
permettent d'établir des sessions entre les différents ordinateurs d'un réseau.
58
Nous confirmons les informations à l’aide du bouton Next.
59
La poursuite de l’installation continuera après avoir validé les informations au moyen du
bouton Next.
Une fois cette étape franchie par l’intermédiaire du bouton Next, nous devons maintenant
choisir le type de permission par défaut pour les utilisateurs et les groupes.
Comme nous sommes exclusivement dans un domaine Windows server 2003, l’option choisie
sera dans tous les cas : Permission compatible only with Windows 2000 or Windows
Server 2003 operating systems :
60
Après avoir franchi cette étape au moyen du bouton Next, nous devons encoder le mot de
passe de l’administrateur autorisant celui-ci à démarrer l’Active Directory en mode
restauration pour la forêt :
61
Une fois la fenêtre précédente validée à l’aide du bouton Next, l’assistant d’installation de
l’Active Directory nous offre un résumé des différentes informations encodées au cours de la
procédure d’installation :
Cette étape validée grâce au bouton Next, le processus d’installation peut commencer :
62
A la fin de cette procédure, l’assistant nous informe que tout c’est bien déroulé comme
présenté ci-dessous :
ASFRDC1
ASUKDC1
ASESDC
ASUSDC
ASCADC1
Avant de commencer, il faut tout d’abord savoir que cette installation diffère légèrement par
rapport à celle d’un contrôleur de domaine pour une nouvelle forêt décrite précédemment.
En effet, dès que ce choix est validé au moyen du bouton Next, nous sommes confrontés à
une fenêtre jamais apparue auparavant :
63
Dans cette dernière, nous sommes invités à encoder le nom de l’administrateur, le mot de
passe et le domaine racine (automaticsystems.be) définit lors de l’installation du premier
contrôleur de domaine de la forêt (ASBEDC1).
En effet, seul l'administrateur de la forêt peut ajouter un nouvel arbre à la forêt existante.
64
La fenêtre suivante nous invite à préciser le nom de domaine du nouvel arbre à créer :
Après avoir validé cette fenêtre via le bouton Next, les étapes suivantes sont rigoureusement
identiques par rapport à celles présentées lors de l’installation du premier contrôleur de
domaine de la forêt, à savoir :
65
Renseigner l’emplacement d’installation du répertoire (NTDS) de la base de données
et des fichiers log (journal).
Sélectionner l’option : Install and configure the DNS server on this computer, and
set this computer to use this DNS server as its preferred DNS server.
Tout d’abord, nous sommes face à une fenêtre dans laquelle nous devons encoder le nom de
l’administrateur, le mot de passe et le nom du domaine racine de la forêt
(automaticsystems.be).
66
En effet, lorsque nous devons configurer des paramètres au sein d’un domaine, il faut toujours
spécifier, lors de l’authentification sur le serveur, les informations relatives à l’administrateur
de la forêt car c’est lui qui possède les pleins pouvoirs au sein de celle-ci.
Lors de la validation de la fenêtre précédente via le bouton Next, l’étape suivante consiste à
choisir le nom de domaine dans lequel nous souhaitons ajouter un contrôleur de domaine
supplémentaire :
Suite à la validation de la fenêtre précédente au moyen du bouton Next, nous devons indiquer
l’emplacement d’installation du répertoire (NTDS) de la base de données et des fichiers log
(journal) :
67
Une fois cette étape franchie par l’intermédiaire du bouton Next, nous devons maintenant
spécifier l’emplacement d’installation du répertoire Sysvol :
68
Après avoir validé l’étape précédente via le bouton Next, nous devons encoder le mot de
passe administrateur autorisant ce dernier à démarrer l’Active Directory en mode
restauration :
Une fois cette étape validée au moyen du bouton Next, l’assistant d’installation nous propose
un résumé des différentes valeurs encodées au cours de la procédure d’installation, une fois
celui-ci validé, le processus d’installation débute :
69
7.3. Vérification de l’installation de l’Active Directory
Afin de vérifier si l’installation s’est correctement déroulée, nous devons examiner trois
aspects importants :
1. Contrôler la présence des enregistrements SRV dans l’interface DNS des serveurs :
70
7.4. Ajout d’un serveur DNS au sein d’un domaine existant
Comme décrit dans la partie se référant à la planification des serveurs DNS pour les sites de
l’entreprise situés en Belgique, France, Canada et au Royaume-Uni, deux serveurs DNS ont
été prévus afin de garantir la tolérance de pannes et permettre une authentification rapide de
tous les utilisateurs.
ASBEDC2
ASFRDC2
ASUKDC2
ASCADC2
Afin de configurer un serveur DNS supplémentaire au sein d’un domaine, nous allons
procéder comme suit :
Tout d’abord, nous devons activer la fenêtre intitulée Add or remove Programs (Ajout ou
suppression de programmes) dans le panneau de configuration du serveur :
Ensuite, nous devons cliquer sur l’onglet Add/Remove Windows Components afin
d’installer le service DNS.
71
Face à cette nouvelle fenêtre, nous sélectionnons Networking Services :
Cette sélection nous ouvre une nouvelle fenêtre dans laquelle nous allons choisir Domain
Name System afin d’installer le service DNS :
72
Maintenant que le service est installé et du fait que ce serveur est un DNS secondaire, nous
devons vérifier les paramètres réseaux afin que celui-ci pointe sur lui-même et sur le serveur
DNS primaire ; de cette façon, s’il ne possède pas les informations demandées par le client, il
ira questionner le serveur DNS primaire et rapatriera les données manquantes chez lui.
73
8. Administration de l’Active Directory
L’administration des ressources réseau de l’entreprise Automatic Systems au moyen de
l’Active Directory se décline principalement au travers de quatre interfaces :
74
La topologie de réplication des sites contrôle :
Tous les contrôleurs de domaine qui viennent d'être promus sont placés dans le conteneur Site
qui leur est associé à l'installation.
En effet, lorsque le premier contrôleur de domaine (ASBEDC1) a été installé, nous avons créé
dans cette interface tous les sites appartenant à la société Automatic Systems lesquels ont été
associés à un sous-réseau décrit dans l’analyse physique.
De plus, nous avons également construit, via cette interface, les Site Link reliant les sites de la
société les uns aux autres.
Cette manière de procéder nous permet de vérifier si tout se déroule bien lors de l’installation
des autres contrôleurs de domaine ; en effet, une fois ces derniers installés ils sont
automatiquement placés dans le site associé à son masque de sous-réseaux en fonction de son
adresse IP.
Pour résumer, nous utilisons l’interface Active Directory Sites and Services pour effectuer les
opérations suivantes :
Visualiser les connexions entre les différents contrôleurs de domaine de tous les sites
de la société.
En effet, pour que deux contrôleurs de domaine effectuent une réplication
bidirectionnelle, une connexion doit relier le premier serveur au second et une
connexion complémentaire doit relier le second serveur au premier.
Ces connexions sont appelées connecteurs et ces derniers doivent être créés
automatiquement lorsque tous les contrôleurs de domaine de l’entreprise sont installés.
75
Pour ce faire, nous devons procéder comme suit :
76
8.2. Active Directory Domains and Trusts
L’interface Domains and Trusts nous offre la possibilité de visualiser la structure logique de
l’entreprise réalisée lors de l’établissement de la nouvelle structure logique de l’entreprise.
77
En effet, cette interface nous présente les différents arbres créés :
1. automaticsystems.be
2. automaticsystems.fr
3. automaticsystems.es
4. automaticsystems.ca
5. automaticsystems.com
6. automaticsystems.co.uk
De manière générale, l’interface Domains and Trusts nous permet d’accomplir les tâches
suivantes :
Etant donné que nous sommes confrontés à une nouvelle installation de la forêt pour
la société Automatic Systems, tous les contrôleurs de domaine exécuteront donc la
version Windows Server 2003, ce qui nous permet alors de confirmer que tous les
domaines de cette forêt fonctionneront en mode Windows Server 2003.
1. Windows 2000
2. Windows Server 2003 Interim
3. Windows Server 2003.
La forêt que nous avons construite pour la société Automatic Systems dénommée
« automaticsystems.be », étant uniquement composée de domaines fonctionnant en
mode Windows Server 2003, nous pouvons affirmer que cette dernière fonctionnera
en mode Windows Server 2003.
78
Gérer les relations entre les domaines (créer, supprimer des relations) :
79
Illustration de cette procédure :
80
8.3. Active Directory Users and Computers
Nous utilisons l’interface Active Directory Users and Computers dans le cadre de
l’administration de la structure logique de la société Automatic Systems.
Lors de l’installation de l’Active Directory, plusieurs conteneurs par défaut sont créés comme
par exemple : Computers, Domain Controller, …
En plus de ces conteneurs par défaut, nous avons décidé d’organiser les objets contenus dans
l’Active Directory de la société en unités logiques (unités d’organisation).
En effet, nous avons créé au sein de cette interface toutes les unités d’organisation pour
chaque domaine en fonction de l’analyse logique effectuée précédemment.
Nous avons donc agencé l’ensemble des ressources réseau de l’entreprise de manière
cohérente.
Outre de pouvoir créer ces unités d’organisation, cette interface nous permet de réaliser
plusieurs tâches :
81
Création d’un compte utilisateur.
Cette fonctionnalité est très importante.
En effet, elle nous permet de créer les utilisateurs appartenant à la société dans les
unités d’organisation adéquates en fonction de leur département de travail.
Nous pouvons, par la suite, attribuer les autorisations nécessaires à ces derniers afin
qu’ils puissent accéder aux ressources présentes sur le réseau de l’entreprise.
Nous devons nous positionner sur l’unité d’organisation désirée, effectuer un clic droit
sur celle-ci et sélectionner New User.
Plusieurs informations concernant cet utilisateur sont alors exigées :
82
Parmi toutes les propriétés proposées, les plus importantes sont :
o Profile Tab : cette partie permet de définir un script qui s’exécute lors de la
connexion de l’utilisateur, de spécifier le répertoire de travail de celui-ci.
83
La mise en place des groupes d’utilisateurs.
Lors de la création des différentes unités d’organisation, une parmi celles-ci a été
nommée « Groupes d’utilisateurs (accès aux ressources) » afin de pouvoir y créer
tous les groupes d’utilisateurs.
De cette façon pour des raisons de clarté, nous ne mélangeons pas les groupes et les
utilisateurs.
Une question est en suspens : Pourquoi devons-nous créer des groupes d’utilisateurs ?
En plus d’être décomposé en deux parties, ces groupes sont également divisés en trois
types :
2. Domain local group (DLG) : regroupe des utilisateurs et/ou des global group de
différents domaines.
Ce genre de groupe est utilisé pour garantir aux utilisateurs un accès à des
ressources réseau.
Création sur la machine où se trouve la ressource.
3. Universal group (UG) : rassemble des utilisateurs et/ou des global group de
différents domaines.
Contrairement au domain local group, ce type de groupe est destiné à organiser
les utilisateurs.
Création sur le domaine.
Utilisation Contenu
Global Group globale Local
Domain Local Group locale Global
Universal Group globale Global
84
Afin de créer un groupe, nous devons suivre cette procédure :
Signification :
Cette règle nous indique l’ordre à suivre afin de créer un groupe d’utilisateurs :
1. Créer l’utilisateur.
2. Attribuer cet utilisateur à un global group.
3. Assigner ce global group à un domain local group.
4. Fournir des permissions à ce domain local group.
Remarque :
Il existe au sein de l’Active Directory plusieurs groupes spéciaux et, par conséquent, des
utilisateurs spéciaux :
- Built-in LG : est assigné à tous les contrôleurs de domaine et contient des groupes
tels que : Account Operators, Server Operators, Print Operators.
- Built-in GG est composé de groupes destinés aux utilisateurs spéciaux : Domain
Users, Domain Admins, Domain Guests, Entreprise Admins, Group Policy, Creator
Owner, Schema Admins.
- Quelques groupes système tels que : Everyone, Creator Owner, Network, Interactive.
85
Affectation des rôles Relative Identifier (RID), Primary Domain Controller
Emulator (PDC), Infrastructure Master (IM).
Pour se faire au sein de l’interface Users and Computers, nous devons effectuer un clic
droit sur le nom de domaine concerné, sélectionner Operations Masters ; ensuite, nous
devons choisir le rôle à affecter au serveur via les onglets disponibles.
La validation du changement de rôle s’effectue via le bouton « Change ».
86
8.4. Active Directory Schema Editor
Contrairement aux trois autres interfaces décrites jusqu’à présent, cette quatrième n’est pas
disponible en tant que telle dans les outils de gestion fournis par Microsoft ; cette dernière
doit être créée avant de pouvoir être utilisée.
87
Illustration de cette procédure :
88
89
Affectation du rôle Schema Master au serveur ASBEDC1.
90
9. Conclusion
Le projet confié à l’équipe IT visant à centraliser l’administration des ressources réseau des
différents sites de la société Automatic Systems sur la maison-mère située à Wavre au moyen
de l’Active Directory est maintenant terminé.
Cette étude a ensuite débouché sur l’analyse de l’existant de la société afin de pouvoir établir
une nouvelle structure logique de la société en fonction du but à atteindre.
Suite à l’établissement de cette nouvelle topologie logique, nous avons pu mesurer les
avantages et inconvénients engendrés par une telle structure.
La suite inévitable de cette étape a été axée sur l’analyse de la structure physique afin de
répartir au mieux les serveurs au sein des différents sites de la société.
L’équipe IT a dû, avant de pouvoir déployer l’analyse effectuée sur la structure logique de la
société, préparer les différents serveurs en installant, sur ceux-ci, le système d’exploitation
Windows Server 2003 Standard Edition.
Il a été question ensuite d’implémenter cette nouvelle structure logique sur les différents
serveurs désignés lors de l’analyse de la topologie physique de l’entreprise.
Cette implémentation n’a pas été de tout repos ; en effet, l’équipe IT a rencontré quelques
problèmes (mauvaise synchronisation des serveurs entre eux) lors de la mise en place de
l’Active Directory sur ceux-ci.
Une fois l’implémentation terminée, nous avons testé si l’avantage principal décrit lors de
l’analyse de ce projet était bien présent, à savoir l’administration centralisée des ressources
réseau.
Ce fut un succès !
91
10. Annexes
92
93
94
95
96
97
Annexe 2 : Organigrammes des différentes filiales de l’entreprise Automatic Systems
98
99
100
101
102
Annexe 3 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.be »
103
Annexe 5 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.es »
104
Annexe 7 : Interface Active Directory Users and Computers pour le domaine
« automaticsystems.co.uk »
105
11. Bibliographie
Ouvrage :
Mark Minasi, Christa Anderson, Michele Beveridge, C.A. Callahan et Lisa Justice :
Windows Server 2003, éditions Eyrolles, 2003
Sites internet :
http://www.laboratoire-microsoft.org/
http://www.microsoft.com
http://www.commentcamarche.com
http://support.microsoft.com
106