Active Directory

LActive Directory
Active Directory :
Plan
Concepts Espace de noms Topologie Rseau dagence W2000 vs WS2003 Outils Utilisateur
Formation Master II Pro 2
Active Directory :
Philosophie
Formation Master II Pro
Active Directory :
Concepts
Le schma
Tout lment de lAD est un objet dot dattribut Les dfinitions des classes et des attributs sont
accessibles via le Schma Utilisation :
Extensible (ajouts dobjet ou dattribut) interoprabilit Ex : lobjet utilisateur a un attribut e-mail
Active Directory :
Concepts
partitions
Les partitions sont des conteneurs dans lesquels sont conservs un type de donnes
partition du domaine :
Objet du domaine commun tous les serveurs
Partition de la configuration :
Information de configuration de la fort, commun tous les contrleurs de la fort
Partition du schma :
Schma de lAD, sur tous les contrleurs
Partition de lapplication :
Peut tre cre avec des objets de tout type sauf de scurit (user, groupe, ordi) peut tre rplique sur nimporte quel ensemble de contrleurs dans la fort
Active Directory :
Concepts
Domaine
frontire de scurit et de rplication Lannuaire associ chaque domaine est disponible sur 1 ou plusieurs serveurs du domaine Il est possible de crer des arborescence de domaines A chaque domaine est associ un nom
Ex : polytech.univ-montp2.fr
Active Directory :
Concepts
Architecture logique
Arbre : ensemble de domaines situ sous une racine unique formant un espace de noms contigus Fort : ensemble darbres ne formant pas un espace de noms continus Fort
p1.com Arbre
p2.com Arbre
Active Directory :
Concepts
Caractristiques dune fort

Dans une fort les domaines partagent : Un mme schma Une mme partition de configuration Un mme catalogue global Dans une fort, les domaines sont lis entre eux par des relations dapprobations : Transitives Bidirectionnelles
Active Directory :
Concepts
Relations dapprobation
Les relations dapprobation entre domaines W2000 utilisent Kerberos et sont :
Implicites, transitives et bidirectionnelles
NT 4.0
W2000 W2003
Active Directory :
Concepts
Catalogue global
Utilisation : permet de localiser rapidement nimporte quel objet
sans connatre son emplacement dans larborescence Est prsent dans chaque domaine
Il contient une rplique partielle (nb rduit dattribut) dobjets de lannuaire
10
Active Directory :
Concepts
Units organisationnelles
Conteneurs dobjets de type utilisateurs, groupes, ordinateurs Dfinies dans un domaine Utilisation :
Organisations des donnes Dlgation des droits pour ladministration Application des stratgies de groupe
11
Active Directory :
Concepts
Fonctions des serveurs

Un serveur WNT peut tre : Contrleur principal de domaine (PDC) Contrleur secondaire de domaine (BDC) Serveur membre Un serveur W2000/WS2003 peut tre : Contrleur de domaine (DC) Serveur membre
12
Active Directory :
Conception de lespace de noms
13
Active Directory : Conception de lespace de noms
Dfinition de lespace de noms

Doit se rapprocher des topologies idales Doit dboucher sur un dcoupage utile :
Espace de noms des domaines et DNS Topologies dOU Topologies de sites
14
Combien de forts ?
Au dpart une fort ! Pour crer une fort de + il faut des arguments :
Ncessit de prserver des schmas distincts Refus de dvoiler une topologie de domaines Dsaccord sur la composition des groupes sensibles Administrateur de Schma Administrateur de lEntreprise Souhait de conserver le contrle des approbations
15
Contraintes du nombre de forts

Un domaine ne peut pas changer de fort Dplacement dobjet : On sait migrer des objets dun domaine un autre Mais ce nest pas anodin ! On ne sait pas interroger le Catalogue Global dune autre fort moins de passer par un Mta Annuaire!!
16
Combien de domaines
Au dpart un domaine Un domaine de plus, il faut argumenter : Dlgation ne suffit pas Ncessit de mettre en place des stratgies
spcifiques :
Gestion des mots de passe Verrouillage des comptes Gestion des tickets Kerberos
Soucis doptimisation de la rplication Restructuration prvue, mais + tard

Dfinition de la racine de la fort

Le 1er domaine cr est la racine de la fort Il donne son nom la fort Il hberge 2 groupes sensibles :
Admins de lEntreprise Admins du Schma
Choix du domaine Racine :

A choisir parmi les domaines dj dfinis Ou crer pour les besoins
Active Directory : Topologies dOU
Rles des Units Organisationnelles

Les OU peuvent servir : Organiser des objets Ne pas tout montrer tout le monde Dfinir des primtres de dlgation Dfinir des primtres dapplications pour les GPO Une OU contient des objets et pas des rfrences des objets A une OU correspond des scurits
19
Active Directory : Topologie de sites
Notion de site Active Directory

Quest ce quun site ? Ensemble machines bien communicantes Dfinit comme un agrgat de sous rseaux IP Suppose un subnetting gographique Qui utilise les sites ? Station pour localiser un DC proche KCC (Konsistency Coherence Checker) pour limiter
le trafic de rplication sur liaisons lentes Client DFS pour localiser un rpliqua proche Utilisateur pour localiser une imprimante proche
20
Active Directory : Topologie de sites
Dfinition dune topologie de rplication

Qui rplique avec qui (en inter sites) ? Tout automatique : le KCC fait tout Semi-automatique :
Fournir qques indices au KCC : Crer manuellement qques connexions Ajouter des liens de sites Designer des ttes de pont Crer toutes les connexions manuellement Inhiber le KCC
Tout manuel :
Active Directory : Rseau dagence
Installation depuis une sauvegarde

Avec W2000, lors de linstallation dun contrleur de domaine, une rplication complte de lAD est faite par le rseau Augmentation des cots de communication Expdition de contrleurs pr installs Avec WS2003, DCPROMO est capable dinstaller lAD partir dun sauvegarde de lannuaire : Seul le delta est rpliqu par le rseau
Optimisation de la rplication
W2000 : les attributs multi-valus (ex : groupes) sont stocks comme une valeur unique Ces attributs ont une taille limite. Ils sont rpliqus en bloc > consommation de bande passante inutile
WS2003 : rplication unitaire des modifications Suppression de la limite max des 5000 utilisateurs par
groupe, rconciliation en cas de mises jour concurrentes. Tous les contrleurs doivent tre en WS2003
23
Optimisation de la rplication
WS2000 : topologie de rplication inter sites auto gnre par lISTG (Inter Site Topology Generator) nest pas exploitable pour nb de sites > 250
Gnration manuel de la topologie de rplication
WS2003 : utilisation dun nouvel algo complexit lineaire au lieu de s2.

Tous les controleurs doivent en WS2003
Bridgehead Server entre sites

Load balancing des connexions
24
Active Directory : WS2003 versus W2000
Appartenance des attributs au GC

Avec W2000, lajout dattribut au GC engendre une synchronisation complte des copies du GC
Ncessit de paramtrer avant le dploiement des GC
Avec WS2003, seuls les attributs ajouts sont rpliqus, mais tous les contrleurs doivent tre en WS2003
25
Active Directory : Multi forts
Relation dapprobation
Avec WS2003 les relations dapprobation inter
forts rduisent la charge dadministration
Rel. Approb. A-B Rel. Approb. B-C
Fort A
Fort B
Fort C
26
Active Directory : WS2003
Niveau de fonctionnalit : domaines

Niveau de fonctionnalit W2000 mixte W2000 Natif Fonctionnalit active Installation depuis un support Mis en cache des groupes universels Partitions applicatives Fonctionnalits de W2000 + Imbrication des groupes Groupe de type universel SIDhistory Idem mode natif w2000 Fonctionnalits de W2000 natif + Mis jour de lattribut logon timestamp Version de KDC (Key Distribution Center) Kerberos Mot de passe utilisateur dans InetOrgPerson Types de DC supports WNT4 W2000 WS2003 W2000 WS2003
WS2003 intrimaire WS2003 natif
WNT4 WS2003 WS2003
27
Active Directory : WS2003
Niveau de fonctionnalit : forts

Niveau de fonctionnalit W2000 Fonctionnalit active Installation depuis un support Mis en cache des groupes universels Partitions applicatives Idem mode w2000 Rplication LVR (linked Value Record) Amlioration ISTG (Inter Site Topology Generator) Fonctionnalits de W2003 intrimaire + Classe auxiliaire dynamique Modification de la classe user en InetOrgPerson D/ractivation au sein du schma Changement du nom de domaine Relation dapprobation inter forts Types de DC supports WNT4 W2000 WS2003 WNT4 WS2003 WS2003
WS2003 intrimaire WS2003
28
Active Directory : Outil interactif
Affichage
29
Lutilisateur
30
Requte sauvegarde
31
Rsultat dune recherche
32
Sites
33
Active Directory : Ligne de commande
Lutilisateur
Utilisation de lignes de commande pour crer des objets :
dsadd user -> cre un compte utilisateur dsadd group -> cre un groupe dsmod group -> ajoute des membres un groupes Dsquery -> recherche dobjet dans lAD
Possibilit de crer des fichiers de commandes
dsadd computer "cn=smithj1,ou=cso,dc=contoso,dc=msft " dsadd user "cn=John Smith,ou=CSO,dc=contoso,dc=msft" -samid smithj -upn smithj@contoso.msft -fn John -ln Smith -display "John Smith" -pwd P@ssw0rd -disabled yes Voir les exemples :
http://www.microsoft.com/technet/scriptcenter/scripts/default.m spx et dsxxx/? videmment !!
34
Active Directory : Le compte utilisateur
Description
Ensemble des attributs dun objet user Nom, prnom, initial, adresse, e-mail profil Dossier de base Groupes auxquels il appartient LUO ou la hirarchie dUO qui le contient
35
Le profil
Dcrit lenvironnement de travail de lutilisateur
Bureau, Mes Documents, donnes applicatifs (IE, )
3 types :
Profil errant : stock sur un serveur de fichiers. Est tlcharg sur toute station ou lutilisateur se connecte -> mme environnement Profil local : stock sur la station local. Est diffrent sur chaque station ou se logue lutilisateur Profil bloqu :modification de lextension du fichier C:\Documents and Settings\lepinay\ntuser.dat en .man Lutilisateur ne peut pas sauvegarder les modifications apportes au profil Permet de fournir un profil identique une population
Le dossier de base
Le dossier de base est le conteneur des donnes de lutilisateur Peut tre local ou sur un serveur de fichier
37
Les groupes prdfinis
38
Les UO
Lutilisateur est plac dans une hirarchie dUO en fonction des droits quon voudra pouvoir lui donner. Cette hirarchie permet aussi de lui appliquer des stratgies de groupe
39

Active Directory

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Active Directory

Загружено:

Авторское право:

Доступные форматы

LActive Directory

Formation Master II Pro

Formation Master II Pro

Formation Master II Pro

Formation Master II Pro

Formation Master II Pro

Caractristiques dune fort

Formation Master II Pro

Formation Master II Pro

Il contient une rplique partielle (nb rduit dattribut) dobjets de lannuaire

Formation Master II Pro

Formation Master II Pro

Fonctions des serveurs

Formation Master II Pro

Conception de lespace de noms

Formation Master II Pro