Вы находитесь на странице: 1из 44

Chapitre 1 Ce chapitre donne des lments gnraux sur Active Directory.

Il insiste sur les points suivants : 1Avec son organisation, AD peut se calquer sur lorganisation de lentreprise. Dans lordre, fort Domaine OU 2La mise en place de AD requiert implicitement un serveur DNS avec une dnomination DNS. 3Conception dun ou plusieurs domaines. Essayez de garder un seul domaine. Seuls des entits administratives indpendantes justifient plusieurs domaines. 4Mise en place dune topologie de site lie la topologie physique de lentreprise. 5Mise en place de plusieurs stratgies de groupe diffrentes, chacune sur une OU spare. Une OU regroupe des utilisateurs ou des ordinateurs. Chapitre 2 Ce chapitre rappelle que : 1Une Active Directory requiert un serveur DNS 2Ce serveur DNS doit supporter les enregistrements SRV de AD compatible avec la version BIND 4.9.7, conseill de prendre la BIND 8.2.1 Prconis de prendre celui de Microsoft Windows 2000. 3Dtermination du nom DNS pour le premier domaine inchangeable par la suite. 3 possibilits pour nommer le domaine aAD est un sous domaine du nom DNS de lentreprise inscrit lextrieur pas conseill bUtilisation dun seul et mme nom de domaine DNS pour les rseaux public et priv. cUtilisation de noms de domaine diffrents pour les rseaux public et priv. Chapitre 3 Ce chapitre rappelle comment Vous pouvez concevoir votre hirarchie AD avec des OU ou des domaines qui suivent : 1Lorganisation des emplacements 2Lorganisation de lentreprise. Cest la plus employe. Sur chaque unit organisationnelle ou OU, vous pouvez dfinir une stratgie. Chapitre 5 Vous pouvez dfinir des stratgie de groupe au niveau du site, du domaine, dune OU. Crez aussi peu dobjets GPO que possible.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Chapitre 6 Le premier domaine cre dans Active Directory reprsente le domaine racine de lensemble de la fort. Celui-ci doit identifier votre entreprise. Conception un seul domaine est la plus conseille pour une facilit de gestion. Chapitre 7 La cration de plusieurs domaines est justifie par 1Une administration de domaine indpendante des autres. 2Des stratgies distinctes au niveau de chaque domaine. Toujours prfrer un seul domaine si vous ne retrouvez pas ces arguments ci-dessus. Chapitre 8 Vous devrez mettre en place une topologie de site Active Directory si votre fort ou domaine couvre plusieurs sites gographiques. Et si entre ces sites, vous devez contrler les trafics douverture de session et de duplication.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
. Rle d'Active Directory dans une entreprise . Analyse de l'entreprise . Composants architecturaux d'Active Directory

Rle dactive directory dans une entreprise


. Les domaines et les units d'organisation forment des structures hirarchiques . Plusieurs domaines peuvent former : Des arborescences Des forts Dans Windows 2000, Active Directory est un service d'annuaire rseau. Il permet aux administrateurs de dfinir, d'organiser et de grer des objets, tels que des donnes, des imprimantes ou des serveurs, de manire ce que tous les utilisateurs et toutes les applications de la socit puissent y accder. Dans Active Directory, les objets sont organiss de manire logique dans une structure hirarchique. Les objets ci-dessous crent la hirarchie structurelle globale d'Active Directory. .# Domaines. Les domaines constituent le cur d'Active Directory. Un domaine est compos d'objets qui prsentent les mmes exigences de scurit, les mmes processus de duplication et la mme administration. Active Directory utilise un modle de duplication plusieurs matres, dans lequel tous les contrleurs de domaine sont gaux. .# Units d'organisation. Une unit d'organisation (UO) est un objet conteneur utilis pour organiser les objets d'un domaine en groupes d'administration logiques. Au sein d'un mme domaine, les units d'organisation forment une structure hirarchique base sur le modle d'administration de la socit. Plusieurs domaines dans un seul annuaire Active Directory peuvent crer des structures supplmentaires sous l'une des formes ci-dessous. .# Arborescences. Une arborescence est une disposition hirarchique d'un ou plusieurs domaines ayant le mme nom de racine. Dans une arborescence, les domaines ont tous le mme nom de domaine racine et partagent des informations par le biais de relations d'approbation automatiques. .# Forts. Une fort est un ensemble d'une ou plusieurs arborescences. Plusieurs arborescences d'une fort n'ont pas le mme nom de domaine racine, mais partagent des informations par le biais de relations d'approbation automatiques. Plusieurs forts peuvent partager des informations uniquement par l'intermdiaire d'approbations explicites.

Analyse de lentreprise
. Identification des besoins de l'entreprise . Choix de conception . Consignes de planification Les architectes rseau doivent concevoir le service d'annuaire Active Directory de manire ce qu'il rponde aux besoins du client. Pour atteindre cet objectif,

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

la premire tape consiste analyser l'entreprise afin de dterminer ses besoins tant en ce qui concerne son activit que sa structure informatique.

Consignes de planification
. N'oubliez jamais les besoins de l'entreprise . Gardez une vision claire . Trouvez des compromis judicieux . Crez une structure simple . Testez la structure Lorsque vous concevez une structure pour le service d'annuaire Active Directory, assurez-vous qu'elle repose sur les besoins de l'entreprise et non sur la technologie. Ne laissez la technologie influencer votre conception que si elle peut constituer pour l'entreprise un moyen plus efficace d'exercer son activit. Tout au long de votre travail, gardez une vision claire de votre structure d'ensemble. Envisagez attentivement chaque dcision de compromis lorsque plusieurs possibilits se prsentent. La meilleure stratgie consiste concevoir la structure la plus simple possible. Enfin, assurez-vous que la structure a t teste de faon approprie avant de la remettre l'quipe charge de la mise en uvre d'Active Directory.

Composants architecturaux dactive directory


. laboration d'une stratgie de dnomination . Conception de la dlgation de l'autorit d'administration . laboration des modifications du schma . laboration d'une stratgie de groupe . Conception d'un domaine Active Directory . Conception de plusieurs domaines . Dveloppement d'une topologie de site Un architecte d'entreprise combine les diffrents composants architecturaux d'Active Directory pour concevoir une infrastructure de services d'annuaire rpondant aux besoins de l'entreprise. Pour utiliser efficacement ces composants, vous devez connatre leurs diffrentes possibilits et comprendre l'influence qu'ils exercent dans la conception d'Active Directory.

Elaboration dune stratgie de dnomination


. Active Directory utilise le systme DNS comme service de dnomination . La prsence sur Internet est un facteur dterminant dans le choix des noms de domaine Lorsqu'il s'agit d'attribuer des noms aux domaines, Active Directory suit la norme du systme de nom de domaine (DNS, Domain Name System). Active Directory utilise galement le systme DNS comme service de recherche de domaine, et vous pouvez l'utiliser pour la rsolution des noms des ressources internes de la socit, comme son intranet, ainsi que de ses ressources externes

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

telles qu'Internet. La prsence relle et planifie d'une socit sur Internet aide dterminer les stratgies de dnomination pour Active Directory. Il est capital de choisir judicieusement le nom DNS global pour le domaine racine car il doit faciliter l'accs au rseau pour les utilisateurs passant par Internet. Le nom du domaine racine apparatra galement dans tous les domaines enfants crs dans le domaine racine.

Conception de la dlgation de lautorit de dlgation


. Soulage la gestion centralise . Spare l'autorit d'administration du reste du rseau La dlgation de l'autorit d'administration dans Active Directory permet aux administrateurs rseau de confier le contrle administratif d'objets Active Directory des utilisateurs de confiance. Elle rduit la charge de travail d'un administrateur central et isole l'autorit dlgue des autres parties du rseau. Vous pouvez crer une structure hirarchique de domaines et d'units d'organisation qui reflte le modle d'administration de l'entreprise. Vous pouvez galement dlguer cette autorit des utilisateurs et des ordinateurs particuliers. En structurant la hirarchie d'Active Directory, puis en grant les autorisations sur les objets et proprits dans Active Directory, vous pouvez dterminer avec prcision les comptes qui peuvent accder aux informations dans Active Directory et le niveau d'autorisation dont ils peuvent disposer. Cette prcision permet aux administrateurs rseau de dlguer une autorit particulire sur certaines parties d'Active Directory certains groupes d'utilisateurs, sans pour autant exposer les informations un accs non autoris.

Elaboration des modifications de schma


. Le schma dfinit des objets et des attributs dans Active Directory . Une modification du schma peut affecter tout le rseau . Une stratgie de modification du schma est ncessaire pour grer les changements Le schma d'Active Directory contient les dfinitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes, stocks dans Active Directory. Les dfinitions contenues dans le schma portent sur les classes d'objets qui peuvent apparatre dans Active Directory et les types d'attributs pouvant ou devant caractriser chaque objet. Les modifications du schma peuvent consister ajouter ou changer des classes d'objets ou des dfinitions d'attributs. Les modifications du schma ont des implications qui peuvent affecter tout le rseau. Ces modifications sont rares, mais elles sont parfois indispensables pour rpondre aux besoins de l'entreprise. Pour grer le processus de modification, vous devrez crer une stratgie de modification du schma.

Elaboration dune stratgie de groupe

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

. Les objets stratgie de groupe appliquent des configurations aux sites,aux domaines et aux units d'organisation . La stratgie de groupe se reflte dans toute la hirarchie d'Active Directory La console Stratgie de groupe sert grer les configurations logicielles et rglementer la scurit pour les ordinateurs et les utilisateurs Active Directory. Un objet stratgie de groupe (GPO, Group Policy object) sert appliquer une stratgie de groupe des utilisateurs et des ordinateurs Active Directory au niveau du site, du domaine ou de l'unit d'organisation. Vous pouvez concevoir Active Directory de faon ce qu'il gre l'application d'une stratgie de groupe par dlgation et en crant un niveau infrieur des units d'organisation comportant les utilisateurs et les ordinateurs soumis des objets GPO particuliers. La stratgie de groupe se reflte dans toute la structure du site, du domaine et de l'unit d'organisation. En laborant soigneusement l'infrastructure d'Active Directory, vous pouvez appliquer des objets GPO des utilisateurs et des ordinateurs particuliers dans des domaines ou des units d'organisation de niveau suprieur de manire ce que ces objets GPO se rpercutent dans les domaines et les units d'organisation des niveaux infrieurs.

Conception dun domaine Active Directory


. Crez des units d'organisation pour grer les dlgations de responsabilits et la stratgie de groupe . Nommez soigneusement le premier domaine Vous pouvez simplifier les tches courantes d'administration d'une entreprise en planifiant d'abord l'organisation des objets de votre domaine. Une structure d'units d'organisation correctement conue et constitue d'units de niveaux infrieur et suprieur permettra aux administrateurs de dlguer des responsabilits et d'appliquer la stratgie de groupe. Le domaine racine de l'ensemble de la fort est le premier domaine cr dans Active Directory. Le premier domaine est galement appel racine de la fort. Le domaine racine contient les informations de configuration et de schma relatives la fort. La dnomination du premier domaine constitue une tape importante dans la conception car il ne pourra plus tre renomm par la suite.

Conception de plusieurs domaines


. Domaines administrs sparment mais pouvant partager leurs ressources . Plus complexes grer Les domaines, les arborescences et les forts sont des units dlimites du service d'annuaire Active Directory de Windows 2000. Ces units peuvent non seulement partager des ressources mais galement tre administres sparment. La plupart des besoins d'une entreprise peuvent tre satisfaits par une structure domaine unique. Un domaine unique est plus simple grer et permet de dlguer l'autorit d'administration tout aussi simplement. Cependant, une entreprise peut parfois souhaiter utiliser plusieurs domaines au

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

sein d'Active Directory. Avant de prendre cette dcision, vous devrez vrifier si l'entreprise a rellement besoin d'une structure plusieurs domaines ainsi que les consquences de la complexit ainsi accrue de la structure Active Directory. Les domaines peuvent tre organiss en arborescences plusieurs domaines, en forts plusieurs arborescences et en plusieurs forts. Les motivations lies l'activit de l'entreprise qui ncessitent une conception plusieurs domaines affectent galement le type de conception que vous allez crer.

Dveloppement dune topologie de site


. Les sites dfinissent la structure physique d'Active Directory . Utilisez les sites pour contrler le dbit du trafic sur le rseau Active Directory utilise des sites pour dfinir la structure physique du rseau. Un site est un ensemble d'ordinateurs connects directement, par le biais de sous-rseaux IP (Internet Protocol). Une dfinition de site est stocke sous la forme d'un objet site dans Active Directory. Collectivement, tous les sites forment une topologie de site. tant donn que les sites reprsentent la structure physique de votre rseau, ils ne doivent pas forcment correspondre la structure logique de votre service Active Directory. Vous pouvez utiliser des sites pour contrler le trafic des sessions des stations de travail, le trafic de duplication, la topologie du systme de fichiers distribus (DFS, Distributed File System) et le service de duplication de fichiers (FRS, File Replication Service). L'change frquent de donnes et d'informations d'annuaire volumineuses peut perturber le trafic rseau entre des emplacements distants. Vous pouvez amliorer l'organisation du rseau Windows 2000 de votre entreprise et optimiser les changes de donnes et d'informations d'annuaire en dveloppant une topologie de site approprie.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
. Identification des besoins de l'entreprise . Systme DNS et Active Directory . Choix de noms pour les domaines Active Directory . laboration d'une stratgie de dnomination DNS pour Active Directory

Identification des besoins de lentreprise


. Principaux besoins de l'entreprise ayant un impact sur la stratgie de dnomination : tendue prvue pour Active Directory Prsence sur Internet Le nom initial du domaine racine aura une influence sur la structure hirarchique d'Active Directory. Un nom appropri doit convenir aux besoins actuels et futurs d'une entreprise. Les deux lments principaux relatifs l'entreprise qui affectent la dnomination d'une structure Active Directory sont les suivants : quelle partie de l'entreprise doit-elle tre incluse dans Active Directory ? L'entreprise prvoit-elle de rendre certaines de ses ressources ou toutes ses ressources disponibles sur Internet ?

Etendue prvue pour Active Directory


Lorsque vous valuez les besoins de l'entreprise, vous devez dterminer l'tendue de la structure prvue d'Active Directory. Avant d'implmenter Active Directory, vous devez dterminer dans quelle mesure la structure Active Directory rpond aux besoins de l'entreprise. Ainsi, le modle de la structure Active Directory doit prendre en compte une ou plusieurs des possibilits ci-dessous, en fonction des besoins de l'entreprise. .# La structure Active Directory comprend-elle toute l'entreprise, y compris ses filiales ? .# Le service Active Directory inclut-il les associs ou les clients venir ? .# Prvoyez-vous des fusions ou des acquisitions dans les deux cinq prochaines annes ? Prsence sur internet Vous devez vous demander si le service Active Directory de l'entreprise sera un jour disponible sur Internet. Le cas chant, vous devez choisir un nom pour la racine d'Active Directory qui respecte les standards Internet. Vous devez galement choisir une stratgie DNS prenant en charge Active Directory.

Systme DNS et Active Directory


. Distinction entre le systme DNS et Active Directory . Interfonctionnement avec BIND Active Directory suit les standards DNS de dnomination des domaines, des serveurs et des services. Active Directory utilise galement le systme DNS comme service de recherche de domaine. Vous pouvez utiliser le systme DNS

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

pour la rsolution des noms des ressources intranet (internes) et Internet (externes) dans votre entreprise. Vous devrez prendre certains points en considration si votre entreprise utilise un serveur DNS BIND (Berkeley Internet Name Domain) et si elle tient absolument le conserver.

Distinction entre le systme DNS et Active Directory


. Les serveurs DNS stockent des enregistrements de ressources . Les serveurs Active Directory stockent des objets de domaine Active Directory peut comporter un ou plusieurs domaines. Vous les identifiez l'aide des noms DNS que vous leur affectez. Bien que le domaine Active Directory et le domaine DNS correspondant aient le mme nom, chacun joue un rle diffrent. Ces deux domaines stockent des informations diffrentes et grent des objets diffrents. Les serveurs DNS stockent et grent des enregistrements de ressources dans un fichier de base de donnes de zone. Un fichier de base de donnes de zone DNS contient tous les enregistrements de ressources concernant un seul domaine DNS ou une partie isole d'une arborescence de domaines DNS. Active Directory stocke et gre des objets de domaine. Les objets du service Active Directory peuvent tre des utilisateurs, des ordinateurs, des imprimantes, des serveurs, des stations de travail, des services et des partages. Tous les objets sont stocks dans Active Directory et grs l'aide de scripts ou d'outils dans la console MMC (Microsoft Management Console). Comme les noms de domaine Active Directory et DNS sont identiques et que le systme DNS correspond au mcanisme utilis pour la rsolution de noms, chaque domaine Active Directory doit correspondre un domaine DNS. l'inverse, chaque domaine DNS ne requiert pas de domaine Active Directory correspondant.

Interfonctionnement avec BIND


. Le service Serveur DNS de Windows 2000 offre une compatibilit maximale . Les serveurs DNS BIND peuvent tre intgrs Active Directory BIND version 8.2.1 ou ultrieure recommand Le service Serveur DNS de Windows 2000 est entirement compatible avec Active Directory. Nanmoins, certaines entreprises peuvent utiliser des serveurs DNS BIND et souhaiter les conserver. Certaines versions de BIND peuvent tre intgres Active Directory. Si les besoins d'une entreprise exigent que les serveurs BIND restent en place, vous avez le choix entre les quatre possibilits suivantes : .# utiliser BIND pour les accs externes, et le systme DNS de Windows 2000 pour les accs internes ; .# utiliser BIND pour les accs Internet (externes) et intranet (internes) ; .# utiliser BIND pour les accs internes et externes, mais placer le domaine Active Directory sur le serveur DNS de Windows 2000 ; .# utiliser le systme DNS de Windows 2000 pour les accs externes et

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

internes. Si un serveur BIND est utilis pour les ressources externes et un serveur DNS de Windows 2000 pour Active Directory, vous devez dlguer les sous-domaines Active Directory au serveur DNS de Windows 2000. Ces sous-domaines permettent aux ordinateurs clients d'accder aux services d'Active Directory. Bien que certaines versions antrieures de BIND puissent fonctionner avec Active Directory, BIND 8.2.1 constitue la version minimale recommande. BIND 8.2.1 prend en charge les enregistrements de ressources SRV (service), les mises jour dynamiques, la mise en antmmoire ngative et les transferts de zones incrmentiels. Le tableau suivant compare les fonctionnalits prises en charge par le systme DNS de Windows 2000 et par BIND : Fonctionnalit Windows 2000 BIND 8.2.1 BIND 4.9.7 Enregistrements SRV Oui Oui Oui Mise jour dynamique Oui Oui Non Mise jour dynamique Scurise Oui Non Non Enregistrements WINS et WINS-R Oui Non Non Transfert de zones rapide Oui Oui Oui Transfert de zones Incrmentiel Oui Oui Non Codage UTF-8 Oui Non Non

Choix de noms pour les domaines Active Directory


. Dtermination de l'tendue d'Active Directory . Conception de la hirarchie de dnomination . Choix de noms pour les domaines Active Directory Comme Active Directory est troitement intgr au systme DNS, vous devez respecter les standards DNS lorsque vous planifiez la stratgie de dnomination pour Active Directory. Lorsque vous dfinissez le modle Active Directory, vous devez effectuer les tches suivantes : .# dterminer l'tendue d'Active Directory dans votre entreprise ; .# crer un nom DNS hirarchique ; .# utiliser une stratgie de dnomination pour choisir les noms de domaine Active Directory.

Dtermination de ltendue Active Directory


. Reprsentation de toute l'entreprise par le nom DNS Sige social Sites des succursales Partenaires commerciaux

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

. Possibilit d'utiliser le nom Active Directory comme nom Internet Inscrivez le nom auprs de l'ICANN Lorsque vous dterminez l'tendue d'Active Directory, choisissez-la aussi vaste que possible pour viter toute restructuration ultrieure. Lorsque vous prenez en compte l'tendue pour la dnomination, vous ne devez pas considrer uniquement l'entreprise dans sa structure interne, mais galement sa prsence ou non sur Internet. Reprsentation de toute lentreprise par le nom DNS tant donn qu'Active Directory ne prend en charge qu'un seul nom racine DNS, vous devez choisir un nom qui reprsente toute l'entreprise. Tous les utilisateurs de l'entreprise pourront ainsi accder l'ensemble de ses informations et ressources. Il se peut cependant que l'entreprise ait besoin de plusieurs noms racines. Par exemple, si l'entreprise a acquis une socit qui disposait dj d'une identit connue sur Internet, vous souhaiterez peut-tre conserver le nom DNS de cette socit nouvellement acquise. Possibilit dutiliser le nom Active Directory comme nom internet Active Directory peut exister dans l'tendue de la structure DNS Internet. Le cas chant, vous devez inscrire le nom racine DNS auprs de l'ICANN (Internet Corporation for Assigned Names and Numbers). Cette inscription garantit l'unicit de tous les noms DNS. Vous disposerez de l'autorit ncessaire pour grer votre hirarchie de domaines enfants, de zones et d'htes dans le domaine racine.

Conception de la hirarchie de dnomination


Dans Active Directory, les domaines sont organiss dans une structure hirarchique qui reflte les relations qu'ils ont les uns avec les autres. Sur le rseau, chaque domaine doit disposer d'un nom DNS unique correspondant au nom de domaine Active Directory. Les ordinateurs clients qui excutent Active Directory utilisent ces noms pour identifier et reprer les contrleurs de domaine afin d'ouvrir des sessions. La hirarchie de dnomination a pour objectif de reflter l'entreprise de faon logique.

Utilisation du premier domaine comme domaine racine


Le premier domaine cr dans Active Directory constitue le point de dpart, ou la racine, d'Active Directory. Tous les autres domaines sont drivs du domaine racine. Un seul nom peut tre utilis pour le domaine racine. Si vous prvoyez d'utiliser ce nom racine sur Internet, vous devez vous assurer qu'il est unique sur Internet. Vous ne pouvez pas modifier le nom du domaine racine de votre fort Active Directory sans supprimer Active Directory et crer une fort.

Arborescence hierarchique constitue des doamines drivs du domaine racine


Si Active Directory comporte plusieurs domaines, une hirarchie de dnomination est constitue. Par exemple, un rseau comportant un seul

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

domaine peut porter le nom de ce domaine unique contoso.msft. Si, pour des raisons professionnelles, vous devez diviser le rseau en trois domaines, Namerica, Europe et Africa, les noms de domaine peuvent tre namerica.contoso.msft, europe.contoso.msft et africa.contoso.msft. Chaque nom de domaine est distinct, mais appartient la mme arborescence Active Directory.

Choix de noms pour les domaines Active Directory


. Choisissez un nom de domaine racine unique sur Internet . Respectez les rgles de dnomination DNS . Inscrivez votre nom de domaine DNS . Choisissez des noms reconnaissables, significatifs et stables . Utilisez un nom de domaine DNS existant Comme la dnomination dans Active Directory suit le format DNS standard, le systme DNS doit tre install sur votre rseau, et les noms Active Directory doivent tre conformes aux conventions de dnomination du systme DNS. Lorsque vous choisissez des noms pour les domaines Active Directory, tenez compte des stratgies ci-dessous. .# Le nom du domaine racine d'Active Directory doit tre unique dans la hirarchie DNS. Si votre rseau se connecte Internet, choisissez un nom qui est unique sur Internet. .# Si votre rseau se connecte Internet, le nom DNS de chaque domaine Active Directory doit respecter les rgles Internet dfinies pour la dnomination des domaines. .# Si vous souhaitez utiliser pour les accs internes et externes le nom de domaine DNS que vous avez attribu au domaine racine d'Active Directory, vous devez l'inscrire auprs de l'ICANN. .# Choisissez des noms de domaine reconnaissables, significatifs et stables, par exemple des noms gographiques. Choisissez un nom dont la dure de vie peut s'chelonner de trois cinq ans et qui permet l'ajout de domaines enfants, ce qui est susceptible de se produire dans le cadre d'une rorganisation ou d'une acquisition de socit. .# Utilisez un nom de domaine DNS existant dans la hirarchie DNS inscrite pour votre entreprise. Crez un nom de domaine comme domaine enfant de l'espace de noms du domaine DNS existant, par exemple corp.contoso.msft. La norme de travail qui rservait .local aux noms de domaines locaux est prime. Pour plus d'informations, consultez le fichier http://www.ietf.org/internet-drafts/draft-ietf-dnsind-local-names-07.txt

Elaboration dune stratgie de dnomination DNS pour Active Directory


. Dcisions initiales relatives la dnomination . Utilisation d'un nom de sous-domaine dlgu pour le rseau interne . Utilisation d'un seul nom de domaine DNS pour les rseaux public et priv

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

. Utilisation de noms de domaine DNS diffrents pour les rseaux public et priv . Conception d'une solution DNS pour l'intgration de BIND . Instructions de conception Plusieurs mthodes permettent de concevoir une stratgie de dnomination DNS pour le domaine racine d'Active Directory. La plupart de ces choix refltent si l'entreprise est prsente sur Internet ou si elle envisage de l'tre. Si l'entreprise choisit d'tre prsente sur Internet, vous devez dcider de sparer ou non les ressources disponibles en interne de celles accessibles en externe. Selon votre stratgie Internet et vos implmentations DNS existantes, vous pouvez suivre une ou plusieurs des instructions suivantes : .# utiliser un sous-domaine du nom de domaine DNS inscrit comme racine d'Active Directory ; .# utiliser le mme nom de domaine racine DNS pour votre structure Active Directory et sur Internet ; .# utiliser un nom de domaine DNS diffrent comme racine d'Active Directory pour maintenir une sparation entre votre prsence sur Internet et la structure Active Directory.

Decisions initiales relatives la dnomination


. Inscription du nom du domaine racine DNS . Conception l'aide d'une implmentation DNS existante . Dtermination de stratgies de dnomination interne et externe . Respect des exigences du modle DNS . Rsolution de noms des ordinateurs clients en ressources externes de l'entreprise . Rsolution des noms d'ordinateurs clients pour les htes Internet Lors de l'laboration d'une stratgie de dnomination DNS, vous devez prendre certaines dcisions initiales importantes. Une ngligence dans ces dcisions peut vous obliger rinstaller Active Directory l'avenir.

Inscription du nom du domaine racine DNS


Si vous choisissez d'tre prsent sur Internet, vous devez obtenir un nom de domaine DNS inscrit. Mme si vous ne prvoyez pas de prsence sur Internet, il est recommand d'inscrire tout de mme le nom de racine que vous avez choisi auprs de l'ICANN pour que vous ne soyez pas tenu de renommer votre racine si vous changez d'avis.

Conception laide dune implmentation DNS existante


Il est recommand d'utiliser le service Serveur DNS de Windows 2000, car il est ncessaire pour que toutes les fonctionnalits d'Active Directory soient disponibles. Si vous utilisez le serveur DNS BIND, vous devez effectuer des choix de conception en fonction de votre stratgie de dnomination. Vous pouvez tre amen mettre niveau vos serveurs BIND ou passer au systme DNS de Windows 2000.

Dtermination de stratgies de dnomination interne et externe

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Si votre entreprise est prsente sur Internet, la scurisation des ressources internes constitue une priorit. La manire dont vous choisissez de sparer les ressources accessibles de faon interne de celles accessibles de faon externe influe sur la conception.

Respect des exigences du modle DNS


Lorsque vous dterminez la mthode de dnomination de votre entreprise, assurez-vous que le modle respecte les exigences numres ci-dessous. .# N'exposez que la partie publique de l'espace de noms de l'entreprise sur Internet. .# Tous les ordinateurs clients Active Directory doivent tre en mesure de rsoudre tous les noms internes et externes de l'entreprise. .# Veillez ce que les ordinateurs clients ncessitant un accs Internet puissent rsoudre tous les noms Internet.

Rsolution du nom des ordinateurs clients en ressources externes de lentreprise


Le serveur DNS externe doit disposer uniquement des enregistrements de ressources des htes et services externes qui seront exposs aux utilisateurs d'Internet. Pour permettre aux ordinateurs clients internes d'accder aux donnes Internet de votre entreprise, vous pouvez placer des serveurs avec du contenu dupliqu sur le rseau interne en utilisant les mmes noms DNS que ceux des serveurs sur Internet. Ainsi, les serveurs DNS externes convertiront les noms DNS de l'entreprise en adresse IP externe, et les serveurs DNS internes convertiront le nom DNS de l'entreprise en adresse IP interne.

Rsolution des noms dordinateurs clients pour les htes internet


Une configuration supplmentaire peut tre ncessaire pour permettre aux htes internes d'accder aux ressources publiques Internet. Vous pouvez configurer le serveur DNS interne pour qu'il transmette toutes les demandes DNS non rsolvables un serveur DNS externe. Si vous utilisez un serveur proxy, crez une liste d'exclusion pour les ordinateurs clients. Le serveur proxy transmettra toutes les demandes reues un serveur DNS externe. Pour que le pare-feu filtre exactement le trafic autoris entre les ordinateurs clients interne et le rseau externe, il est ncessaire de la planifier de faon prcise. Pour ce faire, un pare-feu ou une combinaison d'un pare-feu et d'un serveur proxy peuvent tre utiliss.

Utilisation dun nom de sous domaine dlgu pour le rseau interne


. Crez une zone DNS dans un nouveau domaine . Configurez un serveur DNS faisant autorit dans le domaine DNS existant pour effectuer une dlgation vers le nouveau domaine . Crez la racine de la fort Active Directory dans le nouveau domaine Au lieu d'utiliser le nom de domaine DNS inscrit de l'entreprise comme domaine racine d'Active Directory, vous pouvez utiliser un domaine enfant

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

DNS. Le domaine enfant existe dans une zone distincte et il est dsign comme domaine racine d'Active Directory. Il vous suffit d'exposer sur Internet la zone contenant le domaine racine de DNS. Par exemple, la socit appele Contoso, Ltd. dcide d'utiliser le domaine ad.contoso.msft comme domaine racine d'Active Directory. L'quipe informatique de Contoso, Ltd. doit commencer par effectuer les tches suivantes : .# crer une zone DNS sur un serveur DNS distinct comprenant le domaine ad.contoso.msft ; .# configurer le serveur DNS qui fait autorit pour contoso.msft avec un enregistrement de dlgation l'intention de l'autre serveur DNS pour le domaine ad.contoso.msft ; .# crer la racine de la fort Active Directory dans le domaine ad.contoso.msft. Le nom du domaine racine d'Active Directory sera ad.contoso.msft. Utiliser un nom de sous-domaine dlgu pour le rseau interne entrane les implications ci-dessous. .# Cette solution permet d'isoler toutes les donnes Active Directory dans leur domaine ou arborescence de domaines. .# Cette solution fournit un espace de noms contigu, ce qui cre moins de confusion pour le personnel administratif et les clients. .# Le domaine racine d'Active Directory dlgu requiert son propre serveur DNS. Toutefois, il ne ncessite pas de mise niveau des serveurs DNS qui servent actuellement le domaine DNS inscrit. .# La structure des noms Active Directory est plus longue, car la dnomination commence dans un domaine de troisime niveau.

Utilisation dun seul nom de domaine DNS pour le rseaux public et priv
Il se peut que vous souhaitiez utiliser un mme nom de domaine DNS pour les accs internes et externes. Nanmoins, vous voulez vous assurer que le rseau interne est maintenu spar d'Internet.

Sparation des zones DNS laide dun pare feu


Vous pouvez crer deux zones DNS en leur donnant le mme nom de chaque ct d'un pare-feu, puis grer le contenu de ces zones pour que les enregistrements appropris soient prsents dans chacune d'elles. Dans ce scnario, le serveur DNS du rseau public gre uniquement les enregistrements des htes accessibles par l'intermdiaire d'Internet. Le serveur DNS du rseau interne stocke les enregistrements de ressources exposs tous les htes internes, notamment tous ceux associs Active Directory. L'utilisation d'un pare-feu pour sparer les zones DNS ncessite l'administration des enregistrements de ressources SRV. Vous devez veiller ce que, seuls, les enregistrements de ressources appropris soient exposs aux demandes provenant de l'extrieur. Utiliser un seul nom de domaine DNS pour les rseaux publics et privs entrane les implications ci-dessous. .# Les utilisateurs peuvent utiliser un seul nom de domaine lorsqu'ils accdent

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

aux ressources partir du rseau interne ou partir d'Internet. .# Les administrateurs DNS sont tenus d'effectuer des tches administratives supplmentaires pour s'assurer que les enregistrements appropris se trouvent sur les serveurs DNS internes et externes. .# La configuration d'un pare-feu peut s'avrer plus complexe lorsqu'il s'agit de protger le rseau interne vis--vis d'Internet. .# Il n'est pas ncessaire d'inscrire des noms supplmentaires auprs de l'ICANN. .# Si des ressources externes sont mises en miroir sur le rseau interne, la synchronisation des donnes risque d'tre difficile.

Utilisation de nom de domaine DNS diffrents pour les rseaux public et priv
Au lieu de crer des vues distinctes d'un mme domaine pour les clients publics et les clients internes, vous pouvez utiliser des noms de domaine diffrents pour les rseaux public et priv. Par exemple, Contoso, Ltd. peut utiliser contoso.msft sur le rseau public, et contosoltd.msft sur le rseau priv. Cette solution simplifie considrablement la sparation des ressources prives et des ressources publiques. Toutes les ressources publiques utilisent un nom de domaine, et toutes les ressources internes du rseau priv utilisent un autre nom de domaine. Rsolution des noms dordinateurs clients N'oubliez pas que vous pouvez permettre aux ordinateurs clients de rsoudre des noms externes pour votre entreprise et d'autres htes Internet en configurant le serveur DNS interne afin qu'il transmette toutes les demandes qu'il ne peut rsoudre au serveur DNS externe. Pour les clients proxy, crez une liste d'exclusion. Pour que le pare-feu filtre exactement les types de trafics autoriss entre les ordinateurs clients internes et le rseau externe par l'intermdiaire du pare-feu, il convient de procder une importante planification. Pour ce faire, un pare-feu ou une combinaison d'un pare-feu et d'un serveur proxy peuvent tre utiliss. Utiliser des noms de domaine DNS diffrents pour les rseaux public et priv entrane les implications ci-dessous. .# Les ressources sont plus faciles grer et plus scurises, car une distinction nette est tablie entre les ressources publiques et les ressources prives. .# La hirarchie de dnomination interne n'est pas expose sur Internet. .# Il est impossible d'accder aux ressources internes partir d'Internet l'aide du nom de domaine externe. .# Il n'est plus ncessaire de dupliquer le contenu des serveurs externes sur des serveurs internes. .# En accdant aux ressources d'une entreprise partir d'Internet, certains utilisateurs peuvent tre dconcerts par l'utilisation de noms diffrents. .# Il n'est pas ncessaire d'inscrire des noms supplmentaires auprs de l'ICANN. .# Vous pouvez souhaiter mettre niveau les serveurs DNS pour prendre en charge les enregistrements de ressources SRV.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

.# L'infrastructure DNS et les noms d'htes existants peuvent rester tels quels, et correspondront au nom du domaine Active Directory. .# Les zones DNS et la topologie DNS existantes peuvent rester telles quelles.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
. Identification . Dfinition

des besoins de l'entreprise de l'organisation informatique . Dveloppement d'une stratgie de modle d'administration . Dveloppement d'une stratgie de dlgation Le service d'annuaire Microsoft Active Directory de Microsoft Windows 2000 permet aux architectes rseau de contrler l'accs aux informations contenues dans Active Directory. En structurant la hirarchie Active Directory et en grant les autorisations sur les objets et proprits d'annuaire, vous pouvez prcisment spcifier les comptes qui peuvent accder l'annuaire et le niveau d'accs qui leur est accord. Par exemple, vous pouvez dlguer une personne l'autorit sur les mots de passe utilisateur d'une unit d'organisation spcifique, sans donner cette personne le moindre contrle sur les autres objets ou attributs Active Directory. Cette capacit de spcification prcise permet aux administrateurs de dlguer, certains groupes d'utilisateurs, une autorit particulire sur certaines parties de l'annuaire, sans pour autant rendre les informations de l'annuaire vulnrables un accs non autoris.

Identification des besoins de lentreprise


Les entreprises peuvent dlguer l'autorit d'administration en accordant des autorisations limites des personnes de confiance. Cette dlgation permet de rduire la charge de travail et la responsabilit d'un administrateur. Elle permet galement de sparer en toute scurit l'autorit d'administration des autres secteurs de l'entreprise. Les responsables disposant des droits d'administration appropris peuvent ensuite dlguer d'autres personnes l'administration d'un sous-ensemble de leurs comptes et ressources. Pour permettre la dlgation de l'autorit d'administration, vous devez concevoir la structure Active Directory de sorte qu'elle prenne en charge la structure informatique souhaite par l'entreprise.

Documentation du processus dadministration


Commencez par documenter la structure existante de l'entreprise. Une stratgie consiste diviser les tches d'administration en catgories, puis documenter le ou les administrateurs responsables de chaque catgorie. Une fois le processus existant document, travaillez avec l'quipe de planification pour identifier les domaines amliorer. Par exemple, il peut tre plus rentable de combiner les quipes informatiques de plusieurs secteurs. Vous pouvez identifier les employs susceptibles de participer au processus d'administration mais n'appartenant pas aux quipes informatiques, et ainsi rduire la charge de travail du personnel informatique. Ceci permet ce personnel de se concentrer sur son domaine de comptence. Une fois les processus existants et souhaits identifis, procdez comme suit pour planifier la dlgation. .# Dterminez le niveau d'administration. Dcidez ce que chaque groupe doit contrler et quel niveau de la hirarchie vous allez dlguer l'administration. Le plan de dlgation doit dfinir les autorisations qu'un groupe d'utilisateurs peut avoir ce niveau de la hirarchie. .# Identifiez les administrateurs, ainsi que les utilisateurs et ressources qu'ils administrent. Ces informations permettent de dterminer les attributions de proprit et d'autorisations aux units d'organisation que vous crez dans le cadre du plan de dlgation. Pour que des utilisateurs puissent accder un

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

objet Active Directory, un administrateur, ou le propritaire de l'objet, doit au pralable leur accorder des droits d'accs cet objet. .# Prvoyez un modle de dlgation souple. Vous pouvez accorder un administrateur des droits de gestion d'un petit groupe d'utilisateurs ou de groupes appartenant son secteur de responsabilit et, en mme temps, lui refuser les droits de gestion des comptes d'autres secteurs de l'entreprise. Par exemple, vous pouvez accorder les droits de contrle des imprimantes un petit groupe d'utilisateurs. Vous avez la possibilit d'accorder le contrle total sur des units et des objets spcifiques certains administrateurs d'units d'organisation. Vous pouvez galement restreindre le contrle d'autres administrateurs, de sorte qu'ils ne puissent pas visualiser l'unit d'organisation.

Dfinition de lorganisation informatique


centralise centralise et gestion dcentralise . Informatique dcentralise . Informatique externalise Avant de concevoir la structure d'administration d'une entreprise, vous devez pralablement dcrire son organisation informatique. Les organisations informatiques les plus communes sont rpertories ci-dessous. .# Informatique centralise. L'organisation informatique centralise est place sous l'autorit d'une personne qui est gnralement responsable de l'ensemble des services rseau et d'information, mme si certaines tches quotidiennes peuvent tre dlgues d'autres groupes ou services. .# Informatique centralise et gestion dcentralise. Les organisations informatiques font frquemment appel une gestion distribue, o le contrle est rparti entre plusieurs emplacements. Dans ce type d'organisation, un noyau central est responsable des principaux services de l'infrastructure mais dlgue la plupart des oprations quotidiennes aux quipes informatiques des agences locales, qui sont charges de fournir une assistance locale leurs utilisateurs. .# Informatique dcentralise. Ce type d'organisation permet aux diffrentes divisions de slectionner la structure informatique rpondant le mieux leurs besoins individuels. Il peut traiter plusieurs groupes informatiques prsentant des besoins et des objectifs particuliers. Ds que des initiatives technologiques affectant l'ensemble de l'entreprise doivent tre mises en place, par exemple l'adoption d'un nouveau systme de messagerie, les diffrents groupes informatiques doivent collaborer leur mise en uvre. .# Informatique externalise. Certaines entreprises prfrent externaliser tout ou partie de leur organisation informatique. Lorsque l'organisation informatique n'est que partiellement externalise, la mise en uvre d'un vritable projet de dlgation devient imprative. Ainsi, le groupe informatique interne conserve le contrle de l'organisation sans compromettre le niveau de service que la socit externe s'est engage fournir. Par exemple, si une socit externe s'est engage prendre en charge l'infrastructure physique du rseau d'une entreprise, vous pouvez choisir de crer des units d'organisation contenant les routeurs, serveurs et autres lments qu'elle pourrait souhaiter contrler.
. Informatique . Informatique

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Dveloppement dune stratgie de modle dadministration


d'une hirarchie dfinie en fonction des emplacements d'une hirarchie dfinie en fonction de l'organisation de l'entreprise . Conception d'une hirarchie dfinie en fonction des postes . Conception d'une hirarchie hybride dfinie en fonction des emplacements, puis de l'organisation . Conception d'une hirarchie hybride dfinie en fonction de l'organisation de l'entreprise, puis des emplacements . Consignes de conception Si votre modle Active Directory rpond prcisment aux besoins de la structure informatique d'administration d'une entreprise, il permettra de dlguer l'autorit d'administration de faon optimale. Lors de la planification de la structure d'administration Active Directory, il est important d'anticiper les changements et la croissance de l'entreprise. Ces volutions ne doivent par exemple pas affecter la structure des domaines ou des units d'organisation de niveau suprieur.
. Conception . Conception

Conception dune hirarchie dfinie en fonction des emplacements


aux rorganisations de l'entreprise aux fusions et extensions . Avantage des forces du rseau . Risque potentiel pour la scurit Si l'organisation informatique est centralise, alors que la gestion du rseau est gographiquement distribue, l'organisation d'une structure Active Directory par emplacement peut tre la meilleure stratgie. Par exemple, vous pouvez dcider de crer des units d'organisation pour la Nouvelle-Angleterre, Boston et Hartford au sein du mme domaine, contoso.msft.
. Adaptation . Rsistance

Caractristiques des hirarchies dfinies en fonction des emplacements


Une unit d'organisation ou hirarchie de domaine dfinie en fonction des emplacements possde les caractristiques dcrites ci-dessous. .# Rsistance aux rorganisations de l'entreprise. Si les divisions et les services peuvent changer frquemment, c'est beaucoup plus rarement le cas de l'emplacement gographique de l'entreprise. .# Adaptation aux fusions et extensions. Lorsqu'une entreprise fusionne ou acquiert une autre socit, il est facile d'ajouter de nouveaux emplacements l'unit d'organisation ou la hirarchie de domaine. .# Avantage des forces du rseau. En rgle gnrale, la topologie du rseau physique d'une entreprise ressemble une hirarchie dfinie en fonction des emplacements. Crer des domaines l'aide de cette mthode vous permet de profiter des zones o le rseau offre une large bande passante et de limiter la quantit de donnes dupliques dans les zones de faible bande passante. .# Risque potentiel pour la scurit. Si un emplacement rassemble plusieurs divisions ou services, une personne ou un groupe disposant d'une autorit d'administration sur ce domaine ou sur cette unit d'organisation peut galement possder une autorit sur les autres domaines ou units d'organisation enfants. Une hirarchie de domaines ou d'units d'organisation dfinie en fonction des emplacements est recommande uniquement si chaque

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

emplacement dispose d'administrateurs. Si des administrateurs de plusieurs services ou divisions se trouvent au mme emplacement, ils peuvent cooprer pour effectuer certaines tches d'administration.

Conception dune hierarchie dfinie en fonction de lorganisation de lentreprise


. Reflet

du modle commercial aux rorganisations . Maintien de l'autonomie des services et des divisions . Adaptation aux fusions et extensions . Risque d'impact sur la duplication
. Vulnrabilit

Une entreprise qui spare l'administration informatique par service ou division peut choisir de concevoir une hirarchie Active Directory en fonction de sa structure. Dans ce cas, l'architecte doit tre trs attentif au respect de la structure d'administration, plutt que de l'organigramme. En effet, ce dernier peut ne pas reflter les besoins administratifs de l'entreprise. Si vous concevez la structure Active Directory de manire reflter l'organigramme, il peut tre difficile de dlguer l'autorit d'administration, car les objets Active Directory, tels que les imprimantes et les partages de fichiers, peuvent ne pas tre regroups de faon faciliter la dlgation de cette autorit. tant donn que la structure Active Directory est transparente pour les utilisateurs, la conception doit se plier aux exigences de l'administrateur plutt qu' celles des utilisateurs.

Caractristiques des conceptions dfinies en fonction lorganisation de lentreprise


Pour dterminer si vous devez organiser la structure Active Directory en fonction de l'organisation de l'entreprise, tenez compte des caractristiques ci-dessous. .# Reflet du modle commercial. Une structure organisationnelle reflte mieux les pratiques commerciales d'une entreprise qu'une structure dfinie en fonction des emplacements. Toutefois, la structure hirarchique est transparente pour les utilisateurs. .# Vulnrabilit aux rorganisations. tant donn que les rorganisations de la structure de l'entreprise peuvent profondment affecter le modle dfini en fonction de son organisation, de nombreuses ressources informatiques peuvent tre ncessaires la restructuration d'Active Directory. .# Maintien de l'autonomie des services et des divisions. Une hirarchie organisationnelle prsente peu de problmes de scurit, car il est peu probable que les limites entre les divisions ou les services soient franchies dans ce modle. Au moment de dfinir le modle hirarchique, les exigences en matire de scurit au niveau du service constituent un facteur important. .# Adaptation aux fusions et extensions. Lorsqu'une entreprise fusionne ou acquiert une autre socit, il est facile d'ajouter de nouveaux services dans la hirarchie organisationnelle. .# Risque d'impact sur la duplication. Les structures dfinies en fonction de l'organisation de l'entreprise permettent de crer des domaines mais ne font pas obligatoirement une utilisation optimale du rseau, car le contexte de dnomination des domaines peut se dupliquer sur un ou plusieurs segments faible bande passante.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Conception dune hirarchie dfinie en fonction des postes


. Rsistance . Couches

aux rorganisations de l'entreprise supplmentaires . Risque d'impact sur la duplication

Une entreprise dote d'une administration dcentralise peut choisir de concevoir la structure Active Directory en fonction des postes qui la composent. Une hirarchie dfinie en fonction des postes est un choix particulirement adapt aux petites entreprises dont les postes couvrent plusieurs services. Par exemple, cette structure peut tre intressante pour un cabinet-conseil qui dispose d'une quipe inter-services ddie un client particulier. Une hirarchie dfinie en fonction des postes ne tient compte que des fonctions commerciales de l'entreprise, et ignore l'emplacement gographique ou les barrires existant entre les services ou les divisions. Choisissez cette approche uniquement si la fonction informatique n'est pas dfinie en fonction de l'emplacement gographique ou de l'organisation.

Caractristiques des conceptions dfinies en fonction des postes


Pour dterminer si vous devez organiser la structure Active Directory en fonction des postes, tenez compte des caractristiques ci-dessous. .# Rsistance aux rorganisations de l'entreprise. Une hirarchie dfinie en fonction des postes n'est pas affecte par les rorganisations de l'entreprise ou de son organisation. .# Couches supplmentaires. Si vous utilisez cette structure, vous serez peut-tre amen crer des couches supplmentaires dans la hirarchie des units d'organisation afin de faciliter l'administration des utilisateurs, des imprimantes, des serveurs et des partages rseau. .# Risque d'impact sur la duplication. Les structures dfinies en fonction de l'organisation de l'entreprise qui permettent de crer des domaines ne font pas obligatoirement un usage optimal du rseau, car le contexte de dnomination des domaines peut se dupliquer sur un ou plusieurs segments faible bande passante. Les hirarchies dfinies en fonction des postes ne sont adaptes qu'aux petites entreprises car les services fonctionnels des moyennes et grandes entreprises sont souvent varis et peuvent tre difficilement regroups en catgories plus larges.

Conception dune hirarchie hybride dfinie en fonction des emplacements puis de lorganisation
de croissance de scurit . Utilisation optimale du rseau . Possibilit de modification du niveau infrieur aprs rorganisation
. Limites . Possibilit

Certaines entreprises trouvent avantageux de combiner plusieurs stratgies pour laborer la structure d'administration la plus approprie. La conception d'une hirarchie hybride permet de combiner les forces de plusieurs services afin de rpondre aux besoins de l'entreprise. La conception des units d'organisation ou des domaines de niveau suprieur en fonction des emplacements, et des units d'organisation ou des domaines de niveau infrieur en fonction de l'organisation de l'entreprise convient aux entreprises extrmement distribues possdant une fonction informatique centralise et un fort cloisonnement entre les services ou les divisions. tant donn que les niveaux suprieurs sont dfinis en fonction des emplacements, cette structure est moins susceptible de changer, et par consquent d'engendrer une restructuration de grande envergure en cas de rorganisation.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Si vous concevez une hirarchie hybride dfinie en fonction des emplacements, puis en fonction de l'organisation de l'entreprise, tenez compte des caractristiques ci-dessous. .# Ce type de conception permet la croissance ultrieure des emplacements gographiques, des services ou des divisions. .# Ce type de conception permet de placer des limites de scurit distinctes par service ou par division. .# Ce type de conception peut ncessiter un nouveau modle pour les domaines ou units d'organisation de niveau infrieur en cas de rorganisation de la fonction informatique. .# Ce type de conception peut impliquer la coopration des administrateurs pour la ralisation de certaines tches d'administration s'ils se trouvent au mme emplacement mais dans diffrents services ou divisions.

Conception dune hirarchie hybride dfinie en fonction de lorganisation de lentreprise puis des emplacements
La conception d'un modle dans lequel les domaines ou units d'organisation de niveau suprieur sont dfinis en fonction de l'organisation de l'entreprise et les domaines ou units d'organisation de niveau infrieur sont dfinis en fonction des emplacements convient aux grandes entreprises extrmement distribues, organises en divisions physiquement distribues et ncessitant des stratgies de scurit distinctes pour chaque division. La hirarchie dfinie en fonction de l'organisation de l'entreprise (niveau suprieur)/des emplacements (niveau infrieur) s'adapte l'organisation de l'entreprise tout en facilitant la distribution gographique de la fonction informatique. Pour dterminer si vous devez choisir une hirarchie hybride dfinie en fonction de l'organisation de l'entreprise, puis en fonction des emplacements, tenez compte des caractristiques ci-dessous. .# Ce type de conception permet un fort cloisonnement de la fonction d'administration entre services ou divisions, tout en autorisant la dlgation de l'administration en fonction de l'emplacement gographique. .# Toute rorganisation modifie le modle hirarchique des domaines ou des units d'organisation et engendre des travaux de reconstruction de grande envergure pour le service informatique. .# Si cette mthode est utilise pour la cration de domaines, elle ne fera pas obligatoirement un usage optimal du rseau physique, car il est probable que les domaines seront rpartis entre plusieurs sites. Quel que soit le type de hirarchie hybride utilis, les entreprises peuvent ajouter des units d'organisation pour faciliter l'administration en fonction des postes. Par exemple, vous pouvez crer des units d'organisation pour sparer en groupes distincts des utilisateurs, serveurs de messagerie, contrleurs de domaines et serveurs d'impression grs par un groupe particulier.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
des besoins de l'entreprise d'une stratgie de groupe dans Active Directory . Planification d'une stratgie de groupe Les stratgies de groupe sont utilises dans le service d'annuaire Active Directory de Microsoft Windows 2000 pour administrer divers aspects de la configuration des ordinateurs clients, de l'installation de logiciels la gestion de l'environnement utilisateur. Les objets stratgie de groupe (GPO, Group Policy Objects) permettent l'application de stratgies de groupe aux utilisateurs et aux ordinateurs qui figurent dans le service d'annuaire Active Directory au niveau du site, du domaine et de l'unit d'organisation. La faon dont une entreprise utilisera la stratgie de groupe dpend du niveau souhait de gestion des clients. L'utilisation d'une stratgie de groupe peut entraner la cration d'units d'organisation de niveau infrieur lors de la conception de la structure Active Directory.
. Application . Identification

Identification des besoins de lentreprise


. Une
z

stratgie de groupe est applique : Frquemment dans les rseaux niveau de gestion lev z Peu frquemment dans les rseaux niveau de gestion minimal . Une stratgie de groupe est utilise pour : z Imposer la scurit z Crer des configurations communes z Simplifier le processus d'installation des ordinateurs z Limiter la distribution d'applications Pour dterminer la faon dont la stratgie de groupe sera implmente dans une entreprise, il faut commencer par identifier les secteurs de l'entreprise qui ncessitent un niveau de gestion lev, et les secteurs qui ncessitent un niveau de gestion moins lev. Il faut ensuite dterminer comment les objets GPO seront utiliss pour satisfaire les besoins de gestion.

Niveau de gestion
L'importance de l'utilisation d'une stratgie de groupe pour la gestion des postes clients est dtermine par le niveau de service que le service informatique offre aux utilisateurs. L'administration du rseau pouvant tre dlgue, il est possible d'utiliser divers niveaux de gestion informatique dans diffrents secteurs de l'entreprise. Les deux types d'environnements de gestion sont dcrits ci-dessous. .# Gestion leve. Dans les environnements gestion leve, les administrateurs du domaine ou de l'unit d'organisation peuvent utiliser une stratgie de groupe pour configurer les environnements utilisateur et ordinateur. Ce type de stratgie de groupe peut inclure la distribution et la maintenance des logiciels, la scurit des ordinateurs, la gestion des dossiers dconnects, ainsi que les scripts d'ouverture et fermeture de sessions, de dmarrage et d'arrt. .# Gestion minimale. Les environnements pour lesquels un niveau de gestion lev n'est pas ncessaire peuvent effectuer, des degrs divers, leurs propres oprations de dpannage, d'installation de logiciels et mme de remplacement de composants matriels. Les administrateurs de ce type d'environnement utilisent peu les stratgies de groupe.

Objectifs dune stratgie de groupe


Pour dterminer les raisons pouvant justifier l'utilisation d'une stratgie de

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

groupe par une entreprise, il faut d'abord connatre les fonctions susceptibles d'tre prises en charge par une stratgie de groupe. Une stratgie de groupe permet d'implmenter les tches ci-dessous. .# Application des standards de scurit communs. Les objets GPO permettent de dfinir des paramtres de scurit cohrents pour tous les ordinateurs d'une classe particulire. Par exemple, il est recommand que les contrleurs de domaine disposent tous de paramtres de scurit communs, restreignant l'accs local l'ordinateur et l'accs distance au contrleur de domaine. Les stratgies de scurit sont le plus souvent appliques aux domaines, aux contrleurs de domaine et aux serveurs. .# Application de la configuration des ordinateurs et des utilisateurs. Il est courant que des groupes d'ordinateurs et d'utilisateurs requirent des configurations communes. Par exemple, certains utilisateurs sont susceptibles d'ouvrir une session sur plusieurs stations de travail dans le cadre de leurs fonctions et peuvent avoir besoin de disposer d'une configuration identique sur ces stations de travail. .# Simplification du processus de configuration des ordinateurs. Une stratgie de groupe permet de distribuer les applications, ce qui peut simplifier la configuration des ordinateurs. La stratgie de groupe permet l'administrateur d'envoyer facilement un ensemble d'applications vers un utilisateur ou une station de travail. Cette fonction de distribution d'applications est particulirement utile dans les environnements niveau de gestion lev, dans lesquels le service informatique est charg de la distribution et de la gestion de toutes les applications de l'entreprise. .# Limitation de la distribution des applications. Une stratgie de groupe peut simplifier le contrle de la conformit des ordinateurs et des utilisateurs en permettant l'administrateur rseau de restreindre la distribution des applications pour lesquelles le nombre de licences est limit.

Application dune stratgie de groupe dans Active Directory


d'une stratgie de groupe au niveau du site d'une stratgie de groupe au niveau du domaine . Application d'une stratgie de groupe au niveau de l'unit d'organisation . Consignes de conception Il est possible de crer des objets GPO pour des sites, des domaines et des units d'organisation. L'application d'objets GPO chacun de ces trois niveaux prsente des avantages et des inconvnients qui peuvent affecter la porte de l'objet GPO et la faon dont l'hritage est transmis entre les conteneurs. Par exemple, l'application d'un objet GPO au niveau d'un site ou d'un domaine affecte davantage d'objets qu'au niveau d'une unit d'organisation. Toutefois, l'application d'un objet GPO au niveau du site ou domaine implique un moindre contrle de chaque objet individuel comparativement l'application d'un objet GPO au niveau de l'unit d'organisation.
. Application . Application

Application dune stratgie de groupe au niveau du site


. Les

objets GPO d'un site unique affectent tous les domaines au sein du site objets GPO au niveau du site peuvent sortir des limites des domaines Dans un rseau, les objets GPO peuvent tre appliqus un site ou un ensemble de sous rseaux. Les objets GPO appliqus au niveau du site sont pris en compte sur tous les ordinateurs et les utilisateurs qui sont physiquement situs sur ce site. Une stratgie dfinie au niveau du site n'affectera pas les utilisateurs mobiles rattachs ce site s'ils accdent au rseau partir d'un autre
. Les

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

site. Il n'est conseill d'appliquer un objet GPO au niveau du site que lorsque les paramtres stratgiques ne sont ncessaires que sur ce site. Les objets GPO spcifiques un site permettent de grer le trafic sur des liaisons faible dbit. Par exemple, pour viter l'installation de logiciels sur ce type de liaison, il est possible de dcider que les lots ne seront transmis qu'au sein d'un site unique. Les logiciels peuvent ensuite tre publis l'aide d'un objet GPO appliqu au site, de faon que les installations ne soient effectues que sur les ordinateurs du site.

Site unique
Dans un environnement compos d'un seul site et d'un seul domaine, l'application d'un objet GPO au niveau du site a le mme effet que l'application d'un objet GPO au niveau du domaine. Pour simplifier l'administration, les objets GPO ne sont appliqus dans cet exemple qu'au niveau du domaine et non pas au niveau du site. Dans un site unique ayant plusieurs domaines, tous les domaines sont affects par l'objet GPO appliqu au site.

Sites multiples
Dans une structure plusieurs sites, une stratgie de groupe applique au niveau du site peut sortir des limites des domaines et s'appliquer des utilisateurs et ordinateurs de plusieurs domaines. Par consquent, seul un membre du groupe Administrateurs de l'entreprise est autoris appliquer une stratgie de groupe au niveau du site.

Application dune stratgie de groupe au niveau du domaine


. Dans

un domaine unique, les objets GPO affectent tout le domaine et ne peuvent tre dlgus . Dans plusieurs domaines, les objets GPO au niveau du domaine n'affectent pas les autres domaines, sauf en cas de liaisons Les objets GPO dfinis au niveau du domaine s'appliquent tous les ordinateurs et utilisateurs au sein du domaine.

Domaine unique
Vous pouvez crer tous vos objets GPO au niveau du domaine pour liminer tout conflit susceptible de survenir lorsqu'il existe aussi des objets GPO au niveau du site ou de l'unit d'organisation. Toutefois, si vous n'appliquez les objets GPO qu'au niveau du domaine, il ne vous sera pas possible de dlguer l'administration aux administrateurs des autres services de l'entreprise. Tous les objets GPO devront tre administrs au niveau du domaine.

Domaines multiples
Les objets GPO crs dans un domaine parent ne peuvent pas crer de conflits avec les objets GPO d'un domaine enfant. En effet, les domaines dfinissent une limite administrative dans Active Directory et sont administrs indpendamment. C'est pourquoi une stratgie de groupe cre au niveau d'un domaine n'affecte que les utilisateurs et ordinateurs de ce domaine. Vous pouvez appliquer les paramtres de la stratgie de groupe d'un premier domaine aux utilisateurs et ordinateurs d'un autre domaine en liant l'objet GPO existant ce second domaine. Toutefois, cette mthode engendre du trafic supplmentaire sur le rseau. Pour viter cet inconvnient, vous pouvez crer au sein du second domaine un nouvel objet GPO contenant les mmes paramtres de stratgie de groupe que celui du premier domaine. Il est impossible de copier les objets GPO.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Paramtres de stratgie de groupe couramment dfinis au niveau du domaine


Une stratgie de groupe peut tre dfinie au niveau de l'unit d'organisation ou au niveau du domaine. Toutefois, mme si la stratgie de groupe est dfinie au niveau de l'unit d'organisation, certains paramtres de cette stratgie sont en gnral dfinis au niveau du domaine.

Application dune stratgie de groupe au niveau de lunit dorganisation


niveau unit d'organisation, les objets GPO sont hrits par les units d'organisation enfants des units d'organisation parentes L'application d'une stratgie de groupe au niveau de l'unit d'organisation permet de contrler troitement l'application de la stratgie de groupe des utilisateurs et ordinateurs spcifiques. Par exemple, vous pouvez crer des units d'organisation pour regrouper des sous-ensembles d'utilisateurs ayant des besoins communs, puis appliquer chaque unit d'organisation un objet GPO appropri ses besoins. La cration d'objets GPO pour les units d'organisation permet l'administrateur rseau de contrler avec prcision l'application des paramtres de la stratgie de groupe, puisqu'il n'est plus ncessaire de filtrer ces paramtres. Toutefois, cela implique aussi un plus grand nombre d'objets GPO grer. De plus, cela peut donner lieu des conflits entre objets GPO, du fait que les units d'organisation peuvent tre imbriques et que la stratgie de groupe est hrite de l'unit d'organisation parente. Une planification soigne des units d'organisation et des objets GPO permet de rduire les risques de conflit provoqus par ce type d'hritage. En cas de dlgation ou de dcentralisation de l'administration d'une unit d'organisation, l'administration des objets GPO affects cette unit se trouve galement dlgue. Si vous dsirez conserver l'administration centralise des objets GPO, ne dlguez pas le contrle administratif des units d'organisation.
. Au

Paramtres de stratgie de groupe couramment dfinis au niveau de lunit dorganisation


Une stratgie de groupe est dfinie au niveau d'une unit d'organisation pour les ordinateurs et les utilisateurs qui appartiennent cette unit.

Consignes de conception
aussi peu d'objets GPO que possible chaque objet GPO sur un seul conteneur de site, domaine ou unit d'organisation . vitez de lier des objets GPO entre plusieurs domaines . Rduisez le nombre d'objets GPO appliqus un utilisateur ou un ordinateur Vous trouverez ci-dessous des consignes d'ordre gnral relatives l'application d'une stratgie de groupe des objets Active Directory pour la prise en charge des besoins de l'entreprise. .# Crez une conception de domaine ou d'unit d'organisation utilisant le plus petit nombre possible d'objets GPO. Plus vous associez d'objets GPO un objet, plus le trafic gnr est important et plus le temps d'ouverture de session sur le rseau est long pour les utilisateurs. Crez des units d'organisation de niveau infrieur en fonction des besoins en objets GPO. .# Faites correspondre chaque objet GPO un seul conteneur de site, de domaine ou d'unit d'organisation. Cette stratgie rduit la confusion engendre par les rgles d'hritage et facilite la rsolution des conflits.
. Mappez . Crez

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

.# vitez de lier des objets GPO entre plusieurs domaines, afin de rduire le dlai d'ouverture de session des utilisateurs. .# Rduisez le nombre d'objets GPO appliqus un utilisateur ou un ordinateur. Il est prfrable d'inclure plusieurs paramtres de stratgie dans un seul objet GPO plutt que de crer plusieurs objets GPO. Un objet GPO comportant 100 paramtres de stratgie de groupe est plus rapide appliquer que 100 objets GPO dots chacun d'un paramtre de stratgie de groupe.

Vue densemble
des besoins de l'entreprise du premier domaine Active Directory . Planification des groupes de scurit . Planification des units d'organisation Les tches d'administration courantes d'une entreprise peuvent tre simplifies en planifiant l'avance l'organisation des objets du domaine. l'intrieur d'un domaine Active Directory, vous pouvez crer une structure hirarchique d'units administratives, dites units d'organisation (UO) et regrouper ensuite des objets dans ces units. Une bonne comprhension des domaines et units d'organisation et de la manire de contrler les objets qui s'y trouvent vous aidera planifier un modle convenant votre structure administrative.
. Conception . Identification

Identification des besoins de lentreprise


Avant de concevoir un domaine, vous devez : . Identifier la stratgie d'administration . Identifier les besoins de scurit . Prvoir la croissance et la flexibilit La structure administrative d'une entreprise dtermine celle du modle de domaine. En rgle gnrale, partez toujours du principe qu'un domaine unique doit pouvoir suffire accueillir la structure administrative de l'entreprise. Un seul domaine est en effet suffisant pour la plupart des entreprises, moins d'une raison stratgique importante, comme par exemple des besoins distincts au niveau des domaines. Dans un domaine, votre modle d'units d'organisation doit reflter la hirarchie administrative des responsabilits. Avant de concevoir le domaine, vous devez effectuer les tches suivantes :

Identification de la stratgie dadministration


L'organisation du domaine doit tre base sur la structure administrative de votre entreprise et sur le schma de dlgation des responsabilits administratives qui lui est associ. Dterminez le type de structure que vous utiliserez pour votre modle hirarchique : structure gographique, organisationnelle, fonctionnelle ou hybride. Vous devez crer le schma de dlgation des responsabilits administratives avant de crer la structure du domaine et des units d'organisation.

Identification des besoins de scurit


Vous devez identifier les diffrents niveaux de scurit ncessaires dans les diffrents services d'une entreprise. Votre modle d'organisation devra reflter ces besoins en scurit. Vous pouvez galement utiliser des groupes de scurit pour autoriser des groupes ou des individus accder des ressources particulires. Commencez par identifier les groupes ncessitant ce type d'accs, l'emplacement des ressources concernes et les restrictions applicables, telles que des rglements interdisant l'accs par certains services.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Identification de la croissance et de la flexibilit lintrieur de lentreprise


Assurez-vous que le nom de domaine et la structure des units d'organisation que vous choisissez resteront pertinents en cas de croissance, d'acquisitions ou de rorganisations.

Conception du premier domaine Active Directory


Le premier domaine cr dans Active Directory reprsente le domaine racine de l'ensemble de la fort. Le premier domaine est galement appel racine de la fort. La racine de la fort contient les informations de configuration et de schma relatives la fort. La dure de vie d'un domaine s'tend gnralement sur une priode de trois cinq ans. Pour assurer la durabilit de votre structure de domaine, prenez en compte les prvisions de croissance et les plans de rorganisation de votre entreprise dans le modle Active Directory.

Dnomination du problme
tant donn que des approbations transitives sont tablies entre la racine de la fort et les domaines racines des autres domaines de la fort, il est important de choisir pour la racine de la fort un nom la fois simple et reprsentatif. Le nom du premier domaine ne peut plus tre modifi une fois cr. Le nom du premier domaine doit identifier votre entreprise dans sa globalit, car si vous crez par la suite des domaines supplmentaires, les noms des domaines enfants crs partir du domaine racine seront drivs de ce nom. Par exemple, si vous crez un domaine racine nomm contoso.msft et que vous lui subordonnez par la suite un domaine appel Marketing, ce dernier aura pour nouveau nom marketing.contoso.msft. N'oubliez pas que les units d'organisation doivent reflter la structure administrative et non l'organigramme de l'entreprise, ce dernier n'tant d'aucune utilit aux administrateurs utilisant la structure d'units d'organisation.

Planification des groupes de scurit


. Slection

du groupe de scurit utiliser des groupes imbriqus . Consignes de conception . Discussion : Conception des groupes de scurit Les groupes de scurit organisent les objets ordinateurs ou utilisateurs en fonction des besoins de scurit. L'tendue d'un groupe dtermine qui peut appartenir au groupe et quelles permissions peuvent lui tre attribues. Lors de la conception d'une structure d'units d'organisation, vous devez prendre en compte l'emplacement des ressources au sein des units et la cration ainsi que la localisation des groupes de scurit gardant l'accs ces ressources.
. Planification

Slection du groupe de scurit utiliser


Windows 2000 utilise les types de groupes de scurit ci-dessous. .# Les groupes universels servent regrouper les utilisateurs et attribuer les autorisations au sein d'une fort entire. .# Les groupes globaux organisent les objets utilisateur au sein des domaines. .# Les groupes locaux de domaine rpertorient les autorisations d'accs des utilisateurs aux ressources du rseau, tels que dossiers, fichiers ou

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

imprimantes, au sein d'un domaine unique. Les groupes de scurit sont utiliss pour scuriser les ressources. L'utilisation de groupes de scurit permet d'attribuer les mmes autorisations un grand nombre d'utilisateurs en une seule opration, ce qui garantit la cohrence des autorisations entre tous les membres d'un groupe. Un aspect important du travail de planification de la scurit des ressources et de l'administration consiste dcider dans quel contexte utiliser chaque type de groupe de scurit.

Planification des groupes universels


Les groupes universels peuvent comporter des membres de tout domaine de la fort et tre utiliss dans une liste de contrle d'accs discrtionnaire (DACL, Discretionary Access Control List) ou une liste de contrle d'accs systme (SACL, System Access Control List) portant sur tout objet de la fort. Lors de la cration et de la mise jour des groupes universels dans votre entreprise, suivez les conseils donns ci-dessous. .# Crez des groupes universels dont les membres resteront stables dans le temps. Modifiez ces groupes le moins possible, car lors de la mise jour des membres d'un groupe universel, tous les membres de ce groupe sont dupliqus vers tous les serveurs du catalogue global de la fort. Cette duplication peut entraner un engorgement du rseau. .# Pour rduire les besoins de modification des groupes universels, vitez de leur ajouter des utilisateurs individuels. .# Chaque fois que possible, crez des groupes universels l'intrieur d'autres groupes universels, afin de rduire le nombre de membres de chaque groupe. L'ajout de groupes des groupes existants du mme type est appel imbrication. .# Rduisez le nombre total d'objets dans un groupe universel pour soulager le trafic de duplication. Les groupes de scurit universels ne sont disponibles qu'en mode natif. Par dfaut, les domaines sont crs en mode mixte pour permettre la compatibilit avec les contrleurs secondaires de domaine (CSD) de Microsoft Windows NT 4.0. Dans un environnement sans CSD, le mode mixte n'est plus justifi. Pour utiliser toutes les fonctionnalits des groupes, assurez-vous que le domaine est en mode natif.

Planification des groupes globaux


Les groupes globaux regroupent les objets utilisateur d'un mme domaine. Lorsque vous planifiez des groupes globaux, prenez en compte les lments dtaills ci-dessous. .# Contrairement aux groupes universels, la duplication des membres des groupes globaux s'effectue l'intrieur d'un domaine et non pas dans la totalit de la fort. Seul le nom de groupe est dupliqu vers les serveurs du catalogue global, et non les membres du groupe. Le trafic de duplication entre les domaines est donc rduit. .# Les groupes globaux sont rpertoris dans le catalogue global, qui conserve une copie complte de chaque objet du domaine de serveurs ainsi que certains attributs de tous les objets des autres domaines. Tous les utilisateurs et membres des domaines approuvs peuvent afficher et accder aux groupes globaux pour les affecter, des fins de scurit, soit des groupes de domaines locaux, soit des groupes universels. .# Les groupes globaux ne peuvent contenir que des groupes globaux ou des utilisateurs individuels du domaine dans lequel ils rsident. .# Essayez de limiter la taille des groupes. Un grand nombre de petits groupes est prfrable un petit nombre de grands groupes car cela facilite la gestion des membres. N'hsitez pas scinder les grands groupes globaux en des groupes plus petits, puis imbriquer ces groupes globaux en fonction des besoins.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

L'imbrication des groupes globaux n'est disponible que dans les domaines convertis en mode natif.

Planification des groupes locaux de domaine


Les adhsions aux groupes locaux de domaine sont valides uniquement dans le domaine o elles sont dfinies et ne sont pas dupliques vers le catalogue global. Vous pouvez utiliser des groupes locaux de domaine pour combiner des utilisateurs individuels et des groupes globaux faisant partie de votre domaine, d'autres domaines approuvs et de groupes universels. Lorsque vous planifiez des groupes locaux de domaine, prenez en compte les lments ci-dessous. .# Les groupes locaux de domaine sont dupliqus dans la totalit du domaine. Par consquent, vous avez avantage limiter le nombre des membres et constituer des groupes imbriqus. .# Des autorisations doivent tre affectes aux groupes locaux de domaine. .# Les groupes locaux d'un domaine peuvent contenir des membres de tout autre domaine, mais ne peuvent tre rfrencs que dans les listes DACL ou SACL du domaine.

Planification des groupes imbriqus


. Lors

de l'imbrication, vous devez : Minimiser les niveaux d'imbrication Documenter les membres des groupes

L'imbrication peut rduire le nombre de fois o les autorisations doivent tre attribues. Vous pouvez crer une hirarchie de groupes imbriqus rpondant aux besoins de l'entreprise. Imbriquer des groupes dans un environnement domaines multiples peut rduire le trafic rseau entre les domaines et simplifier l'administration. Par exemple, des groupes globaux rgionaux peuvent contenir des responsables spcifiques chaque rgion. Tous les groupes rgionaux peuvent ensuite tre ajouts un groupe global de responsables internationaux. L o tous les responsables ont des besoins d'accs identiques, les autorisations n'ont besoin d'tre attribues qu'une seule fois au groupe de responsables internationaux. Les consignes pour l'imbrication des groupes sont rpertories ci-dessous. .# Minimisez les niveaux d'imbrication pour simplifier le suivi des autorisations. Un seul niveau d'imbrication est plus efficace parce qu'il rduit le nombre des affectations d'autorisation et simplifie donc leur suivi. .# Documentez les adhsions aux groupes afin de mieux suivre le cheminement des autorisations. Par exemple, un groupe englobant des employs intrimaires peut tre cr pour un projet particulier l'intrieur d'un groupe. Si le groupe du projet est ensuite ajout un groupe qui a accs aux informations confidentielles de l'entreprise, les employs intrimaires auront galement accs ces informations. En documentant le contenu des groupes, les consquences indsirables ventuelles d'une imbrication apparaissent clairement et peuvent tre empches. L'imbrication des groupes n'est prise en charge que dans le cadre d'un domaine en mode natif.

Consignes de conception
Lors de la conception des groupes de scurit, n'oubliez pas les consignes ci-dessous. .# Ajoutez les comptes d'utilisateur aux groupes globaux plutt qu'aux groupes universels ou de domaine local. Essayez de crer un groupe global dans chaque domaine pour chaque description de tche. Crez de nouveaux groupements en imbriquant les groupes globaux dans d'autres groupes

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

globaux. Ces imbrications minimiseront le temps de duplication, car seuls les membres des groupes globaux de base doivent tre modifis rgulirement. .# Ajoutez des groupes globaux aux groupes universels. Modifiez le moins possible les membres des groupes universels, car les adhsions ces groupes sont dupliques vers tous les serveurs de catalogue global chaque modification d'un membre. Chaque fois que possible, imbriquez les groupes au lieu de crer des groupes universels redondants. .# Ajoutez des groupes globaux et universels aux groupes de domaine local au fur et mesure des besoins. Habituellement, vous n'avez besoin d'ajouter que des groupes globaux aux groupes de domaine local. L'ajout de groupes globaux un groupe universel puis l'ajout du groupe universel un groupe de domaine local est possible. Cependant, la cration d'un groupe universel uniquement dans ce but n'est pas recommande, car les besoins en scurit de chaque groupe global sont sujets modification. .# Attribuez des droits et des autorisations aux groupes locaux de domaine plutt qu'aux groupes globaux ou universels, pour une administration plus souple et plus simple. .# Dlguez l'autorisation de grer les adhsions aux groupes. Cela permet aux propritaires des ressources de grer l'accs leurs ressources dans les groupes locaux de domaine, et aux assistants administrateurs de grer les membres des groupes globaux. Cependant, seul les administrateurs de l'entreprise peuvent grer les membres des groupes universels.

Discussion : Conception des groupes de scurit


Discussion
Northwind Traders utilise deux domaines : un pour toutes les ressources de leur bureau de Chicago et un autre pour toutes les ressources de leur succursale parisienne. Le service des ressources humaines de chaque bureau gre des bases de donnes spares pour les informations relatives aux employs. Les utilisateurs des ressources humaines de chaque domaine doivent avoir l'autorisation de modifier la base de donnes des employs de leur propre domaine et les utilisateurs RH des deux domaines doivent avoir l'autorisation de lire les deux bases de donnes des employs. Les utilisateurs RH des deux domaines doivent avoir des autorisations de modification sur la base de donnes de la mutuelle Chicago. 1. Comment utiliser les groupes de scurit en vue d'autoriser aux utilisateurs RH de chaque domaine un accs aux bases de donnes des employs dans leur domaine respectif ? Ajoutez les utilisateurs RH de Chicago un groupe global Utilisateurs RH Chicago, et ajoutez les utilisateurs RH de Paris un groupe global Utilisateurs RH Paris. Ajoutez le groupe global de Chicago un groupe de domaine local de Chicago, et ajoutez le groupe global de Paris un groupe de domaine local de Paris. Accordez chaque groupe de domaine local des autorisations de modification des bases de donnes des employs. _____________________________________________________________ _____________________________________________________________ 2. Comment utiliser les groupes de scurit en vue d'accorder aux utilisateurs RH de chaque domaine un accs en lecture seule aux bases de donnes des employs de Paris et de Chicago ? Ajoutez le groupe global de Paris un groupe de domaine local de Chicago possdant des autorisations de lecture seule sur la base de donnes des employs de Chicago. Ajoutez le groupe global de Chicago

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

un groupe de domaine local de Paris possdant des autorisations de lecture seule sur la base de donnes des employs de Paris. _____________________________________________________________ _____________________________________________________________ 3. Comment utiliser les groupes de scurit en vue d'accorder aux utilisateurs RH des deux domaines des autorisations de modification sur la base de donnes de la mutuelle ? Ajoutez le groupe global de Paris et celui de Chicago un groupe universel. Ajoutez le groupe universel un groupe du domaine local de Chicago possdant des autorisations de modification sur la base de donnes de la mutuelle. _____________________________________________________________ _____________________________________________________________

Planification des units dorganisation


de stratgies d'units d'organisation de niveau suprieur de stratgies d'units d'organisation de niveau infrieur . Consignes de conception Planifiez la structure d'units d'organisation en fonction du modle administratif de votre rseau. La structure des units d'organisation n'est utile qu'aux administrateurs. Une structure d'units d'organisation correctement conue et constitue d'units de niveaux infrieur et suprieur permettra aux administrateurs de dlguer des responsabilits et d'appliquer une stratgie de groupe. Votre structure d'units d'organisation doit galement pouvoir s'adapter toute rorganisation future, afin de rduire au maximum les dplacements d'objets.
. Planification . Planification

Planification de stratgies dunits dorganisation de niveau suprieur


La structure d'units d'organisation doit reflter la structure administrative Active Directory. La structure administrative dtermine dans votre entreprise quelles sont les personnes responsables de la gestion d'utilisateurs et de ressources particulires travers le rseau, et quel est le niveau de contrle de chaque administrateur.

Niveaux suprieurs des units dorganisation


N'essayez pas de copier l'organigramme lors de la conception structurelle des units d'organisation, car l'utilisation de la hirarchie politique des services peut nuire l'objectif principal, qui est de faciliter l'administration. La hirarchie des units d'organisation n'a pas pour but de faciliter l'accs client. En revanche, elle doit reflter les besoins de l'entreprise en matire d'administration et de scurit. Dans la hirarchie, utilisez des noms facilement reconnaissables par le personnel administratif. Attachez-vous crer un modle simple afin d'en allger gestion. Lors de la conception des units d'organisation de niveau suprieur, n'oubliez pas les consignes ci-dessous. .# Basez les units d'organisation de premier niveau sur un aspect stable de l'entreprise. Cela permet d'viter de restructurer le premier niveau suite aux rorganisations ventuelles de l'entreprise. Par exemple, vous pouvez choisir de crer des units d'organisation diffrentes pour chaque pays afin de reflter les diffrences de stratgie d'administration, car les zones gographiques sont moins sujettes au changement que les divisions d'une entreprise.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

.# Pensez

standardiser les units d'organisation travers l'entreprise. Bien que les units d'organisation puissent diffrer au sein de chaque domaine, vous devez envisager un premier niveau standard pour tous les domaines, que ce soit ncessaire ou non. Par exemple, vous pouvez crer au sein de chaque domaine un premier niveau d'units d'organisation englobant les groupes, les imprimantes et les applications. La cration d'units d'organisation n'entranant ni duplication ni cot, une telle structure de premier niveau garantit la cohrence de l'administration des domaines travers la fort, ce qui assure la cohrence de la prise en charge dans toute l'entreprise.

Planification de stratgies dunits dorganisation de niveau infrieur


Les units d'organisation de niveau infrieur doivent reprsenter des niveaux plus dtaills de responsabilit administrative dans l'entreprise. Crez des units d'organisation de niveau infrieur pour dlguer la responsabilit des objets des groupes d'utilisateurs spcifiques et rpondre aux besoins stratgiques des groupes. Par exemple, vous pouvez crer une unit d'organisation qui englobe les utilisateurs ayant besoin d'une application donne, puis crer une stratgie de groupe pour cette unit. Vous pouvez concevoir une structure hirarchique dans laquelle de nouvelles units d'organisation de niveau infrieur sont cres (ou imbriques) l'intrieur d'units d'organisation existantes. Cela permet d'viter de trop toucher votre structure administrative et fonctionne de la mme faon que les imbrications pouvant tre ralises avec les groupes. Lors de la conception des units d'organisation de niveau infrieur, n'oubliez pas les consignes ci-dessous. .# Les units d'organisation peuvent tre administres indpendamment, mais lorsque vous crez une unit d'organisation l'intrieur d'une unit existante, la nouvelle unit hrite, par dfaut, des proprits de l'unit qui la contient. .# N'imbriquez les units d'organisation qu'en fonction des besoins, afin de fournir une reprsentation claire et prcise de la structure administrative de l'entreprise. Un trop grand nombre de niveaux d'imbrication peut s'avrer plus droutant que bnfique. .# La stratgie de groupe est applique depuis le domaine racine aux objets contenus dans les units d'organisation. Une unit d'organisation imbrique dans une autre unit peut tre sujette plusieurs niveaux de stratgie de groupe. Le temps de rponse dpend du nombre de stratgies appliquer et de leur taille. .# Une unit d'organisation ne peut pas contenir d'objets provenant d'un autre domaine. Si la stratgie de groupe doit parcourir des liaisons lentes travers un rseau tendu (WAN, Wide Area Network) pour tre applique des objets utilisateurs ou ordinateurs, les performances peuvent tre affectes en cas d'imbrication trop profonde des units d'organisation dans lesquelles les objets stratgie de groupe (GPO, Group Policy Objects) sont stocks.

Consignes de conception
. Lors

de la conception d'une structure d'units

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

d'organisation Choisissez des noms d'units d'organisation stables et significatifs pour les administrateurs Crez des units d'organisation de niveau infrieur pour prendre en charge la stratgie de groupe Testez la structure des units d'organisation et effectuez des changements aprs valuation

Attribution de noms stables aux units dorganisation de niveau infrieur


Choisissez une stratgie de modle d'units d'organisation de niveau suprieur fonde sur un aspect stable de l'entreprise, telle que la situation gographique. Lors de la dnomination des units d'organisation, n'oubliez pas que les utilisateurs ne voient pas la structure de ces dernires ; choisissez donc des noms significatifs pour les administrateurs.

Cration dunits dorganisation de niveau infrieur prenant en charge la stratgie de groupe


Concevez les niveaux infrieurs de votre structure d'units d'organisation de manire reflter la structure administrative de l'entreprise. La conception de niveaux infrieurs prenant en charge votre plan de stratgie de groupe peut optimiser l'implmentation de cette stratgie.

Test de la structure des units dorganisation


Une fois le modle d'units d'organisation termin, dveloppez des scnarios administratifs pour le tester. Ces scnarios peuvent tre crits ou raliss dans un atelier. Vous devez tester la structure d'units d'organisation par rapport la structure administrative existante de l'entreprise ou de l'organisation. Sur la base de vos valuations, apportez tout changement ncessaire au modle d'units d'organisation, afin qu'il puisse prendre en charge tous les besoins d'administration de l'entreprise.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
. Identification . Accs

des besoins de l'entreprise aux ressources entre domaines . Planification d'arborescences plusieurs domaines . Planification de forts plusieurs arborescences . Planification de plusieurs forts Les domaines, les arborescences et les forts sont des units dlimites dans le service d'annuaire Microsoft Active Directory de Microsoft Windows 2000. Ces units peuvent partager des ressources ou tre administres sparment. Elles diffrent par la manire dont elles communiquent et dont le trafic de duplication s'tablit entre elles. Vous devez comprendre comment l'information circule entre ces units si votre entreprise ncessite la mise en place de plusieurs domaines, arborescences ou forts. Le flux d'information entre ces units vous aidera dcider si vous avez besoin d'une structure plus complexe qu'un domaine unique et, le cas chant, planifier le modle d'administration le plus efficace.

Identification des besoins de lentreprise


. Raisons . Raisons

du maintien d'un domaine unique de la cration de plusieurs domaines

La plus petite arborescence d'Active Directory est un domaine unique. Il s'agit de la structure Active Directory la plus simple, mais il arrive que des entreprises aient besoin que des domaines enfants soient ajouts dans l'arborescence. Certains besoins paraissant ncessiter plusieurs domaines peuvent tre satisfaits par une structure domaine unique. Avant de concevoir une structure plusieurs domaines, vous devez d'abord vous assurer que le modle ne peut pas fonctionner avec un domaine unique. Cette section traite des raisons justifiant le maintien d'un domaine unique et vous aident identifier celles ncessitant l'emploi de plusieurs domaines.

Raisons du maintien du domaine unique


de gestion facilite . Moins de membres dans le groupe Administrateurs du domaine . Mme capacit d'objets que la structure plusieurs domaines
. Dlgation . Facilit

La structure Active Directory par dfaut consiste en un domaine unique. Si possible, utilisez cette structure simple. Les domaines uniques offrent les avantages ci-dessous par rapport aux structures plusieurs domaines. .# Facilit de gestion. Les domaines uniques sont moins gourmands en matriel et en maintenance, requirent moins d'approbations et ncessitent la cration et la maintenance de moins de groupes administratifs. .# Facilit de dlgation des responsabilits administratives. Dans une structure domaine unique, vous pouvez crer toutes les units d'organisation (UO) dont vous avez besoin pour dlguer les responsabilits portant sur les ressources et les objets Active Directory. La dlgation des responsabilits administratives est plus complique dans une structure plusieurs domaines. .# Nombre rduit de membres dans le groupe Administrateurs du domaine.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Dans un domaine unique, vous pouvez rduire au maximum le nombre de membres du puissant groupe Admins du domaine et utiliser la dlgation pour permettre un contrle dtaill des objets d'annuaire dans Active Directory. .# Capacit identique celle d'une structure plusieurs domaines. Vous pouvez thoriquement crer plus de quatre milliards d'objets dans le catalogue global. Le catalogue global comprend tous les objets de tous les domaines dans une fort, quel que soit le nombre de domaines prsents. Ainsi, si le nombre d'objets dont vous avez besoin dpasse la capacit d'un domaine unique, il dpassera galement celle d'une fort plusieurs domaines.

Raisons de la cration de plusieurs domaines


. Raisons

de la cration de plusieurs domaines :

Le domaine unique est la structure d'annuaire Active Directory la plus souple, la moins coteuse en ressources et la plus facile administrer. Cependant, lors de la planification du modle Active Directory, vous pouvez envisager d'ajouter des domaines supplmentaires si l'entreprise a besoin d'un des lments ci-dessous. .# Stratgies distinctes au niveau du domaine. Les stratgies de compte et de mot de passe tant appliques au niveau du domaine, vous pouvez tre amen crer des domaines spars dots de stratgies distinctes s'appliquant aux utilisateurs de chaque domaine. .# Contrle d'administration plus strict. Un domaine est une limite scurise. Sans permission explicite, les administrateurs de domaine ne peuvent pas franchir les limites de leur domaine pour administrer d'autres domaines. .# Administration dcentralise. Dans certaines entreprises, les divisions ayant investi dans leur propre matriel informatique (contrleurs de domaine, etc.) veulent le plus souvent en conserver le contrle administratif. .# Sparation et contrle des relations affilies. Les grandes entreprises tablissent souvent des relations avec des partenaires dans le cadre de socits conjointes ou associes. L'utilisation de plusieurs domaines permet d'isoler le contrle de l'administration et de la scurit sur les ressources partages et les utilisateurs externes. .# Trafic de duplication rduit. Au sein d'un domaine, tous les objets et les attributs sont dupliqus vers tous les contrleurs de domaine. Si, au sein d'un domaine, un rseau tendu (WAN, Wide Area Network) lent ou satur empche la duplication Active Directory de se faire dans le temps ncessaire, vous pouvez envisager la cration de plusieurs domaines pour rduire le trafic de duplication. Les seules donnes dupliques entre les diffrents domaines sont les modifications apportes au serveur de catalogue global, aux informations de configuration et au schma.

Accs aux ressources entre domaines


. Authentification . Types

dans une fort d'approbations

La manire de placer et de grer les ressources et les informations et d'y accder est diffrente selon que la structure est domaine unique ou plusieurs domaines. Les protocoles de scurit contrlent l'authentification entre les domaines d'une fort. La gestion de l'authentification entre les domaines d'une

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

fort se fait par l'intermdiaire des approbations. La comprhension des diffrences entre ces processus permet de dcider si un modle d'arborescence plusieurs domaines rpond vritablement aux besoins d'administration de votre entreprise.

Authentification dans une fort


Le protocole Kerberos version 5, qui est une fonctionnalit de scurit de Windows 2000, gre l'accs entre les domaines au sein d'une infrastructure Active Directory. Le protocole Kerberos version 5 utilise trois composants : un client, un serveur et un tiers de confiance qui sert d'intermdiaire entre eux. Le tiers de confiance dans le protocole est appel centre de distribution de cls (KDC, Key Distribution Center). Dans Windows 2000, le contrleur de domaine remplit le rle de centre KDC. Lors de l'accs aux ressources d'une fort, le chemin d'approbation du protocole Kerberos version 5 doit tre suivi. Dans l'exemple, une des arborescences de la fort est contoso.msft et son domaine enfant, na.contoso.msft. L'autre arborescence est nwtraders.msft et son domaine enfant, south.nwtraders.msft. Si un utilisateur de na.contoso.msft veut accder aux ressources de south.nwtraders.msft, la procdure dcrite ci-dessous a lieu (sans interaction de la part de l'utilisateur). .# L'utilisateur reoit d'abord du centre KDC du domaine na.contoso.msft une autorisation appele ticket de session. L'utilisateur prsente ce ticket de session au centre KDC de contoso.msft. .# Le centre KDC de contoso.msft donne l'utilisateur un ticket de session pour nwtraders.msft. .# L'utilisateur prsente le ticket de session nwtraders.msft au centre KDC de nwtraders.msft. .# Le centre KDC de nwtraders.msft fournit un ticket de session pour le centre KDC de south.nwtraders.msft, qui fournit son tour un ticket de session pour le serveur souhait.

Type dapprobations
Windows 2000 utilise les approbations pour permettre aux utilisateurs d'accder aux ressources dans diffrents domaines. Windows 2000 utilise trois types d'approbations : transitive, raccourcie et externe. Chaque type d'approbation suit un certain chemin entre les contrleurs des domaines source et cible. Ce chemin consiste en une srie de relations d'approbation entre domaines que la scurit Windows 2000 doit parcourir pour transmettre les demandes d'authentification et de requtes entre deux domaines.

Approbations transitives
Une approbation transitive est une relation scurise rciproque tablie entre chaque domaine enfant et son parent ou entre un domaine et le domaine racine de la fort. Les approbations transitives sont cres automatiquement entre les domaines parents et enfants, ainsi qu'entre les arborescences d'une fort. Comme tous les domaines enfants d'une arborescence proviennent d'un domaine parent commun, chaque domaine approuve tous les autres domaines faisant partie de la mme arborescence. Lorsque vous crez une nouvelle arborescence suite la promotion d'un serveur en contrleur de domaine, vous devez spcifier le domaine racine de l'arborescence initiale dans la fort. Une relation d'approbation est ainsi tablie entre le domaine racine de la nouvelle arborescence et celui de l'arborescence

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

initiale. Si vous crez un domaine enfant, une relation d'approbation est tablie entre l'enfant et le parent. Cette approbation tant transitive et bidirectionnelle, les ressources peuvent tre partages entre les trois arborescences sans modification de la configuration d'approbation. Les approbations transitives rendent l'information accessible tous les domaines de la fort. Une fois l'utilisateur identifi, les donnes de la liste de contrle d'accs discrtionnaire (DACL, Discretionary Access Control List) grent les privilges d'accs aux ressources des utilisateurs ou des groupes.

Approbations raccourcies
Vous pouvez rduire les chemins d'approbation en crant spcifiquement, ou explicitement, des approbations raccourcies entre deux domaines d'une fort. Une approbation raccourcie est une approbation transitive cre intentionnellement entre deux domaines distants d'une mme fort. En crant une telle approbation, vous raccourcissez le chemin d'approbation et optimisez ainsi la procdure d'authentification.

Approbations externes
Les domaines de diffrentes forts ne sont pas automatiquement lis par des relations d'approbation. Pour permettre l'accs entre diffrentes forts, vous devez crer explicitement une approbation externe entre deux domaines. Contrairement aux approbations transitives et raccourcies, les approbations externes sont des approbations unidirectionnelles qui n'accordent un domaine donn que l'accs vers le domaine metteur de l'approbation externe. Pour qu'une approbation rciproque existe entre deux domaines, chacun des deux domaines doit crer une approbation externe vers l'autre. De plus, les approbations externes ne s'appliquent qu'aux domaines spcifis, toute autre approbation transitive associe aux domaines restant distincte de l'approbation externe. Bien que les approbations externes doivent tre cres et gres de faon explicite, elles permettent de personnaliser les privilges d'accs des individus d'autres forts, de contrler les activits la fois au sein des domaines et entre eux et de limiter au domaine explicitement approuv l'tendue de l'accs authentifi. Les caractristiques des approbations externes tant importantes pour la communication entre forts, vous devez les planifier avec soin pour optimiser la gestion des ressources, le placement des approbations et leur maintenance.

Planification darborescences plusieurs domaines


. Caractristiques . Cration

des arborescences plusieurs domaines d'un domaine racine vide . Consignes de conception Par dfaut, une arborescence domaine unique est cre lorsque le premier serveur d'un rseau est promu contrleur de domaine. Cependant, vous pouvez construire une arborescence plus vaste en y ajoutant des domaines supplmentaires. Avant de crer une arborescence plusieurs domaines, vous devez en comprendre la structure et les caractristiques, et savoir discerner les situations o ce type d'arborescence est ncessaire l'entreprise.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Caractristiques des arborescences plusieurs domaines


Lorsque des domaines supplmentaires, ou domaines enfants, sont attachs au domaine initial, ils forment une structure hirarchique. Tout domaine enfant peut tre le parent d'autres domaines enfants.

Les domaines dune mme arborescence partagent une seule racine


Une arborescence possde une racine unique et est construite selon une hirarchie stricte. Chaque domaine situ sous la racine possde un seul domaine parent immdiat. Chaque niveau de la hirarchie est reli aux niveaux directement suprieur et infrieur. Une hirarchie d'arborescence Active Directory est une hirarchie DNS (Domain Name System). Les noms des domaines enfants sont drivs de celui du domaine parent. Par exemple, dans une multinationale comportant un domaine racine appel contoso.com et souhaitant dcentraliser totalement l'administration entre ses divisions aux tats-Unis et en Europe, vous pouvez crer un nouveau domaine pour chacune des divisions et les rajouter l'arborescence existante. Ces nouveaux domaines deviennent europe.contoso.com et us.contoso.com.

Les domaines dune mme arborescence partagent linformation au moyen dapprobations automatiques
Tous les domaines faisant partie d'une arborescence Active Directory partagent un schma d'annuaire, des informations de configuration et un catalogue global. De plus, ils possdent automatiquement des relations d'approbation transitive qui permettent aux utilisateurs de chaque domaine d'accder aux ressources disponibles dans tous les autres domaines de l'arborescence.

Cration dun domaine racine vide


Une entreprise dont l'administration est dcentralise peut choisir une arborescence unique domaine racine vide. Un domaine racine vide ne contient pas d'units d'organisation et compte comme seul utilisateur du domaine l'administrateur de l'entreprise (ou un petit nombre d'administrateurs). L'avantage de ce modle est un espace de noms contigu avec une sparation distincte entre les divisions. Dans le scnario figurant sur la diapositive, le domaine racine considre le compte administrateur par dfaut comme tant l'administrateur de l'entreprise. Les deux (ou plus) services informatiques des domaines enfants peuvent limiter le nombre d'utilisateurs ayant accs ce compte puissant. Les services informatiques pourraient par exemple tablir une stratgie requrant la connexion de l'administrateur de l'entreprise par l'intermdiaire d'un priphrique d'authentification, tel qu'une carte puce. Celle-ci pourrait tre scurise de manire ncessiter l'intervention d'un utilisateur de chaque service pour autoriser l'accs.

Consignes de conception
Consignes de conception : scurises distinctes . Contraintes de bande passante sur des liaisons WAN . Motifs juridiques de sparation des domaines . Paramtres de stratgie de groupe distincts au niveau des domaines
. Limites

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Les critres de conception pouvant justifier une arborescence plusieurs domaines figurent ci-dessous. .# Vous avez besoin de limites scurises distinctes. Si votre entreprise utilise une administration dcentralise ou si certains services doivent tre spars pour raisons de scurit, la cration de plusieurs domaines permet chaque domaine de s'administrer lui-mme. Un autre motif pouvant justifier la cration de domaines spars est la rduction de l'influence du groupe des administrateurs de l'entreprise sur tous les objets d'un domaine. .# Vous jugez que le trafic de duplication pourrait saturer les liaisons du rseau tendu (WAN). Au sein d'un domaine, chaque attribut de chaque objet est dupliqu entre les contrleurs du domaine. Si une liaison de rseau tendu au sein du domaine est trs lente ou sature, cela peut saturer la liaison, mme si diffrents sites sont crs. Dans une structure plusieurs domaines, seuls le schma, la configuration et le catalogue global sont dupliqus, rduisant ainsi le trafic rseau. .# Vous avez des motifs juridiques de sparer les domaines ; par exemple, certaines entreprises implantes l'tranger peuvent vouloir conserver des domaines spars pour les comptes d'utilisateur trangers. .# Vous avez des paramtres de stratgie de groupe diffrents, par exemple des restrictions de mot de passe pour diffrents groupes, qui ne peuvent tre dfinies qu'au niveau du domaine.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

Vue densemble
. Utilisation

des sites dans Active Directory des besoins en sites Active Directory . Utilisation des liens de site sur un rseau . Planification de la topologie de duplication intersite . Planification de l'emplacement des serveurs sur les sites
. valuation

Les sites permettent de rpartir des ordinateurs parfaitement connects au sein d'une entreprise de sorte optimiser la bande passante du rseau. L'change frquent d'importants volumes de donnes et d'informations d'annuaire peut perturber le trafic rseau entre des emplacements distants. La conception d'une topologie de site approprie dans un service d'annuaire Active Directory de Microsoft Windows 2000 vous permet de mieux organiser votre rseau Windows 2000 et d'optimiser l'change de donnes et d'informations d'annuaire.

Utilisation des sites dans Active Directory


Les sites contrlent : . Le trafic d'ouverture de session des stations de travail . Le trafic de duplication . La topologie DFS . Le service FRS . L'utilisation d'autres applications rserves un site Un site est un ensemble d'ordinateurs parfaitement connects, par le biais de sous-rseaux IP (Internet Protocol). Dans Active Directory, les sites permettent de dfinir la structure physique de votre rseau. Un site se compose d'un ou de plusieurs sous-rseaux. Par exemple, si un rseau contient un sous-rseau Redmond et deux sous-rseaux Paris, l'administrateur peut crer un site Redmond, un autre Paris, puis ajouter des sous-rseaux aux sites locaux. Les sites peuvent contenir des contrleurs de domaine provenant d'un ou de plusieurs domaines. Vous pouvez avoir recours aux sites pour optimiser la bande passante du rseau selon l'une des propositions dcrites ci-dessous. .# Trafic d'ouverture de session des stations de travail. Lorsqu'un utilisateur ouvre une session, Windows 2000 recherche un contrleur de domaine situ dans le mme site que celui de la station de travail. .# Trafic de duplication. Lorsqu'une modification est apporte Active Directory, les sites permettent de contrler quand et comment celle-ci est duplique vers les contrleurs de domaine d'un autre site. .# Topologie DFS (Distributed File System). Si un fichier ou un dossier partag se trouve plusieurs emplacements, l'utilisateur est dirig vers un serveur de son propre site, le cas chant. La localisation de la disponibilit des serveurs d'un site permet de rduire le trafic sur des liaisons lentes. .# Service FRS (File Replication Service). Le service de duplication de fichiers permet de dupliquer le contenu du rpertoire SYSVOL, qui comprend les scripts d'ouverture et de fermeture de session, les paramtres de stratgies de groupe et les stratgies systme pour Windows 95, Windows 98 et Microsoft Windows NT version 4.0. Ce service utilise les sites pour dterminer sa topologie de duplication. .# Utilisation d'autres applications rserves un site. Une application rserve un site est une application oriente annuaire qui connecte un client un serveur situ sur son propre site, si ce serveur est disponible. Les applications d'autres fabricants peuvent galement utiliser les sites pour permettre aux clients de se connecter des partages sur leur propre site. Le

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

systme DFS et le service FRS dirigent d'abord les clients vers des serveurs de leur site, puis vers des serveurs qui se trouvent sur d'autres sites. Active Directory utilise les informations sur les sites de la faon indique ci-dessous. .# Le vrificateur de cohrence (KCC, Knowledge Consistency Checker) gnre une topologie de duplication principalement utilise au sein des sites plutt qu'entre les sites. Cette topologie intrasite risque d'augmenter le trafic rseau, mais elle permet de rduire la latence de duplication. .# Les ordinateurs clients Windows 2000 utilisent les informations sur les sites afin de rechercher les contrleurs de domaine les plus proches pour mener bien les oprations de requte et d'ouverture de session.

Facteurs ayant une incidence sur la duplication


. Latence de la duplication . Efficacit de la duplication . Cot de la duplication Afin d'optimiser la bande passante du rseau lors de la duplication, vous devez prendre en considration les facteurs qui influencent cette duplication. Les trois facteurs dterminants lors de la duplication sont dtaills ci-dessous. .# Latence de la duplication.Temps ncessaire un contrleur de domaine pour recevoir une modification apporte un autre contrleur de domaine. .# Efficacit de la duplication. Capacit traiter l'ensemble des modifications envoyes avec chaque mise jour. .# Cot de la duplication. Quantit de bande passante ncessaire pour dupliquer des modifications entre divers contrleurs de domaine. Au sein d'un rseau, l'optimisation d'un des facteurs de duplication se rpercute sur les deux autres facteurs. Par exemple, un intervalle de duplication frquent diminue la latence et augmente le cot et l'efficacit de la duplication.

Duplication intra site


La latence de duplication est faible au sein d'un site car la bande passante disponible est leve. Cette faible latence garantit aux utilisateurs du site un accs permanent aux informations les plus rcentes. Dans un site, la duplication a lieu cinq minutes aprs une modification. Le serveur d'origine signale la modification ses partenaires de duplication, lesquels rpercutent leur tour cette modification.

Duplication inter site


En rgle gnrale, la bande passante disponible pour la duplication intersite est rduite. Avant d'tre dupliques, les donnes sont compresses environ 10% de leur volume initial afin de rduire la quantit de donnes sur le rseau. Pour optimiser davantage la bande passante rduite du rseau et l'efficacit de la duplication, vous pouvez augmenter la latence de duplication en programmant la duplication intersite.

Evaluation des besoins en site Active Directory


de l'emplacement des contrleurs de domaine de la connectivit et de la bande passante disponible . Dtermination du trafic de duplication
. valuation . Planification

Avant de planifier la topologie de site d'un rseau, vous devez valuer les besoins en sites de ce rseau. La cration de sites inutiles dans un rseau risque de ralentir la duplication et de dboucher sur une utilisation inefficace de la

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com

bande passante. Les facteurs suivants dterminent les besoins en sites : .# bande passante disponible ; .# trafic de duplication anticip ; .# emplacement des contrleurs de domaine. La premire tape du processus de conception d'un site consiste obtenir des informations sur l'infrastructure actuelle du rseau. Renseignez-vous sur les types de liens entre les emplacements physiques, la quantit de bande passante disponible, et le nombre d'utilisateurs et d'ordinateurs chaque emplacement.

Planification de lemplacement des contrleurs de domaine


La premire tape de planification d'une structure de site consiste dterminer l'emplacement adquat pour un contrleur de domaine. Un contrleur de domaine doit pouvoir rpondre de faon opportune aux requtes des clients. Pour optimiser les performances, placez au moins un contrleur de domaine sur chaque site qui contient des utilisateurs ou des ordinateurs de ce domaine. Si vous placez un contrleur de domaine sur chaque site, tous les utilisateurs disposent d'un ordinateur local qui peut transmettre les requtes de leur domaine par le biais de connexions locales (LAN, Local Area Network). Cependant, dans certaines situations, il est inutile de placer un contrleur de domaine sur chaque site. Par exemple, si un emplacement ne compte que dix utilisateurs, vous pouvez, pour une meilleure utilisation de la bande passante, demander ces utilisateurs de se connecter et d'envoyer des requtes l'annuaire par le biais d'une liaison lente. Pour dterminer l'emplacement d'un contrleur de domaine, identifiez la vitesse potentielle et la bande passante nette disponible l'aide de l'quation suivante : totale utilise = nette disponible, o totale correspond la bande passante totale disponible sur le rseau, utilise correspond la bande passante utilise par le rseau et bande passante nette disponible correspond la bande passante disponible pour les autres applications.

PDF created with FinePrint pdfFactory trial version http://www.fineprint.com