Office de la Formation Professionnelle et de la Promotion du Travail
DIRECTION RECHERCHE ET INGENIERIE DE FORMATION
SECTEUR NTIC
ROYAUME DU MAROC
Service d'annuaire Active Directory
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 1 - 86
Sommaire
1. Description dâun service dâannuaire ..................................................... 4
1.1. RĂŽle dâActive Directory .................................................................... 4
1.2. Fonctionnement dâActive Directory ................................................... 5 1.2.1. DĂ©finition dâun service dâannuaire ............................................... 5 1.2.2. DĂ©finition dâun schĂ©ma ............................................................. 7 1.2.3. DĂ©finition dâun catalogue global ................................................. 8
1.3. Processus de conception, de planification et dâimplĂ©mentation dâActive
Directory ................................................................................................ 9 1.3.1. Processus de conception dâActive Directory .................................. 9 1.3.2. RĂ©sultat du processus de conception dâActive Directory ............... 10 1.3.3. Processus de planification dâActive Directory .............................. 11 1.3.4. Processus dâimplĂ©mentation dâActive Directory ........................... 12
1.4. Structure logique dâActive Directory ................................................ 12
1.5. Structure physique dâActive Directory ............................................. 13 2. ImplĂ©mentation dâune structure de forĂȘt et de domaine Active Directory 14
2.1. CrĂ©ation dâune structure de forĂȘt et de domaine ............................... 14 2.1.1. Conditions requises pour installer Active Directory...................... 14 2.1.2. Processus dâinstallation dâActive Directory ................................. 15 2.1.3. Comment crĂ©er une structure de forĂȘt et de domaine ................. 18 2.1.4. Comment ajouter un contrĂŽleur de domaine rĂ©pliquĂ© .................. 20
2.2. Analyse du systÚme DNS intégré à Active Directory .......................... 21 2.2.1. Espaces de noms DNS et Active Directory ................................. 21 2.2.2. Zones intégrées à Active Directory ........................................... 22 2.2.3. Enregistrements de ressources SRV .......................................... 23
2.3. Niveaux fonctionnels de la forĂȘt et du domaine ................................ 25 2.3.1. Conditions requises pour activer les nouvelles fonctionnalitĂ©s de
Windows Server 2003 ......................................................................... 26 2.3.2. ProcĂ©dure dâaugmentation du niveau fonctionnel du domaine ...... 26 2.3.3. ProcĂ©dure dâaugmentation du niveau fonctionnel de la forĂȘt ........ 27
2.4. Relations dâapprobation ................................................................. 28 2.4.1. Types dâapprobations .............................................................. 28
3. ImplĂ©mentation de la structure dâune unitĂ© dâorganisation .................... 29
3.1. CrĂ©ation et gestion dâunitĂ©s dâorganisation ...................................... 29 3.1.1. PrĂ©sentation de la gestion des unitĂ©s dâorganisation ................... 29 3.1.2. MĂ©thodes de crĂ©ation et de gestion des unitĂ©s dâorganisation ...... 30 3.1.3. ProcĂ©dure de crĂ©ation dâune unitĂ© dâorganisation Ă lâaide de la ligne de commande Dsadd ........................................................................... 31 3.1.4. ProcĂ©dure de modification dâune unitĂ© dâorganisation .................. 32 3.1.5. ProcĂ©dure de suppression dâune unitĂ© dâorganisation .................. 32 3.1.6. Comment crĂ©er et gĂ©rer des unitĂ©s dâorganisation Ă lâaide de lâoutil
Ldifde 32 3.1.7. Comment crĂ©er des unitĂ©s dâorganisation Ă lâaide de lâenvironnement dâexĂ©cution de scripts Windows ..................................... 33
3.2. DĂ©lĂ©gation du contrĂŽle administratif des unitĂ©s dâorganisation ........... 34
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 2 - 86
3.2.1. Délégation de privilÚges administratifs ...................................... 34 3.2.2. Comment déléguer le contrÎle administratif ............................... 35
3.3. Planification dâune stratĂ©gie dâunitĂ© dâorganisation ............................ 36 3.3.1. Processus de planification dâunitĂ© dâorganisation ........................ 36
4. ImplĂ©mentation de comptes dâutilisateurs, de groupes et dâordinateurs .. 36
4.1. Présentation des comptes ............................................................. 37 4.1.1. Types de comptes .................................................................. 37 4.1.2. Types de groupes ................................................................... 38 4.1.3. Etendue de groupes ............................................................... 39
4.2. Création et gestion de comptes ...................................................... 40 4.2.1. Outils permettant de créer et gérer des comptes ........................ 40
4.3. DĂ©placement dâobjets dans Active Directory .................................... 44 4.3.1. DĂ©finition de lâhistorique SID ................................................... 44 4.3.2. DĂ©placement dâobjets ............................................................. 44
5. ImplĂ©mentation dâune stratĂ©gie de groupe ......................................... 46
5.1. Composants dâun objet StratĂ©gie de groupe .................................... 46
5.2. Configuration des frĂ©quences dâactualisation et des paramĂštres de
stratégie de groupe ............................................................................... 47 5.2.1. à quel moment la stratégie de groupe est-elle appliquée ............. 47
5.3. Gestion des objets StratĂ©gie de groupe ........................................... 48 5.3.1. DĂ©finition dâune opĂ©ration de copie ........................................... 48 5.3.2. DĂ©finition dâune opĂ©ration de sauvegarde .................................. 49 5.3.3. DĂ©finition dâune opĂ©ration de restauration ................................. 51 5.3.4. DĂ©finition dâune opĂ©ration dâimportation .................................... 52
5.4. VĂ©rification et rĂ©solution des problĂšmes liĂ©s Ă la stratĂ©gie de groupe .. 53 5.4.1. ProblĂšmes courants liĂ©s Ă lâimplĂ©mentation de la stratĂ©gie de groupe
53 5.4.2. Comment vĂ©rifier les paramĂštres de stratĂ©gie de groupe Ă lâaide de
lâAssistant ModĂ©lisation de stratĂ©gie de groupe ....................................... 54 5.4.3. Comment vĂ©rifier les paramĂštres de stratĂ©gie de groupe Ă lâaide des RĂ©sultats de stratĂ©gie de groupe .......................................................... 55
5.5. Délégation du contrÎle administratif de la stratégie de groupe ........... 55 5.5.1. Délégation des objets Stratégie de groupe ................................ 55 5.5.2. Délégation de la stratégie de groupe pour un site, un domaine ou
une unitĂ© dâorganisation ...................................................................... 57
5.6. Planification dâune stratĂ©gie de groupe pour lâentreprise .................... 58 5.6.1. Instructions de planification des objets StratĂ©gie de groupe ........ 58 5.6.2. Instructions pour dĂ©terminer lâhĂ©ritage des objets StratĂ©gie de
groupe 59 5.6.3. Instructions pour déterminer une stratégie de groupe pour les sites
59 5.6.4. Instructions de planification de lâadministration des objets StratĂ©gie de groupe .......................................................................................... 59 5.6.5. Instructions de dĂ©ploiement des objets StratĂ©gie de groupe ........ 60
6. DĂ©ploiement et gestion des logiciels Ă lâaide dâune stratĂ©gie de groupe .. 61
6.1. DĂ©ploiement de logiciels................................................................ 61 6.1.1. Affectation de logiciels et publication de logiciels ........................ 62
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 3 - 86
6.1.2. CrĂ©ation dâun point de distribution de logiciels ........................... 62 6.1.3. Utilisation dâun objet StratĂ©gie de groupe pour le dĂ©ploiement de
logiciels 62 6.1.4. Options par défaut pour installation logicielle ............................. 63
6.2. Configuration du déploiement des logiciels ...................................... 63 6.2.1. Définition des catégories de logiciels ......................................... 64 6.2.2. Création de catégories de logiciels ............................................ 64
7. Implémentation de sites pour gérer la réplication Active Directory ......... 65
7.1. PrĂ©sentation de la rĂ©plication Active Directory .................................. 65 7.1.1. RĂ©plication dâattributs Ă valeurs multiples liĂ©s ............................ 66 7.1.2. DĂ©finition des partitions dâannuaire .......................................... 66 7.1.3. DĂ©finition de la topologie de rĂ©plication ..................................... 68 7.1.4. GĂ©nĂ©ration automatique de la topologie de rĂ©plication ................ 69 7.1.5. Catalogue global et rĂ©plication de partitions .............................. 70
7.2. CrĂ©ation et configuration de sites ................................................... 70 7.2.1. DĂ©finition des sites et des objets sous-rĂ©seau ............................ 71 7.2.2. Liens de sites......................................................................... 71 7.2.3. RĂ©plication Ă lâintĂ©rieur des sites et rĂ©plication entre les sites ...... 73
7.3. Gestion de la topologie de site ....................................................... 75 7.3.1. Serveur de tĂȘte de pont .......................................................... 75 7.3.2. GĂ©nĂ©rateur de topologie inter-sites .......................................... 76
8. Implémentation du placement des contrÎleurs de domaine ................... 76
8.1. Implémentation du catalogue global dans Active Directory ................ 77
8.2. DĂ©termination du placement de contrĂŽleurs de domaine dans Active
Directory .............................................................................................. 78 8.2.1. Active Directory Sizer ............................................................. 78
9. Planification du placement des contrĂŽleurs de domaine ........................ 79 10. Maintenance d'Active Directory ......................................................... 80
10.1. Base de données Active Directory et fichiers journaux ................... 80
10.2. Déplacement et défragmentation de la base de données Active
Directory .............................................................................................. 81
10.3. Sauvegarde dâActive Directory .................................................... 82
10.4. Restauration dâActive Directory ................................................... 83
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 4 - 86
1. Description dâun service dâannuaire
Un service dâannuaire est un service rĂ©seau qui identifie toutes les ressources dâun rĂ©seau et met ces informations Ă la disposition des utilisateurs ainsi que des
applications. Les services dâannuaires sont importants, car ils fournissent un moyen cohĂ©rent de nommer, dĂ©crire, localiser, administrer et sĂ©curiser les informations relatives Ă ces ressources et dây accĂ©der.
Lorsquâun utilisateur recherche un dossier partagĂ© sur le rĂ©seau, le service dâannuaire identifie la ressource et fournit lâinformation Ă lâutilisateur.
1.1. RĂŽle dâActive Directory
Active Directory est le service dâannuaire de la famille Windows Server 2003. Il Ă©tend la fonctionnalitĂ© de base dâun service dâannuaire et fournit les avantages
suivants :
IntĂ©gration DNS Active Directory utilise les conventions dâattribution de noms DNS pour crĂ©er une
structure hiĂ©rarchique qui fournit une vue familiĂšre, ordonnĂ©e et Ă©volutive des connexions rĂ©seau. DNS sert Ă©galement Ă faire correspondre les noms dâhĂŽtes, tels que microsoft.com, Ă des adresses numĂ©riques TCP/IP, telles que
192.168.19.2.
ĂvolutivitĂ© Active Directory est organisĂ© en sections qui permettent de stocker un trĂšs grand
nombre dâobjets. Active Directory peut de ce fait Ă©voluer en fonction des besoins de lâentreprise. Une organisation qui dispose dâun seul serveur avec quelques centaines dâobjets peut Ă©voluer vers des milliers de serveurs et des millions
dâobjets.
Administration centralisĂ©e Active Directory permet aux administrateurs dâadministrer les ordinateurs
distribuĂ©s, les services rĂ©seau et les applications Ă partir dâun emplacement central tout en utilisant une interface dâadministration cohĂ©rente.
Active Directory fournit Ă©galement un contrĂŽle centralisĂ© de lâaccĂšs aux ressources rĂ©seau en permettant aux utilisateurs dâouvrir une fois une session et dâobtenir un accĂšs complet aux ressources dâActive Directory.
Administration dĂ©lĂ©guĂ©e La structure hiĂ©rarchique dâActive Directory permet de dĂ©lĂ©guer le contrĂŽle dâadministration sur des parties spĂ©cifiques de la hiĂ©rarchie. Un utilisateur
autorisĂ© par une autoritĂ© administrative plus Ă©levĂ©e peut effectuer des tĂąches dâadministration dans la partie de la structure qui lui a Ă©tĂ© affectĂ©e.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 5 - 86
1.2. Fonctionnement dâActive Directory
1.2.1. DĂ©finition dâun service dâannuaire
Dans de grands rĂ©seaux, les ressources sont partagĂ©es par de nombreux utilisateurs et applications. Pour permettre aux utilisateurs et aux applications dâaccĂ©der Ă ces ressources et aux informations les concernant, une mĂ©thode
cohĂ©rente est nĂ©cessaire pour nommer, dĂ©crire, localiser, accĂ©der, gĂ©rer et sĂ©curiser les informations concernant ces ressources. Un service dâannuaire
remplit cette fonction. Un service dâannuaire est un rĂ©fĂ©rentiel dâinformations structurĂ© concernant les personnes et les ressources dâune organisation. Dans un rĂ©seau Windows Server
2003, le service dâannuaire sâappelle Active Directory. Active Directory dispose des fonctionnalitĂ©s suivantes :
AccĂšs pour les utilisateurs et les applications aux informations concernant des objets. Ces informations sont stockĂ©es sous forme de valeurs dâattributs. Vous pouvez rechercher des objets selon leur classe dâobjet,
leurs attributs, leurs valeurs dâattributs et leur emplacement au sein de la structure Active Directory ou selon toute combinaison de ces valeurs.
Transparence des protocoles et de la topologie physique du rĂ©seau. Un utilisateur sur un rĂ©seau peut accĂ©der Ă toute ressource, une imprimante par exemple, sans savoir oĂč celle-ci se trouve ou comment elle est
connectée physiquement au réseau.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 6 - 86
PossibilitĂ© de stockage dâun trĂšs grand nombre dâobjets. Comme il est organisĂ© en partitions, Active Directory peut rĂ©pondre aux besoins issus de
la croissance dâune organisation. Par exemple, un annuaire peut ainsi passer dâun serveur unique contenant quelques centaines dâobjets Ă des milliers de serveurs contenant des millions dâobjets.
PossibilitĂ© dâexĂ©cution en tant que service indĂ©pendant du systĂšme dâexploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalitĂ© de Microsoft Active Directory permettant de rĂ©soudre certains scĂ©narios de dĂ©ploiement liĂ©s Ă des applications utilisant un annuaire. AD/AM sâexĂ©cute comme un service indĂ©pendant du systĂšme
dâexploitation qui, en tant que tel, ne nĂ©cessite pas de dĂ©ploiement sur un contrĂŽleur de domaine. LâexĂ©cution en tant que service indĂ©pendant du
systĂšme dâexploitation signifie que plusieurs instances AD/AM peuvent sâexĂ©cuter simultanĂ©ment sur un serveur unique, chaque instance Ă©tant configurable de maniĂšre indĂ©pendante.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 7 - 86
1.2.2. DĂ©finition dâun schĂ©ma
Le schéma Active Directory contient les définitions de tous les objets, comme les
utilisateurs, les ordinateurs et les imprimantes stockĂ©s dans Active Directory. Les contrĂŽleurs de domaine exĂ©cutant Windows Server 2003 ne comportent quâun seul schĂ©ma pour toute une forĂȘt. Ainsi, tous les objets crĂ©Ă©s dans Active
Directory se conforment aux mĂȘmes rĂšgles. Le schĂ©ma possĂšde deux types de dĂ©finitions : les classes dâobjets et les
attributs. Les classes dâobjets comme utilisateur, ordinateur et imprimante dĂ©crivent les objets dâannuaire possibles que vous pouvez crĂ©er. Chaque classe dâobjet est un ensemble dâattributs.
Les attributs sont dĂ©finis sĂ©parĂ©ment des classes dâobjets. Chaque attribut nâest dĂ©fini quâune seule fois et peut ĂȘtre utilisĂ© dans plusieurs classes dâobjets. Par
exemple, lâattribut Description est utilisĂ© dans de nombreuses classes dâobjets, mais il nâest dĂ©fini quâune seule fois dans le schĂ©ma afin de prĂ©server la cohĂ©rence.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 8 - 86
1.2.3. DĂ©finition dâun catalogue global
Dans Active Directory, les ressources peuvent ĂȘtre partagĂ©es parmi des
domaines et des forĂȘts. Le catalogue global dâActive Directory permet de rechercher des ressources parmi des domaines et des forĂȘts de maniĂšre
transparente pour lâutilisateur. Par exemple, si vous recherchez toutes les imprimantes prĂ©sentes dans une forĂȘt, un serveur de catalogue global traite la requĂȘte dans le catalogue global, puis renvoie les rĂ©sultats. En lâabsence de
serveur de catalogue global, cette requĂȘte exigerait une recherche dans chaque domaine de la forĂȘt.
Le catalogue global est un rĂ©fĂ©rentiel dâinformations qui contient un sous-ensemble des attributs de tous les objets dâActive Directory. Les membres du groupe Administrateurs du schĂ©ma peuvent modifier les attributs stockĂ©s dans le
catalogue global, en fonction des impĂ©ratifs dâune organisation. Le catalogue global contient :
les attributs les plus frĂ©quemment utilisĂ©s dans les requĂȘtes, comme les nom et prĂ©nom dâun utilisateur, et son nom
dâouverture de session ; les informations requises pour dĂ©terminer lâemplacement de tout
objet dans lâannuaire ;
un sous-ensemble dâattributs par dĂ©faut pour chaque type dâobjet ;
les autorisations dâaccĂšs pour chaque objet et attribut stockĂ© dans le catalogue global. Si vous recherchez un objet pour lequel vous ne possĂ©dez pas les autorisations de visualisation requises,
cet objet nâapparaĂźtra pas dans les rĂ©sultats de la recherche. Les autorisations dâaccĂšs garantissent que les utilisateurs ne puissent
trouver que les objets pour lesquels ils possĂšdent un droit dâaccĂšs.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 9 - 86
Un serveur de catalogue global est un contrĂŽleur de domaine qui traite
efficacement les requĂȘtes intraforĂȘts dans le catalogue global. Le premier contrĂŽleur de domaine que vous crĂ©ez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer des serveurs de catalogue global supplĂ©mentaires pour Ă©quilibrer le trafic liĂ© aux authentifications de connexion et aux requĂȘtes.
Le catalogue global permet aux utilisateurs dâexĂ©cuter deux fonctions importantes :
trouver les informations Active Directory en tout point de la forĂȘt, indĂ©pendamment de lâemplacement des donnĂ©es ;
utiliser les informations dâappartenance au groupe universel pour
se connecter au réseau. Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier des
objets dans une base de donnĂ©es Active Directory. Le protocole LDAP est un sous-ensemble de la norme ISO X.500 relative aux services dâannuaire. Il utilise les informations portant sur la structure dâun annuaire pour trouver des objets
individuels possédant chacun un nom unique. Le protocole LDAP utilise un nom représentant un objet Active Directory par une
sĂ©rie de composants concernant la structure logique. Cette reprĂ©sentation, appelĂ©e nom unique de lâobjet, identifie le domaine dans lequel se trouve lâobjet
ainsi que le chemin complet permettant dâaccĂ©der Ă celui-ci. Un nom de ce type ne peut ĂȘtre quâunique dans une forĂȘt Active Directory. Le nom unique relatif dâun objet identifie lâobjet de maniĂšre unique dans son
conteneur. Deux objets situĂ©s dans un mĂȘme conteneur ne peuvent porter le mĂȘme nom. Le nom unique relatif est toujours le premier composant du nom
unique, mais il nâest pas toujours un nom usuel.
CN=Benharraf Mohammed,OU=Formation,DC=Gsimaroc,DC=com
1.3. Processus de conception, de planification et dâimplĂ©mentation dâActive Directory
1.3.1. Processus de conception dâActive Directory
Une conception dâActive Directory inclut plusieurs tĂąches. Chacune dĂ©finit les
besoins fonctionnels pour un composant de lâimplĂ©mentation dâActive Directory.
Le processus de conception dâActive Directory inclut les tĂąches suivantes :
Collecte dâinformations sur lâorganisation. Cette premiĂšre tĂąche
dĂ©finit les besoins en service dâannuaire et les besoins de lâentreprise concernant le projet. Les informations sur
lâorganisation incluent notamment un profil organisationnel de haut niveau, les implantations gĂ©ographiques de lâorganisation, lâinfrastructure technique et du rĂ©seau, et les plans liĂ©s aux
modifications Ă apporter dans lâorganisation. Analyse des informations sur lâorganisation. Vous devez analyser
les informations collectées pour évaluer leur pertinence et leur valeur par rapport au processus de conception. Vous devez ensuite déterminer quelles sont les informations les plus
importantes et quels composants de la conception dâActive
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 10 - 86
Directory ces informations affecteront. Soyez prĂȘt Ă appliquer ces
informations dans lâensemble du processus de conception. Analyse des options de conception. Lorsque vous analysez des
besoins dâentreprise spĂ©cifiques, plusieurs options de conception peuvent y rĂ©pondre. Par exemple, un besoin administratif peut ĂȘtre rĂ©solu par le biais dâune conception de domaine ou dâune
structure dâunitĂ© dâorganisation. Comme chaque choix que vous faites affecte les autres
composants de la conception, restez flexible dans votre approche de la conception durant tout le processus.
SĂ©lection dâune conception. DĂ©veloppez plusieurs conceptions
dâActive Directory, puis comparez leurs points forts et leurs points faibles. Lorsque vous sĂ©lectionnez une conception,
analysez les besoins dâentreprise qui entrent en conflit et tenez compte de leurs effets sur les choix de vos conceptions. Il se peut quâaucune des conceptions soumises ne fasse lâunanimitĂ©.
Choisissez la conception qui rĂ©pond le mieux Ă vos besoins dâentreprise et qui reprĂ©sente globalement le meilleur choix.
Affinage de la conception. La premiĂšre version de votre plan de conception est susceptible dâĂȘtre modifiĂ©e avant la phase pilote
de lâimplĂ©mentation. Le processus de conception est itĂ©ratif parce que vous devez tenir compte de nombreuses variables lorsque vous concevez une infrastructure Active Directory. RĂ©visez et
affinez plusieurs fois chacun des concepts de votre conception pour prendre en compte tous les besoins dâentreprise.
1.3.2. RĂ©sultat du processus de conception dâActive
Directory
Le rĂ©sultat de la phase de conception dâActive Directory inclut les Ă©lĂ©ments ci dessous.
La conception du domaine et de la forĂȘt. La conception de la forĂȘt inclut des informations comme le nombre de forĂȘts requis,
les consignes de crĂ©ation des approbations et le nom de domaine pleinement qualifiĂ© (FQDN, Fully Qualified Domain Name) pour le domaine racine de chaque forĂȘt. La conception inclut Ă©galement
la stratĂ©gie de contrĂŽle des modifications de la forĂȘt, qui identifie les processus de propriĂ©tĂ© et dâapprobation pour les
modifications de la configuration prĂ©sentant un impact sur toute la forĂȘt.Identifiez la personne chargĂ©e de dĂ©terminer la stratĂ©gie de contrĂŽle des modifications de chaque forĂȘt dans
lâorganisation. Si votre plan de conception comporte plusieurs forĂȘts, vous pouvez Ă©valuer si des approbations de forĂȘts sont
requises pour rĂ©partir les ressources du rĂ©seau parmi les forĂȘts.La conception du domaine indique le nombre de domaines requis dans chaque forĂȘt, le domaine qui sera le domaine racine
pour chaque forĂȘt et la hiĂ©rarchie des domaines si la conception comporte plusieurs domaines. La conception du domaine inclut
Ă©galement le nom DNS pour chaque domaine et les relations dâapprobation entre domaines.
La conception de lâunitĂ© dâorganisation. Elle indique comment
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 11 - 86
vous crĂ©erez les unitĂ©s dâorganisation pour chaque domaine dans
la forĂȘt. Incluez une description de lâautoritĂ© dâadministration qui sera appliquĂ©e Ă chaque unitĂ© dâorganisation, et Ă qui cette
mĂȘme autoritĂ© sera dĂ©lĂ©guĂ©e. Pour finir, incluez la stratĂ©gie utilisĂ©e pour appliquer la stratĂ©gie de groupe Ă la structure de lâunitĂ© dâorganisation.
La conception du site. Elle spĂ©cifie le nombre et lâemplacement des sites dans lâorganisation, les liens requis pour relier les sites
et le coût de ces liens.
1.3.3. Processus de planification dâActive Directory
Le rĂ©sultat du processus de planification est le plan dâimplĂ©mentation dâActive Directory. Ce plan se compose lui-mĂȘme de plusieurs plans qui dĂ©finissent les
besoins fonctionnels pour un composant spĂ©cifique de lâimplĂ©mentation dâActive Directory. Un plan Active Directory inclut les composants suivants :
Stratégie de compte. Elle inclut des informations comme les
consignes dâattribution de nom aux comptes et la stratĂ©gie de verrouillage, la stratĂ©gie en matiĂšre de mots de passe et les
consignes portant sur la sĂ©curitĂ© des objets. StratĂ©gie dâaudit. Elle dĂ©termine comment suivre les
modifications apportées aux objets Active Directory.
Plan dâimplĂ©mentation dâunitĂ© dâorganisation. Il dĂ©finit quelles unitĂ©s dâorganisation crĂ©er et comment. Par exemple, si la
conception dâunitĂ© dâorganisation spĂ©cifie que ces unitĂ©s seront crĂ©Ă©es gĂ©ographiquement et organisĂ©es par division Ă lâintĂ©rieur de chaque zone gĂ©ographique, le plan dâimplĂ©mentation des
unitĂ©s dâorganisation dĂ©finit les unitĂ©s Ă implĂ©menter, telles que celles des ventes, des ressources humaines et de production. Le
plan fournit Ă©galement des consignes portant sur la dĂ©lĂ©gation dâautoritĂ©.
Plan de stratégie de groupe. Il détermine qui crée, relie et gÚre
les objets de stratégie de groupe, et comment cette stratégie sera implémentée.
Plan dâimplĂ©mentation du site. Il spĂ©cifie les sites, les liens qui les relient, et les liaisons de sites planifiĂ©es. Il spĂ©cifie Ă©galement la planification et lâintervalle de rĂ©plication ainsi que les
consignes en matiÚre de sécurisation et de configuration de la réplication entre sites.
Plan de déploiement de logiciels. Il spécifie comment vous
utiliserez la stratégie de groupe pour déployer de nouveaux
logiciels et des mises à niveau de logiciels. Il peut, par exemple, spécifier si les mises à niveau de logiciels sont obligatoires ou
facultatives. Plan de placement des serveurs. Il spécifie le placement des
contrĂŽleurs de domaine, des serveurs de catalogue global, des
serveurs DNS intĂ©grĂ©s Ă Active Directory et des maĂźtres dâopĂ©rations. Il spĂ©cifie Ă©galement si vous activerez la mise en
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 12 - 86
cache des appartenances Ă un groupe universel pour les sites ne
possédant pas de serveur de catalogue global.
1.3.4. Processus dâimplĂ©mentation dâActive Directory
Une fois le plan dâimplĂ©mentation dâActive Directory en place, vous pouvez commencer Ă implĂ©menter Active Directory conformĂ©ment Ă votre plan de
conception.
Vous devez exécuter les tùches ci-dessous pour implémenter Active Directory.
ImplĂ©mentation de la forĂȘt, du domaine et de la structure DNS.
CrĂ©ez le domaine racine de la forĂȘt, les arborescences de domaines et tout autre domaine enfant constituant la forĂȘt et la
hiĂ©rarchie des domaines. CrĂ©ation des unitĂ©s dâorganisation et des groupes de sĂ©curitĂ©.
CrĂ©ez la structure dâunitĂ© dâorganisation pour chaque domaine
dans chaque forĂȘt, crĂ©ez des groupes de sĂ©curitĂ© et dĂ©lĂ©guez lâautoritĂ© administrative Ă des groupes administratifs dans
chaque unitĂ© dâorganisation. CrĂ©ation des comptes dâutilisateur et dâordinateur. Importez les
comptes dâutilisateur dans Active Directory. CrĂ©ation des objets StratĂ©gie de groupe. CrĂ©ez des objets
Stratégie de groupe basés sur la stratégie de groupe, puis reliez-
les Ă des sites, Ă des domaines ou Ă des unitĂ©s dâorganisation. ImplĂ©mentation des sites. CrĂ©ez des sites en fonction du plan
des sites, créez des liens reliant ces sites, définissez les liaisons de sites planifiées et déployez sur les sites des contrÎleurs de domaine, des serveurs de catalogue global, des serveurs DNS et
des maĂźtres dâopĂ©rations.
1.4. Structure logique dâActive Directory
Active Directory offre un stockage sécurisé pour les informations concernant les objets dans sa structure logique hiérarchique. Les objets Active Directory
reprĂ©sentent des utilisateurs et des ressources, tels que des ordinateurs et des imprimantes. Certains objets en contiennent dâautres. Lorsque vous aurez
compris le rĂŽle et la fonction de ces objets, vous pourrez effectuer des tĂąches diverses, comme lâinstallation, la configuration, la gestion et le dĂ©pannage dâActive Directory.
La structure logique dâActive Directory inclut les composants suivants :
Les objets. Il sâagit des composants les plus Ă©lĂ©mentaires de la structure logique. Les classes dâobjets sont des modĂšles pour les types dâobjets que vous pouvez crĂ©er dans Active Directory. Chaque classe dâobjet est dĂ©finie par une liste dâattributs,
qui dĂ©finit les valeurs possibles que vous pouvez associer Ă un objet. Chaque objet possĂšde une combinaison unique de valeurs dâattributs.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 13 - 86
Les unitĂ©s dâorganisation (OU, Organizational Unit). Vous utilisez ces objets conteneurs pour organiser dâautres objets de telle
maniĂšre quâils prennent en compte vos objectifs administratifs. La disposition de ces objets par unitĂ© dâorganisation simplifie la recherche et la gestion des objets.
Vous pouvez Ă©galement dĂ©lĂ©guer lâautoritĂ© de gestion dâune unitĂ© dâorganisation. Les unitĂ©s dâorganisation peuvent ĂȘtre imbriquĂ©es les unes dans les autres, ce qui simplifie dâautant la gestion dâobjets.
Les domaines. UnitĂ©s fonctionnelles centrales dans la structure logique dâActive Directory, les
domaines sont un ensemble dâobjets dĂ©finis administrativement qui partagent une base de donnĂ©es dâannuaire commune, des stratĂ©gies de sĂ©curitĂ© et des relations dâapprobation avec dâautres domaines. Les domaines disposent des trois
fonctions suivantes : âą Une limite dâadministration pour objets
⹠Une méthode de gestion de la sécurité pour les ressources partagées ⹠Une unité de réplication pour les objets
Les arborescences de domaines. Les domaines regroupés en structures hiérarchiques sont appelés arborescences
de domaines. Lorsque vous ajoutez un second domaine Ă une arborescence, il devient enfant du domaine racine de lâarborescence. Le domaine auquel un
domaine enfant est attaché est appelé domaine parent. Un domaine enfant peut à son tour avoir son propre domaine enfant.
Le nom dâun domaine enfant est associĂ© Ă celui de son domaine parent pour former son nom DNS (Domain Name System) unique, par exemple corp.nwtraders.msft. De cette maniĂšre, une arborescence a un espace de noms
contigu.
Les forĂȘts. Une forĂȘt est une instance complĂšte dâActive Directory. Elle consiste en une ou
plusieurs arborescences. Dans une arborescence unique Ă deux niveaux, qui est recommandĂ©e pour la plupart des organisations, tous les domaines enfants sont des enfants du domaine racine de la forĂȘt afin de former une arborescence
contiguĂ«. Le premier domaine de la forĂȘt est appelĂ© le domaine racine de la forĂȘt. Le nom
de ce domaine fait rĂ©fĂ©rence Ă la forĂȘt, par exemple nwtraders.msft. Par dĂ©faut, les informations dans Active Directory ne sont partagĂ©es quâĂ lâintĂ©rieur de la forĂȘt. Ainsi, la forĂȘt est une limite de sĂ©curitĂ© pour les
informations contenues dans lâinstance dâActive Directory.
1.5. Structure physique dâActive Directory
Contrairement Ă la structure logique, qui modĂ©lise des exigencesadministratives, la structure physique dâActive Directory optimise le trafic rĂ©seau en dĂ©terminant oĂč et quand se produit un trafic de connexions et de rĂ©plications. Pour optimiser
lâutilisation par Active Directory de la bande passante du rĂ©seau, vous devez en comprendre la structure physique. Les Ă©lĂ©ments de la structure physique dâActive
Directory sont :
Les contrĂŽleurs de domaine.
Ces ordinateurs exécutent Microsoft Windows Server. 2003 ou WindowsŸ 2000
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 14 - 86
Server et Active Directory.
Chaque contrĂŽleur de domaine exĂ©cute des fonctions de stockage et de rĂ©plication. Un contrĂŽleur de domaine ne peut gĂ©rer quâun seul domaine.
Pour assurer une disponibilitĂ© permanente dâActive Directory, chaque domaine doit disposer de plusieurs contrĂŽleurs de domaine.
Les sites Active Directory.
Ces sites sont des groupes dâordinateurs connectĂ©s par des liaisons rapides. Lorsque vous crĂ©ez des sites, les contrĂŽleurs de domaine au sein dâun mĂȘme site communiquent frĂ©quemment. Ces communications rĂ©duisent le dĂ©lai de latence
de rĂ©plication Ă lâintĂ©rieur du site ; autrement dit, le temps requis pour quâune modification effectuĂ©e sur un contrĂŽleur de domaine soit rĂ©pliquĂ©e sur dâautres
contrĂŽleurs de domaine. Vous pouvez donc crĂ©er des sites pour optimiser lâutilisation de la bande passante entre des contrĂŽleurs de domaines situĂ©s Ă des emplacements diffĂ©rents.
Partitions Active Directory.
Chaque contrĂŽleur de domaine contient les partitions Active Directory suivantes :
1. La partition de domaine contient les rĂ©plicas de tous les objets de ce domaine. La partition de domaine nâest rĂ©pliquĂ©e que dans dâautres contrĂŽleurs appartenant au mĂȘme domaine.
2. La partition de configuration contient la topologie de la forĂȘt. La topologie
est un enregistrement de tous les contrĂŽleurs de domaine et des connexions entre eux dans une forĂȘt.
3. La partition de schĂ©ma contient le schĂ©ma Ă©tendu au niveau de la forĂȘt. Chaque forĂȘt comporte un schĂ©ma de sorte que la dĂ©finition de chaque
classe dâobjet est cohĂ©rente. Les partitions de configuration et de schĂ©ma sont rĂ©pliquĂ©es dans chaque contrĂŽleur de domaine dans la forĂȘt.
4. Les partitions dâapplications facultatives contiennent des objets non liĂ©s Ă la sĂ©curitĂ© et utilisĂ©s par une ou plusieurs applications. Les partitions
dâapplications sont rĂ©pliquĂ©es dans des contrĂŽleurs de domaine spĂ©cifiĂ©s dans la forĂȘt.
2. ImplĂ©mentation dâune structure de forĂȘt et de domaine Active Directory
2.1. CrĂ©ation dâune structure de forĂȘt et de domaine
2.1.1. Conditions requises pour installer Active Directory
Avant dâinstaller Active Directory, vous devez vous assurer que lâordinateur
devant ĂȘtre configurĂ© comme contrĂŽleur de domaine satisfait certaines conditions de configuration relatives au matĂ©riel et au systĂšme dâexploitation.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 15 - 86
De plus, le contrĂŽleur de domaine doit ĂȘtre en mesure dâaccĂ©der Ă un serveur
DNS satisfaisant certaines conditions de configuration pour prendre en charge lâintĂ©gration Ă Active Directory.
La liste ci-dessous identifie la configuration requise pour une installation dâActive Directory.
Un ordinateur équipé de MicrosoftŸ Windows Server. 2003
Standard Edition, Enterprise Edition ou Datacenter Edition. Windows Server 2003, Web Edition, ne prend pas en charge
Active Directory. 250 mĂ©gaoctets (Mo) dâespace disque disponible au minimum.
200 Mo pour la base de données Active Directory et 50 Mo pour
les fichiers journaux des transactions de la base de données Active Directory. La taille des fichiers journaux et des fichiers de
la base de donnĂ©es Active Directory dĂ©pend du nombre dâobjets dans le domaine et de leur type ; un espace disque supplĂ©mentaire est nĂ©cessaire si le contrĂŽleur de domaine est
également un serveur de catalogue global. Une partition ou un volume formaté avec le systÚme de fichiers
NTFS. La partition NTFS est nécessaire pour le dossier SYSVOL. Les privilÚges administratifs nécessaires pour la création, le cas
Ă©chĂ©ant, dâun domaine dans un rĂ©seau Windows Server 2003 existant.
Protocole TCP/IP installé et configuré pour utiliser le systÚme
DNS. Un serveur DNS qui fait autorité pour le domaine DNS et prend
en charge les conditions requises répertoriées dans le tableau ci-dessous.
2.1.2. Processus dâinstallation dâActive Directory
Pour dĂ©marrer le processus dâinstallation dâActive Directory, lancez lâAssistant
Installation dâActive Directory. Lors de lâinstallation, un certain nombre de modifications sont apportĂ©es au serveur Windows Server 2003 sur lequel est
installĂ© Active Directory. La connaissance de ces modifications va vous permettre de rĂ©soudre les problĂšmes susceptibles de survenir aprĂšs lâinstallation. Le processus dâinstallation exĂ©cute les tĂąches suivantes :
DĂ©marrage du protocole dâauthentification Kerberos version 5 DĂ©finition de la stratĂ©gie de lâautoritĂ© de sĂ©curitĂ© locale (LSA,
Local Security Authority). Le paramĂštre indique que ce serveur est un contrĂŽleur de domaine.
Création de partitions Active Directory. Une partition de
rĂ©pertoire est une partie de lâespace de noms du rĂ©pertoire. Chaque partition du rĂ©pertoire contient une hiĂ©rarchie, ou une
sous-arborescence, des objets dâannuaire de lâarborescence de rĂ©pertoire. Lors de lâinstallation, les partitions ci-dessous sont crĂ©Ă©es sur le premier contrĂŽleur de domaine dâune forĂȘt :
âą partition dâannuaire de schĂ©ma âą partition dâannuaire de configuration
âą partition dâannuaire de domaine âą zone DNS de la forĂȘt âą partition de la zone DNS du domaine
Les partitions sont alors mises Ă jour par lâintermĂ©diaire de la rĂ©plication sur chaque contrĂŽleur de domaine subsĂ©quent crĂ©Ă© dans la forĂȘt.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 16 - 86
! CrĂ©ation de la base de donnĂ©es Active Directory et des fichiers journaux. Lâemplacement par dĂ©faut de la base de donnĂ©es et des fichiers journaux est
systemroot\Ntds.
Pour améliorer les performances, placez la base de données et les fichiers
journaux sur des disques durs distincts. De cette maniÚre, les opérations
de lecture et dâĂ©criture rĂ©alisĂ©es dans la base de donnĂ©es et dans les
fichiers journaux nâentrent pas en concurrence pour les ressources en
entrée et en sortie.
CrĂ©ation du domaine racine de la forĂȘt. Si le serveur est le
premier contrĂŽleur de domaine du rĂ©seau, le processus dâinstallation crĂ©e le domaine racine de la forĂȘt, puis attribue les
rĂŽles de maĂźtre dâopĂ©rations au contrĂŽleur de domaine, notamment :
lâĂ©mulateur de contrĂŽleur principal de domaine (PDC, Primary
Domain Controller) le maĂźtre dâopĂ©rations des identificateurs relatifs (RID, Relative
IDentifier) ⹠le maßtre de nommage de domaine ⹠le contrÎleur de schéma
âą le maĂźtre dâinfrastructure
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 17 - 86
Vous pouvez attribuer les rĂŽles de maĂźtre dâopĂ©rations Ă un autre contrĂŽleur de
domaine lorsque vous ajoutez des contrÎleurs de domaine répliqués au domaine.
Création du dossier volume systÚme partagé. Cette structure de
dossiers est hébergée sur tous les contrÎleurs de domaine
Windows Server 2003 et contient les dossiers suivants : âąle dossier partagĂ© SYSVOL, qui contient des informations
relatives Ă la stratĂ©gie de groupe ; âąle dossier partagĂ© Net Logon, qui contient les scripts de
connexion des ordinateurs qui ne sont pas équipés de Windows
Server 2003. Configuration de lâappartenance du contrĂŽleur de domaine sur
un site appropriĂ©. Si lâadresse IP du serveur que vous souhaitez promouvoir contrĂŽleur de domaine se trouve dans la plage dâadresses dâun sous-rĂ©seau donnĂ© dĂ©fini dans Active Directory,
lâAssistant configure lâappartenance du contrĂŽleur de domaine dans le site associĂ© au sous-rĂ©seau.
Si aucun objet de sous-rĂ©seau nâest dĂ©fini ou si lâadresse IP du serveur ne se trouve pas dans la plage des objets de sous-rĂ©seau prĂ©sents dans Active
Directory, le serveur est placĂ© sur le site Premier-Site-par-DĂ©faut (premier site configurĂ© automatiquement lorsque vous crĂ©ez le premier contrĂŽleur de domaine dans une forĂȘt).
LâAssistant Installation de Active Directory crĂ©e un objet serveur pour le
contrĂŽleur de domaine dans le site appropriĂ©. Lâobjet serveur contient les informations nĂ©cessaires pour la rĂ©plication. Cet objet serveur contient une rĂ©fĂ©rence Ă lâobjet ordinateur de lâunitĂ© dâorganisation Domain Controllers qui
représente le contrÎleur de domaine en cours de création.
Activation de la sĂ©curitĂ© sur le service dâannuaire et sur les dossiers de rĂ©plication de fichier. Ceci vous permet de contrĂŽler lâaccĂšs des utilisateurs aux objets Active Directory.
Application du mot de passe fournit par lâutilisateur au compte administrateur. Vous utilisez ce compte pour lancer le contrĂŽleur
de domaine en mode Restauration des services dâannuaire. Si un objet serveur pour ce domaine existe dĂ©jĂ dans le conteneur Servers du
site dans lequel vous ajoutez le contrĂŽleur de domaine, lâAssistant le supprime, puis le crĂ©e Ă nouveau car il suppose que vous rĂ©installez Active Directory.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 18 - 86
2.1.3. Comment crĂ©er une structure de forĂȘt et de
domaine
Vous utilisez lâAssistant Installation de Active Directory pour crĂ©er une structure de forĂȘt et de domaine. Lorsque vous installez Active Directory dans un rĂ©seau
pour la premiĂšre fois, vous devez crĂ©er un domaine racine de la forĂȘt. AprĂšs avoir crĂ©Ă© le domaine racine de la forĂȘt, utilisez lâAssistant pour crĂ©er une arborescence et des domaines enfants supplĂ©mentaires.
LâAssistant Installation de Active Directory vous accompagne tout au long du processus dâinstallation et vous donne des informations, qui diffĂšrent en fonction
des options que vous sélectionnez.
ProcĂ©dure de crĂ©ation du domaine racine de la forĂȘt
Pour crĂ©er un domaine racine de la forĂȘt, procĂ©dez comme suit :
1. Cliquez sur Démarrer, sur Exécuter, puis tapez dcpromo en tant que nom du programme.
LâAssistant vĂ©rifie les points suivants : âą lâutilisateur actuellement connectĂ© est un membre du groupe local Administrateurs ;
âą lâordinateur est Ă©quipĂ© dâun systĂšme dâexploitation prenant en charge Active Directory ;
âą une installation prĂ©cĂ©dente ou une suppression dâActive Directory nâa pas eu lieu sans un redĂ©marrage de lâordinateur ; une installation ou une suppression
dâActive Directory nâest pas en cours. Si lâun des ces quatre points ne se vĂ©rifie pas, un message dâerreur sâaffiche et vous quittez lâAssistant.
2. Dans la page Assistant Installation de Active Directory, cliquez sur Suivant.
3. Dans la page CompatibilitĂ© du systĂšme dâexploitation, cliquez sur Suivant. 4. Sur la page Type de contrĂŽleur de domaine, cliquez sur ContrĂŽleur de domaine pour un nouveau domaine, puis cliquez sur Suivant.
5. Dans la page CrĂ©er un nouveau domaine, cliquez sur Domaine dans une nouvelle forĂȘt, puis sur Suivant.
6. Dans la page Nouveau nom de domaine, tapez le nom DNS complet du nouveau domaine, puis cliquez sur Suivant. 7. Dans la page Nom de domaine NetBIOS, vérifiez le nom NetBIOS, puis
cliquez sur Suivant. Le nom NetBIOS permet dâidentifier le domaine sur les ordinateurs clients
Ă©quipĂ©s de versions antĂ©rieures de Windows et Windows NT. LâAssistant identifie que le nom de domaine NetBIOS est unique. Si ce nâest pas le cas, il vous invite Ă modifier le nom.
8. Dans la page Dossiers de la base de donnĂ©es et du journal, indiquez lâemplacement dans lequel vous souhaitez installer les dossiers de la base de
donnĂ©es et du journal, puis cliquez sur Suivant. 9. Dans la page Volume systĂšme partagĂ©, tapez lâemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir
un emplacement. Cliquez ensuite sur Suivant. 10. Dans la page Diagnostics des inscriptions DNS, assurez-vous quâun serveur
DNS existant va faire autoritĂ© pour cette forĂȘt ou, le cas Ă©chĂ©ant, cliquez sur
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 19 - 86
Installer et configurer le serveur DNS sur cet ordinateur et définir cet ordinateur
pour utiliser ce serveur DNS comme serveur DNS de préférence. Cliquez ensuite sur Suivant.
11. Dans la page Autorisations, indiquez si vous souhaitez attribuer les autorisations par défaut à des objets utilisateur et groupe compatibles avec des serveurs équipés de versions antérieures de Windows ou Windows NT, ou
seulement avec des serveurs Ă©quipĂ©s de Windows Server 2003. 12. A lâinvite, indiquez le mot de passe pour le mode Restauration des services
dâannuaire. Les contrĂŽleurs de domaine Windows Server 2003 gĂšrent une petite version de la base de donnĂ©es des comptes de Microsoft Windows NT 4.0. Le seul compte de
cette base de donnĂ©es est le compte Administrateur. Il est requis pour lâauthentification au dĂ©marrage de lâordinateur en mode Restauration des
services dâannuaire, Ă©tant donnĂ© quâActive Directory nâest pas dĂ©marrĂ© dans ce mode. 13. Passez en revue la page RĂ©sumĂ©, puis cliquez sur Suivant pour commencer
lâinstallation. 14. A lâinvite, redĂ©marrez lâordinateur.
ProcĂ©dure de crĂ©ation dâun domaine enfant
La procĂ©dure de crĂ©ation dâun domaine enfant Ă lâaide de lâAssistant Installation
de Active Directory est similaire Ă celle permettant de crĂ©er un domaine racine de la forĂȘt. Le tableau suivant rĂ©pertorie les Ă©tapes que vous allez rĂ©aliser lors de lâinstallation.
Page de lâAssistant Installation de
Active Directory
Nouvelle étape à réaliser
Créer un nouveau domaine
Cliquez sur Domaine enfant dans une
arborescence de domaine existante.
Informations dâidentification
réseau
Tapez le nom dâutilisateur, le mot de
passe et le domaine utilisateur du compte dâutilisateur que vous
souhaitez utiliser pour cette opĂ©ration. Le compte dâutilisateur doit ĂȘtre un membre du groupe Administrateurs de
lâentreprise.
Installation dâun domaine enfant
VĂ©rifiez le domaine parent, puis tapez
le nom du nouveau domaine enfant.
Lorsque vous utilisez lâAssistant Installation de Active Directory pour crĂ©er ou
supprimer un domaine enfant, il contacte le maĂźtre de nommage de domaine pour demander lâajout ou la suppression. Le maĂźtre de nommage de domaine doit impĂ©rativement sâassurer que les noms de domaine sont uniques. Si le maĂźtre de
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 20 - 86
nommage de domaine est indisponible, vous nâavez pas la possibilitĂ© dâajouter ni
de supprimer des domaines.
2.1.4. Comment ajouter un contrĂŽleur de domaine
répliqué
Pour activer la tolĂ©rance de pannes au cas oĂč le contrĂŽleur de domaine se
dĂ©connecte de maniĂšre inattendue, vous devez disposer dâau moins deux contrĂŽleurs de domaine dans un seul domaine. Etant donnĂ© que tous les contrĂŽleurs de domaine dâun domaine rĂ©pliquent les donnĂ©es spĂ©cifiques au
domaine de lâun vers un autre, lâinstallation de plusieurs contrĂŽleurs de domaine dans le domaine active automatiquement la tolĂ©rance de pannes pour les
donnĂ©es enregistrĂ©es dans Active Directory. Si un contrĂŽleur de domaine tombe en panne, les contrĂŽleurs de domaine restants fournissent les services dâauthentification et assurent lâaccĂšs aux objets dâActive Directory, de telle sorte
que le domaine, puisse continuer Ă fonctionner. Avant de commencer lâinstallation, dĂ©terminez si vous allez effectuer la
rĂ©plication initiale dâActive Directory par le biais du rĂ©seau Ă partir dâun contrĂŽleur de domaine Ă proximitĂ© ou dâun support sauvegardĂ©. Choisissez de rĂ©pliquer Active Directory par le biais du rĂ©seau si le contrĂŽleur de
domaine rĂ©pliquĂ© va ĂȘtre installĂ© :
sur un site sur lequel un autre contrĂŽleur de domaine existe ;
sur un nouveau site connecté à un site existant par un réseau à grande
vitesse. Choisissez de rĂ©pliquer Active Directory Ă partir dâun support de sauvegarde si
vous souhaitez installer le premier contrĂŽleur de domaine sur un site distant pour un domaine existant.
Lorsque vous copiez des informations relatives au domaine Ă partir de fichiers de sauvegarde restaurĂ©s, vous devez prĂ©alablement sauvegarder les donnĂ©es sur lâĂ©tat du systĂšme dâun contrĂŽleur de domaine exĂ©cutant Windows Server 2003 Ă
partir du domaine dans lequel ce serveur membre va devenir un contrĂŽleur de domaine supplĂ©mentaire. Ensuite, vous devez restaurer la sauvegarde de lâĂ©tat
du systÚme sur le serveur sur lequel vous installez Active Directory. Pour installer un contrÎleur de domaine répliqué, procédez comme suit :
1. ExĂ©cutez dcpromo. Pour installer un contrĂŽleur de domaine supplĂ©mentaire Ă
partir des fichiers de sauvegarde, exĂ©cutez dcpromo avec lâoption /adv. 2. Sur la page Type de contrĂŽleur de domaine, cochez la case ContrĂŽleur de domaine supplĂ©mentaire pour un domaine existant.
Sinon, si vous lancez lâAssistant Installation de Active Directory avec lâoption /adv, choisissez lâune des options suivantes sur la page Copie des
informations du domaine en cours : ⹠Via le réseau. ⹠à partir des fichiers de restauration de cette sauvegarde, puis indiquez
lâemplacement des fichiers de sauvegarde restaurĂ©s. 3. Sur la page Informations dâidentification rĂ©seau, tapez le nom
dâutilisateur, le mot de passe et le domaine utilisateur du compte dâutilisateur que vous souhaitez utiliser pour cette opĂ©ration. Le compte dâutilisateur doit ĂȘtre un membre du groupe Admins du domaine pour
le domaine cible.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 21 - 86
4. Dans la page ContrÎleur de domaine supplémentaire, spécifiez le nom de
domaine pour lequel ce serveur deviendra un contrÎleur de domaine supplémentaire.
5. Dans la page Dossiers de la base de donnĂ©es et du journal, indiquez lâemplacement dans lequel vous souhaitez installer les dossiers de la base de donnĂ©es et du journal, ou cliquez sur Parcourir pour choisir un emplacement.
6. Dans la page Volume systĂšme partagĂ©, tapez lâemplacement dans lequel vous souhaitez installer le dossier SYSVOL, ou cliquez sur Parcourir pour choisir
un emplacement. 7. Sur la page Mot de passe administrateur de restauration des services dâannuaire, tapez et confirmez le mot de passe du mode de restauration des
services dâannuaire, puis cliquez sur Suivant. 8. Passez en revue la page RĂ©sumĂ©, puis cliquez sur Suivant pour commencer
lâinstallation. 9. Lorsque le systĂšme vous y invite, redĂ©marrez lâordinateur.
2.2. Analyse du systÚme DNS intégré à Active Directory
2.2.1. Espaces de noms DNS et Active Directory
Les domaines DNS et Active Directory utilisent des noms de domaine identiques pour différents espaces de noms. En utilisant des noms de domaine identiques,
les ordinateurs dâun rĂ©seau Windows Server 2003 peuvent utiliser le systĂšme DNS pour rechercher des contrĂŽleurs de domaine et dâautres ordinateurs qui
fournissent des services Active Directory. Les domaines et les ordinateurs sont reprĂ©sentĂ©s par des enregistrements de ressources dans lâespace de noms DNS et par des objets Active Directory dans
lâespace de noms Active Directory. Le nom dâhĂŽte DNS dâun ordinateur est identique Ă celui du compte dâordinateur
stockĂ© dans Active Directory. Le nom de domaine DNS (Ă©galement appelĂ© suffixe DNS principal) et le domaine Active Directory auquel appartient lâordinateur ont le mĂȘme nom. Par exemple, un ordinateur appelĂ© Computer1 appartenant au
domaine Active Directory appelé training.microsoft.msft ont le nom FQDN suivant : computer1.training.microsoft.msft
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 22 - 86
LâintĂ©gration du systĂšme DNS et dâActive Directory est essentielle car un
ordinateur client dâun rĂ©seau Windows Server 2003 doit pouvoir rechercher un contrĂŽleur de domaine de sorte que les utilisateurs, puissent ouvrir une session
sur un domaine ou utiliser les services proposĂ©s par Active Directory. Les clients recherchent les contrĂŽleurs de domaine et les services grĂące aux enregistrements de ressources A et aux enregistrements SRV. Lâenregistrement
de ressources A contient le nom FQDN et lâadresse IP du contrĂŽleur de domaine. Lâenregistrement SRV contient le nom FQDN du contrĂŽleur de domaine et le nom
du service que fournit le contrĂŽleur de domaine.
2.2.2. Zones intégrées à Active Directory
LâintĂ©gration DNS et Active Directory offre la possibilitĂ© dâintĂ©grer des zones DNS
dans une base de donnĂ©es Active Directory. Une zone est une partie de lâespace de noms de domaine possĂ©dant un groupement logique dâenregistrements de
ressources, qui permet de transfĂ©rer des zones de ces enregistrements pour fonctionner en tant quâunitĂ© unique.
Les serveurs DNS Microsoft stockent des informations utilisĂ©es pour rĂ©soudre des noms dâhĂŽte en adresses IP, et inversement, dans un fichier de base de donnĂ©es suivi de lâextension .dns pour chaque zone.
Les zones intĂ©grĂ©es Ă Active Directory sont des zones DNS principales et de stub stockĂ©es en tant quâobjets dans la base de donnĂ©es Active Directory.
Vous pouvez stocker des objets de zone dans une partition dâapplication Active Directory ou dans une partition de domaine Active Directory. Si les objets de zone sont stockĂ©s dans une partition dâapplication Active Directory, seuls les
contrĂŽleurs de domaine qui souscrivent Ă la partition dâapplication participent Ă
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 23 - 86
sa réplication. Toutefois, si les objets de zone sont stockés dans une partition de
domaine Active Directory, ils sont répliqués sur tous les contrÎleurs de domaine du domaine.
Les zones intégrées à Active Directory offrent les avantages suivants :
RĂ©plication multimaĂźtre. Lorsque vous configurez les zones
intĂ©grĂ©es Ă Ative Directory, des mises Ă jour dynamiques du systĂšme sur le systĂšme DNS sont menĂ©es en fonction dâun
modÚle de mise à jour multimaßtre. Dans ce modÚle, les serveurs DNS qui font autorité (un contrÎleur de domaine exécutant un serveur DNS, par exemple) sont conçus en tant que source
principale pour la zone. Etant donné que la copie principale de la zone est gérée dans la base de données Active Directory, qui est
intĂ©gralement rĂ©pliquĂ©e sur tous les contrĂŽleurs de domaine, la zone peut ĂȘtre mise Ă jour par les serveurs DNS fonctionnant sur un contrĂŽleur de domaine pour le domaine. Dans le modĂšle de
mise Ă jour multimaĂźtre dâActive Directory, tout serveur principal de la zone intĂ©grĂ©e dâannuaire peut traiter des requĂȘtes Ă©mises
par les clients DNS pour mettre Ă jour la zone, aussi longtemps quâun contrĂŽleur de domaine est disponible sur le rĂ©seau.
Mises Ă jour dynamiques sĂ©curisĂ©es. Etant donnĂ© que les zones DNS sont des objets Active Directory des zones intĂ©grĂ©es Ă Active Directory, vous pouvez dĂ©finir des autorisations dâaccĂšs
aux enregistrements au sein de ces zones afin de contrĂŽler les ordinateurs qui peuvent mettre Ă jour leurs enregistrements. De
cette maniÚre, les mises à jour qui utilisent le protocole e mise à jour dynamique ne peuvent provenir que des ordinateurs autorisés.
Transferts de zone standard vers dâautres serveurs DNS. Effectue des transferts de zone standard vers des serveurs DNS qui ne
sont pas configurĂ©s en tant que contrĂŽleur de domaine. Cela permet Ă©galement âeffectuer des transferts de zone standard vers des serveurs DNS qui se trouvent dans dâautres domaines. Il
sâagit de la mĂ©thode requise pour rĂ©pliquer des zones vers des serveurs DNS dans dâautres domaines.
2.2.3. Enregistrements de ressources SRV
Pour quâActive Directory fonctionne correctement, les ordinateurs clients doivent
ĂȘtre en mesure de localiser les serveurs qui fournissent des services spĂ©cifiques tels que lâauthentification des demandes dâouverture de session et la recherche
dâinformations dans Active Directory. Active Directory stocke les informations relatives Ă lâemplacement des ordinateurs qui fournissent ces services dans des enregistrements DNS connus sous le nom dâenregistrements de ressources SRV.
Les enregistrements de ressources SRV Ă©tablissent un lien entre un service et le nom dâordinateur DNS de lâordinateur qui offre le service. Par exemple, un
enregistrement SRV peut contenir des informations permettant aux clients de localiser un contrĂŽleur de domaine dans un domaine ou une forĂȘt spĂ©cifique. Lorsquâun contrĂŽleur de domaine dĂ©marre, il enregistre les enregistrements SRV
et un enregistrement de ressources A, qui contiennent son nom dâordinateur DNS et son adresse IP. Un ordinateur client DNS utilise ultĂ©rieurement ces
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 24 - 86
informations combinées afin de localiser le service requis sur le contrÎleur de
domaine approprié.
Tous les enregistrements SRV utilisent un format standard composĂ© de champs contenant les informations quâActive Directory utilise afin de mapper un service Ă lâordinateur qui fournit le service. Les enregistrements SRV utilisent le format
suivant :
_ Service._Protocole.Nom Ttl Classe SRV Priorité Poids Port Cible
Exemple:
_ldap._tcp.gsimaroc.com 600 IN SRV 0 100 389 Casablanca.gsimaroc.com
Le tableau ci-dessous prĂ©sente chaque champ dâun enregistrement SRV.
Champ
Description
_Service
Spécifie le nom du service, (LDAP [Lightweight Directory Access Protocol]
ou Kerberos, par exemple) fourni par le serveur qui enregistre cet enregistrement SRV.
_Protocole
Spécifie le type de protocole de transport, tel que TCP ou UDP (User
Datagram Protocol).
Nom
Spécifie le nom de domaine auquel fait
rĂ©fĂ©rence lâenregistrement de
ressources.
Ttl
SpĂ©cifie la durĂ©e de vie (TTL, Time To Live) en secondes. Câest un champ standard des enregistrements de
ressources DNS prĂ©cisant la durĂ©e pendant laquelle lâenregistrement est
considéré valide.
Classe
Spécifie la valeur de la classe de
lâenregistrement de ressources DNS, qui est presque toujours « IN » pour le systĂšme Internet. Il sâagit de la seule
classe prise en charge par le systĂšme DNS de Windows Server 2003.
Priorité
SpĂ©cifie la prioritĂ© du serveur. Les clients tentent de contacter lâhĂŽte dont
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 25 - 86
la priorité est la plus faible.
Poids
Indique un mĂ©canisme dâĂ©quilibre de
charge que les clients utilisent lors de la sĂ©lection dâun hĂŽte cible. Lorsque le champ de prioritĂ© est identique pour
deux ou trois enregistrements dâun mĂȘme domaine, les clients choisissent
de maniÚre aléatoire des enregistrements SRV dont le poids est supérieur.
Port
Spécifie le port sur lequel le serveur écoute ce service.
Cible
Spécifie le nom FQDN, également appelé nom de domaine complet, de
lâordinateur qui fournit le service.
2.3. Niveaux fonctionnels de la forĂȘt et du domaine
Sous Windows Server 2003, les fonctionnalitĂ©s des forĂȘts et des domaines offrent un moyen dâactiver les fonctionnalitĂ©s Active Directory Ă©tendues Ă
lâĂ©chelle de la forĂȘt ou du domaine dans votre environnement rĂ©seau. Selon votre environnement, diffĂ©rents niveaux de fonctionnalitĂ© de forĂȘt et de
fonctionnalité de domaine sont disponibles. La fonctionnalité de domaine active des fonctionnalités qui auront un impact sur le domaine entier, et sur ce domaine uniquement. Quatre niveaux fonctionnels
de domaine sont disponibles : Windows 2000 mixte. Il sâagit du niveau fonctionnel par dĂ©faut.
Vous pouvez augmenter le niveau fonctionnel du domaine vers Windows 2000 mode natif ou Windows Server 2003. Les
domaines en mode mixte peuvent contenir des contrÎleurs secondaires de domaine Windows NT 4.0 mais ne peuvent pas utiliser les fonctionnalités de groupes de sécurité universels,
dâimbrication de groupes ni dâhistorique SID (Security IDentifier). Windows 2000 natif. Vous pouvez utiliser ce niveau fonctionnel si
le domaine contient uniquement des contrÎleurs de domaine Windows 2000 et Windows Server 2003. Bien que les contrÎleurs de domaine exécutant Windows 2000 Server ne connaissent pas
la fonctionnalité de domaine, les fonctionnalités Active Directory (groupes de sécurité universels, imbrication des groupes et
dâhistorique SID, par exemple) sont disponibles. Windows 2003 Server. Il sâagit du niveau fonctionnel le plus
Ă©levĂ© pour un domaine. Vous pouvez lâutiliser uniquement si tous
les contrÎleurs de domaine du domaine exécutent Windows Server 2003. Toutes les fonctionnalités Active Directory pour le
domaine sont disponibles. Windows 2003 version prĂ©liminaire. Il sâagit dâun niveau
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 26 - 86
fonctionnel particulier qui prend en charge les contrĂŽleurs de
domaine Windows NT 4.0 et Windows 2003 Server.
Vous ne pouvez pas réduire le niveau fonctionnel du domaine ou de la
forĂȘt aprĂšs lâavoir augmentĂ©.
2.3.1. Conditions requises pour activer les nouvelles
fonctionnalités de Windows Server 2003
Outre les fonctionnalitĂ©s de base dâActive Directory sur les contrĂŽleurs de domaine individuels, de nouvelles fonctionnalitĂ©s Active Directory Ă©tendues Ă la
forĂȘt et au domaine sont disponibles lorsque certaines conditions sont satisfaites. Pour activer les nouvelles fonctionnalitĂ©s Ă©tendues au domaine, tous les
contrĂŽleurs de domaine du domaine doivent exĂ©cuter Windows Server 2003, et le niveau fonctionnel du domaine doit ĂȘtre Ă©levĂ© au niveau Windows Server 2003. Pour ce faire, vous devez ĂȘtre un administrateur de domaine.
Pour activer les nouvelles fonctionnalitĂ©s Ă©tendues Ă la forĂȘt, tous les contrĂŽleurs de domaine de la forĂȘt doivent exĂ©cuter Windows Server 2003, et le niveau
fonctionnel de la forĂȘt doit ĂȘtre Ă©levĂ© au niveau Windows Server 2003. Pour ce faire, vous devez ĂȘtre un administrateur dâentreprise.
2.3.2. ProcĂ©dure dâaugmentation du niveau fonctionnel du
domaine
Pour augmenter le niveau fonctionnel du domaine, procédez comme suit :
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 27 - 86
1. Ouvrez Domaines et approbations Active Directory.
2. Dans lâarborescence de la console, cliquez avec le bouton droit sur le noeud du
domaine dont vous souhaitez augmenter le niveau fonctionnel, puis cliquez sur
Augmenter le niveau fonctionnel du domaine.
3. Dans la boĂźte de dialogue SĂ©lectionner un niveau fonctionnel du domaine
disponible, sélectionnez le niveau fonctionnel, puis cliquez sur Augmenter.
2.3.3. ProcĂ©dure dâaugmentation du niveau fonctionnel de
la forĂȘt
Pour augmenter le niveau fonctionnel de la forĂȘt, procĂ©dez comme suit :
1. Dans Domaines et approbations Active Directory, dans lâarborescence de la console, cliquez avec le bouton droit sur Domaine et approbations Active
Directory, puis cliquez sur Augmenter le niveau fonctionnel de la forĂȘt. 2. Dans la boĂźte de dialogue SĂ©lectionner un niveau fonctionnel de la forĂȘt disponible, sĂ©lectionnez Windows Server 2003, puis cliquez sur Augmenter.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 28 - 86
2.4. Relations dâapprobation
2.4.1. Types dâapprobations
Les approbations sont des mécanismes qui permettent à un utilisateur
authentifiĂ© dans son propre domaine dâaccĂ©der aux ressources de tous les domaines approuvĂ©s. Dans Windows Server 2003, il existe deux types dâapprobations : transitives et non transitives.
Dans une approbation transitive, la relation dâapprobation Ă©tendue Ă un domaine est automatiquement Ă©tendue Ă tous les autres domaines qui approuvent ce
domaine. Par exemple, le domaine D approuve directement le domaine E, qui approuve directement le domaine F. Etant donné que les deux approbations sont transitives, le domaine D approuve indirectement le domaine F et inversement.
Les approbations transitives sont automatiques. Une approbation parent/enfant est un bon exemple dâapprobation. Les approbations non transitives ne sont pas
automatiques et peuvent ĂȘtre configurĂ©es. Par exemple, une approbation non transitive peut ĂȘtre externe, comme lâapprobation entre deux domaines de deux forĂȘts distinctes.
Dans Windows Server 2003, il existe trois directions dâapprobation : unidirectionnel entrant, unidirectionnel sortant et bidirectionnelle. Si, dans un
domaine B, vous avez configurĂ© une approbation unidirectionnelle entrante entre le domaine B et le domaine Q, les utilisateurs du domaine B peuvent ĂȘtre authentifiĂ©s dans le domaine Q. Si vous avez configurĂ© une approbation
unidirectionnelle sortante entre le domaine B et le domaine Q, les utilisateurs du domaine Q peuvent ĂȘtre authentifiĂ©s dans le domaine B. Dans une approbation
bidirectionnelle, les deux domaines peuvent authentifier les utilisateurs de lâautre
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 29 - 86
domaine.
Windows Server 2003 prend en charge les types dâapprobation suivants, dans les
catégories transitives et non transitives.
Type
Transitivité
A utiliser si vous souhaitez
Raccourcie
Partiellement transitive
RĂ©duire les sauts de lâauthentification
Kerberos.
ForĂȘt
Partiellement
transitive
Activer lâauthentification
entre les forĂȘts.
Externe
Non transitive
Configurer une relation
dâapprobation entre un domaine dâune forĂȘt et
un domaine dâune autre forĂȘt.
Domaine
Transitive ou non transitive, au choix de lâutilisateur
Approuver un domaine Kerberos externe.
3. ImplĂ©mentation de la structure dâune unitĂ© dâorganisation
3.1. CrĂ©ation et gestion dâunitĂ©s dâorganisation
3.1.1. Présentation de la gestion des unités
dâorganisation
Les unitĂ©s dâorganisation sont les conteneurs du service dâannuaire Active
Directory que vous utilisez pour placer des utilisateurs, des groupes, des ordinateurs et dâautres unitĂ©s dâorganisation. Lâutilisation dâunitĂ©s dâorganisation
vous permet de crĂ©er des conteneurs dans un domaine reprĂ©sentant les structures hiĂ©rarchique et logique de votre organisation. Vous pouvez ensuite gĂ©rer la configuration et lâutilisation de comptes et de ressources en fonction de
votre modĂšle dâorganisation. Vous pouvez, par exemple, utiliser les unitĂ©s dâorganisation pour appliquer automatiquement des stratĂ©gies de groupe
dĂ©finissant des paramĂštres par dĂ©faut pour les comptes dâordinateurs et dâutilisateurs dans Active Directory. Le cycle de vie des unitĂ©s dâorganisation inclut quatre phases :
Planification. Vous planifiez au cours de cette phase la structure des unités
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 30 - 86
dâorganisation. Vous dĂ©terminez quelles unitĂ©s dâorganisation vous allez
créer et comment vous en déléguerez le contrÎle administratif.
Déploiement. Vous créez au cours de cette phase la structure des unités
dâorganisation en fonction de leur plan.
Maintenance. AprĂšs avoir crĂ©Ă© la structure des unitĂ©s dâorganisation dans
Active Directory, vous pouvez renommer, déplacer ou modifier les unités
crĂ©Ă©es en fonction des besoins permanents de lâorganisation.
Suppression. Dans Active Directory, tous les objets, y compris les unités
dâorganisation, occupent de lâespace dans le contrĂŽleur de domaine qui
hĂ©berge Active Directory. Lorsque des unitĂ©s dâorganisation ne sont plus
requises, vous devez les supprimer.
3.1.2. Méthodes de création et de gestion des unités
dâorganisation
MicrosoftŸ Windows Server. 2003 fournit plusieurs composants logiciels enfichables et outils de ligne de commande vous permettant de créer des unités
dâorganisation et de gĂ©rer la configuration et lâutilisation de comptes et de ressources dans le modĂšle de votre organisation. Vous pouvez Ă©galement utiliser lâenvironnement dâexĂ©cution de scripts pour les plates-formes Microsoft Windows,
afin de gĂ©rer des unitĂ©s dâorganisation. La liste suivante dĂ©crit quelques composants logiciels enfichables et outils de
ligne de commande vous permettant de crĂ©er et de gĂ©rer des unitĂ©s dâorganisation :
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 31 - 86
Utilisateurs et ordinateurs Active Directory. Ce composant logiciel
enfichable MMC permet de crĂ©er, modifier et supprimer des unitĂ©s dâorganisation. Utilisez ce composant logiciel enfichable
lorsque vous nâavez que quelques unitĂ©s dâorganisation Ă gĂ©rer, ou lorsque vous souhaitez gĂ©rer des unitĂ©s de maniĂšre interactive.
Outils de service dâannuaire. Cet ensemble dâoutils de ligne de commande permet de gĂ©rer des objets et dâeffectuer des
requĂȘtes dâinformations dans Active Directory. Les outils de ligne de commande incluent Dsadd, Dsmod et Dsrm. Lâutilisation de ces outils avec le paramĂštre « ou » vous permet dâajouter, de
modifier et de supprimer des unitĂ©s dâorganisation dans Active Directory. Vous pouvez Ă©galement utiliser des scripts et des
fichiers de commandes avec ces outils pour gĂ©rer des services dâannuaire.
Ldifde (Lightweight Directory Access Protocol Data Interchange
Format Directory Exchange). Cet outil de ligne de commande permet de crĂ©er des unitĂ©s dâorganisation et dâautres objets
Active Directory. Ldifde utilise un fichier dâentrĂ©e contenant des informations sur les objets Ă ajouter, modifier ou supprimer. Ces
informations sont stockĂ©es sous la forme dâune sĂ©rie dâenregistrements, sĂ©parĂ©s par une ligne vide dans un fichier dâentrĂ©e.
Environnement dâexĂ©cution de scripts Windows. Vous pouvez crĂ©er des unitĂ©s dâorganisation Ă lâaide dâapplications Windows,
ou Ă lâaide de scripts Windows avec les composants fournis par les interfaces ADSI (Active Directory Service Interfaces). Lâutilisation de scripts vous permet de crĂ©er des unitĂ©s
dâorganisation dans le cadre dâune configuration dâapplication, le cas Ă©chĂ©ant.
3.1.3. ProcĂ©dure de crĂ©ation dâune unitĂ© dâorganisation Ă
lâaide de la ligne de commande Dsadd
Pour crĂ©er une unitĂ© dâorganisation, exĂ©cutez la commande Dsadd suivante Ă partir de lâinvite de commande : dsadd ou NU_UnitĂ©_Organisation -desc
Description -d Domaine âu Nom_Utilisateur -p Mot_de_passe
OĂč :
NU_UnitĂ©_Organisation spĂ©cifie le nom unique de lâunitĂ© dâorganisation
que vous dĂ©sirez ajouter. Par exemple, pour ajouter lâunitĂ©
poleformation au domaine gsimaroc.com, le nom unique serait
ou=poleformation,dc=gsimaroc,dc=com.
Description spĂ©cifie la description de lâunitĂ© dâorganisation que vous
désirez ajouter.
Domaine spĂ©cifie le domaine auquel se connecter. Par dĂ©faut, lâordinateur
est connecté au contrÎleur de domaine du domaine sur lequel il a ouvert
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 32 - 86
une session.
Nom_Utilisateur spĂ©cifie le nom dâutilisateur permettant de se connecter Ă
un serveur distant. Par dĂ©faut, le nom de lâutilisateur connectĂ© est utilisĂ©.
Vous pouvez spĂ©cifier un nom dâutilisateur selon lâun des formats suivants
:
âą nom dâutilisateur (par exemple, Benharraf)
âą domaine\nom dâutilisateur (par exemple, gsimaroc\Benharraf)
âą nom dâutilisateur principal (UPN, User Principal Name) (par exemple,
Mot_de_Passe est le mot de passe Ă utiliser pour ouvrir une session sur un
serveur distant. Si vous tapez * (astérisque), un mot de passe vous sera
demandé.
3.1.4. ProcĂ©dure de modification dâune unitĂ©
dâorganisation
Pour modifier la description dâune unitĂ© dâorganisation, exĂ©cutez la commande
suivante : dsmod ou NU_UnitĂ©_Organisation -desc Description -d Domaine âu
Nom_Utilisateur -p Mot_de_passe Les paramĂštres qui sont transmis Ă la commande dsmod sont les mĂȘmes que
ceux de la commande dsadd. La nouvelle description doit ĂȘtre transmise comme paramĂštre desc.
3.1.5. ProcĂ©dure de suppression dâune unitĂ©
dâorganisation
Vous devez supprimer dâActive Directory les unitĂ©s dâorganisation qui ne sont plus utilisĂ©es. Pour supprimer une unitĂ© dâorganisation, exĂ©cutez la commande suivante :
dsrm ou NU_UnitĂ©_Organisation -d Domaine -u Nom_Utilisateur âp Mot_de_passe
Les paramĂštres qui sont transmis Ă la commande dsrm sont les mĂȘmes que ceux de la commande dsadd. Vous pouvez utiliser les paramĂštres supplĂ©mentaires suivants avec dsrm :
subtree. SpĂ©cifie de supprimer lâobjet ainsi que tous les objets contenus
dans la sous-arborescence située sous cet objet.
Exclude. SpĂ©cifie de ne pas supprimer lâobjet de base fourni par
NU_Unité_Organisation lorsque vous supprimez la sous-arborescence
situĂ©e au-dessous. Par dĂ©faut, seul lâobjet de base spĂ©cifiĂ© est supprimĂ©.
Le paramĂštre Exclude ne peut ĂȘtre spĂ©cifiĂ© quâavec le paramĂštre subtree.
3.1.6. Comment crĂ©er et gĂ©rer des unitĂ©s dâorganisation Ă
lâaide de lâoutil Ldifde
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 33 - 86
Lâoutil de ligne de commande Ldifde vous permet de crĂ©er des unitĂ©s
dâorganisation en mode Batch et de dĂ©finir des hiĂ©rarchies dâunitĂ©s dâorganisation. Vous pouvez Ă©galement utiliser Ldifde pour modifier et supprimer
des unitĂ©s dâorganisation. La premiĂšre Ă©tape Ă exĂ©cuter pour utiliser cet outil consiste Ă crĂ©er le fichier dâentrĂ©e Ă utiliser avec Ldifde. AprĂšs avoir crĂ©Ă© ce fichier, vous exĂ©cuterez la
commande Ldifde. ProcĂ©dez comme suit pour crĂ©er des unitĂ©s dâorganisation Ă lâaide de lâoutil de
ligne de commande Ldifde : 1. CrĂ©ez un fichier dâentrĂ©e. Lâexemple suivant montre le format du fichier :
dn: OU=formationOu,DC=gsimaroc,DC=com
changetype: add objectClass: organizationalUnit
Changetype dĂ©termine le type dâopĂ©ration effectuĂ©e sur lâobjet Active Directory.
ObjectClass spĂ©cifie la classe de lâobjet Active Directory. Dans lâexemple prĂ©cĂ©dent, Ldifde ajoute un objet dâunitĂ© dâorganisation appelĂ© ExempleOU au
domaine nwtraders.msft. Vous pouvez ajouter plusieurs unitĂ©s dâorganisation en ajoutant dâautres entrĂ©es comme celle ci-dessus.
Chaque entrĂ©e dn doit ĂȘtre prĂ©cĂ©dĂ©e dâune ligne vide, sauf la premiĂšre.
2. ExĂ©cutez Ldifde pour crĂ©er, modifier ou supprimer des unitĂ©s dâorganisation en entrant la commande suivante :
C:\>ldifde -i .k -f OUList.ldf -b Nom_Utilisateur Domaine
Mot_de_Passe OĂč : âą -i spĂ©cifie le mode dâimportation. Si celui-ci nâest pas spĂ©cifiĂ©, le mode par
défaut est exportation. ⹠-k permet de ne pas tenir compte des erreurs durant une opération
dâimportation et de poursuivre le traitement. âą -f spĂ©cifie le nom du fichier dâimportation ou dâexportation. âą OUList.ldf est le fichier dâentrĂ©e.
âą -b spĂ©cifie le nom dâutilisateur, le nom de domaine et le mot de passe associĂ©s au compte dâutilisateur qui sera utilisĂ© pour exĂ©cuter lâopĂ©ration dâimportation ou
dâexportation.
3.1.7. Comment crĂ©er des unitĂ©s dâorganisation Ă lâaide
de lâenvironnement dâexĂ©cution de scripts Windows
ProcĂ©dez comme suit pour crĂ©er une unitĂ© dâorganisation Ă lâaide de
lâenvironnement dâexĂ©cution de scripts Windows : 1. Ă lâaide du Bloc-notes, crĂ©ez un fichier texte portant lâextension .vbs.
Insérez dans ce fichier les commandes figurant ci-aprÚs sous les points a, b et c, puis enregistrez le fichier. a. Commencez par vous connecter au domaine dans lequel vous souhaitez créer
lâunitĂ© dâorganisation, comme indiquĂ© dans lâexemple suivant : Set objDom = GetObject("LDAP://dc=gsimaroc,dc=com")
b. CrĂ©ez ensuite lâunitĂ© dâorganisation en spĂ©cifiant OrganizationalUnit comme
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 34 - 86
type dâobjet Active Directory Ă crĂ©er et le nom de lâunitĂ© dâorganisation, comme
indiquĂ© dans lâexemple suivant : Set objOU = objDom.Create("OrganizationalUnit", "ou=formationOu")
Dans cet exemple, FormationOu est le nom de lâunitĂ© dâorganisation que vous crĂ©ez.
c. Pour terminer, enregistrez ces informations dans la base de données Active
Directory, comme indiquĂ© dans lâexemple suivant : objOU.SetInfo 2. Pour exĂ©cuter les commandes dans le fichier .vbs, tapez le texte suivant Ă lâinvite de commande : wscript nom_fichier_script.vbs
3.2. DĂ©lĂ©gation du contrĂŽle administratif des unitĂ©s dâorganisation
3.2.1. Délégation de privilÚges administratifs
La dĂ©lĂ©gation de lâadministration est le processus de dĂ©centralisation de la responsabilitĂ© de la gestion dâunitĂ©s dâorganisation dâun administrateur central
vers dâautres administrateurs. La capacitĂ© Ă Ă©tablir lâaccĂšs Ă des unitĂ©s dâorganisation individuelles est une fonctionnalitĂ© de sĂ©curitĂ© importante dans Active Directory ; vous pouvez contrĂŽler lâaccĂšs jusquâau niveau le plus bas dâune
organisation sans devoir crĂ©er de nombreux domaines Active Directory. LâautoritĂ© dĂ©lĂ©guĂ©e au niveau du site couvrira probablement plusieurs domaines
ou, Ă lâinverse, peut ne pas inclure de cibles dans le domaine. LâautoritĂ© dĂ©lĂ©guĂ©e au niveau du domaine affectera tous les objets qui sây trouvent. LâautoritĂ© dĂ©lĂ©guĂ©e au niveau de lâunitĂ© dâorganisation peut affecter cet objet et
tous ses objets enfants, ou uniquement lâobjet lui-mĂȘme. Vous dĂ©lĂ©guez le contrĂŽle administratif afin de permettre lâautonomie
administrative des organisations au niveau des services et des données ou, au contraire, pour isoler les services ou les données dans une organisation. Vous pouvez éliminer le besoin de disposer de plusieurs comptes administrateur ayant
une autorité étendue, sur un domaine entier par exemple, mais néanmoins utiliser le groupe prédéfini Admins du domaine pour gérer tout le domaine
Lâautonomie correspond Ă la possibilitĂ© quâont les administrateurs dâune organisation de prendre en charge de maniĂšre indĂ©pendante :
tout ou partie de la gestion des services (autonomie de la gestion des
services) ;
tout ou partie de la gestion des données de la base de données Active
Directory ou des ordinateurs membres rattachĂ©s Ă lâannuaire (autonomie
de la gestion des donnĂ©es). Lâautonomie administrative :
minimise le nombre dâadministrateurs devant possĂ©der des droits dâaccĂšs
de haut niveau ;
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 35 - 86
limite lâimpact dâune erreur administrative Ă une zone dâadministration plus
rĂ©duite. Lâisolation correspond Ă la possibilitĂ© quâont les administrateurs dâune
organisation dâempĂȘcher les autres administrateurs de :
contrĂŽler ou dâinterfĂ©rer avec la gestion des services (isolation de la
gestion des services) ;
contrĂŽler ou visualiser un sous-ensemble de donnĂ©es dans lâannuaire ou
sur les ordinateurs membres rattachĂ©s Ă lâannuaire (isolation de la gestion
des données). Windows Server 2003 comporte des autorisations et des droits utilisateur
spĂ©cifiques qui vous permettent de dĂ©lĂ©guer le contrĂŽle administratif. En utilisant une combinaison dâunitĂ©s dâorganisation, de groupes et dâautorisations, vous pouvez confĂ©rer des droits dâadministration Ă un utilisateur particulier de telle
sorte que celui-ci dispose dâun niveau appropriĂ© dâadministration sur tout un domaine, sur toutes les unitĂ©s dâorganisation dans un domaine ou sur une seule
unitĂ© dâorganisation.
3.2.2. Comment déléguer le contrÎle administratif
Vous pouvez utiliser lâAssistant DĂ©lĂ©gation de ContrĂŽle pour dĂ©lĂ©guer le contrĂŽle administratif des objets Active Directory, comme les unitĂ©s dâorganisation.
Lâutilisation de lâAssistant vous permet de dĂ©lĂ©guer des tĂąches dâadministration courantes, telles que la crĂ©ation, la suppression et la gestion des comptes dâutilisateurs.
ExĂ©cutez la procĂ©dure ci-dessous pour dĂ©lĂ©guer des tĂąches dâadministration courantes pour une unitĂ© dâorganisation.
1. ProcĂ©dez comme suit pour dĂ©marrer lâAssistant DĂ©lĂ©gation de contrĂŽle : a. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
b. Dans lâarborescence de la console, double-cliquez sur le n.ud du domaine. c. Dans le volet de dĂ©tails, cliquez avec le bouton droit sur lâunitĂ© dâorganisation, cliquez ensuite sur DĂ©lĂ©guer le contrĂŽle, puis sur Suivant.
2. SĂ©lectionnez les utilisateurs ou les groupes auxquels vous souhaitez dĂ©lĂ©guer des tĂąches dâadministration courantes. Pour ce faire, procĂ©dez comme suit :
a. Dans la page Utilisateurs ou groupes, cliquez sur Ajouter. b. Dans la boĂźte de dialogue SĂ©lectionner des utilisateurs, des ordinateurs ou des groupes, tapez les noms des utilisateurs et des groupes auxquels vous
souhaitez dĂ©lĂ©guer le contrĂŽle de lâunitĂ© dâorganisation, cliquez ensuite sur OK, puis sur Suivant.
3. Affectez des tùches courantes à déléguer. Pour ce faire, procédez comme suit : a. Dans la page Tùches à déléguer, cliquez sur Déléguer les tùches courantes
suivantes. b. Dans la page Tùches à déléguer, sélectionnez les tùches que vous souhaitez
dĂ©lĂ©guer, puis cliquez sur Suivant. 4. Cliquez sur Terminer. Lorsque vous dĂ©lĂ©guez le contrĂŽle de la crĂ©ation dâobjets dans Active Directory Ă
un utilisateur ou Ă un groupe, ces derniers peuvent crĂ©er un nombre dâobjets illimitĂ©. Dans Windows Server 2003, vous pouvez limiter le nombre dâobjets
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 36 - 86
quâune entitĂ© de sĂ©curitĂ© peut possĂ©der dans une partition dâannuaire, en
implémentant un quota pour cette entité.
3.3. Planification dâune stratĂ©gie dâunitĂ© dâorganisation
3.3.1. Processus de planification dâunitĂ© dâorganisation
La structure des unitĂ©s dâorganisation dans Active Directory est basĂ©e sur la structure administrative de lâorganisation. La premiĂšre Ă©tape de planification
dâune structure dâunitĂ© dâorganisation consiste Ă documenter la structure de lâorganisation. ProcĂ©dez comme suit pour planifier la stratĂ©gie dâunitĂ© dâorganisation pour votre
organisation :
Documentez la structure existante de lâorganisation. Lors de la
documentation de la structure existante de lâorganisation, une stratĂ©gie
consiste Ă diviser les tĂąches dâadministration en catĂ©gories, puis Ă
documenter les administrateurs qui sont responsables de chacune dâelles.
Identifiez les domaines Ă amĂ©liorer. Travaillez avec lâĂ©quipe de
planification pour identifier les domaines à améliorer. Par exemple, il peut
ĂȘtre plus rentable de combiner plusieurs Ă©quipes IT provenant de
différentes divisions. Vous pouvez identifier le personnel non informatique
susceptible de vous aider dans le processus dâadministration et rĂ©duire la
charge de travail du personnel informatique. Les administrateurs peuvent
ainsi se concentrer sur les domaines oĂč leur expertise est requise. Utilisez ensuite les points suivants comme consignes pour votre plan de
délégation :
DĂ©terminez le niveau dâadministration. DĂ©cidez ce que chaque groupe
contrĂŽlera et Ă quel niveau vous dĂ©lĂ©guerez lâadministration dans la
hiérarchie administrative. Lorsque vous créez le plan, identifiez quels
groupes : âą auront un contrĂŽle intĂ©gral sur les objets dâune classe particuliĂšre ; ces groupes
peuvent crĂ©er et supprimer des objets dans une classe spĂ©cifiĂ©e et modifier tous les attributs des objets dans la classe spĂ©cifiĂ©e. âą seront autorisĂ©s Ă crĂ©er des objets dâune classe particuliĂšre ; par dĂ©faut, les
utilisateurs ont le contrĂŽle intĂ©gral des objets quâils crĂ©ent ; âą seront autorisĂ©s Ă ne modifier que des attributs spĂ©cifiques dâobjets existants
dâune classe particuliĂšre.
Identifiez chaque administrateur et compte dâutilisateur dans votre
organisation ainsi que les ressources quâils administrent. Ces informations
vous aideront à déterminer la propriété et les autorisations affectées aux
unitĂ©s dâorganisation que vous crĂ©ez pour prendre en charge le plan de
délégation.
4. ImplĂ©mentation de comptes dâutilisateurs, de
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 37 - 86
groupes et dâordinateurs
4.1. Présentation des comptes
4.1.1. Types de comptes
Vous pouvez créer trois types de comptes dans Active Directory : comptes
dâutilisateurs, de groupes et dâordinateurs. Les comptes dâutilisateurs et dâordinateurs Active Directory reprĂ©sentent une entitĂ© physique, telle quâun ordinateur ou une personne. Vous pouvez Ă©galement utiliser les comptes
dâutilisateurs comme comptes de services dĂ©diĂ©s pour certaines applications.
Comptes dâutilisateurs
Un compte dâutilisateur est un objet stockĂ© dans Active Directory qui permet une ouverture de session unique, autrement dit un utilisateur entre son mot de passe une seule fois lors de lâouverture de session sur une station de travail pour
obtenir un accĂšs authentifiĂ© aux ressources rĂ©seau. Il existe trois types de comptes dâutilisateurs, chacun ayant une fonction
spĂ©cifique : Un compte dâutilisateur local permet Ă un utilisateur dâouvrir une session
sur un ordinateur spécifique pour accéder aux ressources sur cet
ordinateur. Un compte dâutilisateur de domaine permet Ă un utilisateur de se
connecter au domaine pour accéder aux ressources réseau, ou à un ordinateur individuel pour accéder aux ressources sur cet ordinateur.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 38 - 86
Un compte dâutilisateur intĂ©grĂ© permet Ă un utilisateur dâeffectuer des
tĂąches dâadministration ou dâaccĂ©der temporairement aux ressources rĂ©seau.
Comptes dâordinateurs
Chaque ordinateur exĂ©cutant Microsoft Windows NTÂź, Windows 2000 ou Windows XP, ou un serveur exĂ©cutant Windows Server 2003 qui rejoint un domaine possĂšde un compte dâordinateur. Ă lâimage des comptes dâutilisateurs,
les comptes dâordinateurs permettent dâauthentifier et dâauditer lâaccĂšs dâun ordinateur aux ressources rĂ©seau et du domaine. Chaque compte dâordinateur
doit ĂȘtre unique.
Comptes de groupes
Un compte de groupe est un ensemble dâutilisateurs, dâordinateurs ou de groupes. Vous pouvez utiliser des groupes pour gĂ©rer efficacement lâaccĂšs aux
ressources du domaine, et ainsi simplifier lâadministration. Lorsque vous utilisez des groupes, vous affectez en une fois des autorisations pour des ressources
partagées, telles que des dossiers et des imprimantes, à des utilisateurs individuels.
4.1.2. Types de groupes
Il existe deux types de groupes dans Active Directory, les groupes de distribution
et les groupes de sĂ©curitĂ©. Tous deux possĂšdent un attribut dâĂ©tendue, qui dĂ©termine qui peut ĂȘtre membre du groupe et Ă quel endroit vous pouvez utiliser
ce groupe dans un réseau. Vous pouvez convertir à tout moment un groupe de sécurité en un groupe de distribution et inversement, mais uniquement si le
niveau fonctionnel de domaine est défini sur Windows 2000 natif ou ultérieur.
Groupes de distribution Vous pouvez utiliser des groupes de distribution uniquement avec des
applications de messagerie, telles que Microsoft Exchange, pour envoyer des messages Ă un ensemble dâutilisateurs. La sĂ©curitĂ© nâest pas activĂ©e sur les
groupes de distribution, ce qui signifie quâils ne peuvent pas ĂȘtre rĂ©pertoriĂ©s dans des listes de contrĂŽle dâaccĂšs discrĂ©tionnaire (DACL, Discretionary Access Control List). Pour contrĂŽler lâaccĂšs aux ressources partagĂ©es, crĂ©ez un groupe de
sécurité
Groupes de sécurité Vous utilisez des groupes de sécurité pour affecter des droits et des autorisations
aux groupes dâutilisateurs et dâordinateurs. Les droits dĂ©terminent les fonctions que les membres dâun groupe de sĂ©curitĂ© peuvent effectuer dans un domaine ou une forĂȘt. Les autorisations dĂ©terminent quelles ressources sont accessibles Ă un
membre dâun groupe sur le rĂ©seau. Une mĂ©thode dâutilisation efficace des groupes de sĂ©curitĂ© consiste Ă utiliser
lâimbrication, câest Ă dire, ajouter un groupe Ă un autre groupe. Le groupe imbriquĂ© hĂ©rite des autorisations du groupe dont il est membre, ce qui simplifie lâaffectation en une fois des autorisations Ă plusieurs groupes, et rĂ©duit le trafic
que peut engendrer la rĂ©plication de lâappartenance Ă un groupe. Dans un
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 39 - 86
domaine en mode mixte, vous ne pouvez pas imbriquer des groupes possédant
la mĂȘme Ă©tendue de groupe. Les groupes de distribution et de sĂ©curitĂ© prennent en charge lâune des trois
étendues de groupe suivantes : locale de domaine, globale ou universelle. Le niveau fonctionnel de domaine détermine le type de groupe que vous pouvez créer. En mode Windows 2000 mixte, vous ne pouvez pas créer de groupes de
sécurité universels.
4.1.3. Etendue de groupes
Groupes locaux de domaine Un groupe local de domaine est un groupe de sĂ©curitĂ© ou de distribution qui peut contenir des groupes universels, des groupes globaux ou dâautres groupes locaux de domaine issus de ses propres domaines et comptes dans la forĂȘt. Dans les
groupes de sĂ©curitĂ© locaux de domaine, vous pouvez accorder des droits et autorisations sur des ressources qui rĂ©sident uniquement dans le mĂȘme domaine
que celui oĂč se trouve le groupe local de domaine. Les rĂšgles suivantes sâappliquent Ă lâappartenance au groupe local de domaine, ainsi quâĂ lâĂ©tendue et aux autorisations du groupe local de domaine :
! Appartenance. En mode Windows 2000 mixte, les groupes locaux de domaine peuvent contenir des comptes dâutilisateurs et des groupes globaux de nâimporte
quel domaine. En mode Windows 2000 natif, les groupes locaux de domaine peuvent contenir des comptes dâutilisateurs, des groupes globaux, des groupes
universels de nâimporte quel domaine approuvĂ© et des groupes locaux de domaine issus du mĂȘme domaine.
Peut ĂȘtre membre de. En mode Windows 2000 mixte, un groupe local de
domaine ne peut pas ĂȘtre membre de nâimporte quel groupe. En mode Windows 2000 natif, un groupe local de domaine peut ĂȘtre membre de
groupes locaux de domaine issus du mĂȘme domaine. Ătendue. Un groupe local de domaine est visible uniquement dans son
propre domaine.
Autorisation. Vous pouvez affecter une autorisation qui sâapplique au domaine dans lequel le groupe local de domaine existe.
Groupes globaux Un groupe global est un groupe de sécurité ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs comme membres de son propre domaine. Vous pouvez accorder des droits et autorisations à des groupes de
sĂ©curitĂ© globaux pour des ressources situĂ©es dans nâimporte quel domaine de la forĂȘt.
Les rĂšgles suivantes sâappliquent Ă lâappartenance au groupe global, ainsi quâĂ lâĂ©tendue et aux autorisations du groupe global :
Appartenance. En mode Windows 2000 mixte, un groupe global peut
contenir des comptes dâutilisateurs du mĂȘme domaine. En mode Windows 2000 natif et en mode Windows Server 2003, des groupes globaux
peuvent contenir des comptes dâutilisateurs et des groupes globaux issus du mĂȘme domaine.
Peut ĂȘtre membre de. En mode Windows 2000 mixte, un groupe global
peut ĂȘtre membre des groupes locaux de domaine dans nâimporte quel groupe approuvĂ©. En mode Windows 2000 mixte et en mode Windows
Server 2003, un groupe global peut ĂȘtre membre de groupes universels et de groupes locaux de domaine dans nâimporte quel domaine et ĂȘtre
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 40 - 86
Ă©galement membres de groupes globaux dans le mĂȘme domaine.
Ătendue. Un groupe global est visible dans son domaine et tous les domaines approuvĂ©s, ce qui inclut tous les domaines de la forĂȘt.
Autorisations. Vous pouvez affecter une autorisation Ă un groupe global qui sâapplique Ă tous les domaines approuvĂ©s.
Groupes universels Un groupe universel est un groupe de sĂ©curitĂ© ou de distribution qui peut contenir des utilisateurs, des groupes et des ordinateurs comme membres dâun
domaine de sa forĂȘt. Les groupes de sĂ©curitĂ© universels peuvent bĂ©nĂ©ficier de droits et autorisations sur des ressources situĂ©es dans nâimporte quel domaine
de la forĂȘt. Les rĂšgles suivantes sâappliquent Ă lâappartenance au groupe universel, ainsi quâĂ lâĂ©tendue et aux autorisations du groupe universel :
Appartenance. Vous ne pouvez pas créer de groupes de sécurité universels en mode Windows 2000 mixte. En mode Windows 2000 natif et en mode
Windows Server 2003, des groupes universels peuvent contenir des comptes dâutilisateurs, des groupes globaux et dâautres groupes universels
de nâimporte quel domaine de la forĂȘt. Peut ĂȘtre membre de. Le groupe universel ne sâapplique pas au mode
Windows 2000 mixte. En mode Windows 2000 natif, un groupe universel
peut ĂȘtre membre de groupes locaux de domaine et de groupes universels de nâimporte quel domaine.
Ătendue. Les groupes universels sont visibles dans tous les domaines de la forĂȘt.
Autorisations. Vous pouvez affecter une autorisation Ă un groupe universel
qui sâapplique Ă tous les domaines de la forĂȘt.
4.2. Création et gestion de comptes
4.2.1. Outils permettant de créer et gérer des comptes
Windows Server 2003 procure de nombreux outils et composants logiciels
enfichables MMC (Microsoft Management Console) pour crĂ©er automatiquement plusieurs comptes dâutilisateurs dans Active Directory.
Certains de ces outils nĂ©cessitent lâutilisation dâun fichier texte qui contient des informations sur les comptes dâutilisateurs que vous souhaitez crĂ©er.
Vous pouvez également créer des scripts pour ajouter ou modifier des objets dans Active Directory. La console Utilisateurs et ordinateurs Active Directory est un composant logiciel
enfichable MMC que vous pouvez utiliser pour gĂ©rer des comptes dâutilisateurs, dâordinateurs et de groupes. Il convient de lâutiliser lorsque vous gĂ©rez un petit
nombre de comptes. Vous pouvez Ă©galement utiliser les outils de ligne de commande Dsadd, Dsmod et Dsrm pour gĂ©rer des comptes dâutilisateurs, dâordinateurs et de groupes dans
Active Directory. Vous devez spĂ©cifier le type dâobjet que vous souhaitez crĂ©er, modifier ou supprimer. Par exemple, utilisez la commande dsadd user pour
crĂ©er un compte dâutilisateur. Utilisez la commande dsrm group pour supprimer un compte de groupe. Bien que les outils Directory Service permettent de crĂ©er un seul objet Active Directory Ă la fois, vous pouvez les utiliser dans des fichiers
de commandes et des scripts.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 41 - 86
Lâoutil de ligne de commande Csvde utilise un fichier texte sĂ©parĂ© par des virgules, Ă©galement appelĂ© format valeurs sĂ©parĂ©es par des virgules (format
Csvde), comme entrĂ©e pour crĂ©er plusieurs comptes dans Active Directory. Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et dâautres types dâobjets Ă Active Directory. Vous ne pouvez pas utiliser le format Csvde
pour supprimer ou modifier des objets dans Active Directory. Avant dâimporter un fichier Csvde, assurez-vous que le fichier est correctement formatĂ©. Le fichier
dâentrĂ©e : doit inclure le chemin dâaccĂšs au compte dâutilisateur dans Active
Directory, le type dâobjet, qui est le compte dâutilisateur, et le nom
dâouverture de session de lâutilisateur (pour Microsoft Windows NT 4.0 et ultĂ©rieur) ;
doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte dâutilisateur est activĂ© ou non. Si vous ne spĂ©cifiez aucune valeur, le
compte est désactivé ; peut inclure des informations personnelles, par exemple des numéros de
tĂ©lĂ©phone ou des adresses personnelles. Incluez autant dâinformations sur
le compte dâutilisateur que possible afin que les utilisateurs puissent effectuer des recherches dans Active Directory ;
ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot de passe vide pour les comptes dâutilisateur. Ătant donnĂ© quâun mot de passe vide permet Ă une personne non autorisĂ©e dâaccĂ©der au rĂ©seau
grĂące au seul nom dâouverture de session de lâutilisateur, dĂ©sactivez les comptes dâutilisateurs jusquâĂ ce que les utilisateurs commencent Ă se
connecter. Pour modifier et formater le fichier texte dâentrĂ©e, utilisez une application qui possĂšde de bonnes capacitĂ©s dâĂ©dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte séparé par des
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 42 - 86
virgules. Vous pouvez exporter des donnĂ©es dâActive Directory vers une feuille de
calcul Excel ou importer des donnĂ©es dâune feuille de calcul vers Active Directory. Lâoutil de ligne de commande Ldifde utilise un format Ă valeurs sĂ©parĂ©es par des
lignes pour crĂ©er, modifier et supprimer des objets dans Active Directory. Un fichier dâentrĂ©e Ldifde se compose dâune sĂ©rie dâenregistrements sĂ©parĂ©s par une ligne vierge. Un enregistrement dĂ©crit un objet annuaire unique ou un
ensemble de modifications apportĂ©es aux attributs dâun objet existant, et se compose dâune ou plusieurs lignes dans le fichier. La plupart des applications de
base de donnĂ©es peuvent crĂ©er des fichiers que vous pouvez importer dans lâun de ces formats. Les conditions requises pour le fichier dâentrĂ©e sont identiques Ă celles de lâoutil de ligne de commande Csvde.
Vous pouvez crĂ©er des scripts dâenvironnement dâexĂ©cution de scripts Windows qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour crĂ©er,
modifier et supprimer des objets Active Directory. Utilisez des scripts lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets Active Directory, ou lorsque les critÚres de sélection de ces objets sont complexes.
La ligne dâattribut. Il sâagit de la premiĂšre ligne du fichier. Elle prĂ©cise le nom de chaque attribut que
vous souhaitez dĂ©finir pour les nouveaux comptes dâutilisateurs. Vous pouvez placer les attributs dans nâimporte quel ordre, ils doivent ĂȘtre sĂ©parĂ©s par des
virgules. Le code suivant est un exemple de ligne dâattribut Lignes de comptes dâutilisateurs.
Pour chaque compte dâutilisateur que vous crĂ©ez, le fichier dâimportation contient une ligne qui prĂ©cise la valeur de chaque attribut de la ligne dâattribut
Exemple DN,objectClass,sAMAccountName,userPrincipalName,displayName,userA
ccountControl
"cn=Benharraf Mohammed,ou=formation, dc=gsimaroc,dc=com",user,benharraf, [email protected], Benharraf mohammed,514
ExĂ©cutez la commande csvde en tapant la commande suivante Ă lâinvite de
commandes : csvde -i -f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe
Vous pouvez utiliser lâoutil de ligne de commande Ldifde pour crĂ©er et modifier plusieurs comptes.
Pour crĂ©er des comptes Ă lâaide de lâoutil de ligne de commande Ldifde, procĂ©dez comme suit : 1. PrĂ©parez le fichier Ldifde Ă importer.
Formatez le fichier Ldifde afin quâil contienne un enregistrement qui se compose dâune suite de lignes qui dĂ©crivent une entrĂ©e pour un compte dâutilisateur ou un
ensemble de modifications sur un compte dâutilisateur dans Active Directory. LâentrĂ©e du compte dâutilisateur prĂ©cise le nom de chaque attribut que vous souhaitez dĂ©finir pour le nouveau compte dâutilisateur. Le schĂ©ma Active
Directory dĂ©finit le nom des attributs. Pour chaque compte dâutilisateur que vous crĂ©ez, le fichier contient une ligne qui prĂ©cise la valeur de chaque attribut de la
ligne dâattribut. Les rĂšgles suivantes sâappliquent aux valeurs de chaque attribut
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 43 - 86
:
⹠toute ligne qui commence par un signe diÚse (#) est une ligne de commentaire et est ignorée lorsque vous exécutez le fichier Ldifde ;
âą sâil manque une valeur pour un attribut, elle doit ĂȘtre reprĂ©sentĂ©e comme Description_Attribut « : » . Le code suivant est un exemple dâentrĂ©e dans un fichier dâimportation Ldifde :
# Créer Benharraf Mohammed
dn: cn=Benharraf Mohammed,ou= Formation, dc=gsimaroc,dc=com
Changetype: Add
objectClass: user
sAMAccountName: Benharraf
userPrincipalName: [email protected]
displayName: Benharraf Mohammed
userAccountControl: 514
ExĂ©cutez la commande ldifde pour importer le fichier et crĂ©er plusieurs comptes dâutilisateurs dans Active Directory. Ă lâinvite de commandes, tapez la commande suivante :
ldifde -i -k -f nom_fichier -b Nom_Utilisateur Domaine Mot_de_Passe
CrĂ©er et gĂ©rer des comptes Ă lâaide de lâenvironnement dâexĂ©cution de scripts Windows
Vous pouvez crĂ©er des objets Active Directory Ă partir de scripts dâenvironnement dâexĂ©cution de scripts Windows Ă lâaide dâune interface ADSI.
Le processus de crĂ©ation dâun objet Active Directory compte quatre Ă©tapes, comme lâindique la procĂ©dure suivante.
Pour crĂ©er un objet Active Directory, tel quâun compte dâutilisateur dans un domaine, procĂ©dez comme suit : 1. Utilisez le Bloc-notes pour crĂ©er un fichier texte avec une extension .vbs.
Placez les commandes suivantes dans le fichier, puis enregistrez-le. a. Connectez-vous au conteneur dans lequel vous souhaitez crĂ©er lâobjet Active
Directory en spĂ©cifiant la requĂȘte LDAP (Lightweight Directory Access Protocol).
Set objOU = GetObject("LDAP://ou=formation,dc=gsimaroc,dc=com") Dans lâexemple prĂ©cĂ©dent, LDAP doit ĂȘtre inscrit en lettres majuscules, sans quoi la commande Ă©choue.
b. CrĂ©ez lâobjet Active Directory et spĂ©cifiez la classe et le nom de lâobjet.
Set objUser = objOU.Create("User", "cn=Benharraf") c. DĂ©finissez les propriĂ©tĂ©s de lâobjet Active Directory.
objUser.Put "sAMAccountName", "Benharraf" d. Inscrivez les informations dans la base de données Active Directory.
objUser.SetInfo Les propriĂ©tĂ©s de certains objets Active Directory ne peuvent pas ĂȘtre dĂ©finies lors de leur crĂ©ation. Par exemple, lorsque vous crĂ©ez un compte dâutilisateur,
vous ne pouvez pas activer le compte ni dĂ©finir son mot de passe. Vous ne pouvez dĂ©finir ces propriĂ©tĂ©s quâaprĂšs avoir crĂ©Ă© lâobjet, comme illustrĂ© dans
lâexemple de code suivant :
objUser.AccountDisabled = FALSE
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 44 - 86
objUser.ChangePassword "", "jl3R86df"
objUser.SetInfo e. Enregistrez le fichier avec lâextension .vbs.
2. ExĂ©cutez le script en tapant la commande suivante Ă lâinvite de commandes :
Wscript.exe nom_fichier
4.3. DĂ©placement dâobjets dans Active Directory
4.3.1. DĂ©finition de lâhistorique SID
Lorsque vous dĂ©placez un objet Active Directory, tel quâun compte dâutilisateur,
les principes de sécurité associés à cet objet sont également déplacés. Active Directory assure un suivi de ces principes de sécurité dans une liste intitulée
Historique SID. Un historique SID fournit Ă un utilisateur migrĂ© une continuitĂ© dâaccĂšs aux ressources. Lors de la migration dâun compte dâutilisateur vers un autre domaine,
Active Directory lui affecte un nouveau SID. Lâhistorique SID conserve le SID du prĂ©cĂ©dent compte dâutilisateur migrĂ©. Lorsque vous migrez Ă plusieurs reprises
un compte dâutilisateur, lâhistorique SID stocke une liste de tous les identificateurs SID affectĂ©s Ă lâutilisateur. Il met ensuite Ă jour les groupes et les listes de contrĂŽle dâaccĂšs nĂ©cessaires avec le SID du nouveau compte. Les
appartenances aux groupes basĂ©es sur le SID de lâancien compte nâexistent plus.
4.3.2. DĂ©placement dâobjets
Pour que lâhistorique SID soit activĂ©, le niveau fonctionnel du domaine doit ĂȘtre
dĂ©fini sur Windows 2000 natif ou Windows Server 2003. Lâhistorique SID est
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 45 - 86
dĂ©sactivĂ© si le niveau fonctionnel est dĂ©fini sur Windows 2000 mixte. Lorsquâun
objet est dĂ©placĂ© au sein dâun domaine, le SID ou lâidentificateur unique global (GUID, Globally Unique IDentifier) ne subissent aucune modification. Lorsque
vous dĂ©placez un objet sur plusieurs domaines dâune mĂȘme forĂȘt, Active Directory affecte un nouveau SID Ă lâobjet mais conserve son GUID.
Vous devez utiliser la console Utilisateurs et ordinateurs Active Directory pour déplacer des objets dans un domaine.
Pour dĂ©placer un objet dans un domaine, procĂ©dez comme suit : Dans le volet dâinformations de la console Utilisateurs et ordinateurs Active
Directory, faites glissez lâobjet sur le nouveau conteneur.
Utilisez lâoutil de migration Active Directory dans Windows Server 2003 pour dĂ©placer des objets entre domaines dâune mĂȘme forĂȘt ou entre domaines situĂ©s
dans des forĂȘts diffĂ©rentes. Pour migrer des utilisateurs ou des groupes dâun domaine vers un autre, procĂ©dez comme suit :
1. ExĂ©cutez lâoutil de migration Active Directory. 2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
sĂ©lectionnez lâAssistant pour lâobjet que vous souhaitez migrer. Par exemple, pour dĂ©placer un compte dâutilisateur, cliquez sur Assistant
Migration des comptes dâutilisateurs. 3. Dans la page Bienvenue, cliquez sur Suivant. 4. Effectuez une migration test en procĂ©dant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester les paramÚtres de migration et effectuer celle-ci ultérieurement, puis cliquez
sur Suivant. b. Dans la page Sélection du domaine, sélectionnez les domaines source et cible, puis cliquez sur Suivant.
c. Dans la page SĂ©lection de lâutilisateur, cliquez sur Ajouter, tapez le nom de lâobjet, cliquez sur OK, puis sur Suivant.
d. Dans la page SĂ©lection de lâunitĂ© dâorganisation, cliquez sur Parcourir, sĂ©lectionnez le conteneur cible, cliquez sur OK, puis sur Suivant. e. Dans la page Options de lâutilisateur, dĂ©finissez les options de lâutilisateur,
puis cliquez sur Suivant. Ces options dĂ©terminent la migration de lâappartenance au groupe, des profils et
des paramĂštres de sĂ©curitĂ©. f. Si une boĂźte de dialogue dâavertissement apparaĂźt, cliquez sur OK. g. Dans la page Conflits de nommage, sĂ©lectionnez les options appropriĂ©es
pour spécifier les actions qui seront prises en cas de conflit de noms, puis cliquez sur Suivant.
h. Dans la page Fin de lâAssistant Migration des comptes dâutilisateurs, cliquez sur Terminer. i. Dans la boĂźte de dialogue AvancĂ©es de la Migration, cliquez sur
Afficher le journal pour afficher le journal des erreurs. 5. Effectuez une migration rĂ©elle en rĂ©pĂ©tant les Ă©tapes 2 Ă 4.l. Ă lâĂ©tape 4.a,
sélectionnez Effectuer la migration maintenant à la place de Tester les paramÚtres de migration et effectuer celle-ci ultérieurement.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 46 - 86
5. ImplĂ©mentation dâune stratĂ©gie de groupe
5.1. Composants dâun objet StratĂ©gie de groupe
Windows Server 2003 applique les paramÚtres de stratégie de groupe contenus
dans lâobjet StratĂ©gie de groupe aux objets utilisateur et ordinateur du site, du domaine ou de lâunitĂ© dâorganisation associĂ© Ă lâobjet StratĂ©gie de groupe. Le
contenu dâun objet StratĂ©gie de groupe est stockĂ© Ă deux emplacements : dans le conteneur StratĂ©gie de groupe (GPC, Group Policy Container) et dans le modĂšle StratĂ©gie de groupe (GPT, Group Policy Template).
Le conteneur StratĂ©gie de groupe est un objet Active Directory qui contient lâĂ©tat de lâobjet StratĂ©gie de groupe, les informations de version, les informations de
filtre WMI et une liste des composants dont les paramĂštres se trouvent dans âobjet StratĂ©gie de groupe. Les ordinateurs peuvent accĂ©der au conteneur StratĂ©gie de groupe pour localiser des modĂšles StratĂ©gie de groupe, et les
contrĂŽleurs de domaine peuvent y accĂ©der pour obtenir des informations de version. Si le contrĂŽleur de domaine ne possĂšde pas la derniĂšre version de lâobjet
StratĂ©gie de groupe, la rĂ©plication a lieu. Le modĂšle StratĂ©gie de groupe est une arborescence de dossiers situĂ©e dans le dossier SYSVOL dâun contrĂŽleur de domaine. Lorsque vous crĂ©ez un objet
Stratégie de groupe, Windows Server 2003 crée le modÚle Stratégie de groupe correspondant qui contient tous les paramÚtres et informations de stratégie de
groupe, y compris les modĂšles dâadministration, la sĂ©curitĂ©, lâinstallation de logiciel, les scripts et les paramĂštres de redirection de dossiers. Les ordinateurs se connectent au dossier SYSVOL pour obtenir les paramĂštres.
Le nom du dossier du modĂšle StratĂ©gie de groupe est lâidentificateur unique global (GUID, Globally Unique IDentifier) de lâobjet StratĂ©gie de groupe que vous
avez crĂ©Ă©. Il est identique au GUID utilisĂ© par Active Directory pour identifier lâobjet StratĂ©gie de groupe dans le conteneur StratĂ©gie de groupe.
Le chemin dâaccĂšs au modĂšle StratĂ©gie de groupe dâun contrĂŽleur de domaine est racine_systĂšme\SYSVOL\sysvol.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 47 - 86
5.2. Configuration des frĂ©quences dâactualisation et des paramĂštres de stratĂ©gie de groupe
5.2.1. à quel moment la stratégie de groupe est-elle
appliquée
Lorsquâun utilisateur dĂ©marre un ordinateur et ouvre une session, Windows Server 2003 traite dâabord les paramĂštres de lâordinateur, puis ceux de lâutilisateur.
Windows Server 2003 applique la stratĂ©gie de lâordinateur. Il sâagit des paramĂštres se trouvant sous Configuration de lâordinateur dans la liste des objets
StratĂ©gie de groupe obtenue. Cette liste est synchrone par dĂ©faut, et sâaffiche dans lâordre suivant : local, domaine, unitĂ© dâorganisation, unitĂ© dâorganisation
enfant. Aucune interface utilisateur nâapparaĂźt lors du traitement des stratĂ©gies de lâordinateur. Les scripts de dĂ©marrage sâexĂ©cutent. Par dĂ©faut, les scripts sont masquĂ©s et
synchrones. Chaque script doit se terminer ou son dĂ©lai dâexĂ©cution doit ĂȘtre Ă©coulĂ© pour que le suivant puisse dĂ©marrer. Le dĂ©lai dâattente par dĂ©faut est de
600 secondes. Vous pouvez utiliser les paramĂštres de stratĂ©gie de groupe pour modifier la valeur de ce paramĂštre. Une fois que Windows Server 2003 a validĂ© lâutilisateur, il charge le profil
utilisateur, lequel est contrÎlé par les paramÚtres de stratégie de groupe en vigueur.
Windows Server 2003 applique la stratĂ©gie de lâutilisateur, laquelle inclut les paramĂštres se trouvant sous Configuration utilisateur dans la liste obtenue. Ces paramĂštres sont synchrones par dĂ©faut, et sâaffichent dans lâordre suivant :
local, domaine, unitĂ© dâorganisation, unitĂ© dâorganisation enfant. Aucune interface utilisateur nâapparaĂźt lors du traitement des stratĂ©gies de
lâutilisateur.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 48 - 86
Les scripts dâouverture de session sâexĂ©cutent. Par dĂ©faut, ces scripts basĂ©s sur
la stratégie de groupe sont masqués et asynchrones. Les ordinateurs exécutant Windows Server 2003 actualisent ou réappliquent les
paramĂštres de stratĂ©gie de groupe Ă intervalles dĂ©finis. Lâactualisation des paramĂštres permet de sâassurer que les paramĂštres de stratĂ©gie de groupe sont appliquĂ©s aux ordinateurs et aux utilisateurs mĂȘme si ces derniers ne
redémarrent jamais leur ordinateur ou ne ferment jamais leur session.
Pour configurer les frĂ©quences dâactualisation, procĂ©dez comme suit : 1. Ouvrez lâobjet StratĂ©gie de groupe appropriĂ© de la stratĂ©gie de groupe, dĂ©veloppez successivement Configuration utilisateur ou Configuration
ordinateur (selon lâobjet StratĂ©gie de groupe Ă modifier), ModĂšles dâadministration, SystĂšme, cliquez sur StratĂ©gie de groupe, puis double-
cliquez sur lâun des paramĂštres suivants : âą Intervalle dâactualisation de la stratĂ©gie de groupe pour les utilisateurs âą Intervalle dâactualisation de la stratĂ©gie de groupe pour les ordinateurs
âą Intervalle dâactualisation de la stratĂ©gie de groupe pour les contrĂŽleurs de domaine
2. SĂ©lectionnez ActivĂ©. 3. DĂ©finissez lâintervalle dâactualisation en minutes.
4. DĂ©finissez le dĂ©calage alĂ©atoire, puis cliquez sur OK. Vous pouvez actualiser un objet StratĂ©gie de groupe Ă lâaide de la commande gpupdate.
Pour actualiser les paramĂštres de stratĂ©gie de groupe sur lâordinateur dâun utilisateur Ă lâaide de la commande gpupdate, procĂ©dez comme suit :
1. Dans la boĂźte de dialogue ExĂ©cuter, tapez cmd et appuyez sur ENTRĂE. 2. Tapez gpupdate [/target:{ordinateur|utilisateur}] [/force] [/wait:valeur] [/logoff] [/boot]
5.3. Gestion des objets Stratégie de groupe
5.3.1. DĂ©finition dâune opĂ©ration de copie
La copie dâun objet StratĂ©gie de groupe transfert uniquement les paramĂštres de
lâobjet StratĂ©gie de groupe. Lâobjet StratĂ©gie de groupe nouvellement crĂ©Ă© est dotĂ© dâun nouvel identificateur unique global (GUID, Globally Unique IDentifier)
et de la liste de contrĂŽle dâaccĂšs discrĂ©tionnaire (DACL, Discretionary Access Control List) de lâobjet StratĂ©gie de groupe. Le nouvel objet StratĂ©gie de groupe
crĂ©Ă© est non liĂ©, car les liaisons sont une propriĂ©tĂ© de lâobjet ayant dĂ©fini lâobjet StratĂ©gie de groupe plutĂŽt quâune propriĂ©tĂ© de lâobjet StratĂ©gie de groupe.
Pour copier un objet Stratégie de groupe, procédez comme suit : 1. Ouvrez la console Gestion de stratégie de groupe, développez Objets de
stratĂ©gie de groupe dans la forĂȘt et le domaine contenant lâobjet StratĂ©gie de groupe Ă copier, cliquez avec le bouton droit sur cet objet, puis cliquez sur Copier.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 49 - 86
2. Effectuez lâune des opĂ©rations suivantes :
âą Pour placer la copie de lâobjet StratĂ©gie de groupe dans le mĂȘme domaine que lâobjet source, cliquez avec le bouton droit sur Objets de stratĂ©gie de groupe,
puis cliquez sur Coller. i. Dans la boĂźte de dialogue Copier lâobjet GPO, sĂ©lectionnez Utiliser les autorisations par dĂ©faut pour les nouveaux objets GPO ou Conserver les
autorisations existantes, puis cliquez sur OK. ii. Lorsque le processus de copie est terminé, cliquez sur OK.
âą Pour placer la copie de lâobjet dans un autre domaine, quâil sâagisse de la mĂȘme forĂȘt ou dâune autre, dĂ©veloppez le domaine de destination, cliquez avec le bouton droit sur Objets de stratĂ©gie de groupe, puis cliquez sur Coller.
i. Dans la page Assistant Copie entre domaines, cliquez sur Suivant. ii. Dans la page Spécification des autorisations en cours, sélectionnez
Utiliser les autorisations par défaut pour les nouveaux objets GPO ou Préserver ou effectuer la migration des autorisations à partir des objets GPO originaux, puis cliquez sur Suivant.
iii. Dans la page Analyse en cours de lâobjet GPO original, cliquez sur Suivant. Si lâobjet StratĂ©gie de groupe source contient des rĂ©fĂ©rences aux entitĂ©s de
sĂ©curitĂ© et aux chemins UNC, vous verrez sâafficher la fenĂȘtre mentionnĂ©e Ă lâĂ©tape suivante. Sinon, passez Ă lâĂ©tape v.
iv. Dans la page Migration des rĂ©fĂ©rences, sĂ©lectionnez Effectuant une copie identique Ă partir de la source ou Utilisant cette table de migration pour le mappage dans lâobjet de stratĂ©gie de groupe cible, sĂ©lectionnez la table de
migration dans la liste, puis cliquez sur Suivant. v. Dans la page Fin de lâAssistant Copie entre domaines, cliquez sur
Terminer. vi. Une fois lâopĂ©ration de copie terminĂ©e, cliquez sur OK.
5.3.2. DĂ©finition dâune opĂ©ration de sauvegarde
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 50 - 86
Lorsque la console Gestion de stratégie de groupe sauvegarde un objet Stratégie de groupe, elle exporte les données dans le fichier de votre choix et enregistre
tous les fichiers de modĂšle StratĂ©gie de groupe. Vous pouvez placer lâobjet StratĂ©gie de groupe sauvegardĂ© dans un dossier par une opĂ©ration de restauration ou dâimportation. LâopĂ©ration dâimportation vous permet uniquement
de restaurer un objet Stratégie de groupe sauvegardé dans un autre domaine.
Pour sauvegarder un objet StratĂ©gie de groupe, procĂ©dez comme suit : 1. Ouvrez la console Gestion de stratĂ©gie de groupe, dĂ©veloppez la forĂȘt contenant lâobjet StratĂ©gie de groupe Ă sauvegarder, dĂ©veloppez successivement
Domaines, le domaine contenant lâobjet StratĂ©gie de groupe, Objets de stratĂ©gie de groupe, puis effectuez lâune des opĂ©rations suivantes :
⹠Pour sauvegarder un seul objet Stratégie de groupe, cliquez avec le bouton droit sur cet objet, puis cliquez sur Sauvegarder. ⹠Pour sauvegarder tous les objets Stratégie de groupe, cliquez avec le bouton
droit sur Objets de stratĂ©gie de groupe, puis cliquez sur Sauvegarder tout. 2. Dans la boĂźte de dialogue Sauvegarde de lâobjet GPO, entrez le chemin
dâaccĂšs Ă lâemplacement oĂč vous souhaitez stocker lâobjet StratĂ©gie de groupe sauvegardĂ©.
3. Entrez une description pour lâobjet StratĂ©gie de groupe Ă sauvegarder, puis cliquez sur Sauvegarder. 4. Une fois lâopĂ©ration de sauvegarde terminĂ©e, cliquez sur OK.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 51 - 86
5.3.3. DĂ©finition dâune opĂ©ration de restauration
LâopĂ©ration de restauration rĂ©tablit le contenu de lâobjet StratĂ©gie de groupe dans lâĂ©tat dans lequel il Ă©tait au moment de la sauvegarde. Cette opĂ©ration est
valide uniquement dans le domaine oĂč lâobjet StratĂ©gie de groupe a Ă©tĂ© crĂ©Ă©. Vous pouvez restaurer un objet StratĂ©gie de groupe existant ou un objet supprimĂ© qui a Ă©tĂ© sauvegardĂ©. Les autorisations requises pour restaurer un
objet StratĂ©gie de groupe varient selon que lâobjet existe ou non dans Active Directory lorsque vous le restaurez.
Pour restaurer un objet StratĂ©gie de groupe existant Ă lâaide de la console Gestion de stratĂ©gie de groupe, vous devez disposer des autorisations Modifier
les paramĂštres, supprimer, modifier la sĂ©curitĂ© sur cet objet. Vous devez Ă©galement disposer de lâautorisation en lecture sur le dossier qui contient lâobjet
StratĂ©gie de groupe sauvegardĂ©. Pour restaurer un objet StratĂ©gie de groupe supprimĂ© qui avait Ă©tĂ© sauvegardĂ©, vous devez disposer dâautorisations pour crĂ©er des objets StratĂ©gie de groupe
dans le domaine, ainsi que de lâautorisation en lecture sur lâemplacement du systĂšme de fichiers de lâobjet sauvegardĂ©.
Pour restaurer une version antĂ©rieure dâun objet StratĂ©gie de groupe existant, procĂ©dez comme suit :
1. Ouvrez la console Gestion de stratĂ©gie de groupe, dĂ©veloppez la forĂȘt contenant lâobjet StratĂ©gie de groupe Ă restaurer, dĂ©veloppez successivement Domaines, le domaine contenant lâobjet StratĂ©gie de groupe, Objets de
stratégie de groupe, cliquez avec le bouton droit sur Objets de stratégie de groupe puis cliquez sur Gérer les sauvegardes.
2. Dans la boĂźte de dialogue Gestion des sauvegardes, sĂ©lectionnez lâobjet StratĂ©gie de groupe sauvegardĂ© Ă restaurer, puis cliquez sur Restaurer. 3. Lorsque vous ĂȘtes invitĂ© Ă restaurer la sauvegarde sĂ©lectionnĂ©e, cliquez sur
OK. 4. Dans la boĂźte de dialogue Restaurer, cliquez sur OK une fois la restauration
terminée. 5. Dans la boßte de dialogue Gestion des sauvegardes, sélectionnez un autre objet Stratégie de groupe à restaurer ou cliquez sur Fermer pour terminer
lâopĂ©ration de restauration.
Pour restaurer un objet StratĂ©gie de groupe supprimĂ© qui figure dans la liste des Objets StratĂ©gie de groupe, effectuez lâune des opĂ©rations suivantes : 1. Ouvrez la console Gestion de stratĂ©gie de groupe, dĂ©veloppez successivement
la forĂȘt contenant lâobjet StratĂ©gie de groupe Ă restaurer, Domaines, puis le domaine contenant lâobjet StratĂ©gie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Gérer les sauvegardes. 3. Dans la boßte de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systĂšme de fichiers contenant lâobjet StratĂ©gie de groupe supprimĂ©, sĂ©lectionnez lâobjet, cliquez sur Restaurer, puis cliquez sur OK pour
confirmer lâopĂ©ration de restauration.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 52 - 86
5.3.4. DĂ©finition dâune opĂ©ration dâimportation
Une opĂ©ration dâimportation copie lâensemble des paramĂštres de stratĂ©gie de
groupe depuis lâobjet StratĂ©gie de groupe source vers lâobjet StratĂ©gie de groupe de destination.
SpĂ©cifiez une table de migration afin dâĂȘtre certain que le chemin UNC de lâobjet StratĂ©gie de groupe est correctement mappĂ© sur le chemin UNC de lâobjet StratĂ©gie de groupe de destination. Indiquez le chemin dâaccĂšs Ă la table de
migration appropriĂ©e lorsque vous importez des paramĂštres de stratĂ©gie de groupe dâun domaine dans un autre. Si vous spĂ©cifiez une table de migration,
vous devez spĂ©cifier le comportement de mappage du chemin UNC. Si vous nâactivez pas la case Ă cocher Utiliser exclusivement la table de migration, vous devez spĂ©cifier le comportement de mappage pour les entitĂ©s
de sécurité qui ne figurent pas dans la table de migration. Si vous ne spécifiez pas de table de migration, toutes les entités de sécurité sont
mappées en fonction du comportement que vous spécifiez.
Pour importer des paramÚtres dans un objet Stratégie de groupe, vous devez disposer des autorisations de modification de cet objet. Pour importer des paramÚtres dans un objet Stratégie de groupe, procédez
comme suit : 1. Ouvrez la console Gestion de stratégie de groupe, développez successivement
la forĂȘt contenant lâobjet StratĂ©gie de groupe dans lequel importer des paramĂštres, Domaines, le domaine contenant lâobjet StratĂ©gie de groupe, Objets de stratĂ©gie de groupe, cliquez avec le bouton droit sur lâobjet
Stratégie de groupe, puis cliquez sur Importer des paramÚtres. 2. Dans la page Assistant Importation des paramÚtres, cliquez sur Suivant.
3. Dans la page Objet de stratégie de groupe de sauvegarde, cliquez sur Sauvegarder.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 53 - 86
4. Dans la boĂźte de dialogue Sauvegarde de lâobjet GPO, entrez un
emplacement et une description pour la sauvegarde de lâobjet StratĂ©gie de groupe, puis cliquez sur Sauvegarder.
5. Une fois lâopĂ©ration de sauvegarde terminĂ©e, cliquez sur OK puis sur Suivant. 6. Dans la page Emplacement de sauvegarde, cliquez sur Parcourir pour rechercher le dossier de sauvegarde Ă partir duquel vous voulez importer des
paramĂštres, puis cliquez sur Suivant. 7. Dans la page Objet stratĂ©gie de groupe (GPO) source, sĂ©lectionnez lâobjet
StratĂ©gie de groupe Ă partir duquel vous voulez importer des paramĂštres, puis cliquez sur Suivant. Si lâobjet StratĂ©gie de groupe source contient des rĂ©fĂ©rences aux entitĂ©s de
sĂ©curitĂ© et des chemins UNC, la boĂźte de dialogue Migration des rĂ©fĂ©rences sâaffiche. Choisissez le mode de migration des entitĂ©s de sĂ©curitĂ© et des chemins
UNC en sĂ©lectionnant Effectuant une copie identique Ă partir de la source ou Utilisant cette table de migration pour le mappage dans lâobjet de stratĂ©gie de groupe cible, puis sĂ©lectionnez une table de migration.
8. Cliquez sur Suivant. 9. Dans la page Fin de lâAssistant Importation des paramĂštres, cliquez sur
Terminer. 10. Une fois lâopĂ©ration dâimportation terminĂ©e, cliquez sur OK.
5.4. Vérification et résolution des problÚmes liés à la stratégie de groupe
5.4.1. ProblĂšmes courants liĂ©s Ă lâimplĂ©mentation de la
stratégie de groupe
La premiÚre étape de la résolution des problÚmes liés à la stratégie de groupe consiste à identifier les symptÎmes et les causes possibles.
Dans la plupart des cas, un paramĂštre de stratĂ©gie de groupe nâest pas appliquĂ© comme prĂ©vu parce quâun autre objet StratĂ©gie de groupe contient une valeur conflictuelle pour le mĂȘme paramĂštre. Lâobjet StratĂ©gie de groupe est prioritaire
en raison du filtrage, Blocage de lâhĂ©ritage, AppliquĂ© ou de lâordre dâapplication. Utilisez lâAssistant ModĂ©lisation de stratĂ©gie de groupe ou lâAssistant RĂ©sultats de
stratĂ©gie de groupe pour dĂ©terminer lâobjet StratĂ©gie de groupe utilisĂ© pour le paramĂštre. Le tableau suivant rĂ©pertorie certains des symptĂŽmes courants, ainsi que les
méthodes de résolution possibles.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 54 - 86
5.4.2. Comment vérifier les paramÚtres de stratégie de
groupe Ă lâaide de lâAssistant ModĂ©lisation de stratĂ©gie de
groupe
Vous avez la possibilité de simuler un déploiement de stratégie pour les utilisateurs et les ordinateurs avant de réellement appliquer les stratégies.
Cette fonctionnalité de la console Gestion de stratégie de groupe est appelée Jeu de stratégies résultant (RSoP, Resultant Set of Policies) . Mode de planification.
Elle requiert un contrĂŽleur de domaine exĂ©cutant Windows Server 2003 dans la forĂȘt. Pour vĂ©rifier les paramĂštres de stratĂ©gie de groupe Ă lâaide de lâAssistant ModĂ©lisation de stratĂ©gie de groupe, vous devez dâabord crĂ©er une requĂȘte de
modĂ©lisation de stratĂ©gie de groupe et afficher cette requĂȘte. Pour crĂ©er une nouvelle requĂȘte de modĂ©lisation de stratĂ©gie de groupe,
procĂ©dez comme suit : 1. Ouvrez la console Gestion de stratĂ©gie de groupe, naviguez jusquâĂ la forĂȘt dans laquelle vous souhaitez crĂ©er une requĂȘte de modĂ©lisation de stratĂ©gie de
groupe, cliquez avec le bouton droit de la souris sur Modélisation de stratégie de groupe, puis sur Assistant Modélisation de stratégie de groupe.
2. Sur la page Assistant ModĂ©lisation de stratĂ©gie de groupe, cliquez sur Suivant, entrez les informations requises dans les pages de lâAssistant, puis
cliquez sur Terminer. Pour afficher la requĂȘte de modĂ©lisation de stratĂ©gie de groupe, procĂ©dez comme suit :
1. Ouvrez la console Gestion de stratĂ©gie de groupe. 2. Naviguez jusquâĂ la forĂȘt contenant la requĂȘte de modĂ©lisation de stratĂ©gie de
groupe Ă afficher, dĂ©veloppez ModĂ©lisation de stratĂ©gie de groupe, cliquez avec le bouton droit sur la requĂȘte, puis cliquez sur Affichage avancĂ©.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 55 - 86
5.4.3. Comment vérifier les paramÚtres de stratégie de
groupe Ă lâaide des RĂ©sultats de stratĂ©gie de groupe
Utilisez les Résultats de stratégie de groupe pour déterminer les paramÚtres de
stratĂ©gie qui sont appliquĂ©s Ă un ordinateur, ainsi que lâutilisateur qui a ouvert une session sur cet ordinateur. Bien que ces donnĂ©es soient similaires Ă celles de
la modĂ©lisation de stratĂ©gie de groupe, elles sont obtenues Ă partir de lâordinateur client au lieu dâĂȘtre simulĂ©es sur le contrĂŽleur de domaine. Pour obtenir des donnĂ©es Ă lâaide des RĂ©sultats de stratĂ©gie de groupe, lâordinateur
client doit exécuter Windows XP ou Windows Server 2003.
Pour crĂ©er une requĂȘte RĂ©sultats de stratĂ©gie de groupe, procĂ©dez comme suit : 1. Dans la console Gestion de stratĂ©gie de groupe, accĂ©dez Ă RĂ©sultats de stratĂ©gie de groupe, cliquez avec le bouton droit sur RĂ©sultats de stratĂ©gie
de groupe, puis cliquez sur Assistant Résultats de stratégie de groupe. 2. Dans la page Assistant Résultats de stratégie de groupe, cliquez sur
Suivant. 3. Dans la page SĂ©lection des ordinateurs, sĂ©lectionnez lâordinateur actuel ou cliquez sur Parcourir pour sĂ©lectionner un autre ordinateur, puis cliquez sur
Suivant. 4. Dans la page SĂ©lection de lâutilisateur, sĂ©lectionnez lâutilisateur actuel ou
spécifiez un utilisateur, puis cliquez sur Suivant. 5. Dans la page Aperçu des sélections, vérifiez les sélections effectuées, puis
cliquez sur Suivant. 6. Dans la page Fin de lâAssistant RĂ©sultats de stratĂ©gie de groupe, cliquez sur Terminer.
Pour afficher la requĂȘte des RĂ©sultats de stratĂ©gie de groupe, procĂ©dez comme
suit : 1. Ouvrez la console Gestion de stratĂ©gie de groupe. 2. Naviguez jusquâĂ la forĂȘt contenant la requĂȘte de modĂ©lisation de stratĂ©gie de
groupe Ă afficher, dĂ©veloppez RĂ©sultats de stratĂ©gie de groupe, cliquez avec le bouton droit sur la requĂȘte, puis cliquez sur Affichage avancĂ©.
5.5. Délégation du contrÎle administratif de la stratégie de groupe
5.5.1. Délégation des objets Stratégie de groupe
Vous pouvez dĂ©lĂ©guer la capacitĂ© de crĂ©er des objets StratĂ©gie de groupe dans un domaine et dâaffecter des autorisations sur un objet StratĂ©gie de groupe individuel Ă lâaide de la console Gestion de stratĂ©gie de groupe.
Par défaut, la capacité de créer des objets Stratégie de groupe est attribuée au groupe Propriétaires créateurs de la stratégie de groupe. Vous pouvez cependant
dĂ©lĂ©guer ce pouvoir Ă tout groupe ou utilisateur de deux façons diffĂ©rentes : Ajouter le groupe ou lâutilisateur au groupe PropriĂ©taires crĂ©ateurs de la
stratĂ©gie de groupe. Il sâagit de la premiĂšre mĂ©thode, disponible avant la
console Gestion de stratĂ©gie de groupe. Attribuer explicitement au groupe ou Ă lâutilisateur lâautorisation de crĂ©er
des objets Stratégie de groupe. Cette méthode est disponible uniquement via la console Gestion de stratégie de groupe.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 56 - 86
Dans le cas dâutilisateurs et de groupes du domaine, utilisez le groupe
PropriĂ©taires crĂ©ateurs de la stratĂ©gie de groupe pour affecter des autorisations de crĂ©ation dâun objet StratĂ©gie de groupe. Ce groupe Ă©tant un groupe global du
domaine, il ne peut pas contenir de membres extérieurs au domaine. Si des utilisateurs externes au domaine ont besoin de pouvoir créer des objets Stratégie de groupe, procédez comme suit :
1. CrĂ©ez un nouveau groupe local du domaine dans le domaine. 2. Affectez Ă ce groupe lâautorisation de crĂ©er des objets StratĂ©gie de groupe
dans le domaine. 3. Ajoutez Ă ce groupe des utilisateurs de domaine externes.
Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe Propriétaires créateurs de la stratégie de groupe ou que vous affectiez les
autorisations utilisateur pour la crĂ©ation dâobjets StratĂ©gie de groupe directement Ă lâaide de la console Gestion de stratĂ©gie de groupe. Les utilisateurs peuvent crĂ©er des objets StratĂ©gie de groupe dans le domaine et disposer dâun contrĂŽle
total sur ces objets, mais ils nâont pas dâautorisation sur les objets StratĂ©gie de groupe crĂ©Ă©s par dâautres utilisateurs.
Accorder Ă un utilisateur la possibilitĂ© de crĂ©er des objets StratĂ©gie de groupe dans le domaine ne signifie pas quâil peut lier ces objets Ă un site, un domaine ou
une unitĂ© dâorganisation. Vous pouvez Ă©galement gĂ©rer les autorisations sur lâobjet StratĂ©gie de groupe au niveau des tĂąches. Les cinq catĂ©gories suivantes sont des autorisations Autoriser
sur un objet Stratégie de groupe.
Lecture
Modifier les paramĂštres
Modifier les paramÚtres, supprimer, modifier la sécurité
Lire (à partir du filtrage de sécurité)
ParamÚtres personnalisés
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 57 - 86
5.5.2. Délégation de la stratégie de groupe pour un site,
un domaine ou une unitĂ© dâorganisation
La dĂ©lĂ©gation de la stratĂ©gie de groupe pour un site, un domaine ou une unitĂ© dâorganisation inclut la dĂ©lĂ©gation de la capacitĂ© Ă lier des objets StratĂ©gie de
groupe et la délégation des autorisations pour la Modélisation de stratégie de groupe et les Résultats de stratégie de groupe. La console Gestion de stratégie de groupe utilise une autorisation unique,
appelĂ©e Lier les objets GPO, pour gĂ©rer les attributs gPLink et gPOptions. Vous appliquez les paramĂštres dâun objet StratĂ©gie de groupe Ă des utilisateurs et des
ordinateurs en liant lâobjet StratĂ©gie de groupe (quâil sâagisse dâun enfant direct ou indirectement par hĂ©ritage) Ă un site, un domaine ou une unitĂ© dâorganisation qui contient les objets utilisateur ou ordinateur.
Lâautorisation Lier les objets GPO est spĂ©cifique Ă ce site, ce domaine ou Ă une unitĂ© dâorganisation. Lâautorisation Ă©quivaut Ă des autorisations Lire et Ăcrire sur
les attributs gPLink et gPOptions du site, du domaine ou de lâunitĂ© dâorganisation. Vous pouvez utiliser la ModĂ©lisation de stratĂ©gie de groupe pour simuler un
ensemble de stratĂ©gies pour des objets dâun domaine ou dâune unitĂ© dâorganisation, ou bien vous pouvez la dĂ©lĂ©guer Ă dâautres utilisateurs ou groupes. Cette dĂ©lĂ©gation affecte Ă lâutilisateur ou au groupe lâautorisation
GĂ©nĂ©rer Jeu de stratĂ©gie rĂ©sultant (Planification), laquelle est disponible dans toute forĂȘt dotĂ©e du schĂ©ma Windows Server 2003.
La console Gestion de stratĂ©gie de groupe simplifie la gestion de cette autorisation en la faisant figurer sous lâonglet DĂ©lĂ©gation de tout domaine ou unitĂ© dâorganisation. Lâadministrateur peut sĂ©lectionner Lancer des analyses
de modĂ©lisation de stratĂ©gie de groupe, puis sĂ©lectionner les propriĂ©tĂ©s Nom, Sâapplique Ă , ParamĂštre et HĂ©ritĂ© pour les dĂ©lĂ©gations.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 58 - 86
Vous pouvez utiliser les Résultats de stratégie de groupe pour lire les données
dâenregistrement RSoP pour des objets du domaine ou de lâunitĂ© dâorganisation. Comme dans le cas de la Gestion de stratĂ©gie de groupe, vous pouvez dĂ©lĂ©guer
cette autorisation Ă dâautres utilisateurs ou groupes. Les autorisations sont dĂ©lĂ©guĂ©es sur un domaine ou une unitĂ© dâorganisation. Les utilisateurs disposant de cette autorisation peuvent lire les donnĂ©es des RĂ©sultats de stratĂ©gie de
groupe pour tout objet de ce conteneur. Cette dĂ©lĂ©gation affecte Ă©galement Ă lâutilisateur ou au groupe lâautorisation GĂ©nĂ©rer Jeu de stratĂ©gie rĂ©sultant
(Enregistrement), laquelle est disponible dans toute forĂȘt dotĂ©e du schĂ©ma Windows Server 2003. La console Gestion de stratĂ©gie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous lâonglet DĂ©lĂ©gation du domaine ou de lâunitĂ© dâorganisation. Lâadministrateur peut sĂ©lectionner Lire les donnĂ©es du
résultat de la stratégie, puis sélectionner les utilisateurs et groupes auxquels accorder cette autorisation.
5.6. Planification dâune stratĂ©gie de groupe pour lâentreprise
5.6.1. Instructions de planification des objets Stratégie de
groupe
CrĂ©ez des objets StratĂ©gie de groupe de façon Ă offrir une simplicitĂ© dâutilisation
et de gestion optimale, notamment via lâutilisation de lâhĂ©ritage et des liaisons multiples. Appliquez les instructions suivantes pour planifier les objets StratĂ©gie de groupe
: Appliquez les paramÚtres de stratégie de groupe au plus haut niveau. De
cette façon, vous bĂ©nĂ©ficiez de lâhĂ©ritage de stratĂ©gie de groupe. DĂ©terminez les paramĂštres communs des objets StratĂ©gie de groupe pour le plus grand conteneur, en commençant par le domaine, puis en liant
lâobjet StratĂ©gie de groupe de ce conteneur. Diminuez le nombre des objets StratĂ©gie de groupe. RĂ©duisez ce nombre
en utilisant plusieurs liaisons au lieu de crĂ©er plusieurs objets StratĂ©gie de groupe identiques. Essayez de lier un objet StratĂ©gie de groupe au plus grand conteneur possible, afin dâĂ©viter de crĂ©er plusieurs liaisons du mĂȘme
objet à un niveau plus bas. Créez des objets Stratégie de groupe spécialisés. Utilisez ces objets
StratĂ©gie de groupe pour appliquer des paramĂštres uniques si nĂ©cessaire. Les objets StratĂ©gie de groupe Ă un niveau supĂ©rieur nâappliqueront pas les paramĂštres de ces objets StratĂ©gie de groupe spĂ©cialisĂ©s.
DĂ©sactivez les paramĂštres de configuration de lâordinateur ou de lâutilisateur. Lorsque vous crĂ©ez un objet StratĂ©gie de groupe destinĂ© Ă
contenir les paramĂštres de lâun de ces deux niveaux (utilisateur ou ordinateur), dĂ©sactivez lâautre zone. Cela permet dâamĂ©liorer les performances dâapplication des objets StratĂ©gie de groupe lors de la
connexion de lâutilisateur et empĂȘche lâapplication accidentelle des paramĂštres Ă lâautre zone.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 59 - 86
5.6.2. Instructions pour dĂ©terminer lâhĂ©ritage des objets
Stratégie de groupe
LâhĂ©ritage des objets StratĂ©gie de groupe tient une place importante dans
lâimplĂ©mentation de la stratĂ©gie de groupe dâune entreprise. Câest pourquoi vous devez dĂ©cider Ă lâavance dâappliquer la stratĂ©gie de groupe Ă tout ou partie des
utilisateurs et ordinateurs. Appliquez les instructions suivantes pour dĂ©terminer lâhĂ©ritage des objets StratĂ©gie de groupe.
Utilisez lâoption AppliquĂ© (Ne pas passer outre) uniquement lorsquâelle est requise. Utilisez cette option uniquement pour les objets StratĂ©gie de
groupe que vous voulez absolument appliquer, par exemple les paramĂštres de sĂ©curitĂ© exigĂ©s par lâentreprise. Assurez-vous que ces objets StratĂ©gie de groupe contiendront uniquement ces paramĂštres
importants. Utilisez lâoption Blocage de lâhĂ©ritage avec modĂ©ration. Ce paramĂštre
complique la rĂ©solution des problĂšmes et lâadministration des objets StratĂ©gie de groupe.
Utilisez le filtrage de sécurité en cas de besoin uniquement. Utilisez le
filtrage de sĂ©curitĂ© lorsque des paramĂštres sâappliquent uniquement Ă un groupe de sĂ©curitĂ© particulier dans un conteneur. Limitez le nombre de
filtres de sécurité en créant et en liant des objets Stratégie de groupe au niveau approprié.
5.6.3. Instructions pour déterminer une stratégie de
groupe pour les sites
Vous pouvez lier des objets Stratégie de groupe à un site, de façon à appliquer
des paramĂštres Ă lâensemble des ordinateurs et utilisateurs se trouvant physiquement sur ce site. Lorsque la stratĂ©gie de groupe est dĂ©finie au niveau du
site, elle nâaffecte pas les utilisateurs itinĂ©rants sur ce site sâils ont accĂšs au rĂ©seau Ă partir dâun autre site. Appliquez les instructions suivantes pour dĂ©terminer une stratĂ©gie de groupe
pour des sites : Appliquez un objet Stratégie de groupe à un site uniquement si les
paramĂštres sont spĂ©cifiques au site et non au domaine. La rĂ©solution des problĂšmes de paramĂštres de stratĂ©gie de groupe liĂ©s au site peut sâavĂ©rer compliquĂ©e.
Créez des objets Stratégie de groupe dans le domaine qui comporte le plus grand nombre de contrÎleurs de domaine sur ce site. Un contrÎleur de
domaine du domaine contenant lâobjet StratĂ©gie de groupe liĂ© au site est contactĂ© avant lâapplication de lâobjet, quel que soit le domaine auquel appartient lâutilisateur ou lâordinateur.
5.6.4. Instructions de planification de lâadministration des
objets Stratégie de groupe
Appliquez les instructions suivantes pour planifier lâadministration des objets StratĂ©gie de groupe :
Identifiez votre stratĂ©gie dâadministration pour la gestion des objetsStratĂ©gie de groupe. DĂ©terminez quelles personnes vont crĂ©er et lier
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 60 - 86
des objets Stratégie de groupe dans votre organisation, et quelles
personnes vont mais ne pourront pas les créer. Déterminez également la personne qui va gérer les objets Stratégie de groupe.
Organisez les objets Stratégie de groupe en fonction de la maintenance administrative. De cette façon, vous pourrez déléguer le contrÎle des objetsStratégie de groupe au groupe approprié et réduire le risque
potentiel quâun administrateur remplace les modifications apportĂ©es par un autre administrateur Ă un objet StratĂ©gie de groupe donnĂ©. Vous pouvez,
par exemple, organiser la stratĂ©gie de groupe en fonction des catĂ©gories dâadministration suivantes :
âą Gestion de la configuration des utilisateurs
⹠Gestion des données ⹠Distribution des logiciels
Planifiez lâaudit des objets StratĂ©gie de groupe. Votre organisation peut vous demander dâenregistrer les modifications apportĂ©es aux objets StratĂ©gie de groupe ainsi que leur utilisation, afin que vous puissiez
vérifier que Active Directory applique correctement les paramÚtres.
5.6.5. Instructions de déploiement des objets Stratégie de
groupe
Lorsque vous planifiez lâimplĂ©mentation de la stratĂ©gie de groupe, veillez Ă tester et Ă documenter votre stratĂ©gie de groupe.
Appliquez les instructions suivantes pour déployer des objets Stratégie de groupe :
Testez les paramÚtres de stratégie de groupe. Testez les résultats des
objets Stratégie de groupe dans différentes situations. Bon nombre des organisations de moyenne et grande taille créent une version miniature de
leur environnement de production pour lâutiliser comme « banc dâessai ». Dans les petites entreprises, qui ne disposent pas des mĂȘmes ressources, implĂ©mentez la stratĂ©gie de groupe dans lâenvironnement de production en
dehors des heures de pointe, et mettez en place une stratégie de régression afin de corriger tout problÚme qui surviendrait. Les stratégies de test incluent :
âą Lâouverture de session en tant quâutilisateur reprĂ©sentatif sur des stations de travail reprĂ©sentatives, afin de vĂ©rifier que les paramĂštres de stratĂ©gie de groupe prĂ©vus ont bien Ă©tĂ© appliquĂ©s et quâaucun conflit dâhĂ©ritage ne se produit. Vous
pouvez utiliser lâAssistant ModĂ©lisation de stratĂ©gie de groupe et lâAssistant RĂ©sultats de stratĂ©gie de groupe pour dĂ©terminer quels paramĂštres de stratĂ©gie
de groupe ont Ă©tĂ© appliquĂ©s et Ă partir de quels objets StratĂ©gie de groupe. âą Lâouverture de session dans toutes les conditions envisageables, afin de vous assurer que les paramĂštres de stratĂ©gie de groupe sont appliquĂ©s de façon
homogÚne. ⹠Le test des ordinateurs portables en les connectant au réseau depuis les
diffĂ©rents sites sur lesquels les utilisateurs sont susceptibles dâouvrir une session. Documentez le plan de stratĂ©gie de groupe. Conservez toujours la liste
détaillée de tous les objets Stratégie de groupe, afin de facilement
résoudre les problÚmes et gérer la stratégie de groupe. Pensez à inclure les informations suivantes dans votre liste :
âą Le nom et la fonction de chaque objet StratĂ©gie de groupe. âą Les paramĂštres de stratĂ©gie de groupe de chaque objet StratĂ©gie de groupe. âą Les liaisons dâobjets StratĂ©gie de groupe Ă un site, un domaine ou une unitĂ©
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 61 - 86
dâorganisation.
âą Tout paramĂštre spĂ©cial appliquĂ© Ă lâobjet StratĂ©gie de groupe (AppliquĂ©, dĂ©sactivation partielle ou totale, par exemple).
6. DĂ©ploiement et gestion des logiciels Ă lâaide dâune stratĂ©gie de groupe
6.1. DĂ©ploiement de logiciels
Le dĂ©ploiement de logiciels garantit que les applications requises sont disponibles Ă partir de chaque ordinateur auquel lâutilisateur se connecte. Du point de vue de lâutilisateur, les logiciels sont toujours disponibles et fonctionnels. Les
administrateurs peuvent installer Ă lâavance les logiciels pour les utilisateurs ou permettre Ă ceux-ci dâinstaller au coup par coup les logiciels dont ils ont besoin.
Lors du déploiement de logiciels, vous spécifiez comment les applications sont
installées et gérées dans votre organisation. Exécutez les tùches suivantes pour utiliser la stratégie de groupe pour le déploiement de nouveaux logiciels :
1. Créez un point de distribution de logiciels. Ce dossier partagé sur votre serveur contient les fichiers de package et de logiciels permettant le déploiement
de logiciels. Lorsque des logiciels sont installĂ©s sur un ordinateur local, Windows Installer copie des fichiers Ă partir de ce point de distribution. Le fait de rassembler les fichiers en un mĂȘme endroit pour chaque application simplifie
lâadministration. 2. Utilisez un objet StratĂ©gie de groupe pour le dĂ©ploiement des logiciels. Vous
devez créer ou modifier en conséquence un objet Stratégie de groupe pour le
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 62 - 86
conteneur dans lequel vous souhaitez dĂ©ployer lâapplication. Vous pouvez
configurer lâobjet StratĂ©gie de groupe pour le dĂ©ploiement de logiciels pour un compte dâutilisateur ou dâordinateur. Cette tĂąche inclut la sĂ©lection du type de
déploiement dont vous avez besoin. 3. Modifiez les propriétés de déploiement des logiciels. En fonction de vos besoins, vous pouvez modifier les propriétés qui avaient été définies durant le
déploiement initial des logiciels.
6.1.1. Affectation de logiciels et publication de logiciels
Lâaffectation de logiciels et la publication de logiciels constituent les deux types
de dĂ©ploiement. Lâaffectation des logiciels vous permet de vous assurer que lâutilisateur peut en disposer en permanence. Des raccourcis dans le menu DĂ©marrer et des icĂŽnes
sur le Bureau correspondant aux logiciels apparaissant lorsque lâutilisateur ouvre une session. Par exemple, si lâutilisateur ouvre un fichier qui utilise Microsoft
Excel sur un ordinateur qui ne comporte pas Excel, mais que ce logiciel a Ă©tĂ© affectĂ© Ă lâutilisateur, Windows Installer installe Excel sur cet ordinateur lorsque lâutilisateur ouvre le fichier concernĂ©.
En outre, lâaffectation de logiciels fait que ceux-ci sont tolĂ©rants aux pannes. Si, pour une raison quelconque, lâutilisateur supprime un logiciel, Windows Installer
le rĂ©installe lorsque lâutilisateur se reconnecte et dĂ©marre lâapplication.
La publication des logiciels vous permet de vous assurer quâils sont disponibles aux utilisateurs pour que ceux-ci les installent sur leurs ordinateurs. Windows Installer nâajoute pas de raccourcis sur le Bureau de lâutilisateur ou dans le menu
DĂ©marrer, et aucune entrĂ©e nâest enregistrĂ©e dans le registre local. Comme les utilisateurs doivent installer des logiciels publiĂ©s, vous ne pouvez publier des
logiciels quâauprĂšs dâutilisateurs, pas auprĂšs dâordinateurs.
6.1.2. CrĂ©ation dâun point de distribution de logiciels
Pour déployer des logiciels pour des utilisateurs ou en assurer la disponibilité pour que ceux-ci les installent quand ils en ont besoin, créez un ou plusieurs
points de distribution de logiciels dans lesquels vous copierez les logiciels concernés.
Pour crĂ©er un point de distribution de logiciels, procĂ©dez comme suit : 1. CrĂ©ez un dossier partagĂ©. 2. CrĂ©ez les dossiers dâapplications appropriĂ©s dans le dossier partagĂ©.
3. DĂ©finissez lâautorisation appropriĂ©e pour le dossier partagĂ©. Affectez aux utilisateurs lâautorisation en lecture (Read) sur le systĂšme de fichier NTFS afin
quâils puissent accĂ©der aux fichiers dâinstallation logicielle requis dans le point de distribution de logiciels. 4. Copiez dans les dossiers appropriĂ©s les packages Windows Installer ainsi que
les fichiers connexes.
6.1.3. Utilisation dâun objet StratĂ©gie de groupe pour le
déploiement de logiciels
AprÚs avoir créé un point de distribution de logiciels, créez un objet Stratégie de
groupe qui dĂ©ploie ces applications, puis reliez lâobjet StratĂ©gie de groupe au conteneur qui contient les utilisateurs ou les ordinateurs auprĂšs desquels vous souhaitez dĂ©ployer des logiciels.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 63 - 86
Pour utiliser un objet Stratégie de groupe pour le déploiement de logiciels,
procédez comme suit : 1. Créez ou éditez un objet Stratégie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel Ă des utilisateurs ou des ordinateurs, ou que vous le publiez auprĂšs dâutilisateurs), dĂ©veloppez ParamĂštres du logiciel, cliquez avec
le bouton droit sur Installation logicielle, pointez sur Nouveau, puis cliquez sur Package.
3. Dans la boĂźte de dialogue Ouvrir un fichier, naviguez jusquâau point de distribution de logiciels Ă lâaide du nom UNC (Universal Naming Convention) . par exemple, \\Nom_Serveur\Nom_Partage .sĂ©lectionnez le fichier de package, puis
cliquez sur Ouvrir. 4. Dans la boßte de dialogue Déploiement du logiciel, sélectionnez une
méthode de déploiement, puis cliquez sur OK.
6.1.4. Options par défaut pour installation logicielle
Vous pouvez configurer les options par dĂ©faut dâinstallation logicielle pour lâobjet StratĂ©gie de groupe courant lorsque vous souhaitez ajouter simultanĂ©ment
plusieurs applications Ă un objet StratĂ©gie de groupe ou utiliser les mĂȘmes options pour elles par dĂ©faut.
6.2. Configuration du déploiement des logiciels
Installation de logiciel dans la stratégie de groupe inclut des options de configuration de logiciels déployés. Vous pouvez déployer plusieurs
configurations diffĂ©rentes dâune application et contrĂŽler comment cette application est affectĂ©e ou publiĂ©e chaque fois que les fonctions dâun utilisateur
changent. Vous pouvez également simplifier la tùche de déploiement de logiciels en catégorisant les programmes répertoriés dans Ajouter ou supprimer des programmes, en associant des extensions de noms de fichiers avec des
applications, et en ajoutant des modifications aux logiciels déployés.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 64 - 86
6.2.1. Définition des catégories de logiciels
Vous utilisez des catégories de logiciels pour organiser des logiciels affectés et publiés en groupes logiques, afin que les utilisateurs puissent trouver aisément
les applications dans Ajouter ou supprimer des programmes du Panneau de configuration. Windows Server 2003 est fourni sans catégories de logiciels
prĂ©dĂ©finies. Vous pouvez crĂ©er des catĂ©gories de logiciels pour regrouper diffĂ©rentes applications sous un en-tĂȘte spĂ©cifique. Au lieu de vous en remettre Ă une liste
alphabétique des applications disponibles par défaut, vous pouvez organiser les logiciels en catégories, telles que Graphiques, Microsoft Office et Comptabilité.
Les utilisateurs peuvent alors choisir dans les catégories quelles applications installer dans Ajouter ou supprimer des programmes.
Les catĂ©gories de logiciels recouvrent plusieurs domaines. Vous les dĂ©finissez une seule fois pour toute une forĂȘt. Vous pouvez utiliser la mĂȘme liste de catĂ©gories de logiciels dans toutes les stratĂ©gies dans la forĂȘt.
La catĂ©gorisation des applications exige tout dâabord la crĂ©ation dâune catĂ©gorie, puis lâaffectation des applications Ă la catĂ©gorie. Vous pouvez rĂ©pertorier des
packages sous plusieurs catégories.
6.2.2. Création de catégories de logiciels
La catĂ©gorisation des logiciels exige tout dâabord la crĂ©ation dâune catĂ©gorie de logiciels, puis lâaffectation de logiciels Ă la catĂ©gorie.
Pour créer une catégorie, procédez comme suit :
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 65 - 86
1. Créez ou éditez un objet Stratégie de groupe.
2. Sous Configuration utilisateur ou Configuration ordinateur (selon que vous affectez le logiciel Ă des utilisateurs ou des ordinateurs, ou que vous le
publiez auprĂšs dâutilisateurs), dĂ©veloppez ParamĂštres du logiciel, cliquez avec le bouton droit sur Installation logicielle, puis cliquez sur Package. 3. Dans lâonglet CatĂ©gories, cliquez sur Ajouter pour entrer une nouvelle
catégorie. 4. Dans la zone Catégorie, tapez le nom de la catégorie puis cliquez deux fois
sur OK. Pour affecter un package de logiciels à une catégorie, procédez comme suit : 1. Créez ou éditez un objet Stratégie de groupe contenant le package de logiciels
Ă catĂ©goriser. 2. Dans lâarborescence de la console, dĂ©veloppez ParamĂštres du logiciel, puis
cliquez sur Installation logicielle. 3. Dans le volet de détails, cliquez avec le bouton droit sur le package de logiciels, puis cliquez sur Propriétés.
4. Dans lâonglet CatĂ©gories, affectez une ou plusieurs catĂ©gories au package de logiciels en cliquant sur la catĂ©gorie dans la liste CatĂ©gories disponibles,
cliquez ensuite sur SĂ©lectionner, puis sur OK.
7. Implémentation de sites pour gérer la réplication Active Directory
LâexĂ©cution dâune rĂ©plication dans le service dâannuaire Microsoft Windows Server. 2003 Active DirectoryÂź implique le transfert et la maintenance des
données Active Directory entre les contrÎleurs de domaine du réseau. Active Directory utilise un modÚle de réplication multimaßtre.
MultimaĂźtre signifie quâil y a plusieurs contrĂŽleurs de domaine, Ă©galement appelĂ©s principaux, qui ont lâautorisation de modifier ou de contrĂŽler les mĂȘmes donnĂ©es. Dans ce modĂšle de rĂ©plication, toute modification des donnĂ©es dâun contrĂŽleur de
domaine doit ĂȘtre rĂ©pliquĂ©e sur tous les autres. En comprenant le fonctionnement du modĂšle de rĂ©plication Active Directory, vous pouvez gĂ©rer le
trafic réseau de la réplication et assurer la cohérence des données Active Directory à travers votre réseau.
7.1. Présentation de la réplication Active Directory
Lorsquâun utilisateur ou un administrateur exĂ©cute une action qui entraĂźne une
mise Ă jour dâActive Directory, un contrĂŽleur de domaine appropriĂ© est automatiquement dĂ©signĂ© pour exĂ©cuter la mise Ă jour. Cette modification est effectuĂ©e de maniĂšre transparente sur lâun des contrĂŽleurs de domaine.
Active Directory utilise la rĂ©plication multimaĂźtre avec cohĂ©rence relĂąchĂ©e pour sâassurer que tous les contrĂŽleurs de domaine sont bien mis Ă jour. En
connaissant le processus et la topologie de rĂ©plication, vous serez Ă mĂȘme de gĂ©rer efficacement la rĂ©plication dans Active Directory. La RĂ©plication est le processus de mise Ă jour des donnĂ©es contenues dans
Active Directory dâun contrĂŽleur de domaine vers les autres contrĂŽleurs de
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 66 - 86
domaine du réseau. Ce processus synchronise le déplacement des données mises
à jour entre les contrÎleurs de domaine. La synchronisation garantit que toutes les données contenues dans Active Directory sont accessibles par tous les
contrĂŽleurs de domaine et les ordinateurs clients dâun rĂ©seau.
7.1.1. RĂ©plication dâattributs Ă valeurs multiples liĂ©s
Le processus de rĂ©plication dâattributs Ă valeurs multiples liĂ©s est diffĂ©rent de celui de la rĂ©plication normale dans Active Directory.
Le processus qui rĂ©plique les attributs Ă valeurs multiples liĂ©s varie en fonction du niveau fonctionnel de la forĂȘt :
Lorsque le niveau fonctionnel de la forĂȘt est antĂ©rieur Ă Windows Server
2003, toute modification apportĂ©e Ă lâappartenance de groupe dĂ©clenche la
rĂ©plication de toute la liste des membres. Dans ce cas, lâattribut member Ă valeurs multiples est considĂ©rĂ© comme un seul attribut dans le cadre de
la rĂ©plication. Cette rĂ©plication augmente les risques dâĂ©crasement dâune modification dâappartenance exĂ©cutĂ©e par un autre administrateur ou un autre contrĂŽleur de domaine avant la rĂ©plication de la premiĂšre
modification. Lorsque le niveau fonctionnel de la forĂȘt est dĂ©fini sur Windows Server
2003, une valeur individuelle réplique les modifications aux attributs à valeurs multiples liés. Cette amélioration réplique les modifications
uniquement aux informations dâappartenance et non Ă toute la liste des membres.
7.1.2. DĂ©finition des partitions dâannuaire
La base de données Active Directory est divisée de maniÚre logique en plusieurs
partitions : dâannuaire, du schĂ©ma, de la configuration, du domaine et
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 67 - 86
dâapplication. Chaque partition est une unitĂ© de rĂ©plication et possĂšde sa propre
topologie de rĂ©plication. La rĂ©plication est exĂ©cutĂ©e entre les rĂ©plicas des partitions dâannuaire. Tous les contrĂŽleurs de domaine de la mĂȘme forĂȘt ont au
moins deux partitions dâannuaire en commun : celles du schĂ©ma et de la configuration. De plus, tous les contrĂŽleurs de domaine partagent une partition de domaine commune.
Partition de schéma
Chaque forĂȘt possĂšde une seule partition de schĂ©ma. Cette partition de schĂ©ma est stockĂ©e dans tous les contrĂŽleurs de domaine de la mĂȘme forĂȘt. Elle contient
les dĂ©finitions de tous les objets et attributs crĂ©Ă©s dans lâannuaire, ainsi que les rĂšgles qui permettent de les crĂ©er et de les manipuler. Les donnĂ©es du schĂ©ma sont rĂ©pliquĂ©es dans tous les contrĂŽleurs de domaine de la forĂȘt. Câest pourquoi
les objets doivent ĂȘtre conformes aux dĂ©finitions dâobjet et dâattribut du schĂ©ma.
Partition de configuration Chaque forĂȘt possĂšde une seule partition de configuration. StockĂ©e dans tous les
contrĂŽleurs de domaine de la mĂȘme forĂȘt, la partition de configuration contient les donnĂ©es sur la structure Active Directory de lâensemble de la forĂȘt, dont les domaines et les sites existants, les contrĂŽleurs de domaine existants dans
chaque forĂȘt et les services disponibles. Les donnĂ©es de la configuration sont rĂ©pliquĂ©es dans tous les contrĂŽleurs de domaine de la forĂȘt.
Partition de domaine
Chaque forĂȘt peut comporter plusieurs partitions de domaine. Les partitions de domaine sont stockĂ©es dans chaque contrĂŽleur de domaine dâun domaine donnĂ©. Une partition de domaine contient les donnĂ©es sur tous les objets propres au
domaine et crĂ©Ă©s dans ce domaine, dont les utilisateurs, les groupes, les ordinateurs et les unitĂ©s dâorganisation. La partition de domaine est rĂ©pliquĂ©e
dans tous les contrĂŽleurs de domaine de ce domaine. Tous les objets de chaque partition de domaine dâune forĂȘt sont stockĂ©s dans le catalogue global avec un seul sous-ensemble de leurs valeurs dâattribut.
Partition dâapplications
Les partitions dâapplications stockent les donnĂ©es sur les applications dans Active Directory. Chaque application dĂ©termine comment elle stocke, classe et utilise ses propres donnĂ©es. Pour Ă©viter toute rĂ©plication inutile des partitions
dâapplications, vous pouvez dĂ©signer les contrĂŽleurs de domaine qui en hĂ©bergent dans une forĂȘt. Ă la diffĂ©rence dâune partition de domaine, une
partition dâapplications ne peut pas stocker les principaux objets de sĂ©curitĂ©, tels que les comptes dâutilisateurs. De plus, les donnĂ©es contenues dans une partition dâapplications ne sont pas stockĂ©es dans le catalogue global.
Comme exemple de partition dâapplications, si vous utilisez un systĂšme DNS qui est intĂ©grĂ© Ă Active Directory, vous avez deux partitions dâapplications pour les
zones DNS : ForestDNSZones et DomainDNSZones. ForestDNSZones fait partie dâune forĂȘt. Tous les contrĂŽleurs de domaine et
les serveurs DNS dâune forĂȘt reçoivent un rĂ©plica de cette partition. Une
partition dâapplications dâune forĂȘt entiĂšre stocke les donnĂ©es de la zone de la forĂȘt.
DomainDNSZones est unique pour chaque domaine. Tous les contrÎleurs de domaine qui sont des serveurs DNS dans ce domaine reçoivent un
rĂ©plica de cette partition. Les partitions dâapplications stocke la zone DNS
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 68 - 86
du domaine dans la DomainDNSZones <nom_domaine>.
7.1.3. Définition de la topologie de réplication
La topologie de rĂ©plication est lâitinĂ©raire suivi par les donnĂ©es de la rĂ©plication Ă
travers un rĂ©seau. La rĂ©plication se produit entre deux contrĂŽleurs de domaine Ă la fois. Avec le temps, la rĂ©plication synchronise les donnĂ©es dans Active Directory pour toute une forĂȘt de contrĂŽleurs de domaine. Pour crĂ©er une
topologie de réplication, Active Directory doit déterminer quels contrÎleurs de domaine répliquent les données avec les autres contrÎleurs de domaine.
Réplication de partitions Active Directory crée une topologie de réplication basée sur les données stockées
dans Active Directory. La topologie de rĂ©plication peut diffĂ©rer pour les partitions de schĂ©ma, de configuration, de domaines et dâapplications.
Tous les contrĂŽleurs de domaine dâune mĂȘme forĂȘt partageant les partitions de schĂ©ma et de configuration, Active Directory rĂ©plique ces partitions de schĂ©ma et
de configuration sur tous les contrĂŽleurs de domaine. Les contrĂŽleurs de domaine du mĂȘme domaine rĂ©pliquent Ă©galement la partition du domaine. De plus, les contrĂŽleurs de domaine qui hĂ©bergent une partition dâapplications
rĂ©pliquent la partition dâapplications. Pour optimiser le trafic de la rĂ©plication, un contrĂŽleur de domaine peut avoir plusieurs partenaires de rĂ©plication pour
diffĂ©rentes partitions. Active Directory rĂ©plique les mises Ă jour dâannuaire dans tous les contrĂŽleurs de domaine qui contiennent la partition mise Ă jour dans la forĂȘt.
Objets de connexion
Les contrÎleurs de domaine qui sont liés par des objets de connexion sont
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 69 - 86
appelés partenaires de réplication. Les liens qui relient les partenaires de
réplication sont appelés objets de connexion. Les objets de connexion sont créés dans chaque contrÎleur de domaine et pointent vers un autre contrÎleur de
domaine pour une source de donnĂ©es de rĂ©plication. Les objets de connexion reprĂ©sentent un chemin de rĂ©plication Ă sens unique entre deux objets serveur. La topologie de rĂ©plication par dĂ©faut dâun site est un anneau bidirectionnel,
composé de deux objets de connexion unidirectionnels complémentaires entre deux contrÎleurs de domaine adjacents. Cette topologie améliore la tolérance de
pannes lorsque lâun des contrĂŽleurs de domaine est dĂ©connectĂ©. Si nĂ©cessaire, Active Directory crĂ©e des objets de connexion supplĂ©mentaires pour limiter statistiquement Ă un maximum de trois le nombre de tronçons
empruntĂ©s pour rĂ©pliquer une mise Ă jour provenant de tous les rĂ©plicas dâune partition donnĂ©e dans un anneau.
7.1.4. Génération automatique de la topologie de
réplication
Lorsque vous ajoutez des contrÎleurs de domaine à un site, Active Directory utilise le Vérificateur de cohérence de connaissances (KCC, Knowledge Consistency Checker) pour établir un chemin de réplication entre les contrÎleurs
de domaine.
DĂ©finition du KCC KCC est un processus intĂ©grĂ© qui sâexĂ©cute sur chaque contrĂŽleur de domaine et
gĂ©nĂšre la topologie de rĂ©plication pour toutes les partitions dâannuaire contenues dans ce contrĂŽleur de domaine. Le vĂ©rificateur KCC sâexĂ©cute Ă intervalles dĂ©finis .par dĂ©faut toutes les 15 minutes . et dĂ©signe les itinĂ©raires de rĂ©plication entre
contrĂŽleurs de domaine les plus judicieux disponibles Ă ce moment-lĂ .
Pour gĂ©nĂ©rer automatiquement une topologie de rĂ©plication, le KCC Ă©value les donnĂ©es de la partition de configuration des sites, le coĂ»t de lâenvoi des donnĂ©es entre ces sites (en fonction de la valeur relative des chemins de rĂ©plication), tout
objet de connexion existant et les protocoles de rĂ©plication quâil peut utiliser entre les sites. Ensuite, le KCC calcule les meilleures connexions pour envoyer
les partitions dâannuaire dâun contrĂŽleur de domaine vers les autres contrĂŽleurs. Si la rĂ©plication devient impossible dans un site ou Ă un point de dĂ©faillance unique, le KCC Ă©tablit automatiquement de nouveaux objets de connexion entre
les contrÎleurs de domaine pour maintenir la réplication Active Directory.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 70 - 86
7.1.5. Catalogue global et réplication de partitions
Un serveur de catalogue global est un contrĂŽleur de domaine qui stocke deux
partitions pour toute la forĂȘt . les partitions de schĂ©ma et de configuration . plus une copie en lecture/Ă©criture de la partition de son propre domaine et un rĂ©plica
partiel de toutes les autres partitions de domaine dans la forĂȘt. Ces rĂ©plicas partiels contiennent un sous-ensemble en lecture seule des donnĂ©es de chaque partition de domaine.
Lorsque vous ajoutez un nouveau domaine Ă une forĂȘt, la partition de configuration stocke les donnĂ©es sur ce nouveau domaine. Active Directory
rĂ©plique la partition de configuration sur tous les contrĂŽleurs de domaine, y compris les serveurs de catalogue global, lors dâune rĂ©plication normale dans toute la forĂȘt. Chaque serveur de catalogue global devient un rĂ©plica partiel du
nouveau domaine en contactant un contrÎleur de domaine pour ce domaine et en obtenant les données du réplica partiel. La partition de configuration fournit
Ă©galement aux contrĂŽleurs de domaine la liste de tous les serveurs de catalogue global de la forĂȘt.
Les serveurs de catalogue global enregistrent les enregistrements DNS spĂ©ciaux dans la zone DNS qui correspond au domaine racine de forĂȘt. Ces enregistrements, Ă©crits uniquement dans la zone DNS racine de la forĂȘt, aident
les clients et les serveurs Ă localiser les serveurs de catalogue global Ă travers la forĂȘt.
7.2. Création et configuration de sites
La rĂ©plication garantit que toutes les donnĂ©es contenues dans Active Directory sont Ă jour dans tous les contrĂŽleurs de domaine et stations de travail dâun
réseau. De nombreux réseaux sont composés de plusieurs réseaux plus petits, et les liens qui les connectent peuvent avoir des débits variés.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 71 - 86
Vous utilisez des sites dans Active Directory pour contrÎler la réplication et
dâautres types de trafic Active Directory Ă travers les diffĂ©rentes liaisons du rĂ©seau. Lorsque vous configurez la rĂ©plication entre les sites, vous pouvez
utiliser des objets sous-rĂ©seau, des liens de sites et des ponts entre les liens pour faciliter le contrĂŽle de la topologie de rĂ©plication. La fiabilitĂ© et lâefficacitĂ© dâune topologie de rĂ©plication dĂ©pendent de la configuration des liens et des
ponts entre les sites.
7.2.1. Définition des sites et des objets sous-réseau
Dans Active Directory, les sites facilitent la définition de la structure physique
dâun rĂ©seau. Un ensemble de plages dâadresses de sous-rĂ©seaux TCP/IP dĂ©finissent un site, qui Ă son tour dĂ©finit un groupe de contrĂŽleurs de domaine partageant les mĂȘmes dĂ©bits et coĂ»ts. Les sites sont composĂ©s dâobjets serveurs,
qui contiennent eux-mĂȘmes les objets de connexion autorisant la rĂ©plication. Les objets sous-rĂ©seau identifient les adresses rĂ©seau utilisĂ©es par mapper les
ordinateurs avec les sites. Un sous-rĂ©seau est un segment dâun rĂ©seau TCP/IP auquel un ensemble dâadresses IP logiques est attribuĂ©. Les objets sous-rĂ©seau
se mappant au rĂ©seau physique, les sites font de mĂȘme. Par exemple, si trois sous-rĂ©seaux sont situĂ©s dans trois campus universitaires de la mĂȘme ville et que ces campus sont reliĂ©s par des connexions Ă haut dĂ©bit et Ă disponibilitĂ©
élevée, vous pouvez associer chacun de ces sous-réseaux à un site. Un site peut comporter un ou plusieurs sous-réseaux. Par exemple, pour un
réseau composé de trois sous-réseaux à Redmond et deux à Paris, vous pouvez créer un site à Redmond, un à Paris et ajouter les sous-réseaux aux sites respectifs.
7.2.2. Liens de sites
Pour que deux sites Ă©changent des donnĂ©es de rĂ©plication, ils doivent ĂȘtre
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 72 - 86
connectés par un lien de sites, avec un chemin logique que le vérificateur
KCC utilise pour établir la réplication entre les sites. Lorsque vous créez des sites supplémentaires, vous devez sélectionner au moins
un lien de sites pour chaque site. Sans au moins un lien de sites, les connexions ne peuvent ĂȘtre Ă©tablies entre les ordinateurs des diffĂ©rents sites, et la rĂ©plication entre sites ne peut donc pas avoir lieu. Les liens de sites
supplémentaires ne se créent pas automatiquement. Pour ce faire, vous devez utiliser Sites et services Active Directory.
Lorsque vous crĂ©ez le premier domaine dâune forĂȘt, Active Directory crĂ©e un lien de sites par dĂ©faut appelĂ© DEFAULTIPSITELINK. Il inclut le premier site et est situĂ© dans le conteneur IP dâActive Directory. Vous pouvez le renommer.
Coût des liens de sites
Le coĂ»t des liens de sites est un nombre sans unitĂ© de mesure qui reprĂ©sente le dĂ©bit relatif, la fiabilitĂ© et la prĂ©fĂ©rabilitĂ© du rĂ©seau sous-jacent. Plus le coĂ»t dâun lien est bas, plus sa prioritĂ© est Ă©levĂ©e, ce qui en fait un chemin privilĂ©giĂ©. Par
exemple, votre organisation a deux sites reliés entre eux, un dans le Casablanca et un à Rabat : une connexion haut débit et une connexion distante de secours.
Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion. La connexion à haut débit étant préférable à la connexion distante, configurez-la
avec un coût inférieur à celui du lien de sites de la connexion distante. Lorsque le lien de sites avec la connexion à haut débit a un coût inférieur, sa priorité est plus élevée. Il est donc utilisé en priorité dÚs que possible.
En définissant le coût du lien de sites, vous pouvez déterminer la priorité relative de chaque lien de sites. La valeur par défaut du coût est de 100 et peut
sâĂ©chelonner de 1 Ă 99999. Planification de la rĂ©plication des liens de sites
La planification des horaires de réplication est un autre attribut des liens de sites que vous pouvez configurez. Lors de cette opération, vous spécifiez les horaires
de disponibilitĂ© du lien pour la rĂ©plication. Souvent, la disponibilitĂ© de rĂ©plication est configurĂ©e Ă des heures oĂč le trafic rĂ©seau est peu important : par exemple entre 2h00 et 5h00 du matin.
Plus le nombre dâheures pendant lesquelles un lien est disponible pour la rĂ©plication est restreint, plus le dĂ©lai de latence entre les sites connectĂ©s par ce
lien est grand. Câest pourquoi il faut trouver lâĂ©quilibre entre le besoin de rĂ©plication dâun lien pendant les heures Ă faible charge de travail et le besoin dâinformations actualisĂ©es dans chaque site connectĂ© par ce lien.
Fréquence de réplication des liens de sites
Lorsque vous configurez la fréquence de réplication, vous spécifiez le nombre de
minutes que Active Directory doit attendre avant dâutiliser le lien pour vĂ©rifier si des mises Ă jour sont disponibles. La valeur par dĂ©faut de la frĂ©quence de rĂ©plication est de 180 minutes. Vous devez choisir une valeur comprise entre 15
minutes et une semaine. La frĂ©quence de rĂ©plication ne sâapplique quâaux heures pendant lesquelles le lien est programmĂ© pour ĂȘtre disponible.
Des intervalles plus longs entre les cycles de rĂ©plication rĂ©duisent le trafic rĂ©seau et augmentent le dĂ©lai de latence entre les sites. Des intervalles plus courts augmentent le trafic rĂ©seau et rĂ©duisent le dĂ©lai de latence. Câest pourquoi il faut
trouver lâĂ©quilibre entre le besoin de rĂ©duire le trafic rĂ©seau et le besoin dâinformations actualisĂ©es dans chaque site connectĂ© par ce lien.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 73 - 86
Protocoles de transport des liens de sites Un protocole de transport est un langage commun partagé par les ordinateurs
pour communiquer entre eux pendant la rĂ©plication. Active Directory nâutilise quâun seul protocole pour la rĂ©plication dans un site. Lorsque vous crĂ©ez un lien de sites, vous devez en choisir un parmi les protocoles suivants :
RPC (Remote Procedure Call, Appel de procĂ©dure distante) sur IP. RPC est le protocole par dĂ©faut. Protocole standard de lâindustrie pour les
communications clients/serveur, RPC sur IP fournit une connectivité fiable et à haut débit entre les sites. Entre les sites, RPC sur IP permet une réplication de toutes les partitions Active Directory. RPC sur IP est le
meilleur protocole de transport pour la réplication entre sites. SMTP (Simple Mail Transfer Protocol). Le protocole SMTP prend en charge
la rĂ©plication du schĂ©ma, de la configuration et du catalogue global entre les sites et entre les domaines. Vous ne pouvez pas lâutiliser pour la rĂ©plication de la partition de domaine, car certaines opĂ©rations de domaine
. par exemple, la StratĂ©gie de groupe . requiĂšrent la prise en charge du service de rĂ©plication de fichiers (FRS, File Replication Service), qui nâest
pas compatible avec le transport asynchrone de la réplication. Si vous choisissez SMTP, vous devez installer et configurer une autorité de
certificat pour signer les messages SMTP et garantir lâauthenticitĂ© des mises Ă jour de lâannuaire. De plus, SMTP ne fournit pas le mĂȘme niveau de compression des donnĂ©es que RPC sur IP.
7.2.3. RĂ©plication Ă lâintĂ©rieur des sites et rĂ©plication
entre les sites
Les principales caractĂ©ristiques ou hypothĂšses de la rĂ©plication Ă lâintĂ©rieur des sites sont les suivantes :
Les connexions rĂ©seau dâun site sont fiables et ont suffisamment de bande passante disponible.
Le trafic de rĂ©plications Ă lâintĂ©rieur dâun site nâest pas compressĂ© car un
site suppose la présence de liaisons réseau rapides et trÚs fiables. Le fait de ne pas compresser le trafic de réplications réduit la charge de
traitement des contrÎleurs de domaine. Cependant, le trafic non compressé peut augmenter la bande passante réseau nécessaire aux messages de réplication.
Un processus de notification de modification lance la rĂ©plication Ă lâintĂ©rieur dâun site.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 74 - 86
Les principales caractéristiques ou hypothÚses de la réplication entre sites sont
les suivantes : La bande passante réservée aux liaisons réseau entre les sites est limitée
et risque de ne pas ĂȘtre fiable. Le trafic de rĂ©plications entre les sites est conçu pour optimiser la bande
passante en compressant tout le trafic de réplications entre les sites.
Avant dâĂȘtre transmis, ce trafic est compressĂ© de 10 Ă 15 pour cent par rapport Ă sa taille originale. Bien que la compression optimise la bande
passante du réseau, elle entraßne une charge de traitement supplémentaire des contrÎleurs de domaine .lors de la compression et de la décompression des données de la réplication.
La réplication entre les sites se produit automatiquement dÚs que vous avez défini les valeurs configurables, telles que la planification et
lâintervalle de rĂ©plication. Vous pouvez planifier la rĂ©plication aux heures creuses ou Ă©conomiques. Par dĂ©faut, les modifications sont rĂ©pliquĂ©es
entre les sites selon une planification que vous dĂ©finissez manuellement . et non pas en fonction du moment auquel se produisent les modifications. La planification dĂ©termine le moment de la rĂ©plication. Lâintervalle spĂ©cifie
la maniÚre dont les contrÎleurs de domaine vont vérifier la présence de modifications pendant la période de réplication planifiée.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 75 - 86
ProcĂ©dure de crĂ©ation dâun site
Pour crĂ©er un site, exĂ©cutez les opĂ©rations suivantes : 1. Ouvrez Sites et services Active Directory dans le menu Outils dâadministration.
2. Dans lâarborescence de la console, cliquez avec le bouton droit sur Sites, puis cliquez sur Nouveau site.
3. Dans la zone Nom, nommez le nouveau site. 4. Cliquez sur un objet lien de sites, puis cliquez deux fois sur OK.
ProcĂ©dure de crĂ©ation dâun objet sous-rĂ©seau AprĂšs avoir crĂ©Ă© des sites, vous crĂ©ez des sous-rĂ©seaux et les associez avec les
sites. Pour créer un objet sous-réseau, exécutez les opérations suivantes :
1. Dans Sites et Services Active Directory, dans lâarborescence de la console, double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis cliquez
sur Nouveau sous-rĂ©seau. 2. Dans la zone Adresse, entrez lâadresse IP du sous-rĂ©seau. 3. Dans la zone Masque, tapez le masque de sous-rĂ©seau qui dĂ©crit la plage
dâadresses du sous-rĂ©seau. 4. SĂ©lectionnez le site Ă associer Ă ce sous-rĂ©seau, puis cliquez sur OK.
Procédure de création de liens de sites Pour créer un lien de sites, exécutez les opérations suivantes :
1. Dans Sites et Services Active Directory, développez Sites, puis Inter-Site Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole quâutilisera le lien, puis cliquez sur Lien vers un nouveau site. 2. Dans la zone Nom, nommez le lien. 3. Cliquez sur les sites Ă connecter, cliquez sur Ajouter, puis sur OK.
7.3. Gestion de la topologie de site
Pour satisfaire les besoins en rĂ©plication dâune organisation, vous pouvez ĂȘtre amenĂ© Ă exĂ©cuter manuellement certaines tĂąches de gestion de la topologie de site. Ces tĂąches comprennent lâidentification des serveurs de tĂȘte de pont
privilĂ©giĂ©s, lâactualisation de la topologie de rĂ©plication et lâimposition de la rĂ©plication.
7.3.1. Serveur de tĂȘte de pont
Le serveur de tĂȘte de pont est un contrĂŽleur de domaine que vous dĂ©signez pour envoyer et recevoir les donnĂ©es rĂ©pliquĂ©es dans chaque site. Celui du site
dâorigine collecte toutes les modifications de la rĂ©plication et les envoie Ă celui du site destinataire, qui rĂ©plique les modifications dans tous les contrĂŽleurs de
domaine du site. Vous devez dĂ©signer un serveur de tĂȘte de pont pour chaque partition du site. Par exemple, un contrĂŽleur de domaine peut ĂȘtre serveur de tĂȘte de pont pour
les partitions de configuration et de schĂ©ma de lâensemble de la forĂȘt, ainsi que pour la partition de domaine du domaine quâil reprĂ©sente. Si le site contient
dâautres domaines, vous devez affecter un serveur de tĂȘte de pont Ă chacun
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 76 - 86
dâeux.
Le serveur de tĂȘte de pont de chaque site est sĂ©lectionnĂ© automatiquement, ou vous pouvez dĂ©signer une liste de serveurs de tĂȘte de pont privilĂ©giĂ©s. Pour
garantir la fiabilitĂ© des mises Ă jour de lâannuaire, un serveur de tĂȘte de pont privilĂ©giĂ© doit bĂ©nĂ©ficier dâune puissance de traitement et dâune largeur de bande suffisantes pour compresser, envoyer, recevoir et dĂ©compresser les donnĂ©es de
la rĂ©plication avec efficacitĂ©. Active Directory utilise un seul serveur de tĂȘte de pont Ă la fois. Si le premier serveur privilĂ©giĂ© devient indisponible, le prochain
dans la liste des privilégiés est utilisé.
7.3.2. Générateur de topologie inter-sites
Le générateur de topologie inter-sites est un processus Active Directory qui
dĂ©finit la rĂ©plication entre les sites dâun rĂ©seau. Dans chaque site, un contrĂŽleur de domaine est automatiquement dĂ©signĂ© pour ĂȘtre le gĂ©nĂ©rateur de topologie inter-sites. Cette action Ă©tant effectuĂ©e par le gĂ©nĂ©rateur, vous nâavez pas Ă
intervenir pour dĂ©terminer la topologie de la rĂ©plication et les rĂŽles des serveurs de tĂȘte de pont.
Le contrÎleur de domaine qui joue le rÎle de générateur de topologie inter-sites exécute deux fonctions :
Il sélectionne automatiquement un ou plusieurs contrÎleurs de domaine
pour devenir des serveurs de tĂȘte de pont. Ainsi, si lâun dâeux devient indisponible, il en sĂ©lectionne automatiquement un autre, si possible.
Il exĂ©cute le vĂ©rificateur KCC pour dĂ©terminer la topologie de rĂ©plication et les objets de connexion rĂ©sultants que le serveur de tĂȘte de pont peut utiliser pour communiquer avec les serveurs de tĂȘte de pont des autres
sites. Pour crĂ©er un serveur de tĂȘte de pont, exĂ©cutez les opĂ©rations suivantes :
1. Dans Sites et services Active Directory, dĂ©veloppez Sites, puis le site contenant le serveur Ă configurer, dĂ©veloppez Servers, et dans lâarborescence
de la console, cliquez avec le bouton droit sur le contrĂŽleur de domaine qui doit devenir un serveur de tĂȘte de pont privilĂ©giĂ©, puis cliquez sur PropriĂ©tĂ©s. 2. Choisissez le ou les transports inter-sites pour lesquels ce serveur deviendra
serveur de tĂȘte de pont privilĂ©giĂ©, cliquez sur Ajouter, puis sur OK.
8. Implémentation du placement des contrÎleurs de domaine
Un contrĂŽleur de domaine est un ordinateur qui exĂ©cute Microsoft Windows Server. 2003 et qui stocke un rĂ©plica de lâannuaire du domaine. La possession de
plusieurs contrĂŽleurs de domaine dans un domaine permet de bĂ©nĂ©ficier de la tolĂ©rance de pannes. Si un contrĂŽleur de domaine est hors connexion, un autre contrĂŽleur peut assurer toutes les fonctions requises, comme lâenregistrement de
modifications dans le service dâannuaire Active Directory. Les contrĂŽleurs de domaine gĂšrent tous les aspects dâinteraction dans le domaine des utilisateurs,
comme la localisation dâobjets Active Directory et la validation des tentatives dâouverture de session par les utilisateurs. Comme un domaine peut contenir un ou plusieurs contrĂŽleurs de domaine, et
que ceux-ci exĂ©cutent diverses fonctions clĂ©s, le placement de contrĂŽleurs de domaine est une tĂąche importante dans lâimplĂ©mentation dâActive Directory.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 77 - 86
8.1. Implémentation du catalogue global dans Active Directory
Le catalogue global est le rĂ©fĂ©rentiel central des informations concernant les objets dâune forĂȘt dans Active Directory. La mise en cache de lâappartenance au
groupe universel dans Windows Server 2003 réduit le trafic et améliore le temps de connexion entre des liaisons lentes de réseau étendu (WAN, Wide Area
Network). Vous devez comprendre les serveurs de catalogue global et la mise en cache de lâappartenance au groupe universel pour planifier le placement de contrĂŽleurs de domaine dans votre rĂ©seau.
Un catalogue global rĂ©sout les noms dâutilisateur principal lorsque le contrĂŽleur
de domaine procĂ©dant Ă lâauthentification ne connaĂźt pas le compte. Par exemple, si un compte dâutilisateur est situĂ© dans exemple1.nwtraders.msft, et que
lâutilisateur dĂ©cide dâouvrir une session sous le nom dâutilisateur principal [email protected] Ă partir dâun ordinateur situĂ© dans exemple2.nwtraders.msft, le contrĂŽleur de domaine situĂ© dans
exemple2.nwtraders.msft ne pourra pas trouver le compte dâutilisateur ; il contactera alors un serveur de catalogue global pour terminer le processus de
connexion. Un catalogue global fournit des informations concernant lâappartenance au groupe universel dans un environnement Ă plusieurs domaines. Contrairement aux appartenances au groupe global, quâActive
Directory stocke dans chaque domaine, les appartenances au groupe universel ne sont stockĂ©es que dans un catalogue global. Par exemple, lorsquâun utilisateur
appartenant Ă un groupe universel se connecte Ă un domaine dĂ©fini selon le niveau fonctionnel de domaine de Windows 2000 natif ou de Windows Server 2003, le catalogue global fournit des informations de lâappartenance au groupe
universel concernant le compte dâutilisateur.
Si un catalogue global nâest pas disponible lorsquâun utilisateur ouvre une session sur un domaine sâexĂ©cutant dans le niveau fonctionnel de domaine de Windows 2000 natif ou Windows Server 2003, le contrĂŽleur de domaine qui traite la
demande de connexion de lâutilisateur refuse la requĂȘte, et lâutilisateur ne peut pas ouvrir de session.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 78 - 86
8.2. DĂ©termination du placement de contrĂŽleurs de domaine dans Active Directory
8.2.1. Active Directory Sizer
Active Directory Sizer (ADSizer.exe) vous aide à estimer la configuration matérielle requise pour déployer Active Directory en fonction du profil de
lâorganisation, des informations sur le domaine et de la topologie du site. Vous utilisez Active Directory Sizer pour obtenir des estimations du nombre de :
ContrĂŽleurs de domaine par domaine par site.
Serveurs de catalogue global par domaine par site. Processeurs par ordinateur, ainsi que leur type. Disques requis pour stocker les données Active Directory.
Active Directory Sizer fournit Ă©galement des estimations approximatives pour les
besoins ou paramÚtres suivants : Quantité de mémoire Configuration réseau requise
Taille de la base de données du domaine Taille de la base de données du catalogue global
Bande passante requise pour la réplication inter-sites
Lorsque vous exécutez Active Directory Sizer, il collecte les informations suivantes sur chaque domaine afin de vous permettre de placer les contrÎleurs
de domaine avec prĂ©cision : Nombre dâutilisateurs Attributs par utilisateur
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 79 - 86
Groupes auxquels un utilisateur appartient
Taux dâouverture de sessions durant les heures de pointe Taux dâexpiration des mots de passe
Nombre dâordinateurs Limite dâutilisation des processeurs Administration
Informations concernant DNS (Domain Name System)
9. Planification du placement des contrĂŽleurs de domaine
Avant de planifier le placement des contrĂŽleurs de domaine, vous devez concevoir et dĂ©ployer la topologie dâun site Active Directory. Pour Windows Server 2003, le service DNS a Ă©tĂ© soigneusement intĂ©grĂ© dans la conception et
lâimplĂ©mentation dâActive Directory. Par consĂ©quent, lorsque vous dĂ©ployez ensemble Active Directory et Windows Server 2003, vous devez Ă©galement
planifier le placement des serveurs DNS intégrés à Active Directory. Appliquez les instructions suivantes pour placer des contrÎleurs de domaine :
Placez un contrĂŽleur de domaine dans un site si : âą Le site comporte de nombreux utilisateurs. Lorsque ces utilisateurs ouvrent une
session, ils peuvent contacter un contrĂŽleur de domaine local pour authentification au lieu de contacter un contrĂŽleur de domaine distant par le biais dâune liaison WAN.
âą Des applications orientĂ©es site seront utilisĂ©es dans le site. Ces applications peuvent ainsi accĂ©der Ă un compte dâutilisateur et Ă dâautres informations Ă
partir dâun contrĂŽleur de domaine local. âą Le site contient des ressources de serveur auxquelles les utilisateurs peuvent accĂ©der lorsque la liaison avec le WAN nâest pas disponible. Si la liaison avec le
WAN nâest pas disponible et quâaucun contrĂŽleur de domaine local nâest disponible pour traiter les demandes de connexion, les utilisateurs ouvrent une
session Ă lâaide dâinformations de connexion en mĂ©moire cache. Ils ne peuvent accĂ©der Ă des ressources sur un autre ordinateur que celui sur lequel ils sont connectĂ©s. Si les utilisateurs doivent pouvoir accĂ©der Ă des ressources sur
dâautres ordinateurs sur le rĂ©seau, configurez le contrĂŽleur de domaine comme serveur de catalogue global. Ou bien activez au minimum la mise en cache de
lâappartenance au groupe universel pour le site.
Ne placez pas un contrÎleur de domaine dans un site dont la sécurité physique ou la maintenance est inadéquate. Si un intrus peut accéde physiquement à un serveur, il lui est beaucoup plus facile de contourner
les paramĂštres de sĂ©curitĂ© et dâaccĂ©der aux donnĂ©es critiques de lâentreprise ou de les modifier. En lâabsence de personnel assurant la
maintenance des ordinateurs locaux, une panne matérielle ou logicielle sur un contrÎleur de domaine peut interrompre le service pendant une durée prohibitive.
DĂ©terminez le nombre de contrĂŽleurs de domaine en fonction du nombre dâutilisateurs et des performances requises. Utilisez Active Directory Sizer
pour dĂ©terminer un processeur spĂ©cifique, la taille de la mĂ©moire et les valeurs du rĂ©seau. Tenez compte Ă©galement des besoins en termes de tolĂ©rance de pannes. Si Active Directory Sizer ne recommande quâun seul
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 80 - 86
contrĂŽleur de domaine pour un site, mais que les utilisateurs doivent
pouvoir ouvrir une session et accéder à des ressources locales basées sur un serveur en cas de rupture de liaison avec un WAN, envisagez de placer
un second contrÎleur de domaine dans le site afin de répondre à vos besoins en termes de tolérance de pannes.
10. Maintenance d'Active Directory Les informations du service dâannuaire Active DirectoryÂź dans Microsoft Windows Server. 2003 sont stockĂ©es dans une base de donnĂ©es transactionnelle,
laquelle facilite le maintien de lâintĂ©gritĂ© des donnĂ©es en cas de dĂ©faillance. Le terme « dĂ©faillance » fait rĂ©fĂ©rence Ă toute panne matĂ©rielle, panne logicielle ou
perte complĂšte du systĂšme (par exemple, dans le cas dâun incendie). La base de donnĂ©es Active Directory utilise des fichiers journaux de transactions
pour rĂ©cupĂ©rer les donnĂ©es corrompues dans une copie locale de la base de donnĂ©es. AprĂšs rĂ©cupĂ©ration des donnĂ©es, Active Directory utilise la rĂ©plication pour obtenir des donnĂ©es dâautres contrĂŽleurs du domaine. Les interactions entre
les composants Active Directory servent de base à Active Directory pour rassembler et sauvegarder des informations sur les données corrompues.
Lorsque les contrÎleurs de domaine ne fonctionnent pas en raison de problÚmes matériels ou logiciels, les utilisateurs risquent de ne pas pouvoir accéder aux ressources ou de ne pas pouvoir se connecter au réseau.
10.1. Base de données Active Directory et fichiers journaux
Le moteur de base de donnĂ©es dâActive Directory, ESE, stocke tous les objets
dâActive Directory. Le moteur ESE utilise des transactions et des fichiers journaux pour garantir lâintĂ©gritĂ© de la base de donnĂ©es Active Directory.
Active Directory inclut les fichiers suivants :
Ntds.dit. La base de donnĂ©es Active Directory qui stocke tous les objets dâActive Directory au niveau du contrĂŽleur de domaine. Lâextension .dit fait
rĂ©fĂ©rence Ă lâarborescence des informations de lâannuaire. Son emplacement par dĂ©faut est le dossier %systemroot%\NTDS. Active Directory enregistre chaque transaction dans un ou plusieurs fichiers
journaux associés au fichier Ntds.dit.
Edb*.log. Le fichier journal des transactions dont le nom par dĂ©faut est Edb.log et dâune capacitĂ© de 10 mĂ©gaoctets (Mo). Lorsque le fichier Edb.log est saturĂ©, Active Directory crĂ©e un autre fichier dĂ©nommĂ©
Edbnnnnn.log (oĂč nnnnn correspond Ă lâordre chronologique de crĂ©ation).
Edb.chk. Un fichier de points de vérification que la base de données utilise pour garder une trace des données qui ne sont pas encore écrites dans le
fichier de base de données Active Directory. Le fichier de points de vérification est un pointeur qui conserve des données de statut entre la mémoire et le fichier de la base de données sur le disque. Il indique le
point de dĂ©but Ă partir duquel les informations doivent ĂȘtre rĂ©cupĂ©rĂ©es en cas de dĂ©faillance.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 81 - 86
Res1.log et Res2.log. Les fichiers journaux réservés de transactions. La
quantitĂ© dâespace disque rĂ©servĂ©e sur un disque ou dans un dossier pour les journaux de transactions est de 20 Mo. Cet espace disque rĂ©servĂ© offre
aux fichiers journaux de transactions une marge suffisante de fermeture si le reste de lâespace disque est utilisĂ©.
10.2. Déplacement et défragmentation de la base de données Active Directory
Au fil du temps, la fragmentation de la base de données se produit au fur et à mesure que des enregistrements sont ajoutés ou supprimés. Lorsque les
enregistrements sont fragmentĂ©s, lâordinateur doit parcourir la base de donnĂ©es Active Directory pour rechercher tous les enregistrements, et ce, Ă chaque fois
que cette derniÚre est ouverte. Cette recherche ralentit le temps de réponse de la base de données. La fragmentation diminue également les performances
générales des opérations de la base de données Active Directory. Pour surmonter les problÚmes liés à la fragmentation, vous devez défragmenter la base de données Active Directory. La défragmentation est le processus de
rĂ©Ă©criture des enregistrements dans la base de donnĂ©es Active Directory dans des secteurs contigus afin dâaccroĂźtre la vitesse dâaccĂšs et dâextraction. Lorsque
les enregistrements sont mis à jour, Active Directory enregistre ces mises à jour dans le plus large espace contigu de la base de données Active Directory. Vous déplacez une base de données vers un nouvel emplacement lorsque vous
défragmentez cette derniÚre. Déplacer la base de données ne supprimera pas la base de données originale. Vous pouvez donc utiliser la base de données
originale si la base de donnĂ©es dĂ©fragmentĂ©e ne fonctionne pas ou est corrompue. De mĂȘme, si votre espace disque est limitĂ©, vous pouvez ajouter un autre disque dur pour y placer la base de donnĂ©es.
Enfin, vous pouvez dĂ©placer les fichiers de la base de donnĂ©es en vue dâeffectuer une opĂ©ration de maintenance matĂ©rielle. Si le disque de stockage des fichiers
doit ĂȘtre mis Ă niveau ou doit subir une opĂ©ration de maintenance, vous pouvez dĂ©placer les fichiers vers un autre emplacement de façon temporaire ou permanente.
Pour déplacer la base de données Active Directory, exécutez les étapes suivantes
: 1. Par prĂ©caution, sauvegardez Active Directory. Vous pouvez sauvegarder Active Directory en ligne si, dans lâAssistant de
sauvegarde, vous choisissez de tout sauvegarder sur lâordinateur ou de ne sauvegarder que les donnĂ©es dâĂ©tat systĂšme.
2. RedĂ©marrez le contrĂŽleur de domaine, appuyez sur F8 pour afficher le menu Menu dâoptions avancĂ©es de Windows, sĂ©lectionnez Mode restauration Active Directory, puis appuyez sur ENTRĂE.
3. Ouvrez une session en utilisant le compte dâadministrateur et le mot de passe dĂ©fini pour le compte Administrateur local dans le Gestionnaire de comptes de
sĂ©curitĂ© (SAM, Security Accounts Manager). 4. Ă lâinvite de commande, tapez ntdsutil et appuyez sur ENTRĂE.
5. Tapez files est appuyez sur ENTRĂE. 6. Ă lâinvite files, et aprĂšs avoir dĂ©fini un emplacement offrant suffisamment
dâespace pour y stocker la base de donnĂ©es, tapez move DB to <drive>:\<directory> (oĂč <drive> et <directory> correspondent au chemin
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 82 - 86
dâaccĂšs sur lâordinateur local oĂč vous voulez placer la base de donnĂ©es), puis
appuyez sur ENTRĂE. 7. Tapez quit et appuyez sur ENTRĂE. Pour revenir Ă lâinvite, tapez de nouveau
quit. 8. Redémarrez le contrÎleur de domaine.
Pour défragmenter une base de données Active Directory hors connexion, exécutez les étapes suivantes :
1. Sauvegardez les donnĂ©es dâĂ©tat systĂšme. 2. RedĂ©marrez le contrĂŽleur de domaine, appuyez sur F8 pour afficher le menu
Menu dâoptions avancĂ©es de Windows, sĂ©lectionnez Mode restauration Active Directory, puis appuyez sur ENTRĂE.
3. Ouvrez une session en utilisant le compte Administrateur et le mot de passe défini pour le compte Administrateur local dans le Gestionnaire des comptes de sécurité (SAM) hors connexion.
4. Ă lâinvite de commande, tapez ntdsutil et appuyez sur ENTRĂE. 5. Tapez files est appuyez sur ENTRĂE.
6. Ă lâinvite files, tapez compact to <drive>:\<directory> (oĂč <drive> et <directory> dĂ©finissent le chemin dâaccĂšs) et appuyez sur ENTRĂE.
Cette Ă©tape permet de dĂ©finir un emplacement avec suffisamment dâespace disque libre pour y stocker la base de donnĂ©es compressĂ©e. Si le chemin dâaccĂšs contient des espaces, il doit ĂȘtre mis entre guillemets (par
exemple, « C:\Nouveau dossier »). Une nouvelle base de donnĂ©es Ntds.dit est crĂ©Ă©e Ă lâemplacement spĂ©cifiĂ©.
7. Tapez quit et appuyez sur ENTRĂE. Pour revenir Ă lâinvite, tapez de nouveau quit. 8. Remplacez lâancien fichier Ntds.dit par le nouveau fichier dans le chemin
dâaccĂšs de la base de donnĂ©es Active Directory. 9. RedĂ©marrez le contrĂŽleur de domaine.
10.3. Sauvegarde dâActive Directory
La sauvegarde dâActive Directory est essentielle pour la maintenance de la base
de donnĂ©es Active Directory. Vous pouvez sauvegarder Active Directory en utilisant lâinterface utilisateur graphique et les outils de ligne de commande de la
famille Windows Server 2003. Sauvegarder frĂ©quemment les donnĂ©es dâĂ©tat systĂšme des contrĂŽleurs de domaine vous permet de restaurer des donnĂ©es toujours actualisĂ©es. En
définissant un programme de sauvegarde réguliÚre, vous avez plus de chance de pouvoir récupérer toutes les données en cas de nécessité.
Pour garantir une bonne sauvegarde, englobant au moins les donnĂ©es dâĂ©tat systĂšme et le contenu du disque systĂšme, vous devez connaĂźtre la durĂ©e de vie des objets de dĂ©sactivation. Par dĂ©faut, les objets de dĂ©sactivation ont une durĂ©e
de vie de 60 jours. Toute sauvegarde ultĂ©rieure Ă 60 jours nâest pas une sauvegarde correcte. Planifiez la sauvegarde dâau moins deux contrĂŽleurs de
domaine dans chaque domaine, dont lâun est dĂ©tenteur du rĂŽle de maĂźtre des opĂ©rations. Pour chaque domaine, vous devez conserver au moins une sauvegarde pour permettre une restauration forcĂ©e des donnĂ©es en cas de
besoin. Pour sauvegarder les donnĂ©es dâĂ©tat systĂšme, exĂ©cutez les Ă©tapes suivantes :
1. Dans le menu DĂ©marrer, pointez sur Tous les programmes, sur
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 83 - 86
Accessoires et sur Outils systĂšme, puis cliquez sur Utilitaire de sauvegarde.
2. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 3. Dans la page Sauvegarder ou Restaurer, cliquez sur Sauvegarder des
fichiers et des paramĂštres, puis sur Suivant. 4. Dans la page Que voulez-vous sauvegarder ?, cliquez sur Me laisser choisir les fichiers Ă sauvegarder, puis sur Suivant.
5. Dans la page ĂlĂ©ments Ă sauvegarder, dĂ©veloppez Poste de travail, activez la case Ă cocher System State, puis cliquez sur Suivant.
6. Dans la page Type, nom et destination de la sauvegarde, cliquez sur Parcourir. SĂ©lectionnez ensuite un emplacement pour la sauvegarde et cliquez sur Enregistrer, puis sur Suivant.
7. Dans la page Fin de lâAssistant Sauvegarde ou Restauration, cliquez sur Terminer.
8. Dans la page Sauvegarde en cours, cliquez sur Fermer.
10.4. Restauration dâActive Directory
Dans Windows Server 2003, vous pouvez restaurer la base de données Active Directory si cette derniÚre a été corrompue ou détruite suite à une défaillance
matérielle ou logicielle. Vous devez restaurer la base de données Active Directory lorsque des objets dans Active Directory ont été modifiés ou supprimés. Vous pouvez restaurer des données répliquées dans un contrÎleur de domaine de
plusieurs façons. Vous pouvez réinstaller le contrÎleur de domaine, puis laisser le processus de réplication normale alimenter le nouveau contrÎleur de domaine
avec les donnĂ©es de ses rĂ©plicas. Vous pouvez Ă©galement utiliser lâUtilitaire de sauvegarde pour restaurer des donnĂ©es rĂ©pliquĂ©es Ă partir dâun support de sauvegarde sans rĂ©installer le systĂšme dâexploitation ou reconfigurer le
contrĂŽleur de domaine.
Vous pouvez utiliser lâune des trois mĂ©thodes suivantes de restauration Active Directory Ă partir du support de sauvegarde : restauration principale, normale ou forcĂ©e.
! Restauration principale. Cette mĂ©thode de restauration reconstruit le premier contrĂŽleur de domaine dans un domaine lorsquâil nâest pas possible de
reconstruire le domaine dâune autre façon. Effectuez une restauration principale uniquement lorsque tous les contrĂŽleurs du domaine sont perdus et que vous
souhaitez reconstruire le domaine Ă partir de la sauvegarde. ! Restauration normale. Cette mĂ©thode de restauration rĂ©tablit les donnĂ©es Active Directory dans lâĂ©tat oĂč elles Ă©taient avant la sauvegarde, puis met Ă jour
les données par le biais du processus de réplication normale. Effectuez une restauration normale uniquement lorsque vous souhaitez restaurer un seul
contrÎleur de domaine à son état précédent. ! Restauration forcée. Vous effectuez cette restauration en tandem avec la restauration normale. Une restauration forcée balise des données spécifiques
comme donnĂ©es actuelles et empĂȘche la rĂ©plication dâĂ©craser ces donnĂ©es. Les donnĂ©es forcĂ©es sont ensuite rĂ©pliquĂ©es dans tout le domaine.
Effectuez une restauration forcée pour restaurer des objets individuels dans un domaine comportant plusieurs contrÎleurs de domaine. Lorsque vous effectuez une restauration forcée, vous perdez tous les changements apportés aprÚs la
sauvegarde aux objets de la restauration.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 84 - 86
Pour effectuer une restauration principale dâActive Directory, exĂ©cutez les Ă©tapes
suivantes : 1. Redémarrer votre contrÎleur de domaine en Mode restauration
Active Directory. 2. DĂ©marrez lâUtilitaire de sauvegarde. 3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur mode
avancĂ©. 4. Dans la page Utilitaire Sauvegarde en mode avancĂ©, sous lâonglet
Restaurer et gérer le média, sélectionnez les éléments à restaurer, puis cliquez sur Démarrer. 5. Dans la boßte de dialogue Avertissement, cliquez sur OK.
6. Dans la boßte de dialogue Confirmation de restauration, cliquez sur Avancé.
7. Dans la boßte de dialogue Options de restauration avancées, cliquez sur Lors de la restauration de jeux de données répliqués, marquer les données restaurées en tant que données principales pour tous les
réplicas, puis cliquez deux fois sur OK. 8. Dans la boßte de dialogue Restauration en cours, cliquez sur Fermer.
9. Dans la boĂźte de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Service d'annuiare Active Directory
OFPPT @
Document Millésime Page
Service d annuaire Active
Directory septembre 10 85 - 86
Pour effectuer une restauration normale dâActive Directory, exĂ©cutez les Ă©tapes suivantes :
1. RedĂ©marrer votre contrĂŽleur de domaine en Mode restauration Active Directory. 2. DĂ©marrez lâUtilitaire de sauvegarde.
3. Dans la page Assistant Sauvegarde ou Restauration, cliquez sur Suivant. 4. Dans la page Sauvegarder ou restaurer, cliquez sur Restaurer des
fichiers et des paramĂštres. 5. Dans la page Que voulez-vous restaurer, sous ĂlĂ©ments Ă restaurer, dĂ©veloppez la liste, activez la case Ă cocher System State, puis cliquez sur
Suivant. 6. Dans la page Fin de lâAssistant Sauvegarde ou Restauration, cliquez sur
Terminer. 7. Dans la boĂźte de dialogue Avertissement, cliquez sur OK. 8. Dans la boĂźte de dialogue Restauration en cours, cliquez sur Fermer.
9. Dans la boĂźte de dialogue Utilitaire de sauvegarde, cliquez sur Oui.
Pour effectuer une restauration forcée, exécutez les étapes suivantes : 1. Redémarrer votre contrÎleur de domaine en Mode restauration
Active Directory. 2. Restaurez Active Directory dans son emplacement dâorigine. 3. Si vous devez effectuer une restauration forcĂ©e au niveau du dossier SYSVOL,
restaurez Active Directory dans un autre emplacement par lâintermĂ©diaire de lâUtilitaire de sauvegarde. Surtout, ne redĂ©marrez pas votre ordinateur aprĂšs la
restauration, mĂȘme si un message vous y invite. Si vous nâeffectuez pas une restauration forcĂ©e au niveau du dossier SYSVOL, passez Ă lâĂ©tape 4. 4. Ă lâinvite, exĂ©cutez Ntdsutil.exe.
5. Ă lâinvite ntdsutil, tapez authoritative restore. 6. Ă lâinvite authoritative restore, tapez restore subtree
nom_unique_de_lâobjet (oĂč nom_unique_de_lâobjet correspond au nom unique, ou chemin dâaccĂšs, de lâobjet). Par exemple, pour restaurer une unitĂ© dâorganisation nommĂ©e formation, prĂ©sente directement sous le domaine
gsimaroc.com, tapez restore subtree OU=formation,DC=gsimaroc,DC=com 7. Tapez quit et appuyez sur ENTRĂE.
8. Tapez de nouveau quit, puis appuyez sur ENTRĂE pour quitter ntdsutil. 9. RedĂ©marrez le contrĂŽleur de domaine. 10. AprĂšs publication du dossier SYSVOL par le systĂšme FRS, copiez le dossier
SYSVOL et uniquement les dossiers de la stratégie de groupe correspondant aux objets de la stratégie de groupe restaurés depuis le nouvel emplacement vers les
emplacements existants. 11. Pour vĂ©rifier que lâopĂ©ration de copie sâest bien dĂ©roulĂ©e, examinez le contenu du dossier SYSVOL\Domaine, oĂč Domaine correspond au nom de
domaine.