P. 1
Architecture Active Directory (FR)

Architecture Active Directory (FR)

4.43

|Views: 4.543|Likes:
Publicado porace_anas

More info:

Published by: ace_anas on Apr 01, 2008
Direitos Autorais:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/07/2013

pdf

text

original

Sections

Architecture Active Directory

Sur cette page Architecture Active Directory Résumé Introduction Avantages offerts par Active Directory Service d'annuaire Active Directory Intégration de DNS dans Active Directory DNS et Internet Intégration des espaces de noms DNS et Active Directory Active Directory et l'espace de noms DNS global Enregistrements de ressources SRV et mises à jour dynamiques Création de contrôleurs de domaine à l'aide de Active Directory Catalogue global Rôles de maître d'opérations

Architecture Active Directory
Système d'exploitation Livre blanc

Résumé
Pour pouvoir utiliser le système d'exploitation Microsoft Windows 2000 Server le plus efficacement possible, vous devez d'abord comprendre ce qu'est le service d'annuaire Active Directory™. Ce nouveau service Windows 2000 tient un rôle majeur dans la mise en œuvre du réseau de votre organisation et, par conséquent, dans la réalisation de vos objectifs professionnels. Ce document présente Active Directory aux administrateurs réseau, expose son architecture et décrit son mode de fonctionnement avec les applications et les autres services d'annuaire. Ce document s'appuie sur les informations disponibles à l'heure du lancement de la version Bêta 3 de Windows 2000. Les informations fournies pourront faire l'objet de modifications jusqu'au lancement de la version finale de Windows 2000 Server.

Introduction
La compréhension du service d'annuaire Active Directory™ est la première étape qui vous permet de comprendre le fonctionnement de Windows 2000 et la manière dont ce système d'exploitation peut vous aider à atteindre les objectifs de votre entreprise. Ce document s'intéresse à Active Directory sous trois perspectives différentes :

Stockage. Active Directory, le service d'annuaire de Windows 2000 Server, enregistre sous la forme de hiérarchies

les informations relatives aux objets du réseau et met ces informations à la disposition des administrateurs, des utilisateurs et des applications. La première section de ce document donne la définition d'un service d'annuaire, décrit l'intégration du service Active Directory avec le système DNS (Domain Name System) Internet et explique

l'actualisation de Active Directory lorsqu'un serveur est désigné en tant que contrôleur de domaine1.

Structure. Active Directory permet d'organiser le réseau et ses objets à l'aide d'entités telles que les domaines, les

arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites. La deuxième section de ce document décrit la structure et la fonction de ces composants Active Directory, ainsi que la manière dont cette architecture permet aux administrateurs de gérer le réseau pour que les utilisateurs puissent atteindre leurs objectifs professionnels.

Intercommunications. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, il

peut fonctionner avec d'autres services d'annuaire. De même, les applications tierces qui prennent en charge ces protocoles peuvent accéder au service. La dernière section de ce document décrit les relations entre Active Directory et de nombreuses autres technologies.

Avantages offerts par Active Directory
L'introduction de Active Directory dans le système d'exploitation Windows 2000 apporte les avantages suivants :

Intégration avec DNS. Active Directory utilise le système DNS (Domain Name System). DNS est un service Internet qui convertit les noms d'ordinateur lisibles par les utilisateurs (comme

standard

mon_ordinateur.microsoft.com) en adresses IP (Internet Protocol) numériques lisibles par les ordinateurs (quatre numéros séparés par des points). Ainsi, des processus s'exécutant sur des ordinateurs inscrits dans des réseaux TCP/IP peuvent s'identifier et se connecter entre eux.

Flexibilité des requêtes. Les utilisateurs et les administrateurs peuvent utiliser la commande Rechercher du

menu Démarrer, l'icône Favoris réseau sur le bureau ou le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory pour rechercher rapidement un objet sur le réseau sur la base de ses propriétés. Par exemple, vous pouvez effectuer la recherche sur le prénom, le nom, le nom de messagerie, l'emplacement du bureau ou d'autres propriétés du compte d'utilisateur. L'utilisation du catalogue global optimise la recherche d'informations.

Capacités d'extension. Active Directory est extensible. En d'autres termes, les administrateurs peuvent ajouter

de nouvelles classes d'objets au schéma et de nouveaux attributs aux classes d'objets existantes. Le schéma contient une définition de toutes les classes d'objets et de leurs attributs, qui peuvent être enregistrés dans l'annuaire. Par exemple, vous pouvez ajouter un attribut Autorisation d'achat à l'objet Utilisateur, puis enregistrer la limite d'autorisation d'achat de chaque utilisateur dans son compte d'utilisateur.

Administration par stratégie. Les stratégies de groupe sont des paramètres de configuration appliqués aux

ordinateurs ou aux utilisateurs lors de leur initialisation. Tous les paramètres de stratégie de groupe sont contenus dans les objets Stratégie de groupe (GPO) appliqués aux sites, aux domaines ou aux unités d'organisation Active Directory. Les paramètres GPO définissent l'accès aux objets d'annuaire et aux ressources de domaine, les ressources de domaine (telles que les applications) mises à la disposition des utilisateurs et la configuration de ces ressources.

Adaptabilité. Active Directory inclut un ou plusieurs domaines, possédant chacun un ou plusieurs contrôleurs de

domaine, vous permettant d'adapter l'annuaire aux conditions requises par le réseau. Plusieurs domaines peuvent être associés dans une arborescence de domaines et plusieurs arborescences de domaines peuvent être regroupées dans une forêt. La structure la plus simple possible, un réseau à un seul domaine, est à la fois un arborescence unique et une forêt unique.

Réplication d'informations. Active Directory utilise la réplication multimaître, qui vous permet de mettre à jour

l'annuaire sur n'importe quel contrôleur de domaine. Le déploiement de plusieurs contrôleurs de domaine dans un seul domaine garantit la tolérance de pannes et l'équilibrage de charge. Si le fonctionnement d'un contrôleur de domaine au sein d'un domaine ralentit, s'arrête ou échoue, les autres contrôleurs du même domaine peuvent fournir

un accès à l'annuaire, étant donné qu'ils possèdent les mêmes données d'annuaire.

Sécurité des informations. La gestion de l'authentification des utilisateurs et le contrôle d'accès, tous deux

entièrement intégrés dans Active Directory, sont les fonctionnalités de sécurité clés du système d'exploitation Windows 2000. Active Directory centralise l'authentification. Le contrôle d'accès peut être défini non seulement sur chaque objet de l'annuaire, mais aussi sur chaque propriété de ces objets. En outre, Active Directory fournit à la fois le stockage et l'étendue d'application des stratégies de sécurité. (Pour plus d'informations sur l'authentification d'ouverture de session et le contrôle d'accès Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.)

Interopérabilité. Comme Active Directory s'appuie sur des protocoles d'accès aux annuaires standard, tels que

LDAP (Lightweight Directory Access Protocol), il peut fonctionner avec d'autres services d'annuaire utilisant ces protocoles. Plusieurs interfaces de programmation d'applications (API), telles que l'interface ADSI (Active Directory Service Interface), permettent aux développeurs d'accéder à ces protocoles.

À la fin de ce document, l'annexe A, "Outils", présente les outils logiciels qui vous permettent d'exécuter les tâches associées à Active Directory.

Service d'annuaire Active Directory
Avant d'aborder les sections principales de ce document (l'architecture de Active Directory et son interopérabilité), cette section préliminaire analyse rapidement Active Directory sous deux perspectives très différentes :

• •

La première considère Active Directory sous sa forme la plus abstraite, c'est-à-dire un espace de noms intégré au

système DNS (Domain Name System) Internet. La seconde consiste à voir Active Directory sous sa forme la plus banale, c'est-à-dire un logiciel qui transforme un

serveur en contrôleur de domaine.

Dans le contexte d'un réseau d'ordinateurs, un annuaire (aussi appelé un magasin de données) est une structure hiérarchique permettant de stocker les informations sur les objets du réseau. Ces objets comprennent les ressources partagées comme les serveurs, les volumes partagés et les imprimantes, les comptes d'utilisateur et d'ordinateur réseau, ainsi que les domaines, les applications, les services, les stratégies de sécurité et à peu près tout ce qui reste sur votre réseau. Les informations qu'un annuaire de réseau peut stocker pour un compte d'utilisateur sur un type particulier d'objet sont en général le nom d'utilisateur, le mot de passe, l'adresse de messagerie, le numéro de téléphone, etc. Un service d'annuaire diffère d'un annuaire en ce qu'il constitue à la fois la source d'informations et les services rendant ces informations disponibles et exploitables aux administrateurs, aux utilisateurs, aux services réseau et aux applications. Idéalement, un service d'annuaire rend la topologie du réseau physique et les protocoles (formats de transmission des données entre deux périphériques) transparents, de sorte qu'un utilisateur peut accéder à toute ressource sans savoir où et comment elle est connectée physiquement. Pour reprendre l'exemple du compte d'utilisateur, c'est le service d'annuaire qui permet aux autres utilisateurs autorisés sur le même réseau d'accéder aux informations enregistrées (comme par exemple une adresse de messagerie) sur l'objet Compte d'utilisateur. Les services d'annuaire prennent en charge une large palette de fonctionnalités. Certains sont intégrés à un système d'exploitation et d'autres sont des applications, telles que les annuaires de messagerie. Les services d'annuaire de système d'exploitation, comme Active Directory, permettent de gérer des utilisateurs, des ordinateurs et des ressources partagées. Les services d'annuaire qui prennent en charge la messagerie électronique, comme Microsoft Exchange, permettent aux utilisateurs de rechercher d'autres utilisateurs et de leur envoyer des messages. Active Directory, le nouveau service d'annuaire central du système d'exploitation Windows 2000 Server, s'exécute uniquement sur des contrôleurs de domaine. Active Directory ne fournit pas seulement un emplacement de stockage de

données et de services permettant de rendre ces données accessibles , mais protège également les objets du réseau contre les accès non autorisés et réplique les objets pour éviter toute perte de données lors de l'échec d'un contrôleur de domaine.

Intégration de DNS dans Active Directory
Active Directory et DNS sont deux espaces de noms. Toute zone délimitée, au sein de laquelle un nom donné peut être résolu, constitue un espace de noms. La résolution de nom consiste à passer d'un nom à l'objet ou l'information que ce nom représente. Un annuaire téléphonique constitue un espace de noms dans lequel les noms des abonnés peuvent être résolus en numéros de téléphone. Le système de fichiers NTFS de Windows 2000 constitue un espace de noms dans lequel le nom d'un fichier peut être résolu pour obtenir le fichier lui-même.

DNS et Internet
Pour comprendre comment Windows 2000 utilise les espaces de noms Active Directory et DNS, il convient de s'intéresser à quelques éléments de base du système DNS lui-même et à ses relations avec Internet et le protocole TCP/IP. Internet est un réseau TCP/IP. Les protocoles de communication TCP/IP permettent de connecter des ordinateurs et de les laisser transmettre des données sur les réseaux. Chaque ordinateur sur Internet ou sur tout autre réseau TCP/IP (un réseau Windows, par exemple) possède une adresse IP. DNS localise les hôtes TCP/IP (ordinateurs) en traduisant les noms d'ordinateur que les utilisateurs comprennent en adresses IP compréhensibles pour les ordinateurs. Les adresses IP sur Internet sont gérées à l'aide de la base de données DNS distribuée globalement, mais DNS peut également être mis en œuvre localement pour gérer les adresses sur des réseaux TCP/IP privés. DNS, organisé en une arborescence de domaines, fait d'Internet un espace de noms unique. DNS possède plusieurs domaines de premier niveau, subdivisés en domaines de second niveau. La racine de l'espace de noms du domaine Internet est gérée par une autorité Internet (actuellement, InterNIC, le centre d'informations du réseau Internet) responsable de la délégation des responsabilités d'administration des domaines de premier niveau de l'espace de noms DNS et de l'enregistrement des noms de domaines de second niveau. Les domaines de premier niveau sont les domaines commerciaux (.com), éducatifs (.edu), gouvernementaux (.gov), etc. En-dehors des États-Unis, des codes de pays/région à deux lettres sont utilisés, comme par exemple .fr pour la France. Les domaines de second niveau représentent des espaces de noms auxquels sont inscrits de manière formelle des institutions (et des utilisateurs individuels) pour bénéficier d'une présence sur Internet. La figure 1 montre comment un réseau d'entreprise se connecte à l'espace de noms DNS d'Internet.

Figure 1. Intégration de l'espace de noms DNS d'Internet par Microsoft

Intégration des espaces de noms DNS et Active Directory
L'intégration de DNS et de Active Directory représente une fonctionnalité centrale de Windows 2000 Server. Les domaines DNS et Active Directory utilisent des noms de domaines identiques. Comme les deux espaces de noms partagent une structure de domaines identique, il est important de bien comprendre qu'ils ne représentent pas le même espace de noms. Chacun d'eux enregistre des données différentes et gère ainsi des objets différents. DNS stocke les enregistrements de ressources et de zones2 ; Active Directory stocke ses domaines et leurs objets. Les noms de domaines DNS s'appuient sur la structure de noms hiérarchique DNS, qui est une arborescence inversée : un domaine racine unique, sous lequel peuvent se trouver des domaines parents ou enfants (les branches et les feuilles). Par exemple, un nom de domaine Windows 2000 tel que enfant.parent.microsoft.com fait référence à un domaine nommé enfant, qui est un domaine enfant du domaine nommé parent, lui-même enfant du domaine microsoft.com. Chaque ordinateur d'un domaine DNS est identifié de manière unique par son nom de domaine complet. Le nom de domaine complet d'un ordinateur situé dans le domaine enfant.parent.microsoft.com est nom_de_l'ordinateur.enfant.parent.microsoft.com. Chaque domaine Windows 2000 possède un nom DNS (par exemple, NomOrg.com) et tous les ordinateurs Windows 2000 aussi (par exemple, ServeurCompt.NomOrg.com). Ainsi, les domaines et les ordinateurs sont tous représentés comme des objets Active Directory et comme des nœuds DNS (dans la hiérarchie DNS, un nœud représente un domaine ou un ordinateur). DNS et Active Directory utilisent tous deux une base de données pour la résolution des noms.

DNS est un service de résolution de noms. DNS résout les noms de domaines et les noms d'ordinateurs en

renvoyant les adresses IP via les demandes reçues par les serveurs DNS en tant que requêtes sur la base de données DNS. Plus précisément, les clients DNS envoient des requêtes de noms DNS à leur serveur DNS configuré. Le serveur DNS reçoit la requête de nom et la résout par l'intermédiaire de fichiers enregistrés localement ou consulte un autre

serveur DNS pour la résolution. DNS n'a pas besoin de Active Directory pour fonctionner.

Active Directory est un service d'annuaire. Il résout les noms d'objets de domaine en renvoyant des

enregistrements d'objets par l'intermédiaire de demandes de modification ou de recherche LDAP (Lightweight Directory Access Protocol)3 reçues par les contrôleurs de domaine et qui s'appliquent à la base de données Active Directory. En d'autres termes, les clients Active Directory utilisent LDAP pour envoyer des requêtes aux serveurs Active Directory. Pour localiser un tel serveur, un client Active Directory interroge DNS. Active Directory utilise donc DNS comme service localisateur, pour résoudre les noms de domaines, de sites et de services et renvoyer des adresses IP. Par exemple, pour se connecter à un domaine Active Directory, un client peut demander à son serveur DNS l'adresse IP du service LDAP en cours d'exécution sur un contrôleur de domaine d'un domaine spécifié. Active Directory requiert DNS.

Dans la pratique, les espaces de noms DNS et Active Directory d'un environnement Windows 2000 diffèrent dans la mesure où l'enregistrement d'hôte DNS représentant un ordinateur spécifique d'une zone DNS se trouve dans un autre espace de noms que l'objet Compte d'ordinateur du domaine Active Directory représentant le même ordinateur. En résumé, Active Directory est intégré à DNS de différentes manières :

Les domaines Active Directory et DNS sont organisés sous des structures hiérarchiques identiques. Bien

qu'ils diffèrent et soient mis en œuvre différemment pour des objectifs distincts, les espaces de noms d'une organisation pour ces deux types de domaines ont une structure identique. Par exemple, microsoft.com est à la fois un domaine DNS et un domaine Active Directory.

• •

Les zones DNS peuvent être enregistrées dans Active Directory. Si vous utilisez le service DNS de

Windows 2000, les zones principales peuvent être enregistrées dans Active Directory pour être répliquées vers d'autres contrôleurs de domaine Active Directory et pour assurer une meilleure sécurité du service DNS. Les clients Active Directory utilisent DNS pour localiser les contrôleurs de domaine. Dans le cas d'un

domaine particulier, les clients Active Directory demandent à leur serveur DNS les enregistrements de ressources spécifiques.

Active Directory et l'espace de noms DNS global
Active Directory a été conçu pour exister au sein de l'espace de noms DNS global d'Internet. Lorsqu'une organisation équipée du système d'exploitation réseau Windows 2000 Server souhaite être présente sur Internet, l'espace de noms Active Directory est conservé sous la forme d'un ou de plusieurs domaines hiérarchiques Windows 2000 au-dessous d'un domaine racine enregistré comme espace de noms DNS. (L'organisation peut choisir de ne pas faire partie de l'espace de noms DNS global d'Internet, mais le service DNS sera toujours requis pour localiser les ordinateurs Windows 2000.) Selon les conventions d'affectation des noms DNS, chaque partie séparée par un point (.) représente un nœud dans l'arborescence DNS et un nom de domaine Active Directory potentiel dans l'arborescence des domaines Windows 2000. Comme l'illustre la figure 2, la racine de l'arborescence DNS est un nœud de nom nul (""). La racine de l'espace de noms Active Directory (la racine de la forêt) n'a pas de parent et fournit le point d'entrée LDAP dans Active Directory.

Figure 2. Comparaison des racines des espaces de noms DNS et Active Directory

Enregistrements de ressources SRV et mises à jour dynamiques
DNS existe indépendamment de Active Directory, tandis que ce dernier a spécialement été conçu pour utiliser DNS. Pour qu'Active Directory fonctionne correctement, les serveurs DNS doivent prendre en charge les enregistrements des ressources SRV4 (Emplacement du service). Ces enregistrements mappent le nom d'un service en renvoyant le nom d'un serveur offrant ce service. Les clients et les contrôleurs de domaine Active Directory utilisent les enregistrements des ressources SRV pour déterminer les adresses IP des contrôleurs de domaine. Remarque Pour plus d'informations sur la planification du déploiement de serveurs DNS comme support de vos domaines Active Directory, et sur d'autres problèmes liés au déploiement, voir le Guide de planification dudéploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" de ce document. Les serveurs DNS d'un réseau Windows 2000 doivent prendre en charge les enregistrements de ressources SRV, mais Microsoft recommande également la prise en charge des mises à jour dynamiques DNS5. Celles-ci définissent un protocole de mise à jour d'un serveur DNS avec de nouvelles valeurs ou des valeurs modifiées. Sans ce protocole, les administrateurs doivent configurer manuellement les enregistrements créés par les contrôleurs de domaine et enregistrés par les serveurs DNS. Le nouveau service DNS de Windows 2000 prend en charge à la fois les enregistrements de ressources SRV et les mises à jour dynamiques. Si vous voulez utiliser un serveur DNS non Windows 2000, vous devez vous assurer qu'il prend en charge les enregistrements de ressources SRV ou effectuer sa mise à niveau vers une version qui les prend en charge. Dans le cas d'un serveur DNS hérité de ce type mais ne prenant pas en charge les mises à jour dynamiques, vous devez mettre les enregistrements de ressources à jour manuellement lorsque vous définissez un serveur Windows 2000 comme contrôleur de domaine. Pour ce faire, utilisez le fichier Netlogon.dns (situé dans le dossier %systemroot%\System32\config), créé par l'Assistant Installation de Active Directory.

Création de contrôleurs de domaine à l'aide de Active Directory

La mise en œuvre et l'administration d'un réseau sont des tâches concrètes. Pour comprendre comment Active Directory fonctionne dans la pratique, vous devez d'abord savoir que son installation sur un ordinateur Windows 2000 Server a pour effet de transformer le serveur en contrôleur de domaine. Un contrôleur de domaine ne peut héberger qu'un seul domaine. Plus précisément, il s'agit d'un ordinateur Windows 2000 Server, configuré à l'aide de l'Assistant Installation de Active Directory, qui installe et configure les composants permettant aux utilisateurs et aux ordinateurs du réseau d'utiliser les services d'annuaire Active Directory. Les contrôleurs de domaine enregistrent les données d'annuaire du domaine (comme les stratégies de sécurité système et les données d'authentification de l'utilisateur) et gèrent les interactions entre domaines, y compris les processus d'ouverture de session, d'authentification et de recherche dans l'annuaire. La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou l'ajout de contrôleurs de domaine supplémentaires à un domaine existant. Cette section décrit les contrôleurs de domaine Active Directory et leur rôle sur le réseau. Avec l'introduction de Active Directory, les contrôleurs de domaine Windows 2000 fonctionnent comme des homologues. Le concept de rôles supérieur-subordonné des contrôleurs de domaine principaux (PDC) et secondaires (BDC) Windows NT Server est donc abandonné. Les contrôleurs de domaine prennent en charge la réplication multimaître et répliquent les informations Active Directory entre tous les contrôleurs de domaine. L'introduction de la réplication multimaître permet aux administrateurs d'effectuer des mises à jour Active Directory sur n'importe quel contrôleur de domaine Windows 2000 du domaine. Dans Windows NT Server, seul le contrôleur PDC dispose d'une copie en lecture et écriture de l'annuaire ; il réplique ensuite une copie en lecture seule des informations d'annuaire vers les contrôleurs BDC. (Pour des informations plus détaillées sur la réplication multimaître, voir la section "Réplication multimaître".) La mise à niveau du système d'exploitation vers Windows 2000 à partir d'un domaine existant peut s'effectuer par étapes, de la manière qui vous convient le mieux. Lorsque le premier contrôleur de domaine d'une nouvelle installation est créé, plusieurs entités sont automatiquement chargées en même temps qu'Active Directory. Les sous-sections suivantes développent les deux aspects différents de l'installation d'un contrôleur de domaine Active Directory sur un nouveau réseau :

• •

Le premier contrôleur de domaine est un serveur de catalogue global. Le premier contrôleur de domaine joue le rôle de maître d'opérations.

Catalogue global
Le système d'exploitation Windows 2000 introduit le catalogue global, une base de données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des requêtes. Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt Windows 2000 et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le processus d'authentification d'ouverture de session (il détermine le groupe d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour l'ouverture de session. Une fois que des contrôleurs de domaine supplémentaires ont été installés dans la forêt, vous pouvez changer l'emplacement par défaut du catalogue global en précisant un autre contrôleur de domaine à l'aide de l'outil Sites et services Active Directory. Si vous le souhaitez, vous pouvez configurer un contrôleur de domaine quelconque pour

héberger un catalogue global, selon les besoins de votre organisation en matière de demandes d'ouverture de session et de recherche. Plus il y a de serveurs de catalogue global, plus la réponse aux demandes de l'utilisateur est rapide ; en contrepartie, l'activation de nombreux contrôleurs de domaine comme serveurs de catalogue global augmente le trafic réseau de réplication. Le catalogue global joue un rôle dans deux processus clés de Active Directory, l'ouverture de session et le traitement des requêtes :

Ouverture de session. Dans un domaine en mode natif, le catalogue global permet aux clients Active Directory

d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine les informations d'appartenance aux groupes universels6 du compte qui envoie la demande d'ouverture de session. En fait, les utilisateurs mais aussi tous les objets s'authentifiant à Active Directory doivent référencer le serveur de catalogue global, y compris les ordinateurs en cours de démarrage. Dans une installation à plusieurs domaines, au moins un contrôleur de domaine détenant le catalogue global doit être en cours d'exécution et disponible pour que les utilisateurs puissent ouvrir une session. Un serveur de catalogue global doit également être disponible lorsqu'un utilisateur ouvre une session en précisant un nom UPN (nom utilisateur principal) non défini par défaut. (Pour plus d'informations sur l'ouverture de session, voir la section "Noms d'ouverture de session : noms UPN et noms de comptes SAM".) Si aucun catalogue global n'est disponible lorsqu'un utilisateur initialise un processus d'ouverture de session sur le réseau, l'utilisateur ne peut se connecter qu'à l'ordinateur local (et non au réseau). L'unique exception à cette règle concerne les utilisateurs membres du groupe des administrateurs de domaines, qui sont en mesure d'ouvrir une session sur le réseau même si aucun catalogue global n'est disponible.

Traitement des requêtes. Dans une forêt contenant de nombreux domaines, le catalogue global permet aux

clients d'effectuer des recherches rapides et aisées sur l'ensemble des domaines, sans avoir à parcourir chaque domaine individuel. Il rend les structures de répertoires d'une forêt transparentes aux utilisateurs finaux à la recherche d'informations. La majorité du trafic réseau correspond au traitement des requêtes : les informations demandées par les utilisateurs, les administrateurs et les programmes sur les objets d'annuaire. L'annuaire est soumis à davantage de requêtes que de mises à jour. Pour améliorer le temps de réponse aux utilisateurs qui recherchent des informations dans l'annuaire, vous pouvez affecter plusieurs contrôleurs de domaine comme serveurs de catalogue global. Il convient toutefois de trouver un juste équilibre car cette opération peut également augmenter le trafic réseau de réplication.

Rôles de maître d'opérations
La réplication multimaître entre contrôleurs de domaine homologues est impossible pour certains types de modifications. Seul un contrôleur de domaine, le maître d'opérations, accepte les demandes de modification de ce genre. Comme la réplication multimaître joue un rôle important dans les réseaux Active Directory, il est essentiel que vous connaissiez ces exceptions. Dans toute forêt Active Directory, le contrôleur de domaine initial se voit assigner au moins cinq rôles différents de maître d'opérations pendant l'installation. Lorsque vous créez le premier domaine d'une nouvelle forêt, les cinq rôles sont assignés automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un ou de plusieurs domaines, vous pouvez réattribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres dans chaque domaine d'une forêt. Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :

Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les

mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peut

être enregistré dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma.

Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le rôle de maître d'affectation de

nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :

Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs relatifs (RID) à chaque contrôleur

de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un autre au maître RID.

Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des

contrôleurs de domaine secondaires Windows NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de domaine principal Windows NT. Il traite les changements de mots de passe client et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la réplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC avant de rejeter la tentative d'ouverture de session.

Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à jour de toutes les références

croisées des domaines lors du déplacement d'un objet référencé par un autre. Par exemple, chaque fois que des membres de groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un membre d'un groupe (et que ce membre réside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maître d'infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre. Le maître d'infrastructure distribue la mise à jour par réplication multimaître. N'attribuez pas ce rôle au contrôleur de domaine qui héberge le catalogue global, à moins que le domaine ne contienne qu'un seul contrôleur. Si vous procédez ainsi, le maître d'infrastructure ne fonctionnera pas. Si tous les contrôleurs d'un domaine hébergent le catalogue global (même s'il n'existe qu'un seul contrôleur de domaine), ils disposent tous des données actualisées et le rôle de maître d'infrastructure n'est pas indispensable.

Architecture Active Directory (2/4)
Sur cette page Architecture Objets Schéma Attributs du schéma et requêtes Noms des objets de schéma Extension du schéma Conventions d'affectation de noms d'objet Noms des entités de sécurité Identificateurs de sécurité (SID) Noms LDAP Noms RDN et noms uniques LDAP Noms d'URL LDAP Noms canoniques LDAP de Active Directory GUID d'objets Noms d'ouverture de session : noms UPN et noms de comptes SAM Noms UPN Noms de comptes SAM Publication d'objets Décision de publication Outils de publication

Architecture
L'installation d'un contrôleur de domaine Active Directory crée simultanément le domaine Windows 2000 initial ou ajoute le nouveau contrôleur à un domaine existant. Comment les contrôleurs de domaine et les domaines s'inscriventils dans l'architecture globale du réseau ? Cette section détaille les composants d'un réseau Active Directory et leur organisation. En outre, elle décrit comment déléguer la responsabilité d'administration d'unités d'organisation, de domaines ou de sites aux personnes appropriées et comment assigner des paramètres de configuration à ces trois conteneurs Active Directory. Cette section comprend les rubriques suivantes :

• • • • • •

Objets (y compris le schéma) Conventions d'affectation de nom d'objet (dont les noms des entités de sécurité, les SID, les noms LDAP, les GUID

d'objets et les noms d'ouverture de session) Publication d'objets Domaines (y compris les arborescences, les forêts, les approbations et les unités d'organisation) Sites (y compris la réplication) Application de la délégation et des stratégies de groupe aux unités d'organisation, aux domaines et aux sites

Objets

Les objets Active Directory sont des éléments qui constituent un réseau. Un objet est un ensemble d'attributs nommé et circonscrit qui représente un élément concret, comme un utilisateur, une imprimante ou une application. Lorsque vous créez un objet Active Directory, certains de ses attributs sont paramétrés automatiquement et d'autres vous sont demandés. Par exemple, si vous créez un objet Utilisateur, Active Directory fournit l'identificateur globalement unique (GUID, Globally Unique Identifier) tandis que vous fournissez les valeurs d'attributs tels que le prénom et le nom de l'utilisateur, l'identificateur d'ouverture de session, etc.

Schéma
Le schéma est une description des classes d'objet (différents types d'objet) et de leurs attributs. Le schéma définit les attributs que chaque classe d'objet doit posséder, les attributs supplémentaires dont elle doit disposer et la classe d'objet dont elle peut être l'enfant. Chaque objet Active Directory est une instance d'une classe d'objet. Chaque attribut est défini une seule fois mais peut être utilisé dans plusieurs classes. C'est le cas, par exemple, de l'attribut Description, qui est utilisé dans de nombreuses classes différentes. Le schéma est enregistré dans Active Directory. Les définitions du schéma sont elles-mêmes enregistrées comme objets (les objets Schéma de classe et Schéma d'attributs). Active Directory peut ainsi gérer les objets de classe et d'attribut comme les autres objets d'annuaire. Les applications qui créent ou modifient des objets Active Directory utilisent le schéma pour déterminer les attributs que l'objet doit posséder et à quoi ces attributs peuvent ressembler en termes de structure des données et de contraintes de syntaxe. Les objets sont soit des objets conteneurs, soit des objets feuilles (également appelés objets non-conteneurs). Les objets conteneurs stockent d'autres objets, alors que les objets feuilles, non. Par exemple, un dossier est un objet conteneur de fichiers, qui sont eux-mêmes des objets feuilles. Chaque classe d'objet du schéma Active Directory possède des attributs qui garantissent :

• • •

l'identification unique de chaque objet d'un magasin de données d'annuaire ; la compatibilité pour les entités de sécurité (utilisateurs, ordinateurs ou groupes) avec les identificateurs de

sécurité (SID) utilisés dans les systèmes d'exploitation Windows NT 4.0 et antérieurs ; la conformité aux normes LDAP en matière de noms d'objets d'annuaire.

Attributs du schéma et requêtes
L'outil Schéma Active Directory permet de marquer un attribut comme indexé. Cela a pour effet d'ajouter toutes les instances de cet attribut à l'index et non pas seulement celles qui sont membres d'une classe particulière. L'indexation d'un attribut permet de retrouver plus rapidement les objets possédant cet attribut. Vous pouvez également inclure des attributs dans le catalogue global. Ce dernier contient un ensemble d'attributs par défaut pour chaque objet de la forêt, mais vous pouvez en ajouter d'autres. Les utilisateurs et les applications utilisent le catalogue global pour localiser des objets dans une forêt. Ajoutez-y uniquement des attributs possédant les caractéristiques suivantes :

• •

Utilité globale. L'attribut doit pouvoir servir à localiser des objets (même pour un accès en lecture, seulement)

sur l'ensemble d'une forêt. Non-volatilité. L'attribut ne doit pas changer, ou bien très rarement. Les attributs d'un catalogue global sont

répliqués vers tous les autres catalogues globaux de la forêt. Si l'attribut change souvent, le trafic de réplication

augmente de manière significative.

Petite taille. Les attributs d'un catalogue global sont répliqués vers tous les autres catalogues globaux de la forêt.

Plus l'attribut sera petit, moins sa réplication aura d'impact sur le trafic du réseau.

Noms des objets de schéma
Comme précisé plus haut, les classes et les attributs sont tous des objets de schéma. En tant que tels, ils peuvent être référencés par les types de noms suivants :

Nom complet LDAP. Le nom complet LDAP est globalement unique pour chaque objet de schéma. Il est composé

d'un ou de plusieurs mots, avec initiale majuscule à partir du deuxième mot. Par exemple, mailAddress et machinePasswordChangeInterval sont les noms complets LDAP de deux attributs de schéma. Schéma Active Directory et d'autres outils d'administration Windows 2000 affichent le nom complet LDAP des objets. Celui-ci permet aux programmeurs et aux administrateurs de référencer l'objet par programme. Pour plus d'informations sur l'extension par programme du schéma, voir la sous-section suivante ; pour plus d'informations sur LDAP, voir la section "Protocole LDAP".

Nom commun. Le nom commun d'un objet de schéma est également globalement unique. Vous devez le spécifier

lors de la création de nouveaux attributs ou classes d'objet dans le schéma — c'est le nom unique relatif (RDN, Relative Distinguished Name) de l'objet du schéma qui représente cette classe d'objet. Pour plus de détails sur les noms RDN, reportez-vous à la section "Noms RDN et noms uniques LDAP". Par exemple, les noms communs des deux attributs mentionnés précédemment sont SMTP-Mail-Address et Machine-Password-Change-Interval.

Identificateur d'objet (OID). Un identificateur d'objet de schéma est un numéro attribué par une autorité telle National Standards Institute). Par exemple, l'OID de l'attribut SMTP-Mail-Address est

que l'Association internationale de normalisation (ISO, International Organization for Standardization) ou l'ANSI (American 1.2.840.113556.1.4.786. Les OID sont garantis comme étant uniques sur l'ensemble des réseaux du monde entier. Une fois que vous avez obtenu un OID racine à partir d'une autorité compétente, vous pouvez l'utiliser pour en attribuer d'autres. Les OID sont organisés sous forme hiérarchique. Par exemple, Microsoft s'est vu allouer l'OID racine 1.2.840.113556. Microsoft gère en interne d'autres branches issues de cette racine. Une de ces branches est utilisée pour allouer des OID aux classes de schéma Active Directory et une autre pour les attributs. Pour reprendre notre exemple, l'OID 1.2.840.113556.1.5.4 identifie dans Active Directory la classe de domaine prédéfini et peut être analysé de la manière illustrée dans le tableau 1.

Tableau 1. Identificateur d'objet

Numéro d'OID 1 2 840 113556 1 5 4
de ce document.

Identifie ISO (autorité "racine") a attribué 1.2 à ANSI, puis U ANSI a attribué 1.2.840 aux États-Unis, puis U les États-Unis ont attribué 1.2.840.113556 à Microsoft, puis U Microsoft gère en interne plusieurs branches d'OID sous 1.2.840.113556, dont U une branche appelée Active Directory qui inclut U une branche appelée Classes qui inclut U une branche appelée Domaine prédéfini

Pour plus d'informations sur les OID et sur la manière de les obtenir, voir la section "Pour plus d'informations" à la fin

Extension du schéma
Le système d'exploitation Windows 2000 Server fournit un ensemble de classes d'objet et d'attributs par défaut suffisants pour la plupart des organisations. Bien que vous ne puissiez pas supprimer les objets de schéma, vous pouvez les marquer comme désactivés. Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). (Pour plus d'informations sur ADSI et LDIFDE, voir les sections "ADSI" et "Active Directory et LDIFDE".) L'outil Schéma Active Directory, conçu à des fins de développement et de test, vous permet d'afficher et de modifier le schéma Active Directory. Si vous envisagez de modifier le schéma, prenez les points suivants en considération :

• • •

Les modifications du schéma s'appliquent à l'ensemble de la forêt. Les extensions du schéma sont irréversibles (même si vous pouvez modifier certains attributs). Microsoft exige de toute personne étendant le schéma qu'elle adhère aux règles d'affectation de noms (évoquées

dans la sous-section précédente) à la fois pour les noms complets LDAP et pour les noms communs. La compatibilité est garantie par le logo Certifié compatible Windows7. Pour plus d'informations, voir le Site Web : msdn L'information pour les Développeurs.

Toutes les classes du schéma sont dérivées de la classe spéciale Top. À l'exception de Top, toutes les classes sont

des sous-classes dérivées d'une autre classe. L'héritage des attributs permet de construire de nouvelles classes à partir de classes existantes. La nouvelle sous-classe hérite des attributs de sa superclasse (classe parent).

L'extension du schéma est une opération avancée. Pour plus d'informations sur l'extension du schéma par programme, voir la section "Pour plus d'informations" à la fin de ce document.

Conventions d'affectation de noms d'objet
Active Directory prend en charge plusieurs formats de noms d'objet pour tenir compte des différentes formes que peut prendre un nom, selon le contexte d'utilisation (certains noms correspondent à des numéros). Les sous-sections suivantes décrivent les types de conventions d'affectation de nom des objets Active Directory :

• • • • •

Noms des entités de sécurité Identificateurs de sécurité (aussi appelés SID ou identificateurs SID) Noms LDAP (dont les noms canoniques, les noms RDN, les URL et les noms uniques) GUID d'objets Noms d'ouverture de session (dont les noms UPN et les noms de comptes SAM)

Si votre organisation possède plusieurs domaines, vous pouvez utiliser les mêmes noms d'utilisateur et d'ordinateur dans les différents domaines. Le SID, le GUID, le nom unique LDAP et le nom canonique générés par Active Directory identifient de manière unique chaque utilisateur et chaque ordinateur de l'annuaire. Si l'objet Utilisateur ou Ordinateur est renommé ou déplacé vers un domaine différent, le SID, le nom unique relatif LDAP, le nom unique et le nom canonique changent. En revanche, le GUID généré par Active Directory reste identique.

Noms des entités de sécurité
Une entité de sécurité est un objet Windows 2000 géré par Active Directory, auquel est automatiquement affecté un identificateur de sécurité (SID) pour l'authentification d'ouverture de session et l'accès aux ressources. Une entité de sécurité peut être un compte d'utilisateur, un compte d'ordinateur ou un groupe. En d'autres termes, un nom d'entité de sécurité identifie de manière unique un utilisateur, un ordinateur ou un groupe au sein d'un domaine unique. Un objet entité de sécurité doit être authentifié par un contrôleur du domaine dans lequel il se trouve et l'accès aux ressources réseau peut lui être accordé ou refusé. Les noms des entités de sécurité ne sont pas uniques sur l'ensemble des domaines, mais doivent être uniques dans leur propre domaine pour des raisons de compatibilité ascendante. Les objets entités de sécurité peuvent être renommés, déplacés ou enregistrés au sein d'une arborescence de domaines imbriqués. Leur nom doit être conforme aux lignes directrices suivantes :

• •

Le nom ne doit pas être identique à un autre nom d'utilisateur, d'ordinateur ou de groupe du domaine. Il peut

contenir jusqu'à 20 caractères majuscules ou minuscules, à l'exception des caractères suivants : " / \ [ ] : ; | = , + * ? <> Les noms d'utilisateurs, d'ordinateurs et de groupes ne doivent pas être composés uniquement de points (.) et

d'espaces.

Identificateurs de sécurité (SID)
Un SID est un numéro unique, créé par le sous-système de sécurité de Windows 2000 et affecté aux objets entités de sécurité, à savoir les comptes d'utilisateurs, de groupes et d'ordinateurs. Chaque compte de votre réseau a reçu un SID unique à sa création. Les processus internes de Windows 2000 font référence au SID d'un compte plutôt qu'à son nom d'utilisateur ou de groupe. Des entrées de contrôle d'accès (ACE, Access Control Entrie) protègent chaque objet Active Directory en identifiant les utilisateurs et les groupes pouvant y accéder. Chaque ACE contient le SID de chaque utilisateur et de chaque groupe

ayant l'autorisation d'accéder à l'objet et définit le niveau d'accès autorisé. Par exemple, un utilisateur peut disposer pour certains fichiers de droits d'accès en lecture seule, pour d'autres de droits d'accès en lecture et en écriture, et pour d'autres encore, d'aucun droit d'accès. Si vous créez un compte, que vous le supprimez, puis que vous créez un autre compte avec le même nom d'utilisateur, le nouveau compte n'hérite ni des autorisations, ni des droits accordés à l'ancien compte car les comptes ont des identificateurs SID différents.

Noms LDAP
Active Directory est un service d'annuaire conforme LDAP (Lightweight Directory Access Protocol). Dans Windows 2000, tout accès à un objet Active Directory s'effectue à l'aide du protocole LDAP. Il définit les opérations à effectuer pour rechercher et modifier des informations dans un annuaire, et la manière d'accéder de manière sécurisée à ces informations. Ainsi, c'est LDAP qui est utilisé pour rechercher ou énumérer des objets d'annuaire et pour interroger ou administrer Active Directory. (Pour plus d'informations sur LDAP, voir la section "Protocole LDAP".) Il est possible de faire porter les requêtes sur le nom unique LDAP (lui-même un attribut de l'objet), mais comme ceux-ci sont difficiles à mémoriser, LDAP prend également en charge les requêtes portant sur d'autres attributs (par exemple, la couleur pour rechercher les imprimantes couleur). Vous pouvez ainsi rechercher un objet même si vous ne connaissez pas son nom unique. Les formats d'affectation de noms d'objet, pris en charge par Active Directory et fondés sur le nom unique LDAP, sont décrits dans les trois sous-sections suivantes :

• • •

Noms RDN et noms uniques LDAP URL LDAP Noms canoniques LDAP

Noms RDN et noms uniques LDAP
LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets8. Active Directory met en œuvre ces conventions d'affectation de noms LDAP avec les variantes illustrées dans le tableau 2. Tableau 2. Conventions d'affectation de noms LDAP et correspondances dans Active Directory

Convention d'affectation des noms DN & RDN LDAP cn=nom commun ou=unité d'organisation o=organisation c=pays

Convention d'affectation de noms correspondante dans Active Directory cn=nom commun ou=unité d'organisation dc=composant de domaine (non pris en charge)

Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler le nom RDN d'un objet sont appelés attributs d'affectation de nom. Les attributs d'affectation de nom Active Directory, illustrés en haut à droite, sont destinés aux classes d'objet Active Directory suivantes :

• • •

L'attribut cn est utilisé pour la classe d'objet utilisateur. L'attribut ou est utilisé pour la classe d'objet unité d'organisation (OU). L'attribut dc est utilisé pour la classe d'objet DNS de domaine.

Chaque objet Active Directory possède un nom unique LDAP. Les objets sont localisés dans les domaines Active Directory à l'aide d'un chemin hiérarchique qui inclut les étiquettes du nom de domaine et chaque niveau d'objet conteneur. Le chemin complet vers l'objet est défini par le nom unique. Le nom de l'objet lui-même correspond au nom RDN. Ce nom est le segment du nom unique d'un objet, attribut de l'objet lui-même. Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses objets parents jusqu'à la racine du domaine, le nom unique permet d'identifier un objet unique dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d'une opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l'exemple suivant : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est ou=Widgets, etc. Les outils Active Directory n'affichent pas les abréviations LDAP des attributs d'affectation de nom (dc=, ou= ou cn=). Elles apparaissent dans l'exemple pour illustrer la manière dont LDAP reconnaît les différentes parties des noms uniques. La plupart des outils Active Directory affichent les noms d'objets sous leur forme canonique (décrite plus loin dans ce document). Dans Windows 2000, les noms uniques permettent aux clients LDAP de récupérer des informations sur des objets à partir de l'annuaire, mais aucune interface utilisateur ne demande d'entrer le nom unique. L'utilisation explicite des noms uniques, des noms RDN et des attributs d'affectation de nom est requise uniquement lors de l'écriture de programmes ou de scripts conformes LDAP.

Noms d'URL LDAP
Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole LDAP. La RFC 1959 décrit un format d'URL LDAP permettant aux clients Internet d'accéder directement au protocole LDAP. Les URL LDAP sont également utilisées dans l'écriture de scripts. Une telle URL est composée du préfixe "LDAP", du nom du serveur contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique). Par exemple : LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com

Noms canoniques LDAP de Active Directory
Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom RFC 1779 (dc=, ou= et cn=). Le nom canonique utilise le format DNS, c'est-à-dire que les constituants de la partie du nom contenant les noms de domaines sont séparés par des points — France.NomOrg.com. Le tableau 3 montre les différences entre un nom unique LDAP et le même nom au format de nom canonique. Tableau 3. Format de nom unique LDAP et format de nom canonique Nom identique dans deux formats différents

Nom unique LDAP : Nom canonique :

cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com France.NomOrg.com/Fabrication/Widgets/MDurand

GUID d'objets
Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change jamais. Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une base de données Microsoft SQL Server™), vous devez utiliser l'attribut objectGUID.

Noms d'ouverture de session : noms UPN et noms de comptes SAM
Comme décrit précédemment, les entités de sécurité sont des objets sur lesquels s'applique la sécurité Windows pour l'authentification d'ouverture de session et les autorisations d'accès aux ressources. Les utilisateurs représentent le premier type d'entités de sécurité. Dans Windows 2000, ils ont besoin d'un nom d'ouverture de session unique pour accéder à un domaine et à ses ressources. Les deux types de noms d'ouverture de session — les noms UPN et les noms de comptes SAM (Security Account Manager) — sont décrits dans les deux sous-sections ci-dessous.

Noms UPN
Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est indépendant de son nom unique, si bien que le déplacement et la modification du nom de l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une liste dans la boîte de dialogue d'ouverture de session. Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le caractère @ et le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte9. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entité de sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par défaut nomUtilisateur@NomDomaineDns. Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par départements et régions, les noms UPN par défaut peuvent s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être ventes.coteouest.microsoft.com. Le nom d'ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.microsoft.com. Au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d'utiliser votre nom de

domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre exemple devient alors utilisateur@microsoft.com. Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans l'exemple précédent, utilisateur@ventes.coteouest.microsoft.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ microsoft.com). L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les suffixes sont répertoriés dans l'ordre suivant :

• • •

autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ; domaine racine ; domaine actif.

Noms de comptes SAM
Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appelé "Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000)". Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine.

Publication d'objets
La publication représente la création d'objets dans l'annuaire, qui contiennent directement les informations que vous voulez rendre accessibles ou y font référence. Par exemple, un objet Utilisateur contiendra des informations utiles sur les utilisateurs, comme leurs numéros de téléphone et leurs adresses de messagerie, tandis qu'un objet Volume contiendra une référence à un volume d'un système de fichiers partagé. Les deux exemples suivants décrivent la publication d'objets Imprimantes et Fichiers dans Active Directory :

• •

Publication de partage. Vous pouvez publier un dossier partagé comme objet Volume (également appelé objet

Dossier partagé) dans Active Directory en utilisant le composant logiciel enfichable Utilisateurs et groupes Active Directory. Les utilisateurs peuvent ainsi interroger rapidement et facilement Active Directory sur ce dossier partagé. Publication d'imprimante. Dans un domaine Windows 2000, la manière la plus simple de gérer, de rechercher et

de se connecter à des imprimantes consiste à utiliser Active Directory. Par défaut10, si vous ajoutez une imprimante à l'aide de l'Assistant Ajout d'imprimante et décidez de la partager, Windows 2000 Server la publie dans le domaine en tant qu'objet Active Directory. La publication (affichage) d'imprimantes dans Active Directory permet aux utilisateurs de localiser l'imprimante la plus appropriée. Ils peuvent interroger aisément Active Directory sur une de ces imprimantes, en effectuant une recherche par attributs d'imprimante, tels que le type (PostScript, couleur, papier de taille autorisée, etc.) et l'emplacement. Lorsqu'une imprimante est supprimée du serveur, ce dernier annule sa publication.

Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire des imprimantes sur des serveurs d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe Nettoyage des imprimantes de bas niveau détermine la manière dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.

Décision de publication
Vous publiez une information dans Active Directory quand elle peut être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand elle doit être facilement accessible. L'information publiée dans Active Directory présente deux caractéristiques essentielles :

Elle est relativement statique. Publiez uniquement une information qui change rarement. Les numéros de

téléphone et les adresses de messagerie sont des exemples d'informations relativement statiques, aptes à être publiées. Au contraire, le courrier électronique actuellement sélectionné par l'utilisateur est un exemple d'information particulièrement volatile.

Elle est structurée. Publiez une information structurée qui peut être représentée sous la forme d'un ensemble

d'attributs discrets. L'adresse professionnelle d'un utilisateur est un exemple d'information structurée, apte à être publiée. Un extrait audio de la voix de l'utilisateur est un exemple d'information non structurée mieux adaptée au système de fichiers.

Les informations de fonctionnement utilisées par les applications constituent d'excellentes candidates à la publication dans Active Directory. En font partie les informations de configuration globales qui s'appliquent à toutes les instances d'une application donnée. Par exemple, un produit de bases de données relationnelles pourrait enregistrer en tant qu'objet dans Active Directory la configuration par défaut des serveurs de bases de données. De nouvelles installations du produit pourraient alors récupérer la configuration par défaut contenue dans l'objet, ce qui simplifierait le processus d'installation et augmenterait la cohérence des installations au sein d'une entreprise. Les applications peuvent également publier leurs points de connexion dans Active Directory. Les points de connexion servent aux rendez-vous client-serveur. Active Directory définit une architecture pour l'administration de services intégrée utilisant des objets Points d'administration de services et fournit des points de connexion standard pour les applications RPC (Remote Procedure Call), Winsock et COM (Component Object Model). Les applications qui n'utilisent pas les interfaces RPC ou Winsock pour publier leurs points de connexion peuvent publier explicitement des objets point de connexion de services dans l'annuaire. Les données des applications peuvent également être publiées dans l'annuaire avec des objets spécifiques aux applications. Les données spécifiques aux applications doivent correspondre aux critères évoqués plus haut, c'est-à-dire être globalement intéressantes, relativement non volatiles et structurées.

Outils de publication
Les outils de publication dépendent de l'application ou du service concerné :

• •

RPC (Remote Procedure Call). Les applications RPC utilisent la famille de API RpcNs* pour publier leurs points de

connexion dans l'annuaire et pour rechercher les points de connexion des services qui ont publié les leurs. Windows Sockets. Les applications Windows Sockets utilisent les familles de API Enregistrement et Résolution de

Winsock 2.0 pour publier leurs points de connexion et pour rechercher les points de connexion des services qui ont

publié les leurs.

DCOM (Distributed Component Object Model). Les services DCOM publient leurs points de connexion par

l'intermédiaire de la banque de classes DCOM, hébergée dans Active Directory. DCOM est la spécification COM de Microsoft qui définit la manière dont les composants communiquent sur les réseaux Windows. Utilisez l'outil Configuration DCOM pour intégrer des applications client-serveur sur plusieurs ordinateurs. DCOM peut également être utilisé pour intégrer des applications robustes de navigateur Web.

Architecture Active Directory (3/4)
Sur cette page Domaines : arborescences, forêts, approbations et unités d'organisation Arborescences Forêts Relations d'approbation Unités d'organisation Sites : services aux clients et réplication des données Utilisation des informations sur le site par Active Directory Contrôleurs de domaine, catalogues globaux et données répliquées Réplication dans un site Réplication inter-sites Protocoles de réplication Réplication multimaître

Domaines : arborescences, forêts, approbations et unités d'organisation
Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory permet de gérer les domaines. Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

Délimitation de la sécurité. Les domaines Windows 2000 définissent une limite de sécurité. Les stratégies et les

paramètres de sécurité (comme par exemple les droits d'administration et les listes de contrôle d'accès) ne passent pas d'un domaine à un autre. Active Directory peut inclure un ou plusieurs domaines, possédant tous leurs propres stratégies de sécurité.

Réplication des informations. Un domaine est une partition d'annuaire Windows 2000 (appelée également

contexte d'affectation de nom). Ces partitions sont les unités de réplication. Chaque domaine enregistre uniquement les informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine peut recevoir les modifications apportées à des objets et répliquer ces modifications vers tous les autres contrôleurs du même domaine.

Application des stratégies de groupe. Un domaine représente une étendue possible de stratégie (les

paramètres de stratégie de groupe peuvent aussi être appliqués à des unités d'organisation ou à des sites). L'application d'un objet Stratégie de groupe (GPO, Group Policy Object) au domaine définit la manière dont les ressources du domaine peuvent être configurées et utilisées. Par exemple, vous pouvez employer une stratégie de groupe pour contrôler les paramètres du bureau, comme par exemple le déploiement d'applications et de verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même domaine. Elles ne sont pas transmises d'un domaine à un autre.

Structure du réseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des

millions d'objets11, la plupart des organisations n'ont pas besoin de créer de domaines distincts pour refléter leurs différents départements et divisions. Normalement, vous ne devriez pas avoir à créer d'autres domaines pour traiter des objets supplémentaires. Toutefois, certaines organisations requièrent plusieurs domaines pour prendre en charge, par exemple, des unités professionnelles indépendantes ou complètement autonomes qui ne veulent pas qu'une personne extérieure à leur unité dispose d'autorisations sur leurs objets. De telles organisations peuvent créer

des domaines supplémentaires et les organiser en une forêt Active Directory. Il peut également être utile de séparer le réseau en domaines distincts si deux parties de votre réseau sont séparées par un lien si lent que vous refusez que le trafic de réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de réplication de manière moins fréquente, vous pouvez configurer un simple domaine avec plusieurs sites).

Délégation de l'autorité d'administration. Sur les réseaux Windows 2000, vous pouvez déléguer l'autorité

d'administration d'unités d'organisation et de domaines individuels, ce qui réduit le nombre requis d'administrateurs disposant d'une autorité d'administration élevée. Comme un domaine est une limite de sécurité, les autorisations d'administration d'un domaine sont restreintes au domaine par défaut. Par exemple, un administrateur ayant l'autorisation de définir les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à faire de même dans tout autre domaine de l'annuaire.

Pour pouvoir comprendre les domaines, vous devez d'abord comprendre ce que sont les arborescences, les forêts, les approbations et les unités d'organisation, et les rapports entre ces structures et les domaines. Ces composants de domaine sont décrits dans les sous-sections suivantes :

• • • •

Arborescences Forêts Relations d'approbation Unités d'organisation

Windows 2000 introduit également le concept de sites, mais leur structure est différente de celle des domaines, afin de garantir la flexibilité de leur administration (les sites sont décrits dans une section ultérieure). Ce document présente les notions de base des domaines et des sites Windows 2000. Pour des informations détaillées sur la planification de leur structure et déploiement, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" à la fin de ce document. Lorsque vous découvrirez les structures de domaines possibles décrites dans les sous-sections suivantes, gardez à l'esprit que, pour de nombreuses organisations, il est possible de disposer d'une structure composée d'un domaine qui serait simultanément une forêt composée d'une arborescence. Il s'agit sans doute de la meilleure façon d'organiser un réseau. Il faut toujours commencer par la structure la plus simple et augmenter sa complexité si cela se justifie.

Arborescences
Dans Windows 2000, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et utilise ses propres serveurs DNS. Le premier domaine créé est le domaine racine de la première arborescence. Les domaines supplémentaires de la même arborescence de domaine sont les domaines enfants. Un domaine placé immédiatement au-dessus d'un autre dans la même arborescence est son parent. Tous les domaines qui ont un domaine racine commun forment ce qu'on appelle un espace de noms contigus. Les domaines d'un espace de noms contigus (de la même arborescence) ont des noms contigus formés de la manière suivante : le nom du domaine enfant apparaît sur la gauche, suivi d'un point et du nom de son domaine parent. Lorsqu'il y a plus de deux domaines, chaque domaine est suivi de son parent dans le nom de domaine, comme l'illustre la figure 3. Les domaines Windows 2000 d'une même arborescence sont liés par des relations d'approbation bidirectionnelles et transitives. Ces relations sont décrites plus loin dans ce document.

Figure 3. Domaines parents et enfants d'une arborescence de domaines. Les flèches à deux directions indiquent des relations d'approbation transitives bidirectionnelles

La relation parent-enfant entre domaines d'une même arborescence est une relation d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine parent ne sont pas automatiquement ceux des domaines enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines enfants.

Forêts
Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l'efficacité du réseau en permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs domaines. Tous les contrôleurs de domaine d'une forêt hébergent une copie des conteneurs de configuration et de schéma de la forêt en plus d'une base de données de domaine. Une base de données de domaine est une partie d'une base de données de forêt. Chaque base de données de domaine contient des objets d'annuaire, tels que les objets entités de sécurité (utilisateurs, ordinateurs et groupes) auxquels vous pouvez accorder ou refuser l'accès aux ressources réseau. Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées qu'une seule fois pour affecter tous les domaines. Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car chaque forêt que vous créez entraîne une surcharge de travail de gestion12 . Il est parfois nécessaire de créer plusieurs forêts ; par exemple, si l'administration de votre réseau est distribuée entre plusieurs divisions autonomes qui ne peuvent pas se mettre d'accord sur une gestion commune des conteneurs de schéma et de configuration. C'est également le cas si vous voulez garantir que des utilisateurs spécifiques ne puissent jamais obtenir l'accès à certaines ressources (dans une forêt unique, tout utilisateur peut être inclus dans tout groupe ou peut être répertorié dans une liste de contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List)13, sur n'importe quel ordinateur de la forêt). Si vous disposez de forêts distinctes, vous pouvez définir des relations d'approbation explicites pour accorder aux utilisateurs d'une forêt l'accès à certaines ressources d'une autre. (Pour un exemple avec deux forêts, voir la figure 7 dans la section "Exemple : Environnement mixte constitué de deux forêts et d'un extranet".) Plusieurs arborescences de domaines au sein d'une même forêt ne forment pas un espace de noms contigus ; en effet, leurs noms de domaine DNS ne sont pas contigus. Bien que les arborescences d'une forêt ne partagent pas un même espace de nom, une forêt possède un domaine racine unique, appelé domaine racine de la forêt. Ce domaine

racine est, par définition, le premier domaine créé dans la forêt. Les deux groupes prédéfinis, Administrateurs d'entreprise et Administrateurs de schéma, résident dans ce domaine. Par exemple, comme le montre la figure 4, bien que trois arborescences de domaines (Racine-SS.com, RacineEurope.com et RacineAsie.com) aient tous un domaine enfant pour le service de comptabilité "Compt", les noms DNS de ces domaines enfants sont respectivement Compt.Racine-SS.com, Compt.RacineEurope.com et Compt.RacineAsie.com. Il n'existe aucun espace de noms partagé.

Figure 4. Forêt de trois arborescences de domaines. Les trois domaines racines ne sont pas contigus, mais RacineEurope.com et RacineAsie.com sont des domaines enfants de Racine-SS.com.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d'approbation transitive (expliquée plus en détails dans la section suivante) avec le domaine racine de la forêt. Dans la figure 4, Racine-SS.com est le domaine racine de la forêt. Les domaines racines des autres arborescences, RacineEurope.com et RacineAsie.com, ont des relations d'approbation transitives avec Racine-SS.com. Il est donc possible d'établir des relations d'approbation entre toutes les arborescences de la forêt. Tous les domaines Windows 2000 de toutes les arborescences de domaines d'une même forêt présentent les caractéristiques suivantes :

• • • • •

Il existe des relations d'approbation transitives entre les domaines d'une même arborescence. Il existe des relations d'approbation transitives entre les arborescences de domaines d'une même

forêt. Ils partagent des informations de configuration communes. Ils partagent un schéma commun. Ils partagent un catalogue global commun.

Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer un enfant. La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Relations d'approbation
Une relation d'approbation est une relation établie entre deux domaines grâce à laquelle les contrôleurs de domaine de l'un des domaines reconnaissent les utilisateurs de l'autre domaine. Les approbations permettent aux utilisateurs

d'un des domaines d'accéder aux ressources de l'autre et aux administrateurs d'un des domaines d'administrer des droits utilisateur pour les utilisateurs de l'autre. Pour les ordinateurs Windows 2000, l'authentification de comptes entre domaines est activée par l'intermédiaire de relations d'approbation bidirectionnelles et transitives. Toutes les relations d'approbation au sein d'une forêt Windows 2000 sont bidirectionnelles et transitives, et sont définies comme suit :

• •

Bidirectionnelle. Lorsque vous créez un domaine enfant, ce domaine enfant approuve automatiquement son

domaine parent et réciproquement. D'un point de vue pratique, des requêtes d'authentification peuvent être soumises d'un domaine à l'autre dans les deux sens. Transitive. Une approbation transitive va au-delà des deux domaines impliqués dans la relation d'approbation

initiale. Par exemple : si le domaine A et le domaine B (parent et enfant) s'approuvent mutuellement et si le domaine B et le domaine C (là encore parent et enfant) s'approuvent eux aussi mutuellement, alors le domaine A et le domaine C s'approuvent mutuellement (de manière implicite), même si aucune relation d'approbation directe n'existe entre eux. Au niveau de la forêt, il se crée automatiquement une relation d'approbation entre le domaine racine de la forêt et le domaine racine de chaque arborescence de domaines ajoutée à la forêt, ce qui crée une approbation complète entre tous les domaines appartenant à une forêt Active Directory. D'un point de vue pratique, dans la mesure où les relations d'approbation sont transitives, un processus d'ouverture de session unique permet au système d'authentifier un utilisateur (ou un ordinateur) de n'importe quel domaine de la forêt. Ce processus d'ouverture de session unique offre au compte un accès potentiel à toutes les ressources de tous les domaines de la forêt.

Notez toutefois que le fait que les approbations permettent un processus d'ouverture de session unique ne signifie pas nécessairement qu'un utilisateur authentifié possédera des droits et des autorisations dans tous les domaines de la forêt. Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer explicitement les deux types de relations d'approbation suivants :

Approbations raccourcis. Avant d'accorder à un compte d'un domaine donné l'accès à des ressources d'un autre

domaine par l'intermédiaire d'un contrôleur de domaine, Windows 2000 calcule le chemin d'approbation entre les contrôleurs du domaine source (celui auquel appartient le compte) et le domaine cible (celui qui comporte les ressources auxquelles le compte veut accéder). Un chemin d'approbation se compose de la série de relations d'approbation de domaines que la sécurité de Windows 2000 doit traverser pour transmettre les requêtes d'authentification d'un domaine à un autre. Le calcul et le parcours d'un chemin d'approbation entre arborescences de domaines dans une forêt complexe peut prendre du temps. Pour améliorer les performances, vous pouvez créer explicitement (manuellement) une approbation raccourci entre deux domaines Windows 2000 non adjacents de la même forêt. Les approbations raccourcis sont des approbations unidirectionnelles transitives qui vous permettent de raccourcir le chemin d'approbation, comme le montre la figure 5. Vous pouvez combiner deux approbations unidirectionnelles pour établir une relation d'approbation bidirectionnelle. Si vous ne pouvez pas révoquer les approbations bidirectionnelles transitives établies automatiquement par défaut entre tous les domaines d'une forêt Windows 2000, vous pouvez en revanche supprimer les approbations raccourcis créées explicitement.

Figure 5. Approbations raccourcis entre les domaines B et D, et entre les domaines D et 2

Approbations externes. Les approbations externes établissent des relations d'approbation vers des domaines

d'une forêt Windows 2000 différente ou vers un domaine non-Windows 2000 (il peut s'agir d'un domaine Windows NT ou d'un domaine Kerberos version 514). Les approbations externes permettent d'authentifier les utilisateurs dans un domaine externe. Toutes les approbations externes sont des approbations unidirectionnelles non transitives, comme le montre la figure 6. De nouveau, vous pouvez combiner deux approbations unidirectionnelles pour établir une relation d'approbation bidirectionnelle.

Figure 6. Approbation non transitive externe unidirectionnelle

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows 2000, les relations d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous devez créer des approbations externes Windows 2000. Pour établir explicitement une relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory. Exemple : Environnement mixte constitué de deux forêts et d'un extranet La figure 7 illustre un environnement mixte comprenant deux forêts Windows 2000 et un domaine Windows NT 4.0. Quatre espaces de noms séparés sont mis en œuvre : A.com, D.com, G.com et F.

Figure 7. Réseau constitué de deux forêts et d'un extranet

La figure 7 illustre le cas suivant :

• •

A.com et D.com sont les racines d'arborescences distinctes de la forêt 1. (A.com est le domaine racine de la forêt.)

L'approbation de racine d'arborescence bidirectionnelle et transitive qui existe entre eux (générée automatiquement par Windows 2000) assure une approbation complète entre tous les domaines des deux arborescences de la forêt 1. E.D.com utilise fréquemment des ressources dans C.A.com. Pour raccourcir le chemin d'approbation entre les deux

domaines, C.A.com approuve E.D.com directement. Cette approbation raccourci unidirectionnelle et transitive raccourcit le chemin d'approbation à parcourir pour authentifier les utilisateurs de E.D.com (limite le nombre de tronçons nécessaires à leur authentification) afin qu'ils puissent utiliser efficacement les ressources de C.A.com.

• •

G.com est la racine de l'arborescence qui constitue à elle seule la forêt 2. L'approbation bidirectionnelle et transitive

automatique entre G.com et H.G.com permet aux utilisateurs, aux ordinateurs et aux groupes des deux domaines d'accéder à leurs ressources mutuelles. Le domaine G.com de la forêt 2 implémente une relation d'approbation externe unidirectionnelle explicite avec le

domaine D.com de la forêt 1 de telle sorte que les utilisateurs du domaine D.com puissent accéder aux ressources du domaine G.com. Cette approbation n'étant pas transitive, aucun autre domaine de la forêt 1 ne peut obtenir d'accès aux ressources de G.com, et les utilisateurs, les groupes et les ordinateurs de D.com ne peuvent accéder aux ressources de H.G.com.

Le domaine F est un domaine Windows NT 4.0 qui fournit des services d'assistance aux utilisateurs de E.D.com.

Cette approbation unidirectionnelle non transitive ne s'étend à aucun autre domaine de la forêt 1. Dans ce scénario, le domaine Windows NT 4.0 est un extranet. (Un extranet est un intranet accessible en partie à des utilisateurs externes autorisés. Un intranet à part entière est situé derrière un pare-feu et reste inaccessible, mais un extranet offre un accès restreint aux personnes n'appartenant pas à l'organisation.)

Unités d'organisation
Nouveau concept dans le système d'exploitation Windows 2000, les unités d'organisation (également appelées OU) sont un type d'objets d'annuaire dans lequel vous pouvez placer des utilisateurs, des groupes, des ordinateurs, des imprimantes, des dossiers partagés et d'autres unités d'organisation au sein d'un domaine unique. L'unité d'organisation (représentée sous la forme d'un dossier dans l'interface Utilisateurs et ordinateurs Active Directory) vous

permet d'organiser logiquement et d'enregistrer des objets dans le domaine. Si vous avez plusieurs domaines, chacun d'entre eux peut implémenter sa propre hiérarchie d'unités d'organisation. Comme l'illustre la figure 8, les unités d'organisation peuvent contenir d'autres unités d'organisation.

Figure 8. Hiérarchie d'unités d'organisation dans un domaine unique

Les unités d'organisation vous permettent essentiellement de déléguer l'autorité administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs administratifs, la structure que vous créez reflétera probablement davantage votre modèle administratif que l'organisation technique de votre entreprise. Bien que les utilisateurs puissent parcourir la structure d'unités d'organisation d'un domaine lorsqu'ils recherchent des ressources, l'interroger du catalogue global est dans ce cas-ci bien plus efficace. Il est donc inutile de créer une structure d'unités d'organisation pour le seul bien-être des utilisateurs finaux. Vous pouvez aussi créer une structure d'unités d'organisation qui reflète l'organisation technique de votre entreprise, mais la mise en œuvre et la gestion d'une telle initiative peuvent être difficiles et coûteuses. Au lieu de créer une structure d'unités d'organisation qui refléterait la situation des ressources ou l'organisation par départements, basez-vous sur les paramètres de délégation administrative et de stratégie de groupe lorsque vous créez des unités d'organisation. Pour plus d'informations sur la mise en œuvre de la délégation et de la stratégie de groupe à l'aide d'unités d'organisation, voir la section "Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites". Pour des informations plus détaillée sur la conception d'une structure d'unités d'organisation lors de la planification de la mise en œuvre de Windows 2000, voir le Guide de planification du déploiement de Microsoft Windows 2000 Server dans la section "Pour plus d'informations" à la fin de ce document.

Sites : services aux clients et réplication des données
Vous pouvez considérer un site Windows 2000 comme un ensemble d'ordinateurs appartenant à un ou plusieurs réseaux IP connectés à l'aide de technologies LAN, ou comme un ensemble de réseaux locaux connectés par une structure fondamentale à haute vitesse. Les ordinateurs appartenant à un même site doivent être connectés correctement, ce qui caractérise d'ailleurs les ordinateurs qui font partie d'un même sous-réseau. En revanche, des sites distincts sont connectés par une liaison dont la vitesse est plus faible que celle des transferts de données au sein d'un réseau local. Vous pouvez utiliser l'outil Sites et services Active Directory pour configurer des connexions tant pour

un site donné (dans un réseau local ou un ensemble de réseaux locaux connectés correctement) qu'entre plusieurs sites (dans un réseau étendu). Avec le système d'exploitation Windows 2000, les sites offrent les services suivants :

• • • •

Les clients peuvent faire appel à un service par l'intermédiaire d'un contrôleur de domaine dans le site auquel ils

appartiennent (s'il en existe un). Active Directory tente de réduire le délai de la réplication intra-site. Active Directory tente de réduire la consommation de bande passante de la réplication inter-sites. Les sites vous permettent de planifier la réplication inter-sites.

Les utilisateurs et les services doivent pouvoir accéder aux informations d'annuaire à tout moment à partir de n'importe quel ordinateur de la forêt. Pour ce faire, les ajouts, modifications et suppressions des données d'annuaire du contrôleur de domaine d'origine doivent être relayées (répliquées) vers les autres contrôleurs de domaine de la forêt. Toutefois, il faut atteindre un équilibre entre la nécessité de distribuer largement les données d'annuaire et celle d'optimiser la performance réseau. Les sites Active Directory vous aident à maintenir un tel équilibre. Vous devez bien comprendre que les sites sont indépendants des domaines. L'architecture des sites représente la structure physique de votre réseau, l'une de l'autre, et par conséquent : alors que les domaines (si vous en utilisez plusieurs) représentent traditionnellement la structure logique de votre organisation. Les structures logique et physique sont indépendantes

• •

Il n'existe pas forcément de lien entre l'espace de noms des sites et celui des domaines. Il n'existe pas nécessairement de corrélation entre la structure physique de votre réseau et celle de ses domaines.

Cependant, dans de nombreuses organisations, les domaines sont configurés pour refléter la structure physique du réseau. En effet, les domaines sont des partitions, et le partitionnement joue sur la réplication ; la partition d'une forêt en de multiples petits domaines permet de réduire le trafic de réplication.

Active Directory permet d'établir plusieurs domaines dans un site unique, et inversement.

Utilisation des informations sur le site par Active Directory
Vous spécifiez les informations sur le site à l'aide de Sites et services Active Directory. Active Directory utilise ensuite ces informations pour déterminer la meilleure façon d'utiliser les ressources réseau disponibles. L'utilisation des sites rend optimise les opérations suivantes :

Réponses aux requêtes des clients. Lorsqu'un client requiert un service auprès d'un contrôleur de domaine, la

requête est destinée à un contrôleur de domaine appartenant au même site que lui, s'il existe. Le choix d'un contrôleur de domaine connecté correctement au client permet d'optimiser le traitement de la requête. Par exemple, si un client se connecte en utilisant un compte de domaine, le mécanisme de connexion recherche d'abord des contrôleurs de domaine hébergés sur le même site que le client. L'utilisation préférentielle des contrôleurs de domaine appartenant au site du client permet de limiter le trafic réseau au niveau local, ce qui optimise la procédure d'authentification.

Réplication de données d'annuaire. Les sites permettent de dupliquer les données d'annuaire tant en leur sein

qu'entre eux. Active Directory réplique les données au sein d'un même site plus fréquemment que d'un site à l'autre, ce qui signifie que les contrôleurs de domaine les mieux connectés, par conséquent les plus susceptibles d'avoir besoin de données d'annuaire spécifiques, sont les premiers destinataires de la réplication. Les contrôleurs de domaine des autres sites reçoivent aussi toutes les modifications de l'annuaire, mais moins fréquemment, ce qui réduit la consommation de bande passante. La réplication de données Active Directory à destination des contrôleurs

de domaine est avantageuse en termes de disponibilité des données, de tolérance de pannes, d'équilibrage de charge et de performances. (Pour plus d'informations sur la manière dont le système d'exploitation Windows 2000 met en œuvre la réplication, voir la sous-section "Réplication multimaître" à la fin de cette section relative aux sites.)

Contrôleurs de domaine, catalogues globaux et données répliquées
Les données enregistrées dans Active Directory sur chaque contrôleur de domaine (qu'il s'agisse ou non d'un serveur de catalogue global) sont réparties en trois catégories : les données de domaine, de schéma et de configuration. Chacune de ces catégories se situe dans une partition d'annuaire distincte, appelée également contexte d'affectation de nom. Ces partitions d'annuaire constituent les unités de réplication. Les trois partitions d'annuaire comprises dans chaque serveur Active Directory sont définies comme suit :

• • •

Partition d'annuaire de données de domaine. Contient tous les objets de l'annuaire pour ce domaine. Les

données de chaque domaine sont répliquées sur tous les contrôleurs de domaine que le domaine contient, mais pas au-delà. Partition d'annuaire de données de schéma. Contient tous les types d'objet qui peuvent être créés dans Active

Directory, ainsi que leurs attributs. Ces données sont communes à tous les domaines de l'arborescence de domaines ou de la forêt. Les données de schéma sont répliquées sur tous les contrôleurs de domaine de la forêt. Partition d'annuaire de données de configuration. Contient la topologie de réplication et les métadonnées

associées. Les applications qui reconnaissent Active Directory enregistrent des données dans la partition d'annuaire de configuration. Ces données sont communes à tous les domaines de l'arborescence de domaines ou de la forêt. Les données de configuration sont répliquées sur tous les contrôleurs de domaine de la forêt.

Si le contrôleur de données est également le serveur de catalogue global, il contient en outre une quatrième catégorie de données :

Réplica partiel de la partition d'annuaire de données de domaine pour tous les domaines. Un serveur de

catalogue global enregistre et réplique non seulement un jeu complet de tous les objets de l'annuaire pour son propre domaine hôte, mais également un réplica partiel de la partition d'annuaire de domaine de tous les autres domaines de la forêt. Ce réplica partiel contient, par définition, un sous-ensemble des propriétés de tous les objets de tous les domaines de la forêt. (Un réplica partiel n'est accessible qu'en lecture seule, alors qu'un réplica complet l'est en lecture/écriture.) Si un domaine contient un catalogue global, les autres contrôleurs de domaine répliquent tous les objets de ce domaine (avec un sous-ensemble de leurs propriétés) sur le catalogue global, puis une réplication partielle est exécutée entre les catalogues globaux. Si un domaine ne possède pas de catalogue global, c'est un contrôleur de domaine standard qui sert de source au réplica partiel. Par défaut, le sous-ensemble d'attributs enregistré dans le catalogue global contient les attributs qui sont le plus souvent utilisés lors des opérations de recherche, car l'une des fonctions essentielles du catalogue global est la prise en charge des clients qui interrogent l'annuaire. Si vous utilisez des catalogues globaux pour effectuer une réplication partielle de domaine au lieu de répliquer un domaine complet, vous réduisez le trafic de réseau étendu.

Réplication dans un site
Si votre réseau est formé d'un réseau local (LAN) unique ou d'un ensemble de réseaux locaux connectés par une structure fondamentale à haute vitesse, l'ensemble du réseau peut constituer un site unique. Le premier contrôleur de domaine que vous installez crée automatiquement le premier site, connu sous le nom de Default-First-Site-Name. Une

fois le premier contrôleur de domaine installé, tous les contrôleurs de domaine supplémentaires sont automatiquement ajoutés au même site que le contrôleur de domaine initial. (Si vous le souhaitez, vous pouvez ensuite les déplacer vers d'autres sites.) Seule exception : Si, lorsque vous installez un contrôleur de domaine, l'adresse IP de ce dernier correspond au sous-réseau déjà spécifié dans un autre site, le contrôleur de domaine est ajouté à cet autre site. Au sein d'un site, les données d'annuaire sont répliquées fréquemment et automatiquement. La réplication intra-site est définie pour réduire au minimum le délai de réplication, c'est-à-dire pour mettre les données à jour le plus possible. Les mises à jour d'annuaire intra-site ne sont pas compressées. Les échanges non compressés utilisent davantage de ressources réseau mais demandent une puissance de traitement moins importante de la part des contrôleurs de domaine. La figure 9 illustre la réplication au sein d'un site. Trois contrôleurs de domaine (dont l'un est aussi le catalogue global) répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet).

Figure 9. Réplication intra-site avec un domaine unique

La topologie de réplication, c'est-à-dire la configuration formée par les connexions qui répliquent les données d'annuaire entre les contrôleurs de domaine, est générée automatiquement par le service Knowledge Consistency Checker (KCC) dans Active Directory. La topologie de site Active Directory est une représentation logique d'un réseau physique ; elle est définie sur la base d'une forêt. Active Directory essaie d'établir une topologie qui offre au moins deux connexions à chaque contrôleur de domaine, de sorte que, si un contrôleur de domaine devient indisponible, les données d'annuaire puissent toujours atteindre tous les contrôleurs de domaine en ligne par l'autre connexion. Active Directory évalue et ajuste automatiquement la topologie de réplication pour qu'elle s'adapte à l'évolution du réseau. Par exemple, lorsqu'un contrôleur de domaine est ajouté à un site, la topologie de réplication est adaptée pour englober efficacement cet ajout. Les clients et les serveurs de Active Directory utilisent la topologie de sites de la forêt pour diriger efficacement le trafic des requêtes et des réplications. Si vous élargissez votre déploiement du premier contrôleur de domaine d'un domaine à plusieurs contrôleurs de domaine au sein de domaines multiples (toujours à l'intérieur d'un même site), les données d'annuaire répliquées sont modifiées pour tenir compte de la réplication du réplica partiel sur des catalogues globaux dans différents domaines. La

figure 10 montre deux domaines, comportant chacun trois contrôleurs de domaine. Dans chacun des sites, l'un des contrôleurs de domaine est également le serveur de catalogue global. Au sein de chaque domaine, les contrôleurs de domaine répliquent les données de schéma et de configuration de la forêt, ainsi que tous les objets d'annuaire (avec un jeu complet des attributs de chaque objet), exactement comme à la figure 9. En outre, chaque catalogue global réplique sur l'autre catalogue global les objets d'annuaire (avec uniquement un sous-ensemble de leurs attributs) pour son propre domaine.

Figure 10. Réplication intra-site avec deux domaines et deux catalogues globaux

Réplication inter-sites
Créez des sites multiples pour optimiser à la fois le trafic serveur-serveur et le trafic client-serveur sur les liaisons de réseau étendu. Dans le système d'exploitation Windows 2000, la réplication inter-sites réduit automatiquement la consommation de bande passante entre les sites. Lorsque vous créez des sites multiples, respectez les recommandations suivantes :

• •

Géographie. Définissez en tant que site distinct chaque zone géographique qui nécessite un accès rapide aux

données d'annuaire les plus récentes. Ainsi, vos utilisateurs peuvent accéder à toutes les ressources dont ils ont besoin. Contrôleurs de domaine et catalogues globaux. Placez au moins un contrôleur de domaine dans chaque site et

définissez au moins un contrôleur de domaine en tant que catalogue global dans chaque site . Les sites qui n'ont ni leurs propres contrôleurs de domaine ni catalogue global dépendent des autres sites pour obtenir leurs données d'annuaire et sont donc moins efficaces.

Connexion entre les sites Les connexions réseau entre sites sont représentées par des liens de sites. Un lien de sites est une connexion à faible bande passante ou une connexion non fiable entre au moins deux sites. Un réseau étendu qui connecte deux réseaux rapides constitue un exemple de lien de sites. D'une manière générale, n'importe quelle couple de réseaux connectés par une liaison de vitesse inférieure à celle d'un réseau local sont considérés comme connectés par un lien de sites. Par ailleurs, une liaison rapide proche de la saturation dont la bande passante est peu efficace est également considérée comme un lien de sites. Lorsque vous disposez de plusieurs sites, les sites connectés par des liens de sites s'intègrent à la topologie de réplication.

Dans un réseau Windows 2000, les liens de sites ne sont pas générés automatiquement ; vous devez les créer à l'aide de l'outil Sites et services Active Directory. Lorsque vous créez des liens de sites et que vous configurez leur disponibilité de réplication, leur coût relatif et leur fréquence de réplication, vous fournissez à Active Directory des informations sur les objets de connexion à créer pour répliquer les données d'annuaire. Active Directory utilise les liens de sites comme des indicateurs pour savoir où créer des objets de connexion, et les objets de connexion utilisent les connexions réseau effectives pour échanger des données d'annuaire. Chaque lien de sites est associé à un planning qui indique à quels moments de la journée le lien est disponible pour effectuer le trafic de réplication. Par défaut, les liens de sites sont transitifs, ce qui signifie qu'un contrôleur de domaine dans un site peut effectuer des connexions de réplication avec des contrôleurs de domaine dans n'importe quel autre site. Ainsi, si le site A est connecté au site B, et si le site B est connecté au site C, les contrôleurs de domaine du site A peuvent communiquer avec les contrôleurs de domaine du site C. Lorsque vous créez un site, il se peut que vous souhaitiez créer des liens supplémentaires pour permettre des connexions spécifiques entre des sites et personnaliser des liens de sites existants. La figure 11 montre deux sites connectés par un lien de sites. Parmi les six contrôleurs de domaine représentés dans cette figure, deux sont des serveurs ponts (le rôle de serveur pont est attribué automatiquement par le système).

Figure 11. Deux sites connectés par un lien de sites. Le serveur pont de chaque site est utilisé de manière préférentielle pour échanger des données entre les sites.

Les serveurs ponts sont les serveurs choisis de préférence pour la réplication, mais vous pouvez également configurer les autres contrôleurs de domaine du site pour qu'ils se chargent de la réplication des modifications d'annuaire d'un site à l'autre. Une fois les mises à jour répliquées d'un site sur le serveur pont de l'autre site, elles sont répliquées vers les autres contrôleurs de domaine au sein du site par la réplication intra-site. Bien qu'un seul contrôleur de domaine reçoive la mise à jour d'annuaire inter-sites initiale, tous les contrôleurs de domaine servent les requêtes client.

Protocoles de réplication

Les données d'annuaire peuvent être échangées à l'aide des protocoles de réseau suivants :

• •

Réplication IP. La réplication IP utilise des RPC pour la réplication dans un même site (réplication intra-site) et

pour la réplication via des liens de sites (réplication inter-sites). Par défaut, la réplication inter-sites se conforme aux plannings de réplication. La réplication IP n'a pas besoin d'autorité de certification. Réplication SMTP. Si un site ne dispose pas de connexion physique au reste de votre réseau mais peut être joint

par SMTP (Simple Mail Transfer Protocol), il ne dispose que d'une connectivité par messagerie. La réplication SMTP n'est utilisée que pour la réplication inter-sites. Vous ne pouvez pas utiliser la réplication SMTP pour une réplication entre contrôleurs de domaine appartenant à un même domaine ; SMTP ne prend en charge que la réplication interdomaines (en d'autres termes, SMTP ne peut être utilisé que pour la réplication inter-sites inter-domaines). La réplication SMTP ne peut être utilisée que pour la réplication de schéma, de configuration et de réplica partiel de catalogue global. La réplication SMTP se conforme au planning de réplication généré automatiquement. Si vous décidez d'utiliser SMTP par l'intermédiaire de liens de sites, vous devez installer et configurer une autorité de certification d'entreprise. Les contrôleurs de domaine obtiennent auprès de l'autorité de certification des certificats qui leur permettent ensuite de signer et de crypter les messages de courrier électronique qui contiennent les données de réplication d'annuaire, garantissant ainsi l'authenticité des mises à jour d'annuaire. La réplication SMTP utilise un cryptage sur 56 bits.

Réplication multimaître
Les contrôleurs de domaine de Active Directory prennent en charge la réplication multimaître, en synchronisant les données sur chaque contrôleur de domaine et en assurant la cohérence temporelle des données. La réplication multimaître réplique les données de Active Directory entre les contrôleurs de domaine homologues, chacun possédant une copie de l'annuaire en lecture/écriture. Il s'agit d'une nouveauté par rapport au système d'exploitation Windows NT Server, dans lequel seul le contrôleur de domaine principal disposait d'une copie de l'annuaire en lecture/écriture, les contrôleurs de domaine secondaires ne recevant que des copies en lecture seule. Une fois configurée, la réplication s'effectue de manière automatique et transparente. Propagation de la mise à jour et numéros de séquence de mise à jour Certains services d'annuaire utilisent des horodatages pour détecter et propager les modifications. Avec de tels systèmes, il est impératif de s'assurer de la synchronisation des horloges sur tous les serveurs d'annuaire. La synchronisation temporelle d'un réseau est une tâche très ardue. Même si elle est excellente, l'heure d'un serveur d'annuaire donné risque d'être mal réglée, ce qui peut entraîner la perte de mises à jour. Le système de réplication de Active Directory propage les mises à jour indépendamment du temps. En effet, il utilise des numéros de séquence de mise à jour (USN, Update Sequence Number). Un USN est un nombre codé sur 64 bits maintenu par chaque contrôleur de domaine Active Directory pour surveiller les mises à jour. Lorsque le serveur écrit sur un attribut ou une propriété d'un objet Active Directory (y compris l'écriture d'origine ou une écriture répliquée), l'USN est incrémenté et enregistré avec la propriété mise à jour et une propriété spécifique au contrôleur de domaine. Cette opération a lieu d'un seul tenant, c'est-à-dire que l'incrémentation et l'enregistrement de l'USN ainsi que l'écriture de la propriété réussissent tous les trois ou échouent tous les trois. Chaque serveur Active Directory maintient également une table des USN reçus de ses partenaires de réplication. L'USN le plus élevé reçu de chacun des partenaires est enregistré. Lorsqu'un partenaire donné informe Active Directory d'une réplication imminente, le serveur demande à recevoir toutes les modifications dont l'USN est supérieur à la dernière valeur reçue. Cette approche simple ne dépend pas de la précision des horodatages. Comme l'USN enregistré dans la table est mis à jour au cours d'une opération groupée à la réception de chaque mise à jour, la récupération après échec est aussi très simple. Pour relancer la réplication, il suffit qu'un serveur demande à

ses partenaires toutes les modifications dont les USN sont supérieurs à la dernière entrée valide de la table. La table étant mise à jour par une opération groupée au moment où les modifications sont réellement effectuées, un cycle de réplication reprend toujours exactement là où il a été interrompu, sans perte ni répétition des mises à jour. Détection des collisions et numéros de version des propriétés Dans un système de réplication multimaître comme celui de Active Directory, il est possible que la même propriété soit mise à jour sur plusieurs réplicas différents. Si une propriété est modifiée sur un deuxième (troisième, quatrième, etc.) réplica avant qu'une modification du premier réplica ait été complètement propagée, une collision de réplications se produit. Les collisions sont détectées à l'aide de numéros de version de propriété. Contrairement aux USN, qui sont des valeurs spécifiques aux serveurs, un numéro de version de propriété est spécifique à la propriété jointe à un objet dans Active Directory. Lorsqu'une propriété est écrite pour la première fois sur un objet Active Directory, le numéro de version est initialisé. Les écritures d'origine incrémentent le numéro de version de propriété. Une écriture d'origine est une écriture sur une propriété du système à l'origine de la modification. Les écritures sur propriété engendrées par la réplication ne sont pas des écritures d'origine et n'incrémentent pas le numéro de version. Par exemple, lorsqu'un utilisateur met à jour son mot de passe, une écriture d'origine est effectuée et le numéro de version du mot de passe est incrémenté. Par contre, les écritures de réplication du mot de passe modifié sur d'autres serveurs n'incrémentent pas le numéro de version. Il y a collision lorsque, lors d'une modification reçue par réplication, le numéro de version reçu est égal au numéro de version enregistré localement, et que la valeur reçue et la valeur enregistrées sont différentes. Dans ce cas, le système récepteur applique la mise à jour dont l'horodatage est le plus récent. À l'exception de cette situation, l'heure et la date n'interviennent pas dans la réplication. Si le numéro de version reçu est inférieur au numéro de version enregistré localement, la mise à jour est considérée comme caduque et rejetée. Si le numéro de version reçu est supérieur au numéro de version enregistré localement, la mise à jour est acceptée. Amortissement de la propagation Le système de réplication de Active Directory autorise la présence de boucles dans la topologie de réplication. L'administrateur peut ainsi configurer une topologie de réplication comportant des chemins d'accès multiples entre serveurs pour accroître les performances et la disponibilité. Le système de réplication de Active Directory pratique l'amortissement de la propagation pour éviter que des modifications se propagent indéfiniment et pour éliminer la transmission redondante de modifications à des réplicas déjà à jour. Pour amortir la propagation, le système de réplication de Active Directory utilise des vecteurs de mise à jour. Le vecteur de mise à jour est une liste des paires serveur-USN maintenues par chaque serveur. Le vecteur de mise à jour de chaque serveur indique l'USN d'écritures d'origine le plus élevé reçu du serveur figurant dans la paire serveur-USN. Le vecteur de mise à jour d'un serveur appartenant à un site donné répertorie tous les autres serveurs de ce site15. Lorsqu'un cycle de réplication commence, le serveur demandeur envoie son vecteur de mise à jour au serveur émetteur. Le serveur émetteur utilise le vecteur de mise à jour pour filtrer les modifications envoyées au serveur demandeur. Si l'USN le plus élevé pour un serveur d'origine donné est supérieur ou égal à l'USN d'écriture d'origine d'une mise à jour particulière, le serveur émetteur n'a pas besoin de transmettre la modification : le serveur demandeur est déjà à jour par rapport au serveur d'origine.

Architecture Active Directory (4/4)
Sur cette page Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites Délégation de conteneur Stratégie de groupe Interopérabilité Protocole LDAP Active Directory et LDAP Interfaces de programmation d'applications ADSI API LDAP C Synchronisation de Active Directory avec d'autres services d'annuaire Active Directory et Microsoft Exchange Active Directory et Novell NDS et NetWare Active Directory et Lotus Notes Active Directory et GroupWise Active Directory et LDIFDE Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité Rôle de Kerberos dans l'interopérabilité Compatibilité ascendante avec le système d'exploitation Windows NT Résumé Pour plus d'informations Annexe : Outils Microsoft Management Console Composants logiciels enfichables Active Directory Nouvelles procédures d'exécution de tâches courantes Outils de ligne de commande Active Directory Page de référence des commandes Windows 2000 ADSI

Utilisation de la délégation et de la stratégie de groupe avec les unités d'organisation, les domaines et les sites
Vous pouvez déléguer des autorisations administratives pour les conteneurs Active Directory suivants, auxquels vous pouvez également associer des stratégies de groupe :

• • •

unités d'organisation domaines sites

L'unité d'organisation est le plus petit conteneur Windows 2000 auquel vous pouvez déléguer de l'autorité et appliquer une stratégie de groupe16. La délégation comme la stratégie de groupe sont des fonctionnalités de sécurité du système d'exploitation Windows 2000. Ce document décrit brièvement ces fonctionnalités du stricte point de vue de

l'architecture pour démontrer que la structure de Active Directory détermine la manière d'utiliser la délégation et la stratégie de groupe des conteneurs. L'attribution d'autorité administrative à des unités d'organisation, à des domaines ou à des sites vous permet de déléguer l'administration des utilisateurs et des ressources. L'attribution d'objets Stratégie de groupe à l'un ou l'autre de ces trois types de conteneurs vous permet de définir des configurations de bureau et une politique de sécurité pour les utilisateurs et les ordinateurs du conteneur. Les deux sous-sections suivantes abordent ces thèmes de manière détaillée.

Délégation de conteneur
Dans le système d'exploitation Windows 2000, la délégation est ce qui permet à une autorité administrative supérieure d'accorder des droits administratifs sur des unités d'organisation, des domaines ou des sites à des groupes d'utilisateurs (ou à des utilisateurs individuels). Vous pouvez ainsi réduire le nombre d'administrateurs disposant d'une autorité globale sur des segments importants de la population des utilisateurs. Déléguer le contrôle d'un conteneur vous permet de spécifier qui dispose des autorisations nécessaires pour accéder à cet objet ou à ses objets enfants ou pour les modifier. La délégation est l'une des fonctionnalités de sécurité les plus importantes de Active Directory. Délégation de domaine et d'unité d'organisation Dans le système d'exploitation Windows NT 4.0, les administrateurs peuvent déléguer une partie de l'administration en créant de multiples domaines qui leur permettent de disposer d'ensembles d'administrateurs de domaine distincts. Dans Windows 2000, les unités d'organisation sont plus faciles à créer, à supprimer, à déplacer et à modifier que les domaines, et sont par conséquent plus adaptées à la délégation. Pour déléguer de l'autorité administrative (à part l'autorité sur les sites, abordée dans la section suivante), vous accordez à un groupe des droits spécifiques sur un domaine ou une unité d'organisation en modifiant la liste de contrôle d'accès discrétionnaire (DACL) du conteneur17. Par défaut, les membres du groupe de sécurité des administrateurs de domaine ont autorité sur le domaine dans son ensemble, mais vous pouvez restreindre l'appartenance à ce groupe à un nombre limité d'administrateurs en qui vous avez la plus grande confiance. Pour créer des administrateurs à champ d'action limité, vous pouvez déléguer de l'autorité à tous les niveaux de votre organisation, jusqu'au niveau le plus bas, en créant un arborescence d'unités d'organisation au sein de chaque domaine et en déléguant de l'autorité sur des parties de la sous-arborescence d'unités d'organisation. Les administrateurs de domaine disposent d'un contrôle total sur tous les objets de leur domaine. Par contre, ils n'ont aucun droit administratif sur les objets des autres domaines18. Vous pouvez déléguer l'administration d'un domaine ou d'une unité d'organisation à l'aide de l'Assistant Délégation de contrôle, disponible dans le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Cliquez à l'aide du bouton droit de la souris sur le domaine ou l'unité d'organisation de votre choix, sélectionnez Déléguer le contrôle, ajoutez les groupes (ou les utilisateurs) auxquels vous souhaitez déléguer le contrôle, puis déléguez les tâches courantes reprises dans la liste ou créez une tâche courante à déléguer. Le tableau suivant reprend les tâches courantes que vous pouvez déléguer.

Tâches courantes de domaine que vous pouvez déléguer Associer un ordinateur à un domaine Administrer les liens de stratégie de groupe

Tâches courantes d'unité d'organisation que vous pouvez déléguer Créer, supprimer et administrer les comptes d'utilisateur Réinitialiser les mots de passe des comptes d'utilisateur Lire toutes les données utilisateur Créer, supprimer et administrer les groupes Modifier l'appartenance à un groupe Administrer les imprimantes Créer et supprimer des imprimantes Administrer les liens de stratégie de groupe

En utilisant une combinaison d'unités d'organisation, de groupes et d'autorisations, vous pouvez définir l'étendue administrative la plus appropriée à un groupe donné : un domaine complet, une sous-arborescence d'unités d'organisation ou une unité d'organisation unique. Par exemple, il se peut que vous souhaitiez créer une unité d'organisation qui vous permette d'accorder le contrôle administratif à tous les utilisateurs et à tous les comptes d'ordinateur de tous les services d'un même service, tel que le service Comptabilité. D'autre part, il se peut que vous vouliez accorder le contrôle administratif à certaines ressources du service, telles que les comptes d'ordinateur. Enfin, une autre possibilité consisterait à accorder le contrôle administratif à l'unité d'organisation Comptabilité, mais pas aux unités d'organisation qu'elle contient. Dans la mesure où les unités d'organisation sont utilisées pour la délégation administrative et ne constituent pas elles-mêmes des entités de sécurité, c'est l'unité d'organisation parent d'un objet utilisateur qui indique qui administre cet objet. Par contre, elle n'indique pas à quelles ressources cet utilisateur particulier peut accéder. Délégation de site Vous utilisez Sites et services Active Directory pour déléguer le contrôle sur des sites, des conteneurs de serveur, des protocoles de transfert inter-sites (IP ou SMTP) ou des sous-réseaux. La délégation de contrôle sur l'une ou l'autre de ces entités donne à l'administrateur délégué la possibilité de manipuler cette entité, mais pas celle d'administrer les utilisateurs ou les ordinateurs qu'elle contient. Par exemple, lorsque vous déléguez le contrôle d'un site, vous pouvez choisir de déléguer le contrôle de tous les objets, ou vous pouvez vous contenter de déléguer le contrôle d'un ou de plusieurs objets situés dans ce site. Les objets dont vous pouvez déléguer le contrôle sont les objets Utilisateur, Ordinateur, Groupe, Imprimante, Unité d'organisation, Dossier partagé, Site, Lien de sites, Pont de lien de sites, etc. Vous êtes ensuite invité à sélectionner la portée des autorisations que vous voulez déléguer (générale, spécifique à une propriété ou simplement la création/suppression d'objets enfants spécifiques). Si vous spécifiez une portée générale, vous êtes invité à accorder une ou plusieurs des autorisations suivantes : Contrôle total, Lecture, Écriture, Création de tous les objets enfants, Suppression de tous les objets enfants, Lecture de toutes les propriétés, Écriture de toutes les propriétés.

Stratégie de groupe
Dans Windows NT 4.0, vous utilisez l'éditeur de stratégie système pour définir les configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme plus large de composants gérables par les administrateurs dans l'environnement utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des utilisateurs) et une redirection de dossiers spéciaux19.

Le système applique les paramètres de configuration de stratégie de groupe aux ordinateurs au moment de l'amorçage et aux utilisateurs lorsqu'ils ouvrent une session. Pour appliquer les paramètres de stratégie de groupe aux utilisateurs ou aux ordinateurs dans les sites, les domaines et les unités d'organisation, vous devez lier l'objet Stratégie de groupe au conteneur de Active Directory des utilisateurs ou des ordinateurs concernés. Par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur lié. Utilisez l'appartenance aux groupes de sécurité pour retenir les objets Stratégie de groupe qui affectent les utilisateurs et les ordinateurs d'une unité d'organisation, d'un domaine ou d'un site donné. Vous pouvez ainsi appliquer la stratégie à un niveau plus granulaire. En d'autres termes, l'utilisation des groupes de sécurité vous permet d'appliquer la stratégie à des ensembles d'objets spécifiques au sein d'un conteneur. Pour filtrer la stratégie de groupe de cette manière, vous devez utiliser l'onglet Sécurité de la page Propriétés d'un objet Stratégie de groupe, afin de décider qui peut lire cet objet. L'objet n'est appliqué qu'aux utilisateurs dont les paramètres Application de la stratégie de groupe et Lecture sont définis sur Autorisé (utilisateur membre d'un groupe de sécurité). Toutefois, dans la mesure où les utilisateurs ordinaires disposent de ces autorisations par défaut, la stratégie de groupe affecte tous les utilisateurs et tous les ordinateurs du conteneur lié à moins que vous ne modifiiez explicitement ces autorisations. L'emplacement d'un groupe de sécurité dans Active Directory n'a aucun impact sur la stratégie de groupe. Pour le conteneur spécifique auquel l'objet Stratégie de groupe est appliqué, les paramètres de l'objet Stratégie de groupe déterminent :

• •

les ressources de domaine (telles que les applications) dont les utilisateurs peuvent

disposer ; la configuration d'utilisation de ces ressources de domaine.

Par exemple, un objet Stratégie de groupe peut déterminer les applications dont les utilisateurs peuvent disposer sur leur ordinateur lorsqu'ils ouvrent une session, le nombre d'utilisateurs qui peuvent se connecter à Microsoft SQL Server quand il démarre sur un serveur, ou encore les services auxquels les utilisateurs peuvent accéder lorsqu'ils migrent vers des services ou des groupes différents. La stratégie de groupe vous permet d'administrer un nombre restreint d'objets Stratégie de groupe plutôt qu'un grand nombre d'utilisateurs et d'ordinateurs. Les sites, les domaines et les unités d'organisation, contrairement aux groupes de sécurité, n'accordent pas d'appartenance. Au contraire, ils contiennent et organisent des objets d'annuaire. Vous pouvez utiliser les groupes de sécurité pour accorder des droits et des autorisations aux utilisateurs, puis utiliser les trois types de conteneurs Active Directory pour regrouper les utilisateurs et les ordinateurs et affecter des paramètres de stratégie de groupe. Dans la mesure où l'accès aux ressources est accordé via des groupes de sécurité, vous jugerez peut-être qu'il est plus efficace d'utiliser les groupes de sécurité pour représenter la structure d'organisation de votre entreprise plutôt qu'utiliser les domaines ou les unités d'organisation pour refléter sa structure technique. Par défaut, les paramètres de stratégie établis à l'échelle du domaine ou appliqués à une unité d'organisation contenant d'autres unités d'organisation sont hérités par les conteneurs enfants, à moins que l'administrateur ne spécifie explicitement que l'héritage ne s'applique pas à l'un ou plusieurs de ces derniers. Délégation du contrôle de la stratégie de groupe Les administrateurs réseau (les membres des groupes Administrateurs d'entreprise et Administrateurs de domaine) peuvent utiliser l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe pour déterminer les autres groupes d'administrateurs qui peuvent modifier les paramètres de stratégie dans les objets Stratégie de groupe. Pour ce faire, un administrateur réseau doit d'abord définir des groupes d'administrateurs (par exemple celui des administrateurs du marketing), puis leur accorder l'accès en lecture/écriture à des objets Stratégie de groupe précis. Le fait qu'il dispose du contrôle total sur un objet Stratégie de groupe n'autorise pas un administrateur à le lier à un site, à un domaine ou à une unité d'organisation. Toutefois, les administrateurs réseau peuvent accorder ce pouvoir à l'aide de l'Assistant Délégation de contrôle.

Windows 2000 vous permet de déléguer de manière indépendante les trois tâches de stratégie de groupe suivantes :

• • •

gestion des liens de stratégie de groupe pour un site, un domaine ou une unité

d'organisation ; création d'objets Stratégie de groupe ; modification d'objets Stratégie de groupe.

L'outil Stratégie de groupe, comme la plupart des autres outils d'administration de Windows 2000, est hébergées dans les consoles MMC. Les droits de créer, de configurer et d'utiliser les consoles MMC ont par conséquent des implications stratégiques. Vous pouvez contrôler ces droits à l'aide de Stratégie de groupe sous <nom d'objet Stratégie de groupe>/User Configuration/Administrative Templates/Windows Components/Microsoft Management Console/ et ses sous-dossiers. Le tableau 4 donne la liste des paramètres d'autorisation de sécurité pour un objet Stratégie de groupe. Tableau 4. Paramètres d'autorisation de sécurité pour un objet Stratégie de groupe

Groupes (ou utilisateurs) Utilisateur authentifié

Autorisation de sécurité Lecture avec ACE Application de stratégie de groupe

Administrateurs de domaine Contrôle total sans ACE Application de stratégie de Administrateurs d'entreprise groupe Système local de créateur propriétaire
Remarque Par défaut, les administrateurs sont également des utilisateurs authentifiés, ce qui signifie que leur attribut Application de stratégie de groupe est activé. Pour des informations détaillées sur Stratégie de groupe, voir la section "Pour plus d'informations" à la fin de ce document.

Interopérabilité
De nombreuses entreprises dépendent d'un ensemble de technologies variées qui doivent collaborer. Active Directory prend en charge de nombreuses normes afin d'assurer l'interopérabilité de l'environnement Windows 2000 avec d'autres produits Microsoft et avec une large gamme de produits créés par d'autres éditeurs ou fabricants. Cette section décrit les types d'interopérabilité suivants, pris en charge par Active Directory :

• • • • • •

Protocole LDAP Interfaces de programmation d'applications (API) Synchronisation de Active Directory avec d'autres services d'annuaire Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité Rôle de Kerberos dans l'interopérabilité Compatibilité ascendante avec le système d'exploitation Windows NT

Protocole LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est la norme industrielle de l'accès aux annuaires. L'IETF (Internet Engineering Task Force) étudie actuellement LDAP pour en faire une norme Internet.

Active Directory et LDAP
LDAP est le protocole principal d'accès aux annuaires qui permet d'ajouter, de modifier et de supprimer des données enregistrées dans Active Directory, et qui permet en outre de rechercher et de récupérer ces données. Le système d'exploitation Windows 2000 prend en charge les versions 2 et 320 de LDAP. LDAP définit comment un client d'annuaire peut accéder à un serveur d'annuaire, mais aussi comment il peut effectuer des opérations d'annuaire et partager des données d'annuaire. En d'autres termes, les clients Active Directory doivent utiliser LDAP pour obtenir des données de Active Directory ou pour y maintenir des données. LDAP permet à Active Directory d'être interopérable avec d'autres applications clientes conformes à cette norme. Si vous disposez des autorisations nécessaires, vous pouvez utiliser n'importe quelle application cliente conforme à LDAP pour parcourir et interroger Active Directory ou pour y ajouter, y modifier ou y supprimer des données.

Interfaces de programmation d'applications
Vous pouvez utiliser les interfaces de programmation d'applications (API) suivantes pour accéder aux données de Active Directory :

• •

ADSI (Active Directory Service Interface). API LDAP C.

Ces API sont décrites dans les deux sous-sections suivantes.

ADSI
ADSI (Active Directory Service Interface) permet d'accéder à Active Directory en présentant les objets enregistrés dans l'annuaire comme des objets COM (Component Object Model). Un objet d'annuaire est ainsi manipulé à l'aide des méthodes disponibles dans une ou plusieurs des interfaces COM. ADSI dispose d'une architecture fournisseur qui permet l'accès COM à différents types d'annuaires pour lesquels un fournisseur existe. À l'heure actuelle, Microsoft propose des fournisseurs ADSI pour Novell NDS (NetWare Directory Services) et NetWare 3, Windows NT, LDAP et pour la métabase IIS (Internet Information Services). (La métabase IIS rassemble les paramètres de configuration d'IIS.) Le fournisseur LDAP peut être utilisé avec n'importe quel annuaire LDAP, dont Active Directory, Microsoft Exchange 5.5 ou encore Netscape. Vous pouvez utiliser ADSI à partir de nombreux outils différents, des applications Microsoft Office à C/C++. ADSI est extensible, si bien que vous pouvez ajouter des fonctionnalités à un objet ADSI pour prendre en charge de nouvelles propriétés et de nouvelles méthodes. Par exemple, vous pouvez ajouter une méthode à l'objet utilisateur qui crée une boîte aux lettres Exchange pour un utilisateur lorsque cette méthode est appelée. ADSI possède un modèle de programmation très simple. Il permet de supprimer la surcharge d'administration des données caractéristique des interfaces autres que COM, comme les API LDAP C. ADSI est entièrement scriptable et permet donc de développer facilement des applications Web étoffées. ADSI prend en charge ADO (ActiveX Data Objects) et OLE DB (Object Linking and Embedding Database) pour la formulation de requêtes.

Les développeurs et les administrateurs peuvent ajouter des objets et des attributs à Active Directory en créant des scripts basés sur ADSI (ainsi que des scripts basés sur LDIFDE, abordé plus loin dans ce document).

API LDAP C
L'API LDAP C, définie dans la norme Internet RFC 1823, rassemble des API écrites en C de bas niveau permettant une interface avec LDAP. Microsoft prend en charge les API LDAP C sur toutes les plates-formes Windows. Les développeurs peuvent choisir d'écrire leurs applications compatibles avec Active Directory en utilisant des API LDAP C ou ADSI. Ils utilisent plus souvent les API LDAP C pour faciliter la portabilité des applications compatibles annuaire sur la plate-forme Windows. D'un autre côté, ADSI est un langage plus puissant et plus approprié pour les développeurs qui écrivent du code compatible annuaires sur la plate-forme Windows.

Synchronisation de Active Directory avec d'autres services d'annuaire
Microsoft fournit des services de synchronisation d'annuaires qui vous permettent de synchroniser Active Directory avec Microsoft Exchange 5.5, Novell NDS, Novell NetWare, Lotus Notes et GroupWise. En outre, des utilitaires de ligne de commande vous permettent d'importer et d'exporter des données d'annuaire à partir et vers d'autres services d'annuaire.

Active Directory et Microsoft Exchange
Le système d'exploitation Windows 2000 dispose du service Connecteur Active Directory qui permet une synchronisation bidirectionnelle avec Microsoft Exchange 5.5. Le connecteur Active Directory offre un mappage étoffé des objets et des attributs lorsqu'il synchronise les données entre les deux annuaires. Pour plus d'informations sur le connecteur Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.

Active Directory et Novell NDS et NetWare
Microsoft compte livrer, dans le cadre des Services pour Netware 5.0, un service de synchronisation d'annuaire qui permet une synchronisation bidirectionnelle entre Active Directory et les produits Novell NDS et NetWare.

Active Directory et Lotus Notes
Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec Lotus Notes en vue de synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et GroupWise
Dans le cadre de Platinum, le nom de code de la prochaine version de Microsoft Exchange, Microsoft compte livrer un service de synchronisation d'annuaire qui effectuera une synchronisation bidirectionnelle avec GroupWise en vue de synchroniser le courrier électronique et d'autres attributs courants.

Active Directory et LDIFDE

Le système d'exploitation Windows 2000 fournit l'utilitaire de ligne de commande LDIFDE pour la prise en charge de l'importation et de l'exportation des données d'annuaire. LDIF (LDAP Data Interchange Format) est un projet de norme Internet, devenu une norme industrielle, qui définit le format de fichier utilisé pour échanger des données d'annuaire. LDIFDE est donc l'utilitaire Windows 2000 qui prend en charge l'importation de données dans l'annuaire et l'exportation de données à partir de l'annuaire en utilisant LDIF. LDIFDE vous permet d'exporter des données de Active Directory au format LDIF de sorte que vous puissiez ensuite les importer dans un autre annuaire. Vous pouvez aussi utiliser LDIFDE pour importer des données d'annuaire à partir d'un autre annuaire. LDIFDE vous permet d'effectuer des traitements par lots, tels que l'ajout, la suppression, le changement de nom ou la modification de données. Vous pouvez également remplir Active Directory avec des données obtenues à partir d'autres sources, telles que d'autres services d'annuaire. En outre, dans la mesure où le schéma de Active Directory est enregistré dans l'annuaire lui-même, vous pouvez utiliser LDIFDE pour sauvegarder ou étendre le schéma. Pour obtenir une liste des paramètres LDIFDE et savoir à quoi ils servent, voir les rubriques d'aide de Windows 2000. Pour des informations sur l'utilisation de LDIFDE pour des traitements par lots avec Active Directory, voir la section "Pour plus d'informations" à la fin de ce document.

Rôle des conteneurs virtuels et extérieurs dans l'interopérabilité
Un administrateur peut créer un objet de renvoi qui pointe sur un serveur dans un annuaire extérieur à la forêt. Lorsqu'un utilisateur effectue une recherche dans une sous-arborescence qui contient cet objet de renvoi, Active Directory renvoie un lien vers ce serveur parmi les résultats et le client LDAP peut suivre le lien pour récupérer les données requises par l'utilisateur. De telles références sont des objets conteneurs Active Directory qui renvoient à un annuaire extérieur à la forêt. Ici, une référence interne renvoie à un annuaire extérieur qui apparaît dans l'espace de noms Active Directory comme enfant d'un objet Active Directory existant, alors qu'une référence externe renvoie à un annuaire extérieur qui n'apparaît pas en tant qu'enfant dans l'espace de noms Active Directory. Tant pour les références internes qu'externes, Active Directory contient le nom de DNS d'un serveur qui héberge une copie de l'annuaire extérieur ainsi que le nom unique de la racine de l'annuaire extérieur à partir de laquelle les opérations de recherche doivent débuter.

Rôle de Kerberos dans l'interopérabilité
Le système d'exploitation Windows 2000 prend en charge de nombreuses configurations pour permettre une interopérabilité entre les plates-formes :

Clients. Un contrôleur de domaine Windows 2000 peut authentifier les systèmes clients qui utilisent des mises en

œuvre de Kerberos (RFC 1510), y compris s'ils exécutent un système d'exploitation autre que Windows 2000. Les comptes d'utilisateur et d'ordinateur Windows 2000 peuvent être utilisés comme des noms principaux Kerberos pour des services UNIX.

• •

Clients et services UNIX. Des clients et des serveurs UNIX peuvent disposer de comptes Active Directory au sein

d'un domaine Windows 2000 et peuvent donc être authentifiés par un contrôleur de domaine. Dans un tel scénario, un nom principal Kerberos est mappé sur un compte d'utilisateur ou d'ordinateur Windows 2000. Applications et systèmes d'exploitation. Les applications clientes pour Win32 et pour les systèmes

d'exploitation autres que Windows 2000 basés sur l'API GSS (General Security Service) peuvent obtenir des tickets de session pour des services au sein d'un domaine Windows 2000.

Dans un environnement qui utilise déjà un domaine Kerberos, le système d'exploitation Windows 2000 prend en charge l'interopérabilité avec les services Kerberos :

• •

Domaine Kerberos. Les systèmes Windows 2000 Professionnel peuvent s'authentifier auprès d'un serveur

Kerberos (RFC 1510) au sein d'un domaine approuvé Kerberos avec une connexion commune au serveur et à un compte local Windows 2000 Professionnel. Relations d'approbation avec les domaines Kerberos. Il est possible d'établir une relation d'approbation entre

un domaine Windows 2000 et un domaine Kerberos. En d'autres termes, un client d'un domaine Kerberos peut s'authentifier auprès d'un domaine Active Directory pour accéder aux ressources réseau de ce domaine.

Compatibilité ascendante avec le système d'exploitation Windows NT
Un type particulier d'interopérabilité consiste à maintenir la compatibilité ascendante avec les versions précédentes du système d'exploitation actuel. Le système d'exploitation Windows 2000 s'installe par défaut dans une configuration réseau à mode mixte. Un domaine à mode mixte est un ensemble d'ordinateurs mis en réseau qui exécutent à la fois des contrôleurs de domaine Windows NT et Windows 2000. Dans la mesure où Active Directory prend en charge ce mode mixte, vous pouvez mettre à niveau des domaines et des ordinateurs au rythme qui vous convient, selon les besoins de votre organisation. Active Directory prend en charge le protocole d'authentification NTLM (Windows NT LAN Manager), utilisé par Windows NT, ce qui signifie que les utilisateurs et les ordinateurs Windows NT autorisés peuvent se connecter à un domaine Windows 2000 et accéder à ses ressources. Pour les clients Windows NT et les clients Windows 95 ou Windows 98 qui n'exécutent pas le logiciel client Active Directory, un domaine Windows 2000 apparaît comme un domaine Windows NT Server 4.0.

Résumé
L'introduction de Active Directory est sans aucun doute l'amélioration la plus significative du système d'exploitation Windows 2000. Active Directory permet de centraliser et de simplifier l'administration réseau et permet ainsi au réseau de garantir la prise en charge des objectifs de l'entreprise. Active Directory enregistre les informations sur les objets du réseau et les met à la disponibilité des administrateurs, des utilisateurs et des applications. Il constitue un espace de nom intégré avec le système de noms de domaine (DNS, Domain Name System) d'Internet, et permet aussi de définir un serveur comme contrôleur de domaine. Pour structurer le réseau Active Directory et ses objets, vous pouvez utiliser des domaines, des arborescences, des forêts, des relations d'approbation, des unités d'organisation et des sites. Vous pouvez déléguer la responsabilité administrative des unités d'organisation, des domaines ou des sites aux personnes ou aux groupes de votre choix, et vous pouvez attribuer des paramètres de configuration à ces trois conteneurs Active Directory. Une telle architecture permet aux administrateurs d'administrer le réseau de sorte que les utilisateurs puissent se consacrer totalement aux objectifs de leur entreprise. De nos jours, il est rare qu'une entreprise ne dépende pas de diverses technologies qui doivent fonctionner ensemble. Active Directory est basé sur des protocoles d'accès aux annuaires standard, qui, avec de multiples API, lui permettent d'interagir avec d'autres services d'annuaire et une large gamme d'applications tierces. Enfin, Active Directory est capable de synchroniser des données avec Microsoft Exchange et fournit des utilitaires de ligne de commande qui permettent d'importer et d'exporter des données d'autres services d'annuaire.

Pour plus d'informations

Pour obtenir les informations les plus récentes sur le système d'exploitation Windows 2000, consultez Microsoft TechNet ou le site Web de Microsoft Windows 2000 Server. Vous pouvez également explorer les liens suivants :

• • • •

Kit de développement logiciel de la plate-forme Windows 2000

Utilisation de ADSI pour étendre le schéma par programme. Livre blanc "Introduction à la stratégie de groupe de Windows 2000"

Détails de la stratégie de groupe de Windows 2000. Visite guidée technique de la version Bêta 3 "Importation et exportation groupées de et vers Active

Directory" Utilisation de LDIFDE pour effectuer des traitements par lots avec Active Directory. Site Web de l'IETF (Internet Engineering Task Force)

RFC et projets de norme Internet de l'IETF.

Annexe : Outils
Cette annexe présente les logiciels que vous pouvez utiliser pour effectuer les tâches associées à Active Directory.

Microsoft Management Console
Dans le système d'exploitation Windows 2000 Server, Microsoft Management Console (MMC) fournit des interfaces cohérentes qui permettent aux administrateurs de visualiser les fonctions réseau et d'utiliser les outils d'administration. Qu'ils soient responsables d'un seul poste de travail ou d'un réseau d'ordinateurs, les administrateurs utilisent la même console. MMC héberge des composants logiciels enfichables, qui traitent de tâches d'administration réseau spécifiques. Quatre de ces composants logiciels enfichables sont des outils Active Directory.

Composants logiciels enfichables Active Directory
Les outils d'administration Active Directory, livrés avec le système d'exploitation Windows 2000 Server, simplifient l'administration des services d'annuaire. Vous pouvez utiliser les outils standard ou MMC pour créer des outils personnalisés destinées à une tâche d'administration spécifique. Vous pouvez combiner plusieurs outils en une console unique. Vous pouvez également attribuer des outils personnalisés à des administrateurs individuels responsables de tâches administratives spécifiques. Les composants logiciels enfichables Active Directory suivants sont disponibles dans le menu Outils d'administration Windows 2000 Server de tous les contrôleurs de domaine Windows 2000 :

• • • •

Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Sites et services Active Directory

Le quatrième composant logiciel enfichable Active Directory est : Schéma Active Directory

Il est recommandé d'étendre le schéma de Active Directory par programme, par l'intermédiaire des ADSI ou de l'utilitaire LDIFDE. Toutefois, à des fins de développement et de test, vous pouvez également visualiser et modifier le schéma de Active Directory avec le composant logiciel enfichable Schéma Active Directory. Schéma Active Directory n'est pas accessible par le menu Outils d'administration Windows 2000 Server. Vous devez installer les outils d'administration Windows 2000 à partir du CD-ROM Windows 2000 Server et les ajouter à une console MMC. Il existe un cinquième composant logiciel enfichable lié à Active Directory :

Stratégie de groupe

La mise en œuvre de stratégies de groupe est une tâche liée à la gestion des utilisateurs, des ordinateurs et des groupes dans Active Directory. Les objets Stratégie de groupe, qui contiennent des paramètres de stratégie, contrôlent le paramétrage des utilisateurs et des ordinateurs dans les sites, les domaines et les unités d'organisation. Pour créer ou modifier des objets Stratégie de groupe, vous devez utilisez le composant logiciel enfichable Stratégie de groupe, auquel vous accédez par le complément Utilisateurs et ordinateurs Active Directory ou Sites et services Active Directory (selon la tâche que vous voulez exécuter). Pour utiliser les outils d'administration Active Directory à distance, à partir d'un ordinateur qui n'est pas un contrôleur de domaine (par exemple, un ordinateur Windows 2000 Professionnel), vous devez installer Outils d'administration Windows 2000.

Nouvelles procédures d'exécution de tâches courantes
Le tableau 5 liste les tâches que vous pouvez exécuter à l'aide des composants logiciels enfichables Active Directory et des outils d'administration qui s'y rapportent. Pour les utilisateurs du système d'exploitation Windows NT, le tableau indique également où ces tâches sont exécutées lorsqu'ils utilisent les outils d'administration livrés avec Windows NT Server 4.0. Tableau 5. Tâches exécutées à l'aide des outils Active Directory et Stratégie de groupe

Si vous souhaitez :

Avec Windows NT 4.0, utilisez le composant suivant : Configuration Windows Gestionnaire des utilisateurs Gestionnaire des utilisateurs Gestionnaire de serveur Gestionnaire de serveurs Gestionnaire des utilisateurs Gestionnaire des utilisateurs Gestionnaire des utilisateurs

Avec Windows 2000, utilisez le composant suivant : Assistant Installation de Active Directory (accessible à partir de Configurez votre serveur) Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Utilisateurs et ordinateurs Active Directory Utilisateurs et ordinateurs Active Directory : modifiez l'objet Stratégie de groupe du domaine ou de l'unité d'organisation contenant les ordinateurs auxquels les droits de l'utilisateur s'appliquent. Utilisateurs et ordinateurs Active Directory : modifiez l'objet Stratégie de groupe attribué à l'unité d'organisation des contrôleurs de domaine. Stratégie de groupe, accessible à partir du complément Sites et services Active Directory Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory Modifier l'entrée autorisation pour Appliquer la stratégie de groupe sous l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe.

installer un contrôleur de domaine administrer des comptes d'utilisateur administrer des groupes administrer des comptes d'ordinateur ajouter un ordinateur à un domaine créer ou administrer des relations d'approbation administrer une stratégie de compte administrer les droits de l'utilisateur

administrer une stratégie d'audit

Gestionnaire d'utilisateurs

appliquer des stratégies à des Éditeur de stratégie utilisateurs ou à des ordinateurs système dans un site appliquer des stratégies à des utilisateurs ou des ordinateurs dans un domaine appliquer des stratégies à des utilisateurs ou à des ordinateurs dans une unité d'organisation utiliser des groupes de sécurité pour filtrer la portée d'une stratégie Éditeur de stratégie système Sans objet

Sans objet

Outils de ligne de commande Active Directory
Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent également utiliser toute une série d'outils de ligne de commande pour configurer, administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de support et sont disponibles sur le CD-ROM de Windows 2000 Server dans le dossier \SUPPORT\RESKIT. Ils sont décrits dans le tableau 6. Tableau 6. Outils de ligne de commande associés à Active Directory

Outil MoveTre e

Description Permet de déplacer des objets d'un domaine à un autre.

SIDWalk Permet d'appliquer les listes de contrôle d'accès à des objets qui appartenaient à des comptes déplacés, isolés ou supprimés. er LDP DNSCM D DSACLS NETDO M NETDIA G NLTest Permet d'effectuer des opérations LDAP par rapport à Active Directory. Cet outil dispose d'une interface utilisateur graphique. Permet de vérifier l'inscription dynamique des enregistrements de ressources DNS, y compris la mise à jour sécurisée du DNS, ainsi que la suppression des enregistrements de ressources. Permet de visualiser ou de modifier les listes de contrôle d'accès des objets d'annuaire. Permet le traitement par lots des approbations, l'ajout de nouveaux ordinateurs aux domaines, la vérification des approbations et des canaux sécurisés. Permet de vérifier les fonctions de réseau et de services distribués de bout en bout. Permet de vérifier que le localisateur et le canal sécurisé fonctionnent.

REPAdm Permet de vérifier la cohérence de réplication entre partenaires de réplication, de surveiller le statut de réplication, d'afficher les métadonnées de réplication, de forcer des événements in de réplication et de forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de réplication. REPLMo n Permet d'afficher la topologie de réplication, de surveiller l'état de la réplication (y compris les stratégies de groupe), de forcer des événements de réplication et de forcer Knowledge Consistency Checker (KCC) à recalculer la topologie de réplication. Cet outil dispose d'une interface utilisateur graphique. Permet de comparer les données d'annuaire sur les contrôleurs de domaine et de détecter toute différence. Composant logiciel enfichable MMC utilisé pour visualiser tous les objets de l'annuaire (y compris les données de schéma et de configuration), modifier les objets et appliquer des listes de contrôle d'accès aux objets. Permet de vérifier la propagation et la réplication des listes de contrôle d'accès pour des objets d'annuaire spécifiques. Cet outil aide l'administrateur à déterminer si l'héritage des listes de contrôle d'accès est correct et si les modifications des listes sont bien répliquées d'un contrôleur de domaine à l'autre. Permet de déterminer si un utilisateur dispose ou non des droits d'accès sur un objet d'annuaire. Cet outil peut également servir à réinitialiser les listes de contrôle d'accès à leur état par défaut. Utilitaire de ligne de commande qui permet d'administrer tous les aspects des systèmes de fichiers distribués (DFS), de vérifier la cohérence de configuration des serveurs DFS et de visualiser la topologie DFS.

DSAStat ADSIEdit

SDCheck

ACLDiag

DFSChec k

Page de référence des commandes Windows 2000
Vous trouverez une liste complète des commandes Windows 2000, ainsi que des informations sur l'utilisation de chacune d'elles, dans les rubriques d'aide de Windows 2000. Il vous suffit de taper "référence commandes" sous l'onglet Index ou Recherche.

ADSI
Vous pouvez utiliser ADSI (Active Directory Service Interface) pour créer des scripts pour toutes sortes d'usages. Le CD-ROM de Windows 2000 Server contient plusieurs exemples de ADSI . Pour plus d'informations sur ADSI, voir les sections "ADSI" et "Pour plus d'informations". Les informations contenues dans ce document représentent l'opinion actuelle de Microsoft Corporation sur les points cités à la date de publication. Microsoft s'adapte aux conditions fluctuantes du marché et cette opinion ne doit pas être interprétée comme un engagement de la part de Microsoft ; de plus, Microsoft ne peut pas garantir la véracité de toute information présentée après la date de publication. Ce livre blanc est fourni à des fins d'informations seulement. MICROSOFT N'OFFRE AUCUNE GARANTIE, EXPRESSE OU IMPLICITE, DANS CE DOCUMENT. Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows et Windows NT sont soit des marques de Microsoft Corporation, soit des marques déposées de Microsoft Corporation aux États-Unis d'Amérique et/ou dans d'autres pays. Les autres noms de produits ou de sociétés mentionnés dans ce document sont des marques de leurs propriétaires respectifs. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis 0x99 1 Dans un domaine Windows 2000 Server, un contrôleur de domaine est un ordinateur Windows 2000 Server qui gère l'accès utilisateur à un réseau, c'est-à-dire la connexion, l'authentification et l'accès à l'annuaire et aux ressources partagées. 2 Une zone DNS est une partition d'un seul tenant de l'espace de noms DNS qui contient les enregistrements de ressources pour les domaines DNS de cette zone. 3 LDAP est un protocole utilisé pour accéder à un service d'annuaire : voir les sections "Noms LDAP" et "LDAP". 4 Décrit dans le projet de norme Internet de l'IETF (Internet Engineering Task Force) draft-ietf-dnsind-rfc2052bis02.txt, "A DNS RR for specifying the location of services (DNS SRV)" [Un enregistrement de ressources DNS permettant de spécifier l'emplacement de services (DNS SRV)]. (Les projets de norme sont des documents de travail de l'IETF, de ses domaines et de ses groupes de travail.) 5 Décrit dans la RFC 2136, "Observations on the use of Components of the Class A Address Space within the Internet" [Observations sur l'utilisation des composants de l'espace d'adresses de classe A sur l'Internet]. 6 La façon dont les groupes sont définis dans Windows 2000 est légèrement différente de celle dont ils sont définis dans Windows NT. Windows 2000 utilise deux types de groupe : 1. des groupes de sécurité (pour administrer l'accès des utilisateurs et des ordinateurs aux ressources partagées et pour filtrer les paramètres de stratégie de groupe) ; et 2. des groupes de distribution (pour créer des listes de distribution de courrier électronique). Windows 2000 utilise également trois portées de groupe : 1. des groupes avec une portée locale de domaine (pour définir et administrer l'accès aux ressources dans les limites d'un domaine unique), 2. des groupes avec une portée globale (pour administrer des objets d'annuaire qui exigent une maintenance quotidienne, comme les comptes d'utilisateur et les comptes

d'ordinateur. La portée globale vous permet de grouper des comptes au sein d'un domaine), et 3. des groupes avec une portée universelle (pour consolider les groupes qui chevauchent plusieurs domaines. Vous pouvez ajouter des comptes d'utilisateur à des groupes à portée globale puis encapsuler ces groupes dans des groupes à portée universelle). (Pour plus d'informations sur les groupes Windows 2000, y compris sur le nouveau type de groupe universel, voir la section "Pour plus d'informations" à la fin de ce document.) 7 Pour pouvoir recevoir le logo Certifié pour Windows, votre application doit être testée par VeriTest, qui vérifie qu'elle est bien conforme aux spécifications arrêtées pour les applications Windows 2000. Vous pouvez choisir n'importe quelle combinaison de plates-formes, tant qu'elle comprenne l'un des systèmes d'exploitation Windows 2000. Les applications pourront recevoir le logo "Certifié pour Microsoft Windows" si les tests de conformité sont réussis et qu'un accord de licence logo est signé avec Microsoft. Le logo que vous recevez indique les versions de Windows pour lesquelles votre produit est certifié. 8 Active Directory prend en charge les versions 2 et 3 de LDAP, qui reconnaissent les conventions d'affectation de noms des RFC 1779 et 2247. 9 Si aucun UPN n'a été ajouté, les utilisateurs peuvent se connecter en indiquant explicitement leur nom d'utilisateur et le nom DNS du domaine racine. 10 Les stratégies de groupe qui contrôlent les paramètres par défaut des imprimantes du point de vue de la publication sont Publier automatiquement les nouvelles imprimantes dans Active Directory et Autoriser la publication des imprimantes (cette dernière stratégie de groupe contrôle si les imprimantes d'une machine donnée peuvent être publiées). 11 À comparer avec les versions précédentes de Windows NT Server, dans lesquelles la base de données SAM était limitée à 40 000 objets par domaine. 12 Pour une description de cette charge supplémentaire, voir le "Guide de planification du déploiement de Windows 2000 Server", qui traite de la planification de la structure et du déploiement des domaines et des sites Windows 2000, dans la section "Pour plus d'informations" à la fin de ce document. 13 Un DACL accorde ou refuse des droits sur un objet à des utilisateurs ou à des groupes spécifiques. 14 Pour plus d'informations sur l'interopérabilité avec les domaines Kerberos, voir la section "Rôle de Kerberos dans l'interopérabilité". 15 Les vecteurs de mise à jour ne sont pas liés à un site donné. Un vecteur de mise à jour comporte une entrée pour chacun des serveurs sur lesquels la partition d'annuaire (contexte d'affectation de nom) peut être écrite. 16 Vous pouvez déléguer de l'autorité à des conteneurs, mais vous aussi accorder des autorisations (comme la lecture/écriture) jusqu'au niveau de l'attribut d'un objet. 17 Dans la DACL d'un objet, les entrées de contrôle d'accès (ACE) qui déterminent qui peut accéder à cet objet et le type d'accès. Lorsque vous créez un objet dans l'annuaire, une DACL par défaut (définie dans le schéma) lui est affectée. 18 Par défaut, le groupe Administrateurs de l'entreprise reçoit le contrôle total sur tous les objets d'une forêt. 19 Vous utilisez l'extension Redirection de dossier pour rediriger n'importe quel dossier spécial suivant appartenant à un profil utilisateur vers un emplacement différent (comme une partition réseau) : Données d'application, Bureau, Mes documents (et/ou Mes images), Menu Démarrer. 20 LDAP version 2 est décrit dans la RFC 1777 ; LDAP version 3 est décrit dans la RFC 2251.

You're Reading a Free Preview

Descarregar
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->