Escolar Documentos
Profissional Documentos
Cultura Documentos
et maintenance d'une
infrastructure Active Directory
Microsoft Windows
Server 2003
Guide pdagogique
Cours n : 2194A
Rf. n : X09-84841
dit en : 05/2003
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Cours n : 2194A
Rf. n : X09-84841
dit le : 05/2003
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 iii
propos de ce cours
Cette section dcrit brivement le cours et ses objectifs, le profil des stagiaires
ainsi que les connaissances pralables requises.
Description Ce cours anim par un instructeur et rparti sur cinq journes comporte des
lments individualiss et des composants facilits par la prsence de
l'instructeur. Il fournit aux stagiaires les comptences et les connaissances
requises pour planifier, implmenter et dpanner une infrastructure de service
d'annuaire Active Directory dans Microsoft Windows Server 2003. Le
cours se concentre sur un environnement de service d'annuaire Windows Server
2003, notamment sur une structure de domaine et de fort, le systme DNS
(Domain Name System), la topologie de site et la rplication, la structure
d'unit d'organisation et la dlgation de l'administration, la stratgie de groupe
ainsi que les stratgies de comptes d'utilisateurs, de groupes et d'ordinateurs.
Profil des stagiaires Ce cours s'adresse aux personnes employes ou recherchant un emploi comme
ingnieur systme dans une organisation d'entreprise, de moyenne ou de grande
envergure.
Les stagiaires doivent rpondre l'un des critres suivants :
! Nouveaux venus : Personnes non au fait de la technologie. Ce groupe de
stagiaires englobe les personnes sans connaissances techniques, exerant
actuellement une fonction sans rapport avec l'informatique et qui souhaitent
obtenir et valider des connaissances techniques au niveau ingnierie dans
l'optique d'un changement de carrire.
! Avancs : Personnes exprimentes occupant actuellement un poste
d'informaticien de base et pour qui les fonctions d'ingnierie serveur
Windows sont tout fait nouvelles. Ce groupe comprend les administrateurs
systme de niveau 2 ou les personnes charges du support technique sous
Windows, UNIX ou Novell NetWare et qui ne disposent pas des
connaissances et des comptences requises pour implmenter et dpanner
un rseau s'appuyant sur Windows Server 2003 Server Active Directory.
! Les professionnels prparant l'examen 70-294 du programme MCP
(Microsoft Certified Professional), Planification, implmentation et
maintenance d'une infrastructure Active Directory sous Microsoft Windows
Server 2003, qui constitue l'examen principal pour obtenir la certification
MCSE (Microsoft Certified Systems Engineer).
Connaissances Pour tirer pleinement parti de ce cours, les stagiaires doivent avoir suivi le cours
pralables 2189A, Planification et maintenance d'une infrastructure rseau Microsoft
Windows Server 2003, ou disposer de connaissances et comptences quivalentes.
Objectifs la fin de ce cours, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les composants logiques et physiques d'Active Directory ;
! crer et configurer une structure fort et domaine l'aide de la conception
d'infrastructure d'Active Directory ;
! planifier et implmenter une structure d'unit d'organisation ;
! planifier et implmenter des comptes d'utilisateurs, de groupes et
d'ordinateurs dans Active Directory ;
! planifier et implmenter une stratgie de groupe pour grer de faon
centralise des utilisateurs et les ordinateurs dans une entreprise ;
! dployer, grer et dpanner les logiciels mis en uvre l'aide d'une stratgie
de groupe ;
! implmenter des sites pour grer et contrler la rplication Active
Directory ;
! planifier et implmenter le placement des contrleurs de domaine, des
serveurs de catalogue global et des serveurs DNS intgrs Active
Directory ;
! planifier et grer les matres d'oprations ;
! sauvegarder, restaurer et assurer la maintenance d'Active Directory ;
! planifier et implmenter une infrastructure Active Directory base sur une
conception de service d'annuaire fournie par un architecte d'entreprise.
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 ix
Calendrier du cours
Voici une estimation horaire du droulement du cours. Il est possible que vos
horaires soient diffrents de ceux indiqus dans le tableau suivant :
Premier jour
Dbut Fin Module
9:00 9:30 Introduction
9:30 10:30 Module 1 : Introduction l'infrastructure Active Directory
10:30 10:45 Pause
10:45 11:15 Module 1 : Introduction l'infrastructure Active Directory (suite)
11:15 12:00 Module 2 : Implmentation d'une structure de fort et de domaine
Active Directory
12:00 1:00 Djeuner
1:00 2:15 Module 2 : Implmentation d'une structure de fort et de domaine
Active Directory (suite)
2:15 2:30 Pause
2:30 3:30 Atelier 2 : Implmentation d'Active Directory
3:30 5:00 Module 3 : Implmentation de la structure d'une unit
d'organisation
Deuxime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du premier jour
9:30 10:15 Atelier 3 : Implmentation de la structure d'une unit
d'organisation
10:15 10:30 Pause
10:30 12:00 Module 4 : Implmentation de comptes d'utilisateurs, de groupes
et d'ordinateurs
12:00 1:00 Djeuner
1:00 1:30 Module 4 : Implmentation de comptes d'utilisateurs, de groupes
et d'ordinateurs (suite)
1:30 2:30 Atelier 4 : Implmentation d'une stratgie de compte et d'audit
2:30 2:45 Pause
2:45 4:45 Module 5 : Implmentation d'une stratgie de groupe
x Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Troisime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du deuxime jour
9:30 10:30 Module 5 : Implmentation d'une stratgie de groupe (suite)
10:30 10:45 Pause
10:45 12:00 Atelier : 5 : Implmentation d'une stratgie de groupe
12:00 1:00 Djeuner
1:00 3:00 Module 6 : Dploiement et gestion des logiciels l'aide d'une
stratgie de groupe
3:00 3:15 Pause
3:15 4:15 Atelier 6 : Dploiement et gestion des logiciels l'aide d'une
stratgie de groupe
Quatrime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du troisime jour
9:30 10:45 Module 7 : Implmentation de sites pour grer la rplication
Active Directory
10:45 11:00 Pause
11:00 12:00 Module 7 : Implmentation de sites pour grer la rplication
Active Directory (suite)
12:00 1:00 Djeuner
1:00 1:30 Module 7 : Implmentation de sites pour grer la rplication
Active Directory (suite)
1:30 2:00 Atelier 7 : Implmentation de sites pour grer la rplication
Active Directory
2:00 2:15 Pause
2:15 3:30 Module 8 : Implmentation du placement des contrleurs de
domaine
3:30 4:00 Atelier 8 : Implmentation du placement des contrleurs de
domaine
4:00 5:00 Module 9 : Gestion des matres d'oprations
Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003 xi
Cinquime jour
Dbut Fin Module
9:00 9:30 Contrle des acquis du quatrime jour
9:30 10:00 Atelier 9 : Gestion des matres d'oprations
10:00 11:00 Module 10 : Maintenance d'Active Directory
11:00 11:15 Pause
11:15 11:45 Module 10 : Maintenance d'ActiveDirectory (suite)
11:45 12:00 Atelier 10 : Maintenance d'Active Directory
12:00 1:00 Djeuner
1:00 1:30 Atelier 10 : Maintenance d'ActiveDirectory (suite)
1:30 1:45 Module 11 : Planification et implmentation d'une infrastructure
Active Directory
1:45 2:30 Atelier 11A : Cration d'un plan d'implmentation d'Active
Directory pour Tailspin Toys
2:30 2:45 Pause
2:45 3:00 Module 11 : Planification et implmentation d'une infrastructure
Active Directory (suite)
3:00 5:00 Atelier 11B : Implmentation de l'infrastructure Active Directory
pour Tailspin Toys
xii Planification, implmentation et maintenance d'une infrastructure Active Directory Microsoft Windows Server 2003
Conventions typographiques
Les conventions suivantes sont utilises dans les documents du cours afin de
distinguer les diffrents lments de texte :
Convention Utilisation
Introduction 1
Documents de cours 2
Conditions pralables 4
Plan du cours 5
Configuration 7
Programme MOC 9
Programme MCP 11
Logistique 14
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Introduction iii
Notes de l'instructeur
Prsentation : Ce module donne aux stagiaires une vue d'ensemble du contenu du cours, des
30 minutes documents et de l'organisation du cours 2194A : Planification, implmentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Documents de cours Pour animer ce cours, vous devez disposer des lments suivants :
! Guide pdagogique
! CD-ROM de l'instructeur
Prparation Pour prparer ce cours, vous devez raliser les diffrentes tapes dcrites dans
la Liste de prparation au cours fournie avec les documents de cours de
l'instructeur.
iv Introduction
Introduction
Documents de cours
! Objectifs. Ce cours inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour
aider les stagiaires identifier les difficults ou en conclusion pour valider
leurs connaissances.
! valuation du cours. Pour nous donner vos impressions sur le cours, le
centre de formation ou l'instructeur, vous aurez la possibilit de remplir un
formulaire d'valuation en ligne la fin du cours.
! Logiciel d'valuation. Une copie d'valuation du logiciel Microsoft
Windows Server 2003 est fournie pour votre usage personnel uniquement.
Pour envoyer des commentaires supplmentaires ou obtenir des
informations sur le programme MCP (Microsoft Certified Professional),
envoyez un message lectronique l'adresse mcphelp@microsoft.com.
Introduction 3
Conditions pralables
Plan du cours
Configuration
Programme MOC
Il se peut que d'autres cours traitant de ces sujets soient disponibles l'avenir.
Par consquent, si vous souhaitez des informations mises jour propos des
formations recommandes, consultez le site Web Formations et Certifications.
Informations Microsoft Pour plus d'informations, consultez le site Web Microsoft Formations et
Formations et Certifications l'adresse http://www.eu.microsoft.com/france/formation.
Certifications
Introduction 11
Programme MCP
! MCAD
La certification MCAD (Microsoft Certified Application Developer) pour
Microsoft .NET est destine aux professionnels qui utilisent les technologies
Microsoft pour dvelopper et maintenir, au niveau de leur service, des
applications, des composants, des clients Web ou de bureau, ou des services
principaux de donnes. Cette certification est galement destine ceux
qui travaillent dans des quipes de dveloppement d'applications
professionnelles. Elle couvre des tches allant du dveloppement et
du dploiement la maintenance de ces solutions.
! MCSD
La certification MCSD (Microsoft Certified Solution Developer) est
la principale certification pour les professionnels qui conoivent et
dveloppent des solutions d'entreprise de pointe l'aide d'outils de
dveloppement, de technologies, de plates-formes Microsoft et de
l'architecture Microsoft Windows DNA. Parmi les types d'applications que
les titulaires d'une certification MCSD sont susceptibles de dvelopper,
citons les applications de bureau et multi-utilisateurs, les applications Web,
les applications multiniveaux et les applications transactionnelles. Les
tches qu'ils assument vont de l'analyse des besoins de l'entreprise la
maintenance des solutions mises en uvre.
! MCDBA sur Microsoft SQL Server 2000
La certification MCDBA (Microsoft Certified Database Administrator) est
la principale certification l'intention des professionnels chargs de
l'implmentation et de l'administration de bases de donnes Microsoft
SQL Server. Cette certification valide les comptences dans les domaines
suivants : mise jour d'anciens modles de bases de donnes physiques,
dveloppement de modles de donnes logiques, cration de bases de
donnes physiques, cration de services de donnes au moyen de Transact-
SQL, gestion et maintenance des bases de donnes, configuration et gestion
de la scurit, surveillance et optimisation des bases de donnes, et
installation et configuration de SQL Server.
! MCP
La certification MCP (Microsoft Certified Professional) s'adresse aux
individus qui possdent les comptences ncessaires pour implmenter un
produit ou une technologie Microsoft au sein d'une solution d'entreprise
dans une organisation. Il est ncessaire de bnficier d'une exprience
pratique du produit pour obtenir cette certification.
! MCT
La certification MCT (Microsoft Certified Trainer) valide les comptences
pdagogiques et techniques des personnes qui dispensent des cours MOC
dans les centres de formation technique agrs Microsoft CTEC (Certified
Technical Education Center).
Introduction 13
Conditions requises Les critres retenus varient en fonction des certifications. Ils dpendent des
pour l'obtention des produits et des responsabilits professionnelles auxquels s'applique chacune de
certifications ces certifications. Pour devenir MCP, vous devez tre reu des examens de
certification rigoureux qui permettent d'valuer de manires prcise et fiable
vos comptences et vos connaissances techniques.
Acquisition des Les cours MOC et MSDN Training peuvent vous aider dvelopper les
comptences valides comptences ncessaires pour assumer vos fonctions. Ils renforcent galement
par un examen MCP l'exprience que vous avez acquise lors de l'utilisation des produits et
technologies Microsoft. Cependant, il n'existe pas de correspondance directe
entre les cours de formation MOC et MSDN, et les examens MCP. Le seul suivi
des cours ne garantit pas ncessairement la russite aux examens MCP : de
l'exprience et des connaissances pratiques sont galement ncessaires.
Pour prparer les examens MCP, vous pouvez utiliser les guides de prparation
disponibles pour chaque examen. Chaque guide de prparation contient des
informations spcifiques un examen, telles que la liste des sujets sur lesquels
vous serez interrog. Ces guides sont disponibles sur le site Web Formations et
Certifications de Microsoft France l'adresse http://www.microsoft.com/
france/formation/cert/mcp/default.asp.
14 Introduction
Logistique
Vue d'ensemble 1
Leon : Architecture d'Active Directory 2
Leon : Fonctionnement d'Active
Directory 11
Leon : Analyse d'Active Directory 21
Leon : Processus de conception, de
planification et d'implmentation
d'Active Directory 32
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 1 : Introduction l'infrastructure Active Directory iii
Notes de l'instructeur
Prsentation : Ce module prsente aux stagiaires l'infrastructure du service d'annuaire Active
90 minutes Directory, sa structure physique et logique, et sa fonction d'annuaire. Le
module prsente galement les composants logiciels enfichables MMC, les
Atelier : outils de ligne de commande et l'environnement d'excution de scripts
0 minute Windows (Windows Script Host) vous permettant d'analyser les composants
Active Directory, ainsi que ses processus de conception, de planification et
d'implmentation.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire l'architecture d'Active Directory ;
! dcrire le fonctionnement d'Active Directory ;
! utiliser des composants logiciels enfichables MMC d'administration pour
analyser les composants d'Active Directory ;
! dcrire les processus de conception, de planification et d'implmentation
d'Active Directory.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_01.ppt
! Fichier Macromedia Flash 2194A_2279a_01_a_logical.swf
! Fichier Macromedia Flash 2194A_2279a_01_a_physical.swf
! Fichier Macromedia Flash 2194A_2279a_1_a_SSO.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! visionner les prsentations multimdias ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv Module 1 : Introduction l'infrastructure Active Directory
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider les connaissances la fin de la
journe. Vous pouvez aussi les traiter en dbut de journe pour passer en
revue les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer leurs rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 1 : Introduction l'infrastructure Active Directory v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, chaque atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
permettant d'effectuer la tche (par exemple : partir de la console Utilisateurs
et ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Vue d'ensemble
Points cls Active Directory offre un stockage scuris pour les informations concernant
les objets dans sa structure logique hirarchique. Les objets Active Directory
reprsentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d'autres. Lorsque vous aurez
compris le rle et la fonction de ces objets, vous pourrez effectuer des tches
diverses, comme l'installation, la configuration, la gestion et le dpannage
d'Active Directory.
La structure logique d'Active Directory inclut les composants suivants :
! Les objets. Il s'agit des composants les plus lmentaires de la structure
logique. Les classes d'objets sont des modles pour les types d'objets que
vous pouvez crer dans Active Directory. Chaque classe d'objet est dfinie
par une liste d'attributs, qui dfinit les valeurs possibles que vous pouvez
associer un objet. Chaque objet possde une combinaison unique de
valeurs d'attributs.
! Les units d'organisation (OU, Organizational Unit). Vous utilisez ces
objets conteneurs pour organiser d'autres objets de telle manire qu'ils
prennent en compte vos objectifs administratifs. La disposition de ces objets
par unit d'organisation simplifie la recherche et la gestion des objets. Vous
pouvez galement dlguer l'autorit de gestion d'une unit d'organisation.
Les units d'organisation peuvent tre imbriques les unes dans les autres,
ce qui simplifie d'autant la gestion d'objets.
Module 1 : Introduction l'infrastructure Active Directory 5
! Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connects par des liaisons rapides. Lorsque vous crez des sites, les
contrleurs de domaine au sein d'un mme site communiquent
frquemment. Ces communications rduisent le dlai de latence de
rplication l'intrieur du site ; autrement dit, le temps requis pour qu'une
modification effectue sur un contrleur de domaine soit rplique sur
d'autres contrleurs de domaine. Vous pouvez donc crer des sites pour
optimiser l'utilisation de la bande passante entre des contrleurs de
domaines situs des emplacements diffrents.
Remarque Pour plus d'informations sur les sites Active Directory, reportez-
vous au Module 7, Implmentation de sites pour grer la rplication
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
Modifications et Sur les contrleurs de domaine Windows Server 2003, vous pouvez annuler des
dsactivation de schma modifications apportes un schma en les dsactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalits d'extensibilit d'Active
Directory.
Vous pouvez galement redfinir une classe ou un attribut de schma. Vous
pourriez, par exemple, modifier la syntaxe de la chane Unicode d'un attribut
appel SalesManager pour en faire un nom unique.
16 Module 1 : Introduction l'infrastructure Active Directory
Dfinition d'un serveur Un serveur de catalogue global est un contrleur de domaine qui traite
de catalogue global efficacement les requtes intraforts dans le catalogue global. Le premier
contrleur de domaine que vous crez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer
des serveurs de catalogue global supplmentaires pour quilibrer le trafic
li aux authentifications de connexion et aux requtes.
Module 1 : Introduction l'infrastructure Active Directory 17
Fonctions du catalogue Le catalogue global permet aux utilisateurs d'excuter deux fonctions
global importantes :
! trouver les informations Active Directory en tout point de la fort,
indpendamment de l'emplacement des donnes ;
! utiliser les informations d'appartenance au groupe universel pour se
connecter au rseau.
Exemple de nom unique Chaque lment de la structure logique de l'utilisatrice Laura Bartoli de l'unit
d'organisation Sales (Ventes) du domaine Contoso.msft est reprsent dans le
nom unique suivant :
CN=Laura Bartoli,OU=Sales,DC=contoso,DC=msft
Les composants de domaine du nom unique sont bass sur le DNS (Domain
Name System).
Exemple de nom Dans l'exemple suivant, Sales est le nom unique relatif d'une unit
unique relatif d'organisation reprsente par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft
20 Module 1 : Introduction l'infrastructure Active Directory
Points cls L'activation d'une ouverture de session unique permet Active Directory de
rendre transparents pour l'utilisateur les processus complexes d'authentification
et d'autorisation. Les utilisateurs n'ont pas besoin de grer plusieurs ensembles
d'autorisations.
Une ouverture de session unique consiste en :
! une authentification, qui vrifie les autorisations de la tentative de connexion ;
! une autorisation, qui vrifie que la demande de connexion est autorise.
Prise en charge par Active Directory prend galement en charge la gestion dcentralise. Vous
Active Directory de la pouvez affecter des autorisations et accorder des droits aux utilisateurs de
gestion dcentralise manire trs spcifique. Vous pouvez, par exemple, dlguer des privilges
administratifs sur certains objets aux quipes de ventes et de marketing d'une
organisation.
Vous pouvez dlguer l'affectation des autorisations :
! pour des units d'organisation spcifiques diffrents groupes de Domaine
local ; par exemple, dlgation de l'autorisation Contrle total pour l'unit
d'organisation Sales ;
! pour modifier des attributs spcifiques d'un objet dans une unit
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numro de tlphone d'un utilisateur et de rinitialiser les
mots de passe sur l'objet compte d'utilisateur ;
! pour excuter la mme tche, par exemple rinitialiser les mots de passe,
dans toutes les units d'organisation d'un domaine.
24 Module 1 : Introduction l'infrastructure Active Directory
Composant
logiciel enfichable Description
Utilisateurs et ordinateurs Cette console MMC (Microsoft Management Console) est utilise pour la gestion et
Active Directory la publication d'informations dans Active Directory. Vous pouvez grer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs un
domaine, grer des stratgies de compte ainsi que des droits d'utilisateur, et procder
l'audit de la stratgie.
Domaines et approbations Cette console MMC est utilise pour grer des approbations de domaines et de forts,
Active Directory ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forts.
Sites et services Active Cette console MMC vous permet de grer la rplication de donnes d'annuaire.
Directory
Schma Active Directory Cette console MMC vous permet de grer le schma. Il n'est pas disponible par
dfaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.
Module 1 : Introduction l'infrastructure Active Directory 25
Remarque Vous pouvez utiliser galement l'diteur ADSI Edit pour visualiser,
crer, modifier et supprimer des objets dans Active Directory. L'diteur ADSI
Edit n'est pas install par dfaut. Pour en bnficier, installez les outils de
support de Windows Server 2003 partir du dossier \Support\Tools sur le
CD-ROM du produit.
Outil Description
Dsadd Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des units d'organisation et des contacts.
Dsmod Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des units d'organisation et des contacts.
Dsquery Excute des requtes dans Active Directory en fonction de critres spcifis. Vous
pouvez excuter des requtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des units d'organisation et des partitions.
Dsmove Dplace un objet unique, l'intrieur d'un domaine, vers un nouvel emplacement
dans Active Directory ou renomme un objet unique sans le dplacer.
Dsrm Supprime un objet dans Active Directory.
Dsget Affiche des attributs slectionns d'un ordinateur, d'un contact, d'un groupe, d'une
unit d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.
Csvde Importe et exporte des donnes Active Directory l'aide d'un format de sparation
par virgule.
Ldifde Cre, modifie et supprime des objets Active Directory. Peut galement prolonger le
schma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des donnes
d'autres services d'annuaire.
Environnement Bien que Windows Server 2003 fournisse plusieurs composants logiciels
d'excution de scripts enfichables et outils de ligne de commande pour grer Active Directory, ceux-ci
Windows ne sont pas adapts pour des oprations de commandes destines effectuer des
modifications dans Active Directory impliquant des conditions complexes. En
pareils cas, vous pouvez procder plus rapidement des modifications l'aide
de scripts. Vous pouvez, par exemple, remplacer le premier chiffre de
l'extension tlphonique de tous les employs transfrs dans le btiment 5,
en remplaant alors les chiffres 3 et 4 par le chiffre 5.
Vous pouvez crer des scripts partir de l'environnement d'excution de scripts
Windows utilisant ADSI pour excuter les tches suivantes :
! extraire les informations concernant les objets Active Directory ;
! ajouter des objets dans Active Directory ;
! modifier les valeurs d'attributs pour les objets Active Directory ;
! supprimer des objets dans Active Directory ;
! tendre le schma Active Directory.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Rsultat du processus Le rsultat de la phase de conception d'Active Directory inclut les lments
de conception d'Active ci dessous.
Directory
! La conception du domaine et de la fort. La conception de la fort inclut des
informations comme le nombre de forts requis, les consignes de cration
des approbations et le nom de domaine pleinement qualifi (FQDN, Fully
Qualified Domain Name) pour le domaine racine de chaque fort. La
conception inclut galement la stratgie de contrle des modifications de
la fort, qui identifie les processus de proprit et d'approbation pour les
modifications de la configuration prsentant un impact sur toute la fort.
Identifiez la personne charge de dterminer la stratgie de contrle des
modifications de chaque fort dans l'organisation. Si votre plan de
conception comporte plusieurs forts, vous pouvez valuer si des
approbations de forts sont requises pour rpartir les ressources du
rseau parmi les forts.
La conception du domaine indique le nombre de domaines requis dans
chaque fort, le domaine qui sera le domaine racine pour chaque fort et la
hirarchie des domaines si la conception comporte plusieurs domaines. La
conception du domaine inclut galement le nom DNS pour chaque domaine
et les relations d'approbation entre domaines.
! La conception de l'unit d'organisation. Elle indique comment vous crerez
les units d'organisation pour chaque domaine dans la fort. Incluez une
description de l'autorit d'administration qui sera applique chaque unit
d'organisation, et qui cette mme autorit sera dlgue. Pour finir, incluez
la stratgie utilise pour appliquer la stratgie de groupe la structure de
l'unit d'organisation.
! La conception du site. Elle spcifie le nombre et l'emplacement des
sites dans l'organisation, les liens requis pour relier les sites et le cot
de ces liens.
36 Module 1 : Introduction l'infrastructure Active Directory
Lorsque tous les plans de composant sont termins, vous devez les combiner
pour former le plan complet d'implmentation d'Active Directory.
38 Module 1 : Introduction l'infrastructure Active Directory
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory iii
Notes de l'instructeur
Prsentation : Ce module dcrit la configuration requise du service d'annuaire Active
120 minutes Directory, explique comment crer une structure de fort et de domaine grce
l'Assistant Installation de Active Directory et prsente les tches que vous
Atelier : devez effectuer aprs l'installation. Il explique galement la manire d'analyser
60 minutes le systme DNS (Domain Name System) dans un environnement Active
Directory, d'augmenter les niveaux fonctionnels de la fort et du domaine et de
crer des relations d'approbation.
Objectifs la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer une structure de fort et de domaine ;
! analyser le systme DNS intgr Active Directory ;
! augmenter le niveau fonctionnel d'une fort et d'un domaine ;
! crer des relations d'approbation entre des domaines et des forts.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! fichier Microsoft PowerPoint 2194A_02.ppt
! fichier Macromedia Flash 2194A_2279a_02_a_dns.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module, anticiper les questions
que les stagiaires sont susceptibles de poser et prparer des rponses
appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire le kit de dploiement Windows Server 2003 Deployment Kit (en
anglais) et le kit de ressources techniques Windows Server 2003 pour vous
familiariser avec les procdures d'installation d'Active Directory et les
mthodes conseilles.
iv Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire. Ils
peuvent galement se reporter aux applications pratiques et aux procdures du
module.
Important Assurez-vous que les stagiaires ont bien compris que le niveau
fonctionnel d'un domaine ou d'une fort ne peut plus tre diminu aprs avoir
t augment.
Si une fort n'utilise que les approbations transitives entre les domaines parents
et enfants, expliquez qu'il peut tre ncessaire de rechercher la ressource dans
toute la hirarchie, en fonction de son emplacement dans la hirarchie de la
fort. Les approbations raccourcies aident surmonter ce problme. Lorsque
vous expliquez le fonctionnement des approbations au sein d'une fort, assurez-
vous que les stagiaires comprennent bien l'utilit des approbations raccourcies
pour rduire le temps ncessaire la recherche des ressources.
La rubrique Comment fonctionnent les approbations entre les forts comporte
une diapositive anime. Lorsque vous expliquerez le fonctionnement des
approbations dans une fort, soulignez qu'une fort est une limite de scurit
dans Windows Server 2003. Insistez sur le rle du protocole d'authentification
Kerberos version 5 dans l'authentification de l'utilisateur. Indiquez aux
stagiaires les annexes consulter pour plus d'informations sur le filtrage des
identificateurs de scurit (SID, Security IDentifier).
Application pratique A la fin de la leon, demandez aux stagiaires de crer une approbation
raccourcie entre leur domaine et un autre domaine dans leur fort
nwtraders.msft. Cette application pratique ncessite de crer des groupes
d'au moins deux stagiaires chacun.
Vancouver Nwtraders1.msft
Denver Corp1.Nwtraders1.msft
Perth Nwtraders2.msft
Brisbane Corp2.Nwtraders2.msft
Lisbon Nwtraders3.msft
Bonn Corp3.Nwtraders3.msft
Lima Nwtraders4.msft
Santiago Corp4.Nwtraders4.msft
Bangalore Nwtraders5.msft
Singapore Corp5.Nwtraders5.msft
Casablanca Nwtraders6.msft
Tunis Corp6.Nwtraders6.msft
Acapulco Nwtraders7.msft
Miami Corp7.Nwtraders7.msft
Auckland Nwtraders8.msft
Suva Corp8.Nwtraders8.msft
Stockholm Nwtraders9.msft
Moscow Corp9.Nwtraders9.msft
Caracas Nwtraders10.msft
Montevideo Corp10.Ntraders10.msft.
Manila Nwtraders11.msft
Tokyo Corp11. Nwtraders11.msft
Khartoum Nwtraders12.msft
Nairobi Corp12. Nwtraders12.msft
Configuration de l'atelier
Les conditions de configuration ci-aprs s'appliquent l'atelier de ce module.
Configuration requise 1 Pour l'atelier de ce module, l'instructeur doit crer une dlgation de domaine
DNS conformment aux instructions du Guide de configuration manuelle de la
classe pour configurer le service DNS sur l'ordinateur London. Si cette tape est
omise, les stagiaires ne peuvent pas rsoudre les noms hors de leur fort.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Chaque paire d'ordinateurs stagiaire existera dans une fort distincte.
! Chaque fort du stagiaire disposera d'une approbation de fort
bidirectionnelle avec la fort de la classe, nwtraders.msft.
! Chaque domaine et fort sera lev au niveau fonctionnel de
Windows Server 2003.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 1
Vue d'ensemble
Enregistrements de ressources Les enregistrements de ressources SRV sont des enregistrements DNS qui
SRV (obligatoires) identifient les ordinateurs qui hbergent des services spcifiques dans un rseau
Windows Server 2003. Le serveur DNS qui prend en charge le dploiement
d'Active Directory doit galement prendre en charge les enregistrements de
ressources SRV. Si ce n'est pas le cas, vous devez configurer le systme DNS
localement lors du processus d'installation d'Active Directory ou le configurer
manuellement aprs l'installation d'Active Directory.
Mises jour dynamiques Microsoft recommande vivement de faire en sorte que les serveurs DNS prennent
(facultatives) en charge les mises jour dynamiques. Le protocole de mise jour dynamique
permet aux serveurs et aux clients voluant dans un environnement DNS d'ajouter
et de modifier automatiquement des enregistrements dans la base de donnes DNS,
ce qui permet de rduire les tches administratives. Si vous utilisez un logiciel DNS
qui prend en charge des enregistrements de ressources SRV mais pas le protocole
de mise jour dynamique, vous devez entrer les enregistrements de ressources SRV
manuellement dans la base de donnes DNS.
Transferts de zone Dans un transfert de zone incrmentiel, les modifications apportes une zone d'un
incrmentiels (facultatif) serveur DNS matre doivent tre rpliques sur les serveurs DNS secondaires pour
cette zone. Les transferts de zone incrmentiels sont facultatifs. Ils sont toutefois
recommands car ils permettent d'conomiser de la bande passante rseau en
permettant uniquement aux enregistrements de ressources nouveaux ou modifis
d'tre rpliqus entre des serveurs DNS, au lieu de rpliquer le fichier de base de
donnes de zone entier.
13. Passez en revue la page Rsum, puis cliquez sur Suivant pour commencer
l'installation.
14. A l'invite, redmarrez l'ordinateur.
Procdure de cration La procdure de cration d'un domaine enfant l'aide de l'Assistant Installation
d'un domaine enfant de Active Directory est similaire celle permettant de crer un domaine racine
de la fort. Le tableau suivant rpertorie les tapes que vous allez raliser lors
de l'installation.
Page de l'Assistant Installation
de Active Directory Nouvelle tape raliser
Crer un nouveau domaine Cliquez sur Domaine enfant dans une arborescence de domaine
existante.
Informations d'identification rseau Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du
compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.
Installation d'un domaine enfant Vrifiez le domaine parent, puis tapez le nom du nouveau domaine
enfant.
Crer un nouveau domaine Cliquez sur Arborescence de domaine dans une fort existante.
Informations d'identification rseau Tapez le nom d'utilisateur, le mot de passe et le domaine utilisateur du
compte d'utilisateur que vous souhaitez utiliser pour cette opration.
Le compte d'utilisateur doit tre un membre du groupe
Administrateurs de l'entreprise.
Nouvelle arborescence de domaine Tapez le nom DNS complet du nouveau domaine.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 11
Procdure de Pour supprimer un contrleur de domaine endommag et qui ne peut pas tre
suppression d'un dmarr partir d'Active Directory, redmarrez le contrleur de domaine en
contrleur de domaine Mode restauration Active Directory (contrleurs de domaine Windows), puis
endommag excutez la commande ntdsutil l'aide de l'option de nettoyage des
mtadonnes. Pour ce faire, procdez comme suit :
1. l'invite, tapez la commande suivante et appuyez sur ENTRE.
Ntdsutil.exe: metadata cleanup
Vrification de la Vous devez vrifier que la structure de dossiers SYSVOL et que les dossiers
cration de la structure partags ncessaires ont t crs. Si le dossier SYSVOL n'a pas t cr
de dossiers SYSVOL et correctement, les donnes du dossier SYSVOL (Stratgie de groupe et scripts,
de ses dossiers par exemple) ne seront pas rpliques entre les contrleurs de domaine.
partags
Pour vrifier que la structure de dossiers a t cre, excutez la procdure
suivante :
! Cliquez sur Dmarrer, puis sur Excuter, tapez %systemroot%\sysvol et
cliquez sur OK.
L'Explorateur Windows affiche le contenu du dossier SYSVOL, qui doit
contenir les sous dossiers domain, staging, staging areas et sysvol.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 17
Pour vrifier que les dossiers partags ncessaires ont t crs, excutez la
procdure suivante :
! l'invite de commande, tapez net share et appuyez sur ENTRE.
Vrification de la Pour vrifier que la base de donnes et les fichiers journaux d'Active Directory
cration de la base de ont t crs, excutez la procdure suivante :
donnes et des fichiers
journaux d'Active ! Cliquez sur Dmarrer, sur Excuter, tapez %systemroot%\ntds et cliquez
Directory sur OK.
Analyse des journaux Aprs avoir install Active Directory, jetez un oeil dans les journaux des
des vnements pour vnements pour prendre connaissance des ventuelles erreurs qui se sont
voir les erreurs produites lors du processus d'installation. Les messages d'erreur gnrs lors de
l'installation sont enregistrs dans les journaux Systme, Service d'annuaire,
Serveur DNS et Service de rplication de fichier.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 19
Accs refus lors de Fermez la session, puis ouvrez-l de nouveau l'aide d'un compte appartenant au
l'installation ou de l'ajout de groupe Administrateurs local.
contrleurs de domaine Fournissez les informations d'identification d'un compte d'utilisateur membre des
groupes Admins du domaine et Administrateurs de l'entreprise.
Les noms de domaine DNS Modifiez le nom de sorte qu'il soit unique.
ou NetBIOS ne sont pas
uniques
20 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
(suite)
Problme Solution
Le domaine ne peut pas tre Assurez-vous que la connexion rseau est effective entre le serveur que vous souhaitez
contact promouvoir au titre de contrleur de domaine et au moins l'un des contrleurs de
domaine du domaine. Utilisez la commande ping partir de l'invite de commande
pour tester la connexion avec un contrleur de domaine du domaine.
Vrifiez que le systme DNS fournit une rsolution de noms au moins un contrleur
du domaine en vous connectant un contrleur de domaine l'aide de
son nom DNS. Pour ce faire, l'invite de commande, tapez le nom de domaine
pleinement qualifi (FQDN, Fully Qualified Domain Name) du contrleur de
domaine. Si le systme DNS est configur correctement, vous pourrez vous connecter
au contrleur de domaine.
Vous pouvez galement vous assurer que le systme DNS a t configur
correctement en vrifiant les enregistrements A que les contrleurs de domaine
enregistrent dans la base de donnes DNS.
Espace disque insuffisant Augmentez la taille de la partition ou installez la base de donnes et les fichiers
journaux Active Directory sur des partitions distinctes.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 21
Intgration du systme L'intgration du systme DNS et d'Active Directory est essentielle car un
DNS et d'Active ordinateur client d'un rseau Windows Server 2003 doit pouvoir rechercher un
Directory contrleur de domaine de sorte que les utilisateurs, puissent ouvrir une session
sur un domaine ou utiliser les services proposs par Active Directory. Les
clients recherchent les contrleurs de domaine et les services grce aux
enregistrements de ressources A et aux enregistrements SRV. L'enregistrement
de ressources A contient le nom FQDN et l'adresse IP du contrleur de
domaine. L'enregistrement SRV contient le nom FQDN du contrleur de
domaine et le nom du service que fournit le contrleur de domaine.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 25
Avantages des zones Les zones intgres Active Directory offrent les avantages suivants :
intgres Active
Directory ! Rplication multimatre. Lorsque vous configurez les zones intgres
Active Directory, des mises jour dynamiques du systme sur le systme
DNS sont menes en fonction d'un modle de mise jour multimatre. Dans
ce modle, les serveurs DNS qui font autorit (un contrleur de domaine
excutant un serveur DNS, par exemple) sont conus en tant que source
principale pour la zone. Etant donn que la copie principale de la zone est
gre dans la base de donnes Active Directory, qui est intgralement
rplique sur tous les contrleurs de domaine, la zone peut tre mise jour
par les serveurs DNS fonctionnant sur un contrleur de domaine pour le
domaine.
Dans le modle de mise jour multimatre d'Active Directory, tout serveur
principal de la zone intgre d'annuaire peut traiter des requtes mises par
les clients DNS pour mettre jour la zone, aussi longtemps qu'un contrleur
de domaine est disponible sur le rseau.
! Mises jour dynamiques scurises. Etant donn que les zones DNS sont
des objets Active Directory des zones intgres Active Directory, vous
pouvez dfinir des autorisations d'accs aux enregistrements au sein de ces
zones afin de contrler les ordinateurs qui peuvent mettre jour leurs
enregistrements. De cette manire, les mises jour qui utilisent le protocole
de mise jour dynamique ne peuvent provenir que des ordinateurs autoriss.
! Transferts de zone standard vers d'autres serveurs DNS. Effectue des
transferts de zone standard vers des serveurs DNS qui ne sont pas
configurs en tant que contrleur de domaine. Cela permet galement
d'effectuer des transferts de zone standard vers des serveurs DNS qui se
trouvent dans d'autres domaines. Il s'agit de la mthode requise pour
rpliquer des zones vers des serveurs DNS dans d'autres domaines.
Remarque Pour plus d'informations sur les zones intgres Active Directory
et la rplication DNS, reportez-vous la rubrique Dfinition des zones
intgres Active Directory de la page des annexes du module 2 sur le
CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 27
Format des Tous les enregistrements SRV utilisent un format standard compos de champs
enregistrements SRV contenant les informations qu'Active Directory utilise afin de mapper un service
l'ordinateur qui fournit le service. Les enregistrements SRV utilisent le format
suivant :
_ Service._Protocole.Nom Ttl Classe SRV Priorit Poids Port Cible
Le tableau ci-dessous prsente chaque champ d'un enregistrement SRV.
Champ Description
Procdure d'affichage Pour afficher les enregistrements de ressources SRV enregistrs l'aide de la
des enregistrements commande Nslookup, excutez la procdure suivante :
SRV grce Nslookup
1. Ouvrez une fentre d'invite de commande, puis excutez l'utilitaire
Nslookup.
2. Tapez ls t SRV domaine (o domaine est le nom de domaine) et appuyez
sur ENTRE.
Les enregistrements de ressources SRV enregistrs sont rpertoris.
Pour enregistrer les rsultats de cette liste dans un fichier, tapez ls t SRV
domaine > nom_fichier (o nom_fichier est le nom que vous attribuez au
fichier).
11. Dans le menu Outil d'administration, pointez sur DNS, appuyez sur la
touche Maj et maintenez-la enfonce, cliquez avec le bouton droit, puis
cliquez sur Excuter en tant que.
12. Dans la bote de dialogue Excuter en tant que, cliquez sur L'utilisateur
suivant, tapez un nom d'utilisateur Nwtraders\Administrateur et le mot de
passe P@ssw0rd, puis cliquez sur OK.
13. Dans la bote de dialogue Connexion au serveur DNS, cliquez sur
L'ordinateur suivant, tapez LONDON et cliquez sur OK.
14. Dveloppez London, dveloppez Zones de recherche directes, dveloppez
nwtraders.msft, puis ouvrez les dossiers suivants dans le dossier corpx
pour afficher les enregistrements de ressources SRV qui ont t enregistrs :
_msdcs
_sites
_tcp
_udp
15. Fermez la console DNS.
38 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Dfinition de la La fonctionnalit de fort active les fonctionnalits travers tous les domaines
fonctionnalit de fort de votre fort. Deux niveaux fonctionnels de fort sont disponibles :
Windows 2000 et Windows Server 2003. Par dfaut, les forts oprent au
niveau fonctionnel Windows 2000. Vous pouvez lever le niveau fonctionnel
de la fort vers Windows Server 2003 afin d'activer des fonctionnalits qui ne
sont pas disponibles au niveau fonctionnel Windows 2000, notamment :
! Les approbations de fort
! Une rplication accrue
Remarque Pour obtenir une liste exhaustive des fonctionnalits actives pour
chaque niveau fonctionnel de la fort ou du domaine, reportez-vous la
rubrique Fonctionnalit des domaines et des forts , en ligne, dans Aide et
Support.
Conditions requises pour Pour activer les nouvelles fonctionnalits tendues la fort, tous les
activer de nouvelles contrleurs de domaine de la fort doivent excuter Windows Server 2003, et le
fonctionnalits tendues niveau fonctionnel de la fort doit tre lev au niveau Windows Server 2003.
la fort Pour ce faire, vous devez tre un administrateur d'entreprise.
42 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Types d'approbations
Types d'approbations Windows Server 2003 prend en charge les types d'approbation suivants, dans
les catgories transitives et non transitives.
Type Transitivit A utiliser si vous souhaitez
Les SPN sont des structures permettant d'identifier l'ordinateur sur lequel est
excut un service.
Lorsqu'un poste de travail demande un service qui est introuvable dans le
domaine ou dans la fort dont il est membre, les TDO recherchent le service
dans toutes les forts approuves.
48 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Comment les Lorsqu'un utilisateur tente d'accder une ressource d'un autre domaine, le
approbations permettent protocole d'authentification Kerberos version 5 doit dterminer si le domaine
aux utilisateurs approuver (c'est--dire le domaine qui contient la ressource laquelle tente
d'accder aux d'accder l'utilisateur) possde une relation d'approbation avec le domaine
ressources d'une fort approuv (c'est--dire le domaine dans lequel l'utilisateur tente d'ouvrir une
session).
Pour dterminer cette relation, le protocole Kerberos version 5 suit le chemin
d'approbation en utilisant le TDO afin d'obtenir une rfrence au contrleur de
domaine du domaine cible. Le contrleur de domaine cible met un ticket de
service pour le service demand. Le chemin d'approbation est le chemin d'accs
le plus court dans la hirarchie d'approbation.
Lorsqu'un utilisateur du domaine approuv tente d'accder aux ressources d'un
autre domaine, son ordinateur contacte d'abord le contrleur de domaine de son
domaine afin d'obtenir l'authentification pour la ressource. Si la ressource ne se
trouve pas dans le domaine de l'utilisateur, le contrleur de domaine utilise la
relation d'approbation avec son parent et renvoie l'ordinateur de l'utilisateur vers
un contrleur de domaine de son domaine parent.
Cette tentative de localisation de la ressource se poursuit jusqu'au sommet de
la hirarchie, si possible vers le domaine racine de la fort, et vers le bas de la
hirarchie tant qu'un contact n'est pas tablit avec un contrleur de domaine du
domaine dans lequel se trouve la ressource.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 49
Remarque Les approbations entre forts permettent aux utilisateurs d'une fort
d'accder aux ressources d'une autre fort. Active Directory protge les
approbations entre forts grce au filtrage SID. Pour obtenir des informations
relatives au filtrage SID, reportez-vous la rubrique Comment fonctionnent
les approbations entre les forts de la page d'annexe du module 2 sur le
CD-ROM du stagiaire.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 51
Procdure de rvocation Pour rvoquer une approbation l'aide de Domaines et approbations Active
des approbations Directory, excutez la procdure suivante :
1. Dans Domaines et approbations Active Directory, dans l'arborescence de la
console, cliquez avec le bouton droit sur l'un des domaines de l'approbation
que vous souhaitez refuser, puis cliquez sur Proprits.
2. Dans l'onglet Approbations, sous Domaines approuvs par ce domaine
(approbations sortantes) ou Domaine qui approuvent ce domaine
(approbations entrantes), cliquez sur l'approbation que vous souhaitez
refuser, puis sur Supprimer.
3. Reprenez les tapes 1 et 2 afin de rvoquer l'approbation de l'autre domaine
de la relation d'approbation.
Scnario Vous tes un ingnieur systme de la socit Northwind Traders. Suite une
srie de fusions avec plusieurs socits de plus petite taille, Northwind Traders
a dcid de consolider son infrastructure Active Directory. Les organisations
individuelles doivent grer leur structure Active Directory, et tre cependant en
mesure de communiquer avec toutes les filiales. Vous allez fournir
l'infrastructure ncessaire la prise en charge de ces objectifs grce plusieurs
forts et approbations, le cas chant, entre elles.
Dure approximative
de cet atelier :
60 minutes
58 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Exercice 1
Suppression d'un domaine enfant d'Active Directory
Dans cet exercice, vous allez supprimer Active Directory de votre contrleur de domaine afin de
prparer la cration d'une structure de fort et de domaine Active Directory.
Scnario
Northwind Traders doit implmenter Active Directory diffrents emplacements. L'quipe de
gestion informatique (IT) a demand aux ingnieurs d'implmenter Active Directory en utilisant des
forts spares. Vous allez travailler de manire indpendante en tant qu'administrateur local du
bureau auquel vous avez t affect. Vous allez crer un domaine racine de la fort et un domaine
enfant Active Directory grce aux serveurs prsents sur votre site. Mais en premier lieu, vous devez
rtrograder votre contrleur de domaine.
Exercice 2
Cration d'un domaine racine de la fort Active Directory
Dans cet exercice, vous allez travailler avec un partenaire afin de crer votre fort Active Directory.
L'un de vous deux va crer le domaine racine de la fort et l'autre un domaine enfant.
Scnario
Vous crez une fort Active Directory qui va ventuellement tre fusionne dans un environnement
administratif polyvalent. En tant que filiale rgionale de Northwind Traders, vous devez coordonner
vos efforts avec la filiale de votre pays. L'une des filiales va crer le domaine racine de la fort et
l'autre un domaine enfant dans la nouvelle fort. Le domaine racine de la fort doit tre cr avant
que le domaine enfant, puisse rejoindre la fort. Vous devez coordonner vos efforts avec l'autre
filiale pour tre sr que la procdure approprie est ralise au moment opportun.
Votre instructeur va vous attribuer l'un des noms de domaine de la liste ci-dessous.
Nom de l'ordinateur Domaine racine de la fort Domaine enfant
Vancouver Nwtraders1.msft
Denver Corp1.Nwtraders1.msft
Perth Nwtraders2.msft
Brisbane Corp2.Nwtraders2.msft
Lisbon Nwtraders3.msft
Bonn Corp3.Nwtraders3.msft
Lima Nwtraders4.msft
Santiago Corp4.Nwtraders4.msft
Bangalore Nwtraders5.msft
Singapore Corp5.Nwtraders5.msft
Casablanca Nwtraders6.msft
Tunis Corp6.Nwtraders6.msft
Acapulco Nwtraders7.msft
Miami Corp7.Nwtraders7.msft
Auckland Nwtraders8.msft
Suva Corp8.Nwtraders8.msft
Stockholm Nwtraders9.msft
Moscow Corp9.Nwtraders9.msft
Caracas Nwtraders10.msft
Montevideo Corp10.Ntraders10.msft.
Manila Nwtraders11.msft
Tokyo Corp11. Nwtraders11.msft
Khartoum Nwtraders12.msft
Nairobi Corp12. Nwtraders12.msft
60 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Exercice 3
Cration d'un domaine enfant Active Directory
Dans cet exercice, vous allez terminer la cration de la fort Active Directory en crant un domaine
enfant l'intrieur de la racine de la fort.
Scnario
En tant qu'entreprise sur de la racine de la fort nouvellement cre, vous allez terminer la fort
en crant le premier domaine enfant. Ne suivez pas cette procdure tant que vous n'avez pas vrifi,
avec votre partenaire, que le domaine racine de la fort a t configur et qu'il fonctionne.
1. Crer un domaine enfant. " Ouvrez une session sur votre ordinateur local en tant
qu'Administrateur avec le mot de passe P@ssw0rd
Le service de rsolution DNS du contrleur du domaine enfant
doit pointer sur le contrleur du domaine racine de la fort.
2. Vrifier l'installation du
nouveau domaine enfant.
62 Module 2 : Implmentation d'une structure de fort et de domaine Active Directory
Exercice 4
Augmentation du niveau fonctionnel du domaine et de la fort
Dans cet exercice, vous allez augmenter les niveaux fonctionnels du domaine et de la fort vers
Windows Server 2003.
Scnario
Northwind Traders prpare son environnement d'approbations entre forts, que l'quipe
informatique va implmenter ultrieurement. Avant d'implmenter des approbations entre forts,
le niveau fonctionnel des domaines et des forts doit tre augment afin de prendre en charge la
fonctionnalit d'approbation de fort.
2. Augmenter le niveau " Vous devez augmenter le niveau en utilisant uniquement un membre de
fonctionnel de la fort. la fort.
Module 2 : Implmentation d'une structure de fort et de domaine Active Directory 63
Exercice 5
Cration d'une approbation de fort
Dans cette exercice, vous allez crer une approbation de fort bidirectionnelle avec les forts
nwtraders.msft.
Scnario
Le conglomrat Northwind Traders se dveloppe rapidement. Vous devez prendre en charge
l'augmentation des conditions requises en matire de connectivit entre les diffrentes
organisations. Pour satisfaire ces conditions, vous allez crer l'approbation requise avec laquelle
activer les communications et l'accs aux ressources entre votre fort et la fort de la socit.
1. Configurer la redirection " Effectuez cette tche sur le contrleur du domaine racine de la fort.
DNS.
2. Crer une approbation entre " Effectuez cette tche sur le contrleur du domaine enfant.
la fort de la classe et la
vtre, puis vrifier que
l'approbation a t cre.
THIS PAGE INTENTIONALLY LEFT BLANK
Module 3 : Implmentation
de la structure d'une unit
d'organisation
Table des matires
Vue d'ensemble 1
Leon : Cration et gestion d'units
d'organisation 2
Leon : Dlgation du contrle
administratif des units d'organisation 14
Leon : Planification d'une stratgie
d'unit d'organisation 25
Atelier A : Implmentation de la
structure d'une unit d'organisation 36
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 3 : Implmentation de la structure d'une unit d'organisation iii
Notes de l'instructeur
Prsentation : Ce module explique comment crer et grer des units d'organisation, dlguer
90 minutes des tches d'administration courantes et planifier l'implmentation de la
structure d'une unit d'organisation.
Atelier :
45 minutes
Objectifs la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer et grer des units d'organisation ;
! dlguer le contrle d'une unit d'organisation ;
! planifier la stratgie d'une unit d'organisation.
Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint
2194A_03.ppt.
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire les rubriques dans Aide et Support de Microsoft
Windows Server 2003 : propos des outils de ligne de commande
du service d'annuaire, y compris Dsadd, Dsmod, Dsrm et Ldifde.
iv Module 3 : Implmentation de la structure d'une unit d'organisation
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 3 : Implmentation de la structure d'une unit d'organisation v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit
configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, effectuez les
ateliers du Module 2, Implmentation d'une structure de fort et de domaine
Active Directory , du cours 2194, Planification, implmentation et
maintenance d'une infrastructure Active Directory Microsoft
Windows Server 2003.
Module 3 : Implmentation de la structure d'une unit d'organisation vii
Pour prparer les ordinateurs des stagiaires remplir cette condition, vrifiez
que les stagiaires ont effectu l'application pratique Cration d'units
d'organisation de ce module.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre les units d'organisation suivantes dans le domaine de chaque
stagiaire :
Nom_Ordinateur
Accounting
Research
! Elle cre les groupes suivants dans l'unit d'organisation relative au service
informatique IT (Information Technology) :
DL AccountingAdmins
DL ResearchAdmins
! Chaque groupe rpertori ci-dessus se voit dlguer le contrle de l'unit
d'organisation associe au groupe.
Module 3 : Implmentation de la structure d'une unit d'organisation 1
Vue d'ensemble
O :
! NU_Unit_Organisation spcifie le nom unique de l'unit d'organisation
que vous dsirez ajouter. Par exemple, pour ajouter l'unit
SupportTechnique au domaine nwtraders.msft, le nom unique serait
ou=supporttechnique,dc=nwtraders,dc=msft.
! Description spcifie la description de l'unit d'organisation que vous dsirez
ajouter.
! Domaine spcifie le domaine auquel se connecter. Par dfaut, l'ordinateur
est connect au contrleur de domaine du domaine sur lequel il a ouvert
une session.
Module 3 : Implmentation de la structure d'une unit d'organisation 7
Les paramtres qui sont transmis la commande dsmod sont les mmes que
ceux de la commande dsadd. La nouvelle description doit tre transmise
comme paramtre desc.
Procdure de Vous devez supprimer d'Active Directory les units d'organisation qui ne sont
suppression d'une unit plus utilises. Pour supprimer une unit d'organisation, excutez la commande
d'organisation suivante :
dsrm ou NU_Unit_Organisation -d Domaine -u Nom_Utilisateur -p
Mot_de_passe
Les paramtres qui sont transmis la commande dsrm sont les mmes que
ceux de la commande dsadd. Vous pouvez utiliser les paramtres
supplmentaires suivants avec dsrm :
! subtree. Spcifie de supprimer l'objet ainsi que tous les objets contenus dans
la sous-arborescence situe sous cet objet.
! Exclude. Spcifie de ne pas supprimer l'objet de base fourni par
NU_Unit_Organisation lorsque vous supprimez la sous-arborescence
situe au-dessous. Par dfaut, seul l'objet de base spcifi est supprim.
Le paramtre Exclude ne peut tre spcifi qu'avec le paramtre subtree.
O :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode
par dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom du fichier d'importation ou d'exportation.
OUList.ldf est le fichier d'entre.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe
associs au compte d'utilisateur qui sera utilis pour excuter l'opration
d'importation ou d'exportation.
Dans cet exemple, nwtraders.msft est le domaine dans lequel vous crez
l'unit d'organisation.
Module 3 : Implmentation de la structure d'une unit d'organisation 11
2. Pour excuter les commandes dans le fichier .vbs, tapez le texte suivant
l'invite de commande :
wscript nom_fichier_script.vbs
Application pratique ! Pour crer des units d'organisation l'aide de l'outil de ligne de
commande Ldifde
1. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez le Bloc-notes pour crer un fichier d'entre pour les units
d'organisation reprsentes dans l'illustration suivante.
votre_ville
IT Sales HR
dn: OU=IT,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
dn: OU=Sales,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
dn: OU=HR,OU=Vancouver,DC=nwtraders1,DC=msft
changetype: add
objectClass: organizationalUnit
L'autonomie administrative :
! minimise le nombre d'administrateurs devant possder des droits d'accs de
haut niveau ;
! limite l'impact d'une erreur administrative une zone d'administration plus
rduite.
Remarque Pour obtenir la liste des autorisations que vous pouvez dlguer
pour les objets slectionns, ou pour dlguer la cration et la suppression
d'objets enfants parmi les objets slectionns, activez la case cocher
Spcifique aux proprits.
Utilisez ensuite les points suivants comme consignes pour votre plan de
dlgation :
! Dterminez le niveau d'administration. Dcidez ce que chaque groupe
contrlera et quel niveau vous dlguerez l'administration dans la
hirarchie administrative. Lorsque vous crez le plan, identifiez quels
groupes :
auront un contrle intgral sur les objets d'une classe particulire ; ces
groupes peuvent crer et supprimer des objets dans une classe spcifie
et modifier tous les attributs des objets dans la classe spcifie.
seront autoriss crer des objets d'une classe particulire ; par dfaut,
les utilisateurs ont le contrle intgral des objets qu'ils crent ;
seront autoriss ne modifier que des attributs spcifiques d'objets
existants d'une classe particulire.
! Identifiez chaque administrateur et compte d'utilisateur dans votre
organisation ainsi que les ressources qu'ils administrent. Ces informations
vous aideront dterminer la proprit et les autorisations affectes aux
units d'organisation que vous crez pour prendre en charge le plan de
dlgation.
28 Module 3 : Implmentation de la structure d'une unit d'organisation
Structure d'un modle La structure du modle d'administration reflte la faon dont une organisation
d'administration gre ses ressources informatiques, comme les utilisateurs, les ordinateurs, les
informatique groupes, les imprimantes et les fichiers partags.
Les diffrentes manires selon lesquelles les modles d'administration sont
structurs incluent :
! Administration base sur l'emplacement gographique. L'organisation
informatique est centralise, par exemple au sige, mais l'administration
du rseau est distribue gographiquement (par exemple, chaque succursale
possde son propre groupe d'administration qui gre les ressources sur
place).
! Administration base sur l'organisation. Dans cette structure, l'organisation
informatique est divise en services ou en units commerciales, chacun
possdant son propre groupe informatique.
! Administration base sur une fonction business. Une organisation
informatique dcentralise base souvent son modle d'administration sur
des fonctions business dans l'organisation.
! Administration hybride. Cette structure associe les points forts de plusieurs
modles pour rpondre aux besoins d'administration de l'organisation.
30 Module 3 : Implmentation de la structure d'une unit d'organisation
Fonction
Informatique
centralise ?
Oui Non
Sparation
Administration
de services ou
distribue ?
divisionnaire ?
Distribue
Distribue quipes
gographi- Groupe unique
gographi- couvrant plusieurs
quement ? central
quement ? services ?
Sparation Sparation
de services ou de services ou Organisation puis Groupe unique
Organisation Fonction
divisionnaire ? divisionnaire ? emplacement central
Non Oui
Oui
Location then
Emplacement Organisation
organization
32 Module 3 : Implmentation de la structure d'une unit d'organisation
Dure approximative
de cet atelier :
45 minutes
Module 3 : Implmentation de la structure d'une unit d'organisation 37
Exercice 1
Cration d'units d'organisation
Vous allez utiliser dans cet exercice l'outil de ligne de commande Dsadd pour crer les units
d'organisation dans votre domaine.
1. Utiliser l'outil de ligne de " Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser
commande Dsadd pour crer avec le mot de passe P@ssw0rd.
les units d'organisation
Accounting et Research
dans l'unit d'organisation
Nom_Ordinateur, dans votre
domaine.
38 Module 3 : Implmentation de la structure d'une unit d'organisation
Exercice 2
Dlgation du contrle administratif
Dans cet exercice, vous allez utiliser la console Utilisateurs et ordinateurs Active Directory pour
crer des groupes, ajouter des groupes globaux partir du domaine nwtraders.msft aux groupes que
vous crez, puis dlguer le contrle de chaque unit d'organisation au groupe appropri. Pour
terminer, vous vrifierez la dlgation du contrle.
1. Crer les groupes locaux de a. Ouvrir une session sous le nom Nwtradersx\Nom_OrdinateurUser
domaine suivants dans avec le mot de passe P@ssw0rd.
l'unit d'organisation b. Utiliser Excuter en tant que pour dmarrer la console Utilisateurs et
Nom_Ordinateur\IT : Ordinateurs Active Directory sous votre_domaine\Administrateur
DL AccountingAdmins avec le mot de passe P@ssw0rd.
DL ResearchAdmins
2. Ajouter le groupe global
G Nom_OrdinateurAdmins
partir du domaine
Nwtraders.msft aux groupes
locaux de domaine
DL AccountingAdmins
et DL ResearchAdmins
dans votre domaine.
3. Utiliser l'Assistant
Dlgation de Contrle pour
dlguer le droit de crer,
supprimer et grer des
comptes d'utilisateurs dans
les units d'organisation
Accounting et Research aux
les groupes locaux de
domaine appropris que
vous avez crs.
Module 3 : Implmentation de la structure d'une unit d'organisation 39
Exercice 3
Vrification de la dlgation du contrle
Vous allez vrifier dans cet exercice les autorisations affectes aux groupes DL AccountingAdmins
et DL ResearchAdmins dans les units d'organisation Accounting et Research.
Quelles autorisations sont affectes au groupe DL ResearchAdmins ? quels objets les autorisations
s'appliquent-elles ?
THIS PAGE INTENTIONALLY LEFT BLANK
Module 4 : Implmentation
de comptes d'utilisateurs,
de groupes et d'ordinateurs
Table des matires
Vue d'ensemble 1
Leon : Prsentation des comptes 2
Leon : Cration et gestion de
plusieurs comptes 11
Leon : Implmentation des
suffixes UPN 24
Leon : Dplacement d'objets dans
Active Directory 35
Leon : Planification d'une stratgie de
compte d'utilisateur, de groupe et
d'ordinateur 45
Leon : Planification d'une stratgie
d'audit Active Directory 59
Atelier A : Implmentation d'une
stratgie de compte et d'audit 65
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs iii
Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires les connaissances et les comptences
120 minutes ncessaires la planification de comptes d'utilisateurs, de groupes et
d'ordinateurs dans le service d'annuaire Active Directory dans Microsoft
Atelier : Windows Server 2003. Ce module explique comment crer plusieurs comptes
60 minutes d'utilisateurs et d'ordinateurs l'aide des outils de ligne de commande tels que
Csvde et Ldifde, et comment grer des comptes l'aide de l'environnement
d'excution de scripts Windows. Ce module explique galement comment
implmenter des suffixes de nom d'utilisateur principal (UPN, User
Principal Name).
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les types de comptes et de groupes Active Directory ;
! crer plusieurs comptes d'utilisateurs et d'ordinateurs ;
! implmenter des suffixes UPN ;
! dplacer des objets l'intrieur d'un domaine et entre domaines d'une fort ;
! planifier une stratgie pour des comptes d'utilisateurs, de groupes et
d'ordinateurs ;
! planifier une stratgie d'audit Active Directory.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_04.ppt
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
Configuration Cette section contient les instructions suivre pour prparer l'ordinateur de
de la classe l'instructeur ou configurer la classe en vue de raliser l'atelier.
! Prparer l'atelier
Excutez le fichier de l'environnement d'excution de scripts Windows
UpnSuffixes.vbs sur le serveur London avant que les stagiaires commencent
l'atelier de ce module. Ce fichier se trouve dans le dossier
\Student\Labfiles\Setup sur le CD-ROM de l'instructeur.
iv Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que l'ordinateur de chaque stagiaire soit
configur comme contrleur de domaine dans sa propre fort. Pour prparer les
ordinateurs des stagiaires afin qu'ils remplissent cette condition, excutez les
instructions des guides de configuration automatise et manuelle de ce cours,
puis effectuez les ateliers du Module 2, Implmentation d'une structure
de fort et de domaine Active Directory , du cours 2194, Planification,
implmentation et maintenance d'une infrastructure Active Directory
Microsoft Windows Server 2003.
viii Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre les units d'organisation suivantes dans le domaine de chaque
stagiaire :
IT Admin
IT Users
IT Groups
NWTraders Groups
Domain Local
Global
Universal
IT Test
IT Test Move
! Un groupe global G IT Admins est cr dans le domaine de chaque
stagiaire.
! 26 groupes locaux de domaine nomms DL Nom_Ordinateur OU
Administrateurs sont crs.
! Un groupe local de domaine nomm DL IT OU Administrateurs est cr.
! 26 utilisateurs nomms Nom_OrdinateurAdmin sont crs.
! Deux suffixes UPN Nom_Ordinateur sont ajouts la fort de chaque
stagiaire, un par ordinateur de la fort.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 1
Vue d'ensemble
Types de comptes
Comptes d'ordinateurs Chaque ordinateur excutant Microsoft Windows NT, Windows 2000 ou
Windows XP, ou un serveur excutant Windows Server 2003 qui rejoint un
domaine possde un compte d'ordinateur. l'image des comptes d'utilisateurs,
les comptes d'ordinateurs permettent d'authentifier et d'auditer l'accs d'un
ordinateur aux ressources rseau et du domaine. Chaque compte d'ordinateur
doit tre unique.
Comptes de groupes Un compte de groupe est un ensemble d'utilisateurs, d'ordinateurs ou de
groupes. Vous pouvez utiliser des groupes pour grer efficacement l'accs aux
ressources du domaine, et ainsi simplifier l'administration. Lorsque vous
utilisez des groupes, vous affectez en une fois des autorisations pour des
ressources partages, telles que des dossiers et des imprimantes, des
utilisateurs individuels.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 5
Types de groupes
quel moment utiliser Utilisez un groupe local de domaine lorsque vous souhaitez affecter des
des groupes locaux de autorisations d'accs des ressources qui se situent dans le mme domaine que
domaine celui dans lequel vous crez le groupe local de domaine. Vous pouvez ajouter
des groupes globaux partageant les mmes ressources au groupe local de
domaine appropri.
8 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
quel moment utiliser Les groupes globaux tant visibles dans toute la fort, ne les crez pas dans le
des groupes globaux but de permettre aux utilisateurs d'accder des ressources spcifiques un
domaine. Utilisez les groupes globaux pour organiser des utilisateurs ou des
groupes d'utilisateurs. Un groupe local de domaine est plus appropri pour
contrler l'accs d'un utilisateur aux ressources situes dans un domaine unique.
10 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
quel moment utiliser Utilisez les groupes universels lorsque vous souhaitez imbriquer des
des groupes universels groupes globaux. De cette manire, vous pouvez affecter des autorisations
aux ressources connexes dans plusieurs domaines. Un domaine
Windows Server 2003 doit tre en mode Windows 2000 natif ou en mode
Windows Server 2003 pour utiliser des groupes de scurit universels. Vous
pouvez utiliser des groupes de distribution universels dans un domaine
Windows Server 2003 en mode Windows 2000 mixte ou ultrieur.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 11
Outil Csvde L'outil de ligne de commande Csvde utilise un fichier texte spar par des
virgules, galement appel format valeurs spares par des virgules (format
Csvde), comme entre pour crer plusieurs comptes dans Active Directory.
Vous devez utiliser le format Csvde pour ajouter des objets utilisateur et
d'autres types d'objets Active Directory. Vous ne pouvez pas utiliser le format
Csvde pour supprimer ou modifier des objets dans Active Directory. Avant
d'importer un fichier Csvde, assurez-vous que le fichier est correctement
format. Le fichier d'entre :
! doit inclure le chemin d'accs au compte d'utilisateur dans Active Directory,
le type d'objet, qui est le compte d'utilisateur, et le nom d'ouverture de
session de l'utilisateur (pour Microsoft Windows NT 4.0 et ultrieur) ;
! doit inclure le suffixe UPN (User Principal Name) et indiquer si le compte
d'utilisateur est activ ou non. Si vous ne spcifiez aucune valeur, le compte
est dsactiv ;
! peut inclure des informations personnelles, par exemple des numros de
tlphone ou des adresses personnelles. Incluez autant d'informations sur le
compte d'utilisateur que possible afin que les utilisateurs puissent effectuer
des recherches dans Active Directory ;
! ne peut pas inclure de mots de passe. Une importation en bloc laisse le mot
de passe vide pour les comptes d'utilisateur. tant donn qu'un mot de passe
vide permet une personne non autorise d'accder au rseau grce au seul
nom d'ouverture de session de l'utilisateur, dsactivez les comptes
d'utilisateurs jusqu' ce que les utilisateurs commencent se connecter.
Pour modifier et formater le fichier texte d'entre, utilisez une application qui
possde de bonnes capacits d'dition, telle que Microsoft Excel ou Microsoft
Word. Enregistrez ensuite le fichier en tant que fichier texte spar par des
virgules. Vous pouvez exporter des donnes d'Active Directory vers une
feuille de calcul Excel ou importer des donnes d'une feuille de calcul vers
Active Directory.
Outil Ldifde L'outil de ligne de commande Ldifde utilise un format valeurs spares par
des lignes pour crer, modifier et supprimer des objets dans Active Directory.
Un fichier d'entre Ldifde se compose d'une srie d'enregistrements spars par
une ligne vierge. Un enregistrement dcrit un objet annuaire unique ou un
ensemble de modifications apportes aux attributs d'un objet existant, et se
compose d'une ou plusieurs lignes dans le fichier. La plupart des applications de
base de donnes peuvent crer des fichiers que vous pouvez importer dans l'un
de ces formats. Les conditions requises pour le fichier d'entre sont identiques
celles de l'outil de ligne de commande Csvde.
Environnement Vous pouvez crer des scripts d'environnement d'excution de scripts Windows
d'excution de scripts qui utilisent des interfaces ADSI (Active Directory Service Interfaces) pour
Windows crer, modifier et supprimer des objets Active Directory. Utilisez des scripts
lorsque vous souhaitez modifier la valeur des attributs pour plusieurs objets
Active Directory, ou lorsque les critres de slection de ces objets sont
complexes.
14 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Important Vous ne pouvez pas utiliser Csvde pour crer des comptes
d'utilisateurs activs si la stratgie du mot de passe du domaine exige une
longueur minimale ou des mots de passe complexes. Dans ce cas, utilisez une
valeur de 514 pour l'attribut userAccountControl, qui dsactive le compte
d'utilisateur, puis activez le compte l'aide de l'environnement d'excution de
scripts Windows ou de la console Utilisateurs et ordinateurs Active Directory.
o :
-i indique que vous importez un fichier dans Active Directory
-f indique que le paramtre qui suit est le nom du fichier que vous importez
b dfinit la commande excuter comme nom_utilisateur, domaine et
mot_de_passe.
16 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Remarque Pour obtenir des informations sur les options courantes avec l'outil
de ligne de commande Csvde, consultez la rubrique Comment crer des
comptes l'aide de l'outil Csvde du Module 4 dans la page des annexes
sur le CD-ROM du stagiaire. Consultez galement Aide et Support
Windows Server 2003.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 17
# Crer Laura Bartoli (Le caractre # indique que cette ligne est un
commentaire.)
DN cn=Laura Bartoli, ou=Human Resources, dc=asia,dc=contoso,dc=msft
(Cette valeur spcifie le chemin d'accs au conteneur de l'objet.)
Changetype Add
objectClass user
sAMAccountName laurab
userPrincipalName laurab@contoso.msft
displayName Laura Bartoli
userAccountControl 512
o :
-i spcifie le mode d'importation. Si celui-ci n'est pas spcifi, le mode par
dfaut est exportation.
-k permet de ne pas tenir compte des erreurs durant une opration
d'importation et de poursuivre le traitement.
-f spcifie le nom de fichier d'importation ou d'exportation.
-b spcifie le nom d'utilisateur, le nom de domaine et le mot de passe du
compte d'utilisateur qui seront utiliss pour effectuer l'opration
d'importation ou d'exportation.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 19
Procdure de Pour modifier la valeur d'une proprit d'un objet Active Directory, tel que le
modification de la valeur numro de tlphone d'un utilisateur, ouvrez le Bloc-notes pour crer un fichier
d'une proprit texte, ajoutez les commandes suivantes au fichier, puis excutez le fichier de
script en le dmarrant l'invite de commandes.
1. Connectez-vous l'objet dont la proprit sera modifie.
Set objUser = GetObject _
("LDAP://cn=myerken,ou=TestOU,dc=nwtraders,dc=msft")
Avantages lis L'utilisation du nom d'utilisateur principal offre les avantages suivants :
l'utilisation du nom
d'utilisateur principal ! Il ne change pas lorsque vous dplacez un compte d'utilisateur vers un
domaine diffrent car le nom est unique dans la fort Active Directory.
! Il peut tre identique l'adresse lectronique de l'utilisateur car il a le mme
format qu'une adresse de messagerie standard.
26 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Rgles d'unicit des Les noms d'ouverture de session utilisateur pour des comptes d'utilisateurs de
noms d'ouverture de domaine doivent respecter les rgles d'unicit suivantes dans Active Directory :
session utilisateur
! le nom complet doit tre unique dans le conteneur dans lequel vous crez le
compte d'utilisateur ; le nom complet est utilis comme nom unique ;
! le nom d'utilisateur principal doit tre unique dans la fort.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 27
Supposons, par exemple, que vous souhaitiez tablir une approbation de fort
bidirectionnelle entre les forts contoso.com et fabrikam.com. Les forts
contoso.com et fabrikam.com ont le mme suffixe UPN : nwtraders.msft.
Lorsque vous crez l'approbation de fort bidirectionnelle, l'Assistant Nouvelle
approbation dtecte et affiche le conflit entre les deux suffixes de noms UPN.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 29
Rsolution des conflits L'Assistant Nouvelle approbation dsactive automatiquement un suffixe de nom
de domaine de second niveau si un suffixe identique existe dans une deuxime
fort. Par exemple, un conflit survient si l'une des forts s'appelle fabrikam.com
et l'autre s'appelle ventes.fabrikam.com.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il refuse l'accs ce domaine depuis l'extrieur de la fort. Cependant,
l'accs au domaine depuis l'intrieur de la fort fonctionne normalement.
Par exemple, si le domaine fabrikam.com existe dans les forts contoso.com et
nwtraders.msft, les utilisateurs de la fort contoso.com peuvent accder aux
ressources prsentes dans le domaine fabrikam.com qui rside dans la fort
contoso.com. Cependant, les utilisateurs de la fort contoso.com n'ont pas accs
aux ressources prsentes dans le domaine fabrikam.com qui est situ dans la
fort nwtraders.msft.
Lorsque l'Assistant Nouvelle approbation dtecte un conflit de suffixes de
noms, il vous invite enregistrer un fichier journal du conflit. Il rpertorie
ensuite les conflits dans la bote de dialogue Proprits Nom d'approbation de
fort sous l'onglet Routage des suffixes de noms, dans la colonne Routage.
30 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
2. Activez le routage des nouveaux suffixes de noms que vous avez crs dans
la fort nwtraders.msft.
a. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
b. Dans la bote de dialogue Se connecter au contrleur de domaine,
dans la zone Domaine, tapez nwtraders.msft.
c. Cliquez sur OK, puis sur Oui.
d. Dans l'arborescence de la console, cliquez avec le bouton droit sur
nwtraders.msft, puis cliquez sur Proprits.
e. Sous l'onglet Approbations, sous Domaines qui approuvent ce
domaine (approbations entrantes), cliquez sur nwtradersx.msft,
sur Proprits, puis sur l'onglet Routage des suffixes de noms.
f. Dans la bote de dialogue Active Directory, tapez le nom d'utilisateur
Administrateur et le mot de passe P@ssw0rd, puis cliquez sur OK.
g. Sous l'onglet Routage des suffixes de noms, sous Suffixes de noms
dans la fort nwtradersx, cliquez sur Votre_Prnom.msft, sur Activer,
puis cliquez deux fois sur OK.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 35
Attention Le filtrage des identificateurs SID est conu pour tre utilis sur des
approbations entre forts ou sur des approbations externes. Son utilisation entre
domaines d'une mme fort reprsente une application errone du filtrage des
identificateurs SID. Si vous mettez un domaine en quarantaine au sein d'une
mme fort, le filtrage des identificateurs SID supprimera les identificateurs
SID ncessaires la rplication Active Directory. Le filtrage des identificateurs
SID peut galement faire chouer l'authentification des utilisateurs issus de
domaines approuvs de faon transitive dans le domaine mis en quarantaine.
Autres implications du Le dplacement d'objets dans Active Directory a galement les implications
dplacement d'objets suivantes :
! les comptes d'utilisateurs qui ont des privilges administratifs pour l'unit
d'organisation vers laquelle le compte est dplac peuvent grer les
proprits du compte d'utilisateur dplac ;
! les restrictions lies la stratgie de groupe de l'unit d'organisation, du
domaine ou du site depuis lequel le compte d'utilisateur a t dplac ne
s'appliquent plus au compte d'utilisateur ;
! les paramtres Stratgie de groupe du nouvel emplacement s'appliquent au
compte d'utilisateur.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 39
2. Cliquez avec le bouton droit sur Outil de migration Active Directory, puis
slectionnez l'Assistant pour l'objet que vous souhaitez migrer.
Par exemple, pour dplacer un compte d'utilisateur, cliquez sur Assistant
Migration des comptes d'utilisateurs.
3. Dans la page Bienvenue, cliquez sur Suivant.
4. Effectuez une migration test en procdant comme suit :
a. Dans la page Tester ou effectuer des changements, cliquez sur Tester
les paramtres de migration et effectuer celle-ci ultrieurement, puis
cliquez sur Suivant.
b. Dans la page Slection du domaine, slectionnez les domaines source et
cible, puis cliquez sur Suivant.
c. Dans la page Slection de l'utilisateur, cliquez sur Ajouter, tapez le
nom de l'objet, cliquez sur OK, puis sur Suivant.
d. Dans la page Slection de l'unit d'organisation, cliquez sur Parcourir,
slectionnez le conteneur cible, cliquez sur OK, puis sur Suivant.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 41
Scnario Votre organisation compte 2000 utilisateurs. Suzanne Duprez, une utilisatrice
de votre domaine, occupe un nouveau poste au sein de la socit. Vous devez
dplacer son objet compte utilisateur pour qu'il corresponde son nouveau rle.
Application pratique ! Dplacer un compte d'utilisateur et afficher les modifications
conscutives au dplacement
1. Ouvrez une session en tant que Nwtradersx\Nom_OrdinateurUser avec le
mot de passe P@ssw0rd.
2. Utilisez Ldp.exe pour examiner l'identificateur SID, l'historique SID et
l'identificateur GUID de l'objet utilisateur de Suzanne Duprez dans l'unit
d'organisation Votre_Ordinateur\Sales situe dans le domaine hberg par
votre ordinateur stagiaire.
a. Cliquez sur Dmarrer, sur Invite de commandes, tapez ldp et appuyez
sur ENTRE.
b. Dans la bote de dialogue Ldp, dans le menu Connection, cliquez sur
Connect.
c. Dans la bote de dialogue Connection, dans la zone Server, tapez le
nom de votre serveur, puis cliquez sur OK.
d. Dans la bote de dialogue Ldap, dans le menu Connection, cliquez
sur Bind.
44 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
__________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 45
Envisagez d'utiliser :
des prfixes ou suffixes pour identifier des comptes d'utilisateurs
spciaux, tels que des fournisseurs, du personnel temps partiel et des
comptes de services ;
un autre nom de domaine pour que le suffixe UPN augmente la scurit
des sessions et simplifie les noms d'ouverture de session.
Par exemple, si votre organisation possde une arborescence de
domaine profonde qui est organise par dpartement et rgion, les
noms de domaines peuvent tre assez longs. Le suffixe UPN par
dfaut pour un utilisateur dans ce domaine peut donc tre
ventes.exemple.nwtraders.msft. Le nom d'ouverture de session d'une
utilisatrice nomme Suzanne Duprez dans ce domaine peut alors tre
SDuprez@ventes.exemple.nwtraders.msft. Cependant, si vous crez le
suffixe nwtraders ou nwtraders.msft, un utilisateur peut ouvrir une
session en ajoutant le nom d'ouverture de session le plus simple
SDuprez@nwtraders ou SDuprez@nwtraders.msft. Il n'est pas
ncessaire que ces autres suffixes UPN soient un nom DNS valide.
! Dfinissez une convention d'attribution de nom de compte d'ordinateur qui
identifie le propritaire de l'ordinateur, son emplacement et le type
d'ordinateur. Incluez les informations suivantes dans la convention
d'attribution de nom :
Convention d'attribution de nom Exemple
Attention Tout intrus potentiel peut trouver des caractres ASCII tendus
dans la Table des caractres. N'utilisez pas de caractre tendu si aucune
squence de touches n'est dfinie dans le coin infrieur droit de la table des
caractres. Avant d'utiliser des caractres ASCII tendus dans votre mot de
passe, testez-les pour vrifier que les mots de passe qui contiennent des
caractres ASCII tendus sont compatibles avec les applications utilises
par votre organisation. Soyez particulirement prudent lors de l'utilisation de
caractres ASCII tendus si votre organisation utilise plusieurs systmes
d'exploitation.
50 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Conseil Si vous crez un domaine racine dans votre fort dans le but de placer
des comptes administrateur, envisagez d'exiger des paramtres de stratgie de
mot de passe plus stricts sur ce domaine que sur le domaine de votre compte.
Par exemple, envisagez d'exiger une dure de vie maximale du mot de passe de
30 jours, une dure de vie minimale du mot de passe de 7 jours et une longueur
minimale de 14 caractres.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 51
Planification des Utilisez le tableau suivant pour planifier des comptes de groupes : Il contient
comptes de groupes des exemples d'informations pour un groupe universel nomm U RedAccts, qui
est cr dans le domaine Redmond. Ses membres incluent des groupes globaux
des domaines London, Vancouver et Denver.
Groupe Description Emplacement Type Membres
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 57
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
58 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
____________________________________________________________
____________________________________________________________
____________________________________________________________
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 59
Pour auditer des modifications apportes, avec succs ou non, des objets ou
attributs Active Directory, vous devez activer l'audit des services d'annuaire sur
tous les contrleurs de domaine et configurer une liste SACL (System Access
Control List) pour chaque objet ou attribut que vous souhaitez auditer.
62 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Attention L'activation des audits des checs pour ces vnements peut
reprsenter un risque pour votre organisation. Si des utilisateurs tentent
d'accder une ressource pour laquelle ils n'ont pas d'autorisation, ils peuvent
crer tant d'audits des checs que le journal de scurit devient rapidement
plein. L'ordinateur ne peut alors plus collecter d'audits. Si le paramtre de
stratgie Audit : arrter immdiatement le systme s'il n'est pas possible
de se connecter aux audits de scurit est activ, les serveurs se fermeront
lorsque le journal sera plein. Si tel est le cas, des intrus peuvent lancer une
attaque de refus de service en utilisant votre stratgie d'audit.
____________________________________________________________
Scnario La socit Northwind Traders implmente Windows Server 2003 sur son
rseau. Elle prvoie d'utiliser une fort avec deux domaines, savoir un
domaine racine vide et un domaine d'entreprise. Le domaine d'entreprise
contiendra les comptes d'utilisateurs, de groupes et d'ordinateurs.
Dure approximative
de cet atelier :
60 minutes
66 Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs
Exercice 1
Planification d'une stratgie de compte et d'audit
Dans cet exercice, vous allez planifier une stratgie d'attribution de nom de compte pour la nouvelle
fort de Northwind Traders. Utilisez les instructions fournies par l'quipe d'ingnierie et de
conception.
Scnario
La nouvelle fort se composera d'un domaine racine vide nomm nwtraders.msft et d'un domaine
enfant nomm corp.nwtraders.msft qui contiendra tous vos comptes d'utilisateurs. La socit possde
des bureaux dans sept villes.
Votre stratgie de compte et d'audit devra tenir compte des conditions suivantes :
! La stratgie d'attribution de nom des comptes d'utilisateurs doit permettre aux employs qui ne
connaissent que le prnom et le nom de famille d'un autre utilisateur de dterminer facilement
l'adresse lectronique de celui-ci.
! La stratgie d'attribution de nom des comptes d'ordinateurs doit permettre aux employs
d'identifier facilement l'emplacement et le rle d'un ordinateur.
! Tous les employs doivent possder une adresse lectronique de type
Nom_Utilisateur@nwtraders.msft.
! La stratgie d'audit doit tre capable de dtecter les tentatives de modification et les
modifications non autorises d'Active Directory.
Tches
1. Planifier une stratgie d'attribution de nom de compte d'utilisateur pour la fort nwtraders.msft.
De quoi se composeront les noms de compte d'utilisateur ?
Quelle stratgie allez-vous utiliser pour rsoudre des conflits de noms de comptes d'utilisateurs ?
Tches
2. Planifier une stratgie d'attribution de nom de compte d'ordinateur pour la fort nwtraders.msft.
Quelle convention d'attribution de nom allez-vous utiliser pour les comptes de serveurs ?
Quelle convention d'attribution de nom allez-vous utiliser pour les ordinateurs clients ?
Exercice 2
Cration de comptes l'aide de l'outil Csvde
Dans cet exercice, vous allez utiliser l'outil de ligne de commande Csvde pour importer plusieurs
comptes dans Active Directory partir d'un fichier d'importation .csv cr pour vous l'aide de
Microsoft Excel.
Scnario
En tant qu'administrateur chez Northwind Traders, vous recevez quotidiennement des requtes pour
de nouveaux comptes d'utilisateurs. Un membre de l'quipe entre les requtes dans une feuille de
calcul, qui est enregistre dans un format valeurs spares par des virgules, galement appel
format .csv (Comma Separated Value). Au dbut de chaque journe de travail, vous tes charg
d'importer ce fichier dans Active Directory pour crer les comptes d'utilisateurs.
1. Utiliser l'outil de ligne de " Le nom du fichier .csv est le mme que celui du domaine hberg par
commande Csvde pour votre ordinateur. Ce fichier se trouve dans le dossier <dossier
importer le fichier .csv dans d'installation>MOC\2194\Labfiles\Lab4 sur votre ordinateur.
Active Directory.
2. Utiliser la console
Utilisateurs et ordinateurs
Active Directory pour
dterminer les units
d'organisation, utilisateurs et
groupes nouvellement crs.
Quelles sont les units d'organisation nouvellement cres ?
Parmi les nouvelles units d'organisation, lesquelles contiennent des comptes d'utilisateurs et de groupes ?
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 69
Exercice 3
Cration d'un suffixe UPN
Dans cet exercice, vous allez crer un suffixe UPN, puis rsoudre un conflit de routage de suffixe
UPN entre deux forts.
Scnario
Des utilisateurs de votre domaine ont demand pouvoir ouvrir une session sur leur domaine
l'aide d'un suffixe compos uniquement du nom de la ville dans laquelle ils se trouvent. Vous allez
crer ce suffixe UPN dans votre fort pour votre ville.
Exercice 4
Dplacement d'un groupe d'utilisateurs
Dans cet exercice, vous allez accorder des autorisations de groupes globaux un dossier partag sur
votre serveur. Vous allez ensuite dplacer le groupe et ses membres vers une unit d'organisation
situe dans l'autre domaine de votre fort. Enfin, vous allez vrifier que le groupe dplac possde
encore les autorisations sur le dossier partag sur votre serveur.
Scnario
Suite une rcente rorganisation chez Northwind Traders, un groupe d'utilisateurs est mut sur
un autre site. Ce dplacement affecte galement Active Directory car le groupe et ses comptes
d'utilisateurs doivent tre dplacs vers un autre emplacement de la fort. Il faudra compter
plusieurs mois pour que les serveurs qui contiennent les donnes des utilisateurs puissent tre
dplacs. Vous devez vous assurer que les utilisateurs peuvent toujours accder leurs fichiers
aprs le dplacement de leurs comptes.
3. Installer l'outil de migration a. Utilisez la commande Excuter en tant que pour dmarrer une invite
Active Directory sur votre de commandes en tant que Votre_Domaine\Administrateur avec le
ordinateur. mot de passe P@ssw0rd.
b. l'invite de commandes, dmarrez l'installation en tapant
\\London\OS\ADMT\ADM_0001.MSI puis appuyez sur ENTRE
pour dmarrer l'installation.
Module 4 : Implmentation de comptes d'utilisateurs, de groupes et d'ordinateurs 71
Tches
4. Utiliser l'outil de migration " Utilisez la commande Excuter en tant que pour ouvrir l'outil de
Active Directory pour migration Active Directory en tant que nwtradersx\Administrator
dplacer le groupe global G avec le mot de passe P@ssw0rd.
IT Admins et ses membres Remarque : la bote de dialogue Avance de la Migration peut
dans l'unit d'organisation indiquer la prsence d'erreurs. Ces erreurs ont t gnres lorsque
IT Test\IT Test Move situe vous avez renomm les utilisateurs et le groupe avec l'extension
dans l'autre domaine de dplace. Ignorez ces messages d'erreur.
votre fort.
5. Utiliser Ldp.exe pour Remarque : le groupe G IT Admins peut avoir t renomm
examiner l'identificateur G IT Adminsdplacs dans le cadre du processus de dplacement.
SID, l'historique SID et " Aprs avoir rpondu la question ci-dessous, dans le menu Connexion,
l'identificateur GUID de cliquez sur Quitter.
l'objet groupe global G IT
Admins de l'unit
d'organisation IT Test\IT
Test Move situe dans le
domaine de dplacement.
Quels sont les lments rpertoris pour les entres objectGUID, objectSID et sIDHistory du groupe
global G IT Admins ?
L'une des entres objectGUID, ObjectSID ou sIDHistory a-t-elle t modifie suite au dplacement ?
6. Utiliser l'Explorateur
Windows pour afficher les
autorisations affectes au
dossier ITAdmin que vous
avez cr et partag
l'tape 1.
Est-ce que le groupe auquel vous avez accord les autorisations pour ce dossier l'tape 1 possde toujours
des autorisations Contrle total sur le dossier ? Expliquez pourquoi.
THIS PAGE INTENTIONALLY LEFT BLANK
Module 5 :
Implmentation d'une
stratgie de groupe
Table des matires
Vue d'ensemble 1
Leon : Cration et configuration d'objets
Stratgie de groupe 2
Leon : Configuration des frquences
d'actualisation et des paramtres de
stratgie de groupe 19
Leon : Gestion des objets Stratgie de
groupe 32
Leon : Vrification et rsolution des
problmes lis la stratgie de groupe 47
Leon : Dlgation du contrle
administratif de la stratgie de groupe 56
Leon : Planification d'une stratgie
de groupe pour l'entreprise 66
Atelier A : Implmentation d'une
stratgie de groupe 74
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 5 : Implmentation d'une stratgie de groupe iii
Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires les connaissances et les comptences
180 minutes ncessaires pour planifier et implmenter une stratgie de groupe afin de grer
de faon centralise les utilisateurs et les ordinateurs d'une entreprise.
Atelier :
75 minutes la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! crer et configurer des objets Stratgie de groupe (GPO, Group Policy
Object) ;
! configurer les frquences d'actualisation de la stratgie de groupe et les
paramtres de stratgie de groupe ;
! grer les objets Stratgie de groupe ;
! vrifier et rsoudre les problmes lis la stratgie de groupe ;
! dlguer le contrle administratif de la stratgie de groupe ;
! planifier une stratgie de groupe pour l'entreprise.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_05.ppt
! Fichier Macromedia Flash 2144A_2274_6_A_IntroGP.swf
! Fichier Macromedia Flash 2144A_2274_6_I_GP.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire le module 8, Implmentation d'une stratgie de groupe , du
cours 2144A, Administration d'un environnement Microsoft Windows
Server 2003 ;
! lire le module 9, Administration de l'environnement utilisateur au moyen
de la stratgie de groupe , du cours 2144A, Administration d'un
environnement Microsoft Windows Server 2003 ;
! lire l'article, Enterprise Management with the Group Policy Management
Console (en anglais) l'adresse :
http://www.microsoft.com/windowsserver2003/gpmc/default.mspx.
iv Module 5 : Implmentation d'une stratgie de groupe
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche.
Les stagiaires n'effectuent pas les tches en mme temps que vous. Ils se
servent des tapes dcrites pour effectuer l'application pratique la fin de
chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Module 5 : Implmentation d'une stratgie de groupe v
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 L'atelier de ce module requiert l'installation de la console Gestion de stratgie
de groupe. Avant de prparer les ordinateurs des stagiaires, assurez-vous qu'ils
ont termin l'application pratique intitule Cration et configuration d'objets
Stratgie de groupe.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre des units d'organisation Accounting (comptabilit), Accounts
Receivable (Crances) et Accounts Payable (Dettes) ;
! Elle cre des objets Stratgie de groupe Accounting, Accounts Receivable et
Accounts Payable.
Module 5 : Implmentation d'une stratgie de groupe 1
Vue d'ensemble
Types de paramtres Vous pouvez configurer des paramtres de stratgie de groupe pour dfinir les
stratgies affectant les utilisateurs et les ordinateurs. Le tableau suivant prsente
les types de paramtres que vous pouvez configurer.
Type de paramtre Description
(suite)
Type de paramtre Description
Flux d'hritage Les objets Stratgie de groupe sont lis des sites, domaines et units
d'organisation. Vous pouvez dfinir des stratgies centralises qui vont affecter
l'organisation entire et des stratgies dcentralises qui affecteront un service
particulier. Il n'existe pas de hirarchie de domaines comme pour les units
d'organisation, avec les units parent-enfant.
Ordre de traitement L'ordre dans lequel Windows Server 2003 applique des objets Stratgie de
des objets Stratgie groupe est fonction du conteneur Active Directory auquel les objets Stratgie de
de groupe groupe sont lis. Windows Server 2003 applique d'abord les objets au site, puis
aux domaines, et enfin aux units d'organisation des domaines.
Paramtres des objets Certains paramtres des objets Stratgie de groupe sont valeurs multiples.
Stratgie de groupe Ces paramtres sont traits comme des paramtres valeur simple. En d'autres
valeurs multiples termes, si le paramtre est dfini dans plusieurs objets Stratgie de groupe,
seuls les paramtres de l'un des objets Stratgie de groupe observant les rgles
d'hritage seront appliqus.
Blocage de l'hritage Vous pouvez empcher un conteneur enfant d'hriter de tous les objets Stratgie
de groupe de ses conteneurs parents en activant le blocage de l'hritage pour
le conteneur enfant. Le blocage de l'hritage peut s'avrer utile lorsqu'un
conteneur Active Directory requiert des paramtres de stratgie de groupe
uniques.
Option Appliqu L'option Appliqu (appele Ne pas passer outre si la console Gestion de
stratgie de groupe n'est pas installe) est un attribut de la liaison, et non de
l'objet Stratgie de groupe. Si le mme objet Stratgie de groupe est li ailleurs,
l'option Appliqu ne s'applique pas cette liaison, sauf si vous modifiez
galement la liaison. Si un objet Stratgie de groupe est li plusieurs
conteneurs, vous pouvez configurer l'option Appliqu individuellement pour
chaque conteneur. Lorsque plusieurs liaisons sont dfinies sur Appliqu, les
objets Stratgie de groupe lis sont appliqus un conteneur commun. S'ils
comportent des paramtres en conflit, l'objet Stratgie de groupe le plus haut
dans la hirarchie Active Directory est prioritaire.
Filtrer des objets Vous pouvez avoir besoin de lier des objets Stratgie de groupe associs
Stratgie de groupe d'autres objets d'annuaire. En dfinissant les autorisations appropries pour les
groupes de scurit, vous pouvez filtrer la stratgie de groupe pour qu'elle
s'applique uniquement aux ordinateurs et utilisateurs spcifis.
Module 5 : Implmentation d'une stratgie de groupe 5
Console Gestion de La console Gestion de stratgie de groupe est compose d'un ensemble
stratgie de groupe d'interfaces programmables destines la gestion des stratgies de groupe et
d'un composant logiciel enfichable MMC (Microsoft Management Console)
bas sur ces interfaces programmables. Ensemble, les composants de la console
Gestion de stratgie de groupe unifient la gestion des stratgies de groupe dans
l'entreprise.
Options de slection Vous pouvez spcifier un contrleur de domaine pour la gestion des objets
d'un contrleur de Stratgie de groupe en slectionnant l'une des options suivantes :
domaine
! Le contrleur de domaine avec le jeton de matre d'oprations pour
l'mulateur PDC. Il s'agit de l'option par dfaut, utiliser de prfrence.
! Tout contrleur de domaine disponible. Lorsque vous utilisez cette
option, vous allez probablement slectionner un contrleur de domaine du
site local.
! Tout contrleur de domaine excutant Windows Server 2003 ou version
ultrieur. Cette option n'est pas disponible dans les environnements
comportant la fois des serveurs Windows Server 2003 et Windows 2000.
! Ce contrleur de domaine. Lorsque vous utilisez cette option, vous
slectionnez le contrleur de domaine actuel.
10 Module 5 : Implmentation d'une stratgie de groupe
Pour les ordinateurs clients excutant Windows 2000, Active Directory ignore
les filtres WMI et applique toujours l'objet Stratgie de groupe.
Exemple de Par exemple, pour cibler les ordinateurs disposant de plus de 10 Mo d'espace
requte WQL disponible sur le lecteur C, D ou E, les partitions doivent se trouver sur un ou
plusieurs disques durs et excuter le systme de fichiers NTFS. Tapez la requte
WMI suivante :
Select * FROM Win32LogicalDisk WHERE (Name = "C:" OR Name =
"D:" OR Name
= "E:") AND DriveType = 3 AND FreeSpace > 10485760 AND
FileSystem = "NTFS"
4. Les scripts de dmarrage s'excutent. Par dfaut, les scripts sont masqus et
synchrones. Chaque script doit se terminer ou son dlai d'excution doit tre
coul pour que le suivant puisse dmarrer. Le dlai d'attente par dfaut est
de 600 secondes. Vous pouvez utiliser les paramtres de stratgie de groupe
pour modifier la valeur de ce paramtre.
Intervalle d'actualisation Les ordinateurs excutant Windows Server 2003 actualisent ou rappliquent
utilisateur ou ordinateur les paramtres de stratgie de groupe intervalles dfinis. L'actualisation des
paramtres permet de s'assurer que les paramtres de stratgie de groupe sont
appliqus aux ordinateurs et aux utilisateurs mme si ces derniers ne
redmarrent jamais leur ordinateur ou ne ferment jamais leur session.
Procdure d'ajout Pour ajouter un script un objet Stratgie de groupe, procdez comme suit :
du script
1. Dans la bote de dialogue Proprits du type de script, cliquez sur Ajouter.
2. Cliquez sur Parcourir, slectionnez un script, puis cliquez sur Ouvrir.
Module 5 : Implmentation d'une stratgie de groupe 23
(suite)
Traitement des Modification
Extension ct client liaisons lentes Actualis possible ?
Procdure Pour configurer les composants de la stratgie de groupe qui sont actualiss et
peuvent tre modifis, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe appropri de la stratgie de groupe,
dveloppez successivement Configuration ordinateur, Modles
d'administration, Systme, cliquez sur Stratgie de groupe, puis cliquez
sur chaque lment du tableau prcdent.
2. Cliquez sur Activ.
3. Cliquez sur Ne pas appliquer lors des traitements en tche de fond
priodiques.
4. Si l'option est disponible, cliquez sur Autoriser le traitement sur une
connexion rseau lente, puis cliquez sur OK.
(suite)
Paramtre Description
Pour utiliser l'une ou l'autre de ces mthodes, des rfrences aux entits de
scurit et des chemins UNC (Universal Naming Convention) doivent figurer
dans l'objet Stratgie de groupe source.
Dfinition du mappage Lorsque vous copiez des objets Stratgie de groupe dans des domaines ou des
des entits de scurit forts, la console Gestion de stratgie de groupe peut effectuer un mappage
des entits de scurit. C'est--dire qu'elle peut modifier les paramtres se
rapportant aux entits de scurit en convertissant les valeurs de ces entits
en fonction du nouvel objet Stratgie de groupe.
34 Module 5 : Implmentation d'une stratgie de groupe
Dfinition d'une table Si vous avez besoin d'une personnalisation supplmentaire, vous pouvez utiliser
de migration des scripts pour implmenter une table de migration, c'est--dire un fichier texte
XML (eXtensible Markup Language) spcifiant le mappage personnalis des
entits de scurit depuis le domaine source vers le domaine de destination. La
table de migration comporte une section de mappage des entits de scurit et
une section de mappage des chemins d'accs. Utilisez ces sections pour dfinir
des rgles de mappage spcifiques.
Module 5 : Implmentation d'une stratgie de groupe 35
iii. Dans la page Analyse en cours de l'objet GPO original, cliquez sur
Suivant.
Si l'objet Stratgie de groupe source contient des rfrences aux
entits de scurit et aux chemins UNC, vous verrez s'afficher la
fentre mentionne l'tape suivante. Sinon, passez l'tape v.
iv. Dans la page Migration des rfrences, slectionnez Effectuant
une copie identique partir de la source ou Utilisant cette table
de migration pour le mappage dans l'objet de stratgie de groupe
cible, slectionnez la table de migration dans la liste, puis cliquez sur
Suivant.
v. Dans la page Fin de l'Assistant Copie entre domaines, cliquez sur
Terminer.
vi. Une fois l'opration de copie termine, cliquez sur OK.
Procdure de Pour restaurer un objet Stratgie de groupe supprim qui figure dans la liste
restauration d'un objet des Objets Stratgie de groupe, effectuez l'une des oprations suivantes :
Stratgie de groupe
supprim 1. Ouvrez la console Gestion de stratgie de groupe, dveloppez
successivement la fort contenant l'objet Stratgie de groupe restaurer,
Domaines, puis le domaine contenant l'objet Stratgie de groupe.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Parcourir,
recherchez le systme de fichiers contenant l'objet Stratgie de groupe
supprim, slectionnez l'objet, cliquez sur Restaurer, puis cliquez sur OK
pour confirmer l'opration de restauration.
42 Module 5 : Implmentation d'une stratgie de groupe
Application pratique :
Restauration d'un objet
! Supprimer et restaurer un objet Stratgie de groupe
Stratgie de groupe 1. Dans la console Gestion de stratgie de groupe, cliquez avec le bouton droit
sur Copie de GPO_pratique, cliquez sur Supprimer, puis sur OK.
2. Cliquez avec le bouton droit sur Objets de stratgie de groupe, puis
cliquez sur Grer les sauvegardes.
3. Dans la bote de dialogue Gestion des sauvegardes, slectionnez Copie de
GPO_pratique, puis cliquez sur Restaurer.
4. Lorsque vous tes invit restaurer la sauvegarde, cliquez sur OK.
5. Dans la bote de dialogue Restaurer, cliquez sur OK une fois la sauvegarde
restaure.
6. Dans la bote de dialogue Gestion des sauvegardes, cliquez sur Fermer.
7. Vrifiez que l'objet Stratgie de groupe a bien t restaur.
8. Fermez la console Gestion de stratgie de groupe.
Module 5 : Implmentation d'une stratgie de groupe 47
Vous ne parvenez pas ouvrir un objet Stratgie de Devenez membre d'un groupe de scurit avec
groupe, mme avec l'autorisation en lecture. les autorisations Lire et crire pour l'objet.
Lorsque vous essayez de modifier un objet Stratgie de Assurez-vous que le systme DNS fonctionne
groupe, le message signalant qu'il est impossible d'ouvrir correctement.
l'objet Stratgie de groupe s'affiche.
La stratgie de groupe n'est pas applique aux utilisateurs Liez les objets Stratgie de groupe uniquement
et ordinateurs d'un groupe de scurit qui les contient, des sites, domaines et units d'organisation.
alors qu'un objet Stratgie de groupe est li une unit
d'organisation contenant le groupe de scurit.
Module 5 : Implmentation d'une stratgie de groupe 49
(suite)
Symptme Rsolution
La stratgie de groupe n'affecte pas les utilisateurs et Liez un objet Stratgie de groupe une unit
ordinateurs d'un conteneur Active Directory. d'organisation qui est parente du conteneur Active
Directory. Ces paramtres sont alors appliqus par dfaut
aux utilisateurs et ordinateurs du conteneur via l'hritage.
La stratgie de groupe n'est pas applique sur Dterminez quels objets Stratgie de groupe sont
l'ordinateur client. appliqus via Active Directory et si ces objets possdent
des paramtres en conflit avec les paramtres locaux.
50 Module 5 : Implmentation d'une stratgie de groupe
Procdure d'affichage Pour afficher la requte des Rsultats de stratgie de groupe, procdez
de la requte des comme suit :
Rsultats de stratgie
de groupe 1. Ouvrez la console Gestion de stratgie de groupe.
2. Naviguez jusqu' la fort contenant la requte de modlisation de stratgie
de groupe afficher, dveloppez Rsultats de stratgie de groupe, cliquez
avec le bouton droit sur la requte, puis cliquez sur Affichage avanc.
quel moment utiliser Dans le cas d'utilisateurs et de groupes du domaine, utilisez le groupe
le groupe Propritaires Propritaires crateurs de la stratgie de groupe pour affecter des autorisations
crateurs de la stratgie de cration d'un objet Stratgie de groupe. Ce groupe tant un groupe global du
de groupe domaine, il ne peut pas contenir de membres extrieurs au domaine. Si des
utilisateurs externes au domaine ont besoin de pouvoir crer des objets Stratgie
de groupe, procdez comme suit :
1. Crez un nouveau groupe local du domaine dans le domaine.
2. Affectez ce groupe l'autorisation de crer des objets Stratgie de groupe
dans le domaine.
3. Ajoutez ce groupe des utilisateurs de domaine externes.
58 Module 5 : Implmentation d'une stratgie de groupe
Comparaison des deux Les autorisations sont identiques, que vous ajoutiez un utilisateur au groupe
mthodes de dlgation Propritaires crateurs de la stratgie de groupe ou que vous affectiez les
autorisations utilisateur pour la cration d'objets Stratgie de groupe
directement l'aide de la console Gestion de stratgie de groupe. Les
utilisateurs peuvent crer des objets Stratgie de groupe dans le domaine et
disposer d'un contrle total sur ces objets, mais ils n'ont pas d'autorisation sur
les objets Stratgie de groupe crs par d'autres utilisateurs.
Accorder un utilisateur la possibilit de crer des objets Stratgie de groupe
dans le domaine ne signifie pas qu'il peut lier ces objets un site, un domaine
ou une unit d'organisation.
Dlguer des Vous pouvez galement grer les autorisations sur l'objet Stratgie de groupe au
autorisations sur un niveau des tches. Les cinq catgories suivantes sont des autorisations Autoriser
objet Stratgie de sur un objet Stratgie de groupe.
groupe individuel
! Lecture
! Modifier les paramtres
! Modifier les paramtres, supprimer, modifier la scurit
! Lire ( partir du filtrage de scurit)
! Paramtres personnaliss
Dlguer des Vous pouvez utiliser les Rsultats de stratgie de groupe pour lire les donnes
autorisations pour les d'enregistrement RSoP pour des objets du domaine ou de l'unit d'organisation.
Rsultats de stratgie Comme dans le cas de la Gestion de stratgie de groupe, vous pouvez dlguer
de groupe cette autorisation d'autres utilisateurs ou groupes. Les autorisations sont
dlgues sur un domaine ou une unit d'organisation. Les utilisateurs disposant
de cette autorisation peuvent lire les donnes des Rsultats de stratgie de
groupe pour tout objet de ce conteneur. Cette dlgation affecte galement
l'utilisateur ou au groupe l'autorisation Gnrer Jeu de stratgie rsultant
(Enregistrement), laquelle est disponible dans toute fort dote du schma
Windows Server 2003.
La console Gestion de stratgie de groupe simplifie la gestion de cette
autorisation en la faisant figurer sous l'onglet Dlgation du domaine ou de
l'unit d'organisation. L'administrateur peut slectionner Lire les donnes du
rsultat de la stratgie, puis slectionner les utilisateurs et groupes auxquels
accorder cette autorisation.
Module 5 : Implmentation d'une stratgie de groupe 61
Dlguer des Vous pouvez utiliser la console Gestion de stratgie de groupe pour dlguer
autorisations sur des autorisations sur un filtre WMI particulier. Vous pouvez affecter deux
un filtre WMI autorisations diffrentes un utilisateur ou un groupe :
! Modifier : autorise l'utilisateur ou le groupe modifier le filtre WMI.
! Contrle total : autorise l'utilisateur ou le groupe modifier, supprimer et
modifier la scurit sur le filtre WMI.
62 Module 5 : Implmentation d'une stratgie de groupe
Procdure de dlgation Pour dlguer le contrle administratif pour la modification d'objets Stratgie
du contrle administratif de groupe, procdez comme suit :
pour la modification
d'objets Stratgie de 1. Ouvrez la console Gestion de stratgie de groupe.
groupe
2. Naviguez jusqu' la fort et au domaine dans lequel vous voulez dlguer le
contrle administratif pour la modification d'objets Stratgie de groupe, puis
cliquez sur la liaison.
3. Dans le volet de dtails, sous l'onglet Dlgation, cliquez sur Ajouter.
4. Dans la bote de dialogue Slectionnez Utilisateur, Ordinateur ou
Groupe, dans la zone Entrez le nom de l'objet slectionner (exemples),
indiquez l'entit de scurit, cliquez sur Vrifier les noms, puis sur OK.
5. Dans la bote de dialogue Ajouter un utilisateur ou un groupe, dans la
zone Autorisations, slectionnez l'autorisation approprie, puis cliquez
sur OK.
64 Module 5 : Implmentation d'une stratgie de groupe
Dure approximative
de cet atelier :
75 minutes
Module 5 : Implmentation d'une stratgie de groupe 75
Exercice 1
Cration et configuration d'objets Stratgie de groupe
Dans cet exercice, vous allez crer une unit d'organisation pour le service Comptabilit et sparer
les units d'organisation pour les groupes Crances et Dettes au sein du service Comptabilit. Vous
allez ensuite crer et configurer des objets Stratgie de groupe pour les groupes Crances et Dettes.
Vous allez effectuer ces tches sur votre domaine de la fort.
Scnario
Northwind Traders souhaite un contrle strict des stratgies utilises par le service Comptabilit.
Vous devez vous assurer que ce service utilise certains paramtres globaux de l'objet Stratgie de
groupe de l'entreprise. Vous allez crer un objet Stratgie de groupe standard Accounting pour
supprimer la commande Excuter du menu Dmarrer et supprimer la commande Arrter des
utilisateurs et ordinateurs. Les rgles de l'entreprise exigent que les mots de passe soient
rinitialiss tous les 30 jours et qu'ils comportent au moins huit caractres. Chaque mot de passe
doit rpondre ces exigences. Northwind Traders souhaite galement implmenter un historique
des mots de passe, afin que les employs ne puissent pas rutiliser les dix derniers mots de passe.
Le service Comptabilit souhaite une station de travail pour tous les utilisateurs de chaque
dpartement de l'organisation. Le groupe Crances a besoin de dsactiver la fonctionnalit
Ajouter ou supprimer des programmes du Panneau de configuration. Le groupe Dettes dispose
d'un environnement informatique ouvert qui ncessite que les utilisateurs ouvrent parfois une
session sur d'autres ordinateurs. Pour cette raison, Northwind Traders souhaite dsactiver la
fonctionnalit de verrouillage des ordinateurs.
Exercice 2
Liaison d'objets Stratgie de groupe
Dans cet exercice, vous allez lier des objets Stratgie de groupe l'unit d'organisation approprie.
Une fois les objets lis, vous pourrez appliquer des stratgies au niveau ordinateur ou utilisateur.
" Lier les objets Stratgie de " Dans la console Gestion de stratgie de groupe, liez les units
groupe Accounts Receivable d'organisation suivantes l'objet Stratgie de groupe appropri :
et Accounts Payable l'unit Accounts Receivable
d'organisation approprie.
Accounts Payable
78 Module 5 : Implmentation d'une stratgie de groupe
Exercice 3
Vrification des paramtres de stratgie de groupe
Dans cet exercice, vous allez utiliser l'Assistant Modlisation de stratgie de groupe pour vrifier
les paramtres de stratgie de groupe que vous avez configurs dans les exercices prcdents.
Vue d'ensemble 1
Leon : Prsentation de la gestion du
dploiement de logiciels 2
Leon : Dploiement de logiciels 7
Leon : Configuration du dploiement
des logiciels 19
Leon : Maintenance des logiciels
dploys 28
Leon : Rsolution des problmes lis
au dploiement de logiciels 37
Leon : Planification d'une stratgie de
dploiement de logiciels 45
Atelier A : Dploiement et gestion
des logiciels l'aide d'une stratgie
de groupe 53
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe iii
Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires des informations sur le dploiement et la
120 minutes gestion des logiciels l'aide de la stratgie de groupe dans Microsoft Windows
Server 2003. Le module met l'accent sur les concepts de base du dploiement
Atelier : de logiciels ; sur la configuration, la maintenance et le dpannage des logiciels
60 minutes dploys, et sur la planification du dploiement de logiciels.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! expliquer les concepts de base du dploiement de logiciels l'aide de la
stratgie de groupe ;
! dployer des logiciels l'aide de la stratgie de groupe ;
! configurer le dploiement de logiciels l'aide de la stratgie de groupe ;
! assurer la maintenance des logiciels dploys l'aide de la stratgie de
groupe ;
! rsoudre quelques problmes courants lis au dploiement des logiciels ;
! planifier une stratgie de dploiement de logiciels.
Documents de cours Pour animer ce module, vous devez disposer du fichier Microsoft PowerPoint
2194A_06.ppt.
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire l'Annexe B Publication des packages d'Installateur non-Windows sur
le CD-ROM du stagiaire ;
! lire l'Annexe C Utilisation de DFS sur le CD-ROM du stagiaire ;
! lire le livre blanc Windows Installer Service Overview (en anglais) sous
Documentation supplmentaire sur la page Web du CD-ROM du
stagiaire ;
! lire le livre blanc Windows 2000 Server Software Installation and
Maintenance (en anglais) sous Documentation supplmentaire sur la page
Web du CD-ROM du stagiaire.
iv Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons,
le module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent
des tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe v
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Indiquez aux stagiaires les annexes consulter pour plus d'informations sur les
options relatives aux logiciels dploys.
Application pratique Au cours de l'application pratique et la fin de la leon, demandez aux
stagiaires de se reporter au scnario d'entreprise pour dployer des logiciels
l'aide de la stratgie de groupe.
Application pratique Au cours des applications pratiques et la fin de la leon, demandez aux stagiaires
de se reporter au scnario d'entreprise lorsqu'ils procdent au dpannage d'un
dploiement de logiciels.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise L'atelier de ce module exige que la console Gestion des stratgies de groupe
(GPMC, Group Policy Management Console), un composant logiciel
enfichable MMC (Microsoft Management Console), soit installe. Pour
prparer les ordinateurs des stagiaires remplir cette condition, vrifiez que les
stagiaires ont effectu l'application pratique Cration et configuration d'objets
Stratgie de groupe du Module 5. S'ils ne l'ont pas ralise, ils doivent installer
la console Gestion des stratgies de groupe partir de \\LONDON\Setup.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre l'objet Stratgie de groupe de dploiement de logiciels de l'atelier.
! Elle affectation l'application Cosmo 1.
! Elle publie l'application Cosmo 1.
! Elle met niveau l'application Cosmo 1 l'aide de l'application Cosmo 2.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 1
Vue d'ensemble
Mthodes d'affectation Vous pouvez affecter et publier des logiciels l'aide de l'une des mthodes du
et de publication de tableau suivant.
logiciels
Mthode de
dploiement Mthode 1 Mthode 2
(suite)
Option Description
Remarque Pour plus d'informations sur les options des logiciels dploys,
reportez-vous la rubrique Options par dfaut pour installation logicielle
de la page d'annexe du Module 6 sur le CD-ROM du stagiaire.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 15
Procdure d'affectation Pour affecter un package de logiciels une catgorie, procdez comme suit :
d'un package de
logiciels une catgorie 1. Crez ou ditez un objet Stratgie de groupe contenant le package de
logiciels catgoriser.
2. Dans l'arborescence de la console, dveloppez Paramtres du logiciel,
puis cliquez sur Installation logicielle.
3. Dans le volet de dtails, cliquez avec le bouton droit sur le package de
logiciels, puis cliquez sur Proprits.
4. Dans l'onglet Catgories, affectez une ou plusieurs catgories au package
de logiciels en cliquant sur la catgorie dans la liste Catgories disponibles,
cliquez ensuite sur Slectionner, puis sur OK.
22 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Procdure Pour modifier l'ordre de priorit pour une application, procdez comme suit :
1. Ouvrez l'objet Stratgie de groupe que vous avez utilis pour dployer
l'application.
2. Dveloppez Configuration utilisateur, puis Paramtres du logiciel,
cliquez avec le bouton droit sur Installation de logiciel, puis cliquez sur
Proprits.
3. Dans la bote de dialogue Proprits de installation de logiciel, dans
l'onglet Extensions de fichiers, slectionnez une extension dans la liste
droulante.
24 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Remarque Vous devez vous assurer que les utilisateurs redmarrent leurs
ordinateurs si la modification affecte l'ordinateur ou qu'ils ouvrent une session
si la modification affecte l'utilisateur.
36 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Les applications n'apparaissent pas L'application avait t affecte au lieu d'tre publie, elle n'avait jamais t
dans Ajouter ou supprimer des dploye ou elle l'avait t dans une unit d'organisation errone, ou bien
programmes des conflits de stratgie de groupe peuvent interdire son dploiement. Il est
possible d'affecter un utilisateur une application un niveau d'Active
Directory (par exemple, au niveau domaine), puis d'en interdire l'accs
l'utilisateur un niveau infrieur (par exemple, au niveau unit
d'organisation).
L'application avait t affecte des ordinateurs et, dans la plupart des
cas, la stratgie d'ordinateur prend le pas sur la stratgie d'utilisateur. Par
exemple, si Word avait t affect un utilisateur, mais que Word a t
marqu pour suppression obligatoire dans un ordinateur, l'utilisateur ne
peut ouvrir Word lorsqu'il ouvre une session sur l'ordinateur.
L'objet Stratgie de groupe n'avait pas t appliqu. Les raisons possibles
sont les suivantes : L'objet Stratgie de groupe ne s'appliquait pas
l'utilisateur ou l'ordinateur par suite d'un conflit et de priorit d'objet
Stratgie de groupe, de filtrage de groupe de scurit, de filtrage WMI ;
parce que les options Appliqu et Blocage de l'hritage sont actives,
que l'objet Stratgie de groupe est reli un conteneur incorrect ou est
partiellement ou totalement dsactiv. Par exemple, l'utilisateur est membre
d'un groupe de scurit dont le filtrage lui permet d'viter les effets de cet
objet Stratgie de groupe.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 39
(suite)
Symptme Causes possibles
Les applications n'apparaissent pas L'application avait t publie au lieu d'tre affecte, n'avait jamais t
dans le menu Dmarrer dploye, ou dploye dans une mauvaise unit d'organisation.
L'objet Stratgie de groupe n'avait pas t appliqu.
Les applications apparaissent Le point de distribution de logiciel est peut-tre inaccessible. Il est probable
dans le menu Dmarrer ou que le point de distribution de logiciels est inaccessible sur le serveur hte
dans Ajouter ou supprimer des ou que les utilisateurs affects ne disposent pas des autorisations requises.
programmes, mais ne peuvent Vrifiez que les utilisateurs disposent au moins de l'autorisation en Lecture
tre installes de NTFS pour le point de distribution de logiciel.
Des applications installes antrieurement peuvent empcher l'installation
de nouvelles applications.
40 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Procdure d'activation Lorsque vous activez la journalisation dans Windows Installer, celui-ci cre
de journalisation et par dfaut des entres dans le journal des vnements de Windows. Les
cration du fichier vnements que vous devez surveiller apparaissent sous les en-ttes Installation
journal Windows de logiciel, MsiInstaller et Gestion des applications. Ces entres fournissent des
Installer informations utiles concernant le problme que vous rencontrez dans le cadre
d'un dploiement de logiciel.
Pour activer la journalisation dans Windows Installer, procdez comme suit :
1. Ouvrez Gestion de la stratgie de groupe, cliquez avec le bouton droit sur
l'objet Stratgie de groupe, puis cliquez sur Editer.
2. Dans l'diteur de stratgie de groupe, sous Configuration ordinateur,
dveloppez Modles d'administration, dveloppez Composants
Windows, puis cliquez sur Windows Installer.
3. Cliquez avec le bouton droit sur Journalisation, puis cliquez sur
Proprits.
42 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Remarque Dans cette fentre, vous pouvez dfinir les options de journalisation
pour Windows Installer, configurer les installations utilisateur et activer ou
dsactiver les points de contrle de restauration du systme. Vous pouvez
utiliser les points de contrle pour restaurer les systmes des utilisateurs en
un tat antrieur en cas de problme avec l'installateur.
____________________________________________________________
52 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
2. Une autre socit de graphisme, Fabrikam, Inc., vous a confi des fins de
tests dans votre entreprise des copies d'valuation de sa suite graphique,
dans l'espoir que vous achterez une licence de site. Afin d'viter toute
intrusion vis vis vos utilisateurs, comment envisagez-vous de publier
l'application ?
Les rponses varient. Votre plan peut inclure :
Cration d'un point de distribution de logiciels pour le stockage de
toutes les applications d'valuation.
Cration des objets Stratgie de groupe dans une unit d'organisation
ddie afin de les regrouper ensemble. Comme vous devrez peut-tre
supprimer ultrieurement le logiciel, utiliser l'option Dsinstaller si
cet objet Stratgie de groupe n'est plus applicable.
____________________________________________________________
____________________________________________________________
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 53
Dure approximative
de cet atelier :
60 minutes
54 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Exercice 1
Affectation de logiciel
Dans cet exercice, vous prparerez votre contrleur de domaine hberger le logiciel que vous
installerez au moyen d'une stratgie de groupe. Vous utiliserez votre contrleur de domaine attitr
pour crer les objets Stratgie de groupe requis pour la prise en charge de l'installation du logiciel.
Scnario
Northwind Traders a dcid d'utiliser l'installation logicielle pour dployer l'application Cosmo 1
qu'elle vient d'acqurir. Votre tche consiste comparer les deux mthodes disponibles pour
l'installation de l'application : affectation de logiciel et publication de logiciel.
2. Accorder Suzanne Duprez a. Utilisez Excuter en tant que pour dmarrer la stratgie de scurit du
le droit d'ouvrir une session contrleur de domaine sous Votre_Domaine\Administrateur avec le
localement. mot de passe P@ssw0rd.
b. Accordez Suzanne Duprez le droit d'ouvrir une session localement.
c. Excutez gpupdate sous Votre_Domaine\Administrateur.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 55
Exercice 2
Vrification de l'affectation du logiciel
Dans cet exercice, vous devez vrifier que l'affectation de logiciel s'est droule normalement.
Vous ouvrirez une session en tant qu'utilisateur test et vrifierez si le logiciel attribu l'exercice
prcdent est install.
1. Fermer la session, puis " Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
ouvrir une nouvelle session partir de votre domaine en utilisant le mot de passe P@ssw0rd.
en tant que suzannedup
partir de votre domaine
Cosmo 1 apparat-il dans le menu Tous les programmes ? Expliquez pourquoi.
2. Ouvrir le package de
logiciels partir de
l'lment du menu Tous
les programmes que vous
avez cr pour lui.
Que se passe-t-il lorsque vous tentez d'ouvrir le logiciel ?
56 Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe
Exercice 3
Suppression d'un logiciel affect
Dans cet exercice, vous supprimerez le logiciel affect dans l'exercice prcdent. Vous avez men
bien le dploiement du logiciel en affectant un package des utilisateurs. Vous pouvez dsormais
valuer l'option de publication l'aide de ce mme package. Vous devez supprimer le logiciel pour
pouvoir crer un package en vue de publier l'application.
" Supprimer l'application a. Ouvrez une session sous le nom Nwtradersx\Nom_ OrdinateurUser
Cosmo 1 avec le mot de passe P@ssw0rd.
b. Utilisez la commande Excuter en tant que pour dmarrer la
console Gestion des stratgies de groupe en tant que
Votre_Domaine\Administrateur avec le mot de passe P@ssw0rd.
c. Fermez votre session, puis ouvrez-en une sous le nom Suzanne Duprez
partir de votre domaine en utilisant le mot de passe P@ssw0rd.
d. Vrifiez que l'application a t supprime immdiatement pour les
utilisateurs et les ordinateurs.
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 57
Exercice 4
Publication de logiciel
Dans cet exercice, vous modifierez une stratgie de groupe pour publier une application. Vous
publierez un logiciel dans le but de mieux apprhender les diffrences entre la publication et
l'affectation d'un logiciel.
Exercice 5
Vrification de la publication du logiciel
Dans cet exercice, vous vrifierez que le logiciel publi dans l'exercice prcdent est install et
fonctionne normalement. Vous ouvrirez une session en tant qu'utilisateur test et vrifierez les
paramtres de publication du logiciel dfinis l'exercice 4.
3. Vrifier que le logiciel publi " Dans le menu Tous les programmes, vrifiez l'installation de
a t install. Cosmo 1.
Cosmo 1 est-il list dans Ajouter ou supprimer des programmes ? Pourquoi (pas) ?
Module 6 : Dploiement et gestion des logiciels l'aide d'une stratgie de groupe 59
Exercice 6
Mise niveau d'un logiciel dploy
Dans cet exercice, vous mettrez niveau le logiciel dploy en modifiant la stratgie de groupe.
Northwind Traders a acquis une mise niveau pour l'application Cosmo. Tous les ordinateurs
doivent tre mis niveau vers la dernire version de ce logiciel. Vous tes responsable de la
stratgie de groupe en termes de rponse aux besoins de l'entreprise. Lorsque vous utiliserez la
stratgie de groupe, vous remarquerez qu'il n'est pas ncessaire de mettre manuellement niveau
chaque utilisateur ou ordinateur. La direction aimerait que vous pilotiez la mise niveau du logiciel
afin de s'assurer que vous pouvez rsoudre tout problme survenant durant le processus avant de
dployer le logiciel dans toute l'organisation.
1. Mettre niveau de a. Utilisez Excuter en tant que pour ouvrir Gestion des stratgies
Cosmo 1. de groupe.
b. Editez la stratgie de dploiement de logiciel pour crer un package
de mise niveau.
2. Vrifier la mise niveau de a. Vrifiez que l'application existante est supprime avant d'installer la
Cosmo 1. nouvelle application.
b. Vrifiez que Cosmo 2 a remplac Cosmo 1.
THIS PAGE INTENTIONALLY LEFT BLANK
Module 7 : Implmentation
de sites pour grer la
rplication Active Directory
Table des matires
Vue d'ensemble 1
Leon : Prsentation de la rplication
Active Directory 2
Leon : Cration et configuration de sites 15
Leon : Gestion de la topologie de site 30
Leon : Rsolution des checs de
rplication 38
Leon : Planification d'un site 51
Atelier A : Implmentation de sites pour
grer la rplication Active Directory 63
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 7 : Implmentation de sites pour grer la rplication Active Directory iii
Notes de l'instructeur
Prsentation : Ce module permet aux stagiaires d'acqurir les comptences et connaissances
165 minutes requises pour implmenter des sites, puis grer et contrler la rplication
au sein du service d'annuaire Active Directory dans Microsoft
Atelier : Windows Server 2003. Le module prsente les concepts de base de la
30 minutes rplication et des sites dans Active Directory. Ces concepts sont les suivants :
la cration, la configuration et la gestion de sites ; le contrle et la rsolution
des checs de rplication ; la planification d'une stratgie de site.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les composants et le processus de la rplication ;
! crer et configurer des sites ;
! grer une topologie de site Active Directory ;
! contrler et rsoudre les checs de rplication Active Directory ;
! planifier une stratgie de site.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_07.ppt
! Fichier Macromedia Flash 2194A_2279a_08_a_repwithin.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire le chapitre 3, Designing the Site Topology (en anglais), du Kit de
ressources techniques de Windows Server 2003 ;
! lire le livre blanc, Active Directory in Networks Segmented by Firewalls
(en anglais), sous Documentations supplmentaires sur la page Web du
CD ROM du stagiaire.
iv Module 7 : Implmentation de sites pour grer la rplication Active Directory
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 7 : Implmentation de sites pour grer la rplication Active Directory v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise Pour cet atelier, les stagiaires doivent travailler par quipe de deux. Un
ordinateur est configur en tant que domaine racine de la fort et l'autre
en tant que domaine enfant. Avant de prparer les ordinateurs des stagiaires,
assurez-vous qu'ils ont termin l'atelier du Module 2.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle rtrograde le contrleur de domaine corpx.nwtradersx.msft.
! Elle cre un contrleur de domaine rpliqu pour la fort nwtradersx.msft.
! Elle cre un nouvel objet site.
! Elle cre un nouvel objet sous-rseau.
! Elle cre un nouvel objet lien de sites.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 1
Vue d'ensemble
Points cls Voici les points cls de la rplication Active Directory dans un site :
! A quel moment la rplication se produit-elle ? Lorsque :
un objet est ajout Active Directory ;
une modification est apporte aux valeurs d'attribut d'un objet ;
une modification est apporte au nom d'un conteneur d'objet ;
un objet est supprim de l'annuaire.
! Notification de modification. Lorsqu'une modification intervient sur un
contrleur de domaine, celui-ci notifie ses partenaires de rplication
l'intrieur du mme site. Ce processus est appel notification de modification.
! Latence de rplication. Le dlai coul entre la modification et la mise
jour effective de tous les contrleurs de domaine d'un site. La latence de
rplication par dfaut est de 15 secondes.
! Rplication urgente. Au lieu d'attendre ces 15 secondes, les mises jour
des attributs de scurit sensibles dclenchent une notification de
modification immdiate.
4 Module 7 : Implmentation de sites pour grer la rplication Active Directory
! Convergence. Chaque mise jour dans Active Directory finit par tre
propage chaque contrleur de domaine dans le site qui hberge la
partition sur laquelle porte la mise jour effectue. Cette propagation
complte est appele convergence.
! Blocage de propagation. Il s'agit d'un processus empchant les rplications
inutiles. Chaque contrleur de domaine affecte chaque attribut ou objet
modifi un numro de squence de mise jour (USN, Update Sequence
Number) pour viter une rplication inutile.
! Conflits. Des conflits peuvent se produire lorsque des mises jour
simultanes se produisant sur deux rplicas matres distincts sont
incohrentes. Active Directory rsout trois types de conflits : les conflits
d'attributs, de conteneurs supprims et de noms uniques relatifs (RDN,
Relative Distinguished Name).
! Horodatage global unique. Active Directory gre un horodatage qui
contient le numro de version, la date de dernire modification et un
identificateur GUID (Globally Unique Identifier) de serveur qu'Active
Directory a cr durant le dclenchement de la mise jour.
Dfinition d'une partition Les partitions d'applications stockent les donnes sur les applications dans
d'applications Active Directory. Chaque application dtermine comment elle stocke, classe et
utilise ses propres donnes. Pour viter toute rplication inutile des partitions
d'applications, vous pouvez dsigner les contrleurs de domaine qui en
hbergent dans une fort. la diffrence d'une partition de domaine, une
partition d'applications ne peut pas stocker les principaux objets de scurit,
tels que les comptes d'utilisateurs. De plus, les donnes contenues dans une
partition d'applications ne sont pas stockes dans le catalogue global.
Comme exemple de partition d'applications, si vous utilisez un systme DNS
qui est intgr Active Directory, vous avez deux partitions d'applications pour
les zones DNS : ForestDNSZones et DomainDNSZones.
! ForestDNSZones fait partie d'une fort. Tous les contrleurs de domaine et
les serveurs DNS d'une fort reoivent un rplica de cette partition. Une
partition d'applications d'une fort entire stocke les donnes de la zone
de la fort.
! DomainDNSZones est unique pour chaque domaine. Tous les contrleurs de
domaine qui sont des serveurs DNS dans ce domaine reoivent un rplica de
cette partition. Les partitions d'applications stocke la zone DNS du domaine
dans la DomainDNSZones <nom_domaine>.
Objets de connexion Les contrleurs de domaine qui sont lis par des objets de connexion sont
appels partenaires de rplication. Les liens qui relient les partenaires de
rplication sont appels objets de connexion. Les objets de connexion sont crs
dans chaque contrleur de domaine et pointent vers un autre contrleur de
domaine pour une source de donnes de rplication. Les objets de connexion
reprsentent un chemin de rplication sens unique entre deux objets serveur.
La topologie de rplication par dfaut d'un site est un anneau bidirectionnel,
compos de deux objets de connexion unidirectionnels complmentaires entre
deux contrleurs de domaine adjacents. Cette topologie amliore la tolrance
de pannes lorsque l'un des contrleurs de domaine est dconnect.
Si ncessaire, Active Directory cre des objets de connexion supplmentaires
pour limiter statistiquement un maximum de trois le nombre de tronons
emprunts pour rpliquer une mise jour provenant de tous les rplicas d'une
partition donne dans un anneau.
10 Module 7 : Implmentation de sites pour grer la rplication Active Directory
KCC et objets de L'algorithme du KCC est conu pour associer des contrleurs de domaine
connexion des partitions d'annuaire communes. Cette opration gnre des objets de
connexion complmentaires entre partenaires de rplication et cre deux
sources de contrleurs de domaine pour chaque contrleur lorsque c'est
possible. La rplication partir de n'importe quelle partition utilise un objet
de connexion.
Par exemple, pour rpliquer entirement les donnes d'annuaire entre le
contrleur de domaine A et le contrleur de domaine B, il faut deux objets
de connexion.
! Un objet de connexion active la rplication du contrleur A vers le
contrleur B. Cet objet existe dans l'objet NTDS Settings du contrleur B.
! Un second objet de connexion active la rplication du contrleur B vers le
contrleur A. Cet objet existe dans l'objet NTDS Settings du contrleur A.
12 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Cot des liens de sites Le cot des liens de sites est un nombre sans unit de mesure qui reprsente le
dbit relatif, la fiabilit et la prfrabilit du rseau sous-jacent. Plus le cot d'un
lien est bas, plus sa priorit est leve, ce qui en fait un chemin privilgi. Par
exemple, votre organisation a deux sites relis entre eux, un dans le Colorado et
un au Chili : une connexion haut dbit et une connexion distante de secours.
Dans ce cas, vous configurez deux liens de sites : un pour chaque connexion.
La connexion haut dbit tant prfrable la connexion distante, configurez-la
avec un cot infrieur celui du lien de sites de la connexion distante. Lorsque le
lien de sites avec la connexion haut dbit a un cot infrieur, sa priorit est plus
leve. Il est donc utilis en priorit ds que possible.
En dfinissant le cot du lien de sites, vous pouvez dterminer la priorit
relative de chaque lien de sites. La valeur par dfaut du cot est de 100 et peut
s'chelonner de 1 99999.
Planification de la La planification des horaires de rplication est un autre attribut des liens de sites
rplication des liens que vous pouvez configurez. Lors de cette opration, vous spcifiez les horaires
de sites de disponibilit du lien pour la rplication. Souvent, la disponibilit de
rplication est configure des heures o le trafic rseau est peu important :
par exemple entre 2h00 et 5h00 du matin.
Plus le nombre d'heures pendant lesquelles un lien est disponible pour la
rplication est restreint, plus le dlai de latence entre les sites connects par
ce lien est grand. C'est pourquoi il faut trouver l'quilibre entre le besoin de
rplication d'un lien pendant les heures faible charge de travail et le besoin
d'informations actualises dans chaque site connect par ce lien.
Frquence de rplication Lorsque vous configurez la frquence de rplication, vous spcifiez le nombre de
des liens de sites minutes que Active Directory doit attendre avant d'utiliser le lien pour vrifier si
des mises jour sont disponibles. La valeur par dfaut de la frquence de
rplication est de 180 minutes. Vous devez choisir une valeur comprise entre 15
minutes et une semaine. La frquence de rplication ne s'applique qu'aux heures
pendant lesquelles le lien est programm pour tre disponible.
Des intervalles plus longs entre les cycles de rplication rduisent le trafic
rseau et augmentent le dlai de latence entre les sites. Des intervalles plus
courts augmentent le trafic rseau et rduisent le dlai de latence. C'est
pourquoi il faut trouver l'quilibre entre le besoin de rduire le trafic rseau et
le besoin d'informations actualises dans chaque site connect par ce lien.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 19
Protocoles de transport Un protocole de transport est un langage commun partag par les ordinateurs
des liens de sites pour communiquer entre eux pendant la rplication. Active Directory n'utilise
qu'un seul protocole pour la rplication dans un site. Lorsque vous crez un lien
de sites, vous devez en choisir un parmi les protocoles suivants :
! RPC (Remote Procedure Call, Appel de procdure distante) sur IP. RPC
est le protocole par dfaut. Protocole standard de l'industrie pour les
communications clients/serveur, RPC sur IP fournit une connectivit fiable
et haut dbit entre les sites. Entre les sites, RPC sur IP permet une
rplication de toutes les partitions Active Directory. RPC sur IP est le
meilleur protocole de transport pour la rplication entre sites.
! SMTP (Simple Mail Transfer Protocol). Le protocole SMTP prend en
charge la rplication du schma, de la configuration et du catalogue global
entre les sites et entre les domaines. Vous ne pouvez pas l'utiliser pour
la rplication de la partition de domaine, car certaines oprations de
domaine par exemple, la Stratgie de groupe requirent la prise en
charge du service de rplication de fichiers (FRS, File Replication Service),
qui n'est pas compatible avec le transport asynchrone de la rplication. Si
vous choisissez SMTP, vous devez installer et configurer une autorit de
certificat pour signer les messages SMTP et garantir l'authenticit des mises
jour de l'annuaire. De plus, SMTP ne fournit pas le mme niveau de
compression des donnes que RPC sur IP.
20 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Rplication entre sites Les principales caractristiques ou hypothses de la rplication entre sites sont
les suivantes :
! La bande passante rserve aux liaisons rseau entre les sites est limite et
risque de ne pas tre fiable.
! Le trafic de rplications entre les sites est conu pour optimiser la bande
passante en compressant tout le trafic de rplications entre les sites. Avant
d'tre transmis, ce trafic est compress de 10 15 pour cent par rapport
sa taille originale. Bien que la compression optimise la bande passante
du rseau, elle entrane une charge de traitement supplmentaire des
contrleurs de domaine lors de la compression et de la dcompression
des donnes de la rplication.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 21
Procdure de cration Aprs avoir cr des sites, vous crez des sous-rseaux et les associez avec
d'un objet sous-rseau les sites.
Pour crer un objet sous-rseau, excutez les oprations suivantes :
1. Dans Sites et Services Active Directory, dans l'arborescence de la console,
double-cliquez sur Sites, cliquez avec le bouton droit sur Subnets, puis
cliquez sur Nouveau sous-rseau.
2. Dans la zone Adresse, entrez l'adresse IP du sous-rseau.
3. Dans la zone Masque, tapez le masque de sous-rseau qui dcrit la plage
d'adresses du sous-rseau.
4. Slectionnez le site associer ce sous-rseau, puis cliquez sur OK.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 23
Procdure de Pour associer un site un objet sous-rseau, excutez les oprations suivantes :
modification de
l'association d'un site 1. Dans Sites et services Active Directory, dveloppez Sites, puis Subnets, et
un sous-rseau dans l'arborescence de la console, cliquez avec le bouton droit sur le sous-
rseau associer au site, puis cliquez sur Proprits.
2. Dans l'onglet Gnral, dans la zone Site, cliquez sur le site associer avec
ce sous-rseau, puis cliquez sur OK.
Procdure de Pour dplacer un contrleur de domaine vers un autre site, excutez les
dplacement d'un oprations suivantes :
contrleur de domaine
vers un autre site 1. Dans Sites et services Active Directory, dveloppez Sites, puis le site
contenant le contrleur de domaine, dveloppez Servers, et dans
l'arborescence de la console, cliquez avec le bouton droit sur le contrleur
de domaine, puis cliquez sur Dplacer.
2. Dans la bote de dialogue Dplacer un serveur, dans la liste Nom du site,
slectionnez le site qui doit contenir le contrleur de domaine, puis cliquez
sur OK.
Procdure de dlgation Vous pouvez utiliser l'Assistant Dlgation de contrle dans Sites et services
du contrle des sites Active Directory pour dlguer le contrle d'un site d'autres groupes. Pour
dlguer le contrle, excutez les oprations suivantes :
1. Ouvrez la console Site et services Active Directory.
2. Effectuez l'une des oprations suivantes :
Pour dlguer le contrle de tous les sites, liens de sites, ponts de liens
de sites et objets sous-rseau, cliquez avec le bouton droit sur Sites, puis
cliquez sur Dlgation de contrle.
Pour dlguer le contrle d'un site spcifique, dveloppez Sites, cliquez
avec le bouton droit sur le site, puis cliquez sur Dlguer le contrle.
3. Utilisez l'Assistant Dlgation de contrle pour excuter la dlgation.
24 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Procdure de Pour configurer les liens de sites, excutez les oprations suivantes :
configuration des
liens de sites 1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez sur IP ou SMTP en fonction du protocole qui a t
configur pour le lien.
2. Cliquez avec le bouton droit sur le lien de sites, puis cliquez sur Proprits.
3. Dans l'onglet Gnral de la bote de dialogue Proprits, modifiez les
valeurs des associations de site (cot, intervalle de rplication et
planification), si ncessaire, puis cliquez sur OK.
4. Excutez l'une des oprations suivantes :
Dans la zone Sites absents de ce lien de sites, cliquez sur le site
ajouter, puis sur Ajouter.
Dans la zone Sites prsents dans ce lien de sites, cliquez sur le site
supprimer, puis sur Supprimer.
Dans la zone Cot, entrez une valeur pour le cot de la rplication.
Cliquez sur Modifier la planification, slectionnez le bloc d'heures que
vous souhaitez planifier, puis cliquez sur Rplication non disponible ou
sur Rplication disponible, puis sur OK.
26 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Procdure de cration Pour crer un pont de liens de sites, excutez les oprations suivantes :
d'un pont entre liens
de sites 1. Dans Sites et services Active Directory, dveloppez Sites, puis Inter-Site
Transports, cliquez avec le bouton droit sur IP ou SMTP en fonction du
protocole pour lequel vous souhaitez crer un pont de liens de sites, puis
cliquez sur Nouveau pont entre liens de sites.
2. Dans la zone Nom, nommez le pont entre liens de sites.
3. Cliquez sur tous les liens relier, cliquez sur Ajouter, puis sur OK.
28 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Application pratique : ! Crer des liens de sites IP entre votre site et celui de votre partenaire
Cration et
configuration des 1. Crez un lien de sites IP appel Votre_Ordinateur-Ordinateur_Partenaire.
liens entre sites 2. Ajoutez les sites Votre_OrdinateurSite et Ordinateur_PartenaireSite au
nouveau lien de sites.
3. Configurez les proprits du lien Votre_Ordinateur-
Ordinateur_PartenaireSite en dfinissant le cot de la rplication 50, une
frquence de 15 minutes et une planification quotidienne qui exclut toute
rplication entre 6h00 et 8h00 du matin.
4. Dplacez Votre_Ordinateur dans le site que vous avez cr.
Remarque L'intervalle de rplication entre les sites est dfini sur 15 minutes,
mais vous pouvez dclencher la rplication manuellement pour que les mises
jour se produisent quand elles sont ncessaires.
30 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Procdure permettant Pour imposer l'excution du vrificateur KCC, excutez les oprations suivantes :
d'imposer l'excution
du KCC 1. Dans Sites et services Active Directory, dans l'arborescence de la console,
dveloppez Sites, puis le site qui contient le serveur sur lequel excuter le
KCC, dveloppez Servers, puis slectionnez l'objet serveur du contrleur de
domaine sur lequel excuter le KCC.
2. Dans le volet de dtails, cliquez avec le bouton droit sur NTDS Settings,
cliquez sur Toutes les tches, puis sur Vrification de la topologie de
rplication.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 35
Application pratique : ! Vrifier que l'objet de connexion que vous avez supprim a t recr
Vrification de la
recration de l'objet 1. Dans l'arborescence de la console, cliquez avec le bouton droit sur Sites et
de connexion services Active Directory, puis cliquez sur Actualiser.
2. Dveloppez Nom_OrdinateurSite, naviguez jusqu'aux paramtres NTDS de
votre serveur, puis vrifiez dans le volet de dtails que l'objet de connexion
a t cr automatiquement.
38 Module 7 : Implmentation de sites pour grer la rplication Active Directory
La rplication ne se termine Les sites qui contiennent les stations de travail et les
pas ou n'a pas lieu contrleurs de domaine ne sont pas relis par des
liens entre les contrleurs de domaine et les autres
sites du rseau.
Il n'y a aucun serveur de tte de pont dans le site.
La rplication est lente La topologie et la planification des liens de sites
entranent le passage des donnes de la rplication
travers de nombreuses sries de sites avant de
mettre jour tous les sites.
Les ordinateurs clients Les clients envoient des requtes d'authentification,
n'obtiennent que lentement de donnes et de services un contrleur de
les rponses leurs requtes domaine travers une connexion bas dbit.
d'authentification, de donnes Aucun contrleur de domaine n'est connect dans le
d'annuaire et autres services site des clients.
Il n'y a pas assez de contrleurs de domaine pour
rpondre la demande des stations de travail.
La rplication augmente le La largeur de bande actuelle ne suffit pas pour grer
trafic rseau la quantit de trafic de rplications.
La topologie de site est incorrecte.
Le vrificateur KCC ne Il y a une exception dans le KCC.
parvient pas terminer la
topologie pour le nom unique
du site
40 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Exemples d'utilisation Les exemples suivants contiennent certains des arguments de commande
de la commande disponibles pour la commande repadmin :
repadmin
! Pour afficher les partenaires de rplication du contrleur de domaine
nomm domaincontroller1, utilisez la syntaxe :
repadmin /showreps domaincontroller1.contoso.msft
! Pour afficher la plus haute valeur USN du contrleur de domaine nomm
domaincontroller2, utilisez la syntaxe :
repadmin /showvector dc=contoso,dc=msft
domaincontroller2.contoso.msft
! Pour afficher les objets de connexion du contrleur de domaine nomm
domaincontroller1, utilisez la syntaxe :
repadmin /showconn domaincontroller1.microsoft.com
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande repadmin, l'invite, excutez repadmin /?, puis lisez les
instructions d'usage.
44 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Le tableau suivant dcrit les trois commutateurs les plus courants disponibles
avec la commande dcdiag.
Commutateur Description
Remarque Pour plus d'informations sur les arguments que vous pouvez utiliser
avec la commande dcdiag, l'invite excutez dcdiag /? et lisez les instructions
d'usage.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 45
Les sites ne sont pas Vrifiez que la topologie gnre est entirement relie pour
relis par des liens tous les contrleurs de domaine l'aide de la syntaxe :
de sites dcdiag /test:Topology /v
Aucun serveur de Affichez la liste des serveurs de tte de pont actuels l'aide
tte de pont n'existe de la syntaxe :
dans le site repadmin /bridgeheads domaincontroller1.contoso.msft /
verbose
La topologie de site Affichez les objets de connexion du contrleur de domaine
et la planification nomm domaincontroller1 l'aide de la syntaxe :
sont inefficaces repadmin /latency domaincontroller1.contoso.msft /
verbose
Aucun contrleur Testez l'inscription des contrleurs de domaine dans DNS,
de domaine n'est leur rponse une commande Ping et leur connectivit
connect dans le site LDAP/RPC l'aide de la syntaxe :
dcdiag /test:Connectivity /v
Vrifiez galement la rapidit de la rplication entre les
contrleurs de domaine l'aide de la syntaxe :
dcdiag /test:Replications /v
46 Module 7 : Implmentation de sites pour grer la rplication Active Directory
(suite)
Cause possible Mthode de test
Les sites ne sont pas Crez un lien de sites entre le site en cours et un site
relis par des liens de reli d'autres sites du rseau.
sites
Aucun serveur de tte de Ajoutez un contrleur de domaine la liste des serveurs
pont n'existe dans le site de tte de pont privilgis.
Supprimez tous les contrleurs de domaine de la liste
des serveurs de tte de pont privilgis.
La topologie de site et Modifiez la topologie de site et la planification pour
la planification sont augmenter la frquence des rplications.
inefficaces Planifiez la rplication pendant les heures creuses o
la bande passante du rseau est disponible pour cette
opration.
Aucun contrleur de Installez ou modifiez des contrleurs de domaine.
domaine n'est connect Associez un sous-rseau qui est desservi correctement
dans le site par un site avec le site client.
Installez une connexion avec davantage de bande
passante.
Il n'y a pas assez de Installez des contrleurs de domaine supplmentaires.
contrleurs de domaine
pour faire face aux
demandes des
ordinateurs clients
48 Module 7 : Implmentation de sites pour grer la rplication Active Directory
(suite)
Cause Mthode de rsolution
La topologie de site est Modifiez la topologie de site et vrifiez que les liens de
incorrecte sites correspondent bien aux liens WAN du rseau.
Il y a une exception dans Activez la journalisation du KCC. Pour enregistrer
le KCC davantage d'informations, augmentez la valeur des
entres de Registre 9 Internal Processing et 1
Knowledge Consistency Checker jusqu' 3, puis
patientez 15 minutes. Les entres du Registre sont
situes l'emplacement suivant :
HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services\NTDS\Diagnostics
Excutez repadmin /kcc, puis rtablissez la valeur de
l'entre du Registre 0. Par dfaut, le KCC enregistre
uniquement les vnements les plus importants. Vous
pouvez augmenter le niveau de dtails en redfinissant
la valeur dans l'entre Replication Events du journal des
vnements des Services d'annuaire.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 49
Remarque Pour plus d'informations sur l'algorithme utilis pour calculer les
chemins des sites, consultez Instructions permettant de dterminer la ncessit
de ponts de liens de sites de la page d'annexe du Module 7 sur le CD-ROM du
stagiaire.
Module 7 : Implmentation de sites pour grer la rplication Active Directory 57
Remarque Pour plus d'informations sur les numros de port et les protocoles
spcifiques utiliss pour la rplication Active Directory, consultez la rubrique
Instructions de scurisation de la rplication Active Directory du Module 7
dans les annexes du CD-ROM du stagiaire.
____________________________________________________________
____________________________________________________________
____________________________________________________________
Module 7 : Implmentation de sites pour grer la rplication Active Directory 63
Configuration de l'atelier
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Compltez le tableau suivant avant de commencer le premier exercice.
lment Nom
1. Nom du contrleur de
domaine racine de la fort
2. Nom du contrleur de
domaine enfant
3. Nom de votre domaine
4. Nom de domaine pleinement
qualifi pour votre domaine
5. Nom de votre site
66 Module 7 : Implmentation de sites pour grer la rplication Active Directory
Exercice 1
Cration d'un contrleur de domaine rpliqu
Dans cet exercice, vous allez supprimer Active Directory dans le contrleur de domaine du
domaine enfant en prparation la cration de sites pour la rplication Active Directory. Vous
installerez ensuite ce serveur comme contrleur de domaine rpliqu dans la fort nwtradersx.msft.
Exercice 2
Cration et configuration d'un site pour votre domaine
Dans cet exercice, vous allez crer et configurer un site pour votre ordinateur dans la fort
nwtradersx.msft.
Exercice 3
Rsolution des problmes lis la rplication entre sites
Dans cet exercice, vous allez rassembler des informations sur la rplication, puis diagnostiquer son
tat. Excutez replmon, dcdiag et repadmin pour afficher l'tat de la rplication dans votre site.
1. Excutez replmon " Utilisez Excuter en tant que pour excuter replmon en tant que
Nwtradersx\Administrateur avec le mot de passe P@ssw0rd
Quel est le nom unique de votre contrleur de domaine ?
Quel est le dernier USN mis jour et utilis pour la partition de domaine ? Dans Sites et services Active
Directory, imposez un cycle de rplication et enregistrez toute modification de l'USN. Quelles modifications
se sont produites ?
2. Excutez dcdiag pour " Analysez le rsultat du diagnostic pour rpondre la question suivante.
afficher l'tat de la
rplication, puis excutez
des tests sur votre contrleur
de domaine.
Des erreurs apparaissent-elles pour votre contrleur de domaine ?
3. Excutez repadmin pour " Analysez le rsultat pour rpondre aux questions suivantes.
afficher l'tat de la
rplication sur votre
contrleur de domaine.
Quels serveurs sont vos partenaires de rplication ? Des erreurs sont-elles rpertories ?
Module 8 : Implmentation
du placement des
contrleurs de domaine
Table des matires
Vue d'ensemble 1
Leon : Implmentation du catalogue
global dans Active Directory 2
Leon : Dtermination du placement
de contrleurs de domaine dans
Active Directory 14
Leon : Planification du placement des
contrleurs de domaine 24
Atelier A : Implmentation du placement
des contrleurs de domaine 34
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 8 : Implmentation du placement des contrleurs de domaine iii
Notes de l'instructeur
Prsentation : Ce module permet aux stagiaires d'acqurir les connaissances et les
75 minutes comptences ncessaires pour planifier le placement des contrleurs de
domaine dans un rseau de service d'annuaire Active Directory. Le module
Atelier : met l'accent sur le placement et la planification relatives aux contrleurs de
30 minutes domaine, incluant des serveurs de catalogue global et des serveurs DNS
intgrs Active Directory, ainsi que des consignes de mise en cache de
l'appartenance au groupe universel pour un site Active Directory.
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! implmenter le catalogue global dans Active Directory ;
! dterminer le placement des contrleurs de domaine dans Active Directory ;
! planifier le placement des contrleurs de domaine dans Active Directory.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_08.ppt
! Fichier Macromedia Flash 2194A_2279a_9_a_GC.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module. Tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
! lire la rubrique Planning Domain Controller Placement du chapitre 3,
Designing the Site Topology , dans Designing and Deploying Directory
and Security Services du kit de dploiement Windows Server 2003
Deployment Kit (en anglais) l'adresse suivante :
http://www.microsoft.com/reskit.
iv Module 8 : Implmentation du placement des contrleurs de domaine
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Module 8 : Implmentation du placement des contrleurs de domaine v
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple,
crer un groupe). La colonne de droite contient des instructions spcifiques
pour effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et les
modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise Les ateliers de ce module exigent que les ordinateurs de chaque groupe de
stagiaires (groupes de deux) soient configurs comme contrleurs de domaine
dans leur propre fort. Pour prparer les ordinateurs des stagiaires afin qu'ils
remplissent cette condition, excutez les instructions des guides de
configuration automatise et manuelle de ce cours, puis effectuez les ateliers
du Module 7, Implmentation de sites pour grer la rplication Active
Directory , du cours 2194, Planification, implmentation et maintenance
d'une infrastructure Active Directory Microsoft Windows Server 2003.
Rsultats de l'atelier
L'excution de l'atelier de ce module modifie la configuration de l'atelier en
activant la mise en cache de l'appartenance au groupe universel dans chaque
LabNom_OrdinateurSite.
Module 8 : Implmentation du placement des contrleurs de domaine 1
Vue d'ensemble
Catalogue global et Un catalogue global rsout les noms d'utilisateur principal lorsque le contrleur
authentification du nom de domaine procdant l'authentification ne connat pas le compte. Par
d'utilisateur principal exemple, si un compte d'utilisateur est situ dans exemple1.nwtraders.msft,
et que l'utilisateur dcide d'ouvrir une session sous le nom d'utilisateur
principal user1@exemple1.nwtraders.msft partir d'un ordinateur situ
dans exemple2.nwtraders.msft, le contrleur de domaine situ dans
exemple2.nwtraders.msft ne pourra pas trouver le compte d'utilisateur ; il
contactera alors un serveur de catalogue global pour terminer le processus
de connexion.
Catalogue global et Un catalogue global fournit des informations concernant l'appartenance au
appartenance au groupe groupe universel dans un environnement plusieurs domaines. Contrairement
universel aux appartenances au groupe global, qu'Active Directory stocke dans chaque
domaine, les appartenances au groupe universel ne sont stockes que dans un
catalogue global. Par exemple, lorsqu'un utilisateur appartenant un groupe
universel se connecte un domaine dfini selon le niveau fonctionnel de
domaine de Windows 2000 natif ou de Windows Server 2003, le catalogue
global fournit des informations de l'appartenance au groupe universel
concernant le compte d'utilisateur.
4 Module 8 : Implmentation du placement des contrleurs de domaine
Que se passe-t-il en Si un catalogue global n'est pas disponible lorsqu'un utilisateur ouvre une
l'absence de catalogue session sur un domaine s'excutant dans le niveau fonctionnel de domaine de
global ? Windows 2000 natif ou Windows Server 2003, le contrleur de domaine qui
traite la demande de connexion de l'utilisateur refuse la requte, et l'utilisateur
ne peut pas ouvrir de session.
Si aucun contrleur de domaine n'est disponible pour traiter une demande de
connexion d'un utilisateur, le contrleur de domaine traite la demande de
connexion l'aide des informations d'identification de l'utilisateur en mmoire
cache. Cette fonctionnalit permet des utilisateurs d'ouvrir une session sur des
ordinateurs portables lorsqu'ils ne sont pas connects au rseau d'entreprise.
Le compte Administrateur du domaine peut toujours ouvrir une session, mme
lorsqu'aucun serveur de catalogue global n'est disponible.
4. Dans le volet de dtails, cliquez avec le bouton droit sur l'attribut que vous
souhaitez ajouter au serveur de catalogue global, puis cliquez sur Proprits.
5. Cliquez sur Rpliquer cet attribut dans le catalogue global, puis cliquez
sur OK.
Points cls Les points cls de cette prsentation sont les suivants :
! L'appartenance au groupe universel est un lment essentiel intervenant
dans une ouverture de session. Si le contrleur de domaine ne parvient pas
dfinir l'appartenance de l'utilisateur au groupe universel, celui-ci se
voit refuser une connexion interactive. Pour complter le processus de
connexion, l'ordinateur client sur lequel l'utilisateur excute la connexion
interactive doit pouvoir accder un serveur de catalogue global ou aux
informations en mmoire cache.
Module 8 : Implmentation du placement des contrleurs de domaine 11
lments prendre Lorsque vous entrez des informations fondamentales dans certains paramtres
en considration d'Active Directory Sizer, tenez compte des facteurs suivants :
! Pourcentage des utilisateurs actifs simultanment aux heures de pointe.
Si la plupart des utilisateurs ouvrent une session une heure de pointe,
spcifiez une valeur de 100 pour cent. Gnralement, ce paramtre concerne
un fournisseur de services Internet (ISP, Internet Service Provider), qui peut
avoir un million d'utilisateurs dans un domaine, mais dont tous ne sont pas
actifs simultanment. Bien qu'il soit utile de connatre le nombre total
d'utilisateurs pour calculer la taille de la base de donnes, Active Directory
Sizer n'utilise que le nombre d'utilisateurs simultans pour calculer le trafic
de connexions du client.
Module 8 : Implmentation du placement des contrleurs de domaine 17
! Besoins DNS. Ne spcifiez des valeurs dans ces paramtres que si vous
utilisez un DNS intgr Active Directory.
Vieillissement et nettoyage. Le vieillissement est le processus
d'identification des enregistrements de ressource que DNS a cr
dynamiquement, et que l'ordinateur client qui a cr les enregistrements
n'a pas mis jour en temps utile. Les enregistrements qui sont identifis
par ce processus sont considrs tre obsoltes. La possession de
nombreux enregistrements de ressource vieillissants peut causer des
problmes. Par exemple, ils prennent de la place sur le serveur et les
performances du serveur DNS peuvent en ptir, parce qu'un serveur
risque d'utiliser un enregistrement de ressource vieillissant pour
rpondre une requte. Pour rsoudre ces problmes, le serveur
DNS dans Windows Server 2003 peut nettoyer des enregistrements
vieillissants. Le nettoyage est le processus de suppression des
enregistrements de ressources obsoltes dans les bases de donnes de
la zone du serveur DNS.
NoRefreshInterval. Cette valeur dtermine la frquence d'actualisation
d'un enregistrement. Notez que le serveur continue accepter des mises
jour durant cet intervalle.
Important Active Directory Sizer n'est pas install par dfaut. Vous pouvez le
tlcharger et l'installer partir de l'adresse :
http://download.microsoft.com/download/win2000platform/ASsizer/
1.0/NT5/EN-US/setup.exe.
Dans cette salle, vous pouvez installer Active Directory Sizer en excutant
\\london\setup\adsizer\ADSIZER.exe et en compltant l'assistant de
configuration.
6. Dans la page Computers and Other Objects suivante, acceptez les valeurs
par dfaut pour l'utilisation du processeur et le type de processeur prfr,
puis cliquez sur Next.
7. Dans la page Administration, spcifiez des valeurs pour les options
Interval, Add, Delete et Modify, puis cliquez sur Next.
8. Dans la page Exchange 2000, spcifiez si vous envisagez d'utiliser
Exchange, spcifiez le nombre moyen de messages par jour et le nombre de
destinataires, le nombre de serveurs Exchange et de groupes de routage, puis
cliquez sur Next.
9. Dans la page Services Using Active Directory, slectionnez si vous
envisagez d'utiliser un service DNS intgr Active Directory, spcifiez les
connexions d'appel entrant, et utilisez les valeurs par dfaut pour le bail
DHCP (Dynamic Host Configuration Protocol) et NoRefreshInterval, puis
cliquez sur Next.
10. Dans la page Services Using Active Directory suivante, slectionnez les
valeurs pour les services sous Active Directory, cliquez sur Next, puis
cliquez sur Finish.
Aprs avoir excut les tapes de l'Assistant, si vous tes dans un environnement
plusieurs domaines ou sites, vous pouvez utiliser l'arborescence de la console
pour crer des domaines ou des sites supplmentaires, puis rpartir les utilisateurs
entre les domaines ou sites appropris.
Rapport d'Active Lorsque la procdure est termine, le rapport Active Directory Sizer affiche les
Directory Sizer informations suivantes :
! Le nombre d'objets et de contrleurs de domaine dont ce domaine a besoin.
Disposez toujours d'au moins deux contrleurs de domaine par domaine afin
de bnficier de la tolrance de pannes.
! La taille d'Active Directory et du catalogue global.
! Le nombre de serveurs de catalogue global et de serveurs de tte de pont
dans chaque domaine. Active Directory Sizer prsuppose les conditions
suivantes :
Un serveur de tte de pont est un serveur de catalogue global.
Un serveur de tte de pont par site mme si le site contient plusieurs
domaines.
! Le trafic de rplications inter-sites. Cliquer sur un site montre le volume
total de trafic de rplications entrant et sortant pour ce site. Toute la
rplication inter-sites est base sur des appels de procdure distante (RPC,
Remote Procedure Call). Active Directory Sizer tient compte de la
compression lorsqu'il calcule la quantit du trafic de rplications.
Module 8 : Implmentation du placement des contrleurs de domaine 21
Remarque Pour plus d'informations sur le catalogue global et les sites, reportez-
vous la rubrique Instructions de placement des serveurs de catalogue global
de la page d'annexe du Module 8 sur le CD-ROM du stagiaire.
Module 8 : Implmentation du placement des contrleurs de domaine 29
Scnario Northwind Traders est une banque d'affaires comportant 200 agences rparties
entre l'Illinois, l'Indiana et l'Ohio. Chaque centre rgional possde son propre
personnel informatique qui rend des comptes au personnel informatique du
groupe, bas au sige de la banque Chicago. Northwind Traders a choisi une
stratgie de domaine unique avec pour nom de domaine corp.nwtraders.msft.
Il inclura trois sites : Chicago, Indianapolis et Columbus.
Dure approximative
de cet atelier :
30 minutes
Module 8 : Implmentation du placement des contrleurs de domaine 35
Exercice 1
Dtermination du placement de contrleurs de domaine l'aide
d'Active Directory Sizer
Dans cet exercice, vous allez entrer dans Active Directory Sizer des informations du scnario pour
dterminer combien de contrleurs de domaine, de serveurs de catalogue global et de serveurs de
tte de pont privilgis placer sur chaque site pour Northwind Traders.
Scnario
Northwind Traders a choisi :
! Une stratgie base sur un seul domaine.
! Le nom de domaine corp.nwtraders.msft.
! Trois sites : Chicago, Indianapolis et Columbus.
Les oprations sur le site de Chicago sont stratgiques pour Northwind Traders. Les utilisateurs
situs dans ce site doivent pouvoir ouvrir une session et accder aux ressources du rseau 24 heures
sur 24, 7 jours sur 7.
La direction de Northwind Traders vous a fourni les informations suivantes concernant le nombre
d'utilisateurs dans chaque centre rgional.
Site Nombre d'agences Nombre total d'utilisateurs
Vous avez consult le personnel informatique dans les centres rgionaux concernant leur rseau et
leurs stations de travail. Ils vous ont fourni les informations suivantes.
lment Informations
2. Crer trois sites dans Active " Crez les trois site suivants :
Directory Sizer. Chicago
Indianapolis
Columbus
Combien de contrleurs de domaine Active Directory Sizer recommande-t-il pour le site de Chicago ?
Exercice 2
Activation de la mise en cache de l'appartenance au groupe
universel
Dans cet exercice, vous allez activer la mise en cache de l'appartenance au groupe universel pour un
site, et spcifier quel site vous utiliserez pour actualiser la mmoire cache.
Scnario
L'une des agences de Northwind Traders a connu une telle croissance que vous avez cr un
nouveau site pour elle dans Active Directory, dans lequel vous avez plac un contrleur de domaine
qui n'est pas un serveur de catalogue global. Vous devez vous assurer que les utilisateurs peuvent
ouvrir une session et accder aux ressources sur les serveurs locaux, mme en cas de rupture de
liaison avec le WAN. Cependant, la liaison WAN avec le sige du groupe est fortement utilise
pendant la journe pour grer le trafic des sessions avec les macro-ordinateurs. Vous devez
minimiser la quantit de trafic de rplications Active Directory qui est envoye sur la liaison WAN.
" Activer la mise en cache de a. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser
l'appartenance au groupe avec le mot de passe P@ssw0rd.
universel pour le site b. Utilisez Excuter en tant que pour dmarrer la console Utilisateurs et
LABNom_OrdinateurSite, ordinateurs Active Directory Nwtradersx\Administrateur avec le mot
et la configurer pour que de passe P@ssw0rd.
l'actualisation se fasse
partir du site Premier-Site-
par-defaut.
Module 9 : Gestion des
matres d'oprations
Vue d'ensemble 1
Leon : Prsentation des rles de
matre d'oprations 2
Leon : Transfert et prise de rles
de matres d'oprations 11
Leon : Planification du placement
des matres d'opration 24
Atelier A : Gestion des matres
d'oprations 36
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 9 : Gestion des matres d'oprations iii
Notes de l'instructeur
Prsentation : Ce module permet aux stagiaires de comprendre l'objectif de chaque rle de
60 minutes matre d'oprations, leur explique comment transfrer et prendre le rle de
matres d'oprations et comment prvoir le placement des matres d'oprations
Atelier : dans le service d'annuaire Active Directory.
30 minutes
Objectifs la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! expliquer la finalit de chacun des cinq rles de matre d'oprations dans
Active Directory ;
! transfrer et prendre les rles de matre d'oprations dans Active Directory ;
! planifier le placement des matres d'oprations dans Active Directory.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_09.ppt
! Fichier Macromedia Flash 2194A_2279a_9_a_GC.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents du module et les documents associs situs sur les
CD-ROM du stagiaire et de l'instructeur, anticiper les questions que les
stagiaires sont susceptibles de poser et prparer des rponses appropries
pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence.
iv Module 9 : Gestion des matres d'oprations
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
pratiques et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Module 9 : Gestion des matres d'oprations v
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Informations de personnalisation
Cette section identifie la configuration de l'atelier requise pour un module et
les modifications de configuration induites sur les ordinateurs des stagiaires au
cours des ateliers. Ces informations sont donnes pour vous aider dupliquer
ou personnaliser les cours MOC (Microsoft Official Curriculum).
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise 1 Les ateliers de ce module exigent que les ordinateurs de chaque groupe de
stagiaires (groupes de deux) soient configurs comme contrleurs de domaine
dans leur propre fort. Pour prparer les ordinateurs des stagiaires afin
qu'ils remplissent cette condition, excutez les instructions des guides de
configuration automatise et manuelle de ce cours, puis effectuez les ateliers
du Module 7, Implmentation de sites pour grer la rplication Active
Directory , du cours 2194, Planification, implmentation et maintenance
d'une infrastructure Active Directory Microsoft Windows Server 2003.
Rsultats de l'atelier
L'excution de l'atelier de ce module dplace l'mulateur PDC, le matre
d'infrastructure et les rles de matre des identificateurs relatifs (RID, Relative
IDentifer) vers le second ordinateur du domaine.
Vue d'ensemble
Chaque fort possde un seul contrleur de schma. Cela permet d'viter les
conflits qu'entraneraient des tentatives de mise jour simultanes du schma
par plusieurs contrleurs de domaine. Si le contrleur de schma n'est pas
disponible, vous ne pouvez pas modifier le schma ou installer des applications
qui le modifient.
4 Module 9 : Gestion des matres d'oprations
Lors d'un dplacement d'un domaine un autre, le matre RID supprime l'objet
du domaine d'origine.
Module 9 : Gestion des matres d'oprations 9
Matre d'infrastructure Ne nommez pas matre d'infrastructure un contrleur de domaine qui hberge le
et catalogue global catalogue global. Si le matre d'infrastructure et le catalogue global sont sur le
mme ordinateur, le matre d'infrastructure ne fonctionne pas car il ne renferme
aucune rfrence aux objets qu'il ne contient pas.
Rgulirement, le matre d'infrastructure d'un domaine examine les rfrences
aux objets non conservs sur ce contrleur de domaine dans son rplica
des donnes de l'annuaire. Il demande un serveur de catalogue global
les informations en cours relatives au nom unique et l'identificateur de
scurit de chaque objet rfrenc. Si ces informations ont chang, le matre
d'infrastructure reproduit la modification dans son rplica local, puis rplique
les modifications sur les autres contrleurs de domaine du domaine.
Module 9 : Gestion des matres d'oprations 11
Autorisations Pour transfrer un rle de matre d'oprations, vous devez disposer des
ncessaires autorisations appropries. Le tableau suivant prsente la liste des groupes
dont vous devez faire partie pour effectuer ce transfert.
Matre d'oprations Groupe autoris
Contrleur de schma Le schma ne peut pas Des conflits peuvent tre Non recommande. Peut
tre modifi. introduits dans le schma avoir pour rsultat une
si les deux contrleurs de fort corrompue et vous
schma tentent de le obliger reconstruire la
modifier en mme temps. fort en entier.
Ce conflit peut gnrer
un schma fragment.
Matre d'attribution de Vous ne pouvez ni ajouter L'ajout et la suppression Non recommande. Peut
noms de domaine ni supprimer de domaines de domaines, ainsi que vous obliger reconstruire
dans la fort. le nettoyage des les domaines.
mtadonnes sont
impossibles. Des domaines
peuvent s'afficher de faon
incorrecte, mme s'ils sont
toujours dans la fort.
mulateur PDC Vous ne pouvez pas La validation des mots Autorise.
modifier les mots de passe de passe peut russir ou L'authentification des
des ordinateurs clients sur chouer de faon alatoire. utilisateurs peut tre
lesquels le logiciel client La rplication des erratique pendant un
Active Directory n'est pas modifications de mot moment, mais l'opration
install. La rplication n'a de passe dans tout le n'entrane aucun dommage
pas lieu sur les contrleurs domaine est plus lente. permanent.
secondaires de domaine
Windows NT 4.0.
Matre d'infrastructure Retarde l'affichage des Affiche des noms Autorise. Peut avoir
listes d'appartenance aux d'utilisateurs un impact sur les
groupes mises jour dans inappropris dans les performances du
l'interface utilisateur lors listes d'appartenance contrleur de domaine
du dplacement des aux groupes aprs le dtenant le rle, mais
utilisateurs entre les dplacement d'utilisateurs n'endommage pas
groupes. entre les groupes. l'annuaire.
Matre RID Par la suite, les contrleurs Des pools d'identificateurs Non recommande. Peut
de domaine ne peuvent relatifs en double peuvent entraner une corruption
plus crer d'objets tre affects aux des donnes vous obligeant
d'annuaire car contrleurs de domaine, reconstruire le domaine.
chacun de leurs ce qui peut entraner une
pools d'identificateurs corruption des donnes
relatifs est vide. dans l'annuaire et des
risques de scurit et
d'accs non autoriss.
16 Module 9 : Gestion des matres d'oprations
Procdure de Pour dterminer quel contrleur de domaine excute le rle de matre RID,
dtermination du d'mulateur PDC ou de matre d'infrastructure, procdez comme suit.
matre RID, de
l'mulateur PDC et du 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
matre d'infrastructure
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
domaine pour lequel vous souhaitez afficher les matres d'oprations,
puis cliquez sur Matres d'oprations.
3. Dans les onglets RID, CDP et Infrastructure, sous Matres d'oprations,
visualisez le nom de l'actuel matre d'oprations.
Procdure de transfert Pour transfrer le rle de matre d'attribution de noms de domaine sur un
du rle de matre autre contrleur de domaine, procdez comme suit :
d'attribution de
noms de domaine 1. Ouvrez Domaines et approbations Active Directory.
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Se
connecter au contrleur de domaine.
3. Dans la liste Ou slectionner un contrleur de domaine disponible,
cliquez sur le contrleur de domaine qui deviendra le nouveau matre
d'attribution de noms de domaine, puis sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur
Domaines et approbations Active Directory, puis cliquez sur Matre
d'oprations.
5. Lorsque le nom du contrleur de domaine slectionn l'tape 3 apparat,
cliquez sur Modifier, puis sur Oui.
Procdure de transfert Pour transfrer le rle de matre d'oprations du schma, procdez comme suit :
du rle de contrleur 1. Ouvrez Schma Active Directory.
de schma
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma
Active Directory, puis cliquez sur Changer le contrleur de domaine.
3. Cliquez sur Spcifiez un nom, entrez le nom du contrleur de domaine
auquel vous souhaitez transfrer le rle de contrleur de schma, puis
cliquez sur OK.
4. Dans l'arborescence de la console, cliquez avec le bouton droit sur Schma
Active Directory, puis cliquez sur Matre d'oprations.
5. Lorsque le nom du contrleur de domaine saisi l'tape 3 apparat, cliquez
sur Modifier, puis sur Oui.
Procdure de prise Pour prendre un rle de matre d'oprations pour l'mulateur PDC ou le matre
d'un rle l'aide d'infrastructure, procdez comme suit :
de Utilisateurs et
ordinateurs Active 1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
Directory
2. Dans l'arborescence de la console, cliquez avec le bouton droit sur le
domaine pour lequel vous souhaitez prendre un rle de matre d'oprations,
puis cliquez sur Matres d'oprations.
L'affichage des donnes peut prendre quelques secondes car le composant
Utilisateurs et ordinateurs Active Directory attend une rponse de l'actuel
dtenteur du rle de matre d'oprations.
3. Dans la bote de dialogue Matre d'oprations, sous l'onglet
Infrastructure, CDP ou RID, cliquez sur Modifier.
4. Dans la bote de dialogue Active Directory, cliquez sur Oui.
5. Lorsqu'une bote de dialogue Active Directory vous indique que cet
ordinateur n'est pas un partenaire de rplication, cliquez sur Oui.
6. Lorsqu'une bote de dialogue Active Directory vous indique qu'un transfert
est impossible, cliquez sur Oui.
7. Dans la bote de dialogue Active Directory, cliquez sur OK, puis sur
Fermer.
8. Fermez la fentre Utilisateurs et ordinateurs Active Directory.
Procdure de prise d'un Pour prendre un rle de matre d'oprations l'aide de la commande ntdsutil,
rle l'aide de Ntdsutil procdez comme suit :
1. Dans la bote de dialogue Excuter, tapez cmd et cliquez sur OK.
2. l'invite, tapez ntdsutil et appuyez sur ENTRE.
3. l'invite de commande de ntdsutil, tapez roles et appuyez sur ENTRE.
4. l'invite fsmo maintenance, tapez connections et appuyez sur ENTRE.
5. l'invite server connections, tapez connect to server suivi du nom de
domaine complet du contrleur de domaine qui sera le nouveau dtenteur
du rle, puis appuyez sur ENTRE.
6. Tapez quit et appuyez sur ENTRE.
7. l'invite de commande fsmo maintenance, tapez l'une des commandes
suivantes pour prendre le matre d'oprations appropri, puis appuyez sur
ENTRE. Tapez ensuite quit et appuyez sur ENTRE.
Seize RID master
Seize PDC
Seize infrastructure master
Seize domain naming master
Seize schema master
8. l'invite ntdsutil, tapez quit puis appuyez sur ENTRE.
22 Module 9 : Gestion des matres d'oprations
____________________________________________________________
Pour prendre le rle d'un matre d'mulateur PDC, procdez comme suit :
! Rparez rapidement la dfaillance d'un mulateur PDC. Un utilisateur
excutant Windows NT Workstation, Windows NT 4.0, Windows 95 ou
Windows 98 sans client Active Directory ne peut pas changer son mot
de passe sans que son ordinateur ne communique avec l'mulateur PDC.
Si son mot de passe a expir, cet utilisateur ne peut plus se connecter. Si
l'mulateur PDC doit rester hors connexion pendant une dure relativement
longue, prenez le rle d'mulateur PDC d'un contrleur de domaine matre
d'oprations.
Exercice 1
Prise de rles de matres d'oprations
Dans cet exercice, vous allez utiliser Ntdsutil.exe pour prendre le rle de matres d'infrastructure du
serveur de votre partenaire. Le contrleur de domaine jouant le rle de matre d'infrastructure a subi
une surtension du fait du dysfonctionnement de son onduleur (UPS, Uninterruptible Power Supply).
Le problme est d une boisson renverse sur le botier. L'ordinateur ne fonctionne plus.
1. Utiliser le composant Important : Excutez cette tche sur les deux serveurs du
Utilisateurs et ordinateurs domaine.
Active Directory pour
identifier le serveur
excutant le rle de matre
d'infrastructure dans votre
domaine.
Quel serveur excute le rle de matre d'infrastructure ?
2. Pour simuler une dfaillance Important : Excutez cette tche uniquement sur le serveur
du serveur, teindre celui dtenant le rle de matre d'infrastructure.
dtenant le rle de matre
d'infrastructure dans votre
domaine.
3. Utiliser Ntdsutil.exe pour a. Ouvrez une session sous le nom Nwtradersx\Nom_OrdinateurUser
prendre le rle de matre avec le mot de passe P@ssw0rd.
d'infrastructure. b. Cliquez sur Dmarrer, cliquez avec le bouton droit sur Invite de
commande, puis sur Excuter en tant que.
c. Dans la bote de dialogue Excuter en tant que, cliquez sur
L'utilisateur suivant, tapez Nwtradersx\Administrateur comme nom
d'utilisateur, puis le mot de passe P@ssw0rd et cliquez sur OK.
Important : N'excutez cette tche que sur le serveur qui ne
dtient pas le rle de matre d'infrastructure.
Exercice 2
Transfert des rles de matres d'oprations
Dans cet exercice, vous allez transfrer les rles de matre d'oprations un autre serveur. L'quipe
informatique (IT) de Northwind Traders a dcid de placer les rles d'mulateur PDC et de matre
RID sur un serveur ne dtenant pas les rles de contrleur de schma et de matre d'attribution de
noms de domaine. Vous devez transfrer les rles d'mulateur PDC et de matre RID sur l'autre
serveur.
3. Utiliser la console Important : Excutez cette tche sur les deux serveurs du
Utilisateurs et ordinateurs domaine.
Active Directory pour
vrifier que les rles ont
bien t transfrs.
Vue d'ensemble 1
Leon : Prsentation de la maintenance
d'Active Directory 2
Leon : Dplacement et dfragmentation
de la base de donnes Active Directory 6
Leon : Sauvegarde d'Active Directory 13
Leon : Restauration d'Active Directory 19
Leon : Planification du contrle
d'Active Directory 30
Atelier A : Maintenance d'Active Directory 38
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 10 : Maintenance d'Active Directory iii
Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires des informations sur la maintenance du service
60 minutes d'annuaire Active Directory. Il se concentre sur la dfragmentation, le
dplacement, la sauvegarde, la restauration et le contrle d'une base de donnes
Atelier : Active Directory.
45 minutes
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! dcrire les relations entre la modification des donnes et la maintenance
d'une base de donnes Active Directory ;
! dplacer et dfragmenter une base de donnes Active Directory ;
! sauvegarder Active Directory ;
! restaurer Active Directory en utilisant les modes de restauration principale,
normale ou force;
! excuter les instructions de contrle d'Active Directory.
Documents de cours Pour animer ce module, vous devez disposer des lments suivants :
! Fichier Microsoft PowerPoint 2194A_10.ppt
! Fichier Macromedia Flash 2194A_2279a_11_a_datamod.swf
! Fichier Macromedia Flash 2194A_2279_11_i_restore.swf
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser l'atelier ;
! tudier les applications pratiques et les questions d'valuation ainsi que les
suggestions de rponses fournies ; anticiper autant que possible les rponses
que les stagiaires sont susceptibles de donner et prparer des rponses
appropries en consquence ;
iv Module 10 : Maintenance d'Active Directory
Important Ce module inclut des lments requis pour chaque leon, situs sur
le CD-ROM du stagiaire. Vous pouvez les prsenter en introduction pour aider
les stagiaires identifier les difficults ou en conclusion pour valider leurs
connaissances.
Envisagez de les utiliser pour consolider leurs connaissances la fin de la
journe. Vous pouvez aussi les utiliser en dbut de journe pour passer en revue
les lments abords la veille.
Laissez 10 minutes aux stagiaires pour prparer leurs rponses aux questions
d'valuation. Vous pouvez choisir de parcourir ensemble les questions et les
rponses, ou demander aux stagiaires de prparer les rponses de leur ct.
Tout au long du module, insistez sur le fait que les stagiaires doivent avoir
sauvegard correctement les donnes d'tat systme avant d'effectuer toute
procdure susceptible d'affecter la base de donnes. La compression de disque
NTFS n'est pas prise en charge pour la base de donnes et les fichiers journaux.
En outre, et par mesure de scurit, envisagez d'utiliser la commande Excuter
en tant que pour effectuer toutes les procdures de ce module.
Procdures, Expliquez aux stagiaires de quelle manire les procdures, les applications
applications pratiques pratiques et les ateliers ont t conus pour ce cours. Un module comprend au
et ateliers minimum deux leons. La plupart des leons comprennent des procdures et
une application pratique. Une fois que les stagiaires ont termin les leons, le
module enchane sur un atelier.
Procdures
Les procdures vous permettent de montrer comment effectuer une tche. Les
stagiaires n'effectuent pas les tches en mme temps que vous. Ils se servent des
tapes dcrites pour effectuer l'application pratique la fin de chaque leon.
Module 10 : Maintenance d'Active Directory v
Applications pratiques
Aprs avoir prsent le contenu d'une rubrique et les procdures de la leon,
expliquez qu'une application pratique est une occasion pour les stagiaires
d'effectuer les tches dcrites dans la leon.
Ateliers
la fin de chaque module, l'atelier permet aux stagiaires de mettre en pratique
toutes les tches abordes dans l'ensemble du module.
En utilisant des scnarios correspondant l'environnement professionnel du
stagiaire, l'atelier propose des instructions prsentes sous forme de deux
colonnes. La colonne de gauche indique la tche effectuer (par exemple, crer
un groupe). La colonne de droite contient des instructions spcifiques pour
effectuer la tche (par exemple : partir du composant Utilisateurs et
ordinateurs Active Directory, double-cliquez sur le nud du domaine).
Si les stagiaires ont besoin d'instructions dtailles pour mener bien l'atelier,
ils disposent d'un corrig de chacun des ateliers sur le CD-ROM du stagiaire.
Ils peuvent galement se reporter aux applications pratiques et aux procdures
du module.
Expliquez galement aux stagiaires que s'ils dfinissent des seuils d'alerte, ils
doivent diviser par deux les seuils d'avertissement ci-dessus. Aprs suppression
d'objets dans la base de donnes, Active Directory conserve les objets de
dsactivation ( tombstone ) pendant 60 jours (par dfaut). Durant ce laps
de temps, il n'est pas possible de supprimer ces enregistrements. Lors d'une
suppression grande chelle, comme la suppression du catalogue global d'un
contrleur de domaine, Active Directory n'adapte pas automatiquement l'espace
au niveau du systme de fichiers. Ce qui n'a donc aucun impact sur le
fonctionnement de la base de donnes, mais la rsulte en un fichier plus
volumineux.
Application pratique Cette leon ne comporte pas d'application pratique.
Configuration de l'atelier
La liste suivante dcrit la configuration requise pour l'atelier de ce module.
Configuration requise Pour l'atelier de ce module, les ordinateurs des stagiaires doivent figurer dans
un domaine racine de la fort partag. Avant de configurer les ordinateurs des
stagiaires, assurez-vous qu'ils ont termin l'atelier du Module 7.
Rsultats de l'atelier
L'excution de l'atelier de ce module induit les changements de configuration
ci-dessous.
! Elle cre une unit d'organisation.
! Elle cre deux comptes d'utilisateurs dans l'unit d'organisation.
! Elle sauvegarde l'unit d'organisation.
! Elle supprime l'unit d'organisation.
! Elle effectue une restauration force de l'unit d'organisation.
Module 10 : Maintenance d'Active Directory 1
Vue d'ensemble
Points cls Les points cls du processus de modification des donnes Active Directory sont
les suivants :
! Une transaction est un ensemble de modifications et de mtadonnes
associes.
! Le processus de base de modification des donnes comprend six tapes :
La demande d'criture dclenche une transaction.
Active Directory crit la transaction en mmoire, dans le tampon
des transactions.
Active Directory inscrit la transaction dans le journal des transactions.
Active Directory transfre la transaction du tampon vers la base
de donnes.
Active Directory compare la base de donnes et les fichiers journaux
pour vrifier que la transaction a t valide dans la base de donnes.
Active Directory actualise le fichier de points de vrification.
4 Module 10 : Maintenance d'Active Directory
Remarque Si le chemin d'accs contient des espaces, il doit tre mis entre
guillemets (par exemple, C:\Nouveau dossier ).
____________________________________________________________
Importance de la dure Vous ne pouvez pas restaurer Active Directory partir d'une sauvegarde qui
de vie des objets de est plus vieille que la dure de vie des objets de dsactivation, laquelle est
dsactivation de 60 jours par dfaut. Un contrleur de domaine garde une trace des objets
supprims pour ce laps de temps uniquement. En prsence de plusieurs
contrleurs de domaine et si la dure de vie de la sauvegarde est infrieure
celle des objets de dsactivation, restaurez la sauvegarde dont vous disposez
et lancez une rplication entre les contrleurs de domaine pour mettre jour
Active Directory. Si vous n'avez qu'un seul contrleur de domaine, vous
perdrez toutes les modifications apportes aprs la sauvegarde.
22 Module 10 : Maintenance d'Active Directory
Important Cette option garantit que les donnes FRS (File Replication
Service) sont rpliques vers les autres serveurs. Slectionnez cette option
si vous voulez restaurer le premier ensemble de rplicas sur le rseau.
Remarque Pour plus d'informations sur les options avances d'une restauration
principale, reportez-vous la rubrique Comment excuter une restauration
principale de la page d'annexe du Module 10 sur le CD-ROM du stagiaire.
24 Module 10 : Maintenance d'Active Directory
8. Tapez de nouveau quit, puis appuyez sur ENTRE pour quitter ntdsutil.
9. Redmarrez le contrleur de domaine.
10. Aprs publication du dossier SYSVOL par le systme FRS, copiez le
dossier SYSVOL et uniquement les dossiers de la stratgie de groupe
correspondant aux objets de la stratgie de groupe restaurs depuis le nouvel
emplacement vers les emplacements existants.
11. Pour vrifier que l'opration de copie s'est bien droule, examinez le
contenu du dossier SYSVOL\Domaine, o Domaine correspond au nom
de domaine.
Windows Server 2003 offre une puissante suite d'interfaces et de services que
les dveloppeurs peuvent utiliser pour laborer des solutions de contrle
sophistiqu.
Comment dterminer Pour dterminer le niveau de contrle requis, comparez les cots de ralisation
le niveau de contrle d'une solution de contrle aux cots lis aux coupures de services et le temps
requis consacr tablir un diagnostic et rsoudre les problmes.
Le niveau de contrle requis va dpendre de la taille de votre entreprise et
des exigences de service. Pour les organisations qui disposent de peu de
domaines et de contrleurs de domaine ou qui doivent contrler uniquement
un ordinateur, la liste des indicateurs contrler fournie dans ce module ainsi
que les outils Windows Server 2003 sont suffisants.
Les organisations avec beaucoup de domaines, de contrleurs de domaine ou
de sites ainsi que les organisations ne pouvant pas se permettre une perte de
productivit rsultant d'une coupure de service voudront peut-tre utiliser une
solution de contrle sophistiqu, dveloppe avec des scripts internes ou
achete expressment, comme Microsoft Operations Manager.
Module 10 : Maintenance d'Active Directory 33
vnements contrler
(suite)
vnement Description Exemples
vnements de rplication Ces vnements peuvent indiquer des problmes de rplication Svrit = erreur ;
SYSVOL ou au niveau de l'application de la stratgie de groupe. utilisateur = systme
vnements Ces vnements peuvent indiquer des problmes lis Svrit =
d'authentification diffrents lments : avertissement ;
" Maintenance d'une mme dure dans toute la fort svrit = erreur ;
Rapport 11
" Protocole d'authentification Kerberos version 5 hebdomadaire
" Protocole d'authentification par dfaut
" Service Netlogon et protocole requis pour le
fonctionnement correct du contrleur de domaine
Remarque Pour plus d'informations sur les options avances d'une restauration
principale, reportez-vous la rubrique vnements contrler de la page
d'annexe du Module 10 sur le CD-ROM du stagiaire.
Module 10 : Maintenance d'Active Directory 35
Compteurs de performance pour Sauf indication contraire, utilisez les Nb d'octets DRA compresss
le contrle de la quantit de lignes de base dj dfinies pour affecter entrants, Nb d'octets DRA
donnes rpliques des ces compteurs de performance. compresss sortants, Nb d'octets
DRA sortants non compresss et
Nombre total d'octets DRA sortants
Compteurs de performance pour Sauf indication contraire, dfinissez des Sous-oprations de recherche
le contrle des fonctions et lignes de base pour affecter des seuils Active Directory/s.,
services principaux d'Active ces compteurs de performance. % Temps processeurLSASS,
Directory Recherches LDAP/s., Octet priv
et Nombre de handlesLSASS
Compteurs de performance de Sauf indication contraire, dfinissez des Authentifications NTLM, Requtes
contrle des volumes de scurit lignes de base pour affecter des seuils KDC AS et Authentifications
cls ces compteurs de performance. Kerberos/s.
Compteurs de performance pour Utilisez ces compteurs de performance Dfauts de page/s., Taille de file
le contrle des principaux pour contrler les principaux indicateurs d'attente du disque actuelle,
indicateurs du systme du systme d'exploitation. Ces compteurs Longueur de la file du processeur,
d'exploitation exercent un impact direct sur les Changements de contexte/s. et
performances d'Active Directory. Temps d'activit systme
Dure approximative
de cet atelier :
45 minutes
Module 10 : Maintenance d'Active Directory 39
Exercice 1
Sauvegarde d'Active Directory
Dans cet exercice, vous allez crer une unit d'organisation et un ensemble de comptes d'utilisateurs
dans l'unit d'organisation. Ensuite, vous allez sauvegarder les donnes d'tat systme au niveau du
contrleur de domaine, puis supprimer l'unit d'organisation.
Vous travaillerez avec un partenaire dans le domaine Active Directory qui contient votre contrleur
de domaine et celui de votre partenaire. Vous excuterez les tapes de votre ct, puis vrifierez
avec votre partenaire que la sauvegarde comprend les donnes que vous avez tous les deux cres.
Scnario
Northwind Traders ouvre une nouvelle division dans le dpartement marketing destine
encourager la prise de conscience de l'environnement au sein de l'organisation. Vous devez crer
l'objet Active Directory adquat, qui devra comporter la nouvelle division et cinq comptes
d'utilisateurs pour les personnes qui travailleront dans cette division. Northwind Traders a choisi
un mot de passe standard pour tous les nouveaux comptes d'utilisateurs, savoir St@rTr3k!.
Vous allez dsactiver les comptes d'utilisateurs jusqu'au lancement officiel de la nouvelle division.
La direction de Northwind Traders souhaite que vous utilisiez cette unit d'organisation pour tester
sa procdure de rcupration d'urgence. Aprs avoir cr la structure de base de la nouvelle unit
d'organisation, vous devez supprimer l'objet, puis vrifiez que vous pouvez le rcuprer en utilisant
les procdures de sauvegarde et de restauration.
5. Afficher le journal de la " Notez le nom des fichiers des donnes d'tat systme et leur
session sauvegarde. emplacement.
Important : Chaque stagiaire doit effectuer les tches ci-aprs.
6. Supprimer l'unit a. Supprimez l'unit d'organisation que vous avez cre plus tt.
d'organisation cre b. l'invite, cliquez sur Oui.
prcdemment, confirmer la
suppression des deux objets
et forcer la rplication si
ncessaire.
7. Lancer la rplication avec le a. Ouvrez une session sous le nom Nwtradersx\Administrateur en
contrleur de domaine de utilisant la commande Excuter en tant que avec un mot de passe
votre partenaire. P@ssw0rd.
b. Vrifiez que l'unit d'organisation a bien t supprime.
Module 10 : Maintenance d'Active Directory 41
Exercice 2
Restauration d'Active Directory
Dans cet exercice, vous allez tester les fonctions de rcupration d'urgence en effectuant une
restauration force de l'unit d'organisation supprime l'exercice 1.
Scnario
Lors du test des fonctions de rcupration d'urgence de Northwind Traders, vous allez essayer
de rcuprer une unit d'organisation supprime accidentellement ainsi que les objets utilisateur
du conteneur.
Exercice 3
Vrification des rsultats d'une restauration d'Active Directory
Dans cet exercice, vous allez travailler conjointement avec votre partenaire pour vrifier que les
objets supprims ont bien t restaurs et rpliqus dans les contrleurs de domaine. Excutez
chacune des tapes indpendamment de votre partenaire. Assurez-vous que votre partenaire a
ralis chaque exercice avant de continuer.
Scnario
Vous tes dans la phase finale du cycle de test de la rcupration d'urgence. Vous devez prsent
vrifier que le processus de restauration force fonctionne comme prvu. Vous allez dterminer si
les objets rcuprs ont t restaurs dans la base de donnes Active Directory afin de documenter
la procdure de rcupration d'urgence pour une utilisation future.
" Lancer une rplication avec Remarque : Si l'unit d'organisation de votre partenaire ne s'affiche
le contrleur de domaine de pas, effectuez de nouveau la rplication sur l'objet connexion partir
votre partenaire et vrifier du serveur de votre partenaire.
que la restauration force de
l'unit d'organisation s'est
bien droule.
Module 11 : Planification
et implmentation d'une
infrastructure Active Directory
Table des matires
Vue d'ensemble 1
Leon : Cration d'un plan
d'implmentation d'Active Directory
pour Tailspin Toys 2
Atelier A : Cration d'un plan
d'implmentation d'Active Directory
pour Tailspin Toys 7
Leon : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys 23
Atelier B : Implmentation de
l'infrastructure Active Directory
pour Tailspin Toys 24
Les informations contenues dans ce document, notamment les adresses URL et les rfrences des
sites Web Internet, pourront faire l'objet de modifications sans pravis. Sauf mention contraire, les
socits, les produits, les noms de domaines, les adresses de messagerie, les logos, les personnes,
les lieux et les vnements utiliss dans les exemples sont fictifs et toute ressemblance avec des
socits, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et
vnements existants ou ayant exist serait purement fortuite. L'utilisateur est tenu d'observer la
rglementation relative aux droits d'auteur applicable dans son pays. Sans limitation des droits
d'auteur, aucune partie de ce manuel ne peut tre reproduite, stocke ou introduite dans un systme
d'extraction, ou transmise quelque fin ou par quelque moyen que ce soit (lectronique,
mcanique, photocopie, enregistrement ou autre), sans la permission expresse et crite de
Microsoft Corporation.
Les produits mentionns dans ce document peuvent faire l'objet de brevets, de dpts de brevets en
cours, de marques, de droits d'auteur ou d'autres droits de proprit intellectuelle et industrielle de
Microsoft. Sauf stipulation expresse contraire d'un contrat de licence crit de Microsoft, la
fourniture de ce document n'a pas pour effet de vous concder une licence sur ces brevets,
marques, droits d'auteur ou autres droits de proprit intellectuelle.
Microsoft, MS-DOS, Windows, Windows NT, Active Directory, Active X, MSDN, PowerPoint,
Visio, Visual Basic, Visual C++ et Windows Media sont soit des marques de Microsoft
Corporation, soit des marques dposes de Microsoft Corporation, aux tats-Unis d'Amrique
et/ou dans d'autres pays.
Les autres noms de produit et de socit mentionns dans ce document sont des marques de leurs
propritaires respectifs.
Module 11 : Planification et implmentation d'une infrastructure Active Directory iii
Notes de l'instructeur
Prsentation : Ce module fournit aux stagiaires les comptences et connaissances ncessaires
30 minutes la planification et l'implmentation d'une infrastructure du service d'annuaire
Active Directory en fonction des besoins d'une entreprise fictive nomme
Ateliers : Tailspin Toys.
165 minutes
la fin de ce module, les stagiaires seront mme d'effectuer les tches
suivantes :
! revoir la conception d'Active Directory et crer un plan d'implmentation
d'Active Directory pour Tailspin Toys ;
! implmenter une infrastructure Active Directory pour Tailspin Toys.
Documents de cours Pour animer ce module, vous devez disposer du ficher Microsoft
PowerPoint 2194A_11.ppt.
Prparation Pour prparer ce module, vous devez effectuer les tches suivantes :
! lire tous les documents de cours relatifs ce module ; tout au long du
module, anticiper les questions que les stagiaires sont susceptibles de poser
et prparer des rponses appropries pour chacune de ces questions ;
! raliser les ateliers ;
! tudier les questions relatives aux ateliers et les rponses proposes ;
anticiper autant que possible les rponses que les stagiaires sont susceptibles
de donner et prparer des rponses appropries en consquence.
iv Module 11 : Planification et implmentation d'une infrastructure Active Directory
Vue d'ensemble
! Raliser l'atelier
1. Lisez les messages lectroniques de Linda pour connatre les objectifs de
l'atelier.
2. Lisez les documents relatifs la conception d'Active Directory afin de crer
un plan d'implmentation.
3. Commentez vos rponses avec la classe.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 7
Scnario Tailspin Toys vous a engag pour dvelopper son plan d'implmentation
d'Active Directory. Lisez attentivement ce document avant de commencer les
exercices de cet atelier. Ensuite, reportez-vous au Navigateur d'atelier pour
obtenir des instructions relatives l'activit en cours, l'infrastructure et
la conception propose, qui est fonction des recommandations de l'quipe
Ingnierie et conception.
Important Vous pouvez dessiner votre diagramme sur une feuille de papier
ou utiliser Microsoft Visio pour documenter votre solution.
Dure approximative
de cet atelier :
45 minutes
Module 11 : Planification et implmentation d'une infrastructure Active Directory 9
Exercice 1
Planification de la structure de fort
Dans cet exercice, vous allez choisir la manire d'implmenter une structure de
fort Active Directory pour l'entreprise Tailspin Toys. Utilisez les informations
du Navigateur d'atelier que l'quipe Ingnierie et conception de Tailspin Toys a
dvelopp. De mme, utilisez les entres de la part de vos collgues pour
laborer le plan d'implmentation.
Exercice 2
Planification de la structure de l'unit d'organisation
Dans cet exercice, vous allez choisir la manire d'implmenter une structure
d'unit d'organisation pour l'entreprise Tailspin Toys et ses partenaires.
Conformez-vous aux instructions dveloppes par l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
Scnario Dterminez, puis documentez une structure d'unit d'organisation pour
l'entreprise Tailspin Toys. Etant donn que vous allez travailler en groupes
de quatre, vous pouvez utiliser 16 graphiques pour mener bien cette tche.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 11
Domaine
Domaine
Domaine
Domaine
Exercice 3
Planification des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez choisir la manire d'implmenter des comptes
d'utilisateurs, des comptes de groupes et des comptes d'ordinateurs pour
l'entreprise Tailspin Toys et ses partenaires. Tenez compte des critres de
dcision dans l'entreprise et des types de comptes de groupes que vous devez
crer. Conformez-vous aux instructions de l'quipe Ingnierie et conception.
Reportez-vous au Navigateur d'atelier pour obtenir les instructions et autres
informations dont vous avez besoin pour prendre vos dcisions.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
16 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 4
Planification des conditions requises de stratgie de groupe
Dans cet exercice, vous allez choisir la manire d'implmenter une stratgie de
groupe dans l'environnement de Tailspin Toys. Tenez compte des conditions
requises de Tailspin Toys et de ses partenaires, notamment les instructions de
l'quipe Ingnierie et conception. Reportez-vous au Navigateur d'atelier pour
obtenir les instructions et autres informations dont vous avez besoin pour
prendre vos dcisions.
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
____________________________________________________________
Module 11 : Planification et implmentation d'une infrastructure Active Directory 17
Exercice 5
Planification du dploiement de logiciels
Dans cet exercice, vous allez choisir les logiciels que vous allez dployer dans
l'environnement de l'entreprise et la manire d'utiliser au mieux les mthodes
de distribution votre disposition. Aidez-vous des instructions et des autres
informations du Navigateur d'atelier pour prendre vos dcisions.
____________________________________________________________
____________________________________________________________
____________________________________________________________
18 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 6
Planification des sites et du placement des contrleurs de domaine
Dans cet exercice, vous allez dterminer les sites que vous allez crer, le cas
chant. Vous allez galement planifier la distribution des contrleurs de
domaine dans l'entreprise en fonction des rles qu'ils ralisent. Aidez-vous des
instructions cres par l'quipe Ingnierie et conception ainsi que d'autres
informations du Navigateur d'atelier pour prendre vos dcisions.
Exercice 7
Planification des approbations
Dans cet exercice, vous allez choisir la meilleure approche pour implmenter
les approbations. Conformez-vous aux instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir des instructions
et d'autres informations ncessaires. En fonction du scnario fournit par l'quipe
de conception, choisissez le nombre et le type d'approbations crer dans
l'entreprise. Tenez compte des consquences de vos dcisions sur la scurit.
Exercice 8
Planification de la rcupration d'urgence
Dans cet exercice, vous allez choisir la meilleure approche utiliser pour
planifier la rcupration d'urgence. Aidez-vous des instructions de l'quipe de
conception. Reportez-vous au Navigateur d'atelier pour obtenir les informations
ncessaires pour prendre vos dcisions.
Scnario Tailspin Toys a besoin d'un excellent plan de rcupration d'urgence.
L'entreprise doit tre mme de rcuprer rapidement les ventuelles pertes
de donnes et les vnements catastrophiques qui pourraient dsactiver le
traitement de donnes. Votre quipe doit concevoir une solution pour satisfaire
ces conditions requises.
____________________________________________________________
____________________________________________________________
____________________________________________________________
22 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 9
Vrification du plan d'implmentation
Dans cet exercice, vous allez dterminer si les composants cl du plan
d'implmentation fonctionnent comme prvu pour l'entreprise Tailspin Toys
et ses partenaires. Aidez-vous des instructions de l'quipe Ingnierie et
conception. Reportez-vous au Navigateur d'atelier pour obtenir les instructions
et autres informations dont vous avez besoin pour prendre vos dcisions.
____________________________________________________________
____________________________________________________________
____________________________________________________________
Module 11 : Planification et implmentation d'une infrastructure Active Directory 23
Scnario Tailspin Toys vous a engag pour implmenter son infrastructure Active
Directory. Utilisez le Navigateur d'atelier pour en savoir plus sur l'activit en
cours, sur l'infrastructure et sur la conception propose de l'entreprise, qui est
fonction des recommandations de l'quipe Ingnierie et conception. Terminez
le plan d'implmentation avant de commencer les exercices de cet atelier.
Dure approximative
de cet atelier :
120 minutes
Module 11 : Planification et implmentation d'une infrastructure Active Directory 25
Exercice 0
Configuration de l'atelier
Cette section rpertorie les tches que vous devez effectuer avant de commencer l'atelier.
Important : Configurez le serveur London comme rfrence pour la zone .msft. Cette
zone sera dlgue chaque contrleur de domaine du stagiaire de l'atelier qui sert
de rfrence pour cette zone. Les stagiaires vont configurer leur ordinateur afin de
transfrer des requtes DNS vers le serveur London de cet atelier.
" Configurer l'ordinateur de a. Cliquez sur Dmarrer, pointez sur Outils d'administration puis
l'instructeur afin de dlguer cliquez sur DNS.
les domaines DNS. b. Dveloppez Zones de recherch directe, cliquez avec le bouton
droit sur la zone msft puis cliquez sur Nouvelle dlgation.
c. Dans la page Bienvenue, cliquez sur Suivant.
d. Dans la page Nom du domaine dlgu, entrez domaine_x
(reportez-vous la colonne Domaine du tableau de l'exercice 2 pour
dterminer la valeur de domaine_x), puis cliquez sur Suivant.
Important ! Vous devez entrer le nom d'un seul serveur de chaque
domaine. Assurez-vous que le serveur que vous avez choisi partir de
chaque domaine est configur en tant que contrleur du domaine racine
de la fort dans l'atelier.
e. Dans la page Serveurs de noms, cliquez sur Ajouter.
f. Dans la page Nouvel enregistrement de ressource, entrez le nom de
domaine pleinement qualifi (FQDN, Fully Qualified Domain Name)
du serveur et l'adresse IP puis cliquez sur OK.
g. Dans la page Serveurs de noms, cliquez sur Suivant.
h. Dans la page L'Assistant Nouvelle dlgation est termin,
cliquez sur Terminer.
i. Reprenez les tapes b h pour chaque domaine du stagiaire de la
configuration.
26 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 1
Suppression d'Active Directory et modification du nom de
votre serveur
Dans cet exercice, vous allez supprimer Active Directory de votre ordinateur en prparation de
l'implmentation du plan que vous avez dvelopp dans l'atelier prcdent. Vous allez ensuite
renommer votre serveur en fonction du rle qu'il va jouer dans l'implmentation.
Le tableau ci-dessous rpertorie les informations relatives aux nouveaux noms de serveur.
Ancien nom Nouveau nom
Vancouver NYDC1
Denver FYDC1
Perth HODC1
Brisbane AUDC1
Lisbon PADC1
Bonn SRDC1
Lima HEDC1
Santiago FADC1
Bangalore DADC1
Singapore EPDC1
Casablanca CHDC1
Tunis LJDC1
Acapulco NYDC2
Miami FYDC2
Auckland HODC2
Suva AUDC2
Stockholm PADC2
Moscow SRDC2
Caracas HEDC2
Montevideo FADC2
Manila DADC2
Tokyo EPDC2
Khartoum CHDC2
Nairobi LJDC2
1. Supprimer Active Directory " Ouvrez une session sur votre domaine en tant qu'Administrateur
de votre contrleur de
domaine.
2. Renommer votre serveur " Ouvrez une session sur votre serveur en tant qu'Administrateur
conformment au tableau
prcdent.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 27
Exercice 2
Cration de forts et d'arborescences
Dans cet exercice, vous allez utiliser le plan d'implmentation de l'atelier A afin de crer les forts
et les arborescences de domaine appropries.
Le tableau suivant rpertorie les six serveurs racines de la fort et leurs noms de domaine
correspondants.
Serveur racine de la fort Domaine
NYDC1 newyork.tailspintoys.msft
HODC1 houston.wingtiptoys.msft
PADC1 paloalto.contoso.msft
HEDC1 helena.treyresearch.msft
DADC1 davenport.adatum.msft
CHDC1 chicago.consolidatedmessenger.msft
Le tableau suivant rpertorie les six arborescences supplmentaires des forts existantes et leurs
noms de domaine correspondants.
Serveur Domaine
FYDC1 fayetteville.tailspintoys.msft
AUDC1 austin.wingtiptoys.msft
SRDC1 sanramon.contoso.msft
FADC1 fargo.treyresearch.msft
EPDC1 edenprairie.adatum.msft
LJDC1 lajolla.consolidatedmessenger.msft
Le tableau suivant rpertorie les serveurs supplmentaires et leurs noms de domaine existants
correspondants.
Serveur Domaine
NYDC2 newyork.tailspintoys.msft
FYDC2 fayetteville.tailspintoys.msft
HODC2 houston.wingtiptoys.msft
AUDC2 austin.wingtiptoys.msft
PADC2 paloalto.contoso.msft
SRDC2 sanramon.contoso.msft
HEDC2 helena.treyresearch.msft
FADC2 fargo.treyresearch.msft
DADC2 davenport.adatum.msft
EPDC2 edenprairie.adatum.msft
CHDC2 chicago.consolidatedmessenger.msft
LJDC2 lajolla.consolidatedmessenger.msft
28 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Scnario
En tant que membre de l'quipe Ingnierie et conception, vous devez crer la structure logique
d'Active Directory que vous allez utiliser dans l'implmentation d'Active Directory pour
Tailspin Toys.
1. Installer Active Directory " Installez Active Directory sur les six serveurs racines de la fort puis
sur les six serveurs racines crez les domaines en fonction des informations du premier tableau de
de la fort puis crer les l'exercice 2.
domaines.
2. Installer Active Directory a. Installez Active Directory pour crer les six arborescences
pour crer les six supplmentaires dans les forts existantes puis crez les domaines
arborescences en fonction des informations du second tableau de l'exercice 2.
supplmentaires dans b. Ouvrez une session sur votre serveur en tant qu'Administrateur
les forts existantes puis avec le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
crer les domaines.
c. Vrifiez que le service de rsolution DNS du contrleur du domaine
enfant pointe sur le contrleur du domaine racine de la fort du
partenaire ou sur le serveur London.
3. Installer Active Directory a. Installez Active Directory sur les autres ordinateurs de la classe et
sur les autres ordinateurs configurez chacun d'eux en tant que serveur supplmentaire dans les
de la classe et configurer domaines existants en fonction des informations du troisime tableau
chacun d'eux en tant que de l'exercice 2.
serveur supplmentaire dans b. Ouvrez une session sur votre serveur en tant qu'Administrateur avec
les domaines existants. le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
c. Vrifiez que le systme de rsolution DNS du contrleur de domaine
supplmentaire pointe sur le contrleur de domaine du domaine qu'il
rejoint ou sur le serveur London.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 29
Exercice 3
Cration de la structure de l'unit d'organisation
Dans cet exercice, vous allez crer une structure d'unit d'organisation conformment votre plan
d'implmentation d'Active Directory.
" Crer la structure " Spcifiez le nom d'une unit d'organisation partir de votre plan de
d'unit d'organisation l'atelier A.
conformment votre
plan d'implmentation
d'Active Directory.
30 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 4
Cration des comptes d'utilisateurs, des comptes de groupes et
des comptes d'ordinateurs
Dans cet exercice, vous allez crer des comptes d'utilisateurs, des comptes de groupes et des
comptes d'ordinateurs conformment au plan que vous avez dvelopp dans l'atelier A. Utilisez
le fichier Lab11users.csv pour importer plusieurs comptes ou les crer manuellement. Le fichier
d'importation contient 100 comptes utilisateur et comptes d'ordinateur gnriques et 50 comptes de
groupe gnriques que vous avez la possibilit de modifier et d'importer dans votre infrastructure
Active Directory.
" Crer des comptes a. Ouvrez une session en tant qu'Administrateur avec le mot de passe
d'utilisateurs, des comptes P@ssw0rd.
de groupes et des comptes b. Utilisez le fichier CSVD intitul Lab11users.csv situ dans
d'ordinateurs. C:\MOC\2194\Labfiles\Setup.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 31
Exercice 5
Cration de la stratgie de groupe
Dans cet exercice, vous allez crer des objets Stratgie de groupe pour configurer les paramtres de
stratgie de groupe.
1. Ouvrir Gestion de stratgie a. Utilisez Excuter en tant que pour ouvrir Gestion de stratgie de
de groupe. groupe.
b. Utilisez un mot de passe P@ssw0rd.
2. Naviguer jusqu' votre " Slectionnez les paramtres appropris de la stratgie de groupe en
domaine puis crer une fonction du plan de l'atelier A.
nouvelle stratgie.
3. Etablir un lien entre l'objet
Stratgie de groupe et votre
domaine.
32 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 6
Dploiement de logiciels l'aide d'une stratgie de groupe
Dans cet exercice, vous allez crer un package d'installation de logiciels afin de dployer
Microsoft Office XP vers un groupe de votre domaine.
1. Ouvrir Gestion de stratgie a. Utilisez Excuter en tant que pour ouvrir Gestion de stratgie
de groupe. de groupe.
b. Utilisez un mot de passe P@ssw0rd.
2. Naviguer vers la stratgie de
domaine de votre domaine
puis diter la stratgie.
3. Crer un package " Utilisez le package Proplus.msi situ sur le point de distribution des
d'installation de logiciels logiciels de l'instructeur.
afin d'attribuer Office XP
un groupe de votre domaine.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 33
Exercice 7
Placement des rles de matre d'oprations et des serveurs de
catalogue global
Dans cet exercice, vous allez transfrer certains rles de matre d'oprations et activer le serveur de
catalogue global.
Important : Effectuez les tches suivantes sur NYDC2, FYDC2, HODC2, AUDC2, PADC2, SRDC2,
HEDC2, FADC2, DADC2, EPDC2, CHDC2 et LJDC2.
" Transfrer PDC, RID et " Ouvrez une session sur votre serveur en tant qu'Administrateur avec le
les rles de matre mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
d'infrastructure vers le
second serveur de chaque
emplacement.
34 Module 11 : Planification et implmentation d'une infrastructure Active Directory
Exercice 8
Cration d'approbations de forts
Dans cet exercice, vous aller augmenter le niveau fonctionnel de chaque domaine et fort, puis
crer des approbations de forts.
Important : Effectuez la tche suivante sur le premier contrleur de domaine de chaque domaine.
1. Augmenter le niveau " Ouvrez une session sur votre serveur en tant qu'Administrateur avec
fonctionnel de chaque le mot de passe P@ssw0rd si vous ne l'avez pas encore fait.
domaine vers Microsoft
Windows Server 2003.
2. Sur le serveur racine de
chaque fort, augmenter
le niveau fonctionnel
de chaque fort vers
Windows Server 2003.
Important : Crez une approbation de fort bidirectionnelle entre newyork.tailspintoys.msft et
houston.wingtiptoys.msft. Crez une approbation de fort bidirectionnelle supplmentaire entre
newyork.tailspintoys.msft et paloalto.contoso.msft. Effectuez la tche suivante sur NYDC1, avec
l'aide des administrateurs de HODC1 et PADC1.
3. Crer des approbations de " Dans la page Nom d'utilisateur et mot de passe, demandez
forts bidirectionnelles. l'administrateur de HODC1 d'entrer un nom d'utilisateur
Administrateur et un mot de passe pour l'administrateur du
domaine houston.wingtiptoys.com.
Important : Crez des approbations unidirectionnelles de sorte que helena.treyresearch.msft,
davenport.adatum.msft et chicago.consolidatedmessenger.msft approuvent newyork.tailspintoys.msft.
Effectuez cette tche sur NYDC1 avec l'aide des administrateurs de HEDC1, DADC1 et CHDC1.
4. Crer des approbations de " Dans la page Nom d'utilisateur et mot de passe, demandez
forts unidirectionnelles. l'administrateur de HEDC1 d'entrer le nom d'utilisateur
Administrateur et un mot de passe pour l'administrateur du
domaine helena.treyresearch.msft.
Module 11 : Planification et implmentation d'une infrastructure Active Directory 35
Exercice 9
Vrification de l'implmentation d'Active Directory
Dans cet exercice, vous allez vrifier l'implmentation d'Active Directory pour vous assurer les
composants cls de l'infrastructure fonctionnent comme prvu.
Scnario
L'implmentation d'Active Directory est dsormais termine. Ouvrez une session en tant
qu'utilisateur de test afin de vrifier que les composants de l'implmentation fonctionnent comme
prvu. Accordez une attention toute particulire l'accs aux ressources dans les forts ou les
domaines si les plans de scurit exigent ce niveau de restriction. Faites galement attention
l'hritage des paramtres de la stratgie et aux paramtres de dploiement de logiciels dans la
stratgie de groupe. Linda Meisner, de Tailspin Toys, attend que vous lui transmettiez un rapport
d'tat relatif ces composants d'implmentation cls. Elle a galement demand votre quipe
d'approuver les fonctionnalits la fin du plan d'implmentation. Linda a prvu des runions afin
de cder l'implmentation l'quipe des oprations, compose d'administrateurs systme et de
l'organisation informatique. Votre quipe reste disposition en cas de problmes.