Introduction au service

d'annuaire Microsoft
Active Directory
Vue d'ensemble

 Vue d'ensemble d'Active Directory

 Structure logique d'Active Directory
 Structure physique d'Active Directory
 Qu'est-ce qu'Active Directory ?

Fonctionnalités
Fonctionnalités du
du Gestion
service Gestion centralisée
centralisée
service d'annuaire
d'annuaire


 Un
Un seul
seul point
point d'administration
d'administration

 Organiser
Organiser
Ressource
Ressource 
 Accès
Accès utilisateur
utilisateur total
total aux
aux
 Gérer
 Gérer ss
ressources
ressources dede l'annuaire
l'annuaire en
en une
une
 Contrôler
 Contrôler seule
seule connexion
connexion
Objets Active Directory

Active
Active Directory
Directory
Objets
Objets
Attributs Imprimantes
Attributs
Nom Imprimante1
Nom d'imprimante
d'imprimante
Emplacement
Emplacement
de
de l'imprimante
l'imprimante Imprimante2
Imprimantes
Imprimantes
Imprimante3
Valeur
Valeur
Utilisateurs d'attribut
d'attribut
Attributs
Attributs
Prénom
Prénom
Don Hall
Nom
Nom
Nom Suzan Fine
Utilisateurs
Utilisateurs Nom d'utilisateur
d'utilisateur

 Les objets représentent des ressources réseau

 Les attributs définissent des informations sur un objet
Protocole LDAP

 LDAP permet de communiquer avec

Active Directory en indiquant des chemins d'accès
uniques pour chaque objet de l'annuaire
 Les chemins d'accès LDAP contiennent les
éléments suivants :
 Noms uniques

CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
Suzan Fine
 Noms uniques relatifs
Groupes dans Active Directory

Groupe
Groupe de
de domaine
domaine llocal
ocal

 Membre
Membre d’un
d’un domaine
domaine de
de la
la forêt
forêt
 Permet

Permet l'accès
l'accès aux
aux ressources
ressources de de son
son
domaine
domaine

Groupe
Groupe global
global
 Membre

Membre de de son
son propre
propre domaine
domaine
uniquement
uniquement
 Permet

Permet l'accès
l'accès aux
aux ressources
ressources de
de tous
tous les
les
domaines
domaines

Groupe
Groupe universel
universel

 Membre
Membre de de tous
tous les
les domaines
domaines de
de la
la forêt
forêt
 Permet

Permet l'accès
l'accès aux
aux ressources
ressources de
de tous
tous les
les
domaines
domaines
 Structure logique d'Active Directory

 Domaines
 Changement de mode de domaine
 Unités d'organisation
 Arborescences, forêts et approbations transitives
bilatérales
 Schéma
Domaines

 Un domaine est une limite de sécurité

 L'administrateur de domaine peut administrer
uniquement ce domaine, sauf s'il possède explicitement
des droits d'administration dans un autre domaine
 Un domaine est une unité de réplication
 Les contrôleurs d'un domaine prennent part à la
réplication et contiennent la copie complète des
informations d'annuaire de leur propre domaine

.1
Util
.1 Util
Util
.2 Réplication
Réplication Util
.2

Domaine
Domaine
Windows
Windows2000
2000
Changement de mode de domaine

 Active Directory s'installe en mode mixte pour

permettre la prise en charge des contrôleurs de
domaine existants
 L'imbrication des groupes et les groupes de sécurité
universels ne sont possibles que dans un domaine en
mode natif
 Mode mixte  Mode natif

Contrôleur de
domaine
(Windows 2000)
et
Contrôleur de
domaine
(Windows NT 4.0) Contrôleurs
Contrôleursde
dedomaine
domaine
(Windows
(Windows2000
2000seulement)
seulement)
Unités d'organisation

Modèle
Modèle administratif
administratif de
de réseau
réseau Structure
Structure de
de l'organisation
l'organisation

Ventes Vancouver

Utilisateurs Ventes

Ordinateurs Répar.

 Utilisez des unités d'organisation pour grouper des objets

dans une hiérarchie logique qui convient le mieux à votre
entreprise
 Déléguez le contrôle de l'autorité d'administration sur les
objets d'une unité d'organisation en affectant des
autorisations spécifiques à des utilisateurs et à des groupes
Arborescences, forêts et approbations transitives
bilatérales

(racine)
Approbation
Approbation transitive
transitive bilatérale
bilatérale

contoso.msft
contoso.msft
Forêt

Arborescence

asia.
asia. au.
au.
nwtraders.msft
nwtraders.msft contoso.msft
contoso.msft contoso.msft
contoso.msft
Approbations
Approbations transitives
transitives bilatérales
bilatérales
Arborescence

asia.
asia. au.
au.
nwtraders.msft
nwtraders.msft nwtraders.msft
nwtraders.msft
Schéma Active Directory

Exemples
Exemples de
de Définis dans le Stockées dans le contexte
classes
classes d'objets
d'objets contexte de de nommage de domaine
nommage du d'Active Directory
schéma d'Active
Directory

Exemples
Exemples Exemple
Exemple dede
d'attributs
d'attributs propriétés
propriétés
Ordinateurs
Ordinateurs
Attributs
Attributs des
des Propriétés
Propriétés
utilisateurs
utilisateurs
DateExpirationCompte
DateExpirationCompte 10/02/03
10/02/03
Département
Département Sales
Sales
NomUnique
NomUnique CN=Wendy
CN=Wendy Kahn,
Kahn, OU=
OU=
Utilisateurs
Utilisateurs Beth
Prénom
Prénom Beth

Imprimantes
Imprimantes
 Structure physique d'Active Directory

La structure physique d'Active Directory est

constituée des éléments suivants :
 Sites
 Contrôleurs de domaine
Sites

Seattle

New York
Chicago

Los Angeles

Sous-réseau
Sous-réseau IP
IP
Site
Sous-réseau
Sous-réseau IP
IP
Les sites :
 Optimisent le trafic de réplication
 Permettent aux utilisateurs d'ouvrir des sessions sur
un contrôleur de domaine à l'aide d'une connexion
fiable et rapide
Sites Active Directory

Duplication
Modifications
Modifications

 Trafic d’ouverture de session

 Trafic de duplication
 Topologie DFS (Distribued File System)
 Service FRS (File Replication Service)
Contrôleurs de domaine

Les contrôleurs de domaine :

 Hébergent le dossier SYSVOL
 Participent à la réplication d'Active Directory
 Assurent les rôles de maître d'opérations uniques
dans un domaine

.1 .1
Util Réplication
Réplication Util
.2 .2
Util Util
Contrôleur Contrôleur
de domaine de domaine

Domaine
Domaine

= Copie modifiable de la base de données d'Active Directory

 Rôles des contrôleurs de domaine

 Serveur de catalogue global

 Maîtres d’opérations
Serveur de catalogue global

Attributs
d'objets
Domaine

Domaine Domaine Domaine

Catalogue
Catalogue global
global
Requêtes
Requêtes
Domaine Domaine

Adhésion
Adhésionàà unungroupe
groupe
lorsque
lorsquel'utilisateur
l'utilisateur
ouvre
ouvreune
une session
session

Serveur
Serveur de
de catalogue
catalogue global
global
Présentation des maîtres d'opérations

 Seul un contrôleur de domaine qui détient un rôle de maître

d'opérations particulier peut apporter des modifications à
Active Directory
 Les modifications apportées par un maître d'opérations sont
dupliquées vers les autres contrôleurs de domaine
 Tout contrôleur de domaine peut détenir un rôle de maître
d'opérations
 Les rôles de maître d'opérations peuvent être déplacés vers
d'autres contrôleurs de domaine

Opérations à maître unique

Maître Duplication
d'opérations
 Les 5 rôles des maîtres d'opérations

 Emplacements par défaut des maîtres

d'opérations
 Contrôleur de schéma
 Maître d'attribution de nom de domaine
 Émulateur CPD
 Maître RID
 Maître d'infrastructure
Emplacements par défaut des maîtres
d'opérations

Rôles à l'échelle de Rôles à l'échelle

la forêt du domaine
 Contrôleur de  Émulateur CPD
schéma  Maître
 Maître d'attribution
d'infrastructure
de nom de domaine  Maître RID

Premier contrôleur de
domaine dans le domaine
racine de la forêt

Rôles à l'échelle
du domaine
 Maître RID
 Émulateur CPD

 Maître

d'infrastructure
Contrôleur de schéma

 Contrôle toutes les mises à jour du schéma

 Duplique les mises à jour vers tous les contrôleurs de domaine de
la forêt
 Autorise uniquement les membres du groupe d'administration du
schéma à modifier le schéma

Contrôleur de
Duplication
schéma
Maître d'attribution de nom de domaine

 Contrôle l'ajout ou la suppression de domaines dans la forêt

Maître d'attribution
de nom de domaine

Serveur de
catalogue global

Nouveau
domaine
Émulateur CPD

 Joue le rôle de contrôleur CPD pour prendre en

charge les contrôleurs CSD Windows NT et les
ordinateurs clients dont les versions sont antérieures
à Windows 2000
 Met à jour les modifications de mot de passe des
ordinateurs clients dont les versions sont antérieures
à Windows 2000
 Réduit le délai de duplication en cas de modification
des mots de passe pour les ordinateurs clients
Windows 2000
 Gère la synchronisation horaire Émulateur CPD
 Élimine les risques d'écrasement
des objets GPO Contrôleur
CSD
Ordinateur client exécutant une Windows NT
version de Windows antérieure à
Windows 2000
Maître RID

 Attribue des blocs

d'identificateurs RID à chaque
contrôleur de son domaine
 Empêche la duplication des objets
s'ils se déplacent d'un contrôleur
de domaine à un autre

Move Déplacement

Maître RID
Attribution
d'identificateur
Blocs
Blocs d'identificateurs
d'identificateurs RID
RID RID

Identificateur
Identificateur SID
SID de
de l'objet
l'objet ==
Identificateur
Identificateur SID
SID du
du
domaine
domaine ++ identificateur
identificateur RID
RID
Maître d'infrastructure

 Met à jour les références aux objets et aux

membres de groupe d'autres domaines
Liste des membres d'un
groupe
Identificateur universel
unique
Groupe local Identificateur SID
imbriqué dans Nouveau nom de domaine
un groupe local
de domaine

Déplacement
Maître
d'infrastructure
 Gestion des rôles de maître d'opérations

 Identification du conteneur du rôle de maître

d'opérations
 Transfert d'un rôle de maître d'opérations
 Prise d'un rôle de maître d'opérations
Identification du conteneur du rôle de maître
d'opérations

Pour
Pour trouver
trouver l'emplacement
l'emplacement d'un
d'un rôle
rôle de
de maître
maître
d'opérations
d'opérations
Utilisez la console Utilisateurs et ordinateurs
Active Directory pour trouver
 Le maître RID
 L'émulateur CPD
 Le maître d'infrastructure

Utilisez la console Domaines et approbations

Active Directory pour trouver
 Le maître d'attribution de nom de domaine

Utilisez le composant logiciel enfichable Schéma

Active Directory pour trouver
 Le contrôleur de schéma
Transfert d'un rôle de maître d'opérations

 Transfert de rôles uniquement en cas de

modification importante de l'infrastructure du
domaine
 Aucune perte de données
 Vous devez être membre d'un groupe autorisé
pour transférer un rôle

Maître d'opérations
en service

Transfert d'un rôle vers un autre

contrôleur de domaine
Prise d'un rôle de maître d'opérations

 Prise de rôles uniquement en cas de risque de

perte des services réseau
 Éventuelle perte de données
 Vous devez être membre d'un groupe autorisé
pour prendre un rôle

Maître d'opérations
hors service

Prise d'un rôle et réattribution à un

autre contrôleur de domaine en service
 Gestion des défaillances des maîtres
d'opérations

 Défaillance de l'émulateur CPD ou du maître

d'infrastructure
 Défaillance des autres maîtres d'opérations
Défaillance de l'émulateur CPD ou du maître
d'infrastructure

 La défaillance de l'émulateur CPD a de graves incidences sur le

fonctionnement du réseau
 La défaillance du maître d'infrastructure n'est pas grave tant
qu'elle ne dure pas longtemps

Pour
Pour effectuer
effectuer une
une récupération
récupération après
après une
une défaillance
défaillance
Évaluez la gravité du problème du contrôleur de
domaine
Identifiez le contrôleur de domaine qui détient le rôle de
maître d'opérations
Prenez le rôle de maître d'opérations et attribuez-le à un
autre contrôleur de domaine
Vérifiez que le nouveau contrôleur de domaine a
accepté le rôle de maître d'opérations
Défaillance des autres maîtres d'opérations

Pour
Pour effectuer
effectuer une
une récupération
récupération après
après la
la défaillance
défaillance
des
des autres
autres maîtres
maîtres d'opérations
d'opérations
Déconnectez de façon temporaire le maître
d'opérations actuel du réseau

Attendez que toutes les mises à jour faites par le

contrôleur de domaine défaillant soient
dupliquées vers le contrôleur de domaine qui
prend le rôle

Assurez-vous que le contrôleur de domaine dont

le rôle a été pris ne soit jamais restauré

Reformatez la partition qui contenait les fichiers

du système d'exploitation du maître d'opérations
d'origine, puis réinstallez Windows 2000 avant
de reconnecter l'ordinateur au réseau
Conseils pratiques

N'abusez
N'abusez pas
pas des
des transferts
transferts de
de rôles
rôles

Transférez
Transférez les
les rôles
rôles de
de maître
maître d'opérations
d'opérations contenus
contenus dans
dans
un
un contrôleur
contrôleur de
de domaine
domaine avant
avant de
de désaffecter
désaffecter ce
ce dernier
dernier
Tenez
Tenez compte
compte du
du trafic
trafic réseau
réseau lié
lié aux
aux modifications
modifications dede
mots
mots de
de passe
passe lorsque
lorsque vous
vous attribuez
attribuez le
le rôle
rôle d'émulateur
d'émulateur
CPD
CPD àà un
un contrôleur
contrôleur dede domaine
domaine
Revoyez
Revoyez régulièrement
régulièrement l'emplacement
l'emplacement des
des conteneurs
conteneurs de
de
rôles
rôles sur
sur votre
votre réseau
réseau
Attribuez
Attribuez le
le rôle
rôle de
de contrôleur
contrôleur de
de schéma
schéma et
et de
de maître
maître
d'attribution
d'attribution dede nom
nom de
de domaine
domaine auau même
même contrôleur
contrôleur de
de
domaine
domaine
Placez
Placez un
un serveur
serveur de
de catalogue
catalogue global
global sur
sur le
le même
même site
site
que
que le
le maître
maître d'infrastructure
d'infrastructure