Planification, implmentation et maintenance dune infrastructure Active Directory Microsoft Windows Server 2003

Module 1. Introduction linfrastructure

Active Directory
1.1. Prsentation dActive Directory
Active Directory permet de centraliser, de structurer, dorganiser et de contrler les ressources rseau dans les environnements Windows 2000/2003. La structure Active Directory permet une dlgation de ladministration trs fine pouvant tre dfinie par types dobjets.

1.1.1. Dfinition dActive Directory

Active Directory sert dannuaire des objets du rseau, il permet aux utilisateurs de localiser, de grer et dutiliser facilement les ressources. Il permet de raliser la gestion des objets sans liens avec la disposition relle ou les protocoles rseaux employs. Active Directory organise lannuaire en sections, ce qui permet de suivre le dveloppement dune socit allant de quelques objets des millions dobjets. Combin aux stratgies de groupes, Active directory permet une gestion des postes distants de faon compltement centralise.

1.1.2. Objets Active Directory

Active Directory stocke des informations sur les objets du rseau. Il en existe de plusieurs types : serveurs domaines sites utilisateurs ordinateurs imprimantes

Avec chaque objet, sont stockes des informations et des proprits qui permettent deffectuer par exemple des recherches plus prcises (emplacement dune imprimante).

1.1.3. Schma Active Directory

Le schma Active Directory stocke la dfinition de tous les objets dActive Directory (ex : nom, prnom pour lobjet utilisateur). Il ny a quun seul schma pour lensemble de la fort, ce qui permet une homognit de lensemble des domaines. Le schma comprend deux types de dfinitions : Les classes dobjets : Dcrit les objets dActive Directory quil est possible de crer.

Chaque classe est un regroupement dattributs.

Les attributs : Ils sont dfinis une seul fois et peuvent tre utiliss dans plusieurs classes (ex : Description). Le schma est stock dans la base de donnes dActive Directory ce qui permet des modifications dynamiques exploitables instantanment.

1.1.4. Catalogue global

Le catalogue global contient une partie des attributs les plus utiliss de tous les objets Active Directory. Il contient les informations ncessaires pour dterminer lemplacement de tout objet de lannuaire. Le catalogue global permet aux utilisateurs deffectuer 2 tches importantes : Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des ces donnes. Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau. Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic. Lauthentification douverture de session ne peut se faire que sur un contrleur de domaine.

1.1.5. Protocole LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole du service dannuaire utilis pour interroger et mettre jour Active Directory. Chaque objet de lannuaire est identifi par une srie de composants qui constituent son chemin daccs LDAP au sein dActive Directory (CN=Loc THOBOIS, OU=Direction, DC=labo -microsoft, DC=lan). DC : Composant de domaine (lan, com, labo-microsoft, ) OU : Unit dorganisation (contient des objets) CN : Nom usuel (Nom de lobjet) Les chemins daccs LDAP comprennent les lments suivants : Les noms uniques : le nom unique identifie le domaine dans lequel est situ lobjet, ainsi qu e son chemin daccs complet (ex : CN=Brahim NEDJIMI, OU=Direction, DC=labomicrosoft, DC=lan) Les noms uniques relatifs : partie du nom unique qui permet didentifier lobjet dans son conteneur (ex : Brahim NEDJIMI).

1.2. Structure logique dActive Directory

La structure logique dActive Directory offre une mthode efficace pour concevoir une hirarchie.

Les composants logiques de la structure dActive Directory sont les suivants :

1.2.1. Les Domaines

Unit de base de la structure Active Directory, un domaine est un ensemble dordinateurs et/ou dutilisateurs qui partagent une mme base de donnes dannuaire. Un domaine a un nom unique sur le rseau. Dans un environnement Windows 2000/2003, le domaine sert de limite de scurit. Le rle d une limite de scurit est de restreindre les droits dun administrateur ou de tout autre utilisateur avec pouvoir uniquement aux ressources de ce domaine et que seuls les utilisateurs explicitement promus puissent tendre leurs droits dautres domaines. Dans un domaine Windows 2000/2003, tous les serveurs maintenant le domaine (contrleurs de domaine) possdent une copie de lannuaire dActive Directory. Chaque contrleur de domaine est capable de recevoir ou de dupliquer les modifications de lensemble de ses homologues du domaine.

1.2.2. Les Units dorganisation

Une unit dorganisation est un objet conteneur utilis pour organiser les objets au sein du domaine. Il peut contenir dautres objets comme des comptes dutilisateurs, des groupes, des ordinateurs, des imprimantes ainsi que dautres units dorganisation. Les units dorganisation permettent dorganiser de faon logique les objets de lannuaire (ex : reprsentation physique des objets ou reprsentation logique). Les units dorganisation permettent aussi de faciliter la dlgation de pouvoir selon lorganisation des objets.

1.2.3. Les Arborescences

Le premier domaine install est le domaine racine de la fort. Au fur et mesure que des domaines lui sont ajouts, cela forme la structure de larborescence ou la structure de la fort, selon les exigences pour les noms de domaine. Une arborescence est un ensemble de domaines partageant un nom commun. Par exemple, supinfo.lan est le domaine parent du domaine paris.supinfo.lan et du domaine martinique.supinfo.lan. La relation dapprobation entre un domaine enfant et son domaine parent est de type bidirectionnel transitif.

Une relation bidirectionnelle permet deux domaines de sapprouver mutuellement. Ainsi le domaine A approuve le domaine B et le domaine B approuve le domaine A. On dispose de trois domaines nomms A, B et C. A approuve B et B approuve C. La relation dapprobation transitive implique donc que A approuve C.

1.2.4. Les forts

Une fort est un ensemble de domaines (ou darborescences) nayant pas le mme nom commun mais partageant un schma et un catalogue global commun. Par exemple, une mme fort peut rassembler deux arborescences diffrentes comme laboms.com et supinfo.lan.

Par dfaut, les relations entre les arborescences ou les domaines au sain dune fort sont des relations dapprobation bidirectionnelles transitives. Il est possible de crer manuellement des relations dapprobation entre deux domaines situs dans deux forts diffrentes. De plus Windows Server 2003 propose un niveau fonctionnel permettant de dfinir des relations dapprobations entre diffrentes forts.

1.2.5. Les rles de matres dopration

Avec Windows NT 4.0, les contrleurs de domaine suivent un schma matre/esclave. Ainsi n distingue les contrleurs de domaine primaires ou PDC (Primary Domain Controler) accessibles en lecture/criture et les contrleurs de domaine secondaires ou BDC (Backup Domain Controler). Dans un domaine Windows 2000/2003, cette notion nexiste plus, on parle de contrleurs de domaine multi-matres. En effet, les modifications dActive Directory peuvent tre fates sur nimporte quel contrleur de domaine. Cependant, il existe des exceptions pour lesquelles les modifications sont ralises sur un contrleur de domaine spcifiques. Ces exceptions sont nommes rles de matre dopration et sont au nombre de cinq : Contrleur de schma : Cest le seul contrleur de domaine habilit modifier et mettre jour le schma. Matre dattribution des noms de domaine : Il permet dajouter ou de supprimer un domaine dans une fort. Emulateur PDC : Il ajoute la compatibilit avec les BDC sous Windows NT 4.0. Matre didentificateur relatif ou matre RID : Il distribue des plage didentificateurs relatif (RID) tous les contrleurs de domaine pour viter que deux objets diffrents possdent le mme RID. Matre dinfrastructure : Il permet de mettre jour les ventuelles rfrences dun objet dans les autres domaines lorsque cet objet est modifi (dplacement, suppression,). Les deux premiers rles sont assigns au niveau de la fort et les trois derniers au niveau du domaine. Ainsi pour chaque domaine cre dans une fort, il faut dfinir le ou les contrleurs de domaine qui auront les rles mulateur PDC, matre RID et matre dinfrastructure. Par dfaut le premier contrleur de domaine dune nouvelle fort cumule les cinq rles.

1.3. Structure Physique dActive Directory

Dans Active Directory, la structure logique et la structure physique sont distinctes. La structure physique permet doptimiser les changes dinformations entre les diffrentes machines en fonction des dbits assurs par les rseaux qui les connectent.

1.3.1 Contrleurs de domaine

Un contrleur de domaine est un ordinateur excutant Windows 2000 Server ou Windows 2003 Server qui stocke un rpliqua de lannuaire. Il assure la propagation des modifications faites sur lannuaire. Il assure lauthentification et louverture des sessions des utilisateurs, ainsi que les recherches dans lannuaire. Un domaine peut possder un ou plusieurs contrleurs de domaine. Dans le cas dune socit constitue de plusieurs entits disperses gographiquement, on aura besoin dun contrleur de domaine dans chacune de ses entits.

1.3.2. Sites et liens de sites

Un site est une combinaison dun ou plusieurs sous rseaux connects entre eux par une liaison haut dbit fiable (liaison LAN). Dfinir des sites permet Active Directory doptimiser la duplication et lauthentification afin dexploiter au mieux les liaiso ns les plus rapides. En effet, les diffrents sites dune entreprise sont souvent relis entres eux par des liaisons bas dbit et dont la fiabilit est faible (liaisons WAN). La cration de liens de sites permet de prendre en compte la topologie physique du rseau pour les oprations de rplication. Un lien de site avec des paramtres spcifiques. Ces paramtres peuvent prendre en compte le cot de la liaison, la planification ainsi que lintervalle de temps entre deux rplications. Dans lexemple ci-contre, on dispose de deux site : Paris et Martinique. Ces deux sites sont relis par une liaison WAN proposant une bande passante de 128kb/s. A lintrieur du site Paris, les contrleurs de domaine sont interconnects entre eux par le biais dun commutateur gi gabit (avec une bande passante de 1000 Mb/s). En crant un lien de site, il est possible forcer la rplication entre les deux sites seffectuer toutes les 90 minutes uniquement entre 20 heures et 6 heures.

La rplication Active Directory peut utiliser deux protocoles diffrents : IP pour les liaisons intra site. RPC pour les liaisons inter site. SMTP pour les liaisons inter site.

Module 2. Implmentation dune structure de fort et de domaine Active Directory

Un domaine dsigne lunit administrative de base dun rseau Windows 2000/2003. Le premier domaine dune nouvelle fort cr dans Active Directory reprsente le domaine racine de lensemble de la fort. La cration dun domaine deffectue laide de la commande dcpromo. Lassistant dinstallation dActive Directory vous guide alors dans la cration dun nouveau domaine ou dans la cration dun contrleur de domaine supplmentaire dans un domaine Windows 2000/2003 existant.

2.1. Installation dActive Directory

2.1.1. Les pr requis pour installer Active Directory

Voici la configuration requise pour pouvoir installer Active Directory : Un ordinateur excutant Windows 2003 Standard Edition, Enterprise Edition ou Datacenter Edition. Attention, le service dannuaire Active Directory ne peut pas tre install sur Windows 2003 Server Web Edition. 250 Mo despace libre sur une partition ou un volume NTFS Les paramtres TCP/IP configur pour joindre un serveur DNS Un serveur DNS faisant autorit pour grer les ressources SRV Des privilges administratifs suffisants pour crer un domaine

Vous pouvez afficher les serveurs DNS faisant autorit pour un domaine donn en tapant la commande nslookup -type=ns nom.du.domaine.

2.1.2. Le processus dinstallation dActive Directory

Lassistant dinstallation ralise diverses tches successives : Dmarrage du protocole de scurit et dfinition de la scurit Cration des partitions Active Directory, de la base de donnes et des fichiers journaux Cration du domaine racine de la fort Cration du dossier SYSVOL Configuration de lappartenance au site du contrleur de domaine Activation de la scurit sur le service dannuaire et sur les dossiers de rplication de fichiers. Activation du mot de passe pour le mode de restauration

2.1.3. Les tapes post installation

Une fois que linstallation dActive Directory termine, il faut vrifier la prsence et le bon fonctionnement du service dannuaire. Cela passe par plusieurs tapes : Contrler la cration du dossier SYSVOL et de ses partages Vrifier la prsence de la base de donne dannuaire et des fichiers journaux Contrler la structure Active Directory par dfaut Analyser les journaux dvnements

2.2. Implmentation du systme DNS pour la prise en charge dActive Directory

Les infrastructures Windows 2000/2003 intgrent le systme DNS (Domain Name Service) et le service dannuaire Active Directory. Ces deux lments sont lis: En effet, le systme DNS est un pr requis pour installer Active Directory. Ces deux composants utilisent la mme structure de noms hirarchique afin de reprsenter les domaines et les ordinateurs sous forme dobjets Active Directory ou bien sous forme de domaines DNS et denregistrement de ressources.

2.2.1. Le rle du Systme DNS dans Active Directory

Le systme DNS fournit les principales fonctions ci-dessous sur un rseau excutant Active Directory : Rsolution de noms : le systme DNS rsout les noms de machines en adresses IP. Par exemple, un ordinateur nomm labo-1 dsirant se connecter un autre ordinateur

nomm labo-2 enverra une requte au serveur DNS qui lui renverra ladresse IP de labo 2. Le systme DNS peut aussi effectuer une rsolution de nom inverse, c'est--dire fournir le nom dune machine partir de ladresse IP qui lui est communique. Convention de dnomination : Active Directory emploie les conventions de dnomination du systme DNS. Ainsi, microsoft.supinfo.com peut tre un nom de domaine DNS et/ou un nom de domaine Windows 2000. Localisation des composants physiques dActive Directory : Le systme DNS identifie les contrleurs de domaine par rapport aux services spcifiques quils proposent comme lauthentification dune connexion ou la recherche dinformations dans Active Directory.

Lors de louverture dune session, une machine cliente doit sadresser un contrleur de domaine, seul capable de lauthentifier. Le systme DNS pourra lui fournir lemplacement de lun de ces contrleurs de domaine.

2.2.3. Les enregistrements de ressources cres lors de linstallation dActive Directory

Lors de linstallation dActive Directory, la structure de la zone DNS de recherche directe est modifie. Un certain nombre de sous domaines et denregistrements de ressources sont ajouts. Il convient de vrifier la prsence de ces enregistrements la fin du processus dinstallation Active Directory.

Les sous domaine _tcp, _udp et _sites contiennent les enregistrements SRV faisant rfrences tous les contrleurs de domaine de la fort. Ce sont ces enregistrements qui permettent aux ordinateurs clients de connatre lemplacement des contrleurs de domaine. De plus ces enregistrements sont aussi utiliss par le processus de rplications. Le sous domaine _mstsc permet notamment de trouver les contrleurs de domaine ayant un rle de matre dopration (exemple : mulateur PDC).

2.3. Les diffrents niveaux fonctionnels

Le niveau fonctionnel dun domaine ou dune fort dfinit lensemble des fonctionnalits supportes par le service dannuaire Active Directory dans ce domaine ou dans cette fort.

2.3.1. Les niveaux fonctionnels de domaine

Le niveau fonctionnel par dfaut dun domaine est Windows 2000 mixte. Il existe deux autres niveaux fonctionnels disponibles sous Windows 2003 Server. Voici leurs caractristiques : Windows 2000 mixte : supporte les groupes universels et les imbrications de groupes Windows 2000 natif : supporte les groupes de conversion et lhistorique SID Windows Server 2003 : supporte le changement du nom dun contrleur de domaine, la mise jour du cachet d'ouverture de session, le numro de version des cls Kerberos KDC et un mot de passe utilisateur sur l'objet InetOrgPerson.

2.3.2. Laugmentation dun niveau fonctionnel de domaine

Il est possible daugmenter le niveau fonctionnel dun domaine. Cette opration se ralise dans la console Domaines et approbations Active Directory (accessible en tapant domain.msc dans la boite de dialogue excuter) ou bien dans la console Utilisateurs et ordinateurs Active Directory (accessible en tapant dsa.msc dans la boite de dialogue excuter). Pour raliser cette opration, vous devez tre membre du groupe administrateurs du domaine. Avant daugmenter le niveau fonctionnel dun domaine, il est ncessaire de vrifier que les contrleurs de domaines excutent le systme dexploitation requis. En effet, une fois le niveau fonctionnel augment, il est impossible de revenir en arrire sans dsinstaller le service dannuaire sur lensemble des contrleurs de domaine du domaine. Voici les la liste des systmes dexploitation utilisables pour chaque niveau fonctionnel : Windows 2000 mixte : contrleurs de domaine excutant Windows NT 4.0, 2000 Server ou 2003 Server. Windows 2000 natif : contrleurs de domaine excutant Windows 2000 Server ou 2003 Server. Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server uniquement.

Ainsi, pour augmenter le niveau fonctionnel dun domaine vers le niveau Windows Server 2000 natif, il faudra imprativement effectuer une mise jour du systme dexploitation de tous contrleurs de domaine du domaine ou de la fort fonctionnant avec Windows NT 4.0 ou une version antrieure. De plus, une fois le niveau fonctionnel du domaine augment, les contrleurs de domaine excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans le domaine. Par exemple, si vous augmentez le niveau fonctionnel du domaine Windows Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts ce domaine.

2.3.3. Les niveaux fonctionnels de fort

Le niveau fonctionnel d'une fort active des fonctionnalits spcifiques dans tous les domaines de cette fort. Voici les trois niveaux fonctionnels disponibles pour une fort ainsi que la liste des systmes dexploitations utilisables pour chaque niveau : Windows 2000 (niveau par dfaut): contrleurs de domaine excutant Windows NT 4.0, 2000 Server ou 2003 Server. Windows Server 2003 provisoire : contrleurs de domaine excutant Windows NT 4.0 ou 2003 Server. Windows Server 2003 : contrleurs de domaine excutant Windows 2003 Server uniquement.

10

2.3.4. Laugmentation dun niveau fonctionnel de fort

Lorsque tous les domaines dune fort ont le mme niveau fonctionnel, il est possible daugmenter le niveau fonctionnel de la fort. Seul un membre du groupe administrateurs de lentreprise peut raliser cette opration. Une fois le niveau fonctionnel de la fort augment, les contrleurs de domaine excutant des versions antrieures du systme d'exploitation ne peuvent pas tre introduits dans la fort. Par exemple, si vous augmentez le niveau fonctionnel de la fort Windows Server 2003, les contrleurs de domaine excutant Windows 2000 Server ne peuvent pas tre ajouts cette fort. Dans le cadre de la migration vers Windows 2003 Server dun domaine exclusivement compos de machines sous Windows NT 4.0, il est possible dutiliser le niveau Windows 2003 Server provisoire. Ce niveau ne prend pas en charge les contrleurs de domaine sous Windows 2000 Server.

2.4. Les relations dapprobation

Les relations dapprobations permettent un utilisateur dun domaine donn daccder aux ressources de son domaine, mais aussi dautres domaines (les domaines approuvs). Les relations dapprobations se diffrencient de par leur type (transitif ou non transitif) et de p ar leur direction (unidirectionnel entrant, unidirectionnel sortant, bidirectionnel).

2.4.1. Transitivit de lapprobation

Soient trois domaines distincts relis entres eux par les deux relations suivantes :

Le domaine A approuve directement le domaine B. Ainsi un utilisateur du domaine A peut accder toutes les ressources du domaine A et du domaine B. Le domaine B approuve directement le domaine C. Ainsi un utilisateur du domaine B peut accder toutes les ressources du domaine B et du domaine C.

Si les deux relations dapprobations de A B et de B C sont transitives, alors le domaine A approuve indirectement le domaine C. Dans ce cas de figure un utilisateur du domaine A peut accder toutes les ressources du domaine A, du domaine B et du domaine C. Si les deux relations dapprobations de A B et de B C ne sont pas transitives, alors le domaine A napprouve pas le domaine C. Dans ce cas de figure, un utilisateur du domaine A ne peut pas accder aux ressources du domaine C.

2.4.2. Direction de lapprobation

11

Lors de la cration dune relation dapprobation manuelle sous Windows Server 2003, trois directions dapprobation diffrentes sont utilisables. Si vous avez configur une relation dapprobation unidirectionnelle entrante entre le domaine A et le domaine B, alors les utilisateurs du domaine A peuvent tre authentifis dans le domaine B.

Si vous avez configur une relation dapprobation unidirectionnelle sortante entre le domaine A et le domaine B, alors les utilisateurs du domaine B peuvent tre authentifis dans le domaine A.

Si vous avez configur une relation dapprobation bidirectionnelle entre le domaine A et le domaine B, alors les utilisateurs de chaque domaine peuvent tre authentifis dans les deux domaines.

2.4.3. Les relations dapprobations

Approbation racine/arborescence Lorsquune nouvelle arborescence est cre au sein dune fort, une relation dapprobation bidirectionnelle transitive lie automatiquement cette nouvelle arborescence au domaine racine de la fort. Dans exemple ci-contre, larborescence supinfo.lan est lie laboms.lan, le domaine racine de la fort, par le biais dune relation racine/arborescence.

12

Approbation parent-enfant Une approbation parent-enfant est une relation dapprobation bidirectionnelle transitive. Elle est automatiquement cre lorsquun nouveau domaine est ajout une arborescence. Dans lexemple ci-contre, on ajoute le sous domaine paris.supinfo.lan lintrieur du domaine supinfo.lan. Les deux domaines sont automatiquement relis par une relation parent-enfant. Ainsi les utilisateurs du domaine supinfo.lan peuvent tre authentifis dans le domaine paris.supinfo.lan et vice-versa.

13

Approbation raccourcie Une approbation raccourcie est une relation dapprobation partiellement transitive. Elle doit tre dfinie manuellement ainsi que sa direction. Les relations dapprobation raccourcie permettent de rduire les sauts de lauthentification Kerberos. En effet, si un utilisateur du domaine martinique.supinfo.lan souhaite sauthentifier dans le domaine mail.laboms.lan, il doit passer par deux approbations parent/enfant et par une approbation racine/arborescence. Lapprobation raccourcie permet donc dacclrer lauthentification inter-domaine.

Approbation externe Une approbation externe est une relation dapprobation non transitive. Elle doit tre cre manuellement et peut avoir une direction unidirectionnelle ou bidirectionnelle. Lapprobation externe permet de relier des domaines appartenant d eux forts distinctes.

14

Approbation de domaine Une approbation de domaine est une relation dapprobation dont la transitivit et la direction doivent tre paramtres par ladministrateur. Lapprobation de domaine permet de relier un domaine sous Active Directory avec un domaine Kerberos non Microsoft.

Approbation de fort Une approbation de fort permet de relier lintgralit des domaines de deux forts. Les approbations de fort et leurs directions doivent tre dfinies manuellement. Les deux forts doivent imprativement utiliser le niveau fonctionnel de fort Windows Server 2003. Il ny a pas de transitivit entre les forts.

15

Module 3. Implmentation d'une structure d'unit d'organisation

3.1. Cration et gestion d'units d'organisation
3.1.1. Prsentation de la gestion des units d'organisation
La cration et la gestion dunits dorganisation passent par quatre phases trs importantes : La planification : Cest la phase la plus importante car cest ce moment que vous allez dterminer le systme hirarchique des objets les uns par rapport aux autres. Ce systme hirarchique sera lpine dorsale de votre systme administratif. Vous devez prvoir aussi la nomenclature de nom des UO ce niveau. Le dploiement : Cest la phase de cration des units dorganisation sur le serveur, elle comprend aussi la phase de dplacement des objets dans les units dorganisation. La maintenance : Cest la phase dexploitation des units dorganisation une fois quelle seront en production. Cela comprend toutes les modifications lies aux modifications courantes dorganisation de lentreprise. La suppression : Tous les objets dans Active Directory occupent un certain espace sur le disque ainsi que sur le rseau lors des rplications.

3.1.2. Mthodes de cration et de gestion des units d'organisation

Afin de pouvoir crer vos units dorganisation, quatre mthodes sont votre disposition : Loutil Utilisateurs et ordinateurs Active Directory : Cet outil graphique est le moyen le plus rapide pour crer une unit dorganisation. Il atteint rapidement ces limites lorsque lon dsire crer plus dune cinquantaine de compte. Les outils en ligne de commande (dsadd, dsmod, drrm) : Ces outils permettent via ligne de commande ou via script batch de crer des units dorganisation. Exemple : dsadd ou "ou= SUPINFO Training Center, dc=supinfo, dc=lan" -u Administrateur -p * Loutil LDIFDE : Cet outil permet de faire de limport et de la modification en masse partir dun fichier texte. La plupart des moteurs LDAP permettent dexporter vers ce format. Exemple : dn: OU=Labo-Cisco,DC=supinfo, DC=lan changetype: delete dn: OU=Labo-Microsoft, DC=supinfo, DC=lan changetype: add objectClass: organizationalUnit Les scripts VBS : Ces scripts permettent de faire de limport dunits dorganisation en ajoutant des conditions pour la cration de ces UO. Exemple : Set objDom = GetObject("LDAP://dc=supinfo,dc=lan") Set objOU = objDom.Create("OrganizationalUnit", "ou=Salle A")

objOU.SetInfo

16

3.2. Dlgation du contrle administratif des units d'organisation

Active Directory est un systme intgrant la scuris : seuls les comptes ayant reu les permissions adquates peuvent effectuer des oprations sur ces objets (ajout, modification, ). Les administrateurs, en charge de cette affectation de permissions peuvent aussi dlguer des tches dadministration des utilisateurs ou des groupes dutilisateurs.

3.2.1. Scurit des objets

Dans Active Directory, chaque objet est scuris, ce qui signifie que laccs a chacun deux est cautionn par lexistence de permissions en ce sens. A chaque objet est associ un descripteur de scurit unique qui dfinit les autorisations daccs ncessaires pour lire ou modifier les proprits de cet objet. En ce qui concerne la restriction daccs aux objets ou leurs proprits, le descripteur contient la DACL (Discretionary Access Control List) et en ce qui concerne laudit, le descripteur contient la SACL (System Access Control List). Le contrle daccs dans Active Directory repose non seulement sur les descripteurs de scurit des objets, mais aussi sur les entits de scurit (par exemple un compte dutilisateur ou un compte de machine), et les identificateurs de scurit (SID, dont le fonctionnement est globalement identique celui sous NT 4.0 et Windows 2000). Active Directory tant organis hirarchiquement, il est possible de dfinir des permissions sur un conteneur et de voir ces permissions hrites ses sous conteneurs et ses objets enfants (si on le souhaite). Grce cela, ladministrateur naura pas appliquer les mmes permissions objet par objet, limitant ainsi la charge de travail, et le taux derreurs. Dans le cas o lon dfinirait des permissions spcifiques pour un objet et que ces dernires entrent en conflit avec des permissions hrites, ce seront les permissions hrites qui seront appliques. Dans certains cas, on ne souhaite pas que des permissions soient hrites, il est alors possible de bloquer cet hritage. Par dfaut, lors de la cration dun objet, lhritage est activ. Par consquent, une DACL correspondant aux permissions du conteneur parent est cre pour cet objet. Lors du blocage de lhritage, on dfinit une nouvelle DACL qui sera soit copie depuis la DACL du parent, soit vierge.

3.2.2. Dlgation de contrle

Il est possible de dlguer un certain niveau dadministration dobjets Active Directory nimporte quel utilisateur, groupe ou unit organisationnelle. Ainsi, vous pourrez par exemple dlguer certains droits administratifs dune unit organisationnelle (ex : cration dobjets dans cette UO) un utilis ateur. Lun des principaux avantages quoffre cette fonctionnalit de dlgation de contrle est quil nest plus ncessaire dattribuer des droits dadministration tendus un utilisateur lorsquil est ncessaire de permettre un utilisateur deffectuer certaines tches. Sous NT4, si lon souhaitait quun utilisateur dans un domaine gre les comptes dutilisateurs pour son groupe, il fallait le mettre dans le groupe des Oprateurs de comptes, qui lui permet de grer tous les comptes du domaine. Avec Active Directory, il suffira de cliquez avec le bouton droit sur lUO dans laquelle on souhaite lui dlguer ladministration dune tche et de slectionner Dlguer le contrle.

17

On pourra dfinir quelques paramtres comme les comptes concerns par cette dlgation et le type de dlgation, dans notre cas, Crer, supprimer et grer des comptes dutilisateur (On peut affiner en dlguant des tches personnalises comme par exemple uniquement le droit de rinitialiser les mots de passe sur les objets de compte dutilisateur de lUO, ).

Module 4. Dploiement et gestion des logiciels l'aide d'une stratgie de groupe

4.1. Prsentation de la gestion du dploiement de logiciels
1. Prparation : Les fichiers dinstallation au format Windows Installer doivent tre copis dans un partage sur un serveur de fichiers sur lequel les utilisateurs concerns auront les droits de lecture. Ce partage est nomm point de distribution. 2. Dploiement : Une GPO doit tre cre afin que les logiciels sinstallent automatiquement lors du dmarrage de lordinateur ou louverture de session dun utilisateur. 3. Maintenance : Le logiciel qui a t dploy peut tre mis jour via le mme procd et un Service Pack peut tre automatiquement dploy sur lensemble des postes sur lesquels le logiciel a t install. 4. Suppression : Lorsque vous voulez dsinstaller un logiciel distance, il suffit de supprimer la GPO permettant le dploiement du logiciel et automatiquement le logiciel sera supprim des machines.

4.2. Prsentation de Windows Installer

Service Windows Installer : service sexcutant sur le client et permettant de raliser les installations distance de faon compltement automatise. Il est capable de modifier ou de rparer automatiquement les logiciels dfectueux. Package Windows Installer : fichier de type .msi contenant toutes les informations ncessaires linstallation du logiciel.

4.3. Dploiement de logiciels

4.3.1. Affectation de logiciels :
Laffectation permet de garantir la prsence dun logiciel pour un utilisa teur ou une machine. Dans le cas dune affectation un utilisateur, un raccourci de lapplication va apparatre dans son menu Dmarrer et les types de fichier de lapplication seront directement enregistrs. Des que lutilisateur va cliquer sur le raccourci ou sur un fichier de lapplication (ex : un fichier .doc dans le cas de Word), le logiciel va sinstaller automatiquement. Dans le cas dune affectation un ordinateur, lapplication va sinstaller des le dmarrage de la machine. Le logiciel sera alors disponible pour tous les utilisateurs de la machine. Laffectation dune application un contrleur de domaine ne fonctionne pas.

18

4.3.2. Publication de logiciels :

La publication dun logiciel laisse le choix lutilisateur dinstaller ou non lapplication sur sa machine. Elle ne peut tre mise en oeuvre que pour un utilisateur et pas pour un ordinateur. Lapplication apparat dans le panneau de configuration Ajout/Suppression de programmes dans une liste regroupant toutes les applications pouvant tre installes. Une autre mthode permet dinstaller le logiciel en utilisant lappel de documents. Lorsquune application est publie dans lActive Directory les types de fichiers quelle prend en charge sont enregistrs et lorsquun fichier reconnu fait lobjet dune tentative douverture par un utilisateur ayant lapplication correspondante publie, le programme est install.

4.3.3. Suppression de logiciels dploys

Lors de la suppression dun logiciel dans lActive Directory, une boite de dialogue souvre et deux options de suppression vous sont proposes : Dsinstallation immdiate : Le logiciel est dsinstall au prochain dmarrage de la machine ou la prochaine ouverture de session de lutilisateur. Autoriser lutilisateur continuer utiliser le logiciel : Les logiciels ne sont pas dsinstalls mais ils napparatront plus dans la liste du panneau de configuration Ajout/Suppression de programmes.

Module 5. Implmentation de sites pour grer la rplication Active Directory

5.1. Fonctionnement de la duplication
Dans un domaine Windows 2003, un ou plusieurs contrleurs de domaine hbergent la base de donnes Active Directory. La duplication rpercute les modifications apportes a la base de donnes Active Directory depuis un contrleur de domaine sur tous les autres contrleurs de domaine du domaine et ce, de faon transparente pour les administrateurs et les utilisateurs. Cette duplication est qualifie de multimatres car plusieurs contrleurs de domaine (appels matres ou rpliquas) ont la capacit de grer ou modifier les mmes informations dActive Directory. La duplication peut se produire diffrents moments. Par exemple, lors de lajout dobjets sur un contrleur de domaine, on peut dire que la copie de la base de donnes Active Directory quil contient a subit une mise jour dorigine. Lorsque cette mise jour est duplique sur un autre rpliqua du domaine, on dira alors que ce dernier a effectu une mise jour duplique.

19

La mise jour effectue sur le second contrleur peut aussi tre duplique sur un troisime contrleur de domaine. Le processus de duplication nintervient quentre deux contrleurs de domaine la fois. Aprs avoir apport une modification sur un contrleur de domaine, un temps de latence (par dfaut 5 minutes) est observ avant denvoyer un message de notification au premier partenaire de rplication. Chaque partenaire direct supplmentaire est inform 30 secondes (valeur par dfaut) aprs la rception de la notification. Lorsquun partenaire de rplication est inform dune modification apporte la base, il rcupre celle ci depuis le contrleur de domaine ayant mis la notification. Dans certains cas, la notification de changement est immdiate, ainsi que la duplication. Cest le cas lors de la modification dattributs dobjets considrs comme critiques du point de vue scurit (par exemple, la dsactivation dun compte). On parle alors de duplication urgente. Toutes les heures (valeur par dfaut paramtrable), si aucune modification na t apporte la base Active Directory, un processus de duplication est lanc. Ceci, pour sassurer que la copie de la base de donnes Active Directory est identique sur tous les contrleurs de domaine.

5.2. Rsolution des conflits de duplication

La duplication DActive Directory tant multi matre, des conflits peuvent survenir lors des mises jour. Pour minimiser les conflits, les contrleurs de domaines se basent sur les modifications apportes aux attributs des objets plutt que les objets eux mme. Ainsi, si deux attributs distincts dun mme objet sont modifis simultanment par deux contrleurs de domaine, il ny aura pas de conflit. Pour rsoudre certains conflits, Active Directory emploie un cachet unique global qui est envoy avec les mises jour dorigine (et uniquement celles-ci). Ce cachet contient les composants suivants (du plus important au moins important): Le numro de version : la numrotation commence a 1. Il est incrment de 1 chaque mise jour dorigine. Dateur : il sagit de la date et de lheure du dbut de la mise a jour, issue de lhorloge systme du contrleur de domaine sur lequel a eu lieu la mise a jour dorigine. Serveur GUID (Globally Unique IDentifier Identificateur universel unique) : il est dfini par le DSA (Directory System Agent) dorigine qui identifie le contrleur de domaine sur lequel a eu lieu la mise jour dorigine.

Pour que les dateurs soient justes, il est impratif que toutes les horloges des contrleurs de domaine soient synchronises. Dans le cas contraire il y a un risque de perte de donnes dans lannuaire ou que ce dernier soit endommag. On dnombre trois types de conflits potentiels : Valeur dattribut : il survient lorsque lattribut dun objet est modifi sur diffrents contrleurs avec des valeurs diffrentes. On rsout le conflit en gardant lattribut modifi ayant la plus grande valeur de cachet. Lajout ou le dplacement dun objet dans un conteneur supprim : ce conflit intervient lorsquun objet est ajout dans un conteneur (par exemple un utilisateur dans lUO ventes) alors que ce conteneur a t supprim sur un autre contrleur de domaine. La duplication nayant pas eu lieu, cette suppression na pas encore t prise en compte par tous les contrleurs de domaine. Le conflit est rsolu par la rcupration des objets orphelins dans le conteneur LostAndFound.

20

Nom parent : ce conflit se produit lorsquun rpliqua tente de dplacer un objet dans un conteneur dans lequel un autre rpliqua a plac un objet portant le mme nom. Ce conflit est rsolu par le changement de nom de lobjet ayant le cachet le moins important.

5.3. Topologie de duplication

5.3.1. Partitions dannuaire
La base de donnes Active Directory se compose logiquement de plusieurs partitions dannuaire : la partition de schma, la partition de configuration et les partitions de domaine. Une partition est une unit de duplication indpendante des autres utilisant une procdure de duplication propre.

5.3.1.1. Partition de schma

Elle contient la dfinition de tous les objets et attributs pouvant tre crs dans lannuaire, ainsi que les rgles de cration et de gestion de ces objets. Ces informations sont dupliques sur tous les contrleurs de domaine de la fort car il ne peut y avoir quun seul schma pour une fort.

5.3.1.2. Partition de configuration

Elle contient toutes les informations lies la structure dActive Directory, avec entre autres les domaines, domaines enfants, sites, etc Ces informations sont, elles aussi, dupliques sur tous les contrleurs de domaine afin de maintenir lunicit dans la fort.

5.3.1.3. Partitions de domaine

Une partition de domaine contient les informations lies aux objets dun domaine Active Directory. Ces informations sont dupliques sur lensemble des DC du domaine. Par consquent, il peut exister plusieurs partitions de domaine dans une mme fort.

5.3.2. Topologie de duplication

La topologie de duplication est le chemin que va emprunter le processus de duplication pour mettre jour les donnes sur les contrleurs de domaine. Deux contrleurs de domaine impliqus dans la duplication dActive directory sont lis par des objets de connections, qui sont des chemins de duplication unidirectionnels. On parle aussi de partenaires de rplication. Les objets de connexion peuvent tre crs manuellement par un administrateur o automatiquement, via le KCC. La gestion des objets de connexion se fait par lintermdiaire de la console Sites et Services Active Directory. Lorsque les partenaires de rplications sont directement lis par des objets de connexion, on parle de partenaires de rplication directs. Si lon a trois contrleurs de domaine A,B et C et quil existe des objets de connexion entre A -B et BC, alors A et C sont partenaires de rplication transitifs.

21

Lutilitaire Rplication Monitor Active Directory permet de visualiser les partenaires de rplication transitifs.

5.3.3. Gnration de topologie de duplication automatique

Lorsque lon ajoute un contrleur de domaine un site, Active Directory est capable de lier automatiquement ce contrleur dautres via des paires dobjets de connexion. Ceci afin de prendre en compte ce contrleur dans la duplication. Cest le KCC (Knowledge Consistency Checker vrificateur de cohrence des connaissances) sexcutant sur chaque contrleur de domaine qui est en charge de cela. Cest donc lui qui gnre la topologie de duplication pour la fort. Il utilise entre autre les informations sur les diffrents sites (sous-rseau, type de lien et cot de transmission intersites,) pour calculer le meilleur chemin entre les contrleurs de domaine de la fort. Au sein dun mme site, la topologie par dfaut gnre est un anneau a communication bidirectionnelle (deux objet de connexion unidirectionnels en sens opposs entre toutes les paires de contrleurs de domaines). Des liens supplmentaires sont tablis lorsque le nombre de sauts ncessaire pour quune mise a jour dorigine atteigne un rpliqua est suprieur trois. Si un problme de communication intersite intervient, le KCC tentera dtablir automatiquement un nouveau chemin de duplication.

5.4. Utilisation des sites pour optimiser la duplication

5.4.1. Prsentation des sites
Un site est reprsent par un ou plusieurs sous rseaux. Par consquent, les sites sappuient sur la structure physique dun rseau, notamment au niveau des interconnexions de rseaux locaux et tendus. Un site est automatiquement mis en place lorsque lon installe le premier contrleur de domaine dans un domaine. Il est nomm Premier-Site-par-dfaut. Ainsi, mme si lon a un rseau non segment en sous rseaux, on aura quand mme un site. Dans le cas dune entreprise ayant son sige dans une ville et une succursale dans une autre ville, si elle dispose de un ou plusieurs sous rseaux par ville, elle pourra crer un site regroupant les sous rseaux de la premire ville et un autre pour les sous rseaux de lautre ville. Un site est constitu dobjets serveur qui correspondent des contrleurs de domaine. Les objets serveurs sont crs lorsquun serveur sous Windows 2000/2003 est promu en tant que contrleur de domaine. Ils contiennent entre autres des objets connexion ncessaire la duplication. Un site peut contenir des contrleurs de domaine de nimporte quel domaine dune fort. Pour crer un site, il faut utiliser loutil dadministration Sites et services Active Directory situe dans les outils dadministration. On peut y dfinir des sous rseaux (reprsents par des objets sous-rseau) en prcisant ladresse du sous rseau, le masque de sous rseau ainsi que le site correspondant. La mise en place de sites permet : Loptimisation du trafic de duplication entre les sites. La localisant les ressources du rseau (ex : un utilisateur qui ouvre une session le feras sur un contrleur de domaine situ sur le mme site que lui).

En somme lintrt des sites dans un rseau peut tre de contrler le volume de donnes lis au fonctionnement dActive Directory (trafic de duplication et de connexion). Ceci permet de limiter

22

lengorgement des liens entre les sous rseaux, en gnral, une ligne spcialise, voir mme un simple modem 56K.

5.4.2. Duplication intrasite

Elle se produit entre les contrleurs de domaine situs sur un mme site. Les donnes lies ce type de duplication ne sont pas compresses par dfaut car on considre que les connexions rseau des machines dun mme site sont rapides et fiables. Cela limite le temps processeur utilis par les contrleurs de domaine pour la compression.

5.4.3. Duplication intersite

Elle permet diffrents sites de rcuprer les modifications apportes Active Directory depuis un contrleur de domaine situ sur un site, et ce, en empruntant des chemins considrs comme non fiables et avec une faible bande passante. If faudra crer des liens de site pour lesquels il faudra dfinir manuellement un certain nombre de paramtres pour dterminer le moment auquel la duplication intervient et la frquence laquelle les contrleurs de domaine vrifieront si des modifications ont t apportes Active Directory. Le trafic li la duplication intersite est compress avec un ratio denviron 80% pour transiter efficacement par des liaisons faible dbit. Linconvnient est la charge CPU supplmentaire sur les contrleurs de domaine. La duplication intersite tant programme manuellement, le systme de notification des modifications nest employ que pour le trafic intrasite.

Module 6. Implmentation du placement des contrleurs de domaine

6.1. Le rle du serveur de catalogue global
6.1.1. Dfinition du serveur de catalogue global
Le catalogue global ou GC (Global Catalogue) permet aux utilisateurs deffectuer 2 tches importantes : Trouver des informations Active Directory sur toutes les forts, quel que soit lemplacement des ces donnes. Utiliser des informations dappartenance des groupes universels pour ouvrir une session sur le rseau. Un serveur de catalogue global est un contrleur de domaine qui conserve une copie du catalogue global et peut ainsi traiter les requtes qui lui sont destines. Le premier contrleur de domaine est automatiquement le serveur de catalogue global. Il est possible de configurer dautres contrleurs de domaine en serveur de catalogue global afin de rguler le trafic.

6.1.2. Limportance du catalogue global dans le processus dauthentification 23

Voici les tapes importantes qui sont ralises lorsquun utilisateur sauthentifie sur le domaine : 1. Lutilisateur entre des informations didentification (son identifiant, son mot de passe ainsi que le domaine sur lequel il souhaite ouvrir une session) sur un ordinateur membre du domaine afin douvrir une session. 2. Ces informations didentification sont cryptes par le centre de distribution de clefs ou KDC (pour Key distribution Center), puis envoyes lun des contrleurs de domaine du domaine de lordinateur client. 3. Le contrleur de domaine compare les informations didentification cryptes du client avec celles se trouvant sur Active Directory (les informations stockes dans le service dannuaire Active Directory qui sont cryptes nativement). Si les informations concordent alors le processus continue, sinon il est interrompu. 4. Le contrleur de domaine cre ensuite la liste de tous les groupes dont lutilisateur est membre. Pour cela, le contrleur de domaine interroge un serveur de catalogue global. 5. Le contrleur de domaine fournit ensuite au client un ticket daccord ou TGT (Ticket Granting Ticket). Le TGT contient les identificateurs de scurit ou SID (Security Identifier) des groupes dont lutilisateur est membre (Un TGT expire au bout de 8 heures ou bien quand lutilisateur ferme sa session). 6. Une fois que lordinateur client a reu le TGT, lutilisateur est authentifi et peut tenter de charger sont profil et daccder aux ressources du rseau. Si le serveur de catalogue global nest pas joignable, le processus dauthentification est mis en chec. En effet, le contrleur de domaine ne peut pas obtenir les SID des groupes dont lutilisateur est membre lorsque le serveur de catalogue global est indisponible. Dans ce cas le contrleur de domaine nmet pas de TGT et lutilisateur ne peut pas ouvrir sa session.

6.1.3. Limportance du catalogue global dans le processus dautorisation

Voici les tapes importantes qui sont ralises lorsquun utilisateur authentifi essaye daccder une ressource sur le domaine : 1. Le client essaye daccder une ressource situe le rseau (ex. : serveur de fichier). 2. Le client utilise le TGT qui lui a t remis lors du processus dauthentification pour accder au service daccord de ticket ou TGS (Ticket Granting Service) situ sur le contrleur de domaine. 3. Le TGS met un ticket de session pour le serveur sur lequel se trouve la ressource quil envoie au client. Le ticket de session contient les identificateurs SID de s groupes auxquels lutilisateur appartient. 4. Le client envoie son Ticket de session au serveur de fichier. 5. Lautorit de scurit locale ou LSA (pour Local Security Authority) du serveur de fichier utilise les informations du ticket de session pour crer un jeton daccs. 6. Lautorit LSA contacte ensuite le contrleur de domaine et lui envoie les SIDs de tous les groupes figurant dans la liste DACL (Discretionary ACcess List) de la ressource. Le contrleur de domaine doit ensuite joindre un serveur de catalogue global afin de connatre les identificateurs de scurit (ou SIDs) des groupes de la liste DACL dont lutilisateur est membre. 7. Enfin, lautorit LSA compare les identificateurs SID du jeton daccs avec les SID des groupes dont lutilisateur est membre et qui figurent dans la liste DACL. Si les groupes auxquels lutilisateur appartient sont autoriss accder la ressource alors lutilisateur peut accder la ressource sinon, laccs est refus.

24

Si le serveur de catalogue global est indisponible, alors le processus dautorisation ne peut pas se poursuivre et lutilisateur ne peut pas accder la ressource.

6.1.4. La mise en cache de lappartenance au groupe universel

La fonction de mise en cache de lappartenance au groupe universelle est dispon ible uniquement sur les contrleurs de domaine excutant Windows 2003 server. La mise en cache de lappartenance au groupe universel consiste stocker sur un contrleur de domaine les rsultats des requtes effectues auprs dun serveur de catalogue global. La mise en cache de lappartenance au groupe universel est principalement utilise lorsque deux sites sont relis entre eux par une liaison WAN (Wide Area Network) possdant une faible bande passante (par exemple une connexion RNIS 128Kb/s). En effet, dans ce cas de figure la connexion WAN impose diverses restrictions au niveau de limplmentation du rseau : Il est obligatoire de placer un contrleur de domaine dans le site distant sinon la connexion ralentira les ouvertures de session. Il nest pas possible dhberger le catalogue global sur le site distant car la rplication entre les serveurs de catalogue global entrane un trafic rseau trop important. Malgr le fait quun contrleur de domaine soit disponible en local dans le site distant, le trafic entre les deux site reste lev puisque pour chaque ouverture de session ou bien chaque accs une ressource partage, le contrleur de domaine accs un serveur de catalogue global situ dans la maison mre. Une solution ce problme est donc limplmentation de la mise en cache de lappartenance au groupe universel. Le schma ci-dessous illustre lutilisation classique de la mise en cache de lappartenance au groupe universel :

Lorsquun utilisateur du site Martinique tente douvrir sa session pour la premire fois, il contacte le contrleur de domaine qui va lui-mme contacter le serveur de catalogue global (GS sur le schma) afin de rcuprer les SIDs des groupes dont lutilisateur est membre. Le contrleur de

25

domaine va ensuite mettre en cache les informations quil a reues du serveur de catalogue global pendant une dure de 8 heures (dure par dfaut). La mme opration (mise en cache) est effectue lors du premier accs de lutilisateur une ressource partage. Si lutilisateur se logge de manire rcurrente sur le domaine ou bien si il accde rgulirement des partages rseaux, le contrleur de domaine du site Martinique utilise les informations situes dans son cache. Cela offre trois grands avantages : Les authentifications des utilisateurs et les accs aux ressources du rseau sont moins dpendantes de la liaison WAN. Le trafic dauthentification et dautorisation au niveau de la liaison WAN utilise peu de bande passante. La rsolution de lappartenance au groupe universel est plus rapide puisque le contrleur de domaine possde les informations ncessaires en local.

Module 7. Gestion des matres d'oprations

7.1. Prsentation des matres doprations
Les modifications dActive Directory peuvent tre faites sur nimporte quel contrleur de domaine. Il y a toutefois 5 exceptions pour lesquelles les modifications sont faites sur un et un seul contrleur de domaine particulier : les 5 rles des matres doprations. Voici les cinq rles des matres doprations : Contrleur de schma Matre dattribution des noms de domaine Emulateur CPD Matre didentificateur relatif Matre dinfrastructure.

Les deux premiers sont assigns au niveau de la fort, les trois derniers au niveau du domaine. Ce qui implique sil y a plusieurs domaines dans une fort, autant de matres doprations pour les trois derniers rles, que de domaines. Par dfaut le premier contrleur de domaine dune nouvelle fort contient les cinq rles.

7.1.1. Rle du contrleur de schma

Il est le seul dans une fort pouvoir modifier le schma. Il duplique les modifications aux autres contrleurs de domaine dans la fort lorsquil y a eut une modification du schma. Le fait davoir un seul ordinateur qui gre le schma vite tout risque de conflits. Un seul groupe peut faire des modifications sur le schma : le groupe dadministration du schma.

7.1.2. Matre dattribution de nom de domaine

Seul le contrleur de domaine ayant ce rle, est habilit ajouter un domaine dans une fort. Si le matre dopration dattribution de nom de domaine nest pas disponible, il est impossible dajouter ou de supprimer un domaine la fort. Du fait de son rle, le matre dattribution de nom de domaine est aussi un serveur de catalogue global.

26

En effet pour viter tous problmes, celui-ci doit connatre tous les noms des objets prsents dans la fort.

7.1.3. Emulateur CPD (PDC)

Ce rle a t cr principalement dans un souci de permettre une compatibilit avec les versions antrieures de Windows 2000. Rle propre aux versions antrieures Windows 2000 : Il permet la prise en charge des BDC Windows NT4. Il a la gestion des modifications des mots de passes pour des clients antrieurs Windows 2000.

Autres Rles : Authentification de secours: Lorsque vous avez modifi votre mot de passe sur votre ordinateur, et que vous vous connectez peu de temps aprs sur une autre machine, il se peut que la rplication du changement de votre mot de passe nait pas encore t effectue. Dans ce cas, le DC qui vrifie votre mot de passe va demander lmulateur CPD si votre mot de passe na pas t chang avant de vous refuser laccs. Synchroniser lheure de tous les DC en fonction de son horloge. Elimine les risques dcrasement dobjets GPO : par dfaut la modification de GPO se fait sur ce DC.

7.1.4. Matre RID

Un SID est compos de deux blocs : un identificateur de domaine et un RID (Identificateur unique dans le domaine). Pour quil ne puisse y avoir deux DC qui assigne le mme SID deux objets diffrents, le matre RID distribue une plage de RID chacun des DC. Lorsque la plage de RID a t utilise, le DC demande une nouvelle plage de RID au matre RID. Le matre RID aussi la charge des dplacements inter-domaines, pour viter la duplication de lobjet.

7.1.5. Matre dinfrastructure

Le matre dinfrastructure sert mettre jour, dans son domaine, les rfrences des objets situs dans dautres domaines. Si des modifications dun objet du domaine surviennent (dplacement intra et extra domaine), alors si cet objet est li un ou plusieurs objets dautres domaines, le matre dinfrastructure est responsable de la mise jour vers les autres domaines. La mise jour se fait par le biais dune rplication. Un Matre dinfrastructure ne peut tre aussi un serveur de catalogue global.

7.2. Transfert et prise de rles de matres doprations

Si le serveur dfaillant sera rapidement remis en marche, ne transfrez pas le rle de matre dopration. On ne transfre le rle de matre dopration que lorsque le serveur ne pourra pas tre remis en marche ou dans des dlais longs. (La limite en temps est vague car elle dpend de lenvironnement de votre rseau, cela peut tre une journe comme une semaine).

7.2.1. La dfaillance de lEmulateur de CPD 27

La dfaillance est la plus handicapante : Les ordinateurs clients excutant une version antrieure Windows 2000 ne pourront plus sauthentifier. Perte de la diminution de latence pour la mise jour des mots de passe. Eventuelle perte de synchronisation horaire entre les contrleurs.

7.2.2. Dfaillance du matre dinfrastructure

Limite le dplacement des objets dans Active Directory

7.2.3. Dfaillance des autres matres doprations

Ces dfaillances sont les moins gnantes. Il est prfrable de restaurer une sauvegarde de ces matres doprations plutt que de les transfrer, le transfert de ces matres doprations peut entraner des erreurs dans les donnes. La prise du rle de ces matres doprations ne doit tre envisage quen dernier recours.

Module 8. Maintenance d'Active Directory

8.1. Entretien de la base de donnes Active Directory
La sauvegarde dActive Directory doit tre effectue rgulirement. La sauvegarde de lEtat du Systme sur un DC sauvegarde la base de donne AD (ainsi que le dossier sysvol, le Registre, les fichiers de dmarrage du systme, linscription des classes et les certificats). La dfragmentation dActive Directory doit tre effectue de temps en temps, pour viter que la base de donnes AD ne prenne trop despace disque. (Lutilitaire NTDSUTIL permet de dfragmenter la base de donnes). Lors de la dfragmentation la base de donnes AD est dplace, loriginal peut tre conserv en tant que backup. Le dplacement de la base de donnes AD peut tre ncessaire lors dun manque despace disque.

8.1.1. Fichiers dActive Directory

Ntds.dit : Base de donnes contenant les objets dActive Directory. Edb*.log : Journal des modifications sur la base de donnes Edb.chk : Fichier de contrle, permet de ne pas perdre dinformations ou de corromp re la base de donnes lors dun sinistre. Res*.log : ces fichiers ne sont l que pour rserver de lespace disque pour le fichier de journal.

Le moteur de la base de donne Active Directory est nomm ESE (Extensive Storage Engine)

8.1.2. Nettoyage de la mmoire

Un processus sexcute toutes les douze heures pour supprimer les objets obsoltes dActive Directory et dfragmenter la mmoire utilise par Active Directory. Lors de la suppression dun objet Active Directory, il est plac dans le conteneur Deleted Objects et lorsquil aura dpass sa

28

dure de vie dsactive (par dfaut 60 jours), le processus de nettoyage de la mmoire le supprimera.

8.1.3. Restauration dActive Directory

Il existe trois types de restauration : Force (authoritative) Normale ou Non Force (non authoritative) Principale

Une restauration force est utile dans le cas ou vous avez effac des objets dans Active Directory par erreur, et que la rplication a t effectue entre les diffrents contrleurs de domaines. Les objets effacs vont tre restaurs et rpliqus aux autres DC. Une restauration non force, est une restauration dite normale toutes les modifications faites depuis la sauvegarde vont tre rcupres lors de la prochaine rplication entre les DCs. La restauration principale doit tre utilise uniquement lorsque les donnes contenues dans tous les contrleurs de domaine du domaine sont perdues. Une restauration principale reconstruit le premier contrleur de domaine partir de la version sauvegarde. Utilisez ensuite la restauration normale sur les autres contrleurs de domaine. Ce mode doit tre utilis lorsquil nexiste aucune autre manire de reconstruire le domaine. En effet, toutes les modifications postrieures la sauvegarde sont perdues.

29