|
SOMMAIRE
QUESTIONS PRELIMINAIRES
P01 - Peut-on ajouter un serveur Windows Server
2003 dans un domaine Windows 2000 ?
P02 - Comment nommer un domaine AD ?
P03 - Peut on se connecter a Active Directory
depuis Windows95, 98 ou NT 4 ?
OPERATIONS BASIQUES :
Q01 - Comment créer une forêt et un domaine ?
Q02 - Comment ajouter un contrôleur de domaine à un
domaine existant ?
Q03 - Comment renommer
un Contrôleur de domaine ?
Q04 - Comment retirer
un Contrôleur du Domaine?
Q05 -
Comment vérifier l'initialisation correcte d'Active Directory ?
Q06 - Comment créer un domaine enfant ?
Q07 - Comment créer une nouvelle forêt ?
GESTION D'ACTIVE DIRECTORY :
Q10 - Comment déterminer les rôles RID, PDC, et
Infrastructure dans un domaine ? ?
Q11 - Comment déterminer le serveur Schema Master
dans une forêt ?
Q12 - Comment créer une relation d'approbation
entre deux forêts ?
Q13 - Comment vérifier les relations d'approbation
?
Q14 - Comment supprimer une relation d'approbation
?
Q15 - Comment créer et gérer les sites et sous
réseaux ?
Q16 - Comment déplacer un contrôleur de domaine
dans un autre site ?
Q17 - Comment créer et
configurer des liens entre sites ?
Q18 - Comment gérer les topologies de sites ?
Q19 - Comment transférer le
rôle de contrôleur de schéma ?
Q20 - Comment transférer le
rôle Maître d'attribution de noms de domaine ?
Q21 - Comment transférer les rôles Maître RID,
Émulateur PDC et Contrôleur d'infrastructure ?
Q22 - Comment sauvegarder
Active Directory ?
Q23 - Comment restaurer
Active Directory ?
Q24 - Comment passer de Windows Server 2000 à
Windows Server 2003 ?
GESTION DES STRATEGIES SYSTEMES :
Q30 - Comment déléguer l'autorité pour créer et
gérer des objets de stratégie de groupe ?
DEPANNAGE :
Q50 -
Impossible d'ajouter un
autre DC au domaine, pourquoi ?
Q51 - L'ouverture de session est très lente, pourquoi ?
|
P01
- Peut-on ajouter un serveur Windows Server 2003 dans un domaine
Windows 2000 ? |
Oui, les contrôleurs de domaines Windows Server 2000
et Windows Server 2003 peuvent cœxister.
Cependant, avant d'installer le premier DC 2003 vous
devez préparer le schema AD avec adprep /forestprep.
Consultez
http://support.microsoft.com/default.aspx?scid=kb;fr;325379
.
|
P02
- Comment nommer un domaine AD ?
-
http://www.ToutWindows.com |
Les règles de nomage d'un domaine AD viennent
principalement de DNS : les caractères acceptés sont les caractères
alphanumpériques (A à Z et 0 à 9) et le tiret (-). Le point (.) dans le
nom de domaine est toujours utilisé pour séparer les différentes parties
du nom de domaine. Chaque nom de domaine ne peut excéder 63 octets et le
premier caractère ne peut être un chiffre.
Il est conseillé de respecter les règles suivantes :
_ si vous voulez que le nom NetBIOS du domaine
corresponde à votre nom de domaine, utilisez moins de 15 caractères pour
le nom,
_ n'utilisez pas pour votre domaine AD, le même nom de domaine que celui
que vous possédez en externe, ceci posera des problemes DNS, par contre
pour éviter le même genre de désagrément réservez celui ci sur Internet,
|
P03 - Peut
on se connecter a Active Directory depuis Windows95, 98 ou NT 4
? |
Oui, il suffit d'installer les "Extensions Client d'Active
Directory pour Windows 95, 98 et NT 4 Workstation" sur les PC clients, le
télécharger ici :
http://www.microsoft.com/france/windows/98/download/info.asp?mar=/france/windows/2000/server/telecharge/info/2000_adextensions.html&xmlpath=/france/windows/98/inc/download.xml&rang=14
|
Q01 -
Comment créer une forêt avec un domaine ? |
Pour plus de détails,
cliquez ici.
1. Démarrer / Exécuter
DCPROMO
2. Sur la page d'accueil,
cliquez sur Suivant
3. Sur la page
d'avertissement, cliquez sur
Suivant
4. Sur la page Type de
Contrôleur de Domaine,
sélectionnez Contrôleur de
Domaine pour un nouveau
domaine, et cliquez sur
Suivant,
5. Sur la page suivante,
sélectionnez Domaine dans
une nouvelle forêt, puis
cliquez sur Suivant
6. Saisissez le nom DNS
complet, cliquez sur Suivant
7. Vérifiez le nom NetBIOS
et cliquez sur Suivant
8. Précisez un emplacement,
et cliquez sur Suivant
9. Validez un emplacement,
et cliquez sur Suivant
10. Vérifiez le DNS existant
ou cliquez sur Installer et
configurer, puis cliquez sur
Suivant
11. Précisez si vous
souhaiter appliquer les
sécurités
12. Lorsque l'assistant vous
le demande, précisez le mot
de passe de dépannage,
13. Vérifiez la page de
résumé, puis validez.
14. A la fin le serveur doit
redémarrer.
|
Q02 - Comment
ajouter un contrôleur de domaine à un domaine existant ?
- toutwindows.com |
1. Démarrer / Exécuter
DCPROMO
2. Sur la page Type de
Contrôleur de Domaine,
sélectionnez Ajouter un
contrôleur à un domaine
existant.
3. A la page sécurité,
saisissez le nom
d'utilisateur puis le mot de
passe :

4. Confirmez l'emplacement
de la Base de donnée et des
dossiers Logs
5. Sur le partage systeme,
donnez l'emplacement du
répertoire SYSVOL
6. A la page de restauration
confirmez le mot de passe de
restauration
7. Vérifiez le résumé et
validez.
8. A la fin le serveur doit
redémarrer.
|
Q03 - Comment
renommer un Contrôleur de Domaine ?
- toutwindows.com |
1. Dans le Panneau de
Configuration, double
cliquez sur Système
2. Dans l'onglet Nom de
l'ordinateur, cliquez sur
Modifier
3. Confirmez le changement
4. Entrez le nom complet et
cliquez sur OK
|
Q04 -Comment
retirer un Contrôleur de domaine ?
- toutwindows.com |
Supprimer un DC opérationnel
:
1. Lancez l'assistant AD
(DCPROMO)
2. A la page Désinstallation
d'AD, sélectionnez Ce
serveur est le dernier
contrôleur du domaine, et
cliquez sur Suivant :

3. tapez le nouveau mot de
passe administrateur
4. Vérifiez le résumé et
validez.
DCPROMO vous demande aussi
de confirmer les zones DNS
correspondantes.


Pour
supprimer un Contrôleur
endommagé qui ne peut plus
être redémarré :
Dans ce cas il faut utiliser
ntdsutil ,
conformément à
http://support.microsoft.com/default.aspx?scid=kb;fr;216498
|
Q05
- Comment vérifier l'initialisation correcte d'Active Directory
?
- toutwindows.com |
POur vérifiez que AD s'est correctement initialisé, vérifiez les points suivants :
-
Default Containers
Ceux ci sont créés automatiquement. Ouvrez la MMC Utilisateurs et Ordinateurs AD et vérifiez la présence de : Computers, Users, ForeignSecurityPrincipals
-
Default Domain Controllers Organizational Unit
Ouvrez la MMC Utilisateurs et Ordinateurs AD, et vérifiez la présence de cette OU.
-
Premier-Site-Par-Defaut
A vérifier en lançant la MMC Site et Servieces AD
-
Base de donnée Active Directory
Le fichier Ntds.dit représente la base Active Directory. Verifiez sa présence dans %Systemroot%\Ntds.
-
Serveur Global Catalog (GC)
Par défaut le premier DC devient GC. Pour le vérifier :
- Lancez la MMC Site et Services AD
- Double cliquez sur Sites, ouvrez Servers, et sélectionnez votre serveur
- Double cliquez sur votre Controleur de Domaine
- En dessous du serveur, un objet NTDS Settings est affiché. Cliquez bouton droit et sélectionnez Propriétés.
- Dans l'onglet General, Vérifiez que la boite Global Catalog est séléctionnée.
-
Domaine racine (Root Domain)
Vérifiez ceci avec la commande net accounts. Le rôle du serveur doit être "primaire" ou "backup".
-
Partage Système
Le volume SYSVOL est partagé dans %Systemroot%\Sysvol\Sysvol .
-
Enregistrements DNS SRV
Vous devez avoir un serveur DNS installé et fonctionnel pour AD, ainsi que les clients qui y refèrent. Pour vérifier DNS sous Widnows Server, utilisez la MMC DNS et vérifiez que les enregistrements de zones et ressources sont bien créés pour chaque zone. AD crée ses enregistrements SRV dans les dossiers suivants :
- _Msdcs/Dc/_Sites/Default-first-site-name/_Tcp
- _Msdcs/Dc/_Tcp
Pour les services suivants :
|
|
|
|
Q06
- Comment créer un domaine enfant ?
- toutwindows.com |
Pour créer un domaine
enfant, vous devez créer un
nouveau serveur et suivre
les instructions suivantes :
1. Démarrer / Exécuter :
dcpromo.
2. Sur la page de sélection,
cliquez sur Créer un domaine
enfant dans un domaine
existant.
3. Saisissez un nom
d'utilisateur, mot de passe
et domaine que vous
souhaitez utiliser
4. Vérifiez le domaine
parent et saisissez le
domaine enfant
|
Q07
- Comment créer une nouvelle forêt ?
- toutwindows.com |
1. Démarrer / Exécuter :
dcpromo.
2. Sur la page de sélection,
cliquez sur Arborescence de
domaine dans une foret
existante.
3. Saisissez un nom
d'utilisateur, mot de passe
et domaine que vous
souhaitez utiliser
4. Vérifiez le domaine
parent et saisissez le
domaine enfant
|
Q10
- Comment déterminer les rôles RID, PDC, et Infrastructure dans
un domaine ? |
-
Démarrer / Executer
dsa.msc
-
Cliquez avec le bouton
droit sur l'objet
représentant le Domaine
et sélectionnez Maitre
d'Opération.
- Dans
l'onglet CDP : vous
visualisez le serveur
ayant le rôle PDC
- Dans
l'onglet Infrastructure
: vous visualisez le
serveur ayant le rôle
Infrastructure
- Dans
l'onglet RID : vous
visualisez le serveur
ayant le rôle RID
|
Q11
- Comment déterminer le serveur Schema Master dans une forêt ?
- toutwindows.com |
-
Démarrer / Exécuter, mmc
- Dans
le menu Fichier, Ajout
d'un composant
enfichable, choisissez
la mmc Schéma Active
Directory, puis OK
-
Cliquez sur Active
Directory Schéma avec le
bouton droit puis
choisissez Schema Active
directory, afin de
visualiser le serveur
concerné
|
Q12
- Comment créer une relation d'approbation entre deux forêts ?
- toutwindows.com |
-
Cliquez sur
Démarrer,
pointez sur
Outils d'administration,
puis cliquez sur
Domaines et approbations
Active Directory.
- Dans
l'arborescence de la
console, cliquez avec le
bouton droit sur le
domaine avec lequel vous
souhaitez établir une
approbation, puis
cliquez sur
Propriétés.
-
Cliquez sur l'onglet
Approbations,
puis sur
Nouvelle approbation
pour démarrer
l'Assistant Nouvelle
approbation.
-
Cliquez sur
Suivant.
- Sur
la page
Nom d'approbation,
tapez le nom DNS ou
NetBIOS du domaine, puis
cliquez sur
Suivant.
- Sur
la page
Type d'approbation,
cliquez sur
Approbation externe,
puis sur
Suivant.
- Sur
la page
Direction de
l'approbation,
appliquez l'une des
méthodes suivantes :
-
Pour créer une
approbation externe
bidirectionnelle,
cliquez sur
Bidirectionnel.
Les utilisateurs
dans ce domaine et
les utilisateurs
dans le domaine
spécifié peuvent
accéder aux
ressources situées
dans l'un ou l'autre
domaine.
-
Pour créer une
approbation externe
à sens unique,
cliquez sur
Sens unique : en
entrée. Les
utilisateurs dans le
domaine spécifié ne
peuvent accéder à
aucune ressource
dans ce domaine.
-
Pour créer une
approbation externe
à sens unique en
sortie, cliquez sur
Sens unique : en
sortie. Les
utilisateurs dans le
domaine spécifié ne
peuvent accéder à
aucune ressource
dans le domaine
spécifié.
-
Suivez les instructions
affichées sur les autres
pages de l'Assistant
pour créer l'approbation
externe.
Pour créer une relation
d'approbation avec un
domaineNT4, consultez
http://support.microsoft.com/default.aspx?scid=kb;fr;325874
|
Q13
- Comment vérifier les relations d'approbation ?
- toutwindows.com |
-
Démarrez l'outil
Domaines et approbations
Active Directory.
L'outil repère
automatiquement un
contrôleur de domaine
pour y lire les données
de relations
d'approbation.
-
L'icône affichée pour
chaque domaine
représente la racine de
chacun des éléments de
la hiérarchie. Le
développement d'un de
ces noeuds permet
l'affichage de la
hiérarchie des domaines
enfants, s'il en existe.
Pour afficher les
relations d'approbation
associées à un domaine
particulier, cliquez
avec le bouton droit sur
le domaine, puis cliquez
sur Propriétés.
-
Cliquez sur l'onglet
Approbations.
Pour chacun des domaines
que le domaine
sélectionné approuve
(approuvé) ou est
approuvé par (autorisé à
approuver) le domaine
sélectionné, l'affichage
présente le type de
relation d'approbation
et si celle-ci est ou
non transitive. Il est
également possible
d'ajouter ou de
supprimer des
approbations au moyen de
la même interface. Pour
afficher des
informations détaillées
ou réinitialiser une
relation d'approbation
transitive, cliquez sur
l'approbation voulue,
puis cliquez sur
Afficher/Modifier.
En utilisant netdom:
NETDOM TRUST
trusting_domain_name
/Domain:trusted_domain_name
/Verify
Utilisation de l'outil
NLTEST
L'utilitaire
NLTEST du Kit de ressources
permet l'affichage de la
liste actuelle des domaines
approuvés connus par un
serveur donné. Pour chaque
domaine listé, vous pouvez
afficher les données
suivantes :
- Index
d'approbation
(spécifique à chaque
contrôleur de domaine à
mesure que les
approbations sont
énumérées)
- Nom
de domaine NetBIOS du
domaine approuvé
- Nom
de domaine DNS du
domaine approuvé
- Type
d'approbation (NT 4,
NT 5, MIT ou DCE)
- Un
des indicateurs
suivants :
-
Direct Outbound
(sortant direct) :
il existe une
relation
d'approbation
directe entre le
domaine associé au
serveur interrogé et
ce domaine.
-
Native (natif) : ce
domaine est
actuellement en mode
natif.
-
Primary Domain
(domaine
principal) : il
s'agit du domaine
utilisé pour le
serveur lors de
l'interrogation.
-
Forest Tree Root
(racine de
l'arborescence de la
forêt) : ce domaine
représente la racine
d'une arborescence
dans une forêt.
-
Forest (forêt) :
numéro d'index :
pour ce domaine
approuvé, le
numéro d'index
représente le numéro
d'index de son
domaine parent dans
la même liste
NLTEST.
Pour exécuter
une demande sur un serveur
spécifique, tapez
NLTEST
/server: nom du serveur
/domaines_approuvés.
|
Q14
- Comment effacer une relation d'approbation ?
- toutwindows.com |
Démarrez
l'outil
Domaines et approbations
Active Directory.
1. Cliquez avec le bouton
droit sur le domaine choisi
et choisissez Propriétés
2. Sélectionnez la relation
que vous souhaitez supprimer
et sélectionnet Supprimer
3. Procédez de même pour les
autres domaines
|
Q15
- Comment gérer les sites et sous-réseaux ?
-
toutwindows.com |
Vous devez utiliser les
sites AD pour contrôler la
réplication entre les sites,
ainsi vous devez créer les
sites supplémentaires et les
sous-masques correspondants
puis pouvez déléguer la
gestion de ces sites.
Pour créer des sites, vous
devez entrer en tant que
membre du groupe d'Admins
d'entreprise ou du groupe
d'Admins de domaine dans le
domaine racine.
Pour créer un site procédez
comme suit :
1. Ouvrez la MMC Sites et
Services AD
2. Dans l'arborescence,
cliquez avec le bouton droit
sur Sites, et choisissez
Nouveau Site
3. Donnez le nom du site
4. OK deux fois
Pour créer un objet de
sous-réseau :
1. Ouvrez la MMC Sites et
Services AD
2. Dans l'arborescence,
double cliquez sur Sites, et
cliquez bouton droit sur
Masque de sous réseau
choisissez Nouveau Sous
Réseau
3. Saisissez le sous réseau
et choisissez le site
associé, puis validez.
|
Q16
- Comment déplacer un contrôleur de domaine vers un nouveau site
?
-
toutwindows.com |
Pour
déplacer un contrôleur dans
un site différent, il suffit
de le déplacer dans Sites et
services AD :
1. Ouvrez la MMC Sites et
Services AD
2. Dans l'arborescence,
double cliquez sur Sites,
puis le site qui contient le
contrôleur
3. Sélectionnez le
contrôleur à déplacer puis
cliquez avec le bouton droit
4. choisissez Déplacer
5. Sélectionner le site de
destination puis validez
|
Q17
- Comment créer et configurer des liens entre sites ?
-
- http://www.toutwindows.com |
Les connexions entre sites
sont importantes car elles
permettent de répliquer les
informations de AD.
Lorsqu'on configure un lien
entre deux sites, on définit
les propriétés incluant les
intervalles de réplication,
la plannification et les
associations de sites.
Procédure en Anglais
|
Q18 - Comment
gérer les topologies de sites ?
- toutwindows.com |
Procédure en Anglais
|
Q19
- Comment transférer le rôle de contrôleur de schéma ?
-
toutwindows.com |
Transfert du rôle Contrôleur de schéma
- Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc dans la zone Ouvrir, puis cliquez sur OK.
- Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
- Cliquez sur Ajouter.
- Cliquez sur Schéma Active Directory, cliquez sur Ajouter, cliquez sur Fermer, puis cliquez sur OK.
- Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Changer le contrôleur de domaine.
- Cliquez sur Spécifier un nom, tapez le nom du contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
- Cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d'opérations.
- Cliquez sur Spécifier un nom, tapez le nom du contrôleur de domaine qui doit détenir le rôle de contrôleur de schéma, puis cliquez sur OK.
- Dans l'arborescence de la console, cliquez avec le bouton droit sur Schéma Active Directory, puis cliquez sur Maître d'opérations.
- Cliquez sur Modifier.
- Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.
|
Q20
- Comment transférer le rôle Maître d'attribution de noms de
domaine ? -
toutwindows.com |
- Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Domaines et approbations Active Directory.
- Cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
REMARQUE : Vous devez effectuer cette étape si vous ne vous trouvez pas sur le contrôleur de domaine vers lequel vous voulez transférer le rôle. Vous devez pas effectuer cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous voulez transférer le rôle.
- Effectuez une des actions suivantes :
- Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle, puis cliquez sur OK.
-ou-
- Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
- Dans l'arborescence de la console, cliquez avec le bouton droit sur Domaines et approbations Active Directory, puis cliquez sur Maître d'opérations.
- Cliquez sur Modifier.
- Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.
|
Q21
- Comment transférer les rôles Maître RID, Émulateur PDC et
Contrôleur d'infrastructure ?
-
http://www.ToutWindows.com |
Transfert des rôles Maître RID, Émulateur PDC et Contrôleur d'infrastructure
- Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs Active Directory.
- Cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, puis cliquez sur Se connecter au contrôleur de domaine.
REMARQUE : Vous devez effectuer cette étape si vous ne vous trouvez pas sur le contrôleur de domaine vers lequel vous voulez transférer le rôle. Vous devez pas effectuer cette étape si vous êtes déjà connecté au contrôleur de domaine dont vous voulez transférer le rôle.
- Effectuez une des actions suivantes :
- Dans la zone Entrez le nom d'un autre contrôleur de domaine, tapez le nom du contrôleur de domaine qui va détenir le nouveau rôle, puis cliquez sur OK.
-ou-
- Dans la liste Ou sélectionner un contrôleur de domaine disponible, cliquez sur le contrôleur de domaine qui va être le nouveau détenteur du rôle, puis cliquez sur OK.
- Dans l'arborescence de la console, cliquez avec le bouton droit sur Utilisateurs et ordinateurs Active Directory, pointez sur Toutes les tâches, puis cliquez sur Maître d'opérations.
- Cliquez sur l'onglet approprié pour le rôle que vous voulez transférer (RID, PDC ou Infrastructure), puis cliquez sur Modifier.
- Cliquez sur OK pour confirmer que vous voulez transférer le rôle, puis cliquez sur Fermer.
|
Q22
- Comment sauvegarder Active Directory ?
-
http://www.ToutWindows.com |
AD est sauvegardé lorsque vous effectuez une sauvegarde de l'état du Système, avec l'accessoire de sauvegarde fourni avec Windows.
- Cliquez sur Démarrer, pointez sur Programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
- Cliquez sur l'onglet Sauvegarde.
- Activez la case à cocher État du système (tous les composants à sauvegarder figurent dans le volet droit ; vous ne pouvez pas sélectionner chaque élément individuellement).
REMARQUE : Au cours de la sauvegarde de l'état système, vous devez choisir de sauvegarder le dossier Winnt\Sysvol. Vous devez également sélectionner cette option au cours de la restauration pour que le volume système fonctionne après la récupération.
Les informations suivantes s'appliquent uniquement aux contrôleurs de domaine. La restauration des serveurs membres est identique, si ce n'est qu'elle s'effectue en mode normal.
Si l'une des conditions suivantes n'est pas satisfaite, la restauration de l'état système n'a pas lieu. Le programme de sauvegarde tente de restaurer l'état système, mais échoue.
- La lettre du lecteur sur lequel le dossier %RacineSystème% figure doit être identique à celle utilisée lors de la sauvegarde.
- Le dossier %RacineSystème% doit être identique à celui utilisé lors de la sauvegarde.
- Si le volume système ou d'autres bases de données Active Directory se trouvent sur un autre volume, ils doivent également exister et comporter les mêmes lettres de lecteur. La taille du volume n'a pas d'importance.
|
Q23 - Comment restaurer Active Directory
?
-
http://www.ToutWindows.com |
Il existe différentes méthodes de restauration, à choisir en fonction de l'état de votre AD :
Normale : si vous n'avez perdu qu'un DC, dans ce cas vous devez le réinstaller puis restaurer les données
Authoritaire : avec plusieurs DC, pour pouvoir sauvegarder ce que vous désirez.
Comment faire une restauration Normale :
- Pour restaurer l'état système sur un contrôleur de domaine, commencez par démarrer l'ordinateur en mode de restauration des services d'annuaire. Pour ce faire, redémarrez l'ordinateur et appuyez sur la touche F8 lorsque le menu Démarrage s'affiche.
- Choisissez Mode Restauration des services d'annuaire.
- Choisissez l'installation Windows 2000 à restaurer, puis appuyez sur ENTRÉE.
- À l'invite de connexion, indiquez les références de connexion du mode Restauration des services d'annuaire que vous aviez spécifiées au cours du processus Dcpromo.exe.
- Cliquez sur OK pour confirmer que vous utilisez le mode sans échec.
- Cliquez sur Démarrer, pointez sur Programmes, Accessoires, Outils système, puis cliquez sur Sauvegarde.
- Cliquez sur l'onglet Restaurer.
- Cliquez sur le support de sauvegarde approprié et l'état système à restaurer.
REMARQUE : Au cours de la restauration, vous devez également sélectionner le dossier Winnt\Sysvol pour que le volume système fonctionne après la récupération. Assurez-vous que l'option avancée de restauration des points de jonction et des données est également sélectionnée avant la restauration. Ceci garantit que les points de jonction du volume système sont recréés.
- Dans la zone Restaurer les fichiers vers, cliquez sur Emplacement d'origine.
REMARQUE : Lorsque vous choisissez de restaurer un fichier dans un autre emplacement ou dans un seul fichier, toutes les données de l'état système ne sont pas restaurées. Ces options servent principalement aux fichiers de démarrage ou aux clés du Registre.
- Cliquez sur Démarrer.
- Une fois la restauration terminée, redémarrez l'ordinateur.
Comment faire une Restauration autoritaire d'objet dans Active Directory (authoritative ) :
Si vous ne souhaitez pas répliquer les modifications intervenues après la dernière opération de sauvegarde, vous devez procéder à une restauration forcée ou autoritaire. Par exemple, si vous avez supprimé, par inadvertance, des utilisateurs, des groupes ou des unités d'organisations et si vous voulez restaurer le système afin de récupérer et répliquer les objets supprimés.
N'effectuez jamais une restauration autoritaire de plusieurs contrôleurs de domaine en même temps !.
La restauration autoritaire d'un contrôleur de domaine recopie : AD (fichier NTDS), le Registre, le volume SYSVOL, les fichiers de démarrage(BOOT), la base de données COM+ et si il est installé le serveur des certificats.
Nous allons procéder à la restauration autoritaire d’une OU qui à été effacée par erreur, en utilisant la dernière sauvegarde du DC
1. Redémarrez le contrôleur de domaine
2. Lorsqu'on vous le propose, appuyez sur la touche F8 lors du démarrage du serveur
3. Dans le menu sélectionnez Mode restauration Active Directory
4. Ouvrez une session en tant qu’administrateur avec le mot de passe que vous avez entré lors de l'installation d'Active Directory.
5. Ensuite restaurer à partir de votre dernière sauvegarde l’état du système (soit ntbackup,BackupExec, ...). Faire attention de toujours remplacer le fichier %windir%\sysvol qui fait partie de l’état du système sur le disque.
6. Une fois la restauration terminée quittez le gestionnaire de sauvegardes
7. Répondre NON à la question "Voulez vous redémarrer votre ordinateur maintenant ?"
8. A l'invité de commande tapez ntdsutil
9. A l'invité de commande de ntdsutil, entrez : authoritative restore
10. tapez ensuite : restore subtree par exemple : OU=……,DC=support,DC=mtoo,DC=net
Vous pouvez utiliser la commande . restore database pour restaurer l’intégralité de la base donnée
12. Quittez ntdsutil en tapant à deux reprises la commande Quit
13. Redémarrez le serveur Le redémarrage peut durer 15 a 30 minutes
14. Pour vous assurer d’avoir les fichiers les plus récents , Attendez que le Sysvol soit
publié et copiez par dessus le volume sysvol d'un autre contrôleur qui n’a pas été restauré
15. Vérifiez l’existence de l’unité d’organisation que vous venez de restaurez et ce qu’elle contient
|
Q24 - Comment passer de Windows Server
2000 à Windows Server 2003 ? -
http://www.ToutWindows.com |
La mise à niveau de 2000 vers 2003 fonctionne bien et est plus simple que la mise à niveau depuis NT4, il suffit pour cela de suivre le mode opératoire décrit dans la fiche ci-jointe :Comment faire pour mettre à niveau des contrôleurs de domaine Windows 2000
vers Windows Server 2003
http://support.microsoft.com/default.aspx?scid=kb;fr;325379
En résumé, il faut préparer la foret et le domaine à la prise en charge des contrôleurs de domaine Windows 2003 :
adprep \forestprep sur le schema master de la foret
adprep \domainprep sur l'infrastructure master du domaine en question
Puis installer un serveur membre sous Windows 2003 dans le domaine et le promouvoir au rôle de DC.
Il faut ensuite transferer les roles FSMO sur la nouvelle machine avant d'enlever l'ancienne : cf
Q19 - Comment transférer le
rôle de contrôleur de schéma ?,
Q20 - Comment transférer le
rôle Maître d'attribution de noms de domaine ?
, et Q21 - Comment transférer les rôles Maître RID,
Émulateur PDC et Contrôleur d'infrastructure ?
|
|
|
|
Q30
- Comment déléguer l'autorité pour créer et gérer des objets de
stratégie de groupe ? |
Les
administrateurs peuvent
déléguer l'autorité pour
créer et gérer des objets
Stratégie de groupe.
- Créez
une unité
d'organisation, puis
créez un objet Stratégie
de groupe directement
lié à cette unité
d'organisation. Pour ce
faire, cliquez sur
Propriétés
dans le menu contextuel
de l'unité
d'organisation, cliquez
sur l'onglet
Stratégie de groupe
dans la boîte de
dialogue Propriétés,
puis cliquez sur le
bouton Nouveau.
Une fois l'objet
Stratégie de groupe
créé, lancez l'Assistant
Délégation de contrôle.
Ce dernier propose une
procédure pas à pas
permettant de déléguer
facilement et avec
beaucoup de précision
des fonctionnalités
spécifiques.
REMARQUE :
Pour démarrer
l'Assistant Délégation
de contrôle,
sélectionnez l'unité
d'organisation
appropriée, puis cliquez
dessus avec le bouton
droit. Sélectionnez
ensuite Délégation de
contrôle. Cela lance
l'Assistant Délégation
de contrôle.
-
Cliquez sur
Propriétés dans
le menu contextuel de
l'objet Stratégie de
groupe, puis cliquez sur
l'onglet
Sécurité pour
accéder directement aux
paramètres de sécurité
de l'objet Stratégie de
groupe concerné. Ajoutez
votre utilisateur qui
n'est pas un
administrateur à la
liste des utilisateurs
pour lesquels la
sécurité est définie.
-
Attribuez à votre
utilisateur le privilège
Contrôle total -
Autoriser. Ce
privilège permet à
l'utilisateur d'écrire
dans l'objet Stratégie
de groupe, ainsi que de
modifier les
autorisations de
sécurité définies sur ce
dernier. Si vous
souhaitez empêcher cet
utilisateur de définir
la sécurité, vous pouvez
choisir de lui octroyer
uniquement
l'autorisation
Écriture - Autoriser.
Vous pouvez aussi
empêcher l'utilisateur
d'appliquer cette
stratégie en désactivant
le privilège
Appliquer la stratégie
de groupe - Autoriser.
- Pour
simplifier
l'administration pour
l'utilisateur, lancez la
console MMC (Mmc.exe) et
ajoutez le composant
logiciel enfichable
Stratégie de
groupe.
Naviguez jusqu'à l'objet
Stratégie de groupe que
vous configurez pour la
délégation, puis
ajoutez-le. Une fois
cette session MMC
correctement configurée,
enregistrez-la et
donnez-la à
l'utilisateur.
L'utilisateur peut alors
utiliser et administrer
l'objet Stratégie de
groupe sans aucune
configuration
supplémentaire.
|
Q50
- Impossible d'ajouter un nouveau DC dans un
domaine, pourquoi ?
-
http://www.ToutWindows.com |
Voici
différents points à
vérifier :
1. Vérifiez que le
serveur se réfère
bien au DNS qui
héberge AD
2. Ouvrez le console
DNS, et vérifiez que
vous voyez bien la
zone de votre
domaine
3. Vérifiez les
propriétés de cette
zone, qu'elle
accepte les mises à
jour dynamiques
4. Vérifiez la
présence de 4
fichiers et de
quelques
enregistrements dans
cette zone (_MSDCS,
_SITES, _TCP, _UDP)
.
5. Lancez IPconfig /registerdns
6. Lancez net stop
netlogon puis net
start netlogon (cela
force le service
netlogon à
enregistrer de
nouveau ses
enregistrements SRV
dans la zone DNS.
Ces enregistrements
seront dans %windir%\system32\config\netlogon.dns).
7. Re vérifiez les
zones DNS comme à
l'étape 4.
8. Si les zones ne
sont pas la, essayez
netdiag.exe /fix
(support tools) |
|
Q51 -
L'ouverture de session est très lente, pourquoi ? -
http://www.ToutWindows.com |
Lorsque vous
ouvrez une session dans un
domaine, votre PC a besoin
de contacter un ou plusieurs
serveurs. La configuration
réseau doit donc être
correcte :
1. vérifiez
que le PC se réfère bien au
DNS utilisé par Active
Directory, si votre PC à
accès à internet, il ne doit
pas envoyer ses requêtes
directement au fournisseur
d'accès internet, c'est le
serveur DNS de votre réseau
qui doit rediriger les
requêtes, voir la page de
configuration DNS
2.
Vérifiez les autres
paramètres de votre
configuration IP :
Etes vous dans le même sous
réseau que le serveur,
utilisez vous le même masque
?
3.
Vérifiez votre serveur DNS :
_ s'il ne s'agit pas d'un
serveur Microsoft, vérifiez
les pré requis
ici
_ si c'est un serveur
Microsoft, vérifiez que
celui-ci
, lancez un
dcdiag et un netdiag pour
avoir des diagnostics plus
précis
4. Si vous
utilisez un serveur DHCP,
vérifiez celui-ci :
donne-t-il des paramètres
réseau (IP, masque, routeur,
DNS) correct, plus d'infos
ici
|
-
http://www.ToutWindows.com |
|
|
|
|
|