DÉCOUVERTE D'ACTIVE DIRECTORY |
|||
|
|
NB : si vous recherchez des informations plus récentes, cette page a été réactualisée ici : http://www.toutwindows.com/ads-decouverte Active Directory Services a été la grande nouveauté de Windows 2000, consolidé dans Windows Server 2003, il s'agit en fait d'un service d'annuaires.
Ce service d'annuaires permet l'enregistrement hiérarchique des informations à l'aide d'entités telles que les domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites. L'objectif d'AD est de fournir un service ouvert et interconnectable à d'autres produits, souvent appelé par Microsoft l'interopérabilité. ADS est très étroitement lié à DNS, et par conséquent les conventions de nommage des PC et ressources réseau utilisent la même structure : à chaque domaine AD corresponds un domaine DNS (ex: organisation.com) et tous les PC aussi (monPC.organisation.com). Active Directory utilise des requêtes LDAP (Lightweight Directory Access Protocol) pour communiquer
AD est composé d'objets, eux mêmes faisant partie d'un schéma. Chaque objet possède un nom complet LDAP (par exemple, mailAddress et machinePasswordChangeInterval) et un nom commun (SMTP-Mail-Address et Machine-Password-Change-Interval pour les deux exemples ci-dessus) et un Identificateur d'objet (OID) unique attribué par l'ISO. Conventions d'affectation de noms LDAP et correspondances dans Active Directory : LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets
Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler le nom RDN d'un objet sont appelés attributs d'affectation de nom. Représentant le chemin complet vers un
objet, composé du nom de l'objet et de tous ses objets parents jusqu'à
la racine du domaine, le nom unique permet d'identifier un objet unique
dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base
de données Active Directory et contient une référence à son parent. Au
cours d'une opération LDAP, le nom unique est construit entièrement en
suivant les références à la racine. Dans un nom unique LDAP complet, le
nom RDN de l'objet à identifier commence sur la gauche avec le nom de la
feuille et se termine sur la droite avec le nom de la racine, comme le
montre l'exemple suivant : Noms d'URL LDAP Active Directory prend en charge
l'accès de tous les clients LDAP à l'aide du protocole LDAP. Une telle
URL est composée du préfixe «LDAP», du nom du serveur contenant les
services Active Directory, suivi du nom attribué à l'objet (le nom
unique). Par exemple : Noms canoniques LDAP de Active Directory Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom
Windows 2000 attribue aussi un SID à chaque objet sécurité (nom utilisateur, groupe et ordinateur) GUID d'objets Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change jamais. Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une base de données Microsoft SQL Server™), vous devez utiliser l'attribut objectGUID. Noms UPN Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est indépendant de son nom unique, si bien que le déplacement et la modification du nom de l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une liste dans la boîte de dialogue d'ouverture de session. Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le caractère @ puis le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entité de sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par défaut nomUtilisateur@NomDomaineDns. Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par départements et régions, les noms UPN par défaut peuvent s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être ventes.coteouest.company.com. Le nom d'ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.company.com. Au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d'utiliser votre nom de domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre exemple devient alors utilisateur@company.com. Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans l'exemple précédent, utilisateur@ventes.coteouest.company.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ company.com). L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les suffixes sont répertoriés dans l'ordre suivant :
Noms de comptes SAM Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appelé «Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000)». Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine. Mise à jour de l'annuaire : La mise à jour s'appelle une publication. Couramment Active Directory est utilisé pour des publications de partage, afin de partager un vloume, ou des publications d'imprimantes. Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire des imprimantes sur des serveurs d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe Nettoyage des imprimantes de bas niveau détermine la manière dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible. Pour publier une information dans Active Directory celle ci doit être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand elle doit être facilement accessible. Elle doit aussi être relativement statique et structurée. Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma Active Directory en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format). L'outil Schéma Active Directory, fourni par Microsoft conçu à des fins de développement et de test, vous permet d'afficher et de modifier le schéma Active Directory. Cette opération reste une opération délicate et avancée. Domaines : arborescences, forêts, approbations et unités d'organisation Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory permet de gérer les domaines. Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :
Dans Active Directory, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et utilise ses propres serveurs DNS. La relation parent-enfant entre domaines d'une même arborescence est une relation d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine parent ne sont pas automatiquement ceux des domaines enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines enfants. Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l'efficacité du réseau en permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs domaines. Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d'approbation transitive Il est donc possible d'établir des relations d'approbation entre toutes les arborescences de la forêt. Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées qu'une seule fois pour affecter tous les domaines. Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car chaque forêt que vous créez entraîne une surcharge de travail de gestion. Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer un enfant. La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com. Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer explicitement les deux types de relations d'approbation suivants : Les approbations raccourcies : qui permettent à deux domaines de 2 arbres différents mais dans le même forêt de s'approuver de manière unidirectionnelle ou bi directionnelle. Les approbations externes : permettent d'établir des relations entre deux arbres non reliés ou vers des domaines NT4. Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows 2000, les relations d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous devez créer des approbations externes Windows 2000. Pour établir explicitement une relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory. Les unités d'organisation vous permettent essentiellement de déléguer l'autorité administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs administratifs, la structure que vous créez reflétera probablement davantage votre modèle administratif que l'organisation technique de votre entreprise. Les sites permettent de regrouper les utilisateur par entité physique : ceci permet d'utiliser la bande passante et les sous réseaux IP au mieux.
Pour transformer un serveur en contrôleur de domaine, il suffit d'installer Active Directory. La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou l'ajout de contrôleurs de domaine supplémentaires à un domaine existant. Sous ACS tous les contrôleurs de domaines sont identiques, il n'y a plus de PDC, BDC mais des serveurs homologues. Depuis Windows 2000, on introduit la notion de catalogue global, une base de données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des requêtes. Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt AD et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le processus d'authentification d'ouverture de session (il détermine le groupe d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour l'ouverture de session. Rôles de maître d'opérations Lorsque vous créez le premier domaine d'une nouvelle forêt, cinq rôles sont assignés automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un ou de plusieurs domaines, vous pouvez ré attribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres dans chaque domaine d'une forêt. Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :
Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :
Administration : Composants logiciels enfichables Active Directory voir la page Outils.
Délégation : Active Directory permet la délégation d'un certain nombre de droits à des groupe d'utilisateurs, jusqu'au niveau de l'unité d'organisation du site ou du domaine.
Stratégie de groupe Dans Windows NT 4.0, vous utilisiez l'éditeur de stratégie système pour définir les configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme plus large de composants gérables par les administrateurs dans l'environnement utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des utilisateurs) et une redirection de dossiers spéciaux. Tâches exécutées à l'aide des outils Active Directory et Stratégie de groupe
Outils de ligne de commande Active DirectoryLes administrateurs avancés et les spécialistes de la maintenance réseau peuvent également utiliser toute une série d'outils de ligne de commande pour configurer, administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de support et sont disponibles sur le CD-ROM de Windows dans le dossier \SUPPORT\RESKIT. Ils sont décrits dans le tableau 6. Voir le détail dans la page Outils
Active Directory™ Migration Tool : Cet outil est fourni par Microsoft en téléchargement.
Active Directory est une innovation majeure apportée par Windows 2000. Les potentiels laissés par active directory nécessitent un refonte des applications et une connaissance approfondie de la part des développeurs et administrateurs mais apportent enfin un véritable annuaire et les services nécessaires à l'administration d'un réseau Windows et des autres applications. |
Sommaire | Blog | www.MToo.net | Météo | Photos | Prestations | A propos |