Logo ToutWindows.com

DÉCOUVERTE D'ACTIVE DIRECTORY 
Retour au sommaire AD


  Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

   Retour accueil  


             Sommaire :
Menu

 NB : si vous recherchez des informations plus récentes, cette page a été réactualisée ici : 
http://www.toutwindows.com/ads-decouverte

Active Directory Services a été la grande nouveauté de Windows 2000, consolidé dans Windows Server 2003, il s'agit en fait d'un service d'annuaires.

1 - Principe

Ce service d'annuaires permet l'enregistrement hiérarchique des informations à l'aide d'entités telles que les domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites.

L'objectif d'AD est de fournir un service ouvert et interconnectable à d'autres produits, souvent appelé par Microsoft l'interopérabilité. 

ADS est très étroitement lié à DNS, et par conséquent les conventions de nommage des PC et ressources réseau utilisent la même structure : à chaque domaine AD corresponds un domaine DNS (ex: organisation.com) et tous les PC aussi (monPC.organisation.com).

Active Directory utilise des requêtes LDAP (Lightweight Directory Access Protocol) pour communiquer


Figure - Comparaison des racines des espaces de noms DNS et Active Directory (source Microsoft) 

AD est composé d'objets, eux mêmes faisant partie d'un schéma. Chaque objet possède un nom complet LDAP (par exemple, mailAddress et machinePasswordChangeInterval) et un nom commun (SMTP-Mail-Address et Machine-Password-Change-Interval pour les deux exemples ci-dessus) et un Identificateur d'objet (OID) unique attribué par l'ISO.

Conventions d'affectation de noms LDAP et correspondances dans Active Directory :

LDAP fournit des noms uniques (DN) et des noms uniques relatifs (RDN) aux objets

Convention d'affectation des
noms DN & RDN LDAP
Convention d'affectation de noms correspondante dans Active Directory
cn=nom commun cn=nom commun
(classe d'objet utilisateur)
ou=unité d'organisation ou=unité d'organisation
(classe d'objet unité d'organisation)
o=organisation dc=composant de domaine
(classe d'objet DNS de domaine)
c=pays (non pris en charge)

Remarque cn=, ou=, … sont des types d'attributs. Les attributs permettant de détailler le nom RDN d'un objet sont appelés attributs d'affectation de nom

Représentant le chemin complet vers un objet, composé du nom de l'objet et de tous ses objets parents jusqu'à la racine du domaine, le nom unique permet d'identifier un objet unique dans l'arborescence de domaines. Chaque nom RDN est stocké dans la base de données Active Directory et contient une référence à son parent. Au cours d'une opération LDAP, le nom unique est construit entièrement en suivant les références à la racine. Dans un nom unique LDAP complet, le nom RDN de l'objet à identifier commence sur la gauche avec le nom de la feuille et se termine sur la droite avec le nom de la racine, comme le montre l'exemple suivant :
cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Le nom RDN de l'objet Utilisateur MDurand est cn=MDurand, celui de Widget (l'objet parent de MDurand) est ou=Widgets, etc.

Noms d'URL LDAP
 

Active Directory prend en charge l'accès de tous les clients LDAP à l'aide du protocole LDAP. Une telle URL est composée du préfixe «LDAP», du nom du serveur contenant les services Active Directory, suivi du nom attribué à l'objet (le nom unique). Par exemple :
LDAP://serveur1.France.NomOrg.com/cn=MDurand, ou=Widgets,ou=Fabrication,dc=France,dcNomOrg,dc=com
 

Noms canoniques LDAP de Active Directory

Par défaut, les outils d'administration de Active Directory affichent les noms des objets au format de nom canonique, qui répertorie les noms RDN à partir de la racine, sans les descripteurs d'attribut d'affectation de nom

Nom unique LDAP : cn=MDurand,ou=Widgets,ou=Fabrication,dc=France,dcNomOrg.dc=com
Nom canonique : France.NomOrg.com/Fabrication/Widgets/MDurand

Windows 2000 attribue aussi un SID à chaque objet sécurité (nom utilisateur, groupe et ordinateur)

GUID d'objets

Parallèlement à son nom unique LDAP, chaque objet Active Directory possède un identificateur globalement unique (GUID), un numéro à 128 bits assigné par l'Agent système d'annuaire lors de la création de l'objet. Le GUID, qui ne peut être ni modifié ni supprimé, est enregistré dans un attribut, objectGUID, requis pour chaque objet. À la différence des noms uniques et RDN susceptibles d'être modifiés, le GUID ne change jamais.

Si vous enregistrez une référence à un objet Active Directory dans un magasin de données externe (par exemple, une base de données Microsoft SQL Server™), vous devez utiliser l'attribut objectGUID.

Noms UPN

Dans Active Directory, chaque compte d'utilisateur possède un nom UPN (nom utilisateur principal) au format <utilisateur>@<nom-domaine-DNS>. Un nom UPN est un nom convivial assigné par un administrateur. Il est plus court que le nom unique LDAP utilisé par le système et plus facile à mémoriser. Le nom UPN d'un objet Utilisateur est indépendant de son nom unique, si bien que le déplacement et la modification du nom de l'objet n'affectent pas le nom d'ouverture de session de l'utilisateur. Lors d'une connexion par nom UPN, les utilisateurs ne sont plus invités à sélectionner un domaine dans une liste dans la boîte de dialogue d'ouverture de session.

Les noms UPN se composent de trois parties : le préfixe UPN (nom d'ouverture de session de l'utilisateur), le caractère @ puis le suffixe UPN (en général, un nom de domaine). Le suffixe UPN par défaut d'un compte d'utilisateur est le nom DNS du domaine Active Directory dans lequel se trouve le compte. Par exemple, le nom UPN de l'utilisateur Marc Durand, qui possède un compte d'utilisateur dans le domaine NomOrg.com (si NomOrg.com est le seul domaine de l'arborescence), est MDurand@NomOrg.com. C'est un attribut (userPrincipalName) de l'objet entité de sécurité. Si l'attribut userPrincipalName d'un objet Utilisateur n'a pas de valeur, l'objet a le nom UPN par défaut nomUtilisateur@NomDomaineDns.

Si votre organisation possède une arborescence de domaines composée de nombreux domaines, organisés par départements et régions, les noms UPN par défaut peuvent s'avérer encombrants. Par exemple, le nom UPN par défaut d'un utilisateur pourrait être ventes.coteouest.company.com. Le nom d'ouverture de session des utilisateurs dans ce domaine serait utilisateur@ventes.coteouest.company.com. Au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN, vous pouvez simplifier l'administration et les processus de connexion utilisateur en fournissant un suffixe UPN unique pour tous les utilisateurs. (Le suffixe UPN est utilisé uniquement au sein du domaine Windows 2000 et il ne correspond pas nécessairement à un nom de domaine DNS valide.) Vous pouvez décider d'utiliser votre nom de domaine de messagerie comme suffixe UPN — nomUtilisateur@nomEntreprise.com. Le nom UPN de l'utilisateur de notre exemple devient alors utilisateur@company.com.

Lors d'une ouverture de session par nom UPN, un catalogue global peut s'avérer nécessaire, selon l'identité de l'utilisateur qui se connecte et l'appartenance de l'ordinateur de l'utilisateur au domaine. C'est le cas si l'utilisateur se connecte à l'aide d'un nom UPN différent du nom par défaut et si le compte d'ordinateur de l'utilisateur se trouve dans un autre domaine que son compte d'utilisateur. C'est-à-dire si, au lieu d'accepter le nom de domaine DNS par défaut comme suffixe UPN (comme dans l'exemple précédent, utilisateur@ventes.coteouest.company.com), vous fournissez un suffixe UPN unique pour tous les utilisateurs (l'utilisateur a alors pour nom utilisateur@ company.com).

L'outil Domaines et approbations Active Directory permet de gérer les suffixes UPN d'un domaine. Les noms UPN sont assignés lors de la création d'un utilisateur. Si vous avez créé des suffixes supplémentaires pour un domaine, vous devez sélectionner le suffixe de votre choix dans une liste lorsque vous créez le compte d'utilisateur ou de groupe. Les suffixes sont répertoriés dans l'ordre suivant :

  • autres suffixes (s'il en existe, le dernier créé apparaît en tête de liste) ;

  • domaine racine ;

  • domaine actif.

Noms de comptes SAM

Un nom de compte SAM (Security Account Manager) est requis pour la compatibilité avec les domaines Windows NT 3.x et Windows NT 4.0. Dans l'interface utilisateur Windows 2000, un nom de compte SAM est appelé «Nom d'ouverture de session de l'utilisateur (avant l'installation de Windows 2000)».

Ces noms sont aussi parfois appelés noms plan car, contrairement aux noms DNS, ils ne sont pas affectés hiérarchiquement. Comme les noms SAM sont plan, chacun doit être unique dans le domaine.

Mise à jour de l'annuaire :

La mise à jour s'appelle une publication. Couramment Active Directory est utilisé pour des publications de partage, afin de partager un vloume, ou des publications d'imprimantes. 

Vous pouvez également publier des imprimantes non-Windows 2000 (c'est-à-dire des imprimantes sur des serveurs d'impression autres que Windows 2000) dans Active Directory. Pour ce faire, utilisez l'outil Utilisateurs et ordinateurs Active Directory pour entrer le chemin UNC de l'imprimante. Vous pouvez aussi utiliser le script Pubprn.vbs inclus dans le dossier System32. La stratégie de groupe Nettoyage des imprimantes de bas niveau détermine la manière dont le service de nettoyage (suppression automatique d'imprimantes) traite les imprimantes situées sur des serveurs d'impression non-Windows 2000, lorsqu'une imprimante n'est pas disponible.

Pour publier une information dans Active Directory celle ci doit être utile ou intéressante pour une partie importante de la communauté des utilisateurs et quand elle doit être facilement accessible. Elle doit aussi être relativement statique et structurée.

Les développeurs et les administrateurs réseau expérimentés peuvent étendre dynamiquement le schéma Active Directory en définissant de nouvelles classes et de nouveaux attributs pour les classes existantes. Il est conseillé d'étendre le schéma Active Directory par programme, via l'interface ADSI (Active Directory Service Interface). Vous pouvez également utiliser l'utilitaire LDIFDE (LDAP Data Interchange Format).

L'outil Schéma Active Directory, fourni par Microsoft conçu à des fins de développement et de test, vous permet d'afficher et de modifier le schéma Active Directory. Cette opération reste une opération délicate et avancée.

Domaines : arborescences, forêts, approbations et unités d'organisation

Active Directory est constitué d'un ou de plusieurs domaines. La création du contrôleur de domaine initial dans un réseau crée également le domaine. Vous ne pouvez pas avoir de domaine sans au moins un contrôleur de domaine. Chaque domaine de l'annuaire est identifié par un nom de domaine DNS. L'outil Domaines et approbations Active Directory permet de gérer les domaines.

Les domaines sont utilisés pour réaliser les objectifs de gestion de réseau suivants :

  • Délimitation de la sécurité. Les domaines AD définissent une limite de sécurité. Les stratégies et les paramètres de sécurité ne passent pas d'un domaine à un autre. Active Directory peut inclure un ou plusieurs domaines, possédant tous leurs propres stratégies de sécurité.

  • Réplication des informations. Un domaine est une partition d'annuaire AD. Ces partitions sont les unités de réplication. Chaque domaine enregistre uniquement les informations concernant les objets qu'il contient. Chaque contrôleur d'un domaine peut recevoir les modifications apportées à des objets et répliquer ces modifications vers tous les autres contrôleurs du même domaine.

  • Application des stratégies de groupe. Un domaine représente une étendue possible de stratégie (les paramètres de stratégie de groupe peuvent aussi être appliqués à des unités d'organisation ou à des sites). L'application d'un obj

  • La Stratégie de groupe (GPO, Group Policy Object) du domaine définit la manière dont les ressources du domaine peuvent être configurées et utilisées. Par exemple, vous pouvez employer une stratégie de groupe pour contrôler les paramètres du bureau, comme par exemple le déploiement d'applications et de verrouillages. Ces stratégies sont appliquées uniquement au sein d'un même domaine. Elles ne sont pas transmises d'un domaine à un autre.

  • Structure du réseau. Comme un domaine Active Directory peut englober de nombreux sites et contenir des millions d'objets, la plupart des organisations n'ont pas besoin de créer de domaines distincts pour refléter leurs différents départements et divisions. Normalement, vous ne devriez pas avoir à créer d'autres domaines pour traiter des objets supplémentaires. Toutefois, certaines organisations requièrent plusieurs domaines pour prendre en charge, par exemple, des unités professionnelles indépendantes ou complètement autonomes qui ne veulent pas qu'une personne extérieure à leur unité dispose d'autorisations sur leurs objets. De telles organisations peuvent créer des domaines supplémentaires et les organiser en une forêt Active Directory. Il peut également être utile de séparer le réseau en domaines distincts si deux parties de votre réseau sont séparées par un lien si lent que vous refusez que le trafic de réplication l'emprunte. (Dans le cas de liens lents encore capables de prendre en charge le trafic de réplication de manière moins fréquente, vous pouvez configurer un simple domaine avec plusieurs sites).

  • Délégation de l'autorité d'administration. Sur les réseaux Windows 2000/2003, vous pouvez déléguer l'autorité d'administration d'unités d'organisation et de domaines individuels, ce qui réduit le nombre requis d'administrateurs disposant d'une autorité d'administration élevée. Comme un domaine est une limite de sécurité, les autorisations d'administration d'un domaine sont restreintes au domaine par défaut. Par exemple, un administrateur ayant l'autorisation de définir les stratégies de sécurité d'un domaine n'est pas automatiquement autorisé à faire de même dans tout autre domaine de l'annuaire.

Dans Active Directory, une arborescence est un ensemble d'un ou de plusieurs domaines avec noms contigus. S'il existe plusieurs domaines, vous pouvez les associer en arborescences. Il est parfois nécessaire de posséder plusieurs arborescences dans une forêt ; par exemple, si une division de votre organisation possède son propre nom DNS et utilise ses propres serveurs DNS. 

La relation parent-enfant entre domaines d'une même arborescence est une relation d'affectation de nom et une relation d'approbation. Les administrateurs d'un domaine parent ne sont pas automatiquement ceux des domaines enfants et les stratégies définies dans un domaine parent ne sont pas appliquées automatiquement aux domaines enfants.

Une forêt Active Directory est une base de données distribuée, composée de nombreuses bases de données partielles enregistrées sur des ordinateurs différents. La distribution de la base de données augmente l'efficacité du réseau en permettant de placer les données là où elles sont le plus utilisées. Les partitions de la base de données de la forêt sont définies par des domaines, ce qui signifie qu'une forêt est composée d'un ou plusieurs domaines.

Le domaine racine de chaque arborescence de domaines de la forêt établit une relation d'approbation transitive Il est donc possible d'établir des relations d'approbation entre toutes les arborescences de la forêt.

Souvent, une forêt unique, simple à créer et à entretenir, suffit à répondre aux besoins d'une organisation. Dans ce cas, les utilisateurs n'ont pas besoin de connaître la structure d'annuaire car ils voient tous un annuaire unique par l'intermédiaire du catalogue global. Lors de l'ajout d'un nouveau domaine dans la forêt, aucune configuration d'approbation supplémentaire n'est requise. En effet, tous les domaines d'une même forêt sont connectés par des relations d'approbation transitives bidirectionnelles. Dans une forêt de plusieurs domaines, les modifications de configuration n'ont besoin d'être appliquées qu'une seule fois pour affecter tous les domaines.

Ne créez pas de forêt supplémentaire, à moins que vous n'en ayez vraiment besoin, car chaque forêt que vous créez entraîne une surcharge de travail de gestion.

Important Il est facile d'ajouter de nouveaux domaines à une forêt. Toutefois, vous ne pouvez pas déplacer les domaines Windows 2000 Active Directory d'une forêt à une autre. Vous pouvez supprimer un domaine d'une forêt uniquement s'il ne possède pas de domaine enfant. Une fois que le domaine racine d'une arborescence a été défini, vous ne pouvez pas ajouter à la forêt un domaine avec un nom de niveau supérieur. Il est impossible de créer un parent pour un domaine existant ; vous pouvez uniquement créer un enfant.

La mise en œuvre d'arborescences de domaines et de forêts vous permet d'utiliser à la fois les conventions d'affectation de nom contigu et non contigu. Cette souplesse peut être utile, par exemple, dans des sociétés composées de divisions indépendantes qui veulent toutes conserver leur propre nom DNS, comme Microsoft.com et MSNBC.com.

Au-delà des approbations bidirectionnelles et transitives générées automatiquement à l'échelle de la forêt par le système d'exploitation Windows 2000, vous pouvez créer explicitement les deux types de relations d'approbation suivants :

Les approbations raccourcies : qui permettent à deux domaines de 2 arbres différents mais dans le même forêt de s'approuver de manière unidirectionnelle ou bi directionnelle.

Les approbations externes : permettent d'établir des relations entre deux arbres non reliés ou vers des domaines NT4.

Dans Windows NT 4.0 et les versions antérieures de ce système d'exploitation, les relations d'approbation sont unidirectionnelles et l'approbation est limitée aux deux domaines entre lesquels elle est établie (elle n'est pas transitive). Lorsque vous mettez à niveau un domaine Windows NT vers un domaine Windows 2000, les relations d'approbation unidirectionnelles entre ce domaine et tout autre domaine Windows NT sont maintenues. Si vous installez un nouveau domaine Windows 2000 et que vous voulez établir pour lui des relations d'approbation avec des domaines Windows NT, vous devez créer des approbations externes Windows 2000. Pour établir explicitement une relation d'approbation, vous devez utilisez l'outil Domaines et approbations Active Directory.

Les unités d'organisation vous permettent essentiellement de déléguer l'autorité administrative sur des jeux d'utilisateurs, de groupes et de ressources. Par exemple, vous pouvez créer une unité d'organisation qui contient tous les comptes d'utilisateur de votre société. Après avoir créé des unités d'organisation pour déléguer des pouvoirs d'administration, vous pouvez leur appliquer des paramètres de stratégie de groupe pour définir des configurations de bureau pour les utilisateurs et les ordinateurs. Dans la mesure où vous utilisez des unités d'organisation pour déléguer des pouvoirs administratifs, la structure que vous créez reflétera probablement davantage votre modèle administratif que l'organisation technique de votre entreprise.

Les sites permettent de regrouper les utilisateur par entité physique : ceci permet d'utiliser la bande passante et les sous réseaux IP au mieux.

2 - Mise en oeuvre

Pour transformer un serveur en contrôleur de domaine, il suffit d'installer Active Directory. La définition d'un serveur comme contrôleur de domaine à l'aide de l'Assistant Installation de Active Directory entraîne la création d'un domaine Windows 2000 ou l'ajout de contrôleurs de domaine supplémentaires à un domaine existant.

Sous ACS tous les contrôleurs de domaines sont identiques, il n'y a plus de PDC, BDC mais des serveurs homologues. 

Depuis Windows 2000, on introduit la notion de catalogue global, une base de données conservée sur un ou plusieurs contrôleurs de domaine. Il joue un rôle majeur dans la connexion des utilisateurs et le mécanisme des requêtes.

Par défaut, un catalogue global est créé automatiquement sur le contrôleur de domaine initial de la forêt AD et chaque forêt doit en posséder au moins un. Si vous utilisez plusieurs sites, vous voudrez peut-être affecter un contrôleur de domaine comme catalogue global sur chaque site, car un tel catalogue est nécessaire pour terminer le processus d'authentification d'ouverture de session (il détermine le groupe d'appartenance d'un compte) dans le cadre des domaines en mode natif. Les domaines en mode mixte, par contre, ne nécessitent aucune requête de catalogue global pour l'ouverture de session.

Rôles de maître d'opérations

Lorsque vous créez le premier domaine d'une nouvelle forêt, cinq rôles sont assignés automatiquement au premier contrôleur de ce domaine. Dans une forêt Active Directory de petite taille contenant un seul domaine et un seul contrôleur de domaine, ce dernier tiendra tous les rôles de maître d'opérations. Dans un réseau de plus grande taille, d'un ou de plusieurs domaines, vous pouvez ré attribuer ces rôles à un ou à plusieurs autres contrôleurs de domaine. Certains rôles doivent être tenus dans chaque forêt, d'autres dans chaque domaine d'une forêt.

Les deux rôles suivants doivent être uniques au niveau d'une forêt, ce qui signifie que seul l'un des deux peut être appliqué sur l'ensemble d'une forêt :

  • Contrôleur de schéma. Le contrôleur de domaine qui tient le rôle de contrôleur de schéma contrôle toutes les mises à jour et les modifications appliquées au schéma. Le schéma définit chaque objet (et ses attributs) qui peut être enregistré dans l'annuaire. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au contrôleur de schéma.

  • Maître d'affectation de nom de domaine. Le contrôleur de domaine qui tient le rôle de maître d'affectation de nom de domaine contrôle l'ajout et la suppression de domaines dans la forêt.

Les trois rôles suivants doivent être uniques au niveau de chaque domaine. Seul un rôle peut être tenu par domaine dans la forêt :

  • Maître RID (Relative ID). Le maître RID alloue des séquences d'identificateurs relatifs (RID) à chaque contrôleur de son domaine. Chaque fois qu'un contrôleur de domaine crée un objet Utilisateur, Groupe ou Ordinateur, il attribue à l'objet un identificateur unique de sécurité (SID). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les SID créés dans le domaine) et d'un identificateur relatif (unique pour chaque SID créé dans le domaine). Lorsque le contrôleur de domaine a épuisé son pool de RID, il en demande un autre au maître RID.

  • Émulateur PDC. Si le domaine contient des ordinateurs fonctionnant sans le logiciel client Windows 2000 ou des contrôleurs de domaine secondaires Windows NT, l'émulateur PDC (Primary Domain Controller) agit comme un contrôleur de domaine principal Windows NT. Il traite les changements de mots de passe client et réplique les mises à jour vers les contrôleurs BDC. L'émulateur PDC reçoit la réplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs du domaine. En cas d'échec d'authentification d'ouverture de session au niveau d'un autre contrôleur de domaine en raison d'un mot de passe incorrect, le contrôleur transmet la demande d'authentification à l'émulateur PDC avant de rejeter la tentative d'ouverture de session.

  • Maître d'infrastructure. Le maître d'infrastructure est responsable de la mise à jour de toutes les références croisées des domaines lors du déplacement d'un objet référencé par un autre. Par exemple, chaque fois que des membres de groupes sont renommés ou modifiés, le maître d'infrastructure met à jour les références des groupes aux utilisateurs. Lorsque vous renommez ou déplacez un membre d'un groupe (et que ce membre réside dans un autre domaine que le groupe), le groupe risque de ne pas contenir ce membre temporairement. Le maître d'infrastructure du domaine du groupe en question est responsable de la mise à jour du groupe, qui connaît ainsi le nouveau nom ou le nouvel emplacement du membre.(n'existe pas dans le cas d'un serveur unique).

Administration : Composants logiciels enfichables Active Directory voir la page Outils.

3 - Applications

Délégation :

Active Directory permet la délégation d'un certain nombre de droits à des groupe d'utilisateurs, jusqu'au niveau de l'unité d'organisation du site ou du domaine. 

Tâches courantes de domaine que vous pouvez déléguer

Tâches courantes d'unité d'organisation que vous pouvez déléguer

Associer un ordinateur à un domaine
Administrer les liens de stratégie de groupe
 

 

Créer, supprimer et administrer les comptes d'utilisateur
Réinitialiser les mots de passe des comptes d'utilisateur
Lire toutes les données utilisateur
Créer, supprimer et administrer les groupes
Modifier l'appartenance à un groupe
Administrer les imprimantes
Créer et supprimer des imprimantes
Administrer les liens de stratégie de groupe

Stratégie de groupe

Dans Windows NT 4.0, vous utilisiez l'éditeur de stratégie système pour définir les configurations utilisateur, groupe et ordinateur enregistrées dans la base de données du registre Windows NT. Dans Windows 2000, la stratégie de groupe définit une gamme plus large de composants gérables par les administrateurs dans l'environnement utilisateur. Parmi ces composants se trouvent des paramètres pour les stratégies de registre, des options de sécurité, des options de déploiement de logiciel, des scripts (pour le démarrage et l'arrêt des ordinateurs et pour la connexion et la déconnexion des utilisateurs) et une redirection de dossiers spéciaux.

Tâches exécutées à l'aide des outils Active Directory et Stratégie de groupe

Si vous souhaitez : Avec Windows NT 4.0, utilisez le composant suivant  Avec Windows 2000 ou 2003, utilisez le composant suivant :
installer un contrôleur de domaine Configuration Windows Assistant Installation de Active Directory (accessible à partir de Configurez votre serveur)
administrer des comptes d'utilisateur Gestionnaire des utilisateurs Utilisateurs et ordinateurs Active Directory
administrer des groupes Gestionnaire des utilisateurs Utilisateurs et ordinateurs Active Directory
administrer des comptes d'ordinateur Gestionnaire de serveur Utilisateurs et ordinateurs Active Directory
ajouter un ordinateur à un domaine Gestionnaire de serveurs Utilisateurs et ordinateurs Active Directory
créer ou administrer des relations d'approbation Gestionnaire des utilisateurs Domaines et approbations Active Directory
administrer une stratégie de compte Gestionnaire des utilisateurs Utilisateurs et ordinateurs Active Directory
administrer les droits de l'utilisateur Gestionnaire des utilisateurs Utilisateurs et ordinateurs Active Directory :
modifiez l'objet Stratégie de groupe du domaine ou de l'unité d'organisation contenant les ordinateurs auxquels les droits de l'utilisateur s'appliquent.
administrer une stratégie d'audit Gestionnaire d'utilisateurs Utilisateurs et ordinateurs Active Directory :
modifiez l'objet Stratégie de groupe attribué à l'unité d'organisation des contrôleurs de domaine.
appliquer des stratégies à des utilisateurs ou à des ordinateurs dans un site Éditeur de stratégie système Stratégie de groupe, accessible à partir du complément Sites et services Active Directory
appliquer des stratégies à des utilisateurs ou des ordinateurs dans un domaine Éditeur de stratégie système Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory
appliquer des stratégies à des utilisateurs ou à des ordinateurs dans une unité d'organisation Sans objet Stratégie de groupe, accessible à partir du complément Utilisateurs et ordinateurs Active Directory
utiliser des groupes de sécurité pour filtrer la portée d'une stratégie Sans objet Modifier l'entrée autorisation pour Appliquer la stratégie de groupe sous l'onglet Sécurité à la page Propriétés de l'objet Stratégie de groupe.

Outils de ligne de commande Active Directory

Les administrateurs avancés et les spécialistes de la maintenance réseau peuvent également utiliser toute une série d'outils de ligne de commande pour configurer, administrer et dépanner Active Directory. Ces outils sont connus sous le nom d'Outils de support et sont disponibles sur le CD-ROM de Windows dans le dossier \SUPPORT\RESKIT. Ils sont décrits dans le tableau 6.

Voir le détail dans la page Outils

4 - Outils

Active Directory™ Migration Tool :

Cet outil est fourni par Microsoft en téléchargement.

5 - Conclusions

Active Directory est une innovation majeure apportée par Windows 2000. Les potentiels laissés par active directory nécessitent un refonte des applications et une connaissance approfondie de la part des développeurs et administrateurs mais apportent enfin un véritable annuaire et les services nécessaires à l'administration d'un réseau Windows et des autres applications.

 
    
  Sommaire  |  Blog   |    www.MToo.net   |     Météo    |    Photos   |    Prestations    |    A propos  

   Retour accueil