Table des matières
Vue d'ensemble 1
Présentation d'Active Directory 2 Présentation multimédia : Concepts
du service Active Directory de Microsoft Windows 2000 9 Structure logique 10 Structure physique 19 Rôles des contrôleurs de domaine
spécifiques 22 Installation d'Active Directory 27
Atelier A : Installation
d'Active Directory 39 Vérification de l'installation
d'Active Directory 46
Module 9 : Installation
d'Active Directory
Vue d'ensemble
Présentation d'Active Directory
Structure logique
Structure physique
Rôles des contrôleurs de domaine spécifiques
Installation d'Active Directory
Vérification de l'installation d'Active Directory
Dans un réseau Microsoft® Windows® 2000, le service d'annuaire Active Directory™ fournit la structure et les fonctions nécessaires pour organiser, gérer et contrôler les ressources réseau. Pour administrer un réseau Windows 2000 ou en effectuer le support technique, vous devez comprendre l'objet ainsi que la structure d'Active Directory.
À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : décrire le rôle d'Active Directory dans Windows 2000 ;
décrire la structure logique d'Active Directory ; décrire la structure physique d'Active Directory ;
décrire les rôles des serveurs de catalogue global et des opérations principales simples dans Active Directory ;
installer Active Directory ;
vérifier l'installation d'Active Directory ; Objectif de la
diapositive
Donner une vue d'ensemble des sujets et des objectifs de ce module.
Introduction
Dans ce module, vous allez découvrir le rôle d'Active Directory au sein d'un réseau Windows 2000.
Présentation d'Active Directory
Définition d'Active Directory
Technologies prises en charge par Active Directory
Conventions de dénomination Active Directory
Active Directory et système DNS
Pour configurer et administrer un réseau Windows 2000, les professionnels de l'informatique doivent avoir une connaissance approfondie d'Active Directory.
La section suivante répond notamment aux questions formulées ci-dessous.
Quels sont les avantages offerts par l'utilisation d'Active Directory ? Quels standards Internet sont pris en charge par Active Directory ? Quelles sont les conventions de dénomination utilisées dans Active Directory dont vous devez tenir compte quand vous créez un réseau Windows 2000 ?
Quel est le rôle du système DNS dans Active Directory ? Objectif de la
diapositive Présenter les
fonctionnalités, les normes et les conventions de dénomination d'Active Directory, ainsi que sa relation avec le système DNS.
Introduction
Active Directory fait partie intégrante d'un réseau Windows 2000.
Définition d'Active Directory
Fonctionnalités du service d'annuaire Fonctionnalités Fonctionnalitésdudu
service
service d'annuaired'annuaire
Organiser
Gérer
Contrôler
Organiser
Gérer
Contrôler
Ressources Ressources
Gestion centralisée Gestion centralisée Gestion centralisée
Point d'administration unique
Les utilisateurs ouvrent une session une fois pour l'accès complet aux ressources de l'annuaire
Point d'administration unique
Les utilisateurs ouvrent une session une fois pour l'accès complet aux ressources de l'annuaire
Active Directory constitue le service d'annuaire d'un réseau Windows 2000.
Un service d'annuaire est un service réseau qui contient des informations sur les ressources réseau et les rend accessibles aux utilisateurs et aux applications.
Les services d'annuaire sont importants car ils permettent de nommer, décrire, localiser, gérer, accéder et sécuriser de manière cohérente les informations concernant les ressources réseau.
Fonctionnalités du service d'annuaire
Active Directory offre les fonctions d'un service d'annuaire, et permet notamment de centraliser l'organisation, la gestion et le contrôle d'accès aux ressources réseau. Grâce à Active Directory, la topologie physique et les protocoles du réseau sont transparents ; ainsi, un utilisateur connecté au réseau peut accéder à n'importe quelle ressource sans savoir où elle se trouve ou comment elle est connectée physiquement, comme dans le cas d'une imprimante.
Active Directory organise l'annuaire en sections qui permettent le stockage d'un grand nombre d'objets. Active Directory peut ainsi se développer au fur et à mesure de la croissance d'une société et vous permettre de passer d'un seul serveur (avec quelques centaines d'objets) à des milliers de serveurs (avec des millions d'objets).
Gestion centralisée
Un serveur Windows 2000 stocke dans Active Directory des informations relatives à la configuration du système, aux profils des utilisateurs et aux applications. Combiné au programme Stratégie de groupe, Active Directory permet aux administrateurs de gérer des postes de travail distribués, des services réseau et des applications à partir d'un emplacement central tout en utilisant une interface de gestion homogène. Les administrateurs réseau disposent également d'un moyen cohérent pour effectuer le suivi et la gestion des périphériques réseau, comme les routeurs.
Objectif de la diapositive
Expliquer le rôle d'Active Directory en tant que service d'annuaire réseau.
Introduction Les services d'annuaire contiennent des informations relatives aux ressources réseau.
Technologies prises en charge par Active Directory
DHCPDHCP
DNSDNS
DNS SNTPSNTPSNTP
LDAPLDAP LDAP
Kerberos Kerberos Kerberos X.509
X.509 X.509 TCP/IP
TCP/IP TCP/IP
LDIFLDIF LDIF Technologies Internet standard
Technologies Internet standard Technologies Internet standard
L'objectif d'Active Directory est de fournir une représentation homogène du réseau qui réduira considérablement le nombre d'annuaires et d'espaces de noms que doivent utiliser les administrateurs réseau et les utilisateurs. Active
Directory est spécialement conçu pour interagir avec d'autres annuaires et les gérer, quels que soient leur emplacement ou le système d'exploitation des ordinateurs sur lesquels ils sont stockés. Pour y parvenir, Active Directory offre une large prise en charge des standards et protocoles existants et fournit des interfaces de programmation d'application (API, Application Programming Interface) qui facilitent la communication avec les autres annuaires.
Le tableau suivant décrit les différentes technologies prises en charge par Active Directory, le rôle de chacune d'entre elles ainsi que des documents de référence :
Technologie Fonctions Document de référence
Protocole DHCP (Dynamic Host Configuration Protocol)
Gestion des adresses de réseau
RFC 2131
Protocole de mise à jour dynamique DNS
Gestion des noms d'hôte
RFC 2052 et 2163
Protocole SNTP (Simple Network Time Protocol)
Service de gestion du temps distribué
RFC 1769
Protocole LDAP (Lightweight Directory Access Protocol) version 3
Accès au répertoire client
RFC 2251
Protocole LDAP 'C' API d'annuaire RFC 1823
Format LDIF (LDAP Data Interchange Format)
Synchronisation d'annuaires
Projet IETF (Internet Engineering Task Force) Protocole LDAP Schéma d'annuaire RFC 2247, 2252 et 2256 Objectif de la
diapositive Décrire les standards, protocoles et API pris en charge par Active Directory et Windows 2000.
Introduction
Active Directory prend en charge les principaux standards, protocoles et API.
(suite)
Technologie Fonctions Document de référence
Kerberos V5 Méthodes
d'authentification
RFC 1510
Certificats X.509 version 3 Méthodes d'authentification
ISO (International Organization for Standardization) X.509 Protocole TCP/IP
(Transmission Control Protocol/Internet Protocol)
Transport réseau RFC 791 et 793
La prise en charge de ces standards Internet présente plusieurs avantages.
L'intégration du service DNS à Active Directory permet aux entreprises de créer une structure globale de dénomination compatible avec les
conventions DNS standard d'Internet.
Le protocole LDAP optimise l'interopérabilité entre les applications et les services d'annuaire et permet l'interopérabilité des annuaires par le biais de la synchronisation.
L'intégration de Kerberos V5 et du certificat X.509 à Active Directory offre aux entreprises la flexibilité nécessaire pour combiner et adapter leurs besoins en matière de déploiement de sécurité, à la fois dans des environnements Internet et intranet.
Conventions de dénomination Active Directory
Nom complet
Nom complet relatif
Nom principal d'utilisateur
Identificateur unique global
Unicité des noms
CN=David Dubois, CN=Users, DC=contoso, DC=msft
DavidD@Contoso.msft
Les utilisateurs et les applications sont concernés par les conventions de dénomination utilisées par les services d'annuaire. Pour localiser des ressources réseau, ils doivent connaître le nom ou une propriété de la ressource recherchée.
Active Directory prend en charge de nombreuses conventions de dénomination, ce qui permet aux utilisateurs et aux applications d'utiliser le format qui leur convient le mieux pour accéder aux ressources dans Active Directory.
Nom complet
Chaque objet Active Directory porte un nom complet. Le nom complet identifie le domaine dans lequel est situé l'objet, en plus de son chemin d'accès complet.
Un nom complet se présente en général sous la forme suivante : CN=David Dubois,CN=Users,DC=contoso,DC=msft
Ce nom complet identifie l'objet utilisateur David Dubois dans le domaine Contoso.msft. Dans le nom complet, DC est l'abréviation de Domain Component et CN est l'abréviation de Common Name.
Nom complet relatif
Le nom complet relatif d'un objet est l'élément du nom complet qui constitue un attribut de l'objet. Dans l'exemple précédent, le nom complet relatif de l'objet utilisateur David Dubois est David Dubois. Le nom complet relatif de l'objet parent est Users.
Nom principal d'utilisateur
Le nom principal d'utilisateur (UPN, User Principal Name) d'un objet
utilisateur est composé du nom d'ouverture de session de l'utilisateur et du nom DNS du domaine dans lequel l'objet se trouve. Par exemple, l'utilisateur David Dubois, membre du domaine Contoso.msft, pourrait avoir le nom principal d'utilisateur DavidD@Contoso.msft. Ce nom peut être utilisé pour ouvrir une session sur le réseau. Si nécessaire, un administrateur peut définir des suffixes supplémentaires pour les noms principaux d'utilisateur.
Objectif de la diapositive
Citer les conventions de dénomination des objets dans Active Directory.
Introduction Chaque objet Active Directory porte un nom unique.
Identificateur unique global
L'identificateur unique global (GUID, Globally Unique Identifier) est une représentation hexadécimale sur 128 bits attribuée par Windows 2000 aux objets lors de leur création. Les identificateurs GUID sont attribués par un algorithme qui utilise l'heure de création de l'objet ainsi que des informations physiques aléatoires pour créer une représentation hexadécimale garantissant l'unicité. L'identificateur GUID ne change jamais, même si vous déplacez ou renommez l'objet. Les applications peuvent stocker l'identificateur GUID d'un objet et être capable de le retrouver même si le nom complet de l'objet est modifié.
Unicité des noms
L'unicité des noms complets est garantie au sein d'une forêt. Active Directory n'autorise pas la présence de deux objets portant le même nom complet relatif dans le même conteneur parent. Les noms principaux d'utilisateur doivent être uniques, mais Active Directory n'imposant pas cette condition, il est également possible d'avoir des noms principaux d'utilisateur en double. Les identificateurs GUID sont par définition uniques.
Active Directory et système DNS
Résolution de noms
Définition d'espaces de noms
Localisation des composants physiques d'Active Directory
Active Directory utilise le système DNS pour servir les trois fonctions principales décrites ci-dessous.
Résolution de noms. Le système DNS fournit une fonction de résolution de noms en traduisant les noms d'hôte en adresses IP (Internet Protocol).
Définition d'espaces de noms. Active Directory utilise les conventions de dénomination du système DNS pour nommer les domaines. Les noms de domaine Windows 2000 sont des noms de domaine DNS. Par exemple, Contoso.msft constitue un nom de domaine DNS valide et peut également être le nom d'un domaine Windows 2000.
Localisation des composants physiques d'Active Directory. Pour ouvrir une session sur le réseau et exécuter des requêtes dans Active Directory, un ordinateur exécutant Windows 2000 doit en premier lieu localiser un contrôleur de domaine ou un serveur de catalogue global. La base de données DNS contient des informations sur les ordinateurs chargés d'exécuter ces rôles afin que la requête soit directement orientée en conséquence.
Objectif de la diapositive
Citer les rôles du service DNS dans Active Directory.
Introduction
Le système DNS sert trois fonctions principales dans Active Directory.
Présentation multimédia : Concepts du service Active Directory de Microsoft Windows 2000
Cette présentation multimédia décrit les concepts de base d'Active Directory, notamment les unités d'organisation, les arborescences, les forêts, les
conventions de dénomination DNS et les sites.
Objectif de la diapositive
Donner une vue d'ensemble de la présentation
multimédia « Concepts du service Active Directory de Microsoft Windows 2000 ».
Introduction Cette présentation multimédia décrit les concepts fondamentaux du service Active Directory de Windows 2000. Vous devez comprendre ces concepts pour pouvoir assurer le support technique d'un réseau Windows 2000.
Structure logique
Domaine Domaine Domaine
Domaine
Domaine Domaine
Arborescence
Domain Domain Domaine
Domaine
Domaine Domaine
Arborescence
Forêt DomaineDomaine
UOUO UOUO UOUO
Domaines
Unités d'organisation
Arborescences et forêts
Schéma
La structure logique d'Active Directory est modulaire et offre une méthode de conception de hiérarchie d'annuaire cohérente, à la fois pour ses utilisateurs et ses administrateurs. Les composants logiques de la structure d'Active Directory sont les suivants :
Domaines
Unités d'organisation Arborescences Forêts
Schéma
Il est important de comprendre le rôle et la fonction des composants logiques de la structure d'Active Directory pour réaliser différentes tâches telles que la planification, l'installation, la configuration et le dépannage d'Active Directory.
Objectif de la diapositive
Présenter les composants logiques d'Active Directory.
Introduction Vous utilisez les composants logiques d'Active Directory pour concevoir une hiérarchie d'annuaire.
Domaines
Limite de sécurité
Unité de duplication
Modes des domaines
Mode natif Mode mixte
Contrôleurs de domaine (Windows 2000 uniquement)
Contrôleurs de domaine (Windows 2000 uniquement) et
Contrôleur de domaine (Windows 2000) Contrôleur de domaine
(Windows 2000)
Contrôleur de domaine (Windows NT 4.0) Contrôleur de domaine
(Windows NT 4.0)
Il s'agit de l'unité fondamentale de la structure logique d'Active Directory. Un domaine est un ensemble d'ordinateurs défini par un administrateur qui partagent une même base de données d'annuaire.
Limite de sécurité
Dans un réseau Windows 2000, le domaine sert de limite de sécurité.
L'administrateur d'un domaine dispose des autorisations et des droits
nécessaires pour effectuer des tâches d'administration uniquement au sein de ce domaine, à moins que des droits sur un autre domaine ne lui soient
explicitement accordés. Chaque domaine dispose de ses propres stratégies et relations de sécurité avec d'autres domaines.
Unité de duplication
Les domaines constituent également des unités de duplication. Tous les contrôleurs d'un domaine participent à la duplication et contiennent une copie complète de toutes les informations d'annuaire de leur domaine.
Active Directory utilise un modèle de duplication à plusieurs maîtres. Chaque contrôleur d'un domaine donné est en mesure de recevoir des modifications et de les dupliquer vers l'ensemble de ses homologues au sein du domaine.
Modes des domaines
Une fois Active Directory installé et un domaine créé, ils fonctionnent tous deux en mode mixte. Un domaine fonctionnant en mode mixte prend en charge les contrôleurs de domaine qui exécutent Windows 2000 ou Microsoft
Windows NT®. Active Directory s'installe en mode mixte afin de prendre en charge les contrôleurs de domaine existants qui n'ont pas été mis à niveau vers Windows 2000. Vous pouvez utiliser votre domaine en mode mixte
indéfiniment et ainsi mettre à niveau des contrôleurs de domaine Windows NT selon un calendrier répondant aux besoins de votre entreprise.
Objectif de la diapositive
Expliquer le rôle du domaine dans Active Directory.
Introduction
Le domaine constitue l'unité fondamentale de la structure logique.
Points clés
Le système d'exploitation des contrôleurs de domaine détermine le mode que peut utiliser votre domaine.
Si votre réseau ne dispose d'aucun contrôleur de domaine qui s'exécute sur Windows NT, ou que tous vos contrôleurs de domaine ont été mis à niveau vers Windows 2000, vous pouvez convertir le domaine du mode mixte au mode natif.
Dans un domaine en mode natif, tous les contrôleurs de domaine exécutent Windows 2000. Il n'est pas nécessaire de mettre à niveau vers Windows 2000 les serveurs membres et les ordinateurs clients avant d'avoir converti le domaine en mode natif.
Certaines fonctionnalités d'Active Directory, telles que l'imbrication de groupes, l'utilisation de groupes locaux de domaine sur des serveurs membres et la création de groupes universels de sécurité, imposent que le domaine soit en mode natif.
Un domaine peut être converti en mode natif quels que soient les modes des autres domaines de la forêt.
Le passage du mode mixte au mode natif est unidirectionnel ; autrement dit, vous ne pouvez pas passer du mode natif au mode mixte.
Attention
Unités d'organisation
Hiérarchie des unités d'organisation
Contrôle administratif des unités d'organisation
Unités d'organisation et modèle à domaine unique
Structure organisationnelle Structure
Structure organisationnelleorganisationnelle
Ventes Paris
Réparation
Utilisateurs Ventes
Ordinateurs Modèle d'administration de réseau Modèle d'administration de réseau Modèle d'administration de réseau
Une unité d'organisation est un objet conteneur utilisé pour organiser les objets d'un domaine. Une unité d'organisation contient des objets tels que des comptes d'utilisateur, des groupes, des ordinateurs, des imprimantes, ainsi que d'autres unités d'organisation.
Hiérarchie des unités d'organisation
Vous pouvez utiliser les unités d'organisation pour regrouper des objets en une hiérarchie logique répondant aux besoins de votre entreprise. Par exemple, vous pouvez créer une hiérarchie d'unités d'organisation pour représenter les
éléments suivants d'une entreprise :
une structure organisationnelle reposant sur des services ou des limites géographiques ;
un modèle d'administration de réseau reposant sur des responsabilités administratives. Par exemple, une société peut charger un administrateur donné de l'ensemble des comptes d'utilisateur et un autre de l'ensemble des ordinateurs. Dans ce cas, vous créerez une unité d'organisation pour les utilisateurs et une autre pour les ordinateurs.
La hiérarchie des unités d'organisation au sein d'un domaine donné est
indépendante de la structure hiérarchique des unités d'organisation dans d'autres domaines ; chaque domaine peut implémenter sa propre hiérarchie d'unités d'organisations.
Objectif de la diapositive
Expliquer le rôle des unités d'organisation dans Active Directory.
Introduction
Une unité d'organisation est un conteneur dans lequel vous organisez des objets.
Contrôle administratif des unités d'organisation
Vous pouvez déléguer le contrôle administratif sur les objets présents dans une unité d'organisation. Pour ce faire, vous accordez des autorisations spécifiques pour l'unité d'organisation et les objets qu'elle contient à un ou plusieurs utilisateurs et groupes.
Pour une unité d'organisation, vous pouvez accorder un contrôle administratif complet (par exemple, un contrôle total sur tous les objets présents dans l'unité d'organisation) ou limité (par exemple, la capacité de modifier des informations de courrier électronique sur des objets utilisateur présents dans l'unité
d'organisation).
Unités d'organisation et modèle à domaine unique
Étant donné qu'un domaine Active Directory peut contenir des millions d'objets, de nombreuses sociétés pourront passer d'un modèle à plusieurs domaines à un modèle à domaine unique. Un modèle à domaine unique simplifie la gestion au niveau du domaine, notamment l'utilisation de certaines technologies de sécurité. Vous pouvez combiner les ressources d'un domaine dans des unités d'organisation en fonction des besoins de votre société, plutôt que de créer et de gérer plusieurs domaines. Vous pouvez facilement déplacer des objets entre différentes unités d'organisation au sein du domaine, imbriquer des unités d'organisation et en créer en fonction des besoins.
Arborescences et forêts
Japan.
Contoso.msft Japan.
Contoso.msft China.
Contoso.msft China.
Contoso.msft
Arborescence
Forêt
Contoso.msft Contoso.msft
(racine)
Domaine Windows NT 4.0
Domaine Windows NT 4.0
Approbation non transitive unidirectionnelle Approbation non transitive
unidirectionnelle Japan.
Nwtraders.msft Japan.
Nwtraders.msft China.
Nwtraders.msft China.
Nwtraders.msft
Nwtraders.msft Nwtraders.msft
Arborescence
Approbations transitives bidirectionnelles Approbations transitives
bidirectionnelles
Le premier domaine Windows 2000 que vous créez est le domaine racine de la forêt, qui contient la configuration et le schéma de la forêt. Des domaines lui sont ajoutés pour former la structure de l'arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.
Voici quelques raisons justifiant la création de plusieurs domaines : des contraintes différentes en matière de mots de passe, selon les organisations ;
un grand nombre d'objets ;
des noms de domaine Internet différents ; un meilleur contrôle de la duplication ; l'administration décentralisée du réseau.
Arborescences
Une arborescence est une organisation hiérarchique de domaines Windows 2000 partageant un espace de noms contigu.
Lorsque vous ajoutez un domaine à une arborescence, le nouveau domaine est un domaine enfant d'un domaine parent existant. Le nom d'un domaine enfant est combiné au nom de son domaine parent pour former son nom DNS.
Par exemple, Contoso, Ltd., dont le domaine Active Directory actuel est Contoso.msft, a fait l'acquisition de deux nouvelles sociétés, une en Chine et l'autre au Japon. Pour permettre l'administration des domaines dans les langues de chacun de ces pays, la société décide d'ajouter deux nouveaux domaines à l'arborescence actuelle du domaine plutôt que de créer des unités d'organisation dans le domaine existant. Ainsi, les domaines obtenus, China.Contoso.msft et Japan.Contoso.msft, constituent un espace de noms contigu dont la racine est Contoso.msft. L'administrateur peut accorder aux comptes appartenant à n'importe lequel des trois domaines de l'arborescence des autorisations d'accès aux ressources.
Objectif de la diapositive
Illustrer la manière dont les domaines constituent des arborescences et des forêts.
Introduction Le premier domaine Windows 2000 que vous créez est le domaine racine.
Conseils pédagogiques Cette diapositive est animée. Au départ, elle montre un seul domaine.
Lorsque vous parlerez des arborescences, cliquez pour ajouter des domaines à la diapositive. Lorsque vous traiterez des forêts, cliquez pour ajouter une seconde arborescence. Lorsque vous discuterez des approbations non transitives
unidirectionnelles, cliquez pour ajouter une approbation
unidirectionnelle. Lorsque vous parlerez des approbations transitives bidirectionnelles, cliquez pour ajouter des approbations bidirectionnelles.
Forêts
Une forêt est un regroupement d'arborescences qui ne partagent pas un espace de noms contigu. Les arborescences d'une forêt partagent une configuration, un schéma et un catalogue global communs. Par défaut, le nom du domaine racine de la forêt est utilisé pour désigner une forêt donnée.
Chaque arborescence d'une forêt dispose d'un espace de noms unique qui lui est propre. Par exemple, Contoso, Ltd. crée une société distincte nommée
Northwind Traders. Contoso, Ltd. décide de lui affecter un nouveau nom de domaine Active Directory, Nwtraders.msft. Les deux sociétés ne partagent aucun espace de noms commun ; pourtant, en ajoutant un nouveau domaine Active Directory en tant que nouvelle arborescence d'une forêt existante, les deux sociétés sont en mesure de partager des ressources et des fonctions administratives.
Relations d'approbation
Active Directory prend en charge deux formes de relations d'approbation : les approbations non transitives unidirectionnelles et les approbations transitives bidirectionnelles.
Approbations non transitives unidirectionnelles
Dans une relation d'approbation unidirectionnelle, si le domaine A approuve le domaine B, l'inverse ne se vérifie pas automatiquement.
Dans une relation d'approbation non transitive, si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A n'approuve pas automatiquement le domaine C.
Les réseaux Windows NT utilisent des relations d'approbation non transitives unidirectionnelles. Vous créez manuellement ces relations entre les domaines existants. Dans un large réseau, cette forme d'approbation impose une charge administrative importante.
Active Directory prend en charge les approbations non transitives
unidirectionnelles pour les connexions aux réseaux Windows NT. Vous pouvez également créer des approbations non transitives unidirectionnelles entre des domaines Active Directory. Par exemple, si vous voulez autoriser un partenaire externe à accéder lors d'un projet commun aux ressources d'un domaine particulier, vous devez créer une relation d'approbation non transitive unidirectionnelle entre les domaines interne et externe.
Approbations transitives bidirectionnelles
Dans une relation d'approbation bidirectionnelle, si le domaine A approuve le domaine B, le domaine B approuve le domaine A.
Dans une relation d'approbation transitive, si le domaine B approuve le domaine A et que le domaine C approuve également le domaine A, le domaine B approuve automatiquement le domaine C, de même que le domaine C approuve automatiquement le domaine B.
Lorsqu'il existe une approbation transitive bidirectionnelle entre deux domaines, vous pouvez accorder des autorisations sur des ressources d'un des domaines à des comptes d'utilisateur et de groupe de l'autre domaine, et inversement. Les relations d'approbation transitives bidirectionnelles sont les relations par défaut entre les domaines Windows 2000.
Schéma
Utilisateurs Utilisateurs
Serveurs Serveurs
Les attributs d'Utilisateurs peuvent contenir : Les
Lesattributsattributs d'Utilisateurs d'Utilisateurs peuvent contenir
peuvent contenir:: ListeListeListe d'attributsd'attributsd'attributs accountExpires badPasswordTime mail
cAConnect dhcpType eFSPolicy fromServer governsID Name
…
accountExpires badPasswordTime mail
cAConnect dhcpType eFSPolicy fromServer governsID Name
… accountExpires
badPasswordTime mail
name accountExpires badPasswordTime mail
name
Exemples Exemples d'attributs d'attributs:: Ordinateurs
Ordinateurs Exemples Exemples de classes de classes d'objets d'objets::
Disponible dynamiquement, peut être mis à jour, protégé par DACL
Disponible dynamiquement, peut être mis à jour, protégé par DACL
Le schéma du service d'annuaire Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes stockés dans Active Directory.
Il existe deux types de définitions dans le schéma : les classes et les attributs.
Les classes, également appelées classes d'objets, décrivent les objets d'annuaire qui peuvent être créés. Chaque classe est une collection d'attributs. Les attributs sont définis indépendamment des classes. Chaque attribut est défini une seule fois et peut être utilisé dans plusieurs classes. Par exemple, l'attribut Description est utilisé dans de nombreuses classes, mais il n'est défini qu'une seule fois dans le schéma, afin d'en garantir la cohérence.
Lorsque vous créez un objet, les attributs de cet objet contiennent des
informations qui décrivent l'objet. Les utilisateurs peuvent rechercher des objets dans Active Directory en recherchant des attributs spécifiques. Par exemple, un utilisateur peut rechercher une imprimante dans un bâtiment donné en
recherchant l'attribut Emplacement de la classe d'objet des imprimantes.
Dans Windows 2000, il n'y a qu'un seul schéma pour l'ensemble de la forêt, de sorte que tous les objets créés dans Active Directory se conforment aux mêmes règles. Lorsque des modifications sont apportées au schéma, elles sont
dupliquées sur chaque contrôleur de domaine de la forêt.
Le schéma est stocké dans une base de données (contrairement aux annuaires, qui comportent un schéma conservé sous forme de fichier texte et lu au démarrage). Ce stockage dans une base de données signifie que le schéma :
peut être mis dynamiquement à la disposition des applications utilisateur ; peut être mis à jour dynamiquement ;
peut utiliser des listes de contrôle d'accès discrétionnaires (DACL, Discretionary Access Control List) pour protéger l'ensemble des classes et des attributs.
Objectif de la diapositive
Expliquer le rôle du schéma dans Active Directory.
Introduction
Le schéma définit tous les objets Active Directory.
Logiquement, le schéma est stocké dans une partition d'annuaire de la base de données Active Directory. Une partition d'annuaire est une unité de
duplication. Le schéma est traité comme un objet Active Directory, dont le nom complet est le suivant :
CN=schéma, CN=configuration, DC=nom_domaine, DC=racine_domaine Le fichier de la base de données Active Directory s'appelle Ntds.dit et se trouve dans racine_système\Ntds. Outre le schéma, ce fichier contient toutes les informations stockées dans Active Directory. Lorsque vous installez Active Directory sur le premier contrôleur de domaine de votre réseau, un schéma par défaut est créé avec la plupart des définitions d'objet nécessaires à un réseau.
Structure physique
Sites
Contrôleurs de domaine
SiteSite Domaine
Domaine
Dans Active Directory, la structure logique est séparée de la structure physique.
Vous utilisez la structure logique pour organiser vos ressources réseau, tandis que vous utilisez la structure physique pour configurer et gérer votre trafic réseau. La structure physique d'Active Directory se compose de sites et de contrôleurs de domaine.
La structure physique d'Active Directory définit le lieu et le moment où est généré le trafic lié à la duplication et aux ouvertures de session. Pour être en mesure d'optimiser le trafic réseau et le processus d'ouverture de session, il est essentiel de comprendre les composants physiques d'Active Directory . Par ailleurs, ces informations peuvent vous aider à résoudre certains problèmes de duplication et d'ouverture de session.
Objectif de la diapositive
Présenter les composants fondamentaux de la structure physique d'Active Directory.
Introduction La structure physique d'Active Directory est séparée de sa structure logique.
Sites
Chicago Seattle
Los Angeles
New York
Sous
Site
Sous--réseau réseau IPIP
Sous
Sous--réseau réseau IPIP
Un site est une combinaison d'un ou de plusieurs sous-réseaux IP connectés par une liaison à grande vitesse. Définir des sites vous permet de configurer l'accès à Active Directory et la topologie de duplication de telle manière que
Windows 2000 exploite les liaisons les plus rapides et planifie au mieux le trafic de duplication et d'ouverture de session.
Deux raisons fondamentales justifient la création de sites : optimiser le trafic lié à la duplication ;
permettre aux utilisateurs de se connecter à un contrôleur de domaine en utilisant une connexion rapide fiable.
Les sites mappent la structure physique de votre réseau, tandis que les domaines mappent la structure logique de votre organisation. Les structures logique et physique sont indépendantes l'une de l'autre ; cette caractéristique a les conséquences ci-dessous.
Aucune corrélation n'est nécessaire entre la structure physique de votre réseau et la structure des domaines.
Active Directory autorise plusieurs domaines dans un même site, ainsi que plusieurs sites dans un même domaine.
Aucune corrélation n'est nécessaire entre les espaces de noms des sites et des domaines.
Objectif de la diapositive
Illustrer le concept de site en tant qu'objet
physiquement discret.
Introduction Un site est un ensemble constitué d'un ou plusieurs sous-réseaux IP.
Il ne s'agit que d'une vue d'ensemble des sites en tant que composants de la structure physique d'Active Directory. Le module 4,
« Création de la structure physique d'Active
Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique, décrit
l'implémentation des sites.
Contrôleurs de domaine
Domaine Domaine Contrôleur de domaine
Contrôleur de domaine Utilisateur1
Utilisateur2 Utilisateur1
Utilisateur2 Duplication
Duplication Duplication
Contrôleur de domaine Contrôleur de domaine
Un contrôleur de domaine est un ordinateur exécutant Windows 2000 Server qui stocke un réplica de l'annuaire. Il gère également les modifications apportées aux informations de l'annuaire et les duplique vers d'autres contrôleurs du même domaine. Les contrôleurs de domaine stockent les données de l'annuaire et gèrent les processus d'ouverture de session des utilisateurs, l'authentification et les recherches effectuées dans l'annuaire.
Un domaine peut disposer d'un ou plusieurs contrôleurs. Une petite société qui utilise un seul réseau local (LAN, Local Area Network) aura juste besoin d'un domaine avec deux contrôleurs pour garantir une disponibilité adaptée et une tolérance de panne. En revanche, une grande société comprenant de nombreuses entités dispersées géographiquement aura besoin d'un ou plusieurs contrôleurs de domaine dans chacune de ses entités pour assurer les mêmes services.
Active Directory utilise la duplication à plusieurs maîtres, dans laquelle aucun contrôleur ne constitue à lui seul le contrôleur de domaine maître. À l'inverse, tous les contrôleurs d'un même domaine et exécutant Windows 2000
contiennent une copie modifiable en écriture de l'annuaire. Toutefois, les contrôleurs peuvent contenir des informations différentes sur de courtes périodes jusqu'à ce que tous les contrôleurs aient synchronisé leurs modifications avec Active Directory.
Objectif de la diapositive Décrire le rôle des contrôleurs de domaine dans la structure physique.
Introduction
Un contrôleur de domaine Windows 2000 stocke un réplica d'Active Directory.
Rôles des contrôleurs de domaine spécifiques
Serveur de catalogue global
Opérations principales simples
Active Directory prend en charge les mises à jour à plusieurs maîtres de l'annuaire entre tous les contrôleurs de domaine d'un domaine. Toutefois, certaines modifications sont irréalisables en mode de duplication à plusieurs maîtres du fait du trafic généré par ce mode et des conflits potentiels sur certaines opérations essentielles. Pour ces raisons, des rôles spéciaux, tels que serveur de catalogue global ou opérations principales simples, sont affectés uniquement à des contrôleurs de domaine spécifiques. Il est important de comprendre ces rôles, car si un contrôleur de domaine chargé d'un de ces rôles n'est pas disponible, les fonctions propres à ce rôle dans Active Directory ne le seront pas non plus.
Objectif de la diapositive
Présenter les rôles affectés uniquement à des contrôleurs de domaine spécifiques dans Active Directory.
Introduction Dans Active Directory, certaines responsabilités sont réservées à des contrôleurs de domaine spécifiques.
Serveur de catalogue global
Catalogue global Catalogue global Catalogue global
Serveur de catalogue global Serveur de catalogue global
Attributs d'objets Attributs d'objets
Domaine Domaine
Domaine Domaine
Domaine Domaine
Requêtes Requêtes Requêtes
Adhésion à un groupe lorsque l'utilisateur
ouvre une session Adhésion
Adhésion à à un groupeun groupe lorsque l'utilisateur lorsque l'utilisateur
ouvre une ouvre une sessionsession
Le catalogue global est un référentiel d'informations qui contient un
sous-ensemble d'attributs relatifs à tous les objets Active Directory. Par défaut, les attributs stockés dans le catalogue global sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom et le nom d'ouverture de session d'un utilisateur). Le catalogue global contient les informations nécessaires pour déterminer l'emplacement de tout objet figurant dans l'annuaire.
Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et traite les requêtes qui lui sont destinées. Le premier contrôleur de domaine que vous créez dans Active Directory est un serveur de catalogue global. Vous pouvez configurer d'autres contrôleurs de domaine comme serveurs de catalogue global pour répartir le trafic lié à l'authentification des ouvertures de session et aux requêtes.
Le catalogue global remplit deux rôles d'annuaire importants.
Il permet à un utilisateur d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l'adhésion à un groupe universel lorsqu'un processus d'ouverture de session est lancé.
Il permet à un utilisateur de trouver des informations d'annuaire dans la forêt entière, quel que soit l'emplacement des données.
Objectif de la diapositive
Illustrer le rôle du serveur de catalogue global.
Introduction
Le catalogue global contient des informations concernant tous les objets Active Directory.
Catalogue global et processus d'ouverture de session
Lorsqu'un utilisateur ouvre une session sur un domaine en mode natif, le serveur de catalogue global fournit, au contrôleur de domaine qui traite les informations sur l'ouverture de session de l'utilisateur, des informations sur l'adhésion à un groupe universel correspondant au compte de l'utilisateur. Si aucun serveur de catalogue global n'est disponible lorsqu'un utilisateur engage le processus d'ouverture de session réseau et que l'utilisateur a précédemment ouvert une session sur le domaine, Windows 2000 utilise des informations d'identification mises en cache pour ouvrir une session pour l'utilisateur. Si l'utilisateur n'a pas précédemment ouvert de session sur le domaine, l'utilisateur peut uniquement ouvrir une session sur l'ordinateur local (toutefois, si
l'utilisateur est membre du groupe Administrateurs du domaine, il peut ouvrir une session sur le réseau, même si le serveur de catalogue global n'est pas disponible).
Un serveur de catalogue global est également requis lorsqu'un utilisateur ouvre une session avec un nom principal d'utilisateur et que le contrôleur de domaine d'authentification ne connaît pas directement le compte. Par exemple, si David Dubois, dont le compte se trouve dans Contoso.msft, utilise un ordinateur se trouvant dans le domaine Canada.Contoso.msft, il ouvrira une session en tant que DavidD@Contoso.msft. Si le contrôleur du domaine Canada.Contoso.msft ne parvient pas à authentifier le compte d'utilisateur de David Dubois, il doit contacter un serveur de catalogue global pour terminer le processus d'ouverture de session.
Dans un réseau à un seul domaine, aucun serveur de catalogue n'est requis pour le processus d'ouverture de session, car chaque contrôleur de domaine contient les informations nécessaires pour authentifier un utilisateur.
Catalogue global et recherches
Les serveurs de catalogue global améliorent les performances des recherches effectuées à l'échelle d'une forêt dans Active Directory. Par exemple, lorsque vous recherchez l'ensemble des imprimantes présentes dans une forêt, un serveur de catalogue global exécute la requête sur le catalogue global, puis renvoie les résultats. Sans serveur de catalogue global, cette requête nécessiterait une recherche sur chaque domaine de la forêt.
Le serveur de catalogue global est conçu pour répondre aux requêtes concernant des objets situés n'importe où dans l'arborescence ou la forêt de domaines et ce, le plus rapidement possible et avec un trafic réseau minimal. Étant donné qu'un seul et unique serveur de catalogue global contient les informations sur tous les objets présents dans tous les domaines de la forêt, une requête concernant un objet peut être résolue par un serveur de catalogue global situé dans le domaine où la requête a été lancée. Ainsi, la recherche d'informations dans l'annuaire ne génère pas de trafic superflu lié aux requêtes sur l'ensemble des domaines.
Rappelez aux stagiaires que les groupes universels de sécurité ne sont disponibles qu'en mode natif.
Opérations principales simples
Maître de schéma
Maître de dénomination de domaine
Maître d'identificateur relatif
Émulateur de contrôleur principal de domaine
Maître d'infrastructure
Un maître d'opérations est un contrôleur de domaine auquel ont été affectés un ou plusieurs rôles d'opérations principales simples dans un domaine ou une forêt Active Directory. Les contrôleurs de domaine auxquels ces rôles sont affectés exécutent des opérations qui ne sont pas autorisées simultanément sur différents contrôleurs de domaine du réseau.
Le contrôleur de domaine qui contrôle l'opération en question possède ce rôle d'opération principale simple. La propriété de ces opérations principales simples peut être transférée à d'autres contrôleurs de domaine.
Chaque forêt Active Directory doit disposer de contrôleurs de domaine qui remplissent deux des cinq rôles d'opérations principales simples. Les rôles à l'échelle de la forêt sont les suivants :
maître de schéma ;
maître de dénomination de domaine.
Chaque domaine Active Directory doit disposer de contrôleurs de domaine qui remplissent trois des cinq rôles d'opérations principales simples. Les rôles à l'échelle du domaine sont les suivants :
maître d'identificateur relatif (RID, Relative Identifier) ; émulateur de contrôleur principal de domaine ;
maître d'infrastructure.
Maître de schéma
Le contrôleur de domaine maître de schéma contrôle toutes les mises à jour et modifications apportées au schéma. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au maître de schéma.
Objectif de la diapositive Décrire les rôles des opérations principales simples.
Introduction
Un maître d'opérations est un contrôleur de domaine chargé d'un rôle d'opération principale simple.
Maître de dénomination de domaine
Le maître de dénomination de domaine contrôle l'ajout ou la suppression de domaines dans la forêt.
Maître d'identificateur relatif
Ce maître alloue des séquences d'identificateurs relatifs à chacun des différents contrôleurs de domaine au sein de son propre domaine.
Lorsqu'un contrôleur de domaine crée un objet utilisateur, groupe ou ordinateur, il affecte à cet objet un identificateur de sécurité unique (SID, Security
Identifier). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les identificateurs de sécurité créés dans le domaine) et d'un identificateur relatif unique pour chaque identificateur relatif créé dans le domaine.
Émulateur de contrôleur principal de domaine
Si le domaine comprend des ordinateurs qui n'exécutent pas le logiciel client Windows 2000, ou s'il contient des contrôleurs de domaine exécutant
Windows NT, l'émulateur de contrôleur principal de domaine fonctionne en tant que contrôleur principal de domaine Windows NT 4.0, répondant aux demandes des clients et dupliquant les mises à jour vers les contrôleurs de domaine secondaires exécutant Windows NT.
Dans un domaine Windows 2000 fonctionnant en mode natif, l'émulateur de contrôleur principal de domaine reçoit une duplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs de domaine présents dans le domaine. Si un mot de passe a été changé récemment, la duplication du changement sur chaque contrôleur de domaine dans le domaine est relativement longue. Lorsque l'authentification d'une ouverture de session échoue sur un autre contrôleur de domaine à cause d'un mot de passe erroné, ce contrôleur de domaine transmet la demande d'authentification à l'émulateur de contrôleur principal de domaine avant de refuser la demande d'ouverture de session.
Maître d'infrastructure
Le maître d'infrastructure est responsable de la mise à jour des références groupe-utilisateur lorsque des adhésions à des groupes sont modifiées.
Si des modifications sont apportées aux comptes d'utilisateur et aux adhésions aux groupes dans les différents domaines, il se produira un décalage entre le moment où vous renommerez un compte d'utilisateur et le moment où le groupe contenant l'utilisateur affichera le nouveau nom de compte. Le maître
d'infrastructure du domaine du groupe est responsable de cette mise à jour ; il la distribue par le biais d'une duplication à plusieurs maîtres.
Installation d'Active Directory
Préparation de l'installation d'Active Directory
Création du domaine racine
Ajout d'un contrôleur de domaine à un domaine
Création d'un domaine enfant
Création d'une arborescence dans une forêt
Windows 2000 fournit l'Assistant Installation de Active Directory pour vous guider tout au long du processus d'installation d'Active Directory afin de créer des contrôleurs de domaine et définir des domaines. Lorsque vous installez Active Directory, vous créez les éléments suivants :
une nouvelle forêt, à savoir le domaine racine (premier domaine de la forêt) et le premier contrôleur de domaine ;
un contrôleur de domaine supplémentaire dans un domaine Windows 2000 existant ;
un nouveau domaine enfant et son contrôleur de domaine dans une arborescence existante ;
une nouvelle arborescence et son contrôleur de domaine dans une forêt existante.
Exécutez Dcpromo.exe pour démarrer l'Assistant Installation de Active Directory. Vous pouvez également utiliser DCPromo.exe pour désinstaller Active Directory, changeant ainsi l'ordinateur contrôleur de domaine en ordinateur serveur membre.
Lorsque vous utilisez l'Assistant Installation de Active Directory, vous spécifiez l'emplacement d'un contrôleur de domaine au sein de la structure Active Directory. Vous spécifiez également des informations détaillées, telles que le nom du domaine et l'emplacement des fichiers créés au cours du processus d'installation.
La compréhension du processus d'installation d'Active Directory vous permet d'éviter certains problèmes éventuels d'installation et vous prépare à
implémenter Active Directory sur votre réseau.
Objectif de la diapositive
Présenter les tâches liées à l'installation d'Active Directory.
Introduction L'installation d'Active Directory est effectuée par le biais d'un Assistant.
Une fois Active Directory installé, vous allez configurer les structures logique et physique du domaine.
Vous apprendrez à configurer la structure physique dans le module 4,
« Création de la structure physique d'Active Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique.
Vous apprendrez à configurer la structure logique d'un domaine en créant des unités d'organisation et des objets dans le module 5, « Administration d'Active Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique.
Ces informations ont pour but de présenter les différentes tâches à effectuer pour configurer un domaine Windows 2000 afin que les stagiaires puissent comprendre la relation entre les structures logique et physique et l'installation d'Active Directory.
Préparation de l'installation d'Active Directory
Configuration requise pour l'installation d'Active Directory
Plan d'implémentation d'Active Directory
Options d'installation
~
~ouou~~ Contrôleur de domaine
du nouveau domaine Contrôleur de domaine
du nouveau domaine Contrôleur de domaine supplémentaire Contrôleur de domaine
supplémentaire
Nouvelle arborescence de domaine Nouvelle arborescence
de domaine Domaine enfantDomaine enfant
Nouvelle forêt
Nouvelle forêt Forêt existanteForêt existante
~ou~ou~~
~
~ouou~~
Avant d'installer Active Directory, vous devez vous assurer que votre serveur et votre réseau disposent bien de la configuration requise.
Configuration requise pour l'installation d'Active Directory
La liste suivante répertorie les éléments requis pour installer Active Directory : un ordinateur exécutant Windows 2000 Server, Windows 2000 Advanced Server ou Windows 2000 Datacenter Server ;
une partition ou un volume au format NTFS (Windows NT File System) ; un espace disque suffisant pour l'annuaire (1 gigaoctet recommandé) ; le protocole TCP/IP installé et configuré pour utiliser le système DNS ; un serveur DNS prenant en charge les enregistrements de ressources (Service Resource Record) ainsi que le protocole de mise à jour dynamique DNS (facultatif).
L'Assistant Installation de Active Directory permet d'installer le service Serveur DNS lorsque vous installez le premier contrôleur de domaine dans un nouveau domaine si aucun serveur DNS autorisé sur le domaine ne peut être trouvé ou que le serveur DNS ne prend pas en charge la mise à jour dynamique DNS .
En outre, vous devez obtenir les informations d'identification réseau nécessaires pour créer un domaine si vous créez un domaine ou un contrôleur de domaine dans un réseau Windows 2000 existant. Ces informations d'identification sont le nom d'ouverture de session d'un compte d'utilisateur, le mot de passe du compte et le nom du domaine. Le compte d'utilisateur doit disposer des privilèges d'administration suffisants pour créer un contrôleur de domaine.
Objectif de la diapositive Expliquer les tâches préalables à l'installation d'Active Directory.
Introduction Avant d'installer Active Directory, vous devez vérifier que l'ordinateur et le réseau disposent bien de la configuration requise.
Remarque
Plan d'implémentation d'Active Directory
Pour implémenter efficacement Active Directory, vous avez besoin d'un plan définissant la structure de réseau que vous allez créer avec Active Directory.
Généralement, c'est un architecte de réseau qui développe le plan
d'implémentation. Ce plan doit vous fournir les informations dont vous avez besoin pour créer la forêt Active Directory, notamment les noms de domaine DNS ainsi que les noms NetBIOS (Network Basic Input/Output System).
Options d'installation
Lorsque vous installez Active Directory sur un ordinateur exécutant
Windows 2000 Server, vous spécifiez dans quel domaine cet ordinateur jouera le rôle de contrôleur de domaine. Les options de l'Assistant Installation de Active Directory sont présentées dans l'illustration suivante :
Vous avez le choix parmi ces options pour chaque contrôleur de domaine que vous créez. Une fois la sélection effectuée, l'Assistant Installation de Active Directory vous guide dans la spécification des données nécessaires au nouveau contrôleur de domaine. Ces informations varient en fonction des options sélectionnées.
Lorsque vous installez Active Directory, les résultats de chacune des étapes de la procédure d'installation sont répertoriés dans des fichiers journaux créés à cet effet. Ces derniers sont enregistrés dans le dossier racine_système\Debug.
Les options d'installation sont expliquées en détail dans les pages suivantes.
Cette illustration a pour but de fournir aux stagiaires une vue d'ensemble des décisions liées à l'utilisation de l'Assistant Installation de Active Directory.
- ou -
- ou -
Contrôleur de domaine pour le nouveau domaine
Contrôleur de domaine supplé- mentaire dans le domaine existant - ou -
Nouvelle arborescence Domaine enfant
Nouvelle forêt Rejoindre la forêt existante
Création du domaine racine
Démarrez l'Assistant d'installation
Sélectionnez le contrôleur de domaine et le type de domaine
Spécifiez les informations requises
Noms de domaine, DNS et NetBIOS
Emplacement de la base de données, du journal et du volume système partagé
Sélectionnez l'assouplissement des autorisations
Active Directory est installé
L'ordinateur est le contrôle de domaine
Les outils d'Active Directory sont ajoutés
Lorsque vous installez Active Directory pour la première fois sur un réseau, vous créez le premier contrôleur de domaine de la forêt, autrement dit, le domaine racine. Le domaine racine contient les informations de configuration et de schéma relatives à la forêt.
Pour créer le domaine racine de la forêt, exécutez Dcpromo.exe afin de
démarrer l'Assistant Installation de Active Directory. Spécifiez les informations contenues dans le tableau suivant :
Dans cette page de l'Assistant Procédez comme suit Type de contrôleur de
domaine
Cliquez sur Contrôleur de domaine pour un nouveau domaine.
Créer une arborescence ou un domaine enfant
Cliquez sur Créer une nouvelle arborescence de domaine.
Créer ou rejoindre une forêt Cliquez sur Créer une nouvelle forêt d'arborescence de domaines.
Nouveau nom de domaine Spécifiez le nom DNS du nouveau domaine. Si votre réseau doit être présent sur Internet, vérifiez que vous disposez bien d'un nom de domaine Internet inscrit.
Nom de domaine NetBIOS Spécifiez le nom NetBIOS du nouveau domaine. Ce nom est utilisé pour identifier le contrôleur de domaine auprès des ordinateurs clients exécutant des versions antérieures de Windows.
Objectif de la diapositive
Décrire les étapes de la création du domaine racine.
Introduction
Le premier domaine que vous créez avec Active Directory est le domaine racine de la forêt.
(suite)
Dans cette page de l'Assistant Procédez comme suit Emplacement de la base de
données et du journal
Spécifiez les emplacements de la base de données et des fichiers journaux d'Active Directory. La base de données stocke l'annuaire du nouveau domaine, tandis que le fichier journal consigne
temporairement les modifications apportées à la base de données. L'emplacement par défaut est racine_système\NTDS. Pour des performances optimales, placez la base de données et les fichiers journaux sur des disques durs distincts.
Volume système partagé Spécifiez l'emplacement du volume système partagé. Le volume système partagé est une structure de dossiers hébergée sur l'ensemble des contrôleurs de domaine exécutant Windows 2000.
Le volume système partagé stocke des fichiers et des informations de stratégie de groupe qui sont dupliquées entre les contrôleurs de domaine. Vous devez spécifier une partition ou un volume formaté avec NTFS.
Autorisations Indiquez si les autorisations par défaut sur les objets utilisateur et groupe doivent être définies pour être compatibles avec les ordinateurs exécutant des versions antérieures de Windows ou uniquement avec les serveurs exécutant Windows 2000. Le fait d'activer les autorisations compatibles avec les versions antérieures à Windows 2000 ajoute le groupe Tout le monde au groupe Accès compatible Pre-Windows 2000. Ce groupe est autorisé à accéder en lecture aux attributs des objets utilisateur et groupe qui existaient dans Windows NT 4.0.
Sélectionnez cette option uniquement après avoir bien réfléchi aux conséquences qu'auront des autorisations assouplies sur la sécurité d'Active Directory.
Mot de passe administrateur de Restauration des services d'annuaire
Spécifiez le mot de passe à utiliser au démarrage de l'ordinateur en mode restauration des services d'annuaire.
Une fois les informations d'installation spécifiées, l'Assistant procède à l'Installation de Active Directory proprement dite, convertit l'ordinateur en contrôleur de domaine et ajoute les consoles ci-dessous au menu Outils d'administration de l'ordinateur.
Domaines et approbations Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer des approbations entre domaines et des suffixes de nom principal d'utilisateur, ainsi que pour changer le mode de fonctionnement des domaines.
Sites et services Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer la duplication des données Active Directory, notamment les informations relatives aux contrôleurs de domaine, aux sites, à la duplication intersite et à la duplication des configurations des services réseau.
Utilisateurs et ordinateurs Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer et publier des informations dans l'annuaire.
Ajout d'un contrôleur de domaine à un domaine
Démarrez l'Assistant d'installation
Sélectionnez le type de contrôleur de domaine
Spécifiez les informations requises
Informations d'identification réseau
Nom DNS du domaine à joindre
Emplacement de la base de données, du journal et du volume système partagé
Active Directory est installé
Après avoir créé un domaine, vous devez créer un contrôleur de domaine supplémentaire dans ce domaine afin de fournir à Active Directory les fonctions de tolérance de panne et de répartition des charges.
Pour ajouter un contrôleur de domaine à un domaine existant, exécutez Dcpromo.exe afin de démarrer l'Assistant Installation de Active Directory.
Spécifiez les informations contenues dans le tableau suivant : Dans cette page de l'Assistant Procédez comme suit
Type de contrôleur de domaine
Cliquez sur Contrôleur de domaine supplémentaire pour un domaine existant.
Informations d'identification réseau
Spécifiez les nom d'utilisateur, mot de passe et nom de domaine d'un compte d'utilisateur autorisé à créer des contrôleurs de domaine dans Active Directory.
Contrôleur de domaine supplémentaire
Spécifiez le nom DNS du domaine existant pour lequel cet ordinateur va devenir un contrôleur de domaine supplémentaire.
Emplacement de la base de données et du journal
Spécifiez les emplacements de la base de données et des fichiers journaux d'Active Directory.
Volume système partagé Spécifiez l'emplacement du volume système partagé.
Mot de passe administrateur de Restauration des services d'annuaire
Spécifiez le mot de passe à utiliser au démarrage de l'ordinateur en mode restauration des services d'annuaire.
Une fois les informations d'installation spécifiées, l'Assistant Installation de Active Directory convertit l'ordinateur en contrôleur de domaine, duplique Active Directory à partir d'un contrôleur de domaine existant et ajoute les consoles Active Directory au menu Outils d'administration de l'ordinateur.
Objectif de la diapositive
Décrire les étapes de l'ajout d'un contrôleur de domaine à un domaine.
Introduction Vous devez avoir au minimum deux contrôleurs dans un domaine.