Module 9 : Installation d'active Directory

Table des matières

Vue d'ensemble 1

Présentation d'Active Directory 2 Présentation multimédia : Concepts

du service Active Directory de Microsoft Windows 2000 9 Structure logique 10 Structure physique 19 Rôles des contrôleurs de domaine

spécifiques 22 Installation d'Active Directory 27

Atelier A : Installation

d'Active Directory 39 Vérification de l'installation

d'Active Directory 46

Module 9 : Installation

d'Active Directory

Vue d'ensemble

Présentation d'Active Directory

Structure logique

Structure physique

Rôles des contrôleurs de domaine spécifiques

Installation d'Active Directory

Vérification de l'installation d'Active Directory

Dans un réseau Microsoft® Windows® 2000, le service d'annuaire Active Directory^™ fournit la structure et les fonctions nécessaires pour organiser, gérer et contrôler les ressources réseau. Pour administrer un réseau Windows 2000 ou en effectuer le support technique, vous devez comprendre l'objet ainsi que la structure d'Active Directory.

À la fin de ce module, vous serez à même d'effectuer les tâches suivantes : décrire le rôle d'Active Directory dans Windows 2000 ;

décrire la structure logique d'Active Directory ; décrire la structure physique d'Active Directory ;

décrire les rôles des serveurs de catalogue global et des opérations principales simples dans Active Directory ;

installer Active Directory ;

vérifier l'installation d'Active Directory ; Objectif de la

diapositive

Donner une vue d'ensemble des sujets et des objectifs de ce module.

Introduction

Dans ce module, vous allez découvrir le rôle d'Active Directory au sein d'un réseau Windows 2000.

Présentation d'Active Directory

Définition d'Active Directory

Technologies prises en charge par Active Directory

Conventions de dénomination Active Directory

Active Directory et système DNS

Pour configurer et administrer un réseau Windows 2000, les professionnels de l'informatique doivent avoir une connaissance approfondie d'Active Directory.

La section suivante répond notamment aux questions formulées ci-dessous.

Quels sont les avantages offerts par l'utilisation d'Active Directory ? Quels standards Internet sont pris en charge par Active Directory ? Quelles sont les conventions de dénomination utilisées dans Active Directory dont vous devez tenir compte quand vous créez un réseau Windows 2000 ?

Quel est le rôle du système DNS dans Active Directory ? Objectif de la

diapositive Présenter les

fonctionnalités, les normes et les conventions de dénomination d'Active Directory, ainsi que sa relation avec le système DNS.

Introduction

Active Directory fait partie intégrante d'un réseau Windows 2000.

Définition d'Active Directory

Fonctionnalités du service d'annuaire Fonctionnalités Fonctionnalitésdudu

service

service d'annuaired'annuaire

Organiser

Gérer

Contrôler

Organiser

Gérer

Contrôler

Ressources Ressources

Gestion centralisée Gestion centralisée Gestion centralisée

Point d'administration unique

Les utilisateurs ouvrent une session une fois pour l'accès complet aux ressources de l'annuaire

Point d'administration unique

Les utilisateurs ouvrent une session une fois pour l'accès complet aux ressources de l'annuaire

Active Directory constitue le service d'annuaire d'un réseau Windows 2000.

Un service d'annuaire est un service réseau qui contient des informations sur les ressources réseau et les rend accessibles aux utilisateurs et aux applications.

Les services d'annuaire sont importants car ils permettent de nommer, décrire, localiser, gérer, accéder et sécuriser de manière cohérente les informations concernant les ressources réseau.

Fonctionnalités du service d'annuaire

Active Directory offre les fonctions d'un service d'annuaire, et permet notamment de centraliser l'organisation, la gestion et le contrôle d'accès aux ressources réseau. Grâce à Active Directory, la topologie physique et les protocoles du réseau sont transparents ; ainsi, un utilisateur connecté au réseau peut accéder à n'importe quelle ressource sans savoir où elle se trouve ou comment elle est connectée physiquement, comme dans le cas d'une imprimante.

Active Directory organise l'annuaire en sections qui permettent le stockage d'un grand nombre d'objets. Active Directory peut ainsi se développer au fur et à mesure de la croissance d'une société et vous permettre de passer d'un seul serveur (avec quelques centaines d'objets) à des milliers de serveurs (avec des millions d'objets).

Gestion centralisée

Un serveur Windows 2000 stocke dans Active Directory des informations relatives à la configuration du système, aux profils des utilisateurs et aux applications. Combiné au programme Stratégie de groupe, Active Directory permet aux administrateurs de gérer des postes de travail distribués, des services réseau et des applications à partir d'un emplacement central tout en utilisant une interface de gestion homogène. Les administrateurs réseau disposent également d'un moyen cohérent pour effectuer le suivi et la gestion des périphériques réseau, comme les routeurs.

Objectif de la diapositive

Expliquer le rôle d'Active Directory en tant que service d'annuaire réseau.

Introduction Les services d'annuaire contiennent des informations relatives aux ressources réseau.

Technologies prises en charge par Active Directory

DHCPDHCP

DNSDNS

DNS SNTPSNTPSNTP

LDAPLDAP LDAP

Kerberos Kerberos Kerberos X.509

X.509 X.509 TCP/IP

TCP/IP TCP/IP

LDIFLDIF LDIF Technologies Internet standard

Technologies Internet standard Technologies Internet standard

L'objectif d'Active Directory est de fournir une représentation homogène du réseau qui réduira considérablement le nombre d'annuaires et d'espaces de noms que doivent utiliser les administrateurs réseau et les utilisateurs. Active

Directory est spécialement conçu pour interagir avec d'autres annuaires et les gérer, quels que soient leur emplacement ou le système d'exploitation des ordinateurs sur lesquels ils sont stockés. Pour y parvenir, Active Directory offre une large prise en charge des standards et protocoles existants et fournit des interfaces de programmation d'application (API, Application Programming Interface) qui facilitent la communication avec les autres annuaires.

Le tableau suivant décrit les différentes technologies prises en charge par Active Directory, le rôle de chacune d'entre elles ainsi que des documents de référence :

Technologie Fonctions Document de référence

Protocole DHCP (Dynamic Host Configuration Protocol)

Gestion des adresses de réseau

RFC 2131

Protocole de mise à jour dynamique DNS

Gestion des noms d'hôte

RFC 2052 et 2163

Protocole SNTP (Simple Network Time Protocol)

Service de gestion du temps distribué

RFC 1769

Protocole LDAP (Lightweight Directory Access Protocol) version 3

Accès au répertoire client

RFC 2251

Protocole LDAP 'C' API d'annuaire RFC 1823

Format LDIF (LDAP Data Interchange Format)

Synchronisation d'annuaires

Projet IETF (Internet Engineering Task Force) Protocole LDAP Schéma d'annuaire RFC 2247, 2252 et 2256 Objectif de la

diapositive Décrire les standards, protocoles et API pris en charge par Active Directory et Windows 2000.

Introduction

Active Directory prend en charge les principaux standards, protocoles et API.

(suite)

Technologie Fonctions Document de référence

Kerberos V5 Méthodes

d'authentification

RFC 1510

Certificats X.509 version 3 Méthodes d'authentification

ISO (International Organization for Standardization) X.509 Protocole TCP/IP

(Transmission Control Protocol/Internet Protocol)

Transport réseau RFC 791 et 793

La prise en charge de ces standards Internet présente plusieurs avantages.

L'intégration du service DNS à Active Directory permet aux entreprises de créer une structure globale de dénomination compatible avec les

conventions DNS standard d'Internet.

Le protocole LDAP optimise l'interopérabilité entre les applications et les services d'annuaire et permet l'interopérabilité des annuaires par le biais de la synchronisation.

L'intégration de Kerberos V5 et du certificat X.509 à Active Directory offre aux entreprises la flexibilité nécessaire pour combiner et adapter leurs besoins en matière de déploiement de sécurité, à la fois dans des environnements Internet et intranet.

Conventions de dénomination Active Directory

Nom complet

Nom complet relatif

Nom principal d'utilisateur

Identificateur unique global

Unicité des noms

CN=David Dubois, CN=Users, DC=contoso, DC=msft

DavidD@Contoso.msft

Les utilisateurs et les applications sont concernés par les conventions de dénomination utilisées par les services d'annuaire. Pour localiser des ressources réseau, ils doivent connaître le nom ou une propriété de la ressource recherchée.

Active Directory prend en charge de nombreuses conventions de dénomination, ce qui permet aux utilisateurs et aux applications d'utiliser le format qui leur convient le mieux pour accéder aux ressources dans Active Directory.

Nom complet

Chaque objet Active Directory porte un nom complet. Le nom complet identifie le domaine dans lequel est situé l'objet, en plus de son chemin d'accès complet.

Un nom complet se présente en général sous la forme suivante : CN=David Dubois,CN=Users,DC=contoso,DC=msft

Ce nom complet identifie l'objet utilisateur David Dubois dans le domaine Contoso.msft. Dans le nom complet, DC est l'abréviation de Domain Component et CN est l'abréviation de Common Name.

Nom complet relatif

Le nom complet relatif d'un objet est l'élément du nom complet qui constitue un attribut de l'objet. Dans l'exemple précédent, le nom complet relatif de l'objet utilisateur David Dubois est David Dubois. Le nom complet relatif de l'objet parent est Users.

Nom principal d'utilisateur

Le nom principal d'utilisateur (UPN, User Principal Name) d'un objet

utilisateur est composé du nom d'ouverture de session de l'utilisateur et du nom DNS du domaine dans lequel l'objet se trouve. Par exemple, l'utilisateur David Dubois, membre du domaine Contoso.msft, pourrait avoir le nom principal d'utilisateur DavidD@Contoso.msft. Ce nom peut être utilisé pour ouvrir une session sur le réseau. Si nécessaire, un administrateur peut définir des suffixes supplémentaires pour les noms principaux d'utilisateur.

Objectif de la diapositive

Citer les conventions de dénomination des objets dans Active Directory.

Introduction Chaque objet Active Directory porte un nom unique.

Identificateur unique global

L'identificateur unique global (GUID, Globally Unique Identifier) est une représentation hexadécimale sur 128 bits attribuée par Windows 2000 aux objets lors de leur création. Les identificateurs GUID sont attribués par un algorithme qui utilise l'heure de création de l'objet ainsi que des informations physiques aléatoires pour créer une représentation hexadécimale garantissant l'unicité. L'identificateur GUID ne change jamais, même si vous déplacez ou renommez l'objet. Les applications peuvent stocker l'identificateur GUID d'un objet et être capable de le retrouver même si le nom complet de l'objet est modifié.

Unicité des noms

L'unicité des noms complets est garantie au sein d'une forêt. Active Directory n'autorise pas la présence de deux objets portant le même nom complet relatif dans le même conteneur parent. Les noms principaux d'utilisateur doivent être uniques, mais Active Directory n'imposant pas cette condition, il est également possible d'avoir des noms principaux d'utilisateur en double. Les identificateurs GUID sont par définition uniques.

Active Directory et système DNS

Résolution de noms

Définition d'espaces de noms

Localisation des composants physiques d'Active Directory

Active Directory utilise le système DNS pour servir les trois fonctions principales décrites ci-dessous.

Résolution de noms. Le système DNS fournit une fonction de résolution de noms en traduisant les noms d'hôte en adresses IP (Internet Protocol).

Définition d'espaces de noms. Active Directory utilise les conventions de dénomination du système DNS pour nommer les domaines. Les noms de domaine Windows 2000 sont des noms de domaine DNS. Par exemple, Contoso.msft constitue un nom de domaine DNS valide et peut également être le nom d'un domaine Windows 2000.

Localisation des composants physiques d'Active Directory. Pour ouvrir une session sur le réseau et exécuter des requêtes dans Active Directory, un ordinateur exécutant Windows 2000 doit en premier lieu localiser un contrôleur de domaine ou un serveur de catalogue global. La base de données DNS contient des informations sur les ordinateurs chargés d'exécuter ces rôles afin que la requête soit directement orientée en conséquence.

Objectif de la diapositive

Citer les rôles du service DNS dans Active Directory.

Introduction

Le système DNS sert trois fonctions principales dans Active Directory.

Présentation multimédia : Concepts du service Active Directory de Microsoft Windows 2000

Cette présentation multimédia décrit les concepts de base d'Active Directory, notamment les unités d'organisation, les arborescences, les forêts, les

conventions de dénomination DNS et les sites.

Objectif de la diapositive

Donner une vue d'ensemble de la présentation

multimédia « Concepts du service Active Directory de Microsoft Windows 2000 ».

Introduction Cette présentation multimédia décrit les concepts fondamentaux du service Active Directory de Windows 2000. Vous devez comprendre ces concepts pour pouvoir assurer le support technique d'un réseau Windows 2000.

Structure logique

Domaine Domaine Domaine

Domaine

Domaine Domaine

Arborescence

Domain Domain Domaine

Domaine

Domaine Domaine

Arborescence

Forêt ^{DomaineDomaine}

UOUO UOUO UOUO

Domaines

Unités d'organisation

Arborescences et forêts

Schéma

La structure logique d'Active Directory est modulaire et offre une méthode de conception de hiérarchie d'annuaire cohérente, à la fois pour ses utilisateurs et ses administrateurs. Les composants logiques de la structure d'Active Directory sont les suivants :

Domaines

Unités d'organisation Arborescences Forêts

Schéma

Il est important de comprendre le rôle et la fonction des composants logiques de la structure d'Active Directory pour réaliser différentes tâches telles que la planification, l'installation, la configuration et le dépannage d'Active Directory.

Objectif de la diapositive

Présenter les composants logiques d'Active Directory.

Introduction Vous utilisez les composants logiques d'Active Directory pour concevoir une hiérarchie d'annuaire.

Domaines

Limite de sécurité

Unité de duplication

Modes des domaines

Mode natif Mode mixte

Contrôleurs de domaine (Windows 2000 uniquement)

Contrôleurs de domaine (Windows 2000 uniquement) et

Contrôleur de domaine (Windows 2000) Contrôleur de domaine

(Windows 2000)

Contrôleur de domaine (Windows NT 4.0) Contrôleur de domaine

(Windows NT 4.0)

Il s'agit de l'unité fondamentale de la structure logique d'Active Directory. Un domaine est un ensemble d'ordinateurs défini par un administrateur qui partagent une même base de données d'annuaire.

Limite de sécurité

Dans un réseau Windows 2000, le domaine sert de limite de sécurité.

L'administrateur d'un domaine dispose des autorisations et des droits

nécessaires pour effectuer des tâches d'administration uniquement au sein de ce domaine, à moins que des droits sur un autre domaine ne lui soient

explicitement accordés. Chaque domaine dispose de ses propres stratégies et relations de sécurité avec d'autres domaines.

Unité de duplication

Les domaines constituent également des unités de duplication. Tous les contrôleurs d'un domaine participent à la duplication et contiennent une copie complète de toutes les informations d'annuaire de leur domaine.

Active Directory utilise un modèle de duplication à plusieurs maîtres. Chaque contrôleur d'un domaine donné est en mesure de recevoir des modifications et de les dupliquer vers l'ensemble de ses homologues au sein du domaine.

Modes des domaines

Une fois Active Directory installé et un domaine créé, ils fonctionnent tous deux en mode mixte. Un domaine fonctionnant en mode mixte prend en charge les contrôleurs de domaine qui exécutent Windows 2000 ou Microsoft

Windows NT®. Active Directory s'installe en mode mixte afin de prendre en charge les contrôleurs de domaine existants qui n'ont pas été mis à niveau vers Windows 2000. Vous pouvez utiliser votre domaine en mode mixte

indéfiniment et ainsi mettre à niveau des contrôleurs de domaine Windows NT selon un calendrier répondant aux besoins de votre entreprise.

Objectif de la diapositive

Expliquer le rôle du domaine dans Active Directory.

Introduction

Le domaine constitue l'unité fondamentale de la structure logique.

Points clés

Le système d'exploitation des contrôleurs de domaine détermine le mode que peut utiliser votre domaine.

Si votre réseau ne dispose d'aucun contrôleur de domaine qui s'exécute sur Windows NT, ou que tous vos contrôleurs de domaine ont été mis à niveau vers Windows 2000, vous pouvez convertir le domaine du mode mixte au mode natif.

Dans un domaine en mode natif, tous les contrôleurs de domaine exécutent Windows 2000. Il n'est pas nécessaire de mettre à niveau vers Windows 2000 les serveurs membres et les ordinateurs clients avant d'avoir converti le domaine en mode natif.

Certaines fonctionnalités d'Active Directory, telles que l'imbrication de groupes, l'utilisation de groupes locaux de domaine sur des serveurs membres et la création de groupes universels de sécurité, imposent que le domaine soit en mode natif.

Un domaine peut être converti en mode natif quels que soient les modes des autres domaines de la forêt.

Le passage du mode mixte au mode natif est unidirectionnel ; autrement dit, vous ne pouvez pas passer du mode natif au mode mixte.

Attention

Unités d'organisation

Hiérarchie des unités d'organisation

Contrôle administratif des unités d'organisation

Unités d'organisation et modèle à domaine unique

Structure organisationnelle Structure

Structure organisationnelleorganisationnelle

Ventes Paris

Réparation

Utilisateurs Ventes

Ordinateurs Modèle d'administration de réseau Modèle d'administration de réseau Modèle d'administration de réseau

Une unité d'organisation est un objet conteneur utilisé pour organiser les objets d'un domaine. Une unité d'organisation contient des objets tels que des comptes d'utilisateur, des groupes, des ordinateurs, des imprimantes, ainsi que d'autres unités d'organisation.

Hiérarchie des unités d'organisation

Vous pouvez utiliser les unités d'organisation pour regrouper des objets en une hiérarchie logique répondant aux besoins de votre entreprise. Par exemple, vous pouvez créer une hiérarchie d'unités d'organisation pour représenter les

éléments suivants d'une entreprise :

une structure organisationnelle reposant sur des services ou des limites géographiques ;

un modèle d'administration de réseau reposant sur des responsabilités administratives. Par exemple, une société peut charger un administrateur donné de l'ensemble des comptes d'utilisateur et un autre de l'ensemble des ordinateurs. Dans ce cas, vous créerez une unité d'organisation pour les utilisateurs et une autre pour les ordinateurs.

La hiérarchie des unités d'organisation au sein d'un domaine donné est

indépendante de la structure hiérarchique des unités d'organisation dans d'autres domaines ; chaque domaine peut implémenter sa propre hiérarchie d'unités d'organisations.

Objectif de la diapositive

Expliquer le rôle des unités d'organisation dans Active Directory.

Introduction

Une unité d'organisation est un conteneur dans lequel vous organisez des objets.

Contrôle administratif des unités d'organisation

Vous pouvez déléguer le contrôle administratif sur les objets présents dans une unité d'organisation. Pour ce faire, vous accordez des autorisations spécifiques pour l'unité d'organisation et les objets qu'elle contient à un ou plusieurs utilisateurs et groupes.

Pour une unité d'organisation, vous pouvez accorder un contrôle administratif complet (par exemple, un contrôle total sur tous les objets présents dans l'unité d'organisation) ou limité (par exemple, la capacité de modifier des informations de courrier électronique sur des objets utilisateur présents dans l'unité

d'organisation).

Unités d'organisation et modèle à domaine unique

Étant donné qu'un domaine Active Directory peut contenir des millions d'objets, de nombreuses sociétés pourront passer d'un modèle à plusieurs domaines à un modèle à domaine unique. Un modèle à domaine unique simplifie la gestion au niveau du domaine, notamment l'utilisation de certaines technologies de sécurité. Vous pouvez combiner les ressources d'un domaine dans des unités d'organisation en fonction des besoins de votre société, plutôt que de créer et de gérer plusieurs domaines. Vous pouvez facilement déplacer des objets entre différentes unités d'organisation au sein du domaine, imbriquer des unités d'organisation et en créer en fonction des besoins.

Arborescences et forêts

Japan.

Contoso.msft Japan.

Contoso.msft China.

Contoso.msft China.

Contoso.msft

Arborescence

Forêt

Contoso.msft Contoso.msft

(racine)

Domaine Windows NT 4.0

Domaine Windows NT 4.0

Approbation non transitive unidirectionnelle Approbation non transitive

unidirectionnelle Japan.

Nwtraders.msft Japan.

Nwtraders.msft China.

Nwtraders.msft China.

Nwtraders.msft

Nwtraders.msft Nwtraders.msft

Arborescence

Approbations transitives bidirectionnelles Approbations transitives

bidirectionnelles

Le premier domaine Windows 2000 que vous créez est le domaine racine de la forêt, qui contient la configuration et le schéma de la forêt. Des domaines lui sont ajoutés pour former la structure de l'arborescence ou la structure de la forêt, selon les exigences pour les noms de domaine.

Voici quelques raisons justifiant la création de plusieurs domaines : des contraintes différentes en matière de mots de passe, selon les organisations ;

un grand nombre d'objets ;

des noms de domaine Internet différents ; un meilleur contrôle de la duplication ; l'administration décentralisée du réseau.

Arborescences

Une arborescence est une organisation hiérarchique de domaines Windows 2000 partageant un espace de noms contigu.

Lorsque vous ajoutez un domaine à une arborescence, le nouveau domaine est un domaine enfant d'un domaine parent existant. Le nom d'un domaine enfant est combiné au nom de son domaine parent pour former son nom DNS.

Par exemple, Contoso, Ltd., dont le domaine Active Directory actuel est Contoso.msft, a fait l'acquisition de deux nouvelles sociétés, une en Chine et l'autre au Japon. Pour permettre l'administration des domaines dans les langues de chacun de ces pays, la société décide d'ajouter deux nouveaux domaines à l'arborescence actuelle du domaine plutôt que de créer des unités d'organisation dans le domaine existant. Ainsi, les domaines obtenus, China.Contoso.msft et Japan.Contoso.msft, constituent un espace de noms contigu dont la racine est Contoso.msft. L'administrateur peut accorder aux comptes appartenant à n'importe lequel des trois domaines de l'arborescence des autorisations d'accès aux ressources.

Objectif de la diapositive

Illustrer la manière dont les domaines constituent des arborescences et des forêts.

Introduction Le premier domaine Windows 2000 que vous créez est le domaine racine.

Conseils pédagogiques Cette diapositive est animée. Au départ, elle montre un seul domaine.

Lorsque vous parlerez des arborescences, cliquez pour ajouter des domaines à la diapositive. Lorsque vous traiterez des forêts, cliquez pour ajouter une seconde arborescence. Lorsque vous discuterez des approbations non transitives

unidirectionnelles, cliquez pour ajouter une approbation

unidirectionnelle. Lorsque vous parlerez des approbations transitives bidirectionnelles, cliquez pour ajouter des approbations bidirectionnelles.

Forêts

Une forêt est un regroupement d'arborescences qui ne partagent pas un espace de noms contigu. Les arborescences d'une forêt partagent une configuration, un schéma et un catalogue global communs. Par défaut, le nom du domaine racine de la forêt est utilisé pour désigner une forêt donnée.

Chaque arborescence d'une forêt dispose d'un espace de noms unique qui lui est propre. Par exemple, Contoso, Ltd. crée une société distincte nommée

Northwind Traders. Contoso, Ltd. décide de lui affecter un nouveau nom de domaine Active Directory, Nwtraders.msft. Les deux sociétés ne partagent aucun espace de noms commun ; pourtant, en ajoutant un nouveau domaine Active Directory en tant que nouvelle arborescence d'une forêt existante, les deux sociétés sont en mesure de partager des ressources et des fonctions administratives.

Relations d'approbation

Active Directory prend en charge deux formes de relations d'approbation : les approbations non transitives unidirectionnelles et les approbations transitives bidirectionnelles.

Approbations non transitives unidirectionnelles

Dans une relation d'approbation unidirectionnelle, si le domaine A approuve le domaine B, l'inverse ne se vérifie pas automatiquement.

Dans une relation d'approbation non transitive, si le domaine A approuve le domaine B et que le domaine B approuve le domaine C, le domaine A n'approuve pas automatiquement le domaine C.

Les réseaux Windows NT utilisent des relations d'approbation non transitives unidirectionnelles. Vous créez manuellement ces relations entre les domaines existants. Dans un large réseau, cette forme d'approbation impose une charge administrative importante.

Active Directory prend en charge les approbations non transitives

unidirectionnelles pour les connexions aux réseaux Windows NT. Vous pouvez également créer des approbations non transitives unidirectionnelles entre des domaines Active Directory. Par exemple, si vous voulez autoriser un partenaire externe à accéder lors d'un projet commun aux ressources d'un domaine particulier, vous devez créer une relation d'approbation non transitive unidirectionnelle entre les domaines interne et externe.

Approbations transitives bidirectionnelles

Dans une relation d'approbation bidirectionnelle, si le domaine A approuve le domaine B, le domaine B approuve le domaine A.

Dans une relation d'approbation transitive, si le domaine B approuve le domaine A et que le domaine C approuve également le domaine A, le domaine B approuve automatiquement le domaine C, de même que le domaine C approuve automatiquement le domaine B.

Lorsqu'il existe une approbation transitive bidirectionnelle entre deux domaines, vous pouvez accorder des autorisations sur des ressources d'un des domaines à des comptes d'utilisateur et de groupe de l'autre domaine, et inversement. Les relations d'approbation transitives bidirectionnelles sont les relations par défaut entre les domaines Windows 2000.

Schéma

Utilisateurs Utilisateurs

Serveurs Serveurs

Les attributs d'Utilisateurs peuvent contenir : Les

Lesattributsattributs d'Utilisateurs d'Utilisateurs peuvent contenir

peuvent contenir:: ListeListeListe d'attributsd'attributsd'attributs accountExpires badPasswordTime mail

cAConnect dhcpType eFSPolicy fromServer governsID Name

…

accountExpires badPasswordTime mail

cAConnect dhcpType eFSPolicy fromServer governsID Name

… accountExpires

badPasswordTime mail

name accountExpires badPasswordTime mail

name

Exemples Exemples d'attributs d'attributs:: Ordinateurs

Ordinateurs Exemples Exemples de classes de classes d'objets d'objets::

Disponible dynamiquement, peut être mis à jour, protégé par DACL

Disponible dynamiquement, peut être mis à jour, protégé par DACL

Le schéma du service d'annuaire Active Directory contient les définitions de tous les objets, tels que les ordinateurs, les utilisateurs et les imprimantes stockés dans Active Directory.

Il existe deux types de définitions dans le schéma : les classes et les attributs.

Les classes, également appelées classes d'objets, décrivent les objets d'annuaire qui peuvent être créés. Chaque classe est une collection d'attributs. Les attributs sont définis indépendamment des classes. Chaque attribut est défini une seule fois et peut être utilisé dans plusieurs classes. Par exemple, l'attribut Description est utilisé dans de nombreuses classes, mais il n'est défini qu'une seule fois dans le schéma, afin d'en garantir la cohérence.

Lorsque vous créez un objet, les attributs de cet objet contiennent des

informations qui décrivent l'objet. Les utilisateurs peuvent rechercher des objets dans Active Directory en recherchant des attributs spécifiques. Par exemple, un utilisateur peut rechercher une imprimante dans un bâtiment donné en

recherchant l'attribut Emplacement de la classe d'objet des imprimantes.

Dans Windows 2000, il n'y a qu'un seul schéma pour l'ensemble de la forêt, de sorte que tous les objets créés dans Active Directory se conforment aux mêmes règles. Lorsque des modifications sont apportées au schéma, elles sont

dupliquées sur chaque contrôleur de domaine de la forêt.

Le schéma est stocké dans une base de données (contrairement aux annuaires, qui comportent un schéma conservé sous forme de fichier texte et lu au démarrage). Ce stockage dans une base de données signifie que le schéma :

peut être mis dynamiquement à la disposition des applications utilisateur ; peut être mis à jour dynamiquement ;

peut utiliser des listes de contrôle d'accès discrétionnaires (DACL, Discretionary Access Control List) pour protéger l'ensemble des classes et des attributs.

Objectif de la diapositive

Expliquer le rôle du schéma dans Active Directory.

Introduction

Le schéma définit tous les objets Active Directory.

Logiquement, le schéma est stocké dans une partition d'annuaire de la base de données Active Directory. Une partition d'annuaire est une unité de

duplication. Le schéma est traité comme un objet Active Directory, dont le nom complet est le suivant :

CN=schéma, CN=configuration, DC=nom_domaine, DC=racine_domaine Le fichier de la base de données Active Directory s'appelle Ntds.dit et se trouve dans racine_système\Ntds. Outre le schéma, ce fichier contient toutes les informations stockées dans Active Directory. Lorsque vous installez Active Directory sur le premier contrôleur de domaine de votre réseau, un schéma par défaut est créé avec la plupart des définitions d'objet nécessaires à un réseau.

Structure physique

Sites

Contrôleurs de domaine

SiteSite Domaine

Domaine

Dans Active Directory, la structure logique est séparée de la structure physique.

Vous utilisez la structure logique pour organiser vos ressources réseau, tandis que vous utilisez la structure physique pour configurer et gérer votre trafic réseau. La structure physique d'Active Directory se compose de sites et de contrôleurs de domaine.

La structure physique d'Active Directory définit le lieu et le moment où est généré le trafic lié à la duplication et aux ouvertures de session. Pour être en mesure d'optimiser le trafic réseau et le processus d'ouverture de session, il est essentiel de comprendre les composants physiques d'Active Directory . Par ailleurs, ces informations peuvent vous aider à résoudre certains problèmes de duplication et d'ouverture de session.

Objectif de la diapositive

Présenter les composants fondamentaux de la structure physique d'Active Directory.

Introduction La structure physique d'Active Directory est séparée de sa structure logique.

Sites

Chicago Seattle

Los Angeles

New York

Sous

Site

Sous--réseau réseau IPIP

Sous

Sous--réseau réseau IPIP

Un site est une combinaison d'un ou de plusieurs sous-réseaux IP connectés par une liaison à grande vitesse. Définir des sites vous permet de configurer l'accès à Active Directory et la topologie de duplication de telle manière que

Windows 2000 exploite les liaisons les plus rapides et planifie au mieux le trafic de duplication et d'ouverture de session.

Deux raisons fondamentales justifient la création de sites : optimiser le trafic lié à la duplication ;

permettre aux utilisateurs de se connecter à un contrôleur de domaine en utilisant une connexion rapide fiable.

Les sites mappent la structure physique de votre réseau, tandis que les domaines mappent la structure logique de votre organisation. Les structures logique et physique sont indépendantes l'une de l'autre ; cette caractéristique a les conséquences ci-dessous.

Aucune corrélation n'est nécessaire entre la structure physique de votre réseau et la structure des domaines.

Active Directory autorise plusieurs domaines dans un même site, ainsi que plusieurs sites dans un même domaine.

Aucune corrélation n'est nécessaire entre les espaces de noms des sites et des domaines.

Objectif de la diapositive

Illustrer le concept de site en tant qu'objet

physiquement discret.

Introduction Un site est un ensemble constitué d'un ou plusieurs sous-réseaux IP.

Il ne s'agit que d'une vue d'ensemble des sites en tant que composants de la structure physique d'Active Directory. Le module 4,

« Création de la structure physique d'Active

Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique, décrit

l'implémentation des sites.

Contrôleurs de domaine

Domaine Domaine Contrôleur de domaine

Contrôleur de domaine Utilisateur1

Utilisateur2 Utilisateur1

Utilisateur2 Duplication

Duplication Duplication

Contrôleur de domaine Contrôleur de domaine

Un contrôleur de domaine est un ordinateur exécutant Windows 2000 Server qui stocke un réplica de l'annuaire. Il gère également les modifications apportées aux informations de l'annuaire et les duplique vers d'autres contrôleurs du même domaine. Les contrôleurs de domaine stockent les données de l'annuaire et gèrent les processus d'ouverture de session des utilisateurs, l'authentification et les recherches effectuées dans l'annuaire.

Un domaine peut disposer d'un ou plusieurs contrôleurs. Une petite société qui utilise un seul réseau local (LAN, Local Area Network) aura juste besoin d'un domaine avec deux contrôleurs pour garantir une disponibilité adaptée et une tolérance de panne. En revanche, une grande société comprenant de nombreuses entités dispersées géographiquement aura besoin d'un ou plusieurs contrôleurs de domaine dans chacune de ses entités pour assurer les mêmes services.

Active Directory utilise la duplication à plusieurs maîtres, dans laquelle aucun contrôleur ne constitue à lui seul le contrôleur de domaine maître. À l'inverse, tous les contrôleurs d'un même domaine et exécutant Windows 2000

contiennent une copie modifiable en écriture de l'annuaire. Toutefois, les contrôleurs peuvent contenir des informations différentes sur de courtes périodes jusqu'à ce que tous les contrôleurs aient synchronisé leurs modifications avec Active Directory.

Objectif de la diapositive Décrire le rôle des contrôleurs de domaine dans la structure physique.

Introduction

Un contrôleur de domaine Windows 2000 stocke un réplica d'Active Directory.

Rôles des contrôleurs de domaine spécifiques

Serveur de catalogue global

Opérations principales simples

Active Directory prend en charge les mises à jour à plusieurs maîtres de l'annuaire entre tous les contrôleurs de domaine d'un domaine. Toutefois, certaines modifications sont irréalisables en mode de duplication à plusieurs maîtres du fait du trafic généré par ce mode et des conflits potentiels sur certaines opérations essentielles. Pour ces raisons, des rôles spéciaux, tels que serveur de catalogue global ou opérations principales simples, sont affectés uniquement à des contrôleurs de domaine spécifiques. Il est important de comprendre ces rôles, car si un contrôleur de domaine chargé d'un de ces rôles n'est pas disponible, les fonctions propres à ce rôle dans Active Directory ne le seront pas non plus.

Objectif de la diapositive

Présenter les rôles affectés uniquement à des contrôleurs de domaine spécifiques dans Active Directory.

Introduction Dans Active Directory, certaines responsabilités sont réservées à des contrôleurs de domaine spécifiques.

Serveur de catalogue global

Catalogue global Catalogue global Catalogue global

Serveur de catalogue global Serveur de catalogue global

Attributs d'objets Attributs d'objets

Domaine Domaine

Domaine Domaine

Domaine Domaine

Requêtes Requêtes Requêtes

Adhésion à un groupe lorsque l'utilisateur

ouvre une session Adhésion

Adhésion à à un groupeun groupe lorsque l'utilisateur lorsque l'utilisateur

ouvre une ouvre une sessionsession

Le catalogue global est un référentiel d'informations qui contient un

sous-ensemble d'attributs relatifs à tous les objets Active Directory. Par défaut, les attributs stockés dans le catalogue global sont les plus fréquemment utilisés dans les requêtes (par exemple, le prénom, le nom et le nom d'ouverture de session d'un utilisateur). Le catalogue global contient les informations nécessaires pour déterminer l'emplacement de tout objet figurant dans l'annuaire.

Un serveur de catalogue global est un contrôleur de domaine qui conserve une copie du catalogue global et traite les requêtes qui lui sont destinées. Le premier contrôleur de domaine que vous créez dans Active Directory est un serveur de catalogue global. Vous pouvez configurer d'autres contrôleurs de domaine comme serveurs de catalogue global pour répartir le trafic lié à l'authentification des ouvertures de session et aux requêtes.

Le catalogue global remplit deux rôles d'annuaire importants.

Il permet à un utilisateur d'ouvrir une session sur le réseau en fournissant à un contrôleur de domaine des informations sur l'adhésion à un groupe universel lorsqu'un processus d'ouverture de session est lancé.

Il permet à un utilisateur de trouver des informations d'annuaire dans la forêt entière, quel que soit l'emplacement des données.

Objectif de la diapositive

Illustrer le rôle du serveur de catalogue global.

Introduction

Le catalogue global contient des informations concernant tous les objets Active Directory.

Catalogue global et processus d'ouverture de session

Lorsqu'un utilisateur ouvre une session sur un domaine en mode natif, le serveur de catalogue global fournit, au contrôleur de domaine qui traite les informations sur l'ouverture de session de l'utilisateur, des informations sur l'adhésion à un groupe universel correspondant au compte de l'utilisateur. Si aucun serveur de catalogue global n'est disponible lorsqu'un utilisateur engage le processus d'ouverture de session réseau et que l'utilisateur a précédemment ouvert une session sur le domaine, Windows 2000 utilise des informations d'identification mises en cache pour ouvrir une session pour l'utilisateur. Si l'utilisateur n'a pas précédemment ouvert de session sur le domaine, l'utilisateur peut uniquement ouvrir une session sur l'ordinateur local (toutefois, si

l'utilisateur est membre du groupe Administrateurs du domaine, il peut ouvrir une session sur le réseau, même si le serveur de catalogue global n'est pas disponible).

Un serveur de catalogue global est également requis lorsqu'un utilisateur ouvre une session avec un nom principal d'utilisateur et que le contrôleur de domaine d'authentification ne connaît pas directement le compte. Par exemple, si David Dubois, dont le compte se trouve dans Contoso.msft, utilise un ordinateur se trouvant dans le domaine Canada.Contoso.msft, il ouvrira une session en tant que DavidD@Contoso.msft. Si le contrôleur du domaine Canada.Contoso.msft ne parvient pas à authentifier le compte d'utilisateur de David Dubois, il doit contacter un serveur de catalogue global pour terminer le processus d'ouverture de session.

Dans un réseau à un seul domaine, aucun serveur de catalogue n'est requis pour le processus d'ouverture de session, car chaque contrôleur de domaine contient les informations nécessaires pour authentifier un utilisateur.

Catalogue global et recherches

Les serveurs de catalogue global améliorent les performances des recherches effectuées à l'échelle d'une forêt dans Active Directory. Par exemple, lorsque vous recherchez l'ensemble des imprimantes présentes dans une forêt, un serveur de catalogue global exécute la requête sur le catalogue global, puis renvoie les résultats. Sans serveur de catalogue global, cette requête nécessiterait une recherche sur chaque domaine de la forêt.

Le serveur de catalogue global est conçu pour répondre aux requêtes concernant des objets situés n'importe où dans l'arborescence ou la forêt de domaines et ce, le plus rapidement possible et avec un trafic réseau minimal. Étant donné qu'un seul et unique serveur de catalogue global contient les informations sur tous les objets présents dans tous les domaines de la forêt, une requête concernant un objet peut être résolue par un serveur de catalogue global situé dans le domaine où la requête a été lancée. Ainsi, la recherche d'informations dans l'annuaire ne génère pas de trafic superflu lié aux requêtes sur l'ensemble des domaines.

Rappelez aux stagiaires que les groupes universels de sécurité ne sont disponibles qu'en mode natif.

Opérations principales simples

Maître de schéma

Maître de dénomination de domaine

Maître d'identificateur relatif

Émulateur de contrôleur principal de domaine

Maître d'infrastructure

Un maître d'opérations est un contrôleur de domaine auquel ont été affectés un ou plusieurs rôles d'opérations principales simples dans un domaine ou une forêt Active Directory. Les contrôleurs de domaine auxquels ces rôles sont affectés exécutent des opérations qui ne sont pas autorisées simultanément sur différents contrôleurs de domaine du réseau.

Le contrôleur de domaine qui contrôle l'opération en question possède ce rôle d'opération principale simple. La propriété de ces opérations principales simples peut être transférée à d'autres contrôleurs de domaine.

Chaque forêt Active Directory doit disposer de contrôleurs de domaine qui remplissent deux des cinq rôles d'opérations principales simples. Les rôles à l'échelle de la forêt sont les suivants :

maître de schéma ;

maître de dénomination de domaine.

Chaque domaine Active Directory doit disposer de contrôleurs de domaine qui remplissent trois des cinq rôles d'opérations principales simples. Les rôles à l'échelle du domaine sont les suivants :

maître d'identificateur relatif (RID, Relative Identifier) ; émulateur de contrôleur principal de domaine ;

maître d'infrastructure.

Maître de schéma

Le contrôleur de domaine maître de schéma contrôle toutes les mises à jour et modifications apportées au schéma. Pour mettre à jour le schéma d'une forêt, vous devez avoir accès au maître de schéma.

Objectif de la diapositive Décrire les rôles des opérations principales simples.

Introduction

Un maître d'opérations est un contrôleur de domaine chargé d'un rôle d'opération principale simple.

Maître de dénomination de domaine

Le maître de dénomination de domaine contrôle l'ajout ou la suppression de domaines dans la forêt.

Maître d'identificateur relatif

Ce maître alloue des séquences d'identificateurs relatifs à chacun des différents contrôleurs de domaine au sein de son propre domaine.

Lorsqu'un contrôleur de domaine crée un objet utilisateur, groupe ou ordinateur, il affecte à cet objet un identificateur de sécurité unique (SID, Security

Identifier). Cet identificateur est composé d'un identificateur de sécurité de domaine (identique pour tous les identificateurs de sécurité créés dans le domaine) et d'un identificateur relatif unique pour chaque identificateur relatif créé dans le domaine.

Émulateur de contrôleur principal de domaine

Si le domaine comprend des ordinateurs qui n'exécutent pas le logiciel client Windows 2000, ou s'il contient des contrôleurs de domaine exécutant

Windows NT, l'émulateur de contrôleur principal de domaine fonctionne en tant que contrôleur principal de domaine Windows NT 4.0, répondant aux demandes des clients et dupliquant les mises à jour vers les contrôleurs de domaine secondaires exécutant Windows NT.

Dans un domaine Windows 2000 fonctionnant en mode natif, l'émulateur de contrôleur principal de domaine reçoit une duplication préférentielle des changements de mots de passe effectués par d'autres contrôleurs de domaine présents dans le domaine. Si un mot de passe a été changé récemment, la duplication du changement sur chaque contrôleur de domaine dans le domaine est relativement longue. Lorsque l'authentification d'une ouverture de session échoue sur un autre contrôleur de domaine à cause d'un mot de passe erroné, ce contrôleur de domaine transmet la demande d'authentification à l'émulateur de contrôleur principal de domaine avant de refuser la demande d'ouverture de session.

Maître d'infrastructure

Le maître d'infrastructure est responsable de la mise à jour des références groupe-utilisateur lorsque des adhésions à des groupes sont modifiées.

Si des modifications sont apportées aux comptes d'utilisateur et aux adhésions aux groupes dans les différents domaines, il se produira un décalage entre le moment où vous renommerez un compte d'utilisateur et le moment où le groupe contenant l'utilisateur affichera le nouveau nom de compte. Le maître

d'infrastructure du domaine du groupe est responsable de cette mise à jour ; il la distribue par le biais d'une duplication à plusieurs maîtres.

Installation d'Active Directory

Préparation de l'installation d'Active Directory

Création du domaine racine

Ajout d'un contrôleur de domaine à un domaine

Création d'un domaine enfant

Création d'une arborescence dans une forêt

Windows 2000 fournit l'Assistant Installation de Active Directory pour vous guider tout au long du processus d'installation d'Active Directory afin de créer des contrôleurs de domaine et définir des domaines. Lorsque vous installez Active Directory, vous créez les éléments suivants :

une nouvelle forêt, à savoir le domaine racine (premier domaine de la forêt) et le premier contrôleur de domaine ;

un contrôleur de domaine supplémentaire dans un domaine Windows 2000 existant ;

un nouveau domaine enfant et son contrôleur de domaine dans une arborescence existante ;

une nouvelle arborescence et son contrôleur de domaine dans une forêt existante.

Exécutez Dcpromo.exe pour démarrer l'Assistant Installation de Active Directory. Vous pouvez également utiliser DCPromo.exe pour désinstaller Active Directory, changeant ainsi l'ordinateur contrôleur de domaine en ordinateur serveur membre.

Lorsque vous utilisez l'Assistant Installation de Active Directory, vous spécifiez l'emplacement d'un contrôleur de domaine au sein de la structure Active Directory. Vous spécifiez également des informations détaillées, telles que le nom du domaine et l'emplacement des fichiers créés au cours du processus d'installation.

La compréhension du processus d'installation d'Active Directory vous permet d'éviter certains problèmes éventuels d'installation et vous prépare à

implémenter Active Directory sur votre réseau.

Objectif de la diapositive

Présenter les tâches liées à l'installation d'Active Directory.

Introduction L'installation d'Active Directory est effectuée par le biais d'un Assistant.

Une fois Active Directory installé, vous allez configurer les structures logique et physique du domaine.

Vous apprendrez à configurer la structure physique dans le module 4,

« Création de la structure physique d'Active Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique.

Vous apprendrez à configurer la structure logique d'un domaine en créant des unités d'organisation et des objets dans le module 5, « Administration d'Active Directory » du cours 1642B, De Microsoft Windows NT 4.0 à Microsoft Windows 2000 : Actualisation des compétences de support technique.

Ces informations ont pour but de présenter les différentes tâches à effectuer pour configurer un domaine Windows 2000 afin que les stagiaires puissent comprendre la relation entre les structures logique et physique et l'installation d'Active Directory.

Préparation de l'installation d'Active Directory

Configuration requise pour l'installation d'Active Directory

Plan d'implémentation d'Active Directory

Options d'installation

~

~ouou~~ Contrôleur de domaine

du nouveau domaine Contrôleur de domaine

du nouveau domaine Contrôleur de domaine supplémentaire Contrôleur de domaine

supplémentaire

Nouvelle arborescence de domaine Nouvelle arborescence

de domaine Domaine enfantDomaine enfant

Nouvelle forêt

Nouvelle forêt Forêt existanteForêt existante

~ou~ou~~

~

~ouou~~

Avant d'installer Active Directory, vous devez vous assurer que votre serveur et votre réseau disposent bien de la configuration requise.

Configuration requise pour l'installation d'Active Directory

La liste suivante répertorie les éléments requis pour installer Active Directory : un ordinateur exécutant Windows 2000 Server, Windows 2000 Advanced Server ou Windows 2000 Datacenter Server ;

une partition ou un volume au format NTFS (Windows NT File System) ; un espace disque suffisant pour l'annuaire (1 gigaoctet recommandé) ; le protocole TCP/IP installé et configuré pour utiliser le système DNS ; un serveur DNS prenant en charge les enregistrements de ressources (Service Resource Record) ainsi que le protocole de mise à jour dynamique DNS (facultatif).

L'Assistant Installation de Active Directory permet d'installer le service Serveur DNS lorsque vous installez le premier contrôleur de domaine dans un nouveau domaine si aucun serveur DNS autorisé sur le domaine ne peut être trouvé ou que le serveur DNS ne prend pas en charge la mise à jour dynamique DNS .

En outre, vous devez obtenir les informations d'identification réseau nécessaires pour créer un domaine si vous créez un domaine ou un contrôleur de domaine dans un réseau Windows 2000 existant. Ces informations d'identification sont le nom d'ouverture de session d'un compte d'utilisateur, le mot de passe du compte et le nom du domaine. Le compte d'utilisateur doit disposer des privilèges d'administration suffisants pour créer un contrôleur de domaine.

Objectif de la diapositive Expliquer les tâches préalables à l'installation d'Active Directory.

Introduction Avant d'installer Active Directory, vous devez vérifier que l'ordinateur et le réseau disposent bien de la configuration requise.

Remarque

Plan d'implémentation d'Active Directory

Pour implémenter efficacement Active Directory, vous avez besoin d'un plan définissant la structure de réseau que vous allez créer avec Active Directory.

Généralement, c'est un architecte de réseau qui développe le plan

d'implémentation. Ce plan doit vous fournir les informations dont vous avez besoin pour créer la forêt Active Directory, notamment les noms de domaine DNS ainsi que les noms NetBIOS (Network Basic Input/Output System).

Options d'installation

Lorsque vous installez Active Directory sur un ordinateur exécutant

Windows 2000 Server, vous spécifiez dans quel domaine cet ordinateur jouera le rôle de contrôleur de domaine. Les options de l'Assistant Installation de Active Directory sont présentées dans l'illustration suivante :

Vous avez le choix parmi ces options pour chaque contrôleur de domaine que vous créez. Une fois la sélection effectuée, l'Assistant Installation de Active Directory vous guide dans la spécification des données nécessaires au nouveau contrôleur de domaine. Ces informations varient en fonction des options sélectionnées.

Lorsque vous installez Active Directory, les résultats de chacune des étapes de la procédure d'installation sont répertoriés dans des fichiers journaux créés à cet effet. Ces derniers sont enregistrés dans le dossier racine_système\Debug.

Les options d'installation sont expliquées en détail dans les pages suivantes.

Cette illustration a pour but de fournir aux stagiaires une vue d'ensemble des décisions liées à l'utilisation de l'Assistant Installation de Active Directory.

- ou -

- ou -

Contrôleur de domaine pour le nouveau domaine

Contrôleur de domaine supplé- mentaire dans le domaine existant - ou -

Nouvelle arborescence Domaine enfant

Nouvelle forêt Rejoindre la forêt existante

Création du domaine racine

Démarrez l'Assistant d'installation

Sélectionnez le contrôleur de domaine et le type de domaine

Spécifiez les informations requises

Noms de domaine, DNS et NetBIOS

Emplacement de la base de données, du journal et du volume système partagé

Sélectionnez l'assouplissement des autorisations

Active Directory est installé

L'ordinateur est le contrôle de domaine

Les outils d'Active Directory sont ajoutés

Lorsque vous installez Active Directory pour la première fois sur un réseau, vous créez le premier contrôleur de domaine de la forêt, autrement dit, le domaine racine. Le domaine racine contient les informations de configuration et de schéma relatives à la forêt.

Pour créer le domaine racine de la forêt, exécutez Dcpromo.exe afin de

démarrer l'Assistant Installation de Active Directory. Spécifiez les informations contenues dans le tableau suivant :

Dans cette page de l'Assistant Procédez comme suit Type de contrôleur de

domaine

Cliquez sur Contrôleur de domaine pour un nouveau domaine.

Créer une arborescence ou un domaine enfant

Cliquez sur Créer une nouvelle arborescence de domaine.

Créer ou rejoindre une forêt Cliquez sur Créer une nouvelle forêt d'arborescence de domaines.

Nouveau nom de domaine Spécifiez le nom DNS du nouveau domaine. Si votre réseau doit être présent sur Internet, vérifiez que vous disposez bien d'un nom de domaine Internet inscrit.

Nom de domaine NetBIOS Spécifiez le nom NetBIOS du nouveau domaine. Ce nom est utilisé pour identifier le contrôleur de domaine auprès des ordinateurs clients exécutant des versions antérieures de Windows.

Objectif de la diapositive

Décrire les étapes de la création du domaine racine.

Introduction

Le premier domaine que vous créez avec Active Directory est le domaine racine de la forêt.

(suite)

Dans cette page de l'Assistant Procédez comme suit Emplacement de la base de

données et du journal

Spécifiez les emplacements de la base de données et des fichiers journaux d'Active Directory. La base de données stocke l'annuaire du nouveau domaine, tandis que le fichier journal consigne

temporairement les modifications apportées à la base de données. L'emplacement par défaut est racine_système\NTDS. Pour des performances optimales, placez la base de données et les fichiers journaux sur des disques durs distincts.

Volume système partagé Spécifiez l'emplacement du volume système partagé. Le volume système partagé est une structure de dossiers hébergée sur l'ensemble des contrôleurs de domaine exécutant Windows 2000.

Le volume système partagé stocke des fichiers et des informations de stratégie de groupe qui sont dupliquées entre les contrôleurs de domaine. Vous devez spécifier une partition ou un volume formaté avec NTFS.

Autorisations Indiquez si les autorisations par défaut sur les objets utilisateur et groupe doivent être définies pour être compatibles avec les ordinateurs exécutant des versions antérieures de Windows ou uniquement avec les serveurs exécutant Windows 2000. Le fait d'activer les autorisations compatibles avec les versions antérieures à Windows 2000 ajoute le groupe Tout le monde au groupe Accès compatible Pre-Windows 2000. Ce groupe est autorisé à accéder en lecture aux attributs des objets utilisateur et groupe qui existaient dans Windows NT 4.0.

Sélectionnez cette option uniquement après avoir bien réfléchi aux conséquences qu'auront des autorisations assouplies sur la sécurité d'Active Directory.

Mot de passe administrateur de Restauration des services d'annuaire

Spécifiez le mot de passe à utiliser au démarrage de l'ordinateur en mode restauration des services d'annuaire.

Une fois les informations d'installation spécifiées, l'Assistant procède à l'Installation de Active Directory proprement dite, convertit l'ordinateur en contrôleur de domaine et ajoute les consoles ci-dessous au menu Outils d'administration de l'ordinateur.

Domaines et approbations Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer des approbations entre domaines et des suffixes de nom principal d'utilisateur, ainsi que pour changer le mode de fonctionnement des domaines.

Sites et services Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer la duplication des données Active Directory, notamment les informations relatives aux contrôleurs de domaine, aux sites, à la duplication intersite et à la duplication des configurations des services réseau.

Utilisateurs et ordinateurs Active Directory. Il s'agit de la console de gestion que vous utilisez pour administrer et publier des informations dans l'annuaire.

Ajout d'un contrôleur de domaine à un domaine

Démarrez l'Assistant d'installation

Sélectionnez le type de contrôleur de domaine

Spécifiez les informations requises

Informations d'identification réseau

Nom DNS du domaine à joindre

Emplacement de la base de données, du journal et du volume système partagé

Active Directory est installé

Après avoir créé un domaine, vous devez créer un contrôleur de domaine supplémentaire dans ce domaine afin de fournir à Active Directory les fonctions de tolérance de panne et de répartition des charges.

Pour ajouter un contrôleur de domaine à un domaine existant, exécutez Dcpromo.exe afin de démarrer l'Assistant Installation de Active Directory.

Spécifiez les informations contenues dans le tableau suivant : Dans cette page de l'Assistant Procédez comme suit

Type de contrôleur de domaine

Cliquez sur Contrôleur de domaine supplémentaire pour un domaine existant.

Informations d'identification réseau

Spécifiez les nom d'utilisateur, mot de passe et nom de domaine d'un compte d'utilisateur autorisé à créer des contrôleurs de domaine dans Active Directory.

Contrôleur de domaine supplémentaire

Spécifiez le nom DNS du domaine existant pour lequel cet ordinateur va devenir un contrôleur de domaine supplémentaire.

Emplacement de la base de données et du journal

Spécifiez les emplacements de la base de données et des fichiers journaux d'Active Directory.

Volume système partagé Spécifiez l'emplacement du volume système partagé.

Mot de passe administrateur de Restauration des services d'annuaire

Spécifiez le mot de passe à utiliser au démarrage de l'ordinateur en mode restauration des services d'annuaire.

Une fois les informations d'installation spécifiées, l'Assistant Installation de Active Directory convertit l'ordinateur en contrôleur de domaine, duplique Active Directory à partir d'un contrôleur de domaine existant et ajoute les consoles Active Directory au menu Outils d'administration de l'ordinateur.

Objectif de la diapositive

Décrire les étapes de l'ajout d'un contrôleur de domaine à un domaine.

Introduction Vous devez avoir au minimum deux contrôleurs dans un domaine.