Introduction aux services de domaine Active Directory
Chapitre 1
A. Rôle du service d'annuaire dans l'entreprise . . . . 16
B. Positionnement et innovations de Windows Server 2008 R2 17
1. Version majeure de Windows Server. . . . 172. Évolutions en matière de sécurité . . . . 18
3. Accès aux applications et mobilité . . . 18
4. Virtualisation des serveurs . . . . 18
5. Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . 19
6. Innovations apportées à Active Directory . . . . 20
a. AD DS: Audit. . . . 20
b. AD DS: Gestion granulaire des stratégies de mot de passe . . . 21
c. AD DS: Contrôleurs de domaine en lecture seule . . . . 21
d. AD DS: Redémarrage des services de domaine Active Directory . 22 e. AD DS: Aide à la récupération des données . . . . 22
f. AD DS: Améliorations de l’interface Active Directory. . . 22
C. Windows Server 2008 R2 : stratégie de Microsoft . . . . 23
1. Intégration de l'innovation au sein de Windows Server . . . . 24
2. Le nouveau cycle de produits Windows Server . . . . 24
a. Versions majeures . . . . 25
b. Versions mises à jour . . . . 25
c. Service Packs . . . 25
d. Feature Packs . . . . 26
3. Windows Server 2008 et Windows Server 2008 R2 . . . . 26
D. Services fondamentaux et protocoles standard . . . . 27
Annuaires, opérations LDAP et services de domaine AD
Chapitre 2
A. À propos des annuaires . . . . 32
B. Un peu d'Histoire . . . . 33
C. LDAPv2 & LDAPv3 . . . . 34
D. Conformité LDAP de Windows 2000 . . . . 36
E. Conformité LDAP de Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 . . . 37
F. Compatibilité LDAP et support de la classe inetOrgPerson . 39 G. Objet RootDSE et extensions LDAPv3 . . . . 47
H. Authentifications LDAP et SASL . . . . 49
I. Références LDAP . . . . 50
Éléments de structure Active Directory Chapitre 3 A. Introduction . . . . 52
B. Objets. . . . 55
1. Classes et attributs d'objets . . . . 55
2. Création d'un attribut LDAP et valeur du Nom LDAP affiché . . . . 62
3. Protection des classes et attributs SYSTEM . . . . 67
4. Désactivation d'une classe ou d'un attribut . . . . 68
5. Objets, classes, attributs et intégration des applications. . . . 69
6. Outils d'administration en ligne de commande de Windows Server 2003 et Windows Server 2008 R2 . . . 70
C. Schéma . . . . 74
1. Construction de l'annuaire Active Directory et chargement du schéma par défaut. . . 74
2. Protection du schéma . . . . 78
D. Conventions de nommage . . . . 80
1. Le nom unique relatif (RDN - Relative Distinguished Name) . . . . 80
2. Le nom unique (DN - Distinguished Name) . . . . 81
3. Le nom canonique . . . . 82
4. Le GUID de l'objet (Globally Unique Identifier) . . . . 83
5. Le SID de l'objet . . . . 83
Composants de la structure logique Chapitre 4 A. Introduction aux composants de la structure logique . . . 90
B. Les domaines . . . . 90
1. Conteneur (container) au sein de la forêt . . . . 93
2. Niveaux fonctionnels des domaines . . . . 94
3. Gestion des stratégies au niveau des domaines . . . . 99
4. Délégation de l'administration des domaines et contrôle des paramètres spécifiques au domaine . . . 100
5. Utilisation du domaine comme unité de réplication élémentaire . . 104
6. Limites du domaine Active Directory et délégation contrainte . . . 105
C. Contrôleurs de domaine et structure logique. . . 109
D. Les unités d'organisation (OU) . . . 113
E. Les arbres . . . 119
F. Les forêts . . . 130
1. Critères, rôle et bon usage des forêts . . . . 132
2. Configuration de la forêt et domaine racine . . . . 132
3. Activation des nouvelles fonctionnalités de forêt de Windows Server 2003, Windows Server 2008
et de Windows Server 2008 R2 . . . 135
4. Unités de réplication et rôle des forêts . . . . 142
5. Maîtres d'opérations FSMO de forêts. . . . 145
6. La forêt et l'infrastructure physique Active Directory . . . . 146
7. Frontières de sécurité et rôle des forêts . . . . 148
8. Approbations au sein des forêts Active Directory. . . . 150
a. Bénéfices apportés par la transitivité des approbations . . . . 150
b. Structure de la forêt et approbations . . . . 152
c. Approbations et objets TDO dans les forêts Active Directory . . 153
d. Types d'approbation supportés. . . . 156
e. Forêts Windows Server (2003, 2008 ou 2008 R2) et approbations de forêts . . . 159
f. Routage des suffixes de noms et approbations de forêts . . . . 161
g. Utilisation de la commande Netdom pour créer et gérer les approbations . . . 164
G. Réussir le processus de mise à niveau d’Active Directory vers les services de domaine Active Directory de Windows Server 2008 (et R2) . . . 166
1. Vérifications et gestion des risques . . . . 167
2. Préparation de l’infrastructure Active Directory pour Windows Server 2008 ou Windows Server 2008 R2. . . 167
3. Mise en œuvre d’un nouveau contrôleur Windows Server 200 ou Windows Server 2008 R2 AD DS . . . 169
4. Réaffectation des rôles FSMO . . . . 170
5. Opérations de finalisation Post Migration . . . . 171
a. Modification des stratégies de sécurité des contrôleurs de domaine . . . 171
b. Mise à jour des autorisations des objets GPO pour les domaines migrés à partir de Windows 2000 . . . 173
Composants de la structure physique Chapitre 5
A. Introduction . . . 176
B. Contrôleurs de domaine et structure physique . . . 177
1. Catalogue global et ensemble partiel d'attributs . . . . 179
2. Rôle des catalogues globaux . . . . 181
3. Fonctions principales des catalogues globaux . . . . 182
4. Catalogues globaux et activation de l'appartenance aux groupes universels . . . 183
C. Sites et services Active Directory . . . 184
1. Qu'est-ce qu'un site Active Directory ? . . . . 185
2. Pourquoi créer un site ? . . . . 185
3. Sites et services . . . . 186
D. Réplication Active Directory . . . 188
1. Concept de la réplication intrasite . . . . 189
2. Réplication intrasite avec des contrôleurs Windows 2000 Server, Windows Server 2003, Windows Server 2008 et Windows Server 2008 R2 . . . 194
3. Concept de la réplication intersites . . . . 195
4. Création des objets connexion en intrasite et anneaux de réplication 196 5. Réplication intersites à l'aide des liens de sites et ponts de liaisons . 201 a. Les liens de sites . . . . 202
b. Choix du transport Intersites : IP (avec RPC) ou SMTP . . . . 204
c. Service système Messagerie intersites. . . . 206
d. Mise en œuvre du transport SMTP . . . . 206
6. Gestion des liens intersites et des coûts de réplication . . . . 208
a. Détermination de la planification et des coûts des liens intersites 208 b. Pourquoi désactiver le pontage par défaut de tous les liens de sites ? . . . 211
c. Effets de la désactivation de la transitivité sur le KCC et avantages dans les grands réseaux. . . 212
d. Effets de la désactivation de la transitivité sur la topologie DFS212
e. À propos des algorithmes utilisés par le KCC/ISTG . . . . 213
f. Création d'un nouveau pont entre liens de sites . . . 214
g. Gestion des serveurs tête de pont . . . . 214
h. Définition du générateur de topologie intersites . . . . 218
E. Résolution des problèmes de réplication . . . 219
F. Contrôle des réplications urgentes en intersites . . . 220
1. Événements pris en charge par les réplications urgentes . . . . . 220
2. Verrouillage des comptes utilisateur et réplication urgente . . . . . 221
3. Changements de mots de passe et réplication Active Directory . . . 223
4. Gestion des "Bad Passwords" et optimisation des trafics . . . . . 224
5. Activation des messages de notification de modifications sur un objet lien de site . . . 225
6. Administration des mots de passe à l'aide de la DLL Acctinfo.dll . . 226
G. Critères d'architecture à considérer pour définir la topologie de réplication intersites . . . 230
Services d'infrastructure Active Directory Chapitre 6 A. Introduction . . . 234
B. Recherches LDAP et catalogues globaux . . . 234
1. LDAP et la sécurité . . . . 235
2. Comment utiliser la commande LDP pour rechercher un objet via LDAP . . . 235
3. Récupération des syntaxes et attributs à l'aide de la console Utilisateurs et ordinateurs Active Directory . . . 237
4. Ajout, retrait de la fonction de catalogue global et ports TCP/IP . . 239
5. Ports réseaux utilisés par les contrôleurs
de domaine catalogues globaux. . . 241
C. Positionnement des catalogues globaux . . . 242
1. Authentifications et appartenance aux groupes universels de sécurité . . . 242
2. Indisponibilité des catalogues globaux . . . . 243
3. Personnalisation des attributs présents dans les catalogues globaux . . . 244
4. Mise en cache de l'appartenance des groupes universels . . . . . 245
5. Bonnes pratiques pour déterminer le positionnement des catalogues globaux . . . 249
D. Planification et critères d'emplacement et d'affectation des contrôleurs de domaine . . . 249
E. Planification et critères d'emplacement et d'affectation des catalogues globaux . . . 252
F. Planification et critères d'emplacement et d'affectation des serveurs DNS Active Directory . . . 253
G. Positionnement des maîtres d'opérations . . . 255
1. Rôle des contrôleurs maîtres d'opérations. . . . 255
2. Recommandations générales concernant l'emplacement des maîtres d'opérations . . . 260
3. Emplacement du contrôleur maître de schéma . . . . 261
4. Emplacement du contrôleur maître d'opérations de noms de domaines . . . 261
5. Emplacement du contrôleur maître d'opérations de PDC Emulator . . . 262
6. Emplacement du maître d'opérations RID . . . 263
7. Emplacement du maître d'opérations d'infrastructure . . . . 264
8. Prise de contrôle forcée des maîtres d'opérations . . . . 265
9. Bonnes pratiques à respecter et emplacement des maîtres d'opérations . . . 267
Maintenance d'une infrastructure Active Directory
Chapitre 7
A. Maintenance Active Directory avec
Windows Server 2008 et 2008 R2 . . . 270
B. Introduction à la maintenance Active Directory . . . 271
1. À propos du moteur de base de données ESE . . . . 272
a. Mise en cache et points importants . . . . 273
b. Fichiers utilisés par ESE . . . . 275
c. Nouvelle structure de fichiers Active Directory de Windows Server 200 et Windows Server 2008 R2 . . . 276
C. Opérations de maintenance Active Directory. . . 278
1. Introduction . . . . 278
2. Pourquoi est-il nécessaire de défragmenter ? . . . . 279
3. Comment défragmenter ? . . . . 280
a. Introduction . . . . 280
b. Pourquoi effectuer une défragmentation hors connexion ? . . . 280
c. Procédure de défragmentation . . . . 280
4. Pourquoi déplacer la base de données et les fichiers journaux ? . . 283
5. Comment déplacer la base de données ? . . . . 284
D. Sauvegarde de l'annuaire Active Directory. . . 285
1. Introduction . . . . 285
2. Pourquoi est-il vital de réaliser une sauvegarde ? . . . . 286
3. État du système (System State). . . . 286
4. Procédure de sauvegarde de l'Active Directory avec Windows Server 2003 . . . 288
E. Restauration de l'annuaire Active Directory avec Windows Server 2003 . . . 290
1. Introduction . . . . 290
2. Méthodes de restauration . . . . 291 a. Importance de la durée de vie des objets de désactivation . . . 292 3. Comment exécuter une restauration en mode principal
pour Windows Server 2003 ? . . . 293 4. Comment exécuter une restauration normale pour
Windows Server 2003 . . . 294 5. Comment exécuter une restauration forcée avec
Windows Server 2003 ?. . . 295
F. Outils et méthodes de Sauvegarde de
Windows Server 2008 et 2008 R2 . . . 296
1. Opérations prises en charge par l'outil Sauvegard
de Windows Server . . . 297 2. À propos des droits de sauvegarde et restauration et
de NTBackup 2003 . . . 297 3. Nouvelles fonctionnalités de Sauvegarde de Windows Server . . . 298 4. Différences entre NTBackup et Sauvegarde de Windows Server . . 300 5. Installation de l'outil Sauvegarde de Windows Server . . . . 301 6. Nouvelles fonctionnalités de l'outil Sauvegarde de Windows Server . 303 a. Composants Windows et opérations de sauvegardes . . . 303 b. Outil Sauvegarde de Windows Server, support de VSS
et performances. . . 303 c. Sauvegardes locales et clichés instantanés du support
de sauvegarde VHD . . . 304 d. Sauvegarde sur le réseau . . . . 306 e. Sauvegardes sur DVD . . . . 307 f. Sauvegardes de type Etat du système en ligne de commande. . 307 g. Sauvegarde d'un serveur via la console MMC . . . 311 h. Sauvegarde d'un serveur en ligne de commande . . . . 313
G. Opérations de sauvegarde et restauration Active Directory avec Windows Server 2008
et Windows Server 2008 R2 . . . 315
1. Récupération complète du système d'exploitation
Windows Server 2008 . . . 315
a. Restauration à l'aide de l'environnement de récupération WinRE 315 2. Récupération de l'état système d'un contrôleur de domaine
Windows Server 2008 ou 2008 R2 . . . 321
a. Clichés instantanés de la base Active Directory et consultation des données via l'outil Active Directory Database Mounting Tool - DMT . . . 321
H. Sauvegarde et restauration AD DS - Bonnes pratiques . . 325
I. Nouveaux paramètres de GPO pour les opérations de sauvegarde de Windows Server 2008 . . . 326
J. Maintenance de l'annuaire Active Directory . . . 328
1. Définir une politique de surveillance . . . . 328
2. Outils utilisés . . . . 329
a. L'observateur d'événements . . . . 330
b. L'analyseur de performances et le moniteur de fiabilité et de performances . . . 331
c. Journaux de surveillance et de traçage . . . . 338
3. Événements à auditer . . . . 340
a. Événements réseaux des contrôleurs de domaine . . . . 340
b. Événements de réplication . . . . 341
c. Événements d'authentification . . . . 341
4. Compteurs de performance à contrôler . . . . 342
a. Compteurs de performance pour le contrôle de la quantité de données répliquées . . . 342
b. Compteurs de performance pour le contrôle des fonctions et services principaux . . . 343
c. Compteurs de performance de contrôle des volumes de sécurité principaux . . . 344
d. Compteurs de performance pour le contrôles des principaux indicateurs du système . . . 344
5. Usage des bonnes pratiques pour surveiller Active Directory . . . . 346
Configuration des rôles de serveurs avec les services Active Directory
Chapitre 8
A. Introduction . . . 350
1. Services d'annuaire de Windows 2000 Server et services associés . 350 2. Services d'annuaire de Windows Server 2003 et services associés . 351 3. Services d'annuaire de Windows Server 2003 R2 et services associés. . . 355
4. Services d'annuaire de Windows Server 2008 R2 et services associés. . . 357
B. Nouvelles fonctionnalités des services de domaine AD DS de Windows Server 2008 et Windows Server 2008 R2 . . 357
1. Introduction . . . . 357
2. Rôle contrôleur de domaine et mode Server Core . . . . 358
a. À propos du mode Server Core . . . . 358
b. Limitations d'une installation en mode Server Core . . . . 361
c. Server Core et rôles Windows Server 2008 ou Windows Server 2008 R2 . . . 361
d. Installation de Windows Server 2008 en mode Server Core . . 363
e. Installation d'un contrôleur RODC en mode Server Core . . . . 370
3. Rôle de contrôleur de domaine en mode lecture seule . . . . 372
a. Sécurisation des mots de passe sur les contrôleurs RODC . . . 373
b. Réplication des mots de passe sur les contrôleurs RODC . . . 376
c. Pré-remplissage des mots de passe sur un contrôleur en lecture seule . . . 380
d. Conditions requises pour déployer un contrôleur en mode lecture seule (RODC) et limitations . . . 381
4. Pourquoi et comment évoluer vers le niveau fonctionnel de domaine Windows Server 2008 et 2008 R2 ? . . . 383
5. Gestion des stratégies de mot de passe granulaires . . . . 385
6. Service d'audit Active Directory . . . . 393
7. Protection des objets Active Directory contre l'effacement . . . . . 396
C. Active Directory Certificate Services (AD CS) . . . 398
1. Introduction aux infrastructures à clés publiques (PKI) . . . . 398
2. Les différents types de certificats . . . . 399
a. Introduction . . . . 399
b. Nature et contenu d'un certificat numérique . . . . 404
c. Certificats X.509 version 1 . . . . 408
d. Certificats X.509 version 2 . . . . 410
e. Certificats X.509 version 3 . . . . 411
3. Les certificats et l'entreprise . . . . 421
a. Relation entre les certificats et les authentifications . . . . 421
b. Cadre d'utilisation des certificats . . . . 424
c. Utilisation des certificats numériques en entreprise . . . . 431
d. Certificats Utilisateurs . . . . 433
e. Certificats pour les Ordinateurs . . . . 434
f. Certificats pour les Applications . . . 435
4. Stockage des certificats . . . . 436
a. Introduction . . . . 436
b. Stockage des certificats et interface CryptoAPI . . . . 437
c. Affichage des certificats : Magasin logique et magasin physique . . . 439
d. Archivage local des certificats expirés. . . . 440
e. Structure de rangement du magasin de certificats logique . . . 440
f. Origine des certificats stockés dans les magasins . . . 443
g. Protection et Stockage des Clés Privées . . . . 444
5. Console de gestion MMC des certificats . . . . 446
6. Nouvelle interfaces cryptographiques de Windows 7 et Windows Server 2008 R2 . . . 447
a. Interface CNG (Cryptographic API Next Generation) . . . . 447
7. Services de certificats de Windows Server 2008. . . . 448
a. Introduction . . . . 448
b. Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu'une autre ?. . . 451
c. Importance de l'Architecture d'une infrastructure
à clés publiques . . . 453
8. Nouveautés apportées par les Autorités Windows Server 2008 et 2008 R2 . . . 453
a. Nouveau composant MMC PKI d'entreprise . . . . 455
b. Enrôlement pour les périphériques réseau à l'aide du protocole MSCEP. . . 456
c. Évolution des méthodes d'enrôlement Web avec AD CS . . . . 464
d. OCSP et paramètres de validation du chemin d'accès . . . . . 469
9. Nouveautés apportées par les Autorités de certification Windows Server 2008 R2 . . . 482
a. Amélioration des bases de données des autorités de certificationdevant gérer de grands volumes . . . 483
b. Nouveau service Web Inscription de certificats . . . . 483
c. Support de l’enrôlement des certificats entre les forêts. . . . . 484
D. Active Directory Federation Services (AD FS) . . . 485
1. Concepts fondamentaux . . . . 485
2. AD FS: Nouveautés apportées par Windows Server 2008 et Windows Server 2008 R2 . . . 488
3. Installation du rôle AD FS . . . . 489
4. Références pour AD FS avec Windows Server 2008 et Windows Server 2008 R2 . . . 493
5. À propos des différentes versions d'AD FS . . . 494
E. Active Directory Lightweight Directory Services (AD LDS) . 494
1. Concepts fondamentaux . . . . 4942. AD LDS : Nouveautés apportées par Windows Server 2008 et 2008 R2 . . . 495
3. Installation du rôle AD LDS . . . . 497
4. Références pour AD LDS avec Windows Server 2008 . . . . 511
5. Nouveautés apportées pour Windows Server 2008 R2 . . . . 511
F. Active Directory Rights Management Services (AD RMS) . 512
1. Introduction . . . . 512 2. Concepts fondamentaux . . . . 513 3. AD RMS : Nouveautés apportées par Windows Server 2008 . . . 514 4. Installation du rôle AD RMS . . . . 516 5. Validation du bon fonctionnement de la plate-forme RMS . . . . . 524 6. Références pour AD RMS avec Windows Server 2008
et Windows Server 2008 R2 . . . 533 7. Nouveautés de Windows Server 2008 R2 . . . . 533
