Module 1 : Introduction

à l'infrastructure Active
Directory
 Module 1 : Introduction à l'infrastructure Active Directory 1

Vue d'ensemble

Introduction Ce module présente la structure physique et logique du service d'annuaire

Active Directory®, et sa fonction en tant qu'annuaire. Le module présente
également les composants logiciels enfichables, les outils de ligne de
commande et l'environnement d'exécution de scripts Windows vous permettant
de gérer les composants Active Directory, ainsi que ses processus de
conception, de planification et d'implémentation.
Objectifs À la fin de ce module, vous serez à même d'effectuer les tâches suivantes :
! décrire l'architecture d'Active Directory ;
! décrire le fonctionnement d'Active Directory ;
! utiliser des composants logiciels enfichables d'administration pour analyser
Active Directory ;
! décrire les processus de conception, de planification et d'implémentation
d'Active Directory.
2 Module 1 : Introduction à l'infrastructure Active Directory

Leçon : Architecture d'Active Directory

Introduction Active Directory inclut des composants qui constituent sa structure logique et
physique. Vous devez planifier les structures logique et physique d'Active
Directory pour répondre à vos impératifs organisationnels. Pour gérer Active
Directory, vous devez comprendre le rôle de ces composants et comment
les utiliser.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire la fonction d'Active Directory ;
! décrire la structure logique d'Active Directory ;
! décrire la structure physique d'Active Directory ;
! décrire les rôles de maître d'opérations.
 Module 1 : Introduction à l'infrastructure Active Directory 3

Rôle d'Active Directory

Introduction Active Directory stocke des informations sur les utilisateurs, les ordinateurs et
les ressources du réseau, afin de permettre aux utilisateurs et aux applications
d'accéder à ces ressources. Il constitue un moyen cohérent de nommer, de
décrire, de localiser, d'accéder, de gérer et de sécuriser les informations
concernant ces ressources.
Fonction d'Active Active Directory fournit les fonctions ci-dessous :
Directory
! Centralisation du contrôle des ressources du réseau. La centralisation du
contrôle des ressources, comme les serveurs, les fichiers partagés et les
imprimantes, permet aux seuls utilisateurs autorisés d'accéder aux
ressources dans Active Directory.
! Centralisation et décentralisation de la gestion des ressources. Les
administrateurs peuvent gérer des ordinateurs clients distribués, des services
réseau et des applications à partir d'un emplacement centralisé à l'aide d'une
interface de gestion cohérente, ou distribuer des tâches d'administration en
déléguant le contrôle des ressources à d'autres administrateurs.
! Stockage des objets de manière sécurisée dans une structure logique. Active
Directory stocke toutes les ressources sous forme d'objets dans une structure
logique hiérarchique sécurisée.
! Optimisation du trafic réseau. La structure physique d'Active Directory
vous permet d'utiliser plus efficacement la bande passante du réseau. Il
garantit, par exemple, que lorsque des utilisateurs se connectent au réseau,
ils sont authentifiés par l'autorité d'authentification la plus proche de
l'utilisateur, réduisant d'autant la quantité de trafic réseau.
4 Module 1 : Introduction à l'infrastructure Active Directory

Présentation multimédia : Structure logique d'Active Directory

Emplacement de fichier Pour commencer la présentation Structure logique d'Active Directory, ouvrez
la page Web sur le CD-ROM du stagiaire, cliquez sur Multimédia, puis sur
le titre de la présentation. N'ouvrez pas cette présentation avant d'y être invité
par l'instructeur.
Objectifs À la fin de cette présentation, vous serez à même d'effectuer les tâches
suivantes :
! définir les éléments de la structure logique d'Active Directory ;
! discuter du rôle de ces éléments.

Points clés Active Directory offre un stockage sécurisé pour les informations concernant
les objets dans sa structure logique hiérarchique. Les objets Active Directory
représentent des utilisateurs et des ressources, tels que des ordinateurs et des
imprimantes. Certains objets en contiennent d'autres. Lorsque vous aurez
compris le rôle et la fonction de ces objets, vous pourrez effectuer des tâches
diverses, comme l'installation, la configuration, la gestion et le dépannage
d'Active Directory.
La structure logique d'Active Directory inclut les composants suivants :
! Les objets. Il s'agit des composants les plus élémentaires de la structure
logique. Les classes d'objets sont des modèles pour les types d'objets que
vous pouvez créer dans Active Directory. Chaque classe d'objet est définie
par une liste d'attributs, qui définit les valeurs possibles que vous pouvez
associer à un objet. Chaque objet possède une combinaison unique de
valeurs d'attributs.
! Les unités d'organisation (OU, Organizational Unit). Vous utilisez ces
objets conteneurs pour organiser d'autres objets de telle manière qu'ils
prennent en compte vos objectifs administratifs. La disposition de ces objets
par unité d'organisation simplifie la recherche et la gestion des objets. Vous
pouvez également déléguer l'autorité de gestion d'une unité d'organisation.
Les unités d'organisation peuvent être imbriquées les unes dans les autres,
ce qui simplifie d'autant la gestion d'objets.
 Module 1 : Introduction à l'infrastructure Active Directory 5

! Les domaines. Unités fonctionnelles centrales dans la structure logique

d'Active Directory, les domaines sont un ensemble d'objets définis
administrativement qui partagent une base de données d'annuaire commune,
des stratégies de sécurité et des relations d'approbation avec d'autres
domaines. Les domaines disposent des trois fonctions suivantes :
• Une limite d'administration pour objets
• Une méthode de gestion de la sécurité pour les ressources partagées
• Une unité de réplication pour les objets
! Les arborescences de domaines. Les domaines regroupés en structures
hiérarchiques sont appelés arborescences de domaines. Lorsque vous
ajoutez un second domaine à une arborescence, il devient enfant du domaine
racine de l'arborescence. Le domaine auquel un domaine enfant est attaché
est appelé domaine parent. Un domaine enfant peut à son tour avoir son
propre domaine enfant.
Le nom d'un domaine enfant est associé à celui de son domaine parent
pour former son nom DNS (Domain Name System) unique, par exemple
corp.nwtraders.msft. De cette manière, une arborescence a un espace de
noms contigu.
! Les forêts. Une forêt est une instance complète d'Active Directory. Elle
consiste en une ou plusieurs arborescences. Dans une arborescence unique à
deux niveaux, qui est recommandée pour la plupart des organisations, tous
les domaines enfants sont des enfants du domaine racine de la forêt afin de
former une arborescence contiguë.
Le premier domaine de la forêt est appelé le domaine racine de la forêt.
Le nom de ce domaine fait référence à la forêt, par exemple nwtraders.msft.
Par défaut, les informations dans Active Directory ne sont partagées qu'à
l'intérieur de la forêt. Ainsi, la forêt est une limite de sécurité pour les
informations contenues dans l'instance d'Active Directory.
6 Module 1 : Introduction à l'infrastructure Active Directory

Présentation multimédia : Structure physique d'Active Directory

Emplacement de fichier Pour commencer la présentation Structure physique d'Active Directory, ouvrez
la page Web sur le CD-ROM des stagiaires, cliquez sur Multimédia, puis sur le
titre de la présentation. N'ouvrez pas cette présentation avant d'y être invité par
l'instructeur.
Objectifs À la fin de cette présentation, vous serez à même d'effectuer les tâches
suivantes :
! définir les éléments de la structure physique d'Active Directory ;
! discuter du rôle de ces éléments.

Points clés Contrairement à la structure logique, qui modélise des exigences

administratives, la structure physique d'Active Directory optimise le trafic
réseau en déterminant où et quand se produit un trafic de connexions et de
réplications. Pour optimiser l'utilisation par Active Directory de la bande
passante du réseau, vous devez en comprendre la structure physique. Les
éléments de la structure physique d'Active Directory sont :
! Les contrôleurs de domaine. Ces ordinateurs exécutent Microsoft®
Windows Server™ 2003 ou Windows® 2000 Server et Active Directory.
Chaque contrôleur de domaine exécute des fonctions de stockage et de
réplication. Un contrôleur de domaine ne peut gérer qu'un seul domaine.
Pour assurer une disponibilité permanente d'Active Directory, chaque
domaine doit disposer de plusieurs contrôleurs de domaine.
 Module 1 : Introduction à l'infrastructure Active Directory 7

! Les sites Active Directory. Ces sites sont des groupes d'ordinateurs
connectés par des liaisons rapides. Lorsque vous créez des sites, les
contrôleurs de domaine au sein d'un même site communiquent
fréquemment. Ces communications réduisent le délai de latence de
réplication à l'intérieur du site ; autrement dit, le temps requis pour qu'une
modification effectuée sur un contrôleur de domaine soit répliquée sur
d'autres contrôleurs de domaine. Vous pouvez donc créer des sites pour
optimiser l'utilisation de la bande passante entre des contrôleurs de
domaines situés à des emplacements différents.

Remarque Pour plus d'informations sur les sites Active Directory, reportez-
vous au Module 7, « Implémentation de sites pour gérer la réplication
Active Directory », du cours 2194, Planification, implémentation et
maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.

! Partitions Active Directory. Chaque contrôleur de domaine contient les

partitions Active Directory suivantes :
• La partition de domaine contient les réplicas de tous les objets de ce
domaine. La partition de domaine n'est répliquée que dans d'autres
contrôleurs appartenant au même domaine.
• La partition de configuration contient la topologie de la forêt. La
topologie est un enregistrement de tous les contrôleurs de domaine et des
connexions entre eux dans une forêt.
• La partition de schéma contient le schéma étendu au niveau de la forêt.
Chaque forêt comporte un schéma de sorte que la définition de chaque
classe d'objet est cohérente. Les partitions de configuration et de schéma
sont répliquées dans chaque contrôleur de domaine dans la forêt.
• Les partitions d'applications facultatives contiennent des objets non liés
à la sécurité et utilisés par une ou plusieurs applications. Les partitions
d'applications sont répliquées dans des contrôleurs de domaine spécifiés
dans la forêt.

Remarque Pour plus d'informations sur les partitions Active Directory,

reportez-vous au Module 7, « Implémentation de sites pour gérer la
réplication Active Directory », du cours 2194, Planification, implémentation
et maintenance d'une infrastructure Active Directory Microsoft Windows
Server 2003.
8 Module 1 : Introduction à l'infrastructure Active Directory

Définition des maîtres d'opérations

Introduction Lorsqu'un domaine est modifié, la modification est répliquée sur tous les
contrôleurs du domaine. Certaines modifications, telles que celles apportées au
schéma, sont répliquées dans tous les domaines de la forêt. Cette réplication est
appelée réplication multimaître.
Opérations de maître Lors d'une réplication multimaître, un conflit de réplication peut se produire si
unique des mises à jour d'origine sont effectuées simultanément sur le même attribut
d'un objet sur de deux contrôleurs de domaine. Pour éviter des conflits de
réplication, vous utiliserez une réplication à maître unique, qui désigne un
contrôleur de domaine comme étant le seul sur lequel certaines modifications
de l'annuaire peuvent être effectuées. Ainsi, des modifications ne peuvent
intervenir simultanément sur différents endroits du réseau. Active Directory
utilise une réplication à maître unique pour des modifications importantes,
comme l'ajout d'un nouveau domaine ou une modification dans le schéma au
niveau de la forêt.
Rôles de maître Les opérations utilisant une réplication à maître unique sont regroupées dans
d'opérations des rôles spécifiques dans une forêt ou un domaine. Ces rôles sont appelés
rôles de maître d'opérations. Pour chaque rôle de maître d'opérations, seul le
contrôleur de domaine possédant ce rôle peut effectuer les modifications dans
l'annuaire correspondant. Le contrôleur de domaine responsable d'un rôle
particulier est appelé maître d'opérations pour ce rôle. Active Directory
stocke les informations concernant le contrôleur de domaine qui joue un
rôle spécifique.
 Module 1 : Introduction à l'infrastructure Active Directory 9

Active Directory définit cinq rôles de maître d'opérations, chacun possédant un

emplacement par défaut. Les rôles de maître d'opérations s'étendent au niveau
d'une forêt ou d'un domaine.
! Rôles étendus au niveau d'une forêt. Particuliers à une forêt, les rôles
étendus au niveau d'une forêt sont :
• Le contrôleur de schéma. Il contrôle toutes les mises à jour du schéma.
Le schéma contient la liste principale des classes et des attributs d'objets
utilisés pour créer tous les objets Active Directory, comme les
utilisateurs, les ordinateurs et les imprimantes.
• Le maître d'attribution des noms de domaine. Il contrôle l'ajout ou la
suppression de domaines dans la forêt. Lorsque vous ajoutez un domaine
à la forêt, seul le contrôleur de domaine possédant le rôle de maître
d'attribution des noms de domaine peut ajouter le nouveau domaine.
L'ensemble de la forêt ne contient qu'un seul contrôleur de schéma et qu'un
seul maître d'attribution des noms de domaine.
! Rôles étendus au niveau d'un domaine. Particuliers à chaque domaine dans
une forêt, les rôles couvrant un domaine sont :
• L'émulateur de contrôleur principal de domaine (PDC, Primary Domain
Controller). Il se comporte comme un contrôleur principal de domaine
Windows NT pour la prise en charge de tout contrôleur secondaire de
domaine (BDC, Backup Domain Controller) exécutant Microsoft
Windows NT au sein d'un domaine en mode mixte. Ce type de domaine
possède des contrôleurs de domaine exécutant Windows NT 4.0.
L'émulateur PDC est le premier contrôleur de domaine que vous créez
dans un nouveau domaine.
• Le maître des identificateurs relatifs (maître RID). Lorsqu'un nouvel
objet est créé, le contrôleur de domaine crée une nouvelle entité de
sécurité qui représente l'objet et auquel elle affecte un identificateur de
sécurité (SID, Security IDentifier) unique. Cet identificateur consiste en
un identificateur de sécurité de domaine, qui est le même pour toutes les
entités de sécurité créées dans le domaine, et en un identificateur relatif
(RID, Relative IDentifier) qui est unique pour chaque entité de sécurité
créée dans le domaine. Le maître RID alloue des blocs d'identificateurs
relatifs à chaque contrôleur de domaine du domaine. Le contrôleur de
domaine affecte ensuite un maître RID aux objets créés à partir de son
bloc de maîtres RID alloués.
10 Module 1 : Introduction à l'infrastructure Active Directory

• Le maître d'infrastructure. Lorsque des objets sont déplacés d'un

domaine vers un autre, le maître d'infrastructure met à jour dans son
domaine les références d'objets qui pointent sur l'objet dans l'autre
domaine. La référence d'objet contient l'identificateur global unique
(GUID, Globally Unique IDentifier) de l'objet, son nom unique, et un
identificateur de sécurité. Active Directory met régulièrement à jour le
nom unique et l'identificateur de sécurité sur la référence d'objet afin de
refléter les modifications apportées à l'objet réel, par exemple des
déplacements à l'intérieur d'un domaine et entre domaines, et la
suppression de l'objet.
Dans une forêt, chaque domaine possède ses propres émulateur PDC, maître
RID et maître d'infrastructure.

Remarque Pour plus d'informations sur les rôles de maître d'opérations,

reportez-vous au Module 9, « Gestion des maîtres d'opérations », du
cours 2194, Planification, implémentation et maintenance d'une infrastructure
Active Directory Microsoft Windows Server 2003.
 Module 1 : Introduction à l'infrastructure Active Directory 11

Leçon : Fonctionnement d'Active Directory

Introduction Cette leçon présente la fonction d'Active Directory en tant que service
d'annuaire. Comprendre le fonctionnement d'Active Directory vous aidera à
gérer les ressources et à résoudre les problèmes d'accès à ces ressources.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! décrire la fonction d'Active Directory en tant que service d'annuaire ;
! définir le rôle du schéma Active Directory et son utilisation ;
! définir le rôle du catalogue global ;
! déterminer le nom unique et le nom unique relatif d'un objet
Active Directory ;
! décrire comment Active Directory active l'ouverture de session unique.
12 Module 1 : Introduction à l'infrastructure Active Directory

Définition d'un service d'annuaire

Introduction Dans de grands réseaux, les ressources sont partagées par de nombreux
utilisateurs et applications. Pour permettre aux utilisateurs et aux applications
d'accéder à ces ressources et aux informations les concernant, une méthode
cohérente est nécessaire pour nommer, décrire, localiser, accéder, gérer et
sécuriser les informations concernant ces ressources. Un service d'annuaire
remplit cette fonction.
Définition d'un service Un service d'annuaire est un référentiel d'informations structuré concernant
d'annuaire les personnes et les ressources d'une organisation. Dans un réseau
Windows Server 2003, le service d'annuaire s'appelle Active Directory.
Fonctionnalités Active Directory dispose des fonctionnalités suivantes :
d'Active Directory
! Accès pour les utilisateurs et les applications aux informations concernant
des objets. Ces informations sont stockées sous forme de valeurs d'attributs.
Vous pouvez rechercher des objets selon leur classe d'objet, leurs attributs,
leurs valeurs d'attributs et leur emplacement au sein de la structure Active
Directory ou selon toute combinaison de ces valeurs.
! Transparence des protocoles et de la topologie physique du réseau. Un
utilisateur sur un réseau peut accéder à toute ressource, une imprimante par
exemple, sans savoir où celle-ci se trouve ou comment elle est connectée
physiquement au réseau.
 Module 1 : Introduction à l'infrastructure Active Directory 13

! Possibilité de stockage d'un très grand nombre d'objets. Comme il est

organisé en partitions, Active Directory peut répondre aux besoins issus de
la croissance d'une organisation. Par exemple, un annuaire peut ainsi passer
d'un serveur unique contenant quelques centaines d'objets à des milliers de
serveurs contenant des millions d'objets.
! Possibilité d'exécution en tant que service indépendant du système
d'exploitation. AD/AM (Active Directory in Application Mode) est une
nouvelle fonctionnalité de Microsoft Active Directory permettant de
résoudre certains scénarios de déploiement liés à des applications utilisant
un annuaire. AD/AM s'exécute comme un service indépendant du système
d'exploitation qui, en tant que tel, ne nécessite pas de déploiement sur un
contrôleur de domaine. L'exécution en tant que service indépendant du
système d'exploitation signifie que plusieurs instances AD/AM peuvent
s'exécuter simultanément sur un serveur unique, chaque instance étant
configurable de manière indépendante.

Remarque Pour plus d'informations sur AD/AM, reportez-vous à la page

« Introduction to Windows Server 2003 Active Directory in Application
Mode » à l'adresse suivante :
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx
(en anglais).
14 Module 1 : Introduction à l'infrastructure Active Directory

Définition d'un schéma

Introduction Le schéma Active Directory définit les genres d'objets, les types d'informations
concernant ces objets, et la configuration de sécurité par défaut pour les objets
pouvant être stockés dans Active Directory.
Définition du schéma Le schéma Active Directory contient les définitions de tous les objets,
Active Directory comme les utilisateurs, les ordinateurs et les imprimantes stockés dans
Active Directory. Les contrôleurs de domaine exécutant Windows Server 2003
ne comportent qu'un seul schéma pour toute une forêt. Ainsi, tous les objets
créés dans Active Directory se conforment aux mêmes règles.
Le schéma possède deux types de définitions : les classes d'objets et les
attributs. Les classes d'objets comme utilisateur, ordinateur et imprimante
décrivent les objets d'annuaire possibles que vous pouvez créer. Chaque
classe d'objet est un ensemble d'attributs.
Les attributs sont définis séparément des classes d'objets. Chaque attribut n'est
défini qu'une seule fois et peut être utilisé dans plusieurs classes d'objets. Par
exemple, l'attribut Description est utilisé dans de nombreuses classes d'objets,
mais il n'est défini qu'une seule fois dans le schéma afin de préserver la
cohérence.
Schéma Active Directory Vous pouvez créer de nouveaux types d'objets dans Active Directory en
et extensibilité développant le schéma. Par exemple, pour une application de serveur de
messagerie, vous pouvez développer la classe d'utilisateur dans Active
Directory en lui ajoutant de nouveaux attributs stockant des informations
supplémentaires, telles que les adresses de messagerie des utilisateurs.

Remarque Pour plus d'informations sur le développement du schéma Active

Directory, consultez l'article en ligne « Extending the Schema » (en anglais)
dans la bibliothèque MSDN.
 Module 1 : Introduction à l'infrastructure Active Directory 15

Modifications et Sur les contrôleurs de domaine Windows Server 2003, vous pouvez annuler des
désactivation de schéma modifications apportées à un schéma en les désactivant, permettant ainsi aux
organisations de mieux exploiter les fonctionnalités d'extensibilité d'Active
Directory.
Vous pouvez également redéfinir une classe ou un attribut de schéma. Vous
pourriez, par exemple, modifier la syntaxe de la chaîne Unicode d'un attribut
appelé SalesManager pour en faire un nom unique.
16 Module 1 : Introduction à l'infrastructure Active Directory

Définition d'un catalogue global

Introduction Dans Active Directory, les ressources peuvent être partagées parmi des
domaines et des forêts. Le catalogue global d'Active Directory permet de
rechercher des ressources parmi des domaines et des forêts de manière
transparente pour l'utilisateur. Par exemple, si vous recherchez toutes les
imprimantes présentes dans une forêt, un serveur de catalogue global traite la
requête dans le catalogue global, puis renvoie les résultats. En l'absence de
serveur de catalogue global, cette requête exigerait une recherche dans chaque
domaine de la forêt.
Définition du catalogue Le catalogue global est un référentiel d'informations qui contient un sous-
global ensemble des attributs de tous les objets d'Active Directory. Les membres du
groupe Administrateurs du schéma peuvent modifier les attributs stockés dans
le catalogue global, en fonction des impératifs d'une organisation. Le catalogue
global contient :
! les attributs les plus fréquemment utilisés dans les requêtes, comme les nom
et prénom d'un utilisateur, et son nom d'ouverture de session ;
! les informations requises pour déterminer l'emplacement de tout objet dans
l'annuaire ;
! un sous-ensemble d'attributs par défaut pour chaque type d'objet ;
! les autorisations d'accès pour chaque objet et attribut stocké dans le
catalogue global. Si vous recherchez un objet pour lequel vous ne possédez
pas les autorisations de visualisation requises, cet objet n'apparaîtra pas dans
les résultats de la recherche. Les autorisations d'accès garantissent que les
utilisateurs ne puissent trouver que les objets pour lesquels ils possèdent un
droit d'accès.

Définition d'un serveur Un serveur de catalogue global est un contrôleur de domaine qui traite
de catalogue global efficacement les requêtes intraforêts dans le catalogue global. Le premier
contrôleur de domaine que vous créez dans Active Directory devient
automatiquement un serveur de catalogue global. Vous pouvez configurer
des serveurs de catalogue global supplémentaires pour équilibrer le trafic
lié aux authentifications de connexion et aux requêtes.
 Module 1 : Introduction à l'infrastructure Active Directory 17

Fonctions du catalogue Le catalogue global permet aux utilisateurs d'exécuter deux fonctions
global importantes :
! trouver les informations Active Directory en tout point de la forêt,
indépendamment de l'emplacement des données ;
! utiliser les informations d'appartenance au groupe universel pour se
connecter au réseau.

Remarque Pour plus d'informations sur le catalogue global, reportez-vous au

Module 8, « Implémentation de l'emplacement des contrôleurs de domaine »,
du cours 2194, Planification, implémentation et maintenance d'une
infrastructure Active Directory Microsoft Windows Server 2003.
18 Module 1 : Introduction à l'infrastructure Active Directory

Définition d'un nom unique et d'un nom unique relatif

Introduction Les ordinateurs clients utilisent le protocole LDAP pour rechercher et modifier
des objets dans une base de données Active Directory. Le protocole LDAP est
un sous-ensemble de la norme ISO X.500 relative aux services d'annuaire. Il
utilise les informations portant sur la structure d'un annuaire pour trouver des
objets individuels possédant chacun un nom unique.
Définition Le protocole LDAP utilise un nom représentant un objet Active Directory par
une série de composants concernant la structure logique. Cette représentation,
appelée nom unique de l'objet, identifie le domaine dans lequel se trouve l'objet
ainsi que le chemin complet permettant d'accéder à celui-ci. Un nom de ce type
ne peut être qu'unique dans une forêt Active Directory.
Le nom unique relatif d'un objet identifie l'objet de manière unique dans son
conteneur. Deux objets situés dans un même conteneur ne peuvent porter le
même nom. Le nom unique relatif est toujours le premier composant du nom
unique, mais il n'est pas toujours un nom usuel.
 Module 1 : Introduction à l'infrastructure Active Directory 19

Exemple de nom unique Chaque élément de la structure logique de l'utilisatrice Laura Bartoli de l'unité
d'organisation Sales (Ventes) du domaine Contoso.msft est représenté dans le
nom unique suivant :
CN=Laura Bartoli,OU=Sales,DC=contoso,DC=msft

! CN (Common Name) est le nom usuel de l'objet dans son conteneur.

! OU (Organizational Unit) est l'unité d'organisation qui contient
l'objet.Plusieurs valeurs d'OU peuvent exister si l'objet se trouve dans une
unité d'organisation imbriquée.
! DC (Domain Component) est un composant de domaine, tel que « com »
ou « msft ». Il existe toujours au moins deux composants de domaine, voire
davantage si le domaine est un domaine enfant.

Les composants de domaine du nom unique sont basés sur le DNS (Domain
Name System).
Exemple de nom Dans l'exemple suivant, Sales est le nom unique relatif d'une unité
unique relatif d'organisation représentée par le chemin LDAP suivant :
OU=Sales,DC=contoso,DC=msft
20 Module 1 : Introduction à l'infrastructure Active Directory

Présentation multimédia : Ouverture de session unique avec

Active Directory

Emplacement de fichier Pour commencer la présentation Ouverture de session unique avec Active
Directory, ouvrez la page Web sur le CD-ROM des stagiaires, cliquez sur
Multimédia, puis sur le titre de la présentation. N'ouvrez pas cette présentation
avant d'y être invité par l'instructeur.
Objectifs À la fin de cette présentation, vous serez à même d'effectuer les tâches
suivantes :
! décrire la procédure utilisée par Active Directory pour activer une ouverture
de session unique ;
! discuter de l'importance d'une ouverture de session unique.

Points clés L'activation d'une ouverture de session unique permet à Active Directory de
rendre transparents pour l'utilisateur les processus complexes d'authentification
et d'autorisation. Les utilisateurs n'ont pas besoin de gérer plusieurs ensembles
d'autorisations.
Une ouverture de session unique consiste en :
! une authentification, qui vérifie les autorisations de la tentative de connexion ;
! une autorisation, qui vérifie que la demande de connexion est autorisée.

En tant qu'ingénieur système, vous devez comprendre le fonctionnement de ces

processus afin d'optimiser et de dépanner votre structure Active Directory.
 Module 1 : Introduction à l'infrastructure Active Directory 21

Leçon : Analyse d'Active Directory

Introduction Sous Windows Server 2003, les administrateurs disposent de composants

logiciels enfichables et d'outils de ligne de commande pour gérer Active
Directory. Cette leçon présente ces composants et outils, et explique comment
les utiliser pour analyser la structure logique et physique d'Active Directory.
Objectifs de la leçon À la fin de cette leçon, vous serez à même d'effectuer les tâches suivantes :
! expliquer comment Active Directory est conçu pour permettre une gestion
centralisée et décentralisée ;
! décrire les composants logiciels enfichables d'administration d'Active
Directory et les outils de ligne de commande courants ;
! analyser la structure logique et physique d'Active Directory.
22 Module 1 : Introduction à l'infrastructure Active Directory

Gestion d'Active Directory

Introduction L'utilisation d'Active Directory vous permet de gérer un grand nombre

d'utilisateurs, d'ordinateurs, d'imprimantes et de ressources réseau à partir
d'un emplacement centralisé, à l'aide des outils et des composants logiciels
enfichables d'administration de Windows Server 2003. Active Directory prend
également en charge l'administration décentralisée. Un administrateur possédant
l'autorité requise peut déléguer un ensemble sélectionné de privilèges
administratifs à d'autres utilisateurs ou groupes dans une organisation.
Prise en charge par Active Directory inclut plusieurs fonctionnalités de prise en charge de la gestion
Active Directory de la centralisée :
gestion centralisée
! Informations concernant tous les objets et leurs attributs. Les attributs
contiennent des données qui décrivent la ressource que l'objet identifie ;
comme les informations concernant toutes les ressources du réseau sont
stockées dans Active Directory, un administrateur peut gérer et administrer
ces ressources de façon centralisée.
! Vous pouvez interroger Active Directory à l'aide de protocoles tels que
LDAP. Vous pouvez aisément localiser des informations concernant des
objets en recherchant des attributs sélectionnés de l'objet, à l'aide d'outils
prenant en charge le protocole LDAP.
! Vous pouvez grouper en unités d'organisation des objets possédant des
exigences similaires en termes d'administration et de sécurité. Les unités
d'organisation offrent plusieurs niveaux d'autorité administrative, de sorte
que vous pouvez appliquer des paramètres de stratégie de groupe et déléguer
le contrôle administratif. Cette délégation simplifie le travail de gestion de
ces objets et vous permet de structurer Active Directory en fonction des
impératifs de votre organisation.
! Vous pouvez spécifier des paramètres de stratégie de groupe pour un site,
un domaine, ou une unité d'organisation. Active Directory applique ensuite
ces paramètres de stratégie de groupe à tous les utilisateurs et ordinateurs à
l'intérieur du conteneur.
 Module 1 : Introduction à l'infrastructure Active Directory 23

Prise en charge par Active Directory prend également en charge la gestion décentralisée. Vous
Active Directory de la pouvez affecter des autorisations et accorder des droits aux utilisateurs de
gestion décentralisée manière très spécifique. Vous pouvez, par exemple, déléguer des privilèges
administratifs sur certains objets aux équipes de ventes et de marketing d'une
organisation.
Vous pouvez déléguer l'affectation des autorisations :
! pour des unités d'organisation spécifiques à différents groupes de Domaine
local ; par exemple, délégation de l'autorisation Contrôle total pour l'unité
d'organisation Sales ;
! pour modifier des attributs spécifiques d'un objet dans une unité
d'organisation ; par exemple, affecter l'autorisation permettant de modifier
les nom, adresse et numéro de téléphone d'un utilisateur et de réinitialiser les
mots de passe sur l'objet compte d'utilisateur ;
! pour exécuter la même tâche, par exemple réinitialiser les mots de passe,
dans toutes les unités d'organisation d'un domaine.
24 Module 1 : Introduction à l'infrastructure Active Directory

Outils et composants logiciels enfichables d'administration

d'Active Directory

Introduction Windows Server 2003 comporte plusieurs composants logiciels enfichables

et outils de ligne de commande permettant de gérer Active Directory.
Vous pouvez également gérer Active Directory à l'aide d'objets ADSI
(Active Directory Service Interfaces) à partir de l'environnement d'exécution
de scripts Windows. ADSI est une interface simple mais néanmoins puissante
d'Active Directory permettant de créer des scripts réutilisables pour la gestion
d'Active Directory.
Composants logiciels Le tableau suivant décrit quelques composants logiciels enfichables
enfichables d'administration courants permettant de gérer Active Directory.
d'administration

Composant
logiciel enfichable Description

Utilisateurs et ordinateurs Cette console MMC (Microsoft Management Console) est utilisée pour la gestion et
Active Directory la publication d'informations dans Active Directory. Vous pouvez gérer des comptes
d'utilisateur, des groupes et des comptes d'ordinateurs, ajouter des ordinateurs à un
domaine, gérer des stratégies de compte ainsi que des droits d'utilisateur, et procéder
à l'audit de la stratégie.
Domaines et approbations Cette console MMC est utilisée pour gérer des approbations de domaines et de forêts,
Active Directory ajouter des suffixes au nom d'utilisateur principal, et modifier les niveaux
fonctionnels de domaines et de forêts.
Sites et services Active Cette console MMC vous permet de gérer la réplication de données d'annuaire.
Directory
Schéma Active Directory Cette console MMC vous permet de gérer le schéma. Il n'est pas disponible par
défaut dans le menu Outils d'administration. Vous devez l'ajouter manuellement.
 Module 1 : Introduction à l'infrastructure Active Directory 25

Remarque Vous pouvez utiliser également l'éditeur ADSI Edit pour visualiser,
créer, modifier et supprimer des objets dans Active Directory. L'éditeur ADSI
Edit n'est pas installé par défaut. Pour en bénéficier, installez les outils de
support de Windows Server 2003 à partir du dossier \Support\Tools sur le
CD-ROM du produit.

Vous pouvez personnaliser les consoles d'administration afin qu'elles

correspondent aux tâches d'administration que vous déléguez à d'autres
administrateurs. Vous pouvez également regrouper dans une même console
toutes les consoles requises pour chaque fonction d'administration.
Outils de ligne de Le tableau suivant décrit quelques outils courants de ligne de commande,
commande utilisables lorsque vous gérez Active Directory.
d'administration

Outil Description

Dsadd Ajoute dans Active Directory des objets, comme des ordinateurs, des utilisateurs, des
groupes, des unités d'organisation et des contacts.
Dsmod Modifie dans Active Directory des objets, comme des ordinateurs, des serveurs, des
utilisateurs, des groupes, des unités d'organisation et des contacts.
Dsquery Exécute des requêtes dans Active Directory en fonction de critères spécifiés. Vous
pouvez exécuter des requêtes portant sur des serveurs, des ordinateurs, des groupes,
des utilisateurs, des sites, des unités d'organisation et des partitions.
Dsmove Déplace un objet unique, à l'intérieur d'un domaine, vers un nouvel emplacement
dans Active Directory ou renomme un objet unique sans le déplacer.
Dsrm Supprime un objet dans Active Directory.
Dsget Affiche des attributs sélectionnés d'un ordinateur, d'un contact, d'un groupe, d'une
unité d'organisation, d'un serveur ou d'un utilisateur dans Active Directory.
Csvde Importe et exporte des données Active Directory à l'aide d'un format de séparation
par virgule.
Ldifde Crée, modifie et supprime des objets Active Directory. Peut également prolonger le
schéma Active Directory, exporter des informations utilisateur et de groupe vers
d'autres applications ou services, et charger dans Active Directory des données
d'autres services d'annuaire.

Remarque Pour plus d'informations sur les outils de ligne de commande

fournis par Windows Server 2003, reportez-vous à la section « Gestion
d'Active Directory à partir de la ligne de commande » dans Aide et Support.
26 Module 1 : Introduction à l'infrastructure Active Directory

Environnement Bien que Windows Server 2003 fournisse plusieurs composants logiciels
d'exécution de scripts enfichables et outils de ligne de commande pour gérer Active Directory, ceux-ci
Windows ne sont pas adaptés pour des opérations de commandes destinées à effectuer des
modifications dans Active Directory impliquant des conditions complexes. En
pareils cas, vous pouvez procéder plus rapidement à des modifications à l'aide
de scripts. Vous pouvez, par exemple, remplacer le premier chiffre de
l'extension téléphonique de tous les employés transférés dans le bâtiment 5,
en remplaçant alors les chiffres 3 et 4 par le chiffre 5.
Vous pouvez créer des scripts à partir de l'environnement d'exécution de scripts
Windows utilisant ADSI pour exécuter les tâches suivantes :
! extraire les informations concernant les objets Active Directory ;
! ajouter des objets dans Active Directory ;
! modifier les valeurs d'attributs pour les objets Active Directory ;
! supprimer des objets dans Active Directory ;
! étendre le schéma Active Directory.

ADSI utilise le protocole LDAP pour communiquer avec Active Directory.

 Module 1 : Introduction à l'infrastructure Active Directory 27

Comment analyser Active Directory ?

Introduction Vous pouvez visualiser la structure logique et physique d'Active Directory à

l'aide des composants Utilisateurs et ordinateurs Active Directory, Sites et
services Active Directory et Domaines et approbations Active Directory.
Procédure Procédez comme suit pour visualiser la structure logique et physique d'Active
Directory :
1. Ouvrez la console Utilisateurs et ordinateurs Active Directory et visualisez
les unités d'organisation dans Active Directory. Pour ce faire, procédez
comme suit :
a. Cliquez sur Démarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Utilisateurs et ordinateurs
Active Directory.
b. Dans l'arborescence de la console, développez Utilisateurs et
ordinateurs Active Directory.
c. Dans l'arborescence de la console, développez le domaine dont vous
désirez visualiser les unités d'organisation.
d. Affichez la page Propriétés pour chaque conteneur figurant dans
l'arborescence de la console.
e. Déterminez le type d'objet en utilisant les informations de classe d'objet
sous l'onglet Objet. La classe d'objet pour unités d'organisation est
Unité d'organisation.
2. Ouvrez Domaines et approbations Active Directory pour visualiser la
structure logique d'Active Directory. Pour ce faire, procédez comme suit :
a. Cliquez sur Démarrer, pointez sur Tous les programmes, puis sur
Outils d'administration, puis cliquez sur Domaines et approbations
Active Directory.
b. Dans le volet gauche, développez le nœud qui représente le domaine
racine de la forêt pour visualiser les domaines qui constituent la structure
logique d'Active Directory.
28 Module 1 : Introduction à l'infrastructure Active Directory

3. Ouvrez Sites et services Active Directory pour visualiser la structure

physique d'Active Directory. Pour ce faire, procédez comme suit :
a. Cliquez sur Démarrer, pointez sur Tous les programmes, puis
sur Outils d'administration, puis cliquez sur Sites et services
Active Directory.
b. Dans l'arborescence de la console, développez Sites, puis le dossier
représentant le site dont vous désirez visualiser la liste de serveurs.
c. Cliquez sur Servers pour visualiser la liste de serveurs dans le
volet droit.

Remarque Pour plus d'informations, reportez-vous à la section « Comment

analyser Active Directory » du Module 1 située en annexe sur le CD-ROM
du stagiaire.